出品:合規(guī) 作者:陳立彤 2019年4月30日���,美國司法部刑事處公布了更新版的《公司合規(guī)程序評價》(Evaluation of Corporate Compliance Programs),迅速引起各國合規(guī)專業(yè)人士的關(guān)注���。
(注:Compliance Programs應(yīng)當(dāng)翻譯成“合規(guī)程序”還是“合規(guī)計劃”有爭議����。因?yàn)镻lan翻譯成“計劃”,Program翻譯成“程序”似乎更好���。) 這個2019年的版本是美國司法部早在2017年2月8日頒布的版本的更新版���。 在2017年的版本中,美國司法部從多角度�����,對如何評價企業(yè)合規(guī)程序給予了指導(dǎo)�。我們常說合規(guī)是生產(chǎn)力創(chuàng)造價值;合規(guī)是金色盾牌讓企業(yè)少被罰不被抓�����。那么在實(shí)務(wù)中���,這個金色盾牌該怎么打造�?2017年版本解決了這個問題: 對潛在不當(dāng)行為的分析和整改 | 公司如何對相關(guān)不當(dāng)行為進(jìn)行根本原因分析�����? | 之前是否有機(jī)會發(fā)現(xiàn)相關(guān)不當(dāng)行為? | 公司實(shí)施了哪些具體改變以確保將來不再發(fā)生相同或類似的問題? | 高級和中層管理人員 | 高層領(lǐng)導(dǎo)如何通過自身的言行鼓勵或者阻止這類不當(dāng)行為�? | 高層領(lǐng)導(dǎo)和其他利益相關(guān)方采取了哪些具體行動展現(xiàn)他們對合規(guī)的承諾,包括采取的整改措施���? | 董事會能夠獲得什么樣的專業(yè)合規(guī)幫助��? | 自主權(quán)和資源 | 合規(guī)部門是否參與不當(dāng)行為相關(guān)的培訓(xùn)及相關(guān)決策���? | 合規(guī)職能部門與公司其他戰(zhàn)略職能部門相比如何? | 合規(guī)和內(nèi)控人員是否具備其職責(zé)所要求的適當(dāng)經(jīng)驗(yàn)和資格�����? | 合規(guī)和相關(guān)控制部門是否直接向董事會匯報工作���? | 如何基于公司的風(fēng)險特征對合規(guī)和相關(guān)控制部門的人員和資源分配進(jìn)行決策���? | 公司是否將全部或部分合規(guī)職能外包給外部公司或顧問? | 政策和流程 | 公司制訂和執(zhí)行新的政策和程序的流程是什么����? | 誰負(fù)責(zé)整合政策和程序���? | 哪些控制失效或者缺乏哪些原本可以發(fā)現(xiàn)或阻止不當(dāng)行為的控制措施�? | 風(fēng)險評估 | 公司使用什么方法識別、分析和解決其所面臨的特定風(fēng)險���? | 公司為發(fā)現(xiàn)相關(guān)類型的不當(dāng)行為收集和使用過哪些信息或參數(shù)�����? | 公司的風(fēng)險評估流程是如何解釋顯現(xiàn)的風(fēng)險的����? | 培訓(xùn)與溝通 | 相關(guān)控制部門的員工接受過哪些培訓(xùn)��? | 培訓(xùn)使用的形式和語言是否適合目標(biāo)培訓(xùn)對象����? | 高級管理人員采取哪些措施讓員工知悉公司對已發(fā)生的不當(dāng)行為所持有的立場? | 公司為員工提供哪些合規(guī)政策指導(dǎo)資源�����? | 保密報告和調(diào)查 | 公司是如何收集����、分析和使用來自其報告機(jī)制的信息的���? | 公司如何確保調(diào)查范圍的適當(dāng)性、調(diào)查的獨(dú)立性和客觀性�、調(diào)查實(shí)施和記錄的恰當(dāng)性? | 公司是否通過調(diào)查確認(rèn)根本原因��、系統(tǒng)漏洞以及問責(zé)失效�����? | 激勵和處罰措施 | 公司針對不當(dāng)行為有哪些紀(jì)律處分措施以及何時實(shí)施這些措施�����? | 公司針對不當(dāng)行為有哪些紀(jì)律處分措施以及何時實(shí)施這些措施�? | 獎懲措施是否在整個公司得到公平一致的實(shí)施? | 公司對激勵合規(guī)和道德行為有什么激勵機(jī)制�? | 持續(xù)改進(jìn)、定期測試和審查 | 通過哪些類型的審計可以發(fā)現(xiàn)與不當(dāng)行為相關(guān)的問題�����? | 公司是否審核并審計過不當(dāng)行為相關(guān)領(lǐng)域的合規(guī)制度�,包括測試相關(guān)控制措施,收集并分析合規(guī)數(shù)據(jù)以及約談員工和第三方�����? | 公司更新風(fēng)險評估機(jī)制以及審核合規(guī)政策����、流程和操作實(shí)踐的頻率如何? | 第三方管理 | 公司的第三方管理流程如何適應(yīng)其所發(fā)現(xiàn)的企業(yè)風(fēng)險的性質(zhì)和級別���? | 使用相關(guān)第三方的商業(yè)理由是什么���? | 公司如何從合規(guī)風(fēng)險角度考慮和分析第三方的激勵模式? | 對涉及不當(dāng)行為的第三方進(jìn)行的盡職調(diào)查是否發(fā)現(xiàn)危險信號以及是如何解決的��? | 并購 | 盡職調(diào)查過程中是否發(fā)現(xiàn)不當(dāng)行為或者不當(dāng)行為的風(fēng)險�? | 合規(guī)部門如何參與兼并、收購及整合流程����? | 公司對于盡職調(diào)查過程中發(fā)現(xiàn)的不當(dāng)行為或不當(dāng)行為風(fēng)險有什么追蹤和整改流程? |
與2017年版本相比���,2019年更新版的《公司合規(guī)程序評價》(Evaluation of Corporate Compliance Programs)更加務(wù)實(shí)����、落地且有實(shí)操性。 其旨在幫助檢察官在是否且如何做出檢控及處理決定時參考如下標(biāo)準(zhǔn): 一個公司的合規(guī)程序在該公司的違法犯罪行為發(fā)生時是否有效���、在多大程度上有效�����; 一個公司的合規(guī)程序在檢察官在提起檢控決定或著解決方案時是否有效���、在多大程度上有效,從而幫助檢察官決定合適的: (1)解決方案或監(jiān)控方式���; (2)罰金(如有)����; (3)公司刑事解決方案中含有的合規(guī)義務(wù)(比如�����,監(jiān)管計劃(monitorship)或者報告義務(wù))��。 在評價一個公司的合規(guī)程序時����,一個檢察官要問三個基本問題: 1.公司的合規(guī)程序是否設(shè)計有方�����? (“Is the corporation’s compliance program well designed?“) 2.該程序的實(shí)施是否實(shí)打?qū)?��、不弄虛作假?/span> 換言之�,該程序是否被有效地落實(shí)到位? (“Is the program being applied earnestly and in good faith?“ In other words, is the program being implemented effectively? )
3.在實(shí)務(wù)中“公司的合規(guī)程序在發(fā)揮著作用”��? (“Does the corporation’s compliance program work“ in practice?) 就第一個問題:公司的合規(guī)程序是否設(shè)計有方��? 在評價一個合規(guī)程序是否設(shè)計有方在于看其是否能夠有效地阻止且檢測員工的不當(dāng)行為�、公司管理層是否在執(zhí)行該流程或者公司默許或迫使員工在從事不當(dāng)行為。 對此���,檢察官應(yīng)當(dāng)檢查合規(guī)流程是否全面(the comprehensiveness of the compliance program)���,確保不僅有一個明確的信號傳遞給員工:違規(guī)行為不被許可,而且公司制定有政策和程序——從適當(dāng)?shù)呢?zé)任分配到培訓(xùn)流程到激勵與懲罰——確保合規(guī)流程嵌入到公司的運(yùn)行與工作中去��。 A.風(fēng)險評價 (Risk Assessment) 一個公司的合規(guī)體系是否設(shè)計有方要看這個公司是如何識別�����、評價及定義該公司的風(fēng)險特征并在多大程度積聚公司的資源來應(yīng)對這些風(fēng)險。 