企業刑事合規的內部控制路徑研究

| 唐仁志

一、企業刑事合規計劃的兩大問題導向

最高人民檢察院印發第二批《合規典型案例》之后，加上之前發布的《關于建立涉案企業合規第三方監督評估機制的指導意見(試行)》等規范性文件，以及各地方部門、行業協會發布的企業合規指引類文件，可以肯定我國的刑事合規實踐已經具備了一定的經驗，同時也預示著企業構建自身的刑事合規計劃是未來的一大趨勢。另一方面，由于我國的企業刑事合規理論與實踐均處于起步階段，有關經驗不足，這也導致了市面上各種類型的企業合規管理模板和文件成為企業構建自身刑事合規計劃時相互模仿的“規范模板”。實際上，企業的規模、性質、業務內容等等均存在較大差異，模仿“大而全的刑事合規計劃”難以有針對性地預防自身法律風險。在刑事合規的實務問題中，企業刑事合規計劃的完整性以及其有效性問題關系到刑事合規的全過程，故應當作為企業構建刑事合規計劃的導向。例如，其一，在案發前的企業日常刑事合規管理中，其刑事法律風險是否得到全面的識別和控制；其二，企業涉案以后是否適用企業合規考察程序，包括案發前已經建立起刑事合規制度的企業的考核以及案發后承諾進行合規整改；其三，企業在進行了合規整改和接受合規第三方監督評估考察中如何保障自身企業合規計劃的完整性和有效性；其四，在進入訴訟程序的情況下，企業刑事合規如何提出有利于企業承擔證明責任乃至主張積極的抗辯事由。由此，企業自身的刑事合規計劃內容的完整性以及有效性，包括執行有效性將作為企業制定自身刑事合規計劃的兩大問題導向。

二、文獻綜述與問題提煉

（一）刑事合規計劃要關注完整性與有效性

1.刑事合規計劃完整性的標準。企業構建的刑事合規計劃完整性的標準關系到刑事合規計劃的內容范圍。由于實踐中存在大量的簡單模仿一些刑事合規較為發達國家的合規文件、大企業的合規管理體系亦或是一些刑事合規指引文件的問題，故容易陷入紙面模仿的困境中，進而將“大而全”的合規計劃內容認為是完整的標準。實踐表明，大而全的紙面合規計劃不僅難以執行，還容易徒增管理負擔，甚至是沖擊原有內控的有效性。故此，對于界定刑事合規計劃的完整性問題，應當回歸其作為預防刑事法律風險管理制度的本質功能上。首先，應當關注企業刑事合規計劃是否對企業刑事法律風險進行了全面的識別與控制，包括風險的全面性以及控制措施的合理性與可執行性。例如有研究將刑事法律風險分為企業內部人員和機構的刑事合規風險、企業整體的單位犯罪刑事合規風險、企業被害主體的刑事合規風險三類，并在此基礎上提出了企業構建刑事合規計劃的一般路徑：梳理業務風險、建立應對機制、完善監督評價機制。其次，刑事合規計劃的完整性還強調該計劃與企業規模、性質等自身實際情況的適應性。有觀點提出涉案企業的合規不能千篇一律，而應當因“人”而異，因“事”而異；同時，有觀點也強調刑事合規計劃不能無所不包，考慮到制度運行成本等原因，強調刑事合規計劃應當具備“差異性、針對性”；從國外的經驗來看，在英國司法部頒布的《2010年賄賂罪法適用指南》中，賦予“相稱性原則”以根本性的地位，即強調制定的計劃應當與組織面臨的風險, 以及商業組織經營活動的性質、規模、復雜性相稱。故此，本文將企業刑事合規制度的完整性的標準問題主要界定為刑事法律風險的全面性以及該計劃的相稱性。

2.刑事合規計劃完整性與證明責任。刑事合規計劃完整性對于企業的積極意義集中反映在企業承擔證明責任的場合。一方面，根據目前的企業合規改革試點經驗，涉案企業已經建立起刑事合規制度的，符合合規考察適用對象條件便可納入企業合規司法改革的程序中，一旦合規考察獲得通過，企業便享受了司法的“厚愛”，在此條件下企業需要證明其構建了完整的刑事合規計劃。另外，在進入訴訟程序的場合，有觀點認為，基于被告方承擔舉證責任的基礎上，企業應當證明其存在相對完整的刑事合規計劃，同時需要協助控方證明該計劃的有效性。故此，企業在訴訟過程中也面臨著對刑事合規計劃完整性的證明問題；另外，在將刑事合規抗辯作為出罪事由、減輕處罰等積極抗辯事由的場合，企業也負有對刑事合規計劃完整性的證明。故此，對于企業合規計劃完整性的問題，企業需要立足于承擔證明責任的高度，科學設計該制度的內容和執行程序，并確保在需要時能夠規范且便捷地提供相應的證明材料。

（二）刑事合規計劃核心在于有效性

1.刑事合規制度有效性影響因素。首先，刑事合規計劃的完整性作為其有效性的前提，關系到刑事合規計劃內容本身的覆蓋面及其有效性，故在評估有效性之前需要檢視刑事合規計劃的完整性；其次，刑事合規執行過程中各種因素均影響到該計劃的有效性，這主要涉及到公司管理、人員等各方面。有研究認為諸如高層基調、關鍵力量、組織氛圍等非正式規范更能影響企業刑事合規制度的有效性。故此，從管理的基本立場出發更能識別刑事合規計劃的影響因素，并對之進行有效整改。最后，刑事合規制度的具體執行程序也是影響該制度有效性的重要因素，一方面需要保障刑事合規的獨立性；另一方面又需要一定的監督評估機制實現對刑事合規有效性的再評估，這就需要在具體設計執行流程時考慮企業內控、內部審計等之間的關系，充分發揮企業內部監督部門之間的信息溝通與評價。

2.刑事合規計劃與執行有效性。刑事合規計劃貴在執行，如何保障計劃得到有效的執行，其關鍵在于流程設計具備可操作性，其重點則在于對執行的績效進行監督和評價。首先，企業刑事合規計劃不能與企業業務脫節，而應當立足于業務支持部門的角色全面嵌入企業一線的業務流程管理中。因此，一方面需要將一線業務的評估和執行監督納入刑事合規部門的管理和控制中，另一方面則需要貫徹重要性原則以防止刑事合規權限濫用后對業務的制約；其次，企業刑事合規應當確保其獨立性，包括部門的權限以及特定的信息溝通渠道等，以保證企業刑事法律風險能夠及時有效地被高層熟悉并及時作出應對；最后，在確保了刑事合規計劃的獨立性之后，需要設置相互制約的機制對企業的刑事合規績效則予以監督評價，進而提升合規的質量。而這一點在當下已經具備了一定的規范基礎，例如《個人信息保護法》第54條明文規定“個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計”。由此，通過內部審計部門對刑事合規進行審計監督具備了規范基礎與實踐可能。

圖1 內控路徑下刑事合規計劃框架

三、企業內部控制視角下的刑事合規建設

（一）前提性概念：刑事合規的內控路徑界定

1.刑事合規的路徑及其分類。刑事合規的路徑問題，主要是刑事合規依托何種制度以產生作用力的問題，由于刑事合規具有國家司法激勵工具與企業法律風險防控管理兩大屬性，故從性質上可將刑事合規的路徑分為國家司法路徑以及企業管理兩大類型。對于國家司法路徑來說主要包括認罪認罰不起訴、檢察建議、量刑減免等等路徑；而對于企業視角下的刑事合規研究則較少，且呈現出樣式多樣的合規建設路徑。例如，有研究依照不合規的發生順序，將作為“合規三大支柱”的事前、事中、事后防控作為分類邏輯，提出了企業構建刑事合規計劃總體性框架的基本模型，同時以列舉式的將風險識別、內部調查、合規履職等作為個別化的措施，形成總體與部分相結合的樣式。總的來看，這些路徑有的沿著風險識別與控制的邏輯進路，有的立足于合規整改的過程沿著時間順序設計合規計劃路徑，但均較少關注到企業內控。

2.刑事合規的內控路徑基本內涵與整體框架。刑事合規的內控路徑便是將刑事合規建設融入內控建設，依托內部控制的基本要素、基本原則、基本控制流程等對刑事合規計劃的內容與執行程序予以制定；另一方面，特別注意刑事合規對于內控健全的重要反作用，刑事合規所要求的履職獨立性、塑造的合規文化、介入業務的深度與廣度等等都會對內控目標的調整與提升、內控執行效率、財務信息安全等等各方面起到獨特的反作用。故此，刑事合規的內控路徑的內涵主要有兩個方面的內容，其一是依托內部控制規則設計刑事合規的框架、內容與執行流程；其二是在刑事合規建設中建立健全企業內控。

如圖1，刑事合規內控路徑下的整體框架援引并修訂了相關內控規則，大致可以分為以下幾個板塊：其一是基本原則，這一點在參照規范性文件的基礎上，結合內控與合規的實踐經驗予以援引或修訂；其二是主要內容，按照內部控制基本要素展開設計企業刑事合規計劃主要內容；其三是對完善內控的關注，這部分主要刑事合規計劃在制定和執行過程中發現的內控問題及其完善措施；最后是附則，主要包括一些解釋性的規定，包括相關術語和概念的界定、爭議的解決等等。

