一、合规不等于免死金牌
前阵子跟几个开企业的朋友吃饭,酒过三巡,有个做外贸的张总端着杯子过来找我吐槽:“苏律师啊,我去年花了大几十万做合规,制度挂了一墙,流程改了好几轮,怎么上个月还被经侦找上门问东问西?合规律师不是说只要合规了就没事儿了吗,合着我这钱白花了?”
我当时一口酒差点喷出来,跟他说:“张总啊,你天天去健身房打卡,吃保健品也不少,怎么去年还得阑尾炎住了半个月院?人做保健都不能保证不得病,企业做个合规就能把所有刑事风险都掐灭了?这世上哪有这么包治百病的灵丹妙药啊。”
其实不止张总,很多老板对企业合规都有这个误区:觉得我花了钱,请了律师,建了制度,走了流程,那就是“合规企业”了,以后不管出什么事儿都轮不到我头上,不可能有刑事风险。这种话也就卖合规服务的能说出来,我们做刑事辩护的不敢吹这个牛——真要是合规就能杜绝一切刑事风险,那我们刑辩律师不都得失业去卖奶茶了?今天我就掰开揉碎了跟大家聊聊这个事儿,为啥说做好合规只是预防刑事风险的一块重要防弹衣,但不是刀枪不入的金钟罩,更不可能帮你杜绝一切刑事风险。
二、合规的本质只是“风险防线”
首先咱们得先掰扯明白,什么是企业合规?说白了,就是企业按照法律规定、监管要求、行业规矩,建一套自己内部的办事规则,哪里不能踩,踩了怎么罚,出事了怎么报,说白了就是给企业画个红线,告诉大家别越线,真不小心越线了,赶紧刹车止损。这东西确实有用,能把大部分你没注意到的风险提前拦下来,就像你出门开车,系安全带不能保证你出车祸不死,但能大大提高你活下来的概率,这个没错。但你要说我系了安全带,就永远不会出车祸,那不是胡扯吗?路上不撞你,你还可能自己爆胎呢对吧。
三、合规满分,为何仍踩刑事雷区
1、管得住制度,管不住人的私信杂念
为什么说哪怕合规做得滴水不漏,也没法杜绝所有刑事风险?我先给大家说个我前两年经手的真实案例,比我在书上找的那些案例鲜活多了。那是一家做医疗器械的公司,规模不小,上市前做了全套合,从业务到财务,从销售到研发,合规律师从头到尾捋了一遍,该改的改,该删的删,最后出了一本几百页的合规报告,说你们没问题,可以放心申报。结果上市申报到一半,证监会把线索移给了公安——说他们销售部门存在商业贿赂。
公司老板当时就懵了,说我们合规制度写得明明白白,禁止任何形式的回扣、送礼,每年都给销售培训,都签了合规承诺书,怎么还会有商业贿赂?查下来之后结果是什么呢?是华东区的一个销售总监,为了拿一个三甲医院的订单,私下跟医院的设备科科长约定,每卖一台设备给5个点的回扣,这事儿公司总部完全不知道,合规部门也没查出来。为啥?这个销售总监做业务好几年,老员工了,他走的是设备维护费的账,把回扣折成了每年给医院的“额外维护服务费”,从区域的业务费用里走,公司的合规审核是看有没有超过费用额度,没看出这里面藏着回扣。最后呢?公司虽然有合规制度,但是这个总监的个人行为还是构成了行贿,最后老板花了好大功夫,加上确实有完整的合规体系,才争取到了缓刑,上市延迟了两年不说,还罚了好几千万,元气大伤。
你看,这家公司合规做的不算差吧?制度有,培训有,承诺有,那为什么还出事儿?因为企业的合规体系管得了明面上的流程,管不住背地里的小动作。企业做大了,几百上千号人,从总部到区域,从老板到前台,你能保证每个人都严格按照你定的规矩来?就拿这个医疗器械行业来说,销售总监手里有很大的自主权,他为了冲业绩拿提成,甘愿铤而走险,绕开公司的合规制度搞小动作,你总部哪怕一个月查一次账,他都有办法把账做平,你一时半会儿根本查不出来。
2、自身合规,难逃外部连带坑害
