Details

企业刑事合规体系的基本建设流程(下)——企业刑事合规实务研究之四



刑事合规体系建设是一项综合性工作,周期长、难度大、范围广、针对性强,需要专业团队和企业协同配合完成,提高体系的适配性和操作性。特别是一个企业刑事合规体系的从无到有、从有到实,需要采取科学有效的方法来构建,防止走样跑偏甚至形同虚设。笔者结合实践经验,将为企业构建刑事合规体系的过程制作成下列图表并就部分内容作简要说明,作为方法论分享,请各位读者不吝指正。本篇主要介绍关于风险排查和风险评估的主要内容。



对于风险排查和风险评估,我们也可以称之为对企业的“体检”,把企业的“心肝脾肺肾”都通过各种仪器、方法进行检查,用健康指标(合规义务和风险清单)进行比对,发现问题即对该项进行扣分1,运用量化工具进行综合评估,最终除给企业交付的具体风险清单、问题原因、应对策略、合规建议外,还应给出一个综合的健康指标(风险指标)。





01

风险排查的方法

风险排查是发现企业显性、隐性风险的重要步骤,一般按照由表及里、由浅入深的顺序进行,既要考量排查的深度,也要注重排查的广度,更要重视精度,这就要求运用综合方式逐步实施。


①资料分析法。这是对企业进行风险排查最基础的方法。主要审查的资料包括公司的基本信息及历史沿革、公司的股东信息、公司对外投资公司的情况、关联交易与同业竞争、公司的业务和技术情况、公司的重大合同、公司的债权债务和担保、公司的主要财产、公司的知识产权、公司的诉讼、仲裁、行政处罚及监管措施、公司的财务和税务、公司的管理层及员工等。例如通过年度审计报告发现企业涉财务管理、合同执行等问题;通过既往诉讼、媒体新闻以及被处罚的情况,可以掌握企业既往存在问题,为排查现有问题提供线索;通过梳理企业现有管理制度,可以发现企业在各项制度建设中的漏洞以及合规体系建设的问题;例如通过审查公司重大合同,可以发现企业经营模式中的问题。


②访谈问卷法。访谈保证风险排查的深度,问卷保证风险排查的广度,缺一不可。访谈一般针对公司的中层、高层以及核心业务人员,通过深入访谈可以深化对企业基本背景调查掌握情况的认识,对企业更加了解,可以掌握企业主及企业管理人员对企业问题的把握和线索;也可以了解企业当前合规文化和合规理念的基本情况。问卷一般针对公司的基层员工,建议区分岗位分别设置问卷,不要眉毛胡子一把抓。问卷可以把风险排查的触角延伸到公司的方方面面,了解最广泛的情况,也可以达到对访谈、资料分析中发现问题的印证和佐证。访谈和问卷不局限于开展一次,也可以随着风险排查的深入,针对性增加访谈人员和次数,这个需要具体问题具体分析。当然,访谈提纲和调查问卷的拟定也特别考验功底,要在基本背调和合规义务、风险清单识别的基础上做到有的放矢。例如访谈提纲不能问得过细,一定要抓住企业经营的重点方面、规律性问题深入了解,比如经营模式、决策机制等;调查问卷的设计不能过于宏观,要细化到企业流程的最小单元,比如校车驾驶员有没有超速行驶、销售货品时如何获取顾客的个人信息等。


③实地调研法。笔者特别注重实地调研在企业刑事风险排查中的应用,目的是为了获取更真实的第一手资料。做实地调研时要坚持带着问题,把通过背景调查、资料分析、风险识别、访谈问卷掌握的风险和风险源记在心中或列成表单,在实地调研时进行排查和印证,调研时也需对发现的问题立即与随同的企业人员进行沟通,了解问题的原因,并同时沟通解决方案。例如在某幼儿园进行风险排查时,发现栏杆的宽度尺寸、楼梯的设置等不符合建筑行业对幼儿园校舍的强制标准,同时发现药品过期未清理、消防栓被阻挡等问题,这些都会带来相应的风险,而这些问题通过访谈和问卷是不能发现的。发现上述问题并同步与企业人员沟通后,他们也立即进行了纠改,这也是风险排查的价值之一。例如在某商超进行实地调研时,发现食品经营许可证过期、无证销售香烟、未张贴“严禁向未成年人销售烟酒”的警示标识。


④研究论证法。研究论证是对通过问卷、调研、访谈发现的个性化问题、碎片化信息、单一性证据进行综合分析的过程,目的在于通过去伪存真,以较完整证据链条对企业存在的风险进行实质化判断。不可否认的是,外部合规专家往往很难保证发现的线索的真实性,我们只有基于发现的线索进行研判,这就要求我们通过发现的线索做发散性思维,通过行为性质做出对事件不同走向的判断以及风险属性和影响,给企业以多角度分析和意见。


建议在风险排查特别是研究论证时,按照边查边改的原则,发现问题能够立即解决的立即予以纠正;不能立即解决的研究制定方案逐步解决;机制问题在刑事合规体系建设时一并解决。


02

风险评估的方法

①具体风险评估。一般有两个维度,即风险发生的可能性、风险发生的严重程度,二者的乘积即是该具体风险的分值。也有学者认为还应该增加发现风险的概率这个维度,笔者考量第三项较多的主观性原因,一般应用前两项进行评估,以期更加客观。风险的严重程度可以从风险对企业资产、员工生命、企业主人身自由、企业声誉、企业主生命、企业生命,以及家族企业对家族的影响等多个维度考量。当然,在合规边界不同时,赋分也不尽相同。例如,在刑事合规体系框架下,风险的严重程度可以结合刑罚主刑(拘役、有期徒刑、无期徒刑、死刑)、附加刑(罚款、没收财产)赋分量化。对于风险发生的可能性,一般可以采取头脑风暴法。笔者采用通过官方数据平台检索业态+罪名的形式评估风险发生的可能性,由于平台数据并非十分精准,一般也会结合头脑风暴法对案件进行筛选。


②综合量化评估。笔者将企业刑事风险划分为高、中、低、无四个等级2,在实践中也可以根据评估体系的不同划分为五个等级。量化评估的好处在于能够让企业主对自己企业的风险有一个综合了解。我不反对将风险逐一进行罗列反馈给企业,但我们更应有一个综合评判。


实践中,笔者对企业风险进行评估一般由企业风险分值和刑事合规体系建设的情况分值两部分构成,其中刑事合规体系建设情况主要是企业现状,包括刑事合规意识、刑事合规文化、刑事合规制度、刑事合规部门、刑事合规人员、体系运行情况六个方面。

 


囿于篇幅,以上仅针对企业刑事合规体系构建流程的部分环节进行了简要拆解,其他部分另文再叙,敬请期待。也希望通过抛砖引玉,得到更多专业人士的互动。需要提示的是,在整个刑事合规体系建设中,特别要注重与企业的沟通和联动,尤其是刑事合规体系如何与企业管理流程、业务流程相结合,防止两张皮、不落地。


总的来说,合规之路道阻且长,行则将至。广大从业者和企业主都应笃定合规创造价值的方向不断努力,在社会主义法治建设大背景下实现依法治企、合规经营。









注解: 

  1. 区分红色、橙色、黄色风险预警等级进行逐项对照扣分,扣分比例可以自行设计,例如已经发生、可能发生、存在衍生行为等。

  2. 企业刑事风险总分值为100分,以综合得分划分为无风险、低风险、中风险、高风险四个等级。

    无刑事风险——100分。

    低刑事风险——≥80分。

    中刑事风险——≥60分。

    高刑事风险——<60分。


Back Next