律师视角下的企业内控合规创新——以人工智能等技术应用为切入点
企业内部违法犯罪行为对企业健康发展危害巨大,传统内控合规措施在当前大数据时代遇到诸多挑战,新兴技术给企业合规带来更多可能性。律师应当充分发挥专业优势和经验优势,助力企业创新内控合规、维护合法权益。本文以律师视角剖析企业内控合规面临的新挑战,总结传统内控措施的局限,探讨人工智能等前沿技术在企业内控领域的创新应用,并就警企律协同构建立体化内控合规体系建言献策,以期为新时代企业依法经营、风控合规提供新思路、新方案。
1 企业内控合规面临新挑战
当前,全球政治经济形势复杂多变,科技革命和产业变革加速演进,企业内外部经营环境发生深刻变化。一方面,市场竞争日趋激烈,合规成本不断攀升,汤森路透监管情报平台发布的《2023合规成本报告》显示监管工作量持续加大,73%的受访企业声称其预计的监管活动将有所增加[1]。企业合规措施已不足以应对经济发展的新形势,客观上进一步激发了企业内部人员实施违法犯罪的动机;另一方面,信息技术广泛应用,给企业合规带来新挑战,企业扁平化的组织结构难以应对合规新形势,内部人员掌握更多资源,客观上增加了违法犯罪行为发生的风险。具体而言体现为如下方面:
(一)内部犯罪日益隐蔽化多元化
近年来,企业内部违法犯罪呈现出许多新特点。一是犯罪主体多元化。高管、实控人成为违法犯罪主体的重要组成部分,与传统的普通员工、中层管理人员相比,企业内部高层人员具有触及企业高层决策、重大经营活动核心领域的更高权限,其违法犯罪通常给企业带来更大的损失。外部相关人员与企业内部人员勾结、串通作案则更为企业造成致命打击。普华永道发布的《2022年全球经济犯罪调研》报告显示,50%的中国受访者表示,其遭遇的极端破坏性或最严重的舞弊行为均是由内外部串通作案。二是犯罪手段隐蔽化。犯罪人员利用职务便利销毁数据、隐瞒真相,通过复杂交易掩盖资金流向,利用规则漏洞窃取企业信息和财产,犯罪过程更加隐蔽。三是涉案金额高。如某中国连锁咖啡品牌境内运营主体及相关管理人员、相关第三方公司大规模虚构交易,虚增收入、成本、费用,虚假宣传,案涉金额达20亿元,合肥“6·20”职务侵占案,安徽宿州“8·26”假冒注册商标案等,案涉金额均过亿元。根据普华永道发布的《2022年全球经济犯罪调研》报告,遭遇极端破坏性舞弊和犯罪事件且损失超过100万美元的企业在受访者中占比38%,这一数据在2020年为40%[2]。内部犯罪给企业带来的损失越来越大。
在目前企业内部监管体系下,管理层利用职务便利侵占企业巨额资产、财务人员虚构交易粉饰报表、供应链管理人员伙同外部人员编织利益输送网络时有发生,采用传统的核查、事后监管等手段难以防患于未然。
(二)企业内部控制制度存在短板
尽管国家和行业主管部门不断加强内控合规建设的指导推动,但当前多数企业的内控机制仍存在短板。一是顶层设计缺位。很多企业尚未建立专门的合规委员会,缺乏权威统一的合规管理决策机构,未能充分发挥董事会、监事会作为公司治理“双轮驱动”关键的作用,缺少在内控建设中的顶层统筹谋划。二是制度流于形式。不少企业仅仅照本宣科地制定内控制度,与自身经营实践脱节,在关键业务、重点领域、核心环节缺少可操作的实施细则,难以指导具体工作。三是约束监督乏力。受所有权与经营权分离的影响,出资人对经营者的约束存在代理成本,董事会对高管层的问责力度不足。这些问题的存在为内部违规行为的发生埋下了隐患。
(三)大数据时代对传统手段提出挑战
在大数据、云计算、人工智能等为代表的新一代信息技术革命方兴未艾,数据流转、跨界共享成为新常态的背景下,传统的内控合规手段弊端逐渐显露。一是数据质量堪忧。企业数据来源广泛,业务系统林立,不同部门和业务单元各自为政,形成大量孤立分散的数据孤岛,传统手段难以处理众多庞杂的原始数据,数据的准确性、及时性较差。二是实时性无法保证。随着企业经营规模的扩张和跨区经营,企业总部对异地子公司、海外业务单元的监管受限于系统壁垒和信息滞后,难以实现对业务和资金流向的实时监控,风险预警和应对存在滞后性。三是复杂关联难以发现。大型企业的组织架构错综复杂,业务场景纷繁多样,传统的抽样分析法难以全面梳理作案人员、涉案账户间的隐秘关联,及时识别系统性风险隐患。根据中国律商联讯风险信息发布最新的亚太地区《金融犯罪合规真实成本报告》,加密货币、数字化支付和人工智能(AI)技术正在成为非法活动的工具,亚太地区23%的受访发现涉及加密货币的金融犯罪有所增加[3]。传统合规手段已经难以应对新技术带来的冲击。
面对新时代企业内控合规所面临的种种不利局面,传统经验和方法难以为继,必须拥抱新技术、运用新手段、探索新路径。人工智能等前沿技术以其高效性、智能化、可视化等优势为企业内控合规插上了腾飞的翅膀。如何运用好这些利器,打造新时代企业内控合规的“金钟罩”和“火眼金睛”,是一个值得深入探讨的前瞻性课题。
2 人工智能等技术在企业内控革新上的重要作用
人工智能等技术以其强大的感知、学习、推理、计算能力,在金融、医疗、制造等领域已经得到广泛应用。对于企业合规而言,诸如机器学习、知识图谱、区块链等技术在风险交易预警、揭示犯罪规律、进行风险量化、助力证据固定、实现透明监管等方面,均展示出其强大的运算能力和高效率,一个“人工智能+内控”的崭新时代正在到来。
(一)机器学习构筑“天罗地网”
机器学习通过对海量业务数据进行分析建模,能高效、准确地甄别异常交易、识别违规行为,极大提升内控的全面性、精准度。通过有针对性地采集涵盖资金交易、业务活动、行为日志等的多源数据,企业能够采用无监督学习、有监督学习等算法构建异常行为识别模型。比如,可利用 One-Class SVM等算法,以正常交易为训练样本,使用可用数据确定边界,一旦发现偏离正常范围的异常情况即可实现实时预警,从而在资金被 “蒸发”前及时采取止付等措施。再如,财务造假往往体现为非逻辑的会计分录,Ben-ford 定律通过分析会计科目的数字分布规律,能够自动识别伪造凭证、虚增利润等舞弊行为,做到防患于未然。
