涉案企業(yè)合規(guī)改革視域下的企業(yè)合規(guī)風險

趙 恒

（山東大學，山東 濟南 250100）

一、問題的引出

在我國，近年來隨著企業(yè)合規(guī)理念備受關注，以合規(guī)計劃為代表的企業(yè)違法犯罪行為治理舉措逐漸被認可。一方面，國務院國資委、國務院發(fā)改委等單位持續(xù)推進國有企業(yè)合規(guī)管理改革，發(fā)布《關于在部分中央企業(yè)開展合規(guī)管理體系建設試點工作的通知》《中央企業(yè)合規(guī)管理指引（試行）》《企業(yè)境外經營合規(guī)管理指引》《中央企業(yè)合規(guī)管理辦法》等文件，推動國企尤其是央企建立健全合規(guī)管理體系，提升依法合規(guī)經營管理水平。另一方面，最高人民檢察院于2020年3月啟動涉案企業(yè)合規(guī)改革工作，該項改革工作歷經第一期和第二期試點，目前已進入全面推開階段。涉案企業(yè)合規(guī)改革允許企業(yè)通過合規(guī)整改方式獲得從寬處罰，既能夠有效懲治企業(yè)違法犯罪行為，又可以為企業(yè)提供“二次機會”，實現企業(yè)犯罪治理模式趨向于懲罰與預防并重樣態(tài)。［1］在試點期間，最高檢等單位先后制定《關于建立涉案企業(yè)合規(guī)第三方監(jiān)督評估機制的指導意見（試行）》（以下簡稱為《合規(guī)第三方機制意見》）、《〈關于建立涉案企業(yè)合規(guī)第三方監(jiān)督評估機制的指導意見（試行）〉實施細則》（以下簡稱為《〈合規(guī)第三方機制意見〉細則》）、《涉案企業(yè)合規(guī)第三方監(jiān)督評估機制專業(yè)人員選任管理辦法（試行）》（以下簡稱為《合規(guī)第三方專業(yè)人員選任辦法》）、《涉案企業(yè)合規(guī)建設、評估和審查辦法（試行）》等改革文件，引導涉案企業(yè)合規(guī)改革試點探索方向并規(guī)范相關改革方案，特別是形成了由專業(yè)人員組成第三方組織進行客觀、公正、有效的監(jiān)督評估的思路，提高涉案企業(yè)合規(guī)整改有效性評價的科學性、專門性。

目前，關于涉案企業(yè)合規(guī)改革的研究成果通常側重檢察職能配置、企業(yè)合規(guī)考察、合規(guī)有效性評價標準等方面，但在一定程度上忽視了對一個關鍵性問題的回應，即何謂合規(guī)風險？之所以對此予以專門討論，是因為企業(yè)合規(guī)建設本就是企業(yè)針對合規(guī)風險而開展的特定活動。例如，最高人民檢察院發(fā)布的四批涉案企業(yè)合規(guī)典型案例均表明，準確發(fā)現和精準辨明合規(guī)風險點，是涉案企業(yè)開展相關整改工作的前提。正是如此，既有改革方案無不強調引導企業(yè)建立健全合規(guī)風險防范與應對機制，降低乃至消除企業(yè)實施違規(guī)違法犯罪行為的可能性。①參見《涉案企業(yè)合規(guī)建設、評估和審查辦法（試行）》第一條第1款規(guī)定：“涉案企業(yè)合規(guī)建設，是指涉案企業(yè)針對與涉嫌犯罪有密切聯系的合規(guī)風險，制定專項合規(guī)整改計劃，完善企業(yè)治理結構，健全內部規(guī)章制度，形成有效合規(guī)管理體系的活動?！笨梢?，是否針對合規(guī)風險設置合規(guī)計劃，而合規(guī)計劃落實又能否真正避免合規(guī)風險再次出現，是關于涉案企業(yè)合規(guī)整改有效性的核心命題。從這一角度看，科學認識和判斷合規(guī)風險的主要內涵及其外在表現，是檢察機關、合規(guī)第三方組織對涉案企業(yè)合規(guī)計劃進行審查、評估和考察的前提性工作。

然而，就目前的學說觀點和改革文件來看，法學界對合規(guī)風險的認識尚存在一些明顯的分歧，例如，合規(guī)風險與法律風險是否等同，有關學說可分為肯定說和否定說，如若不能將二者準確區(qū)分開，則直接影響企業(yè)合規(guī)計劃制定、實施與評估的成效。從這一角度看，既然企業(yè)合規(guī)計劃行之有效的前提條件為合規(guī)計劃是企業(yè)針對特定合規(guī)風險進行量身打造的，那么，準確識別和認定合規(guī)風險，自然屬于科學設計企業(yè)合規(guī)計劃有效性評價體系的基礎性工作。［2］

鑒于此，筆者以“合規(guī)風險”為題展開探討，既對法律規(guī)范和改革文件進行分析，又聯系實證調研反饋，尤其是結合筆者入選“涉案企業(yè)合規(guī)第三方監(jiān)督評估機制專業(yè)人員名錄庫”之后作為合規(guī)第三方組織成員參與相關工作的經驗，探討何為合規(guī)，梳理有關法律和文件中的“合規(guī)風險”條款，將合規(guī)風險與企業(yè)面臨的其他風險進行比較和區(qū)分，并進一步界定合規(guī)風險之“規(guī)”的類型。由此，既可以為法學界準確且科學地認識企業(yè)合規(guī)計劃提供新的視角，又可以為我國涉案企業(yè)合規(guī)改革深化適用提供智力支持，進而為修訂《刑事訴訟法》并增設與合規(guī)風險應對和合規(guī)整改相關的法律條文，積累學理基礎和實務支持。

