出品:合規(guī) 作者:陳立彤 2019年4月30日����,美國司法部刑事處公布了更新版的《公司合規(guī)程序評價》(Evaluation of Corporate Compliance Programs),迅速引起各國合規(guī)專業(yè)人士的關注�����。
(注:Compliance Programs應當翻譯成“合規(guī)程序”還是“合規(guī)計劃”有爭議�����。因為Plan翻譯成“計劃”�,Program翻譯成“程序”似乎更好。) 這個2019年的版本是美國司法部早在2017年2月8日頒布的版本的更新版�����。 在2017年的版本中���,美國司法部從多角度��,對如何評價企業(yè)合規(guī)程序給予了指導�。我們常說合規(guī)是生產力創(chuàng)造價值�;合規(guī)是金色盾牌讓企業(yè)少被罰不被抓。那么在實務中���,這個金色盾牌該怎么打造���?2017年版本解決了這個問題: 對潛在不當行為的分析和整改 | 公司如何對相關不當行為進行根本原因分析? | 之前是否有機會發(fā)現(xiàn)相關不當行為? | 公司實施了哪些具體改變以確保將來不再發(fā)生相同或類似的問題��? | 高級和中層管理人員 | 高層領導如何通過自身的言行鼓勵或者阻止這類不當行為�����? | 高層領導和其他利益相關方采取了哪些具體行動展現(xiàn)他們對合規(guī)的承諾�,包括采取的整改措施? | 董事會能夠獲得什么樣的專業(yè)合規(guī)幫助����? | 自主權和資源 | 合規(guī)部門是否參與不當行為相關的培訓及相關決策? | 合規(guī)職能部門與公司其他戰(zhàn)略職能部門相比如何�����? | 合規(guī)和內控人員是否具備其職責所要求的適當經驗和資格? | 合規(guī)和相關控制部門是否直接向董事會匯報工作��? | 如何基于公司的風險特征對合規(guī)和相關控制部門的人員和資源分配進行決策��? | 公司是否將全部或部分合規(guī)職能外包給外部公司或顧問�����? | 政策和流程 | 公司制訂和執(zhí)行新的政策和程序的流程是什么�����? | 誰負責整合政策和程序���? | 哪些控制失效或者缺乏哪些原本可以發(fā)現(xiàn)或阻止不當行為的控制措施��? | 風險評估 | 公司使用什么方法識別�、分析和解決其所面臨的特定風險�����? | 公司為發(fā)現(xiàn)相關類型的不當行為收集和使用過哪些信息或參數(shù)��? | 公司的風險評估流程是如何解釋顯現(xiàn)的風險的? | 培訓與溝通 | 相關控制部門的員工接受過哪些培訓����? | 培訓使用的形式和語言是否適合目標培訓對象? | 高級管理人員采取哪些措施讓員工知悉公司對已發(fā)生的不當行為所持有的立場���? | 公司為員工提供哪些合規(guī)政策指導資源? | 保密報告和調查 | 公司是如何收集�、分析和使用來自其報告機制的信息的? | 公司如何確保調查范圍的適當性��、調查的獨立性和客觀性���、調查實施和記錄的恰當性�����? | 公司是否通過調查確認根本原因���、系統(tǒng)漏洞以及問責失效? | 激勵和處罰措施 | 公司針對不當行為有哪些紀律處分措施以及何時實施這些措施���? | 公司針對不當行為有哪些紀律處分措施以及何時實施這些措施����? | 獎懲措施是否在整個公司得到公平一致的實施? | 公司對激勵合規(guī)和道德行為有什么激勵機制��? | 持續(xù)改進�����、定期測試和審查 | 通過哪些類型的審計可以發(fā)現(xiàn)與不當行為相關的問題���? | 公司是否審核并審計過不當行為相關領域的合規(guī)制度��,包括測試相關控制措施����,收集并分析合規(guī)數(shù)據(jù)以及約談員工和第三方��? | 公司更新風險評估機制以及審核合規(guī)政策�����、流程和操作實踐的頻率如何���? | 第三方管理 | 公司的第三方管理流程如何適應其所發(fā)現(xiàn)的企業(yè)風險的性質和級別�����? | 使用相關第三方的商業(yè)理由是什么��? | 公司如何從合規(guī)風險角度考慮和分析第三方的激勵模式���? | 對涉及不當行為的第三方進行的盡職調查是否發(fā)現(xiàn)危險信號以及是如何解決的��? | 并購 | 盡職調查過程中是否發(fā)現(xiàn)不當行為或者不當行為的風險����? | 合規(guī)部門如何參與兼并�����、收購及整合流程�? | 公司對于盡職調查過程中發(fā)現(xiàn)的不當行為或不當行為風險有什么追蹤和整改流程����? |
