(一)基本原则:合理援引内控的基本原则
基本原则作为刑事合规计划的基础性要求,对于合规价值的彰显和合规行为具有重要指引作用。目前,结合《企业内部控制基本规范》以及《中央企业合规管理指引(试行)》等规范性文件有关规定,并结合刑事合规的特性要求,可以将全面性原则、重要性原则、独立性原则、适应性原则以及联动与制衡作为合规计划的基本指导原则。既强调刑事合规计划内容的全面覆盖,也要根据重要性原则及其相关方法对企业的法律风险进行评估并进行分级分类预防;既要强调合规部门和人员权限的独立性也要注意合规部门与其它业务部门的信息沟通和联动;同时要结合企业的实际建立与自身规模、业务性质等相适应的刑事合规计划。
(二)主要内容:依托内控五要素展开
由于内控五要素在分类上简洁明了,在内容上基本涵盖公司管理的全部方面,同时在制度归类以及执行保障措施方面均具备高效性和规范性的特点。由此,可以结合内控基本要素将刑事合规计划的内容分为五大板块。其一是刑事合规内部环境,包括设置地位较高且独立的刑事合规部门或岗位,赋予相应职权;获取从员工到高层的全员合规承诺,建立合规文化;加强人力资源建设,培养专业合规人才等;制定员工手册,完善员工合规教育培训制度等。其二是刑事法律风险评估,主要包括确定风险控制的目标,刑事法律风险评估方法与策略,完善刑事法律风险报告和应对机制等;其三是刑事法律风险控制活
动,包括“不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等” 。尤其重视对信息系统的运用,加强流程节点审批控制,确保业务流程清晰可追溯;其四是刑事合规信息沟通制度,包括明确内部控制相关信息的收集、处理和传递程序等。尤其需要确定各部门及人员需要保存各种信息数据,包括但不限于经营财务数据、个人信息、公司制度文件等等;其五是刑事合规计划的监督和评价机制,企业需要明确刑事合规工作的绩效考核机制,建立健全内部审计等部门对其的监督和评价机制等。
(三)保障与提升:对内部控制的完善
企业刑事合规计划的建设与内控的完善是息息相关的,这就需要充分发挥刑事合规的功能以完善内控。首先,通过刑事合规调查与评估,对企业内控环境、风险评估、控制活动、信息与交流以及监督机制中存在的缺陷进行积极整改,并对整改后的制度运行情况和绩效进行审计或者稽核评价。其次,在控制流程中,应当及时优化企业业务流程,兼顾效益与风险处置;最后,在涉案的情况下,企业应当积极配合第三方监督评估机构指导意见,及时整改内控缺陷,减轻和弥补违法行为带来的损害。最后,企业需要积极调取内控资料文件,用作积极抗辩事由的证明,故此需以此为导向做好日常的文件归档管理以及信
息数据保护工作。在未来刑事合规进入立法时代的大趋势下,企业构建刑事合规计划的作用越来越明显。虽然以个人信息保护专项合规、数据安全保护专项合规的实践已经取得了一定的经验,但专项合规依然需要依托整体合规的一般性规定和程序。故此,内控路径下的企业刑事合规计划依然兼具专项合规实践的意义。由此可以说,无论企业是搞专项合规计划还是整体的合规计划,内控路径的刑事合规均具备内容完整性和执行有效性方面的优势,值得实践参考。
基本原则作为刑事合规计划的基础性要求,对于合规价值的彰显和合规行为具有重要指引作用。目前,结合《企业内部控制基本规范》以及《中央企业合规管理指引(试行)》等规范性文件有关规定,并结合刑事合规的特性要求,可以将全面性原则、重要性原则、独立性原则、适应性原则以及联动与制衡作为合规计划的基本指导原则。既强调刑事合规计划内容的全面覆盖,也要根据重要性原则及其相关方法对企业的法律风险进行评估并进行分级分类预防;既要强调合规部门和人员权限的独立性也要注意合规部门与其它业务部门的信息沟通和联动;同时要结合企业的实际建立与自身规模、业务性质等相适应的刑事合规计划。
(二)主要内容:依托内控五要素展开
由于内控五要素在分类上简洁明了,在内容上基本涵盖公司管理的全部方面,同时在制度归类以及执行保障措施方面均具备高效性和规范性的特点。由此,可以结合内控基本要素将刑事合规计划的内容分为五大板块。其一是刑事合规内部环境,包括设置地位较高且独立的刑事合规部门或岗位,赋予相应职权;获取从员工到高层的全员合规承诺,建立合规文化;加强人力资源建设,培养专业合规人才等;制定员工手册,完善员工合规教育培训制度等。其二是刑事法律风险评估,主要包括确定风险控制的目标,刑事法律风险评估方法与策略,完善刑事法律风险报告和应对机制等;其三是刑事法律风险控制活
动,包括“不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等” 。尤其重视对信息系统的运用,加强流程节点审批控制,确保业务流程清晰可追溯;其四是刑事合规信息沟通制度,包括明确内部控制相关信息的收集、处理和传递程序等。尤其需要确定各部门及人员需要保存各种信息数据,包括但不限于经营财务数据、个人信息、公司制度文件等等;其五是刑事合规计划的监督和评价机制,企业需要明确刑事合规工作的绩效考核机制,建立健全内部审计等部门对其的监督和评价机制等。
(三)保障与提升:对内部控制的完善
企业刑事合规计划的建设与内控的完善是息息相关的,这就需要充分发挥刑事合规的功能以完善内控。首先,通过刑事合规调查与评估,对企业内控环境、风险评估、控制活动、信息与交流以及监督机制中存在的缺陷进行积极整改,并对整改后的制度运行情况和绩效进行审计或者稽核评价。其次,在控制流程中,应当及时优化企业业务流程,兼顾效益与风险处置;最后,在涉案的情况下,企业应当积极配合第三方监督评估机构指导意见,及时整改内控缺陷,减轻和弥补违法行为带来的损害。最后,企业需要积极调取内控资料文件,用作积极抗辩事由的证明,故此需以此为导向做好日常的文件归档管理以及信
息数据保护工作。在未来刑事合规进入立法时代的大趋势下,企业构建刑事合规计划的作用越来越明显。虽然以个人信息保护专项合规、数据安全保护专项合规的实践已经取得了一定的经验,但专项合规依然需要依托整体合规的一般性规定和程序。故此,内控路径下的企业刑事合规计划依然兼具专项合规实践的意义。由此可以说,无论企业是搞专项合规计划还是整体的合规计划,内控路径的刑事合规均具备内容完整性和执行有效性方面的优势,值得实践参考。