还有一种情况,你自己合规做得好,但是别人坑你啊,这个风险你防得住吗?我再给大家说一个前年办的虚开增值税专用发票的案子,这个更冤。有一家做建材贸易的公司,老板是个特别谨慎的人,从创业开始就一直说我们绝不碰虚开,财务制度定的特别严,进货必须要有票,出库必须要有单,每一笔合同发票资金流都对得上,年年找会计师事务所做审计,合规定得死死的。结果呢?他们上游的一家石材供应商被查了,说供应商卖给他的发票是虚开的,供应商老板早就跑了,公安顺着发票就找到这家建材公司了。
你猜怎么着?原来供应商那边是业务员操作的,给这家建材公司供的货里面,有三分之一是从个人散户手里收的石材,散户没有发票,供应商就从别的地方买了票,开给了建材公司。建材公司这边完全不知道啊,老板每次都跟财务说,必须核对发票,财务查了,发票是真的,也能认证抵扣,合同签了,货也收到了,资金也付了,所有流程都符合公司的合规要求,也符合税务的规定,谁能想到上游的票是买来的?最后这家公司虽然最后没有被追究刑事责任,但是整个公司被查了快一年,账户冻了大半年,好多项目没法做,本来要接的一个大工程也黄了,老板说这一年头发都白了一半,你说这冤不冤?你自己合规做得再好,上游违规操作,你找谁说理去?这种刑事风险,你能杜绝吗?你最多就是自己做好审核,留好证据,真出事了能证明自己不知情,但是你没法阻止别人把你拖进去,该找上门还是会找上门,该承受的风险一点都少不了。
3、律法迭代,静态合规终将过时
再往深了说,法律本身是不断变化的,今天你做的事儿是合法合规的,明天法律改了,可能就变成犯罪了,这种刑事风险你怎么防?我举个最典型的例子,就是近几年的私募基金、P2P行业。十几年前,互联网金融刚起来的时候,监管还没跟上,当时好多做网贷的公司,都是按照当时的规定注册备案,做的业务都是符合当时的要求,你说他们合规不合规?当时合规肯定没问题啊。后来2016年之后,监管越来越严,出了各种新规,再后来刑法修正案十一出来,把非法吸收公众存款、集资诈骗的打击力度提得很高,好多原来合规做起来的平台,因为后面政策变了,原来的业务模式不合规了,最后爆雷之后老板进去了,公司也没了。
还有更典型的,就是走私普通货物罪里面的“包税进口”,早十几年,很多做进口的企业,都是找货代公司做包税通关,当时海关监管没那么严,好多地方都是默认这种模式,企业按照当时的行业惯例做,你说他能想到这是走私吗?后来海关打私力度加大,对包税模式全面打击,好多做了十几年的老企业,一下子就变成了走私犯罪,老板都被抓了。你说他当年做合规的时候,法律当时就是那个样子,他按照当时的法律做的合规,你能说他没做合规吗?但是法律变了,原来的合规就不适应新的规定了,风险不就来了吗?这不是说你当年做了合规,就能一劳永逸解决一辈子的问题,合规是动态的,你得天天更,但是哪怕你天天更,也赶不上有时候政策变化快,这种风险,谁也不敢说能完全杜绝。
4、企业合规,管不住老板私行
还有一种情况,就是企业家个人的行为,企业做了合规,不代表老板个人就不会犯罪啊。好多老板觉得,我们公司合规了,我就没事了,哪有这样的道理?企业合规管的是企业的经营行为,管不住老板自己私下乱搞啊。我之前见过一个案子,一家做房地产的公司,合规做得非常好,上市好几年了,每年都做合规审计,一点问题都没有。结果老板自己好赌,在境外欠了好几千万的赌债,怎么办呢?他就利用自己董事长的身份,把公司的资金挪出去还赌债,最后东窗事发,构成挪用资金罪,还涉嫌职务侵占,判了十几年。你说这个企业合规好不好?好啊,公司制度写的明明白白,禁止大股东挪用公司资金,有监事会,有独立董事,但是老板自己是实际控制人,绕开所有制度把钱挪走了,合规制度能拦得住他吗?就像你家装了防盗门,能防得住小偷,能防得住你自己把家门打开把钱拿出去吗?