除分析明显异常的数据外,机器学习还能通过关联规则、聚类、对比等方法,自动发掘隐藏在数据背后的违法犯罪模式。比如,企业可以应用常见的关联规则算法,如Apriori、FP-Growth等算法,找出频繁出现的数据集合,分析内部人员行为与风险事件发生等此类事项之间的关联性,以揭示内外勾结、利益输送的犯罪规律。
机器学习的另一大应用价值在于风险量化与预测。通过分析历史风险事件的多维特征,可建立基于决策树、贝叶斯网络等的风险评估模型,定量刻画不同交易场景、不同岗位人员的风险状况,智能生成内控管理的“风险雷达图”,使隐性风险进一步直观化、可视化、可预测化。在此基础上,还可应用长短期记忆网络(LSTM)等算法,从动态视角对风险发展趋势做出预测,做到风险防控一盘棋,而不是头痛医头、脚痛医脚。
高质量的数据集是机器学习应用的基础。企业应当重视数据治理,从业务、财务、人力等各业务条线梳理数据标准,搭建统一的大数据平台,为智能预警、风险评估等提供数据保障。
(二)知识图谱“照妖镜”
知识图谱本质上是语义网络的知识库,一种包含多种类型的节点和边的多关系图。通俗来讲就是处理实体之间的关系的表达。公司的组织架构、管理层、员工、供应商、客户、相关人员等各类实体,以及它们之间的任职、投资、交易、来往等关系,共同编织成一张巨大网络,错综复杂。这为内部人员违法犯罪提供了可乘之机。而知识图谱技术恰恰擅长抽取、表示、存储这类复杂网络。
企业全面梳理上下游产业链条的结构化、非结构化数据,搭建一个涵盖组织机构、从业人员、供应商、销售商等多类实体和关系的大规模知识库。在此基础上,利用社区发现、最短路径等图算法和关联探寻技术,串联企业内外部、结构化和非结构化数据,自动推断出隐藏在表象之下的复杂网络,揭示内部人员与外部不法分子间的利益关联。传统的内控往往是就财务看财务、就业务看业务,难以做到全局分析,而违法分子往往是通过财务、业务、人事等环节的错综操作实施犯罪。知识图谱能够建立统一的数据视图,发现看似不相关数据间的关联。
比如,在一起某大型国企原负责人受贿、巨额财产来源不明案中,该企业规模庞大、具有复杂的股权结构,犯罪信息隐藏在浩如烟海的数据中难以辨别。办案过程中公安机关采用其采购的数据分析系统,通过对犯罪嫌疑人控制的100多家公司的工商登记、银行流水等信息进行图谱化梳理,发现这些公司在人员、地址、业务上交叉重叠,进而顺藤摸瓜揪出了隐藏在背后的资金流向和犯罪网络。有鉴于此,企业与警方均可通过类似的技术工具,对人力无法穷尽的数据进行系统性管理和分析,揭示内部人控制的利益输送网络,防患于未然。
在实践中,知识图谱往往与规则引擎等技术联用。律师可协助企业将内控制度翻译为可执行的规则,比如“员工不能与供应商存在直接投资关系”等。一旦基于知识图谱分析发现违反规则的行为,系统就会自动预警,大幅提升内控的执行力和效率。
(三)区块链技术助力证据固定
在电子数据已成为犯罪活动主要载体的背景下,通过人工智能技术及时获取、固定电子证据,对于事后追责、维权至关重要。而区块链技术以其不可篡改、可追溯的特点,为电子数据保全开辟了新路径。
早在2017年,沃尔玛的食品公司就开始将区块链追溯技术引入农产品的采购、加工、销售、售后等全环节以满足农产品食品安全标准,商品的生产地点、生产商、装配方式等全部被记载在不可篡改的区块链条上。在这条供应链中,消费者到监管者均能实现对产品采购来源的快速追溯,大幅提高食品品质、降低企业监管成本。[4]
在区块链架构下,企业可将业务交易、资金流转、合同签署等关键环节数据保存在分布式账本中。一旦发生纠纷,相关数据可直接作为司法证据,确保案件查办有迹可循。但单纯依靠企业自建区块链易落入 “唯我独尊”的困境,难以获得外部认可。律师可建议企业积极对接第三方区块链存证平台,如公证处、电子数据存证中心等。这类平台采用联盟链架构,由多方可信机构共同参与记账,公信力更强。同时,平台方已与司法机关建立数据共享机制,电子数据能够顺畅进入诉讼程序,极大提升内控数据的司法效力。
此外,区块链技术还为审计留痕、责任追溯提供了新思路。传统内控审计,尤其是事后审计,往往面临痕迹缺失、证据不足的困境。而基于区块链的审计系统可将全过程数据上链存证,通过智能合约触发实时对账,甚至可编写“审计合约”,实现审计过程自动化。审计人员的操作记录也通过区块链存储,确保审计证据真实可信,责任追溯有迹可循。
综上所述,机器学习、知识图谱、区块链等技术在企业和金融机构合规、侦测和阻断犯罪领域发挥不同的作用。比如,汇丰银行(HSBC)导入SAS AI实时交易诈欺侦测系统,在客户刷卡的当下整合客户所涉及的资料,如过去的交易信息、客户画像、资金历史流通信息等,分析判断该笔消费涉及盗刷的概率,当数据侦测系统结果显示异常时,能够直接阻断交易。迄今为止,该行已在30个地区监控超过一亿张信用卡。[5]实践中,公安部门通常将单一技术整合而成的系统,如违法犯罪资金查控系统、资金分析系统、风险研判系统、数字智能全检系统等,运用到腐败、洗钱、职务侵占等案件的预防和侦查中,公安部大数据中心的建立就是公安部门运用前沿科学技术的崭新实践。
3 律师视角下的人工智能等技术应用的合规性审视
在采用人工智能技术赋能合规制度设计的同时,企业也要警惕使用人工智能技术可能蕴藏的法律合规风险。笔者将从法律视角审视人工智能技术应用于合规治理的全过程中,在程序、实体等多方面可能涉及的重要法律风险,介绍法律工作者在人工智能技术嵌套于企业合规设计中能发挥的重要作用,以指引企业的合规建设。
1、制度设计与权力制衡
主流的新兴的算法通常偏重考虑效率因素,找到最快实现目的的解法。而企业构建合规制度需要考量复杂的制衡与公平因素。以采购流程为例,单人审批、先履约后付款等做法虽然提高业务条线的效率,但滋生利益输送风险巨大。这就要求企业从制度层面加强对关键环节的控制,在制度设计时,从更高的视角优化人工智能技术嵌套,如合规制度的流程,发挥董事会、监事会和高层管理人员的统筹把握能力和优势,考虑不相容职务分离制度,从宏观视角将业务的授权者和执行者分离,执行者与监督者分离,完成内部牵制和权力制衡。
2、知识产权与数据合规
