作者:{admin 整理} 作者:周传青,外交学院法学学士、香港大学法学硕士,北京市京师律师事务所律师,企业合规师考试教材、《<中小企业管理体系有效性评价>适用指南》编委会成员,办理案件被最高检收录为第三批涉案企业合规典型案例。 2022年8月10日,我参与办理的王某某泄露内幕信息、金某某内幕交易罪企业合规整改案件,入选了最高检第三批涉案企业合规典型案例,并受到最高检官媒发布。基于其典型意义,我想借此机会谈谈本案遇到的实务难点以及处理方式。 文章的第一部分分享作为第三方监管人团队主办人员的办案心得,并在第二部分分析本案所体现的企业合规改革相关疑难问题,欢迎各位读者一起讨论。 第一部分 第三方监管人工作心得 第三方监管人团队承办本案时,同时收到了北京市检察院第二分院(以下简称“市检二分院”)对该案的检察建议书,包括了简要案情、企业问题及合规整改建议。 经仔细研究该份检察建议书后,结合《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》(以下简称“《指导意见》”)的相关规定,我们明确了针对本案的监管思路,即先针对涉案企业进行书面和实地的合规监管尽职调查,再借由监管建议、企业自查书面报告等手段,深挖企业犯罪的内控和制度性成因,协助企业进行信息保密的专项合规建设。 在此过程中,我们遇到并设法解决了不少难点实务问题,接下来我将挑选其中的几个重点与各位探讨。 1 合规监管尽职调查清单范围 传统PE/VC或者企业上市时对公司进行的尽职调查往往非常全面细致,那么合规监管尽职调查是否需要采取与之相同的尽调方式,抑或是需要有特殊的考量呢?这成为了我们面临的第一个难题。 考虑到有限的合规考察期限,以及第三方监管人角色存在的意义和地位在于监管、协助而非主导,我们最终明确将收集企业基本信息、组织架构、业务开展过程以及信息保密相关建设的资料作为书面合规监管尽职调查的重点。 这样做的好处有以下三点: 第一点,我们需要通过了解企业基本信息、组织架构、业务开展过程明确企业的运作方式和逻辑,好贴合企业实际经营状况发现监管漏洞并指导其进行针对性的合规建设; 第二点,针对案涉罪名情况,企业需要开展信息保密合规建设,如果可以充分利用已有的相关制度、架构,可以减轻企业合规建设负担,帮助其节省合规资源投入,提高资源利用效率; 第三点,提高了第三方监管团队和企业的工作效率,尽职调查是开展监管和企业合规建设的基础,如果第三方监管团队进行大而全的尽职调查,也许尽职调查过程尚未结束,合规考察期限已经所剩无几,非常不利于后续工作的开展。 2 合规监管访谈问题设计 合规监管访谈是合规监管尽调工作的重要部分,也是向公司工作人员核实书面尽职调查中的疑问、进一步了解公司实际经营情况、对公司进行更完整画像的关键步骤。 除了询问公司基本信息和具体管理、业务操作流程外,还有哪些信息是需要在合规监管访谈中下功夫挖掘的呢? 其一,仔细询问公司工作人员岗位的职责、权力。 在两天的集中监管访谈中,监管人团队抽取了公司各部门管理岗位的人员进行询问,让他们详细叙述自己所在岗位的职责及权力。 鉴于前期尽调中了解到该公司属于家族企业,对外投资企业众多,监管人团队加入了“人员是否存在重复性履职”“每个公司是否存在自己的邮箱地址”等问题。 在相关人员回答问题的过程中,监管人团队发现该公司职员由于人手重叠而存在交叉任职的情况,且没有采取任何的信息隔离防火墙措施。 结合案情,我们意识到这不仅关乎于该公司没有建立起现代企业治理架构的问题,更暴露出公司内部信息交叉泄露的风险。 其二,询问信息保密专项合规主题相关的细节。 在访谈中我们通过“公司高层日常工作接触范围内人员”“公司高层是否存在私人助理”等一系列问题,发现有一些人员并未体现在公司此前报送的资料内容中,比如公司高管配备的私人司机。 如果不善加管理,高管在车内接打电话,或者与客户洽谈合作,都可能因为私人司机而导致商业秘密的泄露。 此外,我们还通过“公司三会具体参与人员”“是否存在三会成员以外的人士列席会议”“由谁进行会议记录并执行”等问题了解到,非董事会成员的重要人员如实控人、法务均会列席董事会,且实控人在没有任何正式任职的情况下竟然还有投票权。 在公司章程保密义务规则仅约束董事会成员的情况下,参加会议并了解到公司重大决策的非董事会成员都可能成为信息泄露的风险源。 3 合规整改的考察评估标准 经过两个月的合规考察,第三方监管人最终将于2021年12月提交《第三方监管合规考察报告》,针对公司合规建设给出考察评估结论。当时,《涉案企业合规建设、评估和审查办法(试行)》(以下简称“《审查办法》”)尚未公布,合规整改中的第三方监管人考察报告内容仅在2021年11月颁行的《<关于建立涉案企业合规第三方监督评估机制的指导意见(试行)>实施细则》(以下简称“《指导意见》实施细则”)有所涉及。 《指导意见》实施细则第三十三条规定,第三方组织在合规考察期届满后,应当对涉案企业的合规计划完成情况进行全面了解、监督、评估和考核,并制作合规考察书面报告。合规考察书面报告一般应当包括以下内容:(一)涉案企业履行合规承诺、落实合规计划情况;(二)第三方组织开展了解、监督、评估和考核情况;(三)第三方组织监督评估的程序、方法和依据;(四)监督评估结论及意见建议;(五)其他需要说明的问题。 