企业合规这个概念产生与上世纪二三十年代,但是作为企业合规高级发展形态的刑事合规,到了二十世纪末才开始出现,直至进入二十一世纪才在全球扩展开来。最早1991年的《美国联邦量刑指南》引入了“有效的合规计划”这个概念,并将合规计划作为涉案企业的刑事责任轻重、是否予以暂缓起诉的一个核心标准。将企业合规与企业刑事责任直接关联起来,意味着刑事合规制度的诞生,在此之前并没有这种制度设置。晚近二十来年,世界主要国家的刑法立法中几乎都规定了自己的刑事合规制度,诸多国际组织也在极力倡导。所以,有域外学者称刑事合规是二十一世纪全球刑事政策变化的一个主要标志,也有人称刑事合规是为二十一世纪刑法发展的风向标。就当下而言,刑事合规已不再仅仅域外的立法和司法现象,它已经进入了我们的视野。去年三月最高检开启了第一期企业合规改革试点工作,涉案企业如果承诺有效合规,经过第三方考核评估,如达到了有效合规的要求,原本要起诉的就可以不起诉,即使起诉的也可以提出从轻处罚建议。中国的改革发展很快,在刑事合规的推进方面也是如此。我们国家的企业合规实践基础原本较弱,不少企业严重缺乏合规意识,并且传统的企业合规主要是公司治理范畴内的问题,并未进入法学界的视野,这决定了我们的刑事合规改革试点缺乏相应的理论储备,但现在弯道超车,从传统的企业合规一步跨到刑事合规,就连我们搞理论研究的,也有点猝不及防的感觉,实践探索也自然是摸着石头过河。因此,亟待我们共同努力,加强刑事合规基础理论问研究。这也是我今天讲这个题目的一个重要动因。
先讲一下刑事合规的概念。对于刑事合规这个概念,要注意从国家和企业两个不同的角度来理解,也就是从国家和企业互动的角度来理解,否则就容易发生认识上的偏差。立于国家立场,合规即预防,刑事合规就是将企业是否实施了旨在预防犯罪的合规计划,作为认定企业刑事责任的有无及其轻罪依据的一套制度设置。如意大利2001年的法令规定,公司应当对为其利益或优势而犯罪的董事、其他高级职员及其下属雇员的罪行负责。这个和我们国家的单位犯罪规定不一样,但公司能够证明已采取适当预防和监控措施的,可以免除责任。这个但书实际上是将企业是否实施了有效的合规计划与企业刑事责任连在一起了。在企业员工尤其企业高管实施犯罪的场合,企业要免除责任就必须证明:(1)合规监督不存在明显漏洞;(2)犯罪人使用欺诈手段规避了合规监管,等等。也就是说,意大利立法已经规定了企业合规的通用要素,但企业的合规计划只是符合合规的通用要素还不行,而且要实质有效。在不少会议上,我在反复强调一个关键问题,这就是合规的有效性问题。有效合规不能摆样子,不能照抄相关的法律规定或合规指南的内容。企业及高管免除处罚的实质条件,只能是所采取的预防措施,能够从内部消除企业的内生性犯罪因素。如果只有一堆合规制度,并未发挥抑或消除企业内生性犯罪原因的功能,这种合规就是表面的合规、形式上的合规,就不能成为涉罪企业获得处罚优待的正当事由。
大家应该感觉到了,刑事合规问题的解决,已超出了刑法规范。高铭暄老师刚刚也讲到了,刑事合规是跨学科的问题,不仅仅涉及刑法、刑讼法,还有涉及犯罪学等科学领域,刑事合规离不开对企业犯罪原因与犯罪预防的关注,要根据犯罪原因来采取相应的预防对策。有代表性的就是英国2010年《反贿赂法》单独设立了预防性的反腐败罪名——商业组织预防贿赂失职罪。凡是与商业组织相关联的人员,为了该商业组织利益而行贿的,该组织即构成本罪,但已建立了防止关联人员实施贿赂的“适当程序”的除外。在此,合规计划不仅是组织获得从宽处罚的依据,而且也是组织进行合规出罪抗辩、从而避免刑事责任的法定事由。西班牙2015《刑法典》对企业合规与企业刑事责任之间的关系规定得很详细,哪些合规事由是免责事由、哪些合规事由是减轻事由均有明确规定,一个总的要求是,法人要对其职员为了法人利益实施的犯罪承担刑事责任,但进行了“适当控制”的除外。这里的“适当控制”,也蕴含着控制的有效性要求。所以说,刑事合规的一个要害,就是企业必须主动采取有效的预防措施,否则,一旦发生员工犯罪,将罪责难逃。
