合规团队作为涉案企业聘请的顾问,为快速高效通过合规监督评估从而获得不起诉+行政处罚从宽+信用快速修复激励的团队,该团队最重要的工作是在合规整改中构建与运行合规体系。为什么?因为当第三方监管组织判断涉案企业已经消除了违规因素,企业才可获得从宽处理!
涉案企业的合规体系是非常目的导向的——就是为了通过合规监管验收,与未涉案企业自主合规建设制定的体系是存在不同的。华为首席法务官兼首席合规官宋柳平表示“合规是业务,合规要全覆盖”。这句话是针对未涉案企业而言。该类企业当然可以360°全方面制定体系,而涉案企业制定的体系仅需围绕涉案专项违规因素的消除与预防(若要附加建立其他内容的体系当然也可以,不过这属于可选项而非必选项)。
Part 01
合规团队的定位
若企业没有涉案,一般不会花“重金”聘请合规团队处理涉及行政刑事问题,自身招聘法务员工就行了。常见的外聘法律顾问也一般只针对民商事问题且一般都是“花钱保心安”的意思之举。而涉案企业聘请的合规团队本质是内控团队,工作目标很明确就是为了追求程序出罪的,工作是建立运行各部门适宜的内部流程与有效的消除违规风险。
(一)合规团队工作内容
1.确定涉案企业合规范围、合规义务,识别、评估、评价违规风险点;
2.与涉案企业法务团队(如有)进行对接,二者相互配合制定合规整改计划;
3.将合规义务拆解分配至企业合规责任人员,并开展企业合规培训、合规考核、合规宣传及合规文化建设;
4.监控企业合规管理体系运行有效性。在监督测试运行一段时间后将方法、注意点移交给企业法务团队;
5.应对第三方监管人提出的稽查,当第三方监管人发现问题后,快速修复应对漏罪新罪;
6.妥善处理历史遗留问题,妥善解决“原罪”问题;
7.开展企业合规咨询、合规调查,处理举报;
8.处理与外部主管部门、检察机关的事务。
(二)合规团队人员构成
合规团队=企业合规师,即从事企业合规建设、管理和监督工作,使企业及企业内部成员行为符合主管部门要求、行业规定和道德规范的人员。具体而言,合规团队包括刑辩律师+技术派的“师”+非诉律师,三部分缺一不可。
请注意,非诉律师(客户的经营助手)必须对企业治理和商业模式具有实质把控力。合规不起诉是一项系统工程,需要非诉律师结合企业治理和特定商业模式进行综合把握。非诉律师主导设计的合规体系,既要实现对风险的全部隔离还要确保合规与企业治理特点、商业经营模式的全面融合,实现对企业合规利益和商业利益的双重维护。
(三)有效整改的理论标准
《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》第十一条:第三方组织应当要求涉案企业提交专项或者多项合规计划,并明确合规计划的承诺完成时限。涉案企业提交的合规计划,主要围绕与企业涉嫌犯罪有密切联系的企业内部治理结构、规章制度、人员管理等方面存在的问题,制定可行的合规管理规范,构建有效的合规组织体系,健全合规风险防范报告机制,弥补企业制度建设和监督管理漏洞,防止再次发生相同或者类似的违法犯罪。第十二条:第三方组织应当对涉案企业合规计划的可行性、有效性与全面性进行审查,提出修改完善的意见建议。根据上述规定,涉案企业合规体系的最低要求是什么(低于该规格会被判定整改不合格),也即标配的合规体系原则上应包括以下内容:
1.涉案专项风险全面排除
企业涉案行为必须完全符合刑事、行政法律规定的强制要求,不能违反禁止性规定。经第三方监管人稽查未发现不合规行为。整改切入点为案发原因的特定环节,以及该原因关联的经营管理环节,围绕涉案环节及关联环节排查常见风险点。如对于因危废处置不当企业而言,其首先要采取的合规举措是对倾倒环节的修正。通过终止违规行为、结束与违规合作伙伴的业务往来、在危废处置合同条款中增加合规义务要求、追踪并修复环境污染后果等方式,直接改正涉案行为。同时还需要关注危废申报、收集、储存、运输与最终处置环节的关联性,做到危废处理环节的全面合规。
2.企业合规体系切实可行