與2017年版本相比,2019年更新版的《公司合規(guī)程序評價》(Evaluation of Corporate Compliance Programs)更加務實�����、落地且有實操性。 其旨在幫助檢察官在是否且如何做出檢控及處理決定時參考如下標準: 一個公司的合規(guī)程序在該公司的違法犯罪行為發(fā)生時是否有效���、在多大程度上有效���; 一個公司的合規(guī)程序在檢察官在提起檢控決定或著解決方案時是否有效、在多大程度上有效�����,從而幫助檢察官決定合適的: (1)解決方案或監(jiān)控方式��; (2)罰金(如有)��; (3)公司刑事解決方案中含有的合規(guī)義務(比如���,監(jiān)管計劃(monitorship)或者報告義務)�����。 在評價一個公司的合規(guī)程序時�����,一個檢察官要問三個基本問題: 1.公司的合規(guī)程序是否設計有方? (“Is the corporation’s compliance program well designed?“) 2.該程序的實施是否實打實�����、不弄虛作假����? 換言之��,該程序是否被有效地落實到位�? (“Is the program being applied earnestly and in good faith?“ In other words, is the program being implemented effectively? )
3.在實務中“公司的合規(guī)程序在發(fā)揮著作用”�? (“Does the corporation’s compliance program work“ in practice?) 就第一個問題:公司的合規(guī)程序是否設計有方? 在評價一個合規(guī)程序是否設計有方在于看其是否能夠有效地阻止且檢測員工的不當行為��、公司管理層是否在執(zhí)行該流程或者公司默許或迫使員工在從事不當行為。 對此����,檢察官應當檢查合規(guī)流程是否全面(the comprehensiveness of the compliance program),確保不僅有一個明確的信號傳遞給員工:違規(guī)行為不被許可����,而且公司制定有政策和程序——從適當?shù)呢熑畏峙涞脚嘤柫鞒痰郊钆c懲罰——確保合規(guī)流程嵌入到公司的運行與工作中去����。 A.風險評價 (Risk Assessment) 一個公司的合規(guī)體系是否設計有方要看這個公司是如何識別、評價及定義該公司的風險特征并在多大程度積聚公司的資源來應對這些風險��。 檢察官在考量一個合規(guī)體系是否設計有方時�����,要看該體系“是否能夠把該公司某個特定的業(yè)務線中很有可能發(fā)生的那些特定的違規(guī)行為給檢測出來”以及“復雜的監(jiān)管環(huán)境”�����。 檢察官還得考量一個公司的合規(guī)體系是否能夠針對風險評估的結果做到定身量作并且定期地更新評價標準�����。 檢察官對于那些高質量的��、有效的以風險為基礎的合規(guī)程序(亦即把人財力放到高風險的業(yè)務上,哪怕因此無暇顧及低風險區(qū)的一些問題)應當加分��。 至于什么是針對風險定身量作主要看一個公司是否能夠吸取教訓來提升合規(guī)體系�����。 對此�����,檢察官要看三個因素: 風險管理流程 (Risk Management Process) 風險定制資源配置 (Risk-Tailored Resource Allocation) 更新與修正 (Updates and Revisions) B.政策與程序 (Policies and Procedures) 一個設計有方的合規(guī)體系應當制定有政策和程序一方面弘揚企業(yè)的道德文化����,另外一方面降低企業(yè)的風險敞口�����。 因此,要看一個公司是否制定有行為準則明示合規(guī)的合規(guī)承諾和決心并且把行為準則宣貫到公司所有的員工�。 對此,檢察官應當評估一個公司是否建立了政策和程序把公司的合規(guī)文化融合到它的日常運營當中去�。 對此,一個檢查官要考慮如下的因素: 設計( Design) 全面(Comprehensiveness) 宣貫(Accessibility) 執(zhí)行到位 (Responsibility for Operational Integration) 關鍵控制人(Gatekeepers) C.培訓與交流 (Training and Communications) 檢察官要評價合規(guī)政策和程序是否落實到位,關鍵要看是否提供了相關培訓和證書給所有的董事����、經理、員工,必要時包括代理商及業(yè)務伙伴���。 培訓務求有效、務實���,而不應當是泛泛的、膚淺的。 對此�,一個檢察官應當考量如下因素: 風險為基礎的培訓(Risk-Based Training) 培訓的方式�、內容及有效性 (Form/Content/Effectiveness of Training) 自曝其短(Communications about Misconduct) 準則規(guī)范唾手可得(Availability of Guidance) D.保密報告體系和調查程序 (Confidential Reporting Structure and Investigation Process) E.舉報機制的有效性 (Effectiveness of the Reporting Mechanism) 企業(yè)是否有匿名的舉報體系��?如果沒有����,為什么?舉報體系是否告知了員工����?企業(yè)是否對舉報的嚴重程度做相應的評估���?合規(guī)職能部門對舉報和調查信息是否能夠全面接觸? 對此,檢察官要考量如下因素: 由合格的人員圈定調查范圍并調查(Properly Scoped Investigations by Qualified Personnel) 調查響應(Investigation Response) 資源分配與結果處理(Resources and Tracking of Results) 第三方管理(Third Party Management) 行動與結果不打折扣 (Real Actions and Consequences) F.兼并收購 (Mergers and Acquisitions) 一個設計有方的合規(guī)體系應當包括對收購目標做充分的盡責調查,包括: 盡調程序(Due Diligence Process) 合規(guī)融入盡調(Integration in the M&A Process) 盡調落實到實處的流程 (Process Connecting Due Diligence to Implementation) 就第二個問題:合規(guī)體系是否被有效地落實到位���? 一個合規(guī)流程設計得再好,如果它不能被有效地落實到實處�����,也是失敗的。 檢察官一個合規(guī)流程是否是僅僅落實在“紙面”上(paper program)���,還是被有效地“實施���、評審和修改”����。 另外,檢察官應當決定公司是否提供了足夠的人力來進行審計����、歸檔��、分析并利用公司力量來做好合規(guī)。 檢察官還應當檢查公司的員工是否被充分地告知公司的合規(guī)流程以及公司就合規(guī)所做的承諾�����,包括公司的合規(guī)文化比如員工充分意識到公司對于任何違法犯罪行為都是零容忍���。 A.中高管理層合規(guī)擔當 (Commitment by Senior and Middle Management) 公司的高層領導——董事會與行政高管——是否做到合規(guī)從高層做起��。 檢察官應當檢查公司的高管清晰無誤地表達了公司的道德標準并且做到身體力行��。 檢察官還應當檢查中層領導是否實施了這些標準并且鼓勵員工遵守這些標準。 公司的治理層應當對公司的合規(guī)與道德要求的內容與行動了然于胸并采取合理的監(jiān)察���。 對此���,檢察官應當考察如下因素: 從領導做起(Conduct at the Top) 宣貫合規(guī)承諾(Shared Commitment) 監(jiān)察(Oversight) B.自主與資源支持 (Autonomy and Resources) 高度的執(zhí)行力要求從事日常合規(guī)管理工作的人員應當有足夠的權威與聲望。 因此�����,檢察官應當評估合規(guī)流程是怎樣構成的���。 另外,檢察官應當評價合規(guī)崗位是否配備足夠的人力和資源�����。 特別是�����,負責合規(guī)工作的崗位是否: (1)有足夠高的職位���; (2)速購的資源���,特別是��,人員來有效地從事必需的審計�����、歸檔及分析工作�����; (3)有足夠的自主權��,比如能夠直接與董事會或董事會的審計委員會聯(lián)系��。 檢察官應當評價內部審計是否能夠在獨立和準確的基礎上予以展開,這也是表面來合規(guī)工作人員是否有足夠的權力和職位來有效地檢測和防止不當行為的發(fā)生�����。 公司還應當保證足夠的人力和資源配備�����,并且做合規(guī)工作的人員應當是有職權�����、有獨立性并且有足夠的專業(yè)性���。 