二、合規(guī)以及合規(guī)風險的內涵解讀

準確認識合規(guī)風險，是科學理解企業(yè)合規(guī)計劃的前提。而在分析合規(guī)風險之前，首先需要判斷何為合規(guī)。

（一）合規(guī)、合規(guī)計劃的概念厘清

合規(guī)有廣義和狹義之分。廣義的合規(guī)，是指企業(yè)不僅要使其行為符合法律的規(guī)定，還要遵守企業(yè)內部規(guī)章、行業(yè)準則、道德倫理等。例如，德國學者托馬斯·羅什教授認為合規(guī)中的“規(guī)”的特性是多樣的，“它既可以是正式的法律，也可以是具體的行業(yè)標準或者僅僅是道德上鼓勵的觀點。”［3］德國學者齊白教授也持有類似的觀點，他主張合規(guī)首先是法定的合規(guī)，有時又是倫理或其他方面的合規(guī)。［4］此外，巴塞爾銀行監(jiān)管委員會發(fā)布的《合規(guī)與銀行內部合規(guī)部門》指出，“合規(guī)法律、規(guī)則和準則有多種淵源，不僅包括那些有法律拘束力的文件，還包括更廣義的誠實守信和道德行為的淵源。”不過，與上述合規(guī)含義不同的是，狹義的合規(guī)又稱為強硬的合規(guī)，指的是企業(yè)僅遵守或符合法律規(guī)定即可，而道德的、倫理的以及經濟的視角不應被包含在其中。［5］

結合我國近些年來的改革探索和實務反饋，我國傾向于采納廣義的合規(guī)之立場。①參見陳瑞華：《企業(yè)合規(guī)的基本問題》，載《中國法律評論》2020年第1期，第178頁；孫國祥：《刑事合規(guī)的理念、機能和中國的構建》，載《中國刑事法雜志》2019年第2期，第4頁；李本燦：《刑事合規(guī)制度的法理根基》，載《東方法學》2020年第5期，第33頁；李曉明：《合規(guī)概念的泛化及新范疇的確立：組織合規(guī)》，載《法治研究》2022年第2期，第146頁。概言之，企業(yè)不僅要遵守屬于法律淵源的規(guī)范性文件，而且要遵守成文或者不成文的行業(yè)準則、商業(yè)習慣和倫理、國際組織條約，以及公司自行制定的規(guī)章制度等。同時，有關改革文件也遵循這一思路，強調企業(yè)遵守各類規(guī)范的義務。例如，2022年國務院國資委公布的《中央企業(yè)合規(guī)管理辦法》第3條第1款規(guī)定，“本辦法所稱合規(guī)，是指企業(yè)經營管理行為和員工履職行為符合國家法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則和國際條約、規(guī)則，以及公司章程、相關規(guī)章制度等要求?！敝詮V義的合規(guī)概念更受認可，是因為社會公眾愈加普遍地意識到，企業(yè)僅僅守法是不夠的，“企業(yè)倫理”“企業(yè)社會責任”以及誠信和道德行為操守等在企業(yè)經營管理中亦具有重要地位。［6］在這一背景下，合規(guī)之“規(guī)”，不僅包括國家相關法律規(guī)范，還包括商業(yè)道德倫理規(guī)范以及企業(yè)自愿設立的風險防范規(guī)范。［7］

由合規(guī)的概念可以發(fā)現，企業(yè)合規(guī)計劃通常是由國家與企業(yè)共同規(guī)范的方式形成的［8］，進而企業(yè)合規(guī)計劃可以被理解為是企業(yè)根據自身經營狀況以及組織架構而設置的一套科學且有效的旨在防范、識別和處置違紀違規(guī)、違法犯罪風險的特定機制體系，并且，企業(yè)可在面臨國家有關機關追責的情況下，將其作為主張減輕乃至免除其違紀違規(guī)、違法犯罪責任的重要依據。［9］

應當注意的是，無論是域外還是我國，企業(yè)合規(guī)計劃愈加具備刑事化內涵。這是因為，作為預防、發(fā)現和制止企業(yè)內部違法犯罪行為的內控機制，企業(yè)合規(guī)計劃在回應刑法監(jiān)管的過程中，不斷以刑法為參照對象，借鑒、引入了諸多刑法理念與規(guī)則，逐漸呈現出刑事化發(fā)展趨勢，由此，實踐中，企業(yè)合規(guī)刑事化的立法與執(zhí)法實踐活動在全球范圍內逐漸確立并開展起來，即對構建實施企業(yè)合規(guī)計劃的企業(yè)予以刑罰激勵，或者對未構建實施企業(yè)合規(guī)計劃或企業(yè)合規(guī)計劃不完善的企業(yè)加重刑罰處罰。［10］而且，較共識的看法是，只有在行政法乃至刑事法領域確立相應的專門激勵舉措，才能真正推動企業(yè)合規(guī)計劃廣泛適用并引導企業(yè)合規(guī)計劃發(fā)揮防范和處置合規(guī)風險的預期作用，而有效的合規(guī)計劃則是刑事訴訟激勵發(fā)揮作用的前提。［11］受此影響，最高人民檢察院于2020年3月啟動涉案企業(yè)合規(guī)改革試點工作，并于2022年4月在全國范圍內推行開來，這是在刑事司法領域探索引入企業(yè)合規(guī)計劃的可行路徑。根據最高人民檢察院發(fā)布的數據顯示，2022年全國檢察機關累計辦理涉案企業(yè)合規(guī)案件5 150件，其中適用第三方監(jiān)督評估機制案件3 577件，對整改合格的1 498家企業(yè)、3 051人依法作出不起訴決定。［12］而且，據了解，隨著涉案企業(yè)合規(guī)改革深入推進，需要辯證吸取試點工作中合規(guī)從寬的實踐經驗，及時修改《刑法》《刑事訴訟法》，已成為法學界愈加認可的觀點。［13］可見，如若企業(yè)合規(guī)計劃未來被正式寫入《刑事訴訟法》，可初步認為，企業(yè)合規(guī)計劃刑事化改造在我國將會取得階段性進步。