合规管理体系应当与企业经营行为融合,可持续识别、应对、检测、改进合规风险。涉案企业的合规体系,切忌“大而全”、只能“精而专”,要紧紧围绕案发原因及企业经营模式进行。如此合规体系的建立,就能够“多快好省”地通过评定。如走私废物系因进口环节申报不实导致案发,那么需要要紧紧围绕供应商选择、合同签订、货物出厂、报关进口、仓库清点、货至客户等一系列进出口环节识别合规风险并制定合规体系。切忌追求形式上的大而全,盲目设置合规人员、花费时间及成本,导致企业无法负担或者无法实质运行合规机制。
3.预防报告机制有效运行
涉案企业能够建立合规化的内部决策、授权、审批、执行、监督的内控机制,消除企业对风险点的监管漏洞。如对危废处置不当的企业,除了针对具体涉案环节的整改外,其还应当通过内部调查,识别其他业务环节是否存在涉案风险,并对涉及合同审批、商业决策拟定、合作伙伴管理、人员培训与警示教育、内部监督管控、母子公司管理等决策、管理环节配置刑事合规机制,从而确保企业在自上而下的治理环节中均有合规制度运行。
针对其他与涉案专项风险点直接关联的潜在风险点能形成危机处理机制,当涉案企业面对未来出现的与本次整改专项风险点直接相关的危机事件时,该企业能够通过合规化的处置措施,事前防控、及时控制风险范围防止损害扩大。
第三方监管人履职过程中将持续随机抽检涉案企业的上述情况,若未检查出问题则表明整改有效;若检察机关联合主管部门提供了合规标准要求企业对照整改的话,上述内容理应体现其中。故而上述3大标准也是制定执行合规体系所必须遵循的要求。
Part 02
如何构建合规管理体系
机动车安全技术性能综合检测有限责任公司让不符合机动车年检标准的外地车辆通过检测,在待检车辆不到达现场的情况下,采取更换车牌号、更改车尾车身放大号、微信传送待年检车辆车架号照片替代现场拍照等手段,用合格车辆代替不合格车辆检测,从而取得汽车检测合格标志并从中谋取非法利益。对于企业提供虚假证明文件,总不可能说企业承诺我再也不提供了/以后如实提供,就认定合规体系建立。这种情况的整改也太不严肃了!实践中,合规管理体系建立包括制定合规计划、实施合规计划、检查合规计划、持续改进合规管理。上述4大内容组成了涉案企业合规体系的标配版本。
(一)如何制定合规计划
1、分析涉案环节及其他业务环节的顺序和相互作用
合规计划除了具体涉案环节的整改外,还应当通过内部调查,识别其他业务环节是否存在涉案风险,涉及合同审批、商业决策拟定、合作伴管理、人员培训与警示教育、内部监督管控、母子公司管理等决策、管理环节。试举一例:非国家工作人员行贿案,涉案生产企业因为招投标环节公司高管提取公司业务招待费用行贿评标专家而案发。合规团队不仅需要分析招投标环节企业内部人员的违规情景、合规义务,还需要分析该环节招投标代理机构的违规情景、合规义务。并且,还需要分析企业在营销、研发、采购、生产、交付、售后服务等业务环节是否存在行贿合规风险,与案发环节的因果关系。通过分析违规原因后,积极改变带有犯罪因素的经营模式、商业习惯和管理模式,消除违规基因隐患。如销售河豚鱼的企业,则要尽可能找到能被挂靠的有资质经营河豚鱼的企业;组织领导传销的企业,则要建立无条件退货机制与调整销售收入与发展下级会员收入的比例;接受进项虚开的企业,则要与能依规开票的企业进行交易。通过转型转向报告将“去犯罪化”嵌入到经营管理、人事管理、考核奖惩、举报投诉,使涉案企业彻底回归合规经营轨道,最终获得第三方机制委员会认可,才可以获得从宽激励。因为只有如此,主管部门与检察机关才能相信涉案企业只要持续根据改造后的商业模式进行经营,一般不会再次违规。
2、梳理涉案环节及其他业务环节的合规义务
涉案企业违反了合规的义务才会导致刑事立案,因此只有弄清楚企业有哪些具体的合规义务才能针对性的消除合规风险。这需要合规团队仅仅围绕合规不起诉这一终极目标,一边梳理合规义务,一边与企业涉案环节及其他业务环节比对得出具体风险点。那么如何快速有效的梳理核心违规风险点呢?