四、合规只是保命底牌
说到这儿,肯定有人说了:那既然合规不能杜绝一切刑事风险,我花钱做合规干嘛?干脆不做了行不行?那你可就理解错了,我这话不是说合规没用,恰恰相反,合规是目前为止,企业预防刑事风险最好的办法,只是它不是万能的,不是能杜绝一切的。就像我开头说的,人天天做保健,不能保证你一定长命百岁,但是能大大提高你长命百岁的概率啊,总比你天天抽烟喝酒熬夜不体检强吧?企业合规也是一样,它不能杜绝所有风险,但是能把大部分风险拦在门外,真出事儿了,也能帮你减轻责任,甚至争取到无罪、不起诉。
我给大家说一个对比,还是刚才说的那个医疗器械商业贿赂的案子,最后为什么能争取到缓刑?就是因为他们确实有完整的合规体系,事后也立马整改,配合调查,所以检察院才建议法院判缓刑。还有那个虚开发票的建材公司,最终虽然没被追究刑事责任,一在于他们有完整的合规流程,所有的交易记录、合同、付款凭证都留得好好的,能拿出来证明自己确实不知道上游“虚开”,所以才没事。
五、企业长效避险实操法则
那可能有人又问了,既然不能杜绝,那我们做企业的,除了做合规,还要注意什么才能少碰刑事风险?我干了二十多年刑辩,见过太多企业出事,总结下来,有这么几点一定要记住。
第一,合规不能是“纸面合规”,不能挂墙上当摆设,要真刀真枪落地。有些企业,花了几万块钱,找律师做了一堆制度,打印出来装订好,锁在抽屉里,就觉得万事大吉了,老板自己都不知道制度写了什么,员工也从来没参加过培训,这样的合规,有跟没有一样,真出事儿了,办案机关根本不会理这个纸面合规,该追究还是一样追究。就像你买了防弹衣,你不穿,放在保险柜里,子弹打过来你还是会中弹,这个道理很简单吧?
第二,要定期做合规体检,不能一劳永逸。法律变了,业务变了,监管要求变了,你的合规制度也要跟着变,不能十年前做一次合规,用到现在。就像你每年都要做体检,不能你二十岁做了一次体检,八十岁再也不做了,长了肿瘤你都不知道,那不晚了吗?
第三,关键岗位关键人,一定要盯紧。好多企业出事儿,都是出在销售、财务、采购这几个关键岗位,这些岗位手里有权,有钱,容易出问题,所以合规的重点就要放在这些地方,不能光定制度,要定期轮岗,定期审计,不能让一个人在一个位置上待十几年没人管,那不出事儿才怪。刚才那个医疗器械的案子,要是他们半年对区域销售的费用做一次专项审计,说不定早就发现那个回扣的问题了,也不至于闹到公安立案。
第四,真出事儿了,别慌,赶紧找专业辩护律师。你就算合规做得再好,也有可能出事,出事了别想着瞒,别想着跑,更别想着销毁证据,第一时间找刑辩律师提供专业及时的辩护服务。很多时候,本来事儿不大,你自己瞎操作,最后可能把自己都操作进去了。
六、合规是护身符,而非万能药
最后我再跟大家说句掏心窝子的话,做企业就像开车跑长途,你做合规就是给车做保养,买保险,系安全带,能大大降低你出事故的概率,但是你不能保证路上永远不遇上个突发状况,不遇上个闯红灯的新手,对不对?你能做的,就是做好该做的准备,真出事儿了,冷静处理,该修车修车,该理赔理赔,别一出事儿就慌了神。指望做个合规就杜绝一切刑事风险,就像指望做一次保健就活一百岁一样,那是不现实的。企业经营本来就是和风险并存的,我们要做的,不是消灭所有风险,而是学会管控风险,让风险不会一下子把你拍死。
我干了二十多年刑辩,见过身价几个亿的老板因为一个小案子进去,也见过出了事儿的企业靠着合规挺过来,东山再起。一句话:合规不是万能灵药,但它是你企业行稳致远的护身符,有了它,你不一定能杜绝所有风险,但没它,你大概率走不远。