机器学习、知识图谱、人工智能等技术高度依赖数据,知识产权和数据合规问题是运用技术过程中不可避免的潜在风险。人工智能等技术通过对海量数据的抓取和学习,形成一套分析和处理问题的范式,对数据来源的管控就十分重要。一旦人工智能等技术使用的数据为非经权利人授权的信息,例如,在人工智能抓取公开网页信息训练时,有可能使用到他人的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感、隐私信息,无论此类信息是否为公开信息,都有可能违反有关知识产权保护或个人信息保护的法律法规。
数据合规是人工智能等技术应用的基石。为防范此类风险,企业应当全面评估数据资产,区分个人信息与非个人信息,敏感信息与非敏感信息,针对性地制定数据使用规则。
对于个人信息,应当采取自然语言处理算法、模式识别等技术手段,对个人信息进行精准识别,从源头对个人信息进行清洗。在难以避免使用个人信息的情形,应当要严格遵循合法、正当、必要原则,在事前充分告知、征得授权的基础上谨慎使用,并及时告知个人信息提供者使用用途和使用方式,采用脱敏、加密等安全保护措施。对于难以避免要使用却无法取得授权的个人信息,应当根据《个人信息保护法》的相关规定,将数据进行“匿名化”和“去标识化”处理后再加以应用。
2021年通过并实施的《数据安全法》对数据的跨境使用作出限制,其要求境内的组织、个人向外国司法或者执法机构提供存储于中华人民共和国境内的数据时需要经过中华人民共和国主管机关批准。《个人信息保护法》也有相关规定,如第三十六条规定:“国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。”第四十条规定:“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内,确需向境外提供的,应当通过国家网信部门组织的安全评估。”
3、程序正义和算法公平
算法引发的偏见、歧视性问题在社会实践中屡见不鲜。在2016年7月美国威斯康辛州诉卢米斯案中,法官采用替代性惩戒者犯罪管理剖析软件即COMPAS评估被告的累犯风险,并参考评估结果作出判决,引发社会对通过算法得出判决结果是否符合程序正义的讨论。早在该年5月,美国媒体ProPublica已经就COMPAS的公平性问题作出一篇名为《机器偏见》的报告,该报告对COMPAS作出累犯预判的公开数据作出分析,发现在它的系统里,黑人被误判的概率远高于白人[6]。事实上,算法作为商业开发的产品,其根本利益或许与社会利益并不一致,常见的算法存在的歧视如基于从业人员族裔、性别、籍贯等敏感属性设置差异化内控标准,针对不同群体的风险识别阈值不一致等。
应用人工智能参与合规制度建设的过程中,不可避免地会涉及算法公平性问题,而这通常会触发法律对人权保护的红线。欧盟《人工智能法案》就提出了对算法决策过程“黑箱”问题的监管要求,在使用人工智能时应当进行日志留档,在向外界提供信息时应当做到运行过程透明[7]。在企业实践中,人工智能工具的运行结果可能直接导致对员工的处罚,但其决策过程并非透明,员工质疑、申诉无门,损害其正当权益。
在这种情况下,律师应当参与模型设计和算法选择,指导企业在人工智能系统中嵌入可解释性机制,让“黑箱”决策变得可解释、可质疑,用技术手段保障员工申辩权、救济权。还应当对企业试运行人工智能的案例进行必要的评估,识别其中潜在的歧视和非公平风险,引导企业进行修改。如有必要,还可引入第三方机构对系统和运行结果开展独立审计。
4、律师在个案中的专业优势
尽管企业通过完善内控制度和体系可以预防大多数违法违规行为,但个案发生在所难免。面对个案,律师应当展现在法律和实务处理上的专业优势,协助企业最大限度避免损失、维护企业合法权益。
首先,律师要引导企业建立疑似违法违规线索甄别机制,确定个案性质,分类处理一般违纪与涉嫌犯罪案件。对于企业依据内部规章制度无法处理的案件,律师应当指导企业向公安机关报案,积极应诉,避免因处置不当造成不利影响。
一旦定性为刑事案件,企业在开展相关工作中应当采纳律师的意见,在律师的指导下开展前期调查、证据收集、向公安机关报案等工作,避免产生未经授权查阅员工社交媒体记录、私自扣押涉案人员电子设备等违反程序法以至于无法被采信为证据的问题。此外,律师还可以代表企业收集企业难以获取的信息,如涉案人员的社会关系、投资信息等,补强案件证据链条。
在案件程序终结后,律师还应协助开展“案后复盘”,查找内控漏洞,督促完善规章制度。
总之,在个案处置中,律师从全局出发,指导企业严格依法办案,在事前风险防控、事中依法处置、事后复盘完善等全过程中贡献专业力量,促进企业内控合规制度的完善。
5、“法律+科技”的培训宣导
当前,我国正处于全面依法治国的关键时期。“法律进企业”已成为企业可持续发展的必由之路。
一方面,律师要善于运用大数据、人工智能等新技术开展精准普法。传统的“填鸭式”法律培训往往“灌输多、吸收少”,员工参与的积极性不高。律师可以引导企业建设“智慧普法”平台,利用数据分析、用户画像等技术,因材施教、因需施教。针对中高层管理人员,可重点就反垄断、关联交易等法律风险开展专题培训;对一线员工,则应聚焦合同签订、票据使用等实务,提高培训的针对性和实效性。在培训形式上,也要主动顺应互联网时代需求,开发视频微课、在线考试、情境模拟等创新产品,提升培训的吸引力和参与度。
另一方面,企业在尝试运用人工智能技术进行合规制度建构的过程中,必然会出现对相关新兴法律领域不熟悉的现象,为避免企业使用技术工具提高合规治理能力时反而违反法律的情况出现,律师应当对企业合规制度设计者和实际操作人员进行培训,开展专题讲座、以案释法等,指导企业人员运用新兴技术。
总之,律师应将法治思维、合规理念融入企业内控制度和业务流程设计之中,确保制度流程经得起法律和道德的检验,增强全员风险防范意识,为依法合规经营筑牢制度根基。
4 协同共治:警企律一体化风控体系构想
当前,腐败问题错综复杂、源流交织,仅靠企业一己之力远远不够,必须汇聚各方合力。警企律作为多元主体协同共治的一体化风控格局的新探索,在各地均有成效显著的实践。如浙江金华婺城积极构建“枫桥式”安商护企服务体系,探索实践“警律e企1818”机制,公安分局对接律师事务所,组建公益性法律体检团队,为企业合规建设量身定制整改方案,助力法律合规体系建设[8]。地方的先行实践展示出警企律联动工作机制的独特优势。其间,律师作为警企联络、法律服务供给方,在其中具有独特作用。