主管部门公示的罚单数据(通过天眼查/政务服务网查询)蕴含大量违规风险点,只不过这些风险点分属不同领域且表述方面存在差异,因而不能被直接利用需要分类汇总。对于企业而言,利用主管部门公示的罚单数据洞悉合规风险、圈定高风险领域进而自查与改善管理,是提升合规改造/合规营救工作效能的重要手段。
(1)通过大数据平台汇总风险清单
将罚单数据拆解、匹配至业务领域,并按照统一标准“近义词替换”为违规风险点是开展合规整改工作的基础,这个拆解、加工和转化过程需要占用自主合规团队的大量时间。
请注意,一张罚单的可能会包含多个案由(违规情况),这些案由可能会属于不同的业务领域。所以合规团队在分析罚单数据时,需要将罚单拆解为更细致的案由,将案由归属于不同的业务领域,进而分析出到底是哪个业务领域违规严重受罚较多,来明确改进方向。
与此同时,罚单中的案由是由各地主管部门的不同人员书写,人工的表述方式和书写偏好不同,会造成同一种违规事实存在不同的表述方式。为减少差异影响,合规团队对全单的数据要进行统一分析,结合处罚名目总结形成标准合规风险点库,这相当于一种对案由的标准化描述,将意思同质但表述不一的案由对应到同一个违规风险点,帮助企业自身的合规部门更好理解罚单数据。可以通过Pytyhon/Php/Js将每张罚单数据由专业人员拆分并映射至具体的职能领域和违规风险点,成为了工作的基础数据。
关于核心风险点的汇总,一般从风险发生的频率和风险的影响程度两个维度综合考虑。在这个思路下,考虑目前的数据基础与质量,我们对评估维度进行了适应性的改良,形成出现频度和高损可能性两个评估维度。
对罚单信息的处理形成的合规风险清单可以形成下表的形式,但该形式不利于员工看懂:
下表形式就较为人性化了:
(2)分析风险大小及出现频率锁定核心风险点
现代管理学之父彼得·德鲁克表示 “如果你不能度量它,就无法改进它”。罚单表示的是What(过去发生了什么);在此基础上我们要分析Why(为什么);下一步预测不改进What(未来将要发生什么);最终决定How(应该怎么做)。
合规团队的工作就像医生的工作:第一步是体检,先客观地检查身体健康指标情况,判断是否偏离正常值范围并陈述观点;在此基础上再诊断,即通过进一步的询问和信息挖掘诊断出问题是什么,病根在哪里;下一步预测即结合对病人的了解分析病情目前处于哪个阶段,预测病情会怎样发展;最后是指导,即开出药方、提供治疗建议。
诊断、预测与指导,建立在充分的现状了解与清晰的描述基础上,因而做好描述(整理分析罚单)是发挥汇总核心违规风险点的最基础工作。具体分析2大内容:
A.出现频度:是对该风险点出现的频次进行打分,在评估范围中,对风险点按照出现次数进行排序,按照评分档位数(本次使用了5档)均等分组,之后按照1-5分赋予分值,出现次数越多,得分越高。
B.高损可能性:是对该风险点引发高额损失的可能性进行打分。判别逻辑是,统计该风险点在大额罚单(刑期/罚款)中的出现次数,出现次数越多代表该风险点引起高额损失的可能性更大,则得分更高。
3、根据合规义务为对应的业务环节制定操作指引
试举一例:医药代表行贿案,如某医疗设备有限公司医药代表通过一系列直接间接手段行贿公立医院医务科长,最终在医疗试剂、耗材采购中谋得优势地位的利益。该违规风险点本质是禁止一切直接间接的医药企业与医院的经济关联(不管套路怎么玩,反正就是不能存在利益关联),在反商业贿赂合规体系中依托于违规风险因素的合规指引可以包括以下内容:
A.医疗设备企业应该在制度以及员工手册等行为准则中清晰规定哪些腐败行为是严格禁止的,形成对贿赂零容忍的企业反腐败文化。
B.企业应当明确界定公职人员范围,当企业开展招聘、赠送礼品、招待等日常活动涉及公职人员时,均需要设置严格的审批流程。
C.企业开展业务的过程中可能会涉及“便利费”、“疏通费”等费用的支出。企业在提供对外捐赠、赞助时,也应当确保捐赠、赞助的款项没有被实际用于贿赂目的。对于此类费用,应在制度中明确是否允许及相应审批流程。
D.针对礼品、招待、差旅等费用支出,企业应当确保这些费用金额合理,并且在账簿上予以真实准确的记录。例如,禁止对外提供金额过大的礼品,禁止提供足浴、KTV、赌博等形式的招待。
E.企业应当明确各层级人员的合规职责,建立与之匹配的绩效考核制度及举报制度。
4、明确合规计划中具体环节的合规义务人及完成的时间节点
由于目前刑事诉讼法对合规整改时间的限制,合规计划必须对包括合规团队成员及企业内部人员定人定岗定责,并且在整改计划中明确各个环节完成的时间节点,制定时间节点时还需要考虑检察院以及第三方监督人提建议和稽查的时间,避免时间原因导致计划无法落地而致使目标无法实现。
(二)如何实施合规计划
“知己知彼”,合规团队要想通过第三方监管组织的“认证”,必须要实打实做好合规制度的制定运行,绝不能抱着“文来文往”的“意思意思”心态。
试举一例:看看主管部门、公安司法机关认定企业违规的思路,某船舶洗舱有限公司(以下简称A公司)在清洗化学品船“B”轮燃油舱进行清舱作业时发生爆燃事故,当时舱内有8名清舱工人,其中1人获救、7人死亡,直接经济损失约640万元,属于特大安全生产事故。应急管理局认为A公司存在违规因素:安全生产所必需的资金投入不足,未为清舱工人提供合格的符合安全要求的作业设备和劳保用品,未健全并组织落实安全生产责任制,未督促落实企业安全生产规章制度和操作规程,未有效督促、检查本单位安全生产工作。
应急管理局是如何认定A公司违规的呢?是通过“制度+执行”2方面进行认定的,即“纸面文件+言词证据”印证模式——首先勘验分析案发原因在未测氧测爆前提下在密闭空间明火作业;再搜集汇总A公司关于测氧测爆/密闭空间作业/明火使用条件的规定;最后对A公司高中低三个层级的职工进行言词证据的固定。应急管理局综合以上证据材料确定,A公司是否不具备纸面合规制度或纸面合规文件存在但实际虚置。
为顺利通过合规监督评估、确保合规文化能真正在企业中“入心入耳”,确保制度与言词证据得以印证,事前合规与事后举证能“相得益彰”,执行台账就是有效落实合规制度的留痕材料。随着科技的推进,新型台账以信息化让记录变得更为高效、全面、具象。
(1)传统台账:自主合规团队联合企业编制合规手册,从流程或业务维度对制度、法规、经验等内容进行重新梳理和知识重组,形成内容详实的工具书提供给员工参考;每当下发新制度,组织员工进行制度学习,并安排相关考试;除了日常的制度学习,每年还会组织多个专题的培训,邀请内部或外部的专家授课;在合规内控管理系统中设置专门的制度库、法规库,供员工查询;通过办公系统的问答社区或者微信群等方式,回复员工提出的各类合规问题或业务问题。涉案企业往往投入大量资源在编制合规手册、开展合规培训等工作中,反倒是员工“云里雾里”看不懂、执行不了。