（二）企業(yè)合規(guī)風險的含義界定

關于何謂企業(yè)合規(guī)風險，首先應當指出的是，就現有學說探討和實務探索而言，人們在討論企業(yè)合規(guī)計劃時較少專門談及合規(guī)風險，似乎表明企業(yè)合規(guī)風險這一概念已成共識而無分歧。這實則是一種錯覺。從部分地方發(fā)布的涉案企業(yè)合規(guī)案例來看，企業(yè)合規(guī)風險的認定標準反而出現了泛化的趨向。

1.就改革文件而言。例如，2022年國務院國資委公布的《中央企業(yè)合規(guī)管理辦法》第3條第2款規(guī)定：“本辦法所稱合規(guī)風險，是指企業(yè)及其員工在經營管理過程中因違規(guī)行為引發(fā)法律責任、造成經濟或者聲譽損失以及其他負面影響的可能性?！辈浑y看出，這一文件將合規(guī)風險歸入“可能性”范疇，而這些可能性是負面影響的泛稱，包括法律責任、有關處罰、特定損失和其他負面影響等等。又如，2006年我國銀監(jiān)會（已撤銷）曾發(fā)布的《商業(yè)銀行合規(guī)風險管理指引》（現行有效）第3條指出：“本指引所稱合規(guī)風險，是指商業(yè)銀行因沒有遵循法律、規(guī)則和準則可能遭受法律制裁、監(jiān)管處罰、重大財務損失和聲譽損失的風險。”比較可見，在界定合規(guī)風險方面，上述指引將“重大財務損失”涵蓋在內，而前文所提辦法則側重各類經濟損失。綜合可見，一些改革文件通常將企業(yè)違規(guī)行為可能帶來的法律責任方面的風險、財務方面的風險、企業(yè)聲譽方面的風險都納入合規(guī)風險的范疇。但是，部分學說觀點與相關文件的思路明顯不同。在此方面，較具代表性的觀點指出：企業(yè)治理面臨的風險分為經營風險、財務風險和合規(guī)風險等三個方面，其中，財務風險是指企業(yè)由于在財務管理上存在混亂、舞弊、貪腐等行為而遭受經濟損失或者無法實現營利目的，甚至瀕臨破產的風險，與之比較，合規(guī)風險既不同于經營風險，也不同于財務風險，是指企業(yè)因為存在違法、違規(guī)乃至犯罪行為，而可能遭受行政監(jiān)管部門處罰和司法機關刑事追究的風險。［14］

2.法學理論界和實務界對企業(yè)合規(guī)風險的討論通常表現為，如何認識合規(guī)風險與法律風險之間的關系?；诖?，理解企業(yè)合規(guī)風險的合理內涵，將法律風險作為認識企業(yè)合規(guī)風險的“參照物”，可以將既有觀點分為四種學說：“合規(guī)風險等同于法律風險說”“合規(guī)風險從屬于法律風險說”“合規(guī)風險大于法律風險說”和“合規(guī)風險與法律風險交叉說”。在正式比較法律風險和合規(guī)風險之間的關系之前，還需界定法律風險的基本概念。法律風險不應被過度解讀為涉法律風險，例如，企業(yè)依法經營且嚴格保證產品質量，但因合作方違約而無法按時收回到期貨款，選擇以起訴的方式要求合作方支付貨款。這種情況不應被理解為該企業(yè)經歷了法律風險。換言之，不是只要存在法律糾紛之可能性的都是法律風險。只有企業(yè)存在違反法律規(guī)定的特定義務而面臨追責或者承受其他不利后果的負擔之時，才可能出現法律風險。從這一角度看，無論是合規(guī)風險還是法律風險，通常要求企業(yè)自身存在違反特定規(guī)范之義務的情形。如若企業(yè)自身依規(guī)依法從事生產經營活動，但由于其他因素影響而面臨不利后果之風險，此類風險可能被歸入政策風險或者經營風險等范疇。

（1）“合規(guī)風險等同于法律風險說”是指，合規(guī)風險與法律風險的涵射范圍是等同的。典型觀點如，“合規(guī)風險，是企業(yè)本身全部法律風險，包含輕微法律風險和嚴重法律風險，而其中最高形態(tài)就是刑事合規(guī)風險?！保?5］實務中，一些涉案企業(yè)提交的合規(guī)計劃書中羅列數十個甚至十幾個合規(guī)風險，而這些風險基本上都是企業(yè)違反某條法律或者某幾條法律的可能性。還有的涉案企業(yè)直接將其在生產經營過程中遇到的各種法律糾紛都歸入合規(guī)風險之中。例如，筆者受某地合規(guī)第三方機制管委會的委托對某涉案企業(yè)合規(guī)整改情況進行監(jiān)督考察，發(fā)現該涉案企業(yè)委托某律師團隊制作的合規(guī)計劃書所列合規(guī)風險均是正在或者可能提起訴訟的事項。這顯然是一種將合規(guī)風險進行寬泛理解的思路。對此，筆者認為，應當慎重對待這種思路，因為合規(guī)風險產生的前提是企業(yè)應當遵守特定的合規(guī)義務，而這種義務是具有強制性的行為拘束要求，且違反此類拘束要求之后會承擔特定的負擔。否則，合規(guī)義務的泛化導致企業(yè)承擔過多的合規(guī)負擔，只能帶來不當增重企業(yè)生產經營負擔甚至生存壓力的消極影響。