(一)顶层设计:健全公私合作法律机制
当前,尽管不少企业与警方开展了反腐败、反洗钱等领域的合作,但缺乏制度化的顶层设计,合作往往是碎片化、临时性的。律师等法律工作者应当发挥专业优势,推动从法律和制度设计层面明确企业反腐败主体责任。
首先,应当推动完善企业合规考核、信用监管等配套制度,为常态化警企合作提供法治保障。其次,大数据时代下的风险防控离不开数据合规和数据共享,律师应当积极建言,呼吁制定专门法律以厘清企业、执法机关在数据使用、数据共享中的权利义务边界,在完善企业合规体系和保护个人隐私之间找到平衡。
在跨区域、跨部门数据整合方面,律师也大有可为。比如,中国-东盟法律研究中心在中国政法大学的指导下,与知网一同搭建“一带一路”沿线数据库(东盟区域)及法律查明服务中心,整合东盟各国的法律法规、司法判例、国际条约、专业解读等信息近60万篇,为中国企业“走出去”提供优质的涉外法律服务[9]。类似地,律师可以发挥专业优势和行业影响力,搭建区域乃至全国性合作平台,建立统一的数据标准和管理规范,为企业合规体系建设提供完整、优质的法律指引服务,实现数据共享。
总之, “公私合作”已成为共识,但如何从制度层面予以保障,仍需要包括律师在内的各方持续发力,以法治方式厘清权责边界,为警企常态化互动铺就坦途。
(二)联合打击:警企律密切配合
联合打击是实现警企律多方合力、精准惩治腐败的关键一招。律师作为熟悉法律、了解企业的专业机构,应当在其中扮演“双向翻译”角色。一方面,律师要向公安机关阐释企业内控合规工作的制度建设、措施落实等情况,客观评价企业配合调查的诚意。另一方面,律师要向企业宣讲反腐败相关法律,引导企业正确行使和履行报案、举证等诉讼权利义务,依法配合侦查。
需要强调的是,在联合打击过程中,信息共享是基础。如上点所述,除积极推动数据信息共建共享平台外,律师还可以推动警企建立定期通报、重大案件互通等机制,畅通信息交换渠道。
(三)系统集成:搭建一体化风控平台
当前,警企数据分散、系统割裂的现状制约了风险防控的效能。律师应当充分发挥警方与企业之间、企业与企业之间的联络人作用,助推搭建警企律一体化风控平台,实现数据互联互通和风险全流程管控。
首先,平台建设须严格遵循网络安全、数据保护等法律规定。律师要全程参与平台规划设计,明确用户权限管理、数据脱敏处理、安全审计等方面要求,筑牢数据安全防线。
其次,平台应当具备数据采集、整合、分析、可视化呈现等功能,实现对股权结构、资金流向、重大合同审批等关键风险点的全景式监测,对汇聚的数据进行实时监测和可疑交易预警,实现对风险的自动识别。律师可以协助技术人员开发针对性的风控模型,推动嵌入案例检索、法律法规查询等功能,为风险研判提供法律法规和实务案例参考。
需要指出的是,法律规则是风控平台建设的重要组成部分。一方面,合规审查规则库应当成为平台标配,所有业务流程、风控措施都要接受合规性评估,筑牢风险防控的法治根基。另一方面,平台产出的预警结果、分析报告等也要经过律师把关,确保其日常指导企业完善合规体系的参考价值以及涉案时作为证据的合法性。
此外,风控平台的应用成效如何,还取决于司法、执法机关能否有效介入。律师应推动在平台上嵌入举报核查、联合调查等功能模块,为实现“情报共享、联合打击”提供系统支撑。
(四)制度先行:护航依法合规经营
协同共治的最终目标,是营造更加公平透明的法治化营商环境。作为企业合规顾问,律师要自觉将企业内控合规建设放在服务国家发展大局的高度谋划,以专业视角和责任担当为企业合规发展保驾护航。
首先,律师应大力倡导依法治企理念。从董事会、监事会、高级管理人员的视角全景式构建企业合规体系,引导企业树立“合规创造价值”的理念,提高在合规方面的人力和物力投入,加重对合规的重视程度,将合规绩效纳入经营业绩考核体系,促使企业上下形成 “不能腐、不敢腐、不想腐”的环境。
其次,律师要帮助企业制定全套的合规制度,区分风险高发的不同领域,形成完整且具有可行性的合规体系。在高风险领域和岗位,律师要协助制定严密的权力清单和责任追究机制,规范权力运行;在政商交往、公款消费等腐败易发多发领域,律师要提示将相关活动置于阳光下运行,完善内部和外部监督制度;对涉及重大利益冲突的业务,律师还应建议引入第三方机构进行独立审计,防范寻租空间。
再次,律师应当引导企业大胆创新,在合规的前提下激发市场活力。对轻微违规行为,可探索建立容错纠错机制,允许合规及时到位的企业减轻处罚。同时,还应借鉴国际经验,倡导建立企业合规指引、实施宽严相济的制度,鼓励企业合规自查,主动移交涉案人员,从而在遏制犯罪与鼓励创新间实现良性互动。
总之,推动企业依法合规经营是一项系统工程,需要包括律师在内的各方共同发力。律师应当立足专业所长、把握时代脉搏,在法律风险防控和价值创造间找到平衡,以专业之见、务实之策服务法治化营商环境建设,助推企业法治化高质量发展。
5 结语
面对错综复杂的违法犯罪形势,传统手段和经验在应对企业合规建设方面已略显不足,人工智能、机器学习、知识图谱等创新技术为企业合规治理注入新活力。作为法律职业共同体的重要一员,律师应当积极学习和迎接新兴技术,将人工智能等技术嵌入企业合规制度之中。同时,应当发挥律师专业优势,助力企业在运用技术的过程中避免触及法律红线,在组织架构设计、制度流程完善等方面提供切实可行的建议,最大限度维护企业利益。面对新时代对反腐败工作提出的更高要求,仅靠企业一方用力远远不够,必须畅通警企律协作渠道,在公私合作、联合打击、系统集成、制度设计等方面多管齐下,携手打造全面覆盖、高效协同的一体化风控新格局。
参考资料:
[1] Thomson Reuters,《2023合规成本——监管负担导致合规部门面临运营困难》。
[2] PWC, PwC’s Global Economic Crime and Fraud Survey 2022 Protecting the perimeter: The Rise of External Fraud.