(2) 新型台账:运用合规知识助手——一种以满足员工合规知识需求为目标的智能管理工具,它可以被集成到企业内部系统中,表现为电脑端的软件程序、系统模块或者手机端的应用程序、微信机器人等。在房地产公司骗取贷款案中,合规知识助手通过智能标注技术,将所有文件中所有与房地产贷款相关的段落或句子进行标注,不仅考虑是否含有“房地产贷款”这个关键词,而是从语义层面将相关内容进行标注。通过底层的技术处理,用户只需要输入一次“房地产贷款”主题词,知识助手就会抓取所有相关知识点,并以知识关系图谱和对应文字形式呈现,方便用户了解知识点的内容以及知识点之间的关系。
(三)如何检查合规执行情况
合规团队要尽可能训练出涉案企业的内部监察团队, 合规团队不仅要涉案企业员工进行访谈,了解合规体系的运行实际情况,更要“带出一个团队”。“带队伍”比“搞业务”重要的多!这个团队能在合规团队不在的前提下,日常化的开展员工访谈工作,来判断企业整改(包括后期从宽处理后的合规建设)情况。只有如此,才能通过第三方监管人的随机访谈检查与日后的回访调查。检查合规计划执行情况措施包括:
1、组织合规审计,也即内部监察制度。
2、建立举报制度,尤其是向主动报告的合作伙伴给与一定的“豁免”奖励(保留继续合作的机会否则终止合作干部违规信息诉诸刑法)。
3、全面配合第三方机制委员会的持续监督。
(四)如何改进合规管理
1、定期组织对上一阶段的合规管理进行评审
涉案企业能够做到持续改进合规管理关键是建立合规岗位或组织,并定期对合规风险进行评估。无论是否建立字面上的合规部门,涉案企业都需有这样一个既要与企业主直接对接又要合规团队直接对接,更重要的是要与涉案的敞口风控部门直接对接。虽然第三方监管人是不会来检查与涉案原因无直接关联的非专项违规因素的,但是基于企业持续发展需要也不能仅仅“头痛医头脚痛医脚”!特别是在企业经营模式发生变更时,一定要再次启动风险识别机制对企业的合规环境进行扫描,这样才能识别出新的合规风险。制度体系应融入企业经营与企业治理中,让企业高中低三个阶层都参与到合规管理中,形成对企业及高管的双重保护。如审批是否越多越好?集体讨论是否免责?忽视实质审核,审批不审慎就要被追责;因此不能仅仅进行制度制定,而是需要有效运行合规管理,以防止新罪的出现。如生态环境局上半年重点执法超标排污,下半年(整改过程中)重点规范危险废物处理处置;上半年稽查局主要执法税收优惠企业认定,下半年主要围绕公账转私。
2、对评审及第三方监督人提出的不合规事件进行分析并制定应对措施
企业应当针对具体的不合规事件分析产生原因,分析是因为合规计划本身制定不当导致不合规事件发生,还是合规操作指引错漏导致不合规事件发生,亦是人员合规意识不足导致不合规事件发生。在分析合规事件产生原因的基础上制定对应的应对措施,并体现在新的合规计划中。如此循环往复,直至对应的合规风险被有效处理。
Part 03
合规机遇
企业一般认为合规管理与追求利润之间存在紧张关系,如果不是企业涉案一般也不会考虑让合规律师或合规团队介入。但是笔者参与的“刑事合规不诉”案件在经过一段时间持续整改后,笔者惊喜的发现企业梳理了经营模式及合规义务,对企业的使命、愿景、业务方向有了更为深层的认识。选择往往比努力更为重要,企业在对业务的慎重梳理和筛选后在运营管理上更具有针对性,促使企业在现代化管理及商业利益上获得升级,焕发了新的生命力。可见,经历了一段时间的高速且“懵懂”发展后,在当前国家全面推进企业合规管理的背景下,即使未涉案的企业也应当将合规管理视为必选项而非可选项。如此,才能保证企业不仅走得快,而且行得稳。