（2）“合規(guī)風險從屬于法律風險說”是指，合規(guī)風險的涵射范圍要小于法律風險的涵射范圍。典型觀點如，相較于合規(guī)風險，法律風險是一個更廣泛的概念，不僅包括企業(yè)自身違法違規(guī)帶來的風險，還包括國家法律制度變化給企業(yè)帶來的損失以及商業(yè)合作伙伴違規(guī)給企業(yè)帶來的損失，其中，前者屬于法律風險，同時也屬于合規(guī)風險，后者（被害的風險、合同的風險等）屬于防控經營類的法律風險，在公司治理中屬于經營風險的范疇。［16］并且，考慮到合規(guī)風險帶來的嚴重后果，合規(guī)風險應從一般法律風險中獨立出來，被視為最重大的法律風險，也是企業(yè)所需要防范的特定的法律風險。［17］由此，企業(yè)合規(guī)并不是一般意義上的“法律風險防范”，而是針對前述三種風險所建立的自我監(jiān)管、自我報告、自我預防和自我整改的公司治理體系。［18］另外，還有典型觀點指出，以商業(yè)銀行的合規(guī)風險管理為例，法律風險大于合規(guī)風險的原因包括以下三個方面：一是從淵源上看，“法律”是上位概念，而“規(guī)”是下位概念；二是法律風險的誘因廣于合規(guī)風險的誘因；三是法律風險涉及的領域大于合規(guī)風險。［19］實踐中，一些涉案企業(yè)將合規(guī)整改工作的重心置于圍繞各項業(yè)務開展法律宣傳和培訓方面。這種企業(yè)合規(guī)計劃設計思路反映的是，企業(yè)將其面臨的企業(yè)合規(guī)風險一律視作法律風險，因此圍繞學習各項法律規(guī)定設計具體的整改規(guī)則。

（3）“合規(guī)風險大于法律風險說”是指，合規(guī)風險是企業(yè)生產經營過程中面臨的各種風險的統(tǒng)稱。而法律風險是企業(yè)合規(guī)風險中的重要組成部分，這表明合規(guī)風險屬于上位概念，而法律風險則屬于下位概念。典型觀點如，企業(yè)合規(guī)實際上就是企業(yè)風險管理，考慮到企業(yè)面臨多種多樣的風險，法律風險只是企業(yè)合規(guī)體系所需應對的風險類型之一。

（4）“合規(guī)風險與法律風險交叉說”是指，合規(guī)風險的涵射范圍與法律風險的涵射范圍之間存在部分重疊。換言之，兩種風險之間的關系不是完全重疊的等同關系，也不是從屬關系，而是交叉關系。典型觀點如，合規(guī)風險與法律風險既有聯系又有區(qū)別，兩者有重合的一面，例如，金融企業(yè)因為某項業(yè)務而遭受處罰時，它所面臨的合規(guī)風險同時也是一種法律風險，但是，合規(guī)風險并不完全等同于法律風險，它們各有其獨立性，彼此不能涵蓋?？傮w上，二者的不同體現在內涵差異、定位差異、管理所需技術差異等方面。［20］

綜合比較上述四種學說可知，界定企業(yè)合規(guī)風險的內涵，關鍵在于厘清企業(yè)合規(guī)風險與企業(yè)法律風險的關系。對此，結合前文提及2022年國務院國資委發(fā)布的《中央企業(yè)合規(guī)管理辦法》等改革文件對合規(guī)、合規(guī)風險、合規(guī)管理等概念的定義，筆者認為，就實現建立健全企業(yè)內部合規(guī)風險防范與處置機制并營造合規(guī)文化的目標而言，既然法律僅是企業(yè)合規(guī)計劃之合規(guī)淵源的類型之一，企業(yè)違反黨內法規(guī)、行業(yè)自治規(guī)則、行業(yè)慣例亦或是商業(yè)道德的行為，都有可能產生合規(guī)風險，那么，企業(yè)合規(guī)風險自然不能等同于法律風險。而且，企業(yè)自身面臨的部分法律風險也不宜被歸入合規(guī)風險范疇。從這一角度看，合規(guī)風險的涵射范圍不同于法律風險的范圍，且考慮到合規(guī)淵源類型的多元化，相較于法律風險的類型，合規(guī)風險的類型同樣更具多樣性，是故，筆者提倡，應當充分探討和界定合規(guī)淵源，并在此基礎上系統(tǒng)闡釋“合規(guī)風險與法律風險交叉說”。這意味著，企業(yè)制定的預防和處置合規(guī)風險的合規(guī)計劃方案需要從相對專業(yè)的層面規(guī)束企業(yè)及其人員的生產經營行為。由此延伸出來的結論是，企業(yè)合規(guī)業(yè)務的范圍有別于且通常大于傳統(tǒng)的企業(yè)法律業(yè)務范圍。