但问题是,犯罪治理一旦涉及预防问题,其处理起来就比单纯的事后打击要复杂得多,预防固然比打击更有效,但预防活动的组织和实施涉及面更广,远非国家专门机关所能胜任,需要比打击活动更多的支撑条件,也更加讲究策略性。所以,旨在有效预防企业犯罪的刑事合规制度,迟至21世纪的今天才逐渐兴起。回过头来讲,刑事合规在国家层面,就是指将企业是否实施了预防犯罪的合规计划,作为认定企业刑事责任的有无及其轻罪依据的一套制度设置,以此将预防活动制度化。以上只是讲了刑事合规的实体法规定,其实刑事合规制度的运行同样需要有配套的程序措施。同时,在刑事语境下,对涉罪企业,不仅面临刑事处罚,而且还面临相应的行政惩罚或民事处罚。为了有效预防企业犯罪,刑事合规在惩罚机制上,打通了刑事处罚与民事、行政处罚之间的界限,目的就是在罪责相适应原则下,最大限度的达成有效预防企业犯罪的目标。
前面是从国家层面讲刑事合规含义的,立于企业立场,刑事合规表现为,企业遵从相关立法和司法指引,自主建立和实施(大家要注意这个“自主”二字)的预防犯罪行动计划。企业自主预防犯罪的直接目的就是为了避免刑事责任风险。从这个意义上讲,企业刑事合规就是企业建立的刑事风险内控机制。这是对刑事合规另一层面的理解。
刑事合规还有很多具体问题:
第一个,考察一下传统企业合规与刑事合规的不同之处,集中体现于是从先前的企业守法的自我监管到企业守法的国家刑事规制。这是刑事合规区别于传统企业合规的重要政策面向,表现在刑事合规已不再仅仅是企业守法的自我监管了,而是在“企业守法自我监管”中嵌入了通过刑法力量予以保障和激励的国家意志。
就社会成员守法的外部监督力量而言,刑事监管是力量最大的,是一种强力型的国家监管。从传统的企业合规到刑事合规,这个步子迈得非常大。刑事合规不是对传统企业合规的继承,而是一种扬弃。传统企业合规中有什么东西是值得刑事合规扬弃的呢?那就是在传统企业合规中,蕴含着一套弥足珍贵的企业守法自我监管、自我约束机制,也就是企业基于规避违法风险、保障利益最大化而建立一套违法风险内控机制。之所以称其为弥足珍贵,是因为从应然层面看,企业如果能从内部主动监管自身的守法经营问题,就能从源头上有效预防犯罪或减少犯罪,对于国家治理企业犯罪而言那是再好不过了。因为,这种企业的自我守法机制本质上表现为企业内部的“法规忠诚”机制,企业依法依规开展经营管理活动,除了可以帮助企业规避违法风险外,客观上具有从企业内部消除犯罪诱因,限制犯罪机会的功效,诸如偷工减料、制假贩假以及各种欺诈行为自然就不会发生或很少发生,自然就不必频繁动用成本高昂、负作用明显的刑罚惩罚了。但事实证明,传统企业合规模式下,企业守法的自我监管往往流于形式,很难落到实处,因而无法发挥有效预防犯罪的功能。实践中,不少企业的合规制度形式上很完备,但因内部控制失灵而诱发重大违法犯罪的案例比比皆是。有句顺口溜,叫做“合规制度满墙挂,违法犯罪照样发”,就是传统企业合规往往是表面合规的真实写照。比如,法国“兴业银行合规案”、德国“西门子合规案”以及我国的“中兴通讯案”,无不揭示着传统企业合规在预防犯罪方面只能是花拳绣腿的固有弊端。以法国第二大银行兴业银行合规案为例,表面上看,其合规管理在业内是享有盛誉的,合规制度很完备,合规监督机制也有,加之企业合规原本起源于银行业,而后才扩展到金融行业和其他行业,但兴业银行因其内控失灵,一个普通的一线交易员在连续两年的时间内持续违规操作,导致银行损失达71亿美元。该银行的内控机制有没有用呢?应该说也有点用。因为,这个银行实际上在两年时间内发现了一百多起异常交易现象,内控部门已获悉风险警示,但竟然没有任何一个部门和监管人员对这些警示进行评估和追踪,任凭风险不断积累,直至重大风险爆发。传统企业合规的有名无实,在此暴露得淋漓致尽。另一个例子就是德国的西门子公司,也是以管理规范著称的老牌企业,2006因全球行贿案,遭受德国、意大利、美国等多个国家的刑事追诉,当时西门子公司岌岌可危,在董事会、经理层就地趴下的同时,其监事会挺身而出,开展大规模的内部调查,重构具有犯罪预防功能的合规体系,从而赢得相关国家司法机关的谅解,最后达成暂缓起诉协议。这也表明,传统企业合规如果不向刑事合规方向升级发展,是防不住企业犯罪风险的。这也是刑事合规必须登台亮相的重要动因。
传统企业合规难以预防犯罪的原因到底是什么呢?
