涂龙科 刘东
摘 要:企业合规是经济全球化发展的必然要求,检察机关应该顺应历史发展的趋势,主导行政监管机关、行业组织、企业代表等,围绕重点领域、重点环节与重点人员设计专项合规计划,以检察履职助力企业合规制度的构建,及时有效惩治预防企业犯罪,增强我国企业的管理水平与竞争力。各类企业应当在借鉴美国合规计划构造的基础上,吸收专项合规计划的精髓,根据自身需求建立一套设计良好的、具有足够资源和授权支撑的、在实践中能够有效发现和预防犯罪的合规计划。
关键词:企业合规 合规计划 评价标准 有效合规 專项合规计划
一、问题的提出
近年来,中兴公司、华为公司陆续被美国制裁给我们敲响了警钟,在“一带一路”的倡导下,中国大量的国企、民企走出国门参与全球化竞争,面临的刑事风险尤为显著。不可否认的是,当前的国际秩序仍在美国主导之下,以“长臂管辖”动辄将中国企业列入实体制裁清单,其中固然有政治因素存在,企业合规意识薄弱也是授人以柄的重要原因。2017年3月,美国司法部、商务部和财政部海外资产管理办公室以中兴公司违反出口管制规定同伊朗、叙利亚、朝鲜等禁运国开展合作项目为由,对中兴公司处以11.9亿美元罚款,同时约定若7年内中兴公司不再发生任何违约行为,将解除对其的“封杀令”。然而,2018年4月6日,美国商务部以“欺骗、虚假陈述、一再违反美国法律”为由重启制裁禁令,最终中兴公司付出巨额代价与美国商务部达成和解协议。[1]该起案件中,美国商务部认为中兴公司缺乏基本的合规意识,多次违反美国出口管制法案,将美国科技产品出口到禁运国,并且在同美国达成临时协议之后未按照协议内容履行承诺、整改措施不到位、调查期间仍然虚假陈述规避监管等,因此对中兴公司实施了严厉的贸易制裁。多起制裁中企的案例使企业合规逐渐从外资企业和学术文献中走入我国公司治理和司法实践。此外,国内市场经济的高度活跃也伴生了涉税犯罪、涉知识产权犯罪和涉商业贿赂犯罪等其他犯罪。企业合规既是外在压力和内生动力共同驱动的结果,也是“源于现代社会企业犯罪日益严重的刑事政策应对”[2]。
构建企业合规制度的关键环节在于设计、实施行之有效的合规计划,若足以认定企业制定并实施了有效的合规计划,在组织体责任模式下可以充当出罪机制,在代位责任模式下可以充当责任平衡机制。[3]司法实践也作出了积极回应,2020年最高人民检察院在上海、江苏、山东、广东的4个省(直辖市)共6家基层检察院开展第1期刑事合规试点,2021年试点的范围扩展到10个省(直辖市)数十家检察院。[4]这些试点检察院普遍面临评价标准的制定、合规计划有效性的认定等问题。因此,根据合理的评价标准设计一套行之有效的合规计划是目前企业合规研究的当务之急。
二、合规计划的源流与公司治理
(一)合规计划的内涵与功能
合规计划的法律渊源是美国联邦量刑委员会1991年颁布的《联邦组织量刑指南》,该指南明确将合规计划规定为企业量刑的重要参考因素。[5]与此规定相适应,《美国检察官手册》规定检察官决定是否对一家企业提起诉讼或者协商认罪协议需要考虑的因素,包括考量有效的合规计划和执法调查中企业的配合程度。这两个法案是美国司法领域合规计划的重要渊源,为美国开展企业犯罪预防和治理发挥了重要作用。严格来说,合规计划的制定和实施并不直接表现为刑事问题,但是美国依据《反海外腐败法》以行贿官员获取订单为由对德国西门子公司、法国阿尔斯通公司等进行刑事追诉,促使欧洲学者不得不将合规计划纳入刑法分析框架,着重研究公司制定并实施合规计划对刑事责任可能产生的影响。[6]据此,合规计划的内涵可以总结为企业为预防犯罪、发现犯罪而主动制定、实施的自我管理和约束机制,并且在员工或者企业涉罪时可以作为抗辩理由来减轻或者避免刑事责任。[7]其本质上是一种广泛的预防措施,可以预测、检查并遏制任何潜在的犯罪活动。[8]
准确把握“合规计划”的功能是确定评价标准和设计合规计划的前提。就美国司法实践而言,“合规计划”的功能体现在预防企业犯罪、免于或暂缓刑事追诉、减免罚金三个方面。[9]其中预防犯罪是最重要的功能,免于或暂缓起诉是检察官对满足有效合规要求之涉罪企业的普遍结案方式,减免罚金是法官依据《联邦组织量刑指南》,根据企业罪责的增加或减少(合规有效性的高低)来计算罚金的数额。但是,如果企业没有建立有效的合规计划,就无法享受这些激励。在巴德公司欺诈案中[10],被告巴德公司承认了391项重罪,包括共谋、邮件欺诈、向食品药物管理局提交虚假陈述、运送不合格医疗设备等罪行,由于不具备合规计划,法庭认为其“企业文化使得员工害怕被报复,因而不敢向食品药品监督管理局公然揭发”,最终判处巴德公司缴纳6000万美元的罚款。除了缴纳罚款以外,辩诉协议还要求巴德公司创建新的合规计划,并要求董事会成立合规计划管理委员会。也有观点认为合规计划的功能可以分为基础功能和扩展功能,前者是指通过强化公司治理、构建和完善现代企业管理制度从而降低企业犯罪风险,并指出虽然刑事风险与民商事风险相比极低,但是一旦发生就会导致企业走向失败。后者是推动企业承担社会责任的功能,既要从事生产经营创造社会财富,也要管理好企业自身和员工的行为,确保社会秩序的稳定。[11]由此可见,预防、减少企业犯罪和获取刑事激励应为合规计划的核心功能,强化并完善公司治理、履行引领社会责任是扩展功能,在确定评价标准和设计合规计划时均应作为考量因素。
(二)合规计划与美国公司治理
19世纪后半期,以垄断组织为代表的美国企业发展迅猛。这些大企业为避免经营风险,往往会形成一定的内部规范来约束企业和员工的行为,相关的行业组织也参与制定行业自律规则。与此同时,政府监管部门对银行业等垄断行业强化监管,出现了大量规制企业的法案和判例,这又进一步促使企业将自我规范措施、自律规则转向为企业内部侧重威慑、预防违法犯罪行为的内控机制。[12]“企业合规计划在回应刑法监管的过程中,不断以刑法为参照对象,借鉴、引入了诸多刑法理念与规则,逐渐呈现出‘刑事化的发展趋势”。[13]
从政府监管和刑事规制角度看,1929年至1933年经济大萧条使美国政府对于资本市场的监管逐步加强,美国金融行业开始将合规(compliance)作为选择性的监管措施应用于银行业监管,实践中一度成为政府监管的核心内容,强有力的监管措施使美国银行业迎来了长期稳定发展。[14]1977年通过的《反海外腐败法》也从最初规制本国企业针对国外企业、政府和政党的行贿行为,逐步成为美国行使“长臂管辖”的利器,客观上推动了企业合规在全球范围的传播和发展。上世纪50年代到90年代陆续发生的企业丑闻也推动了反腐败合规与反垄断合规的发展。在通用电气、西屋电气等六家电气设备制造业公司垄断案中,通用电气公司早在1946年就采用了反垄断合规政策,要求所有公司官员均需要签署遵守反垄断法的声明,但是不能减轻处罚。该合规政策没有发挥应有的作用,通用电气公司在实际经营中仍与其他公司实施了固定价格、围标和分割市场的垄断行为,1961年美国政府除了要求缴纳罚金外,还要求这些公司建立有效的反垄断合规体系。这起案件使越来越多的企业意识到建立合规体系规避《反托拉斯法》执法风险的重要性。此外,2001年安然财务造假案则直接推动了《萨班斯法案》的出台,在美国上市的公司不得不建立防范财务造假等各种风险的合规计划。“企业合规实现了从非正式、被动反应式向正式、积极踊跃式的进化。”[15]
三、合规计划的评价标准
合规计划在美国刑事诉讼中占有重要位置。美国《司法手册》中的“联邦起诉商业组织的原则”描述了检察官在进行公司调查、决定是否起诉、谈判辩诉或其他协议时应考虑的具体因素。这些因素包括“公司在犯罪时和指控决定时的合规计划的充分性和有效性”,以及公司为“实施充分有效的公司合规计划或改进现有合规计划”所做的补救努力。此外,美国量刑指南建议考虑公司在发生不当行为时是否有有效的合规程序,以计算适当的组织刑事罚款。那么,该如何评价合规计划才能保证检察官在刑事活动中准确适用相关的法律?美国司法部在2020年6月发布了最新的《企业合规计划评价》(Evaluation of Corporate Compliance Programs )(以下简称《评价》)。《评价》认为,企业合规计划必须在刑事调查的特定背景下进行评估,刑事部门不能使用任何严格的公式来评估企业合规计划的有效性。每个公司的风险概况和降低风险的解决方案都需要进行具体的评估。因此,必须考虑公司的规模、行业、地理位置、监管环境以及其他内部和外部因素,对每一种情况做出合理的、个性化的决定。在做出个性化的决定的过程中,正如《司法手册》所指出的,检察官应询问三个基本问题:企业合规计划设计良好吗?该计划被认真而真诚地实施了吗?换句话说,项目是否有足够的资源和授权来有效地运作?企业合规计划在实践中有效吗?
(一)企业合规计划应达到设计良好的程度
《评价》认为,评估任何项目的关键因素是该项目是否设计得能够防止和发现员工的不当行为,以及管理层是否实际执行该项目,是否默许或施压员工参与不当行为。检察官应该检查合规计划的全面性,包括不容忍不当行为,以及适当的责任分配、培训计划、激励和纪律系统的政策和程序,以此确保合规计划很好地融入企业运营和职工全体。有观点认为,《评价》在2020年的更新强调了特定合规计划的动态演变。[16]企业合规计划不能是多年前制定的政策和程序的停滞集合,它们必须是一个不断发展的、可访问的计划,经过修改并适应能够处理更新的问题。具体而言,应该从风险评估、教训总结、培训和沟通、匿名报告结构和调查程序、运行资源和结果跟踪、兼并收购六个方面来衡量合规计划的设计情况。
(二)企业合规计划应具有足够的资源和授权来有效运作
《评价》要求检察官从四个方面开展调查。其一,应具体调查合规项目是纸面项目还是以适当有效的方式来实施、审查和修订;其二,应确定企業是否提供了足够的员工来审计、记录、分析和利用企业合规的结果;其三,应确定企业员工是否充分了解合规程序,并确信公司对合规程序的承诺;其四,应确定公司的合规文化是否包括员工对任何犯罪行为(包括调查所涉及的行为)不可容忍的意识。重点从调查高级和中级管理层的承诺、合规官及下属的自主权及资源、外包的合规功能角度来检验合规计划是否有效运作。《评价》承认,一些额外的因素可能会导致一个设计良好的项目不成功。此外,评价着眼于合规人员是否有足够的途径获取相关数据,以便进行有效和及时的监测。如果合规人员无法获得他们需要的数据,企业应该解决并纠正这些障碍,以便项目能够成功运行。即使书面的政策和计划是完美的标准,合规人员也需要能够有效实施项目的资源。
(三)企业合规计划在实践中能够有效运行
检察官对企业合规计划有效性的评估具有回顾的性质,在企业或者员工发生了犯罪行为的时候,如何回答合规计划在违法时是否有效?评价认为不当行为的存在本身并不意味着合规方案在犯罪时没有起作用或无效。事实上,司法部也认识到任何合规项目都无法阻止企业员工的所有犯罪活动。当然,如果合规项目确实有效地发现了不当行为,包括允许及时补救和自我报告,那么检察官应将其视为合规项目有效运作的有力指标。至少应该从三个方面来审查,即合规计划的持续改进、定期测试和审查;对不当行为的调查;对任何潜在不当行为的分析和补救。2020版《评价》补充了本问题的调查:公司是否根据其自身的不当行为和(或)其他面临类似风险的公司的经验教训,审查和调整其合规计划?这个附加的问题强调了企业不能有一个固定的或静态的合规计划。合规官员必须跟上政府的最新消息和各自行业部门的趋势,以尽可能保持其项目适应最新情况并且有效,从而应对现有和不断变化的合规风险。
四、有效合规计划的设计考量
(一)有效合规计划的最低要求
美国司法部《量刑指南手册》第8章——有效的合规和道德计划(Effective Compliance and Ethics Program)[17]指出,对于责任评价和适用缓刑条件而言,一个组织为了建立有效的合规和道德计划:应当开展审慎调查防止和预防犯罪行为,并且以其他方式促进鼓励道德行为和承诺遵守法律的企业文化。该合规和道德计划应合理设计、实施和执行,使其在预防和发现犯罪行为方面普遍有效。未能预防或发现即时犯罪并不一定意味着该计划在预防和发现犯罪行为方面无效。具体而言,要实现以上要求的最低限度是:(1)组织应建立预防和发现犯罪行为的标准和计划。(2)(A)组织的主管当局应了解合规和道德规范项目的内容和运作,并应对合规和道德规范项目的实施和有效性进行合理的监督。(B)组织的高级人员应确保组织具有本指南所述的有效合规和道德计划。高层人员中的特定个人应被分配对合规和道德规范项目的总体责任。(C)应授权组织内特定个人负责合规和道德规范项目的日常运作。负有业务责任的个人应定期向高层人员报告合规和道德规范计划的有效性,并在适当情况下向主管当局或隶属于主管当局的适当子小组报告。为履行这种业务责任,应给予这些个人足够的资源、适当的权力,并直接接触主管当局或主管当局的适当分组。(3)组织应尽合理努力,不将任何组织知道或应通过尽职调查而知道从事非法活动或其他不符合有效合规和道德计划行为的个人包括在组织的实质权力人员之内。(4)(A)组织应采取合理步骤,以切实可行的方式定期沟通其标准和计划,以及合规和道德计划的其他方面。向(B)项所述的个人提供有效的培训方案,并以其他方式传播适合这些个人各自角色和责任的信息。(A)和(B)项所述的个人是主管当局的成员、高级人员、实质当局人员、组织的雇员,以及酌情为组织的代理人。(5)组织应采取合理措施(A)确保遵守组织的合规和道德计划,包括监测和审计以发现犯罪行为。(B)定期评估组织合规和道德规范方案的有效性。(C)建立并公布一个系统,该系统可能包括允许匿名或保密的机制,组织的雇员和代理人可以就潜在或实际的犯罪行为报告或寻求指导,而不必担心报复。(6)组织的合规和道德规范计划应通过以下方式在整个组织内一致地推广和执行:(A)适当的激励措施,使其按照合规和道德规范计划执行。以及(B)对从事犯罪行为和未能采取合理步骤防止或发现犯罪行为而采取的适当纪律措施。(7)在发现犯罪行为后,组织应采取合理的步骤对犯罪行为作出适当的反应,并防止进一步类似的犯罪行为,包括对组织的合规和道德计划作出任何必要的修改。在实施以上最低要求时,组织应定期评估犯罪行为的风险,并应采取适当步骤设计、实施或修改以上规定的每项要求,以减少通过该计划确定的犯罪行为的风险。
美国司法部《量刑指南手册》从整体上对一个组织建立有效的合规和道德程序作出了最低限度的要求,建立预防和发现犯罪的标准和计划,通过人员安排、培训、沟通、反馈、举报等程序保障合规计划有效运行,在发现犯罪行为后能够及时反应、适当修正。[18]这些要求具有一定合理性,我国企业在建立合规计划时可以借鉴其中的人力、财务资源保障、反馈举报和适应环境变化的修正机制等内容。
(二)有效合规计划的模型与运用