結合上文所述，筆者認為，所謂企業(yè)合規(guī)風險是指企業(yè)及其員工因違反合規(guī)淵源所確立的合規(guī)義務而引發(fā)特定的違紀責任、法律責任、承受處罰或者承擔其他消極影響的可能性。此處所指合規(guī)淵源包括以下幾種類型：黨內法規(guī)；法律法規(guī)；行政規(guī)章與監(jiān)管規(guī)定；行業(yè)準則、行業(yè)自治規(guī)范、行業(yè)慣例；職業(yè)倫理；商業(yè)道德或者社會公德；國際條約、規(guī)則、標準等。其中，企業(yè)面臨的最嚴重的合規(guī)風險即因違反合規(guī)義務而承擔刑事責任。正是如此，當前由檢察機關主導推進的涉案企業(yè)合規(guī)改革正在通過給予刑罰從寬激勵的方式，調動企業(yè)重視并開展合規(guī)體系建設的主動性和積極性。當然，從一般角度來認識企業(yè)合規(guī)風險的形態(tài)，可以結合以下案例加以分析，也便于理解合規(guī)風險與法律風險、經營風險等其他風險類型之間的異同關系。2022年9月，某服裝品牌A公司舉行了一場以“逐夢行”為主題的服裝秀，展示A公司發(fā)布了多款新品體育服裝，其中幾款新品一經發(fā)布便引起巨大的爭議。原因在于，公眾明顯不認可該體育服裝的設計造型。隨后A公司的高管面對公眾質疑所作的回應又進一步激化了輿論反應。這一事件直接導致A公司股價下跌。盡管A公司已經發(fā)布道歉聲明，但此次事件的輿論熱度仍居高不下，嚴重影響了A公司在中國體育服裝品牌市場的形象。對于A公司面臨的這一公關危機，筆者認為，其屬于一種合規(guī)風險，因而不宜照搬傳統(tǒng)的法律糾紛解決思維或者輿情應對思維來解決。體育服裝新品的設計造型引起的爭議屬于合規(guī)風險的實害化結果的原因在于，A公司在設計、推廣相關運動服裝新品時，沒有充分考慮和評判這一市場經營行為是否與國內的社會公德、民眾情感相一致，忽視了建立健全與該市場經營行為對應的合規(guī)風險防范、識別方案，最終產生了企業(yè)形象受損的后果。此外，這一事件暴露出的合規(guī)風險還體現在A公司欠缺公司高級管理人員應對公關危機的方案。這集中體現為，在輿論不斷發(fā)酵之時，A公司的高級管理人員作出頗有傲慢之姿態(tài)的回應，使得輿論愈演愈烈。概言之，A公司因服裝新品設計造型而面對的輿論狀況，就是合規(guī)風險實害化后的具體體現，而相關事件反映了A公司存在多個合規(guī)管理體系不足的情況，有必要在準確識別各個合規(guī)風險的具體類型的前提下，采取有效的預防、識別、應對和處置方案，即建立并完善專項合規(guī)管理體系。

考慮到當前涉案企業(yè)合規(guī)改革已進入全面推開階段，當務之急是辨明涉案企業(yè)合規(guī)領域的合規(guī)風險的特定內涵。通常情況下，刑事司法領域的合規(guī)風險主要是指企業(yè)及其相關人員自身因違反法定義務而承擔刑事責任的不確定性。為此，無論是由檢察機關提出合規(guī)整改方面的檢察建議還是由合規(guī)第三方組織對涉案企業(yè)合規(guī)整改情況進行監(jiān)督考察，都應當圍繞某一企業(yè)面臨的刑事合規(guī)風險而展開，而不應將刑事司法領域的合規(guī)風險進行泛化理解，否則很可能擾亂涉案企業(yè)合規(guī)整改思路以及涉案企業(yè)合規(guī)整改活動的有效性。從筆者參與的部分案件監(jiān)督考察情況來看，有的企業(yè)涉嫌串通投標罪，但提交了以“用工合規(guī)”為整改思路并旨在防止出現建筑施工事故的合規(guī)計劃書，還有的企業(yè)涉嫌污染環(huán)境類犯罪，卻提交了涵蓋環(huán)境保護、知識產權保護、數據等多個方面的合規(guī)計劃書。結合各級檢察機關發(fā)布的多批典型案例可知，有關案例介紹大都未能精準解釋某涉案企業(yè)的合規(guī)風險，而籠統(tǒng)地表述為找準合規(guī)風險點或者涉案企業(yè)建立合規(guī)風險發(fā)現機制等等。之所以出現上述情況，是因為涉案企業(yè)未能精準判斷自身因有關犯罪行為而面對的實際的合規(guī)風險是什么。在此方面，根據《〈合規(guī)第三方機制意見〉細則》中提出“涉案企業(yè)提交的合規(guī)計劃，應當以全面合規(guī)為目標、專項合規(guī)為重點”的要求，檢察機關應當督促涉案企業(yè)聚焦合規(guī)風險中可能引發(fā)刑事責任的特定風險類型，建立健全專門的合規(guī)風險識別、篩選和處置機制，特別是，要將此類合規(guī)風險與通常提及的法律風險意識不高、規(guī)章制度不完善等問題區(qū)分開。

三、企業(yè)合規(guī)風險之合規(guī)淵源的類型辨析

如前所述，企業(yè)因違規(guī)而面臨合規(guī)風險，此處所指的“規(guī)”即合規(guī)淵源。需要注意的是，立足我國社會經濟國情，還需要專門討論的一類“規(guī)”是黨內法規(guī)。這是我國推進企業(yè)合規(guī)管理體系工作的特色。因此，除了對合規(guī)風險之“規(guī)”的常識性理解以外，還有必要專門辨析以下三類合規(guī)淵源，即黨內法規(guī)、具有公德性質的倫理規(guī)范和企業(yè)制定的章程、規(guī)章制度。特別是，從防范企業(yè)合規(guī)計劃泛化角度考慮，需要嚴格梳理企業(yè)合規(guī)風險之“規(guī)”的類型。

（一）黨內法規(guī)

將黨內法規(guī)納入合規(guī)風險之“規(guī)”的類型，具有鮮明的中國特色，也是企業(yè)合規(guī)計劃中國化的顯著特色之一。黨的十八大以來，黨中央作出一系列關于加強黨內法規(guī)制度建設的決策部署，統(tǒng)籌推進各領域黨內法規(guī)制定工作，著力形成以黨章為根本、以準則條例為主干，覆蓋黨的領導和黨的建設各方面，內容科學、程序嚴密、配套完備、運行有效的黨內法規(guī)制度體系。［21］“黨內法規(guī)體系，是以黨章為根本，以民主集中制為核心，以準則、條例等中央黨內法規(guī)為主干，以部委黨內法規(guī)、地方黨內法規(guī)為重要組成部分，由各領域各層級黨內法規(guī)組成的有機統(tǒng)一整體?！保?2］根據2019年修訂后的《中國共產黨黨內法規(guī)制定條例》的規(guī)定，黨內法規(guī)的名稱為：黨章、準則、條例、規(guī)定、辦法、規(guī)則、細則。在企業(yè)合規(guī)領域，將黨內法規(guī)作為合規(guī)淵源的企業(yè)類型主要是國有企業(yè)，換言之，國有企業(yè)的不合規(guī)行為應當包括違反黨內法規(guī)的行為。在我國，“國有企業(yè)”有廣義和狹義之分。根據2003年國家統(tǒng)計局發(fā)布的《國家統(tǒng)計局關于對國有公司企業(yè)認定意見的函》，一方面，廣義的國有企業(yè)是指具有國家資本的企業(yè)，包括純國有企業(yè)、國有控股企業(yè)和國有參股企業(yè)；另一方面，狹義的國有企業(yè)僅指純國有企業(yè)。為了規(guī)范企業(yè)生產經營行為并提高企業(yè)合規(guī)管理水平，加強對企業(yè)國有資產的監(jiān)督與管理力度，筆者認為，純國有企業(yè)、國有控股企業(yè)當然應將黨內法規(guī)納入合規(guī)淵源范疇，不過，國有參股企業(yè)也需要遵守和執(zhí)行黨內法規(guī)，即只要某一企業(yè)具有國家各種形式的投資和投資所形成的權益以及依法認定為國家所有的其他權益，該企業(yè)便應當將執(zhí)行黨內法規(guī)作為合規(guī)行為的評價標準。當然，具體來說，在國有企業(yè)中，承擔遵守黨內法規(guī)義務的人員類型是多樣的。總體而言，將黨內法規(guī)作為我國國有企業(yè)防范合規(guī)風險之合規(guī)淵源，可以進一步規(guī)范國有企業(yè)承受的合規(guī)負擔，有利于加強對國有企業(yè)經營行為的監(jiān)管力度，提升國有企業(yè)依法合規(guī)經營管理水平和應對經營風險的管理能力。

不過，從實務反饋特別是一些國企合規(guī)產品的實際狀況來看，如何將黨內法規(guī)融入企業(yè)合規(guī)管理建設的合規(guī)淵源體系，尚需進一步的討論和探索。在此方面，筆者建議，國務院國資委應當及時修訂其于2022年發(fā)布的《中央企業(yè)合規(guī)管理辦法》，特別是在該辦法的第三條中專門明確以下兩個要點：一是，關于合規(guī)概念界定，將“企業(yè)經營管理行為和員工履職行為符合黨內法規(guī)”的要求作為基本條件；二是，關于合規(guī)風險概念界定，需要專門強調合規(guī)風險，包括企業(yè)及其員工在經營管理過程中因違規(guī)行為引發(fā)紀律處分責任、政務處分責任的可能性，并將此類可能性置于識別合規(guī)風險的優(yōu)先位階。以此為指引，地方政府國資委制定有關國企的合規(guī)管理規(guī)范文件，應當進一步凸顯黨內法規(guī)作為合規(guī)淵源的重要性。

（二）具有公德性質的倫理規(guī)范

之所以允許涉嫌違法犯罪的企業(yè)通過建立健全并運行合規(guī)計劃的方式獲得從寬處罰乃至出罪的結果，是因為對這些企業(yè)給予從寬處罰具有公共利益需要。從域外實踐來看，美國、英國、加拿大等國家均在暫緩起訴協議程序適用規(guī)則中提出了公共利益考量的審查條件，即只有某一案件適用暫緩起訴協議滿足公共利益標準，檢察機關才可以適用該程序并作出暫緩起訴決定。［23］在我國，檢察機關主導推進的涉案企業(yè)合規(guī)改革同樣體現了公共利益因素，即考慮僅懲罰犯罪對企業(yè)及其員工以及給經濟發(fā)展、社會穩(wěn)定帶來的消極影響，如若對某一涉嫌犯罪的企業(yè)適用合規(guī)從寬處罰程序，既可以懲罰犯罪之主體，又可以避免刑罰對企業(yè)發(fā)展的過度危害，還可以保證經濟發(fā)展、維護社會和諧穩(wěn)定，那么，這一辦案機制便具有了現實的維持公共利益之特征。從這一角度看，既然涉案企業(yè)合規(guī)改革強調刑事訴訟辦案行為的公益性，意味著以合規(guī)從寬為由對該企業(yè)進行從寬處罰的行為不能僅是私利行為，換言之，企業(yè)推行合規(guī)計劃以降低再次發(fā)生相同或者類似的違法犯罪風險的方案，能夠產生超出企業(yè)自身經營發(fā)展之私利結果的公益效應。這實際上反映了企業(yè)合規(guī)計劃的一個顯著特征，即合規(guī)計劃的道德性，換言之，企業(yè)合規(guī)計劃的合規(guī)淵源之一是具有社會公共利益導向的道德。在我國，可以從社會主義價值觀層面認識和理解此類道德。正是如此，有觀點明確指出，企業(yè)合規(guī)的基本理念和宗旨是“企業(yè)不僅要賺錢，而且要干凈地賺錢”，即要求企業(yè)的經營行為不僅要合乎本國的法律法規(guī)，還要遵守公司總部所在地、經營所在地的法律法規(guī)，遵守企業(yè)的內部規(guī)章和商業(yè)行為準則，以及職業(yè)操守和道德規(guī)范。［24］可見，涉案企業(yè)合規(guī)改革同樣可以貫徹2013年12月中共中央辦公廳印發(fā)的《關于培育和踐行社會主義核心價值觀的意見》以及2016年12月中共中央辦公廳、國務院辦公廳又印發(fā)《關于進一步把社會主義核心價值觀融入法治建設的指導意見》的精神，將社會主義核心價值觀融入企業(yè)犯罪治理領域，成為推動企業(yè)犯罪治理模式現代化轉型的新助力。

企業(yè)合規(guī)計劃在合規(guī)淵源方面的道德性產生多維影響。一方面，關于企業(yè)承擔的社會責任。企業(yè)在社會中開展生產經營和管理活動，意味著企業(yè)不僅要通過經濟上盈利的方式對股東負責，而且要更多體現對消費者、商業(yè)合作者、供應鏈伙伴、同業(yè)競爭者、周邊社區(qū)等利益相關方承擔責任，而“利益相關方”實際上呈現公共利益色彩，易言之，企業(yè)要承擔具有公益性的社會責任，而非僅關注自身盈利，由此產生了企業(yè)“責任性合規(guī)關注”——強制性和指導性，而非純粹道德性的企業(yè)社會責任范疇逐步走向合規(guī)化，已越來越多地成為世界共識。［25］以此為基礎，企業(yè)將會形成更高標準的合規(guī)文化乃至企業(yè)文化。在此舉一事例作說明：B公司生產的某一四維彩色超聲診斷儀在檢查胎兒發(fā)育情況和篩查先天疾病方面有較強的競爭優(yōu)勢，B公司在確定合作方時會重點審查潛在合作伙伴是否存在利用此類設備進行胎兒性別鑒定方面的違規(guī)行為，如若發(fā)現合作伙伴實施相關行為，B公司通常會選擇拒絕向其售賣，該公司所持主要理由是將診斷儀用于胎兒性別鑒定的行為是不道德的，是明顯有違自身公司文化的，這也是其自身承擔社會責任的重要方式。另一方面，關乎企業(yè)合規(guī)管理體系的主要方案以及對合規(guī)計劃有效性進行評價的標準規(guī)則的設置。有觀點指出，消除導致身處企業(yè)之中的企業(yè)員工即自然人實施違法犯罪行為的誘惑等外在因素，使企業(yè)的經營管理、企業(yè)工作人員的執(zhí)業(yè)行為符合行業(yè)公認并普遍遵守的職業(yè)道德和行為準則，屬于消除導致企業(yè)成員違法犯罪外在環(huán)境因素的做法，即企業(yè)合規(guī)制度。［26］例如，以合規(guī)計劃的合規(guī)部門與合規(guī)人員配置為例，將特定的人員合理地安排到合規(guī)崗位，并進行定期的合規(guī)培訓，可以在一定程度上保證高層合規(guī)人員的道德性以及法規(guī)遵從意識，從而為合規(guī)計劃自上而下地有效推行奠定了基礎。［27］

綜上可知，在涉案企業(yè)合規(guī)改革領域，企業(yè)合規(guī)計劃的合規(guī)淵源應當包括道德，但并非包括所有的道德。換言之，此處具有合規(guī)淵源資格的道德需要突出企業(yè)應當承擔的社會責任。為此，通常情況下，這些道德首先是指與公共利益緊密相關的社會公德和相關行業(yè)倫理規(guī)范，以保證企業(yè)合規(guī)計劃營造的合規(guī)文化可以符合社會公眾的期待并得到社會公眾的認可。鑒于此，域外一些國家的實踐立場表明，有必要參照行業(yè)道德守則標準審查合規(guī)方案。［28］例如，在美國，公司高級管理層是否清楚地表達了公司的道德標準，屬于檢察官評估合規(guī)計劃實施情況的一個影響因素。［29］在我國，檢察機關推進涉案企業(yè)合規(guī)改革，實際上也關注到了企業(yè)合規(guī)考察的公益條件的重要性——作為公眾利益守護者的檢察機關在決定對涉案企業(yè)適用合規(guī)考察制度時，將社會公共利益作為新砝碼，可以確保涉企刑事案件的處理符合社會公共利益。［30］這實際上就要求檢察機關應當對涉案企業(yè)合規(guī)計劃中合規(guī)淵源的道德要素進行專門考量，督促企業(yè)重視道德塑造合規(guī)文化方面的重要性。

（三）企業(yè)制定的章程、規(guī)章制度

目前來看，將企業(yè)內部制定的章程和相關規(guī)章制度及其文件納入合規(guī)風險之“規(guī)”的范疇，是當前較受肯定的觀點，也是國務院國資委制定相關規(guī)范文件所采取的思路。初做分析可知，企業(yè)內部章程、規(guī)章制度被納入企業(yè)合規(guī)淵源，體現了企業(yè)合規(guī)管理體系建設的“大合規(guī)”思路。然而，筆者認為，此類合規(guī)淵源的制定主體是企業(yè)自身，將企業(yè)內部章程、規(guī)章制度與國家法律、行業(yè)規(guī)范、國際條約等合規(guī)淵源等同對待，這顯然并不妥當。特別是，如若不加區(qū)分而直接將企業(yè)自身制定的章程、規(guī)章制度用于評價該企業(yè)是否存在需要承擔刑事責任的違規(guī)行為，很可能出現企業(yè)以符合內部章程和相關制度為由主張自身行為不構成犯罪。這顯然并不嚴謹和妥當。正是如此，筆者主張，可以適當借助“內規(guī)與外規(guī)相區(qū)分”的思路，規(guī)范企業(yè)合規(guī)計劃之合規(guī)淵源的效力位階，進一步明確企業(yè)推行合規(guī)計劃并防范合規(guī)風險之有效性的評價要素。