檢察官在考量一個合規(guī)體系是否設(shè)計有方時��,要看該體系“是否能夠把該公司某個特定的業(yè)務(wù)線中很有可能發(fā)生的那些特定的違規(guī)行為給檢測出來”以及“復(fù)雜的監(jiān)管環(huán)境”�����。 檢察官還得考量一個公司的合規(guī)體系是否能夠針對風(fēng)險評估的結(jié)果做到定身量作并且定期地更新評價標(biāo)準(zhǔn)�����。 檢察官對于那些高質(zhì)量的��、有效的以風(fēng)險為基礎(chǔ)的合規(guī)程序(亦即把人財力放到高風(fēng)險的業(yè)務(wù)上�����,哪怕因此無暇顧及低風(fēng)險區(qū)的一些問題)應(yīng)當(dāng)加分�����。 至于什么是針對風(fēng)險定身量作主要看一個公司是否能夠吸取教訓(xùn)來提升合規(guī)體系���。 對此��,檢察官要看三個因素: 風(fēng)險管理流程 (Risk Management Process) 風(fēng)險定制資源配置 (Risk-Tailored Resource Allocation) 更新與修正 (Updates and Revisions) B.政策與程序 (Policies and Procedures) 一個設(shè)計有方的合規(guī)體系應(yīng)當(dāng)制定有政策和程序一方面弘揚(yáng)企業(yè)的道德文化����,另外一方面降低企業(yè)的風(fēng)險敞口。 因此��,要看一個公司是否制定有行為準(zhǔn)則明示合規(guī)的合規(guī)承諾和決心并且把行為準(zhǔn)則宣貫到公司所有的員工�。 對此,檢察官應(yīng)當(dāng)評估一個公司是否建立了政策和程序把公司的合規(guī)文化融合到它的日常運(yùn)營當(dāng)中去�。 對此,一個檢查官要考慮如下的因素: 設(shè)計( Design) 全面(Comprehensiveness) 宣貫(Accessibility) 執(zhí)行到位 (Responsibility for Operational Integration) 關(guān)鍵控制人(Gatekeepers) C.培訓(xùn)與交流 (Training and Communications) 檢察官要評價合規(guī)政策和程序是否落實(shí)到位����,關(guān)鍵要看是否提供了相關(guān)培訓(xùn)和證書給所有的董事���、經(jīng)理�����、員工����,必要時包括代理商及業(yè)務(wù)伙伴����。 培訓(xùn)務(wù)求有效�、務(wù)實(shí)�����,而不應(yīng)當(dāng)是泛泛的�����、膚淺的�。 對此,一個檢察官應(yīng)當(dāng)考量如下因素: 風(fēng)險為基礎(chǔ)的培訓(xùn)(Risk-Based Training) 培訓(xùn)的方式�、內(nèi)容及有效性 (Form/Content/Effectiveness of Training) 自曝其短(Communications about Misconduct) 準(zhǔn)則規(guī)范唾手可得(Availability of Guidance) D.保密報告體系和調(diào)查程序 (Confidential Reporting Structure and Investigation Process) E.舉報機(jī)制的有效性 (Effectiveness of the Reporting Mechanism) 企業(yè)是否有匿名的舉報體系?如果沒有�����,為什么���?舉報體系是否告知了員工��?企業(yè)是否對舉報的嚴(yán)重程度做相應(yīng)的評估�����?合規(guī)職能部門對舉報和調(diào)查信息是否能夠全面接觸���? 對此�����,檢察官要考量如下因素: 由合格的人員圈定調(diào)查范圍并調(diào)查(Properly Scoped Investigations by Qualified Personnel) 調(diào)查響應(yīng)(Investigation Response) 資源分配與結(jié)果處理(Resources and Tracking of Results) 第三方管理(Third Party Management) 行動與結(jié)果不打折扣 (Real Actions and Consