智仁原创 | 企业数据合规保障与研究——以预防中小企业职务侵占为例

数据已然成为新型生产要素，2021年新实行的《数据安全法》对数据进行了明确的定义，指的是任何以电子或者其他方式对信息的记录，也即分为电子数据和非电子数据，而得益于计算机算法和互联网技术的高速发展，使得大量收集、批量处理电子数据成为可能。

现如今，各企业无论规模大小，为实现信息化高效管理，纷纷应用起信息技术网络系统来统一管理企业内部的各项数据，包括企业收集的个人信息数据、工业数据、商业数据和其他特殊行业数据等等，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括自然人的基本资料、身份信息、生物识别信息、财产信息等；工业数据是指企业生产经营过程中获得的机器设备数据、各类工程图纸、测量记录等；商业数据则是指企业运营过程中产生的财务数据、市场数据、客户清单、货源情报等。[ 参见赵洁琼、茆昕怡《大数据视角下企业数据合规体系搭建与应对策略》，《上海法学研究》集刊，2021年第14卷。]由此导致企业面临新发的数据合规风险，如侵犯个人信息、商业秘密、违反网络安全或信息网络安全管理义务等等，而其中容易被热点问题掩盖却与企业内部控制缺陷密切相关的企业合规问题，便是内部员工特别是企业高管的职务侵占犯罪问题，虽然员工职务侵占已不是什么新生话题，但因为企业经营管理的模式在与时俱进，进而直接影响了职务犯罪手段的“更新迭代”，若此时企业未能将合规管理体系加以完善、及时发现内部控制缺陷时，一旦发生恶性犯罪案件，不仅企业自身遭受巨大的经济损失，还将面临企业外部形象、市场认可度下降等信誉危机。就此，本文将着重探讨因数据管理不善，引发的企业高管职务侵占犯罪方面的数据合规风险及应对措施。

在律师办案的实务中时常会遇到企业因数据管理不善等原因而产生的职务侵占犯罪的类案问题，针对本文研讨的主题，笔者精选出一例办理过的典型案件，结合实务及案情进一步分析企业为何产生此种合规风险，以及所带来的恶劣影响，最后提出预防措施及应对方案和策略。

A公司（非上市公司）是甲省的一家网络技术公司，并在全国各地设立多家业务区办公室，各地业务区均有自己区域的网络公共平台系统用于上传业务订单，再统一汇总至总公司管理的总平台系统进行业务审核并办理开票、发货等事宜。所有货物（主要为铝材等）均从甲省发往各业务区，每个业务区仅负责本区域内的业务，并负责各自网络平台的账号与密码，如因人员流动等变动安排，导致账号密码有更新的，应当及时报备公司方。同时A公司授权给各销售人员的货物出售价格是以价格区间的形式呈现，即在A公司规定的合同货物的成本价与最高价之间，销售人员可凭自身能力与第三方客户进行磋商，在该区间内达成的合同交易价越高，公司方面给予销售人员的薪资提成比例相应增加。

张三是A公司位于乙省办公室的业务区主任，负责乙省区域的全部销售业务，但因不满足于每笔订单赚取的提成金额，恶意利用A公司为销售人员安排的价格幅度区间，自行设计出一套犯罪方案，暗箱操作，并将合同和伪造的假订单截图一同上传至省公司平台，并由省公司平台发送至A公司总平台，同时编造第三方客户增加了货物数量，进而诱骗A公司增加发货数量，多增加的货物转手卖到丙省某地的废品回收站（铝材的市场回收价格较高），从中骗取高额收益并占为已有。最终再将假订单夹杂在一批真订单中一同申请开票，企图以此蒙混过关骗取财务人员为其开具发票，妄想神不知鬼不觉为整件事件画上“圆满的句号”。

A公司审核人员在审批流程时，发现张三提供的省公司平台订单截图与总公司平台上显示的下单内容是一致的，流程合规，批准发货。尽管在审核订单时，相关人员已发现异常，譬如订单价格和以往订单相比折扣较低、收货地址不在所辖业务区等，但张三作为该省区域的主要负责人，利用公司对员工的信任及自己编造客户方理由的便利，诱骗公司发货。待发货后，A公司财务人员再次进行审核时，发现该批订单的电子二维码为同一个，不符合“一单一码”的正规形式，而登陆该省公司平台账号进行核实时，发现密码错误、无法登陆。向张三索要后，其屡次提供错误密码，后无奈经过第三方客户提供的平台数据库方核查出，张三所提供订单截图中的订单号根本不在数据库中，其提供的完全是一批伪造的假订单，张三的所作所为至此败露，后经调查，仅仅案涉假订单的合同成本价款金额就高达八百万元，张三的这一行为令公司损失惨重。