[3] LexisNexis® Risk Solutions,研究报告:亚太地区金融犯罪合规年度成本高达 450 亿美元,2024年3月6日,网址:https://risk.lexisnexis.com/global/zh/about-us/press-room/press-release/20240306-true-cost-of-compliance
[4] 芮萌,尹文强,《区块链:防伪溯源创新,让“良币”驱逐“劣币”》,载于《中欧商业评论》,2020年9月。
[5] 陳愷新,金融業追ChatGPT,也別忘三大AI趨勢:雲端、新型犯罪、氣候風險評估,2023年6月6日,网址:https://futurecity.cw.com.tw/article/3063?rec=i2i&from_id=3072&from_index=4
[6] 江溯,《自动化决策、刑事司法与算法规制——由卢米斯案引发的思考》,载于《东方法学》,2020年第三期。
[7] 同济大学法学院,上海市人工智能社会治理协同创新中心,《欧洲议会和欧盟理事会规定人工智能的统一规则,并修正300/2008号、167/2013号、168/2013号、2018/858号、2018/1139号和2019/214号条例以及2014/90/EU号、2016/797号和2020/1828号指令的2024/……号条例》,朱悦(译),2024年5月15日,网址:https://aisg.tongji.edu.cn/info/1005/1222.htm
[8] 法制网,金华婺城:“枫桥式”安商护企,探索实践“警律e企1818”机制,2023年5月6日,网址:http://www.legaldaily.com.cn/index_article/content/2023-05/06/content_8851235.html
[9] 中国新闻网,集东盟法律数据库及查明服务于一体的平台试运行,2021年12月18日,网址:https://www.chinanews.com.cn/cj/2021/12-18/9633059.shtml
转载自中银律师事务所 闫鹏和,刘玉梦
当前,全球政治经济形势复杂多变,科技革命和产业变革加速演进,企业内外部经营环境发生深刻变化。一方面,市场竞争日趋激烈,合规成本不断攀升,汤森路透监管情报平台发布的《2023合规成本报告》显示监管工作量持续加大,73%的受访企业声称其预计的监管活动将有所增加[1]。企业合规措施已不足以应对经济发展的新形势,客观上进一步激发了企业内部人员实施违法犯罪的动机;另一方面,信息技术广泛应用,给企业合规带来新挑战,企业扁平化的组织结构难以应对合规新形势,内部人员掌握更多资源,客观上增加了违法犯罪行为发生的风险。具体而言体现为如下方面:
(一)内部犯罪日益隐蔽化多元化
近年来,企业内部违法犯罪呈现出许多新特点。一是犯罪主体多元化。高管、实控人成为违法犯罪主体的重要组成部分,与传统的普通员工、中层管理人员相比,企业内部高层人员具有触及企业高层决策、重大经营活动核心领域的更高权限,其违法犯罪通常给企业带来更大的损失。外部相关人员与企业内部人员勾结、串通作案则更为企业造成致命打击。普华永道发布的《2022年全球经济犯罪调研》报告显示,50%的中国受访者表示,其遭遇的极端破坏性或最严重的舞弊行为均是由内外部串通作案。二是犯罪手段隐蔽化。犯罪人员利用职务便利销毁数据、隐瞒真相,通过复杂交易掩盖资金流向,利用规则漏洞窃取企业信息和财产,犯罪过程更加隐蔽。三是涉案金额高。如某中国连锁咖啡品牌境内运营主体及相关管理人员、相关第三方公司大规模虚构交易,虚增收入、成本、费用,虚假宣传,案涉金额达20亿元,合肥“6·20”职务侵占案,安徽宿州“8·26”假冒注册商标案等,案涉金额均过亿元。根据普华永道发布的《2022年全球经济犯罪调研》报告,遭遇极端破坏性舞弊和犯罪事件且损失超过100万美元的企业在受访者中占比38%,这一数据在2020年为40%[2]。内部犯罪给企业带来的损失越来越大。
在目前企业内部监管体系下,管理层利用职务便利侵占企业巨额资产、财务人员虚构交易粉饰报表、供应链管理人员伙同外部人员编织利益输送网络时有发生,采用传统的核查、事后监管等手段难以防患于未然。
(二)企业内部控制制度存在短板
尽管国家和行业主管部门不断加强内控合规建设的指导推动,但当前多数企业的内控机制仍存在短板。一是顶层设计缺位。很多企业尚未建立专门的合规委员会,缺乏权威统一的合规管理决策机构,未能充分发挥董事会、监事会作为公司治理“双轮驱动”关键的作用,缺少在内控建设中的顶层统筹谋划。二是制度流于形式。不少企业仅仅照本宣科地制定内控制度,与自身经营实践脱节,在关键业务、重点领域、核心环节缺少可操作的实施细则,难以指导具体工作。三是约束监督乏力。受所有权与经营权分离的影响,出资人对经营者的约束存在代理成本,董事会对高管层的问责力度不足。这些问题的存在为内部违规行为的发生埋下了隐患。
(三)大数据时代对传统手段提出挑战
在大数据、云计算、人工智能等为代表的新一代信息技术革命方兴未艾,数据流转、跨界共享成为新常态的背景下,传统的内控合规手段弊端逐渐显露。一是数据质量堪忧。企业数据来源广泛,业务系统林立,不同部门和业务单元各自为政,形成大量孤立分散的数据孤岛,传统手段难以处理众多庞杂的原始数据,数据的准确性、及时性较差。二是实时性无法保证。随着企业经营规模的扩张和跨区经营,企业总部对异地子公司、海外业务单元的监管受限于系统壁垒和信息滞后,难以实现对业务和资金流向的实时监控,风险预警和应对存在滞后性。三是复杂关联难以发现。大型企业的组织架构错综复杂,业务场景纷繁多样,传统的抽样分析法难以全面梳理作案人员、涉案账户间的隐秘关联,及时识别系统性风险隐患。根据中国律商联讯风险信息发布最新的亚太地区《金融犯罪合规真实成本报告》,加密货币、数字化支付和人工智能(AI)技术正在成为非法活动的工具,亚太地区23%的受访发现涉及加密货币的金融犯罪有所增加[3]。传统合规手段已经难以应对新技术带来的冲击。
面对新时代企业内控合规所面临的种种不利局面,传统经验和方法难以为继,必须拥抱新技术、运用新手段、探索新路径。人工智能等前沿技术以其高效性、智能化、可视化等优势为企业内控合规插上了腾飞的翅膀。如何运用好这些利器,打造新时代企业内控合规的“金钟罩”和“火眼金睛”,是一个值得深入探讨的前瞻性课题。
人工智能等技术以其强大的感知、学习、推理、计算能力,在金融、医疗、制造等领域已经得到广泛应用。对于企业合规而言,诸如机器学习、知识图谱、区块链等技术在风险交易预警、揭示犯罪规律、进行风险量化、助力证据固定、实现透明监管等方面,均展示出其强大的运算能力和高效率,一个“人工智能+内控”的崭新时代正在到来。
(一)机器学习构筑“天罗地网”
机器学习通过对海量业务数据进行分析建模,能高效、准确地甄别异常交易、识别违规行为,极大提升内控的全面性、精准度。通过有针对性地采集涵盖资金交易、业务活动、行为日志等的多源数据,企业能够采用无监督学习、有监督学习等算法构建异常行为识别模型。比如,可利用 One-Class SVM等算法,以正常交易为训练样本,使用可用数据确定边界,一旦发现偏离正常范围的异常情况即可实现实时预警,从而在资金被 “蒸发”前及时采取止付等措施。再如,财务造假往往体现为非逻辑的会计分录,Ben-ford 定律通过分析会计科目的数字分布规律,能够自动识别伪造凭证、虚增利润等舞弊行为,做到防患于未然。
除分析明显异常的数据外,机器学习还能通过关联规则、聚类、对比等方法,自动发掘隐藏在数据背后的违法犯罪模式。比如,企业可以应用常见的关联规则算法,如Apriori、FP-Growth等算法,找出频繁出现的数据集合,分析内部人员行为与风险事件发生等此类事项之间的关联性,以揭示内外勾结、利益输送的犯罪规律。
机器学习的另一大应用价值在于风险量化与预测。通过分析历史风险事件的多维特征,可建立基于决策树、贝叶斯网络等的风险评估模型,定量刻画不同交易场景、不同岗位人员的风险状况,智能生成内控管理的“风险雷达图”,使隐性风险进一步直观化、可视化、可预测化。在此基础上,还可应用长短期记忆网络(LSTM)等算法,从动态视角对风险发展趋势做出预测,做到风险防控一盘棋,而不是头痛医头、脚痛医脚。
高质量的数据集是机器学习应用的基础。企业应当重视数据治理,从业务、财务、人力等各业务条线梳理数据标准,搭建统一的大数据平台,为智能预警、风险评估等提供数据保障。
(二)知识图谱“照妖镜”
知识图谱本质上是语义网络的知识库,一种包含多种类型的节点和边的多关系图。通俗来讲就是处理实体之间的关系的表达。公司的组织架构、管理层、员工、供应商、客户、相关人员等各类实体,以及它们之间的任职、投资、交易、来往等关系,共同编织成一张巨大网络,错综复杂。这为内部人员违法犯罪提供了可乘之机。而知识图谱技术恰恰擅长抽取、表示、存储这类复杂网络。
企业全面梳理上下游产业链条的结构化、非结构化数据,搭建一个涵盖组织机构、从业人员、供应商、销售商等多类实体和关系的大规模知识库。在此基础上,利用社区发现、最短路径等图算法和关联探寻技术,串联企业内外部、结构化和非结构化数据,自动推断出隐藏在表象之下的复杂网络,揭示内部人员与外部不法分子间的利益关联。传统的内控往往是就财务看财务、就业务看业务,难以做到全局分析,而违法分子往往是通过财务、业务、人事等环节的错综操作实施犯罪。知识图谱能够建立统一的数据视图,发现看似不相关数据间的关联。
比如,在一起某大型国企原负责人受贿、巨额财产来源不明案中,该企业规模庞大、具有复杂的股权结构,犯罪信息隐藏在浩如烟海的数据中难以辨别。办案过程中公安机关采用其采购的数据分析系统,通过对犯罪嫌疑人控制的100多家公司的工商登记、银行流水等信息进行图谱化梳理,发现这些公司在人员、地址、业务上交叉重叠,进而顺藤摸瓜揪出了隐藏在背后的资金流向和犯罪网络。有鉴于此,企业与警方均可通过类似的技术工具,对人力无法穷尽的数据进行系统性管理和分析,揭示内部人控制的利益输送网络,防患于未然。
在实践中,知识图谱往往与规则引擎等技术联用。律师可协助企业将内控制度翻译为可执行的规则,比如“员工不能与供应商存在直接投资关系”等。一旦基于知识图谱分析发现违反规则的行为,系统就会自动预警,大幅提升内控的执行力和效率。
(三)区块链技术助力证据固定
在电子数据已成为犯罪活动主要载体的背景下,通过人工智能技术及时获取、固定电子证据,对于事后追责、维权至关重要。而区块链技术以其不可篡改、可追溯的特点,为电子数据保全开辟了新路径。
早在2017年,沃尔玛的食品公司就开始将区块链追溯技术引入农产品的采购、加工、销售、售后等全环节以满足农产品食品安全标准,商品的生产地点、生产商、装配方式等全部被记载在不可篡改的区块链条上。在这条供应链中,消费者到监管者均能实现对产品采购来源的快速追溯,大幅提高食品品质、降低企业监管成本。[4]
在区块链架构下,企业可将业务交易、资金流转、合同签署等关键环节数据保存在分布式账本中。一旦发生纠纷,相关数据可直接作为司法证据,确保案件查办有迹可循。但单纯依靠企业自建区块链易落入 “唯我独尊”的困境,难以获得外部认可。律师可建议企业积极对接第三方区块链存证平台,如公证处、电子数据存证中心等。这类平台采用联盟链架构,由多方可信机构共同参与记账,公信力更强。同时,平台方已与司法机关建立数据共享机制,电子数据能够顺畅进入诉讼程序,极大提升内控数据的司法效力。
此外,区块链技术还为审计留痕、责任追溯提供了新思路。传统内控审计,尤其是事后审计,往往面临痕迹缺失、证据不足的困境。而基于区块链的审计系统可将全过程数据上链存证,通过智能合约触发实时对账,甚至可编写“审计合约”,实现审计过程自动化。审计人员的操作记录也通过区块链存储,确保审计证据真实可信,责任追溯有迹可循。
综上所述,机器学习、知识图谱、区块链等技术在企业和金融机构合规、侦测和阻断犯罪领域发挥不同的作用。比如,汇丰银行(HSBC)导入SAS AI实时交易诈欺侦测系统,在客户刷卡的当下整合客户所涉及的资料,如过去的交易信息、客户画像、资金历史流通信息等,分析判断该笔消费涉及盗刷的概率,当数据侦测系统结果显示异常时,能够直接阻断交易。迄今为止,该行已在30个地区监控超过一亿张信用卡。[5]实践中,公安部门通常将单一技术整合而成的系统,如违法犯罪资金查控系统、资金分析系统、风险研判系统、数字智能全检系统等,运用到腐败、洗钱、职务侵占等案件的预防和侦查中,公安部大数据中心的建立就是公安部门运用前沿科学技术的崭新实践。
在采用人工智能技术赋能合规制度设计的同时,企业也要警惕使用人工智能技术可能蕴藏的法律合规风险。笔者将从法律视角审视人工智能技术应用于合规治理的全过程中,在程序、实体等多方面可能涉及的重要法律风险,介绍法律工作者在人工智能技术嵌套于企业合规设计中能发挥的重要作用,以指引企业的合规建设。
1、制度设计与权力制衡
主流的新兴的算法通常偏重考虑效率因素,找到最快实现目的的解法。而企业构建合规制度需要考量复杂的制衡与公平因素。以采购流程为例,单人审批、先履约后付款等做法虽然提高业务条线的效率,但滋生利益输送风险巨大。这就要求企业从制度层面加强对关键环节的控制,在制度设计时,从更高的视角优化人工智能技术嵌套,如合规制度的流程,发挥董事会、监事会和高层管理人员的统筹把握能力和优势,考虑不相容职务分离制度,从宏观视角将业务的授权者和执行者分离,执行者与监督者分离,完成内部牵制和权力制衡。
2、知识产权与数据合规
机器学习、知识图谱、人工智能等技术高度依赖数据,知识产权和数据合规问题是运用技术过程中不可避免的潜在风险。人工智能等技术通过对海量数据的抓取和学习,形成一套分析和处理问题的范式,对数据来源的管控就十分重要。一旦人工智能等技术使用的数据为非经权利人授权的信息,例如,在人工智能抓取公开网页信息训练时,有可能使用到他人的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感、隐私信息,无论此类信息是否为公开信息,都有可能违反有关知识产权保护或个人信息保护的法律法规。