（二）基礎性優勢：刑事合規內控路徑的優缺點

1.增強刑事合規計劃完整性和有效性。首先，就企業風險范圍言，企業內控的風險范圍包括刑事合規的風險范圍，故參照內控風險類型設計風險識別和控制程序能夠確保刑事合規計劃完整性。雖然有觀點認為要將企業合規的風險限制在特定范圍內，即：“企業合規所要防控的既不是企業的經營風險和財務風險，也不是一般意義上的法律風險，而是受行政或者刑事處罰的一種合規風險。”但是，在既有官方的規范性文件中，合規風險的內容范圍遠大于這種“受處罰的風險”，其還包括重大財務損失和聲譽損失的風險。這一點在國資委2018年發布《中央企業合規管理指引（試行）》的第二條以及上述文件中均有一致性的表述。該指引第二條規定：“本指引所稱合規風險，是指中央企業及其員工因不合規行為，引發法律責任、受到相關處罰、造成經濟或聲譽損失以及其他負面影響的可能性” 。該指引第三條將合規風險定義為“因沒有遵循法律、規則和準則可能遭受法律制裁、監管處罰、重大財務損失和聲譽損失的風險” 。由此，合規風險在內容的范圍上基本涵蓋在《企業內部控制基本規范》第三章所規定的風險范圍中。

其次，刑事合規計劃有效性問題可以通過審計評估、稽核調查等方式予以監督，這進一步解決了刑事合規部門監督考核問題，并督促其提升工作績效；再者，由于企業內部控制信息披露等等制度相較于刑事合規更為成熟，故援引企業內控評價體系與監督機制，可以建立包括企業刑事合規信息披露制度等，這從縱深上打開了企業的刑事合規與其它制度之間的融合，也促使整個企業之間提升對合作伙伴的審核評估質量。將刑事合規盡職調查、刑事合規信息披露等作為企業管理合作伙伴的重要附隨制度，將開啟全新的企業權益保護之門。

最后，企業內部管理制度可以為刑事合規的執行提供程序基礎。在既有的企業管理中，業務流程的可操作性和管理效率一直是企業不斷優化的板塊，隨著企業刑事合規制度得以設立，企業只需要在特定的控制節點上設置刑事合規風險識別和控制節點即可。列如，在企業采購業務流程中，可以將刑事合規風險評估節點設置在業務提起節點之后實際履行之前，同時在流程發起之前設置犯反商業賄賂等提示，并在流程終止后設置相應的核查節點。一是對員工起到風險提示義務，二是及時將不法風險與自身進行割離，防止企業因內部或者外部原因而陷入刑事法律風險之中。

2.提升刑事合規計劃清晰性和全面性。依托內控基本要素設計的刑事合規計劃類型要素清晰且利于設計管理流程。在內部控制五要素中，各個要素之間邏輯相對清晰且內容全面，刑事合規計劃可以參照該五個要素設計自己的控制內容（如圖1所示）。例如，設計總則一章，內容涵蓋刑事合規的基本目的以及原則，主要包括高層與員工的合規承諾等；又如企業設置企業刑事合規內部環境一章，在其下設置刑事合規管理部門、人力資源、企業刑事合規培訓以及合規文化塑造等主要內容。特別的，在企業原有的內控基本要素管理流程中嵌入刑事合規管理則比重造一份管理系統更為有效，這一方面節省了公司管理成本，另一方面則有利于促進風險防控與一線業務的結合，增加刑事合規的績效產出。

3.警惕“形式合規”，健全內部控制。以內部控制為引導構建起來的刑事合規計劃具備較強的管理屬性，強調執行效率和監督考核，但同時容易陷入盲目執行的“形式合規、紙面合規”困境，從而缺乏對刑事法律風險的靈活應對，為此要靈活調整刑事合規計劃。如引用重要性原則的貫徹方法與程序，對刑事合規計劃予以調整，則有助于增加刑事合規計劃與業務管理等企業要素之間的相稱性。但是，由于重要性原則具有較強的主觀性，因此容易存在因對風險的識別和處理判斷不客觀而漏掉部分重要風險的情況。對該問題的解決可以借鑒風險導向審計中對重要性原則的應用原理予以彌補。在風險導向審計中，評價重要性標準除了要關注錯報的數額，還要關注錯報的性質；同時，重要性的判斷還關系到審計程序的選擇、審計內容的設計等等。由此，刑事風險的遺漏重要性評估及應對程序也可借鑒此設計予以彌補。例如，在實務中，從定性分析角度，在業務流程中結合經驗數據將某一數額之上的交易單獨劃入特殊的審批程序；從定量角度，將一些特殊交易如關聯交易等單獨列入合規審批，以防范可能發生的合規風險。

