医药企业在经营过程当中稍不注意，就可能就带来损害商业信誉罪、虚假广告罪、串通投标罪、合同诈骗罪、非法经营罪、提供虚假证明文件、单位行贿罪及生产、销售假药罪等刑事犯罪。一旦“出事”，可能导致医药企业高管被追究刑事责任，企业停产停业，企业声誉受损等。可见，只有提早进行风险管控，将危险消灭在萌芽之中，方为上策。为提升医药企业刑事风险防范意识，京师医药与生命科学法律团队基于在医疗大健康领域深耕多年的法律服务经验，继上期系列，本期就医药企业的刑事监管合规问题继续为您解读。

01

企业刑事合规风险防控的定义和内涵

合规之“规”指各种法律规章制度，乃至国际标准、地方规定与企业内部管理制度。单从法律之规而言，依据其轻重程度，应首先要符合刑事法律规范，因此，企业做好合规首先要做好刑事法律风险的防控与规范，简称“刑事风险合规”。

对医药行业企业而言，更应该把刑事风险合规置于合规工作之首。一旦医药行业企业触及刑事法律风险，其付出的代价及成本是最为高昂的，有时候甚至会给企业带来灭顶之灾。比如：浙江地区某些厂家的一次安全事故责任，最终导致法定代表人及核心高层管理人员被追究刑事责任，直接导致企业的停产甚至无限期停业。

企业刑事合规的基本内涵实际上是一种刑事犯罪风险企业内部防控机制：一方面，其以外部刑事法律为基础，以满足刑事法律义务、避免刑事法律责任为建构的核心目标；另一方面，其又是外部刑事法律的一种功能促进，企业通过刑事合规，增强刑事犯罪风险防控能力，有利于刑事法律预防犯罪功能的实现。因此，企业刑事合规与刑事法律风险防控的价值追求是一致的。企业刑事合规制度是预防企业刑事法律风险相对最有效的措施，其能够最大限度地防控来源于企业内部或外部的刑事法律风险。因此，健全企业刑事合规制度，可以最大程度上防范企业刑事法律风险，从而促进企业经营目标的实现，实现企业利益的最大化。

02

企业刑事合规风险防控内容

1. 建立企业刑事法律风险的全面调查机制

企业刑事合规需要对企业的全部经营管理和业务开展定期的全面刑事法律风险调查，使企业内部充分认识到法律事务的重要性、法律风险防控的必要性，才能使企业内部对企业的法律风险有全面的认知，并且清楚基于企业自身的业务所具有的特殊法律风险点，从而“有的放矢”，才能进一步建立完善的预防机制，避免企业陷入刑事合规风险。

2. 建立企业法律事务的刑事合规融合机制

企业法律事务的关注具有整体性，然而，刑事合规应当成为企业法律事务中的关键环节和重要内容。因此，不能将刑事合规同企业的整体法律事务割裂开来，而是应当将刑事合规理念全面融合到企业法律事务的资源配备、工作流程之中，使企业的法律事务成为一种突出刑事合规重点亦兼顾全面的系统化、规模化机制。

3. 建立企业刑事犯罪风险事先预防机制

建立事先防范机制是法律风险防控最有效、成本最低的防控方式。在企业经营和管理中，对于某项业务或企业内容关联行为是否具有刑事法律风险的考察，应当作为企业行为的必备前置程序，通过事先预防机制的建立，可以有效避免企业陷入到刑事犯罪的风险之中，也有助于整个企业树立较强的危机意识，防患于未然。

4. 建立企业刑事合规风险的固定培训机制

企业刑事合规的重要内容是实现企业内部规范化、制度化、动态化的刑事犯罪防控机制，而这一目标的最终实现高度依赖企业内部成员主观上的认可和客观上的行为遵循，因此对企业人员的刑事合规风险培训应当具有全面覆盖性，而不是仅停留在企业高管层面，同时，考虑到企业内部的人员自然流动和外部的法律更新，这种培训应当长期和固定。

5. 建立企业重大决策的刑事合规参与机制

企业家基于自身的创业和管理经验，对于企业市场机会的把握、企业的重大机构调整有着敏锐的洞察力，但是囿于专业的限制，企业家往往无法对重大法律事务的法律风险进行准确评估。通过刑事法律合规业务，可以充分运用专业优势，在企业家处理重大法律事务时提出法律工作者有建设性的意见，使企业在重大法律事件中保持“安全的航向”。

6. 建立特定企业刑事风险应对机制

企业刑事合规并不仅停留在刑事犯罪风险的事先预防层面，对已形成的特定企业刑事犯罪具体风险，不能被动地等待其从风险转化为现实损害，而是应当积极进行应对和化解。例如，特定情形下，特定问题或企业人员、特定事件被调查，特定高管被限制出境、企业账户被冻结等，都是刑事风险来临的标志，预示着特定案件、特定罪名的刑事风险即将爆发。此时，企业刑事合规应当及时介入，对刑事风险进行诊断和预测，提供风险防控方案，并提出进一步完善方案，避免风险进一步扩大。

7. 建立企业刑事犯罪回应机制

当企业或企业高管已经涉嫌犯罪，进入刑事诉讼程序后，刑事合规服务将充分发挥自身优势，结合企业自身处境，做到具体问题具体分析，拿出优质可行的解决方案，帮助企业了解涉嫌的罪名及可能引起的刑事处罚，为面对违法调查提供法律指引，积极收集无罪、罪轻的证据，为企业争取最优的刑事处遇，将刑事犯罪对企业的损害降至最低。