数据合规是人工智能等技术应用的基石。为防范此类风险,企业应当全面评估数据资产,区分个人信息与非个人信息,敏感信息与非敏感信息,针对性地制定数据使用规则。
对于个人信息,应当采取自然语言处理算法、模式识别等技术手段,对个人信息进行精准识别,从源头对个人信息进行清洗。在难以避免使用个人信息的情形,应当要严格遵循合法、正当、必要原则,在事前充分告知、征得授权的基础上谨慎使用,并及时告知个人信息提供者使用用途和使用方式,采用脱敏、加密等安全保护措施。对于难以避免要使用却无法取得授权的个人信息,应当根据《个人信息保护法》的相关规定,将数据进行“匿名化”和“去标识化”处理后再加以应用。
2021年通过并实施的《数据安全法》对数据的跨境使用作出限制,其要求境内的组织、个人向外国司法或者执法机构提供存储于中华人民共和国境内的数据时需要经过中华人民共和国主管机关批准。《个人信息保护法》也有相关规定,如第三十六条规定:“国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。”第四十条规定:“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内,确需向境外提供的,应当通过国家网信部门组织的安全评估。”
3、程序正义和算法公平
算法引发的偏见、歧视性问题在社会实践中屡见不鲜。在2016年7月美国威斯康辛州诉卢米斯案中,法官采用替代性惩戒者犯罪管理剖析软件即COMPAS评估被告的累犯风险,并参考评估结果作出判决,引发社会对通过算法得出判决结果是否符合程序正义的讨论。早在该年5月,美国媒体ProPublica已经就COMPAS的公平性问题作出一篇名为《机器偏见》的报告,该报告对COMPAS作出累犯预判的公开数据作出分析,发现在它的系统里,黑人被误判的概率远高于白人[6]。事实上,算法作为商业开发的产品,其根本利益或许与社会利益并不一致,常见的算法存在的歧视如基于从业人员族裔、性别、籍贯等敏感属性设置差异化内控标准,针对不同群体的风险识别阈值不一致等。
应用人工智能参与合规制度建设的过程中,不可避免地会涉及算法公平性问题,而这通常会触发法律对人权保护的红线。欧盟《人工智能法案》就提出了对算法决策过程“黑箱”问题的监管要求,在使用人工智能时应当进行日志留档,在向外界提供信息时应当做到运行过程透明[7]。在企业实践中,人工智能工具的运行结果可能直接导致对员工的处罚,但其决策过程并非透明,员工质疑、申诉无门,损害其正当权益。
在这种情况下,律师应当参与模型设计和算法选择,指导企业在人工智能系统中嵌入可解释性机制,让“黑箱”决策变得可解释、可质疑,用技术手段保障员工申辩权、救济权。还应当对企业试运行人工智能的案例进行必要的评估,识别其中潜在的歧视和非公平风险,引导企业进行修改。如有必要,还可引入第三方机构对系统和运行结果开展独立审计。
4、律师在个案中的专业优势
尽管企业通过完善内控制度和体系可以预防大多数违法违规行为,但个案发生在所难免。面对个案,律师应当展现在法律和实务处理上的专业优势,协助企业最大限度避免损失、维护企业合法权益。
首先,律师要引导企业建立疑似违法违规线索甄别机制,确定个案性质,分类处理一般违纪与涉嫌犯罪案件。对于企业依据内部规章制度无法处理的案件,律师应当指导企业向公安机关报案,积极应诉,避免因处置不当造成不利影响。
一旦定性为刑事案件,企业在开展相关工作中应当采纳律师的意见,在律师的指导下开展前期调查、证据收集、向公安机关报案等工作,避免产生未经授权查阅员工社交媒体记录、私自扣押涉案人员电子设备等违反程序法以至于无法被采信为证据的问题。此外,律师还可以代表企业收集企业难以获取的信息,如涉案人员的社会关系、投资信息等,补强案件证据链条。
在案件程序终结后,律师还应协助开展“案后复盘”,查找内控漏洞,督促完善规章制度。
总之,在个案处置中,律师从全局出发,指导企业严格依法办案,在事前风险防控、事中依法处置、事后复盘完善等全过程中贡献专业力量,促进企业内控合规制度的完善。
5、“法律+科技”的培训宣导
当前,我国正处于全面依法治国的关键时期。“法律进企业”已成为企业可持续发展的必由之路。
一方面,律师要善于运用大数据、人工智能等新技术开展精准普法。传统的“填鸭式”法律培训往往“灌输多、吸收少”,员工参与的积极性不高。律师可以引导企业建设“智慧普法”平台,利用数据分析、用户画像等技术,因材施教、因需施教。针对中高层管理人员,可重点就反垄断、关联交易等法律风险开展专题培训;对一线员工,则应聚焦合同签订、票据使用等实务,提高培训的针对性和实效性。在培训形式上,也要主动顺应互联网时代需求,开发视频微课、在线考试、情境模拟等创新产品,提升培训的吸引力和参与度。
另一方面,企业在尝试运用人工智能技术进行合规制度建构的过程中,必然会出现对相关新兴法律领域不熟悉的现象,为避免企业使用技术工具提高合规治理能力时反而违反法律的情况出现,律师应当对企业合规制度设计者和实际操作人员进行培训,开展专题讲座、以案释法等,指导企业人员运用新兴技术。
总之,律师应将法治思维、合规理念融入企业内控制度和业务流程设计之中,确保制度流程经得起法律和道德的检验,增强全员风险防范意识,为依法合规经营筑牢制度根基。
当前,腐败问题错综复杂、源流交织,仅靠企业一己之力远远不够,必须汇聚各方合力。警企律作为多元主体协同共治的一体化风控格局的新探索,在各地均有成效显著的实践。如浙江金华婺城积极构建“枫桥式”安商护企服务体系,探索实践“警律e企1818”机制,公安分局对接律师事务所,组建公益性法律体检团队,为企业合规建设量身定制整改方案,助力法律合规体系建设[8]。地方的先行实践展示出警企律联动工作机制的独特优势。其间,律师作为警企联络、法律服务供给方,在其中具有独特作用。
(一)顶层设计:健全公私合作法律机制
当前,尽管不少企业与警方开展了反腐败、反洗钱等领域的合作,但缺乏制度化的顶层设计,合作往往是碎片化、临时性的。律师等法律工作者应当发挥专业优势,推动从法律和制度设计层面明确企业反腐败主体责任。
首先,应当推动完善企业合规考核、信用监管等配套制度,为常态化警企合作提供法治保障。其次,大数据时代下的风险防控离不开数据合规和数据共享,律师应当积极建言,呼吁制定专门法律以厘清企业、执法机关在数据使用、数据共享中的权利义务边界,在完善企业合规体系和保护个人隐私之间找到平衡。
在跨区域、跨部门数据整合方面,律师也大有可为。比如,中国-东盟法律研究中心在中国政法大学的指导下,与知网一同搭建“一带一路”沿线数据库(东盟区域)及法律查明服务中心,整合东盟各国的法律法规、司法判例、国际条约、专业解读等信息近60万篇,为中国企业“走出去”提供优质的涉外法律服务[9]。类似地,律师可以发挥专业优势和行业影响力,搭建区域乃至全国性合作平台,建立统一的数据标准和管理规范,为企业合规体系建设提供完整、优质的法律指引服务,实现数据共享。
总之, “公私合作”已成为共识,但如何从制度层面予以保障,仍需要包括律师在内的各方持续发力,以法治方式厘清权责边界,为警企常态化互动铺就坦途。
(二)联合打击:警企律密切配合