《指导意见》实施细则仅针对合规考察书面报告需要包含的内容作出了原则性的规定,却并未着墨于评估考核标准,对于我们工作的指导意义十分有限。 因此,我作为第三方监管合规考察报告的主要起草人,基于自身对于既往企业合规工作经验的总结和理解,在对考察报告“可量化”“可视化”的追求下,决定根据案件情况和检察建议书,结合《指导意见》、《合规管理体系 要求及使用指南(征求意见稿)》(ISO37301: 2021, IDT)、《合规风险识别评价与控制指引》团体标准(征求意见稿)以及《风险管理—指南(征求意见稿)》(ISO 31000:2018,MOD)等文件的内容,在遵循全面性、重点性、可行性、有效性原则的基础上,从无到有设计基于模块、要素赋分并给予不同权重的第三方监管人合规考察评估等级体系规则。 同时,我一并设计了配套的打分流程,即针对每一要素,第三方监管人将根据是否达成,及是否存在全面性、可行性、有效性原则上的瑕疵而予以相应打分,并将在表格的最后一栏中给出详细的打分依据。 据此,我在报告中给出了一个“考察与评价打分表”,其中包括了检察建议完成情况、合规方案、合规文化培育等12个模块65项评价要素、每项要素是否达成及其依据、要素得分、要素打分依据等内容。 最终,第三方监管人团队根据公司递交给第三方监管人的资料,结合考察与评价打分表的内容,对公司的合规建设情况进行逐要素的打分、评估,得出公司整改效果达到良好等级的合规考察评估结论,并出具了《第三方监管合规考察报告》。 另一方面,今年五月颁布施行的《审查办法》第十三条至十五条终于对涉案企业合规评估的原则性规则及重点方面作出了规定: 第十三条 第三方组织可以根据涉案企业情况和工作需要,制定具体细化、可操作的合规评估工作方案。 第十四条 第三方组织对涉案企业专项合规整改计划和相关合规管理体系有效性的评估,重点包括以下内容:(一)对涉案合规风险的有效识别、控制;(二)对违规违法行为的及时处置;(三)合规管理机构或者管理人员的合理配置;(四)合规管理制度机制建立以及人力物力的充分保障;(五)监测、举报、调查、处理机制及合规绩效评价机制的正常运行;(六)持续整改机制和合规文化已经基本形成。 第十五条 第三方组织应当以涉案合规风险整改防控为重点,结合特定行业合规评估指标,制定符合涉案企业实际的评估指标体系。评估指标的权重可以根据涉案企业类型、规模、业务范围、行业特点以及涉罪行为等因素设置,并适当提高合规管理的重点领域、薄弱环节和重要岗位等方面指标的权重。 根据上述规定不难看出,虽然存在法律规则的指引,第三方监管评估标准仍然具有模糊性,缺乏可操作性,需要律师结合自身经验予以细化、量化。 本案中第三方监管合规考察报告的评价体系兼具专业性、前瞻性和科学性,即使是放在《审查办法》已经施行的今天,也非常符合其规则和精神,成为了真正经得起时间考验的评价体系设计,在此再次感谢最高检的认可。 4 第三方监管人的自我保护 根据《指导意见》第十四条的规定,人民检察院在办理涉企犯罪案件过程中,应当将第三方组织合规考察书面报告、涉案企业合规计划、定期书面报告等合规材料,作为依法作出批准或者不批准逮捕、起诉或者不起诉以及是否变更强制措施等决定,提出量刑建议或者检察建议、检察意见的重要参考。 根据《指导意见》实施细则第三十九条的规定,第三方机制管委会或者负责办理案件的人民检察院发现第三方组织或其组成人员故意提供虚假报告或者提供的报告严重失实的,应当依照《指导意见》的规定及时向有关主管机关、协会等提出惩戒建议,涉嫌违法犯罪的,及时向有关机关报案或者举报,并将其列入第三方机制专业人员名录库禁入名单。 根据“(2021)京02刑初154号”王某某泄露内幕信息、金某某内幕交易、泄露内幕信息一审刑事判决书,第三方监管人出具的合规考察书面报告作为了庭审证据之一,经质证后由法庭予以确认。 由此可见,一方面,第三方监管人出具报告若缺少真实性、可靠性,将面临违反职责出具报告的不利法律后果;另一方面,第三方监管人出具的书面合规考察报告在实务中已开始作为庭审的证据加以举证、质证,那么该考察报告就需要在最大程度上严格地遵循刑事诉讼证据的基本原则及法律法规的相应要求,否则也可能将给出具报告的第三方监管人带来法律风险。 此外,鉴于第三方监管人的评估职责,在企业合规建设的过程中,监管指导行为也存在一定风险,如,因监管人指导方向或内容失误而导致企业最终验收不合格的,监管人将负担怎样的责任? 第三方监管人在监管过程中,如何合法、合理地降低自身风险,随着企业合规整改的全面铺开以及第三方监管机制的大量运用,毫无疑问是一个非常重要的命题。 在此与诸位读者分享我的部分经验,也期待看到各位有更新颖、更踏实的第三方监管人风险防控方案。 第一,与所有的非诉工作一致,第三方监管人要针对每一个监管案件形成详尽的监管工作底稿予以归档留存,随时备查,每一个字、每一句话都要有相应的依据支撑,都要有出处可循。 第二,第三方监管人要灵活把握监管建议的尺度,既要避免“直接要求企业做什么”或者拘泥于实施细节,又要给出准确有效的方向性建议,使得企业知晓该如何去落实。 第三,在合规考察书面报告中加入“第三方监管人的陈述和声明”,强调合规考察的工作内容、所依据文件资料的真实有效性假设、对公司参与合规考察人员的适格性假设、对打分基础的审慎判断,等等,尽量齐全的预想可能发生的后果,提前给出对应的陈述和声明。 |