企业刑事合规体系的基本建设流程（上）——企业刑事合规实务研究之二

一个企业和企业主追求什么样的价值观，往往决定了一个企业的合规层次和合规目标。最关键的就是用什么标准来确定合规义务、识别合规风险。广义来说，企业要合的“规”包括法律、行政法规、行业惯例、政治要求、意识形态、伦理道德甚至民族情感。但企业不同，要求就会不尽相同。有的企业要求不能触犯刑事法律即可，有的企业要求不仅不能触犯刑事法律，也不能被行政处罚，有的企业则只追求经济利益，加强资金风控，无所谓其他风险。如果我经营一个小餐馆，我的价值追求可能就是不要有食品安全问题，不要因为食品安全问题被罚款、吊销营业执照甚至判处刑罚，那么这就要对标食品安全方面的最基础的行业强制性规定、行政法规、刑法来识别合规义务，例如坚决不用地沟油、采购食品加工原料时对供货源头进行严格把关等。如果我经营一个五百强企业，我的价值追求是做有影响力的品牌，那么我必然要以最高层次、最广泛的合规要求来识别合规义务，甚至小到上楼要手扶着扶手防止员工安全事件，大到要用商业伦理、国际法律、社会责任等规范企业经营和员工行为。在2022年7月，以举办漫展之名进行的日本夏日祭活动引发网络热议，枣庄、新余、楚雄、南京等多地先后取消“夏日祭”活动，出现这样的问题，就在于举办主体没有从民族情感的角度去识别合规义务和风险清单。

需要强调的是，在全部合规义务和规则之中，刑事合规是最必要最重要最底线的合规，本文也着重从刑事合规角度展开。然而，纵使在刑事合规模块，企业主往往也是有不同的需求，其中“员工的问题不要牵连到企业-企业的问题不要牵连到老板”这样的简单逻辑占绝大多数。但作为专业律师，我们倡导企业都要做实实在在的真合规，尤其是从传统的EHS¹合规理念ESG²合规理念转型升级，让合规不仅为企业保驾护航，为企业创造价值，更要让合规成为在关键时刻保护员工生命、健康和自由的防线，而不是为了规避企业主的责任做出合规体系以及企业架构设计，这才是企业、企业主所应追求的合规目标和底层逻辑。例如能源开采类企业，要把合规目标锁定在保护员工生命安全、身体健康以及防止污染环境等方面，要充分认识到这既是企业经营的底线要求，也是企业社会责任和担当，当设备安全与经济利益冲突时，决策者要用合规思维和合规体系来否定继续盲目生产的方向，防止出现伤亡、污染等事件，这就是合规的价值。但不可否认的是，国内很多企业现在甚至都没有EHS合规模块，所以真合规依然任重道远。电影《深海浩劫》就是根据2010年美国墨西哥湾原油泄漏事件改编的企业合规的反面典型。从这个角度讲，企业文化决定合规目标，而合规目标也会反向影响企业文化。

要着重了解和区分企业是国有企业、民营企业还是民办非企业，是有限责任公司还是股份有限公司，是实缴义务类还是非实缴义务类公司，是否为外资企业等。例如对于“贪污罪”“私分国有资产罪”“非法经营同类营业罪”等只适用于国有企业；“背信损害上市企业利益罪”等只适用于上市企业；民办非企业则需要增加《民办非企业单位登记管理暂行条例》等识别合规义务。

企业合规义务的核心来源是经营范围。例如一家从事民营国际双语幼儿园的民办非企业，除以《刑法》为对标范围外，还应以《中华人民共和国民办教育促进法》《民办教育促进法实施条例》《教育法》《未成年人保护法》《学生伤害事故处理办法》《托儿所、幼儿园建筑设计规范》《中小学幼儿园安全管理办法》《托幼机构新冠肺炎疫情防控技术方案》《外国人来华工作分类标准》《中华人民共和国出境入境管理法》《外籍教师聘任和管理办法》等来识别合规义务、制作风险清单。经营范围的调查还需了解企业业务是否涉外，是进口还是出口，从反偷漏税、反走私以及跨国专利、知识产权保护、供应链人权等方面识别合规义务。

业务模式的风险对企业的经营具有颠覆性影响。某电商平台通过储值送积分、积分再变现的经营模式属于正常商业模式，如果用户通过层层分享，介绍他人储值获得积分以及提高积分变现额度，这就会涉嫌传销。某企业发现房地块开发头部房企前融难的市场商机，以“实为投资、名为借贷”的形式，以超过法定利率向头部房企借款，则涉嫌非法经营罪。某企业利用自有资金在各大饭店办理会员储值获取最高额折扣，然后通过APP由若干具体消费者以非最高额折扣入店消费，从中赚取差价。这一交易模式看似新颖，实则暗藏风险：对标《非金融机构支付服务管理办法实施细则》，是否拥有互联网支付牌照则是其核心合规义务；对标《个人信息保护法》，应梳理其数据合规义务；从其资金来源来看，对标《刑法》应梳理其反洗钱和防范个人集资犯罪的合规义务；除此之外，还应对标财务税务以及行政监管部门对单用途预付卡的管理（例如：《北京市单用途预付卡管理条例》）来识别合规义务。

一般来说，行业监管机构的行政法规匹配的是企业的行政合规义务和风险。但由于立法的变化，一些违法行为可能会演变为犯罪行为，例如《刑法修正案(九)》将违反危险化学品安全管理规定运输危险化学品，危及公共安全行为的处罚由《中华人民共和国治安管理处罚法》《危险化学品安全管理条例》等法律、法规规定的行政处罚，上升为“处拘役，并处罚金”的刑事处罚。同时，违法行为的累积导致量变为刑事犯罪，例如“一年内曾因走私被给予二次行政处罚后又走私”则涉嫌走私普通货物、物品罪。因此，在刑事合规体系内，应当将监管机构的行业行政法规纳入识别合规义务对标范围，如此也可达到一并防范行政风险的目的。

刑事合规体系对于第三方交易对手的合规管理，最重要的目的在于防止成为第三方犯罪的共犯或被害人。对交易对手的梳理目的仍然是识别合规义务，如果你的交易对手都是党政机关、国家工作人员，那么一定要以反贿赂义务为重点；如果你是强甲方，那么一定要以内部反舞弊义务为重点。例如某教育机构的外教老师均是通过中介机构招聘，由中介机构办理相关就业手续或劳务派遣，那么一定要对提供服务的各中介机构进行合规尽调，并通过与其交易的各环节识别合规义务和风险。对于交易对手特别多的商超、车站等，对承租商铺的商户在防疫、消防、食品安全等方面负有管理义务，就有必要从管理义务的角度识别合规义务。

主要包括企业的股权架构和内部管理结构，重点了解企业决策机制和审批链条，为下步开展访谈、调研、调查明确方向和目标，同时为设计合规组织架构提供基础。例如某些企业实际控制人对企业的管理事无巨细，大到企业战略决策，小到日常员工管理，既不符合现代企业所有权和经营权分离的理念，也不利于风险管理。某些企业虽然设计了形似隔离的股权架构，但是当对员工进行问卷调查时，很多人都知道这个企业是谁管理、谁决策，增加了风险的关联度。对于上述问题，在设计合规体系进行风险管理时，应一并建议企业调整管理和决策流程。