联合打击是实现警企律多方合力、精准惩治腐败的关键一招。律师作为熟悉法律、了解企业的专业机构,应当在其中扮演“双向翻译”角色。一方面,律师要向公安机关阐释企业内控合规工作的制度建设、措施落实等情况,客观评价企业配合调查的诚意。另一方面,律师要向企业宣讲反腐败相关法律,引导企业正确行使和履行报案、举证等诉讼权利义务,依法配合侦查。
需要强调的是,在联合打击过程中,信息共享是基础。如上点所述,除积极推动数据信息共建共享平台外,律师还可以推动警企建立定期通报、重大案件互通等机制,畅通信息交换渠道。
(三)系统集成:搭建一体化风控平台
当前,警企数据分散、系统割裂的现状制约了风险防控的效能。律师应当充分发挥警方与企业之间、企业与企业之间的联络人作用,助推搭建警企律一体化风控平台,实现数据互联互通和风险全流程管控。
首先,平台建设须严格遵循网络安全、数据保护等法律规定。律师要全程参与平台规划设计,明确用户权限管理、数据脱敏处理、安全审计等方面要求,筑牢数据安全防线。
其次,平台应当具备数据采集、整合、分析、可视化呈现等功能,实现对股权结构、资金流向、重大合同审批等关键风险点的全景式监测,对汇聚的数据进行实时监测和可疑交易预警,实现对风险的自动识别。律师可以协助技术人员开发针对性的风控模型,推动嵌入案例检索、法律法规查询等功能,为风险研判提供法律法规和实务案例参考。
需要指出的是,法律规则是风控平台建设的重要组成部分。一方面,合规审查规则库应当成为平台标配,所有业务流程、风控措施都要接受合规性评估,筑牢风险防控的法治根基。另一方面,平台产出的预警结果、分析报告等也要经过律师把关,确保其日常指导企业完善合规体系的参考价值以及涉案时作为证据的合法性。
此外,风控平台的应用成效如何,还取决于司法、执法机关能否有效介入。律师应推动在平台上嵌入举报核查、联合调查等功能模块,为实现“情报共享、联合打击”提供系统支撑。
(四)制度先行:护航依法合规经营
协同共治的最终目标,是营造更加公平透明的法治化营商环境。作为企业合规顾问,律师要自觉将企业内控合规建设放在服务国家发展大局的高度谋划,以专业视角和责任担当为企业合规发展保驾护航。
首先,律师应大力倡导依法治企理念。从董事会、监事会、高级管理人员的视角全景式构建企业合规体系,引导企业树立“合规创造价值”的理念,提高在合规方面的人力和物力投入,加重对合规的重视程度,将合规绩效纳入经营业绩考核体系,促使企业上下形成 “不能腐、不敢腐、不想腐”的环境。
其次,律师要帮助企业制定全套的合规制度,区分风险高发的不同领域,形成完整且具有可行性的合规体系。在高风险领域和岗位,律师要协助制定严密的权力清单和责任追究机制,规范权力运行;在政商交往、公款消费等腐败易发多发领域,律师要提示将相关活动置于阳光下运行,完善内部和外部监督制度;对涉及重大利益冲突的业务,律师还应建议引入第三方机构进行独立审计,防范寻租空间。
再次,律师应当引导企业大胆创新,在合规的前提下激发市场活力。对轻微违规行为,可探索建立容错纠错机制,允许合规及时到位的企业减轻处罚。同时,还应借鉴国际经验,倡导建立企业合规指引、实施宽严相济的制度,鼓励企业合规自查,主动移交涉案人员,从而在遏制犯罪与鼓励创新间实现良性互动。
总之,推动企业依法合规经营是一项系统工程,需要包括律师在内的各方共同发力。律师应当立足专业所长、把握时代脉搏,在法律风险防控和价值创造间找到平衡,以专业之见、务实之策服务法治化营商环境建设,助推企业法治化高质量发展。
面对错综复杂的违法犯罪形势,传统手段和经验在应对企业合规建设方面已略显不足,人工智能、机器学习、知识图谱等创新技术为企业合规治理注入新活力。作为法律职业共同体的重要一员,律师应当积极学习和迎接新兴技术,将人工智能等技术嵌入企业合规制度之中。同时,应当发挥律师专业优势,助力企业在运用技术的过程中避免触及法律红线,在组织架构设计、制度流程完善等方面提供切实可行的建议,最大限度维护企业利益。面对新时代对反腐败工作提出的更高要求,仅靠企业一方用力远远不够,必须畅通警企律协作渠道,在公私合作、联合打击、系统集成、制度设计等方面多管齐下,携手打造全面覆盖、高效协同的一体化风控新格局。
参考资料:
[1] Thomson Reuters,《2023合规成本——监管负担导致合规部门面临运营困难》。
[2] PWC, PwC’s Global Economic Crime and Fraud Survey 2022 Protecting the perimeter: The Rise of External Fraud.
[3] LexisNexis® Risk Solutions,研究报告:亚太地区金融犯罪合规年度成本高达 450 亿美元,2024年3月6日,网址:https://risk.lexisnexis.com/global/zh/about-us/press-room/press-release/20240306-true-cost-of-compliance
[4] 芮萌,尹文强,《区块链:防伪溯源创新,让“良币”驱逐“劣币”》,载于《中欧商业评论》,2020年9月。
[5] 陳愷新,金融業追ChatGPT,也別忘三大AI趨勢:雲端、新型犯罪、氣候風險評估,2023年6月6日,网址:https://futurecity.cw.com.tw/article/3063?rec=i2i&from_id=3072&from_index=4
[6] 江溯,《自动化决策、刑事司法与算法规制——由卢米斯案引发的思考》,载于《东方法学》,2020年第三期。
[7] 同济大学法学院,上海市人工智能社会治理协同创新中心,《欧洲议会和欧盟理事会规定人工智能的统一规则,并修正300/2008号、167/2013号、168/2013号、2018/858号、2018/1139号和2019/214号条例以及2014/90/EU号、2016/797号和2020/1828号指令的2024/……号条例》,朱悦(译),2024年5月15日,网址:https://aisg.tongji.edu.cn/info/1005/1222.htm
[8] 法制网,金华婺城:“枫桥式”安商护企,探索实践“警律e企1818”机制,2023年5月6日,网址:http://www.legaldaily.com.cn/index_article/content/2023-05/06/content_8851235.html
[9] 中国新闻网,集东盟法律数据库及查明服务于一体的平台试运行,2021年12月18日,网址:https://www.chinanews.com.cn/cj/2021/12-18/9633059.shtml
转载自中银律师事务所 闫鹏和,刘玉梦
上一篇:已经是第一篇下一篇:管理人在破产案件中的履职智慧
本文2024-10-24 12:19:22发表“律法实务”栏目。
本文链接:https://www.cmprt.cn/article/d26e0cd0d6311bc1.html
您需要登录后才可以发表评论, 登录 或者 注册
最新文档
最新实务