本案中，张三的巧妙之处在于他清楚的知道自己身居要职，管理整个外省区域的销售业务，特别管理着本区域内的数据平台系统，有相当程度上的职务便利；同时再利用销售人员控制价格浮动幅度的权力的漏洞以及公司审核管理上的不合理，最终达成了其犯罪目的。张三的行为已涉嫌触犯《刑法》第二百七十一条规定的“职务侵占罪”，依法被追究相应的刑事责任。与此同时，通过本案我们能够看出A公司在管理上的疏漏和缺陷，特别是对于这种未上市的公司，虽然尚未转型，但业务领域已拓展至其他省份，需要派驻高管，如区域主任或经理前去管理、执行，极易造成单一管理层的局面，而一旦公司的内部管控制约制度跟不上，随之而来的合规管理风险影响是极为恶劣的，反而会大大阻却公司的上升和发展。

（一）企业内部管理及监督存在缺陷

习近平总书记早在党的十九大报告中就特别强调：“要加强对权力运行的制约和监督，让人民监督权力，让权力在阳光下运行，把权力关进制度的笼子。”这一指导方针同样适用于企业合规管理方向，有权力就应当有制衡，没有制衡的权力是导致犯罪的根源。

从上述案例可以看出，A公司对张三的订单或是省区域的信息数据平台系统的监督均是不到位的，既没有在第一时间监测到订单上的二维码是动过手脚的，也没有在张三修改平台密码时第一时间获取消息，最后还要通过第三方客户平台的数据库核对订单号是否确实存在，这通通反映了A公司对内部数据平台使用管理的缺陷；同时对于已经发现的异常情况，仅靠张三的说辞以及张三的平时业绩水平及业务能力而轻易相信，也侧面反映出公司内部管理及监督不够严谨、细致及周密。使得张三作为公司区域业务的高管，其权力没有受到应有的约束、权力过大，再加上其多年在业务领域的工作经验，深知业务销售的手段和技巧，都在一定程度上增加了职务犯罪的可能性。

（二）信息与沟通不对称

公司不仅要做到内部信息的融会贯通，还要注重关注外部信息的及时沟通，从而保障获取的信息足以支撑作出公司决策。当公司高管存在自利动机甚至有利用职务便利实施违法犯罪行为的动机时，会主观的干预信息的沟通与传递，通过自身在信息沟通方面的有利地位，阻碍信息传递，有选择的仅传达对自身有利或者无关紧要的信息等。高管的权力手指月的程度以及高管在任时间的长短都会对于信息的传递产生或多或少的不利影响。[ 参见王雨晴，《高管职务犯罪与内部控制缺陷补救问题研究——以南航腐败案为例》，2021年6月8日。]

在上述案例中，对于订单审批的异常，A公司的审核人员并未与第三方客户取得联系进行确认或是上报公司管理层亦或是让张三提供相应的证明，也许在先已经发生过类似的状况，但公司方一定要始终确保作出每一项决策前的信息准确、及时、透明，与管理负责人员、第三方做到数据及信息的及时对接，使得每项业务均在合法合规的范围内操作并完成，减少公司可能面临的合规风险。

（三）企业合规风险文化建设不足

在每一件职务侵占犯罪案件中，时任的涉案人员在思想道德方面无疑是存在问题的，他们将自己利益置于公司利益之前，为了获取尽可能多的利益，作出对公司不利的决策，利用公司赋予的权利，中饱私囊。而从企业可持续发展的角度来看，企业文化领域的建设对于公司的长久生存亦是不可或缺的。现下热点话题“企业合规管理体系”的实质，实则就是在建设一种依法依规、合规经营的良好企业文化。若企业没有形成体系般的、富有凝聚力的、明确职责与企业风险的企业文化，那么企业犹如一盘散沙，每个职位虽有明确的职务划分，却不知道自己的职责与企业之间有什么权益关系，更不会考虑如何能够帮助企业规避合规风险。

如同在上述案例中，张三是出于私利完全与企业利益相背驰的，然而A公司网络公共平台系统的审核人员对数据合规风险的认识亦不够充分，若该批订单出现问题，将会给公司带来什么样的损失，若对此风险认知清晰，相关事宜是不会由张三几句解释就可以搪塞过去的。