另外，可以充分利用刑事合規整改健全企業內控。首先，企業刑事合規建設為企業完善內部控制提供了額外的動力保障。目前在內控失靈方面的研究多將控制的動力局限在企業內部，很難獲得新的突破。刑事合規由于具備國家刑法的激勵作用，在將刑事合規納入內控建設的場合能夠有效提升企業完善內控的動力。其次，企業刑事合規建設的諸多方面與內控完善的路徑相關聯，前者的建設可以反作用于后者的完善。例如，在一起非法經營罪案例中，企業的合規整改措施就包括完善公司治理和管理結構，具體如股東的更換、由股東擔任公司監事并兼任合規管理人員，加強法律教育培訓、制定員工手冊等等。

四、企業刑事合規的內控路徑具體應用展開

（一）基本原則：合理援引內控的基本原則

基本原則作為刑事合規計劃的基礎性要求，對于合規價值的彰顯和合規行為具有重要指引作用。目前，結合《企業內部控制基本規范》以及《中央企業合規管理指引（試行）》等規范性文件有關規定，并結合刑事合規的特性要求，可以將全面性原則、重要性原則、獨立性原則、適應性原則以及聯動與制衡作為合規計劃的基本指導原則。既強調刑事合規計劃內容的全面覆蓋，也要根據重要性原則及其相關方法對企業的法律風險進行評估并進行分級分類預防；既要強調合規部門和人員權限的獨立性也要注意合規部門與其它業務部門的信息溝通和聯動；同時要結合企業的實際建立與自身規模、業務性質等相適應的刑事合規計劃。

（二）主要內容：依托內控五要素展開

由于內控五要素在分類上簡潔明了，在內容上基本涵蓋公司管理的全部方面，同時在制度歸類以及執行保障措施方面均具備高效性和規范性的特點。由此，可以結合內控基本要素將刑事合規計劃的內容分為五大板塊。其一是刑事合規內部環境，包括設置地位較高且獨立的刑事合規部門或崗位，賦予相應職權；獲取從員工到高層的全員合規承諾，建立合規文化；加強人力資源建設，培養專業合規人才等；制定員工手冊，完善員工合規教育培訓制度等。其二是刑事法律風險評估，主要包括確定風險控制的目標，刑事法律風險評估方法與策略，完善刑事法律風險報告和應對機制等；其三是刑事法律風險控制活動，包括“不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等” 。尤其重視對信息系統的運用，加強流程節點審批控制，確保業務流程清晰可追溯；其四是刑事合規信息溝通制度，包括明確內部控制相關信息的收集、處理和傳遞程序等。尤其需要確定各部門及人員需要保存各種信息數據，包括但不限于經營財務數據、個人信息、公司制度文件等等；其五是刑事合規計劃的監督和評價機制，企業需要明確刑事合規工作的績效考核機制，建立健全內部審計等部門對其的監督和評價機制等。

（三）保障與提升：對內部控制的完善

企業刑事合規計劃的建設與內控的完善是息息相關的，這就需要充分發揮刑事合規的功能以完善內控。首先，通過刑事合規調查與評估，對企業內控環境、風險評估、控制活動、信息與交流以及監督機制中存在的缺陷進行積極整改，并對整改后的制度運行情況和績效進行審計或者稽核評價。其次，在控制流程中，應當及時優化企業業務流程，兼顧效益與風險處置；最后，在涉案的情況下，企業應當積極配合第三方監督評估機構指導意見，及時整改內控缺陷，減輕和彌補違法行為帶來的損害。最后，企業需要積極調取內控資料文件，用作積極抗辯事由的證明，故此需以此為導向做好日常的文件歸檔管理以及信息數據保護工作。

在未來刑事合規進入立法時代的大趨勢下，企業構建刑事合規計劃的作用越來越明顯。雖然以個人信息保護專項合規、數據安全保護專項合規的實踐已經取得了一定的經驗，但專項合規依然需要依托整體合規的一般性規定和程序。故此，內控路徑下的企業刑事合規計劃依然兼具專項合規實踐的意義。由此可以說，無論企業是搞專項合規計劃還是整體的合規計劃，內控路徑的刑事合規均具備內容完整性和執行有效性方面的優勢，值得實踐參考。