03

企业刑事合规风险防控构建的一般方案

有效企业刑事合规制度的建立是一种精细化操作的模板化、流程化、专业化的过程，对不同的企业领域甚至同一领域的不同企业，具体的刑事合规制度的建构也都会体现出同企业自身特点契合的特殊性。但与此同时，基于企业经营管理的共通性，我们也可从差异化的企业刑事合规中提取出一般性步骤，作为建构具体方案的指引。

1. 前提性步骤：刑事风险点的定位

刑事风险点的定位是企业刑事合规制度建构的前提，企业面临的刑事犯罪风险可以分为一般风险和特殊风险两类：前者是企业作为市场经营主体必然会存在的刑事犯罪风险，例如，商业贿赂犯罪风险，这是所有企业都必须关注的领域；而后者则是企业基于自身业务特殊性而产生的刑事犯罪风险，例如，企业是否有海外业务直接影响其是否要关注海外刑事犯罪风险。换言之，刑事犯罪风险点的定位是一个共性和特性兼顾的刑事合规前提，而刑事法律规定则是风险定位的“尺子”，在特定情况下，可能还不仅是一把“尺子”，还要考虑企业的经营范围，将域外的法律规范也作为风险定位工具。

2. 起始性步骤：刑事法律风险评估

在完成企业刑事风险定位后，开始进入刑事合规的正式阶段，需要将零散的刑事风险进行系统化整理，对识别出的刑事法律风险进行定性、定量分析，评估导致刑事法律风险发生的原因、刑事法律风险发生的可能性及其后果、影响可能性及后果的因素等。风险评估的结果将成为制定有效刑事合规计划的路线引导图。

3. 指导性步骤：制定刑事合规计划

现实社会中的企业不可能完美无缺，企业的内部管理受到多方面挑战，特别是由于当前社会处于经济转型期，企业经营管理日趋复杂，近年来，同企业相关的刑事犯罪数量激增，这也无疑增加了企业和企业内部人员的刑事法律风险。

具体来看，刑事合规计划应当兼顾以下三个层次目标：第一层次是宏观目标，主要包括：如何预防企业内部和外部的刑事犯罪风险；如何在企业刑事犯罪风险产生后，及时发现并将其化解，当刑事犯罪风险由风险转化为现实犯罪时，减少犯罪对企业利益的损害。第二层次是价值目标，主要包括：如何提供一个正式的规范化文件，建立企业内部制度机制，确保刑事合规被广泛地理解和执行；如何使刑事合规成为企业经营管理的关键性环节，提升企业高管、企业法务人员和企业一般人员的刑事合规意识；如何遵循外部刑事法律规范的发展趋势，使刑事合规体现最新的刑事立法更新，履行企业刑事法律义务，在拓展新的企业经营范围时，首先明确新领域的相关法律义务。第三层次是功能目标，主要包括：如何为企业提供一个独立的、方便的途径，随时对企业经营管理行为的刑事犯罪风险进行确定和反馈，寻求法律专业性的帮助和建议；如何顺应企业发展，利用多样化的评估主体和外部服务主体，为企业提供实时更新的刑事犯罪风险预警，将刑事合规同企业业务扩展和外部法律更新联系起来；如何收集企业内部和外部的对刑事合规工作的意见和期望等信息，修正错误、改进不足、提升企业刑事合规的刑事犯罪风险防控效果；如何评估企业刑事合规的现实效果，对企业刑事合规效果工作有清晰的认识，并使这种评估具有真实性、长期性和稳定性；如何建立重大事件、紧急事件、突发性事件发生时，刑事合规的介入程序和介入方式。

4. 跟踪性步骤：刑事合规计划的执行

刑事合规的关键在于执行，可以说大部分企业在设立之初都具有一定的风险防控机制，但是随着企业的运行，很多被忽视、甚至是故意弃用，因此，刑事合规的执行是整个刑事合规的核心。刑事合规行为的执行不力会直接引发刑事合规风险，这种风险的存在本身就会对企业造成巨大的损害，而如果风险爆发导致企业破产、股权强迫转让等严重后果，企业的损失无疑更为巨大，会对企业内部人员、企业整体乃至相关的行业造成严重影响。为了加强企业对刑事合规执行的重视，有必要进一步加强企业刑事合规的审查和问责机制。同时，应当对企业刑事合规领域加强资源投入，使其作为企业经营成本的基本内容之一。再者，有必要适当引入外部监督机制，我国目前正在建立企业监管的相关法律体系，对特定企业刑事合规执行的监督已然成为部分政府机关的重要工作内容，后期有必要进一步扩张法律体系，加强外部监管。同时可合理地引入域外的行业协会自治和监管的做法，从而形成企业自身、行业监督、政府监管的三层合规执行监管体系，确保刑事合规计划从纸面走向实践。

5. 后续性步骤：监测与评估

刑事合规制度是一个动态的制度，不能停滞不前。连续的、主动的监测和审查是刑事合规的标志性组成部分，从而使公司企业能够适应不断变化的风险，因此，刑事合规的监测和评估应当成为企业自身管理工作的一部分。为了使刑事合规取得最大的效果，可以考虑引入外部专业评估。具体来看，对于刑事合规效果的评价应当从以下几个方面开展：其一，企业中刑事合规工作开展的数量和规模，刑事合规工作同企业自身经营管理的契合性；其二，企业刑事合规在企业经营管理中的地位和功能，企业经营管理行为是否经过刑事合规环节；其三，基于刑事合规所预防、发现、化解的刑事犯罪风险的数量和类型；其四，企业高管参与企业刑事合规工作的交流情况，包括主动的和被动的；其五，企业根据刑事合规建议的反馈所做的实际行动的情况。