从传统经验来看，企业针对职务侵占行为的处置措施无非四点：一是内部处罚；二是解除劳动关系；三是提起民事赔偿诉讼；四是追究刑事责任。这四点虽然可以很好地解决个案问题，但有时也会产生无法追缴赃款等问题，企业的损失难以挽回。因此从致力于企业长远发展的合规角度而言，企业还需要建立起合规管理体系，立足于企业治理与可持续发展做好预防应对措施。

（一）优化企业数据管理系统，构建数据标准体系

“千里之堤，溃于蚁穴”，事后追责远没有事前预防直击痛点。企业在利用数据平台管理时，要充分实现管理职能和监督职能，对企业OA系统中每一项业务审核做到严谨细致、有理有据。对于需要“总平台+若干区域平台”的模式进行管理时，保证区域平台的各项事务均需通过总平台审核，充分保证总平台的审核及监督权，特别是区域平台账号及密码修改等关于区域平台账户基本使用操作及安全隐私的事项，必须经过总平台的审批同意及备案登记，方可进行修改，并在OA系统中明确能够看到授权使用该账号密码的相关人士。充分利用技术管控数据信息的优势，建立一套完善的组织管理系统，对各平台的加密、负责人员、上传及查看数据的访问记录、任何可疑操作等方面均能了如指掌、掌控在手，以防出现信息泄露、篡改的不良情形，损害企业的合法权益。

（二）加强企业合规制度建设，建立有效的监督制约机制

企业经营过程中一项业务的履行，往往要经历多个不同的阶段，从签订合同、确认订单、发货、运输、卸货、开票、对账、结算款项等，而对于每一环节的合规管理和监督制约尤其重要。紧紧围绕财务管理、资金流向、货物流转、合同签订等重要环节，确保各个环节出于合规管控之中，关注合同相对方、合同约定货物、发货订单货物、款项流向、货物流转地的一致性，及时核查应收、应付款项，尤其关注一大批订单申请单张发票时的审核，如公司之间履行框架协议的情况，更要愈加细致，严丝合缝地对账，堵塞一切可能因审查或监督不到位而产生的法律漏洞风险，防范于未然。

（三）定期开展合规专项培训，提升员工的安全意识

合规专项培训落在企业实操中时往往是一件“可虚可实”的任务。然而，根据ACFE《2020年ACFE全球舞弊调查报告》[ 注册舞弊审计师协会（ACFE）于2020年4月发布了《2020年ACFE全球舞弊调查报告》。该报告基于对125个国家51608名注册舞弊审计师（CFES）在线调查和2504个职务舞弊案例分析，详尽研究了职务舞弊的成本和影响，在查处和预防职务舞弊、帮助组织实现预期目标等方面，具有较好的借鉴价值。]，在进行过员工培训的公司，员工使用举报方式揭露舞弊行为的可能性系未经培训公司的2倍多（具体比例分别为53%、25%），也愈发有使用热线电话、正式报告等多方式反舞弊的行为趋向（具体比例分别为63%、53%）。因此，员工安全意识的薄弱同样是企业合规发展需考虑的重大风险点。企业应定期举行信息培训，提高员工特别是企业管理者的法律意识，对职务侵占等犯罪行为产生清醒的认识，也让员工了解企业的合规政策，并知悉违反相关规定的严重法律后果，包括但不限于民事赔偿、被追究刑事责任等。此类培训也可以保留相关的签到记录及培训内容记录，与年底评优评奖相关联，鼓励员工积极参加并予以反馈。使得每位员工尤其公司高管真正意识到维护好企业的数据信息及资金安全的责任，并形成企业文化深入心中的程度。

社会经济发展已进入信息化、数字化的新常态，企业特别是中小企业的经营发展面临着内外压力及挑战，因此企业要深刻认知到，从员工、业务、资源等层面，对OA系统等数据信息化管理系统进行科学设计，打造符合企业经营管理现状和发展趋势的信息化管理系统。唯有如此，才能够有效实现企业经营管理模式的创新改革，提高企业核心竞争力，为企业的长效稳定发展打下坚实的基础。[ 参见施畅、谢庆辉，《企业办公管理OA 系统的设计与实现分析》，《中国科技纵横》,2020（6）：45-46。]同时针对企业的具体情况，使企业的内部控制与发展要求相契合，多方面、多角度确保执行与管理在管控与监督的保障之下，时刻关注企业内部执行情况以及与外部信息沟通对接情况，对已有的或可能发生的管理缺陷进行有针对性的补救，重点监督企业管理人员权力的行使，增加违法成本，尽可能的减少职务犯罪的可能性，铸造起良好诚信合规管理体系文化，为企业的长久持续发展夯实“软实力”基础。