一方面,是因为传统企业合规的外部牵引力不足,存在合规成本高、违规成本低的结构性矛盾,使得企业即使有主动合规的意愿,也普遍面临着合规动力不足的问题。从企业治理角度看,企业构建合规体系不仅要付出成本,要投入相应的管理资源,而且还涉及到企业治理结构优化或改变的问题,因而企业要做到实质性合规绝非易事,但传统上企业违规面临的责任风险只限于行政或民事责任风险,违法成本较低,大抵上交一笔罚款就可以了事,相对于实施违规行为获得的巨大收益,这种风险成本就不值一提。企业是制度化的盈利工具,目的就是赚钱,如果合规成本高,违规成本低,那谁愿意去做合规呢?这就是传统企业合规由于合规激励明显不足引发的问题。另一方面,也是国内研究注意较少的,这就是更深层次看,传统企业合规的初衷,并不是企业基于守法的社会责任针对自我预防犯罪而设计和开发的,而是为了应付外部监管,规避民事法律风险或行政监管风险而拟定和实施的。在传统合规语境下,虽然企业违规也会引发民事赔偿、行政处罚,但能花钱解决的问题都不是大问题。很大程度上,企业把违规所带来的风险成本视为其经营成本的一部分,它愿意承受这个成本,甚至可以将这个成本转移到消费者身上,所以这种可预期的惩罚不足以阻止企业违法违规。同时,目前企业在治理结构上普遍存在着先天不足,基本属于是“一条腿”在走路,即只有生产经营管理而无法律风险尤其是刑事风险防控,企业的发展目标、机构设置、员工的绩效考核直至企业的文化营造,都是围绕如何实现当年的利润、如何利益最大化而展开的,缺乏识别和预防经营中遇到的暗礁险滩的制度体系和运行机制。这就好比一个人开车只知道踩油门,但方向盘把不稳、也不注意及时踩刹车,翻车就是迟早的事。缺乏刑事风险内控机制的治理缺陷,正是企业刑事风险高发频发的内生性原因。这也表明,企业和企业家犯罪,不能仅仅只怪外部的营商环境,而是需要从自我反思、自我调整做起。外因确实有,但外因是条件,内因才是关键。
既然在传统企业合规框架下普遍存在着企业主动合规、实质性合规的意愿和动力不足的问题,从政策考量角度讲,基于人类社会的利益原则,要想激发企业主动守法,自我预防犯罪,如果没有一套“让合规者享受优待、让违规者付出代价”的强大外部监督机制,企业合规就只能是敷衍应对,不仅企业内部的“法规忠诚”机制难以建立,也达不到促使企业自我预防犯罪的目的。这也正是传统企业合规要向刑事化方向发展的基本动因。也就是说,唯有通过将先前的企业合规引入刑事法治领域,将企业是否有效合规与企业及其高管的刑事责任直接联系起来,显著提高企业违法的风险成本,使企业面临着“要么合规、要么遭受重创或死亡”的选择,方能促使企业必须重视自身的守法机制建设,必须主动防控自身的刑事风险。
为此,要发挥企业合规在预防企业犯罪方面的功能,从国家层面讲就必须在吸取传统企业合规“守法自我监管”这一核心要素的基础上加以重构,使之符合预防犯罪或防控刑事风险的需要。传统企业合规中的好东西不能抛弃,并创造性补上其在预防犯罪方面无能为力的短板,这个过程叫做扬弃。我们讲的刑事合规,就是在吸收传统企业合规合理内核的基础上进行重构,使之能够符合激发企业主动防控自身刑事风险的目的。这里有个关键词,什么叫刑事风险呢?刑事风险不是单一的法律风险,而是各类法律风险的集合体。比如,数据合规风险、腐败风险、违反环境保护、知识产品保护以及安全生产监管的风险等,都是刑事风险的来源,都是作为刑事风险隐患而存在的,因此,刑事风险是各类法律风险的集合形态。同时,我们一般理解的刑事风险就是被定罪和追究刑事责任的风险,但实际上,从企业角度看,刑事合规旨在防控的刑事风险,不仅包括颠覆性的定罪风险,还包括遭受犯罪嫌疑调查的风险以及遭受犯罪侵害的风险,后两种风险形式也会给企业的生存发展带来重大打击,也是企业合规的内容,企业也必须尽力防控。因此,我们说防控企业刑事风险,实际上是预防这三类风险。
由此,研讨企业刑事风险防控或刑事合规问题时,需要有重大的思维模式转换。我们已习惯于将民事违法问题、行政违法问题与刑事违法问题截然分开,但在刑事风险防控或刑事合规语境下,民事、行政、刑事问题往往交织在一块儿了。传统思维是把违规、违法、犯罪分开来研究和处理的,三者泾渭分明。但刑事合规作为现行刑法罪责规范的前置性预防制度设置,本质上是预防企业犯罪的规范体系,因而在逻辑上就必须将各种违法行为作为一个整体加以研究,必须依托于对各种违法行为的识别与控制,来达到预防刑事风险现实化的目的。企业的刑事风险来自哪里?不就是来自民事违法、行政违法行为的不断累积或叠加吗?从违法到犯罪,不就是从量变到质变的演变过程吗?同时,预防犯罪或防控刑事风险,一定是在犯罪尚未发生或风险尚未变成现实时采取行动,已经发生就不叫预防,而应叫补救或事后应对。预防或防控的要义就在于先其未然。由此,企业刑事合规或刑事风险防控的基本逻辑,只能是确立从违规、违法直至犯罪的整体性连贯思维,以此构建保障“法规忠诚”的内控机制,着力从识别、防控各种刑法前置性的违规违法行为做起,才能最大限度防止犯罪发生或者避免刑事风险现实化。这正是国家创设刑事合规制度的基本目标导向。