所謂內規(guī)與外規(guī)相區(qū)分的思路，是指將企業(yè)合規(guī)計劃之合規(guī)淵源分為內規(guī)、外規(guī)兩種類型：前者是指由企業(yè)自身制定的各種規(guī)范材料，包括但不限于企業(yè)章程、合規(guī)手冊、各種具體規(guī)章制度和相關文件；后者是指由國家、社會、行業(yè)或者非特定主體制定或者推動形成的具有廣泛適用性的各種合規(guī)淵源，包括但不限于國家法律、行業(yè)規(guī)范、行業(yè)慣例、公共道德與職業(yè)倫理、國際條約與規(guī)則等等。由此比較可知，外規(guī)在制定和實施方面更具權威性、嚴格性、公開性與公益性，而內規(guī)則由企業(yè)自主制定和實施。倘若不加區(qū)分地將內規(guī)一概納入合規(guī)淵源范疇，不僅會不當拓寬企業(yè)合規(guī)計劃的適用范圍，過度豐富企業(yè)合規(guī)風險的類型，而且會過度增大企業(yè)合規(guī)計劃有效性評價標準的個別化差異，即每個企業(yè)通常都會制定各自的內規(guī)，而一旦認為企業(yè)遵守各自內規(guī)便符合合規(guī)計劃即存在合規(guī)行為的話，那么，這種合規(guī)行為的認定與評價門檻顯得過低了，進而使得合規(guī)計劃有效性評價標準恐難具有統(tǒng)一性、規(guī)范性和共識性，減損企業(yè)合規(guī)計劃預防和處置合規(guī)風險的專門價值。

有鑒于此，在內規(guī)與外規(guī)相區(qū)分思路的指引下，一方面，肯定企業(yè)自身制定的章程、規(guī)章制度的正當性和必要性，但這些規(guī)定能否上升為合規(guī)淵源并成為判斷合規(guī)風險的依據，進而成為企業(yè)以建立健全合規(guī)管理體系為由申請從寬處罰的條件，還需要進一步評判。概言之，應當將企業(yè)制定或者推行的章程、規(guī)章制度等規(guī)范與法律法規(guī)的一般要求進行比較分析，如若企業(yè)的章程、規(guī)章制度等規(guī)范所提出的履職行為標準高于甚至遠高于法律法規(guī)設置的要求，可以考慮將其作為補充性質的合規(guī)淵源。由此可以促使企業(yè)在制定并推行合規(guī)計劃過程中，既能夠緊密契合自身生產經營與發(fā)展需要，設計具有獨特性的合規(guī)方案，又可以全面且充分關照國家法律、行業(yè)規(guī)范、職業(yè)倫理與國際條約等外規(guī)的各項要求，將其融入內規(guī)之中并增強內規(guī)與外規(guī)的融合度，進而提升企業(yè)合規(guī)計劃的可行性與有效性。另一方面，確定企業(yè)合規(guī)計劃有效性評價標準的位階方案，即優(yōu)先評價企業(yè)遵守和執(zhí)行外規(guī)的情況，然后才會適當評價企業(yè)自身制定內規(guī)的質量，不應簡單地將企業(yè)遵守內規(guī)作為從寬處罰特別是刑事責任減免的依據，而應當確定內規(guī)不僅符合外規(guī)而且比外規(guī)更嚴格，否則便可能產生以下情形——已出現合規(guī)風險甚至是被追責的企業(yè)以其符合自身制定的章程和規(guī)章制度為由，主張其建立了合規(guī)計劃且達到有效性標準。這顯然有違國家推行企業(yè)合規(guī)管理體系的預期目標。

科學辨析企業(yè)合規(guī)風險的內涵，是推行涉案企業(yè)合規(guī)改革的前提；準確界定企業(yè)合規(guī)風險的類型，是引導涉案企業(yè)建立健全合規(guī)計劃的基礎；規(guī)范闡釋企業(yè)合規(guī)風險的特點，是設計涉案企業(yè)合規(guī)整改有效性評價標準的關鍵。正是如此，在概括梳理法學界針對涉案企業(yè)合規(guī)改革、企業(yè)合規(guī)計劃及其刑事化等主題的研究成果之后，本文選擇以“企業(yè)合規(guī)風險”為題展開研習，為法學界更加全面地認識企業(yè)合規(guī)計劃中國化的刑事法路徑提供新的視角。法學界可以在認識企業(yè)合規(guī)風險之后進一步拓寬針對企業(yè)合規(guī)計劃及其刑事化發(fā)展的研究范圍。另外，還需關注的是，隨著涉案企業(yè)合規(guī)改革深化適用，據了解，最高司法機關已啟動修法建議工作，旨在將該項改革的有益經驗寫入《刑事訴訟法》。［31］在此背景下，探討企業(yè)合規(guī)計劃進入刑事訴訟法律體系的立法方案，有必要首先明確何謂旨在預防、識別和處置合規(guī)風險的企業(yè)合規(guī)計劃，而認識合規(guī)計劃的核心要素應當是認識合規(guī)風險。是故，研究企業(yè)合規(guī)風險的學理價值與實踐價值，不僅局限于推動企業(yè)犯罪治理模式轉型領域，而且體現在提升刑事訴訟立法科學化水平方面。