因此���,檢察官要考量下列因素: 構成(Structure) 職位與聲望(Seniority and Stature) 經驗與資質(Experience and Qualifications) 資金與資源(Funding and Resources) 自主(Autonomy)���。 C.合規(guī)功能外包 (Outsourced Compliance Functions) 公司是否把它的合規(guī)功能全部或部分地外包給外部律所或顧問? 對此�����,監(jiān)察官要考慮下列因素: 激勵及懲罰措施 (Incentives and Disciplinary Measures) 人力資源流程(Human Resources Process) 適用同一標準(Consistent Application) 激勵系統(tǒng)(Consistent Application) 就第三個問題:在實務中“公司的合規(guī)體系在發(fā)揮著作用”�? 一個公司的合規(guī)程序在該公司的違法犯罪行為發(fā)生時是否有效、在多大程度上有效���;一個公司的合規(guī)程序在檢察官在提起檢控決定或著解決方案時是否有效�����、在多大程度上有效�����。 在檢測合規(guī)程序在該公司的違法犯罪行為發(fā)生時是否有效時���,檢察官要考量一個違規(guī)行為是否被檢測到以及怎樣被檢測到的���;公司采取了什么樣的資源區(qū)調查可疑的不當行為;公司采取的改正行為的性質和徹底性�����。 在檢查合規(guī)程序在檢察官在提起檢控決定或著解決方案時是否有效��,檢察官應當合規(guī)流程是否隨著時間的變化而進化并解決現(xiàn)在的和變化的合規(guī)風險��。 檢察官還應當考量公司是否對違規(guī)的根本性原因做了足夠的��、實事求是的分析����,從而了解到底是什么導致了不當行為的發(fā)生以及改正到什么程度才能防止類似情況在將來再發(fā)生。 A.持續(xù)的提升��、定期測試和評審 (Continuous Improvement, Periodic Testing, and Review) 一個有效的合規(guī)流程的顯著特征就是其是否可以提升與進化��。 對此���,檢察官應當檢查一個公司是否采取了行之有效的努力來評審它的合規(guī)程序并保證其不在是過時的����。 檢察官應當對那些推動合規(guī)程序不斷地提升和變得可持續(xù)的努力進行加分����。 特別是在評價一個特定的合規(guī)程序是否在實務中發(fā)揮作用,檢察官應當檢查公司的合規(guī)程序是否被修改從而汲取教訓����。 檢察官還應當檢查公司是否采取合理的步驟確保公司的合規(guī)與道德要求被遵守,包括其監(jiān)察與審計是否能夠檢測到違法犯罪行為并且合規(guī)流程能夠得到定期的�、有效地評價。 對此���,檢察官要檢查下列因素: 合規(guī)審計(Internal Audit) 控制性測試(Control Testing) 進化性的更新( Evolving Updates) 合規(guī)文化(Culture of Compliance) 具體針對內部審計(Internal Audit)���,檢察官應當審查公司是如何決定審計的區(qū)域和頻次?審計的合理性是什么�����?審計如何做出的�?什么樣的設計才可以把違規(guī)事項給識別出來?審計做了嗎且發(fā)現(xiàn)什么問題了嗎��?多長時間審計發(fā)現(xiàn)和解決方案上報到管理層和董事會?管理層和董事會采取了什么行動��?對于高風險區(qū)域多長時間審計一次�? B.對違規(guī)行為的調查 (Investigation of Misconduct) 對違規(guī)行為的及時、充分的調查是一個合規(guī)管理體系設計有方的重要特征�����。 對此��,檢察官要考慮兩個因素: 合格的調查人員為調查確定范圍并實施調查(Properly Scoped Investigation by Qualified Personnel)及調查跟進(Response to Investigations) C.違規(guī)行為的分析和改正 (Analysis and Remediation of Any Underlying Misconduct) 對違規(guī)行為的分析并采取解決方案是一個合規(guī)管理體系設計有方的重要特征��。 對此�,檢察官要考慮一下因素: 根本原因分析(Root Cause Analysis) 先前存在的弱點(Prior Weaknesses) 支付系統(tǒng)(Payment Systems) 供應商管理(Vendor Management) 先前存在的征兆(Prior Indications) 違規(guī)更正(Remediation) 責任(Accountability)
|