结合美国司法部《量刑指南手册》对有效合规计划的最低要求,笔者认为一套有效的合规计划应当以为董事会为核心,合规总监负责合规计划的具体运行并向董事会承担责任。从静态的角度来看,为了保障合规计划有效运行,董事会至少应在六个方面提供资源保障:授权合规总监及其下属足够的权力,确保他们不受阻碍地执行合规计划;根据公司规模及业务复杂程度配备足够的人力资源;为合规计划的运行提供足够的经费保障和职工工资福利;为合规人员、管理层、普通职工提供定期培训,使其了解相关法律规范、企业合规计划、各自的角色与责任等;制定适当的激励措施使合规计划得到一致遵守和执行;对从事犯罪行为和未能完全执行合规计划的职工采取适当的纪律措施。从动态的角度看,应建立报告、发现和调整机制:报告机制是合规计划的关键,人的行为在他人观测之下倾向于符合规范的要求,应当允许员工实名、匿名举报企业内部的违规、犯罪行为,采取一定的保護措施使其不用担心打击和报复,并制定实名、匿名举报下的具体处理方式;发现机制是合规计划最直接的功能,即通过日常监测和定期评估发现企业运行中存在的违规、犯罪行为及不符合合规要求的人员,并按照纪律规定处以内部处罚或者移送司法机关处理;调整机制是合规计划的命脉,未来的不确定性导致企业面临市场、产品、经营、政策、公关、自然灾害、外交等风险,合规计划必须根据内部环境和外部环境的变化不断调整,以帮助企业应对各种风险的挑战。
合规计划应当因人而异,但实际上大多数公司都是类似的。[19]21世纪之前,美国各个行业、各个规模的公司基本上都从建立并教育培训员工遵守行为准则、直接或间接督导政策目标的落实、独立或配合司法部门追责三个角度建立合规体系。[20]导致合规成为可选择程度较低、同质性较强的强制版本。实际上,不同类型企业违反的刑事规范差异较大,企业的性质、行业的类型、经营的范围、经营的区域等因素均影响合规风险的类型。因此,各类企业可以在借鉴有效合规计划模型的基础上,吸收专项合规计划的精髓,根据预防犯罪的需求设计一套适合自身的合规计划。
(三)专项合规计划应关注的重点
值得注意的是,合规计划的制定及运行主体主要是企业自身,检察机关或者其他主体不能越俎代庖,但可以制定参考性的专项合规计划,供企业结合自身需求选择和完善。[21]一份针对长三角重要省份企业管理人员犯罪的实证研究指出,企业管理人员犯罪风险集中在企业的财务、融资、人员治理和生产经营四大领域,其中涉税犯罪、非法集资类犯罪、贿赂类犯罪、合同诈骗类犯罪以及拒不支付劳动报酬犯罪较为突出。[22]结合近几年中央关于加强知识产权保护、个人信息保护和生态环境保护的政策,检察机关可以主动作为积极探索,主导行业组织、行政监管部门、企业代表等建立专门性的税收征管合规计划、反腐败合规计划、知识产权保护合规计划、个人信息保护合规计划、生态环境保护合规计划等,也可以根据企业性质如国有企业、民营企业、外资企业制定针对性的合规准则,为各类企业建立合规体系提供参考。
专项合规计划应当围绕重点领域、重点环节与重点人员来进行设计。[23]重点领域是指专项合规计划着重发现、预防的犯罪风险领域。例如税收征管合规计划就应当会同税务管理部门围绕反避税的目标来设计,将“合理商业目的”“权利滥用”“实质重于形式”[24]与避税行为的界定进行合理表达,给企业划定合法经营与行政违法、刑事违法的边界。重点环节是指企业的决策环节和运营环节。中国企业在走向全球化的过程中遇到了重重阻力,其中很大一部分原因是中国企业被指控在投标环节(运营环节)存在虚假陈述、腐败、串通、强迫、阻碍调查等违法违规行为,遭到世界银行、亚洲发展银行、非洲开发银行、欧洲复兴银行等国际组织的制裁。[25]不论何种行业、何种规模、何种经营范围的企业,在决策环节和运营环节必须符合管辖范围的法律法规、国际条约等准则。重点人员更是合规计划的关键要素,任何法律、规范、程序以及责任只有落实到具体个人才能发挥其应有的效力。例如国有企业犯罪主体以高、中层管理者为主,普通业务人员犯罪比例有限。[26]董事会(董事)及合规总监应当为企业合规计划的制定、运行、调整负主要责任,合规人员应在承担的合规管理职责范围内负责,其他职工对自身工作范围内发生的违规事件承担责任,形成一种具有梯度变化的责任承担机制,尤其是强化高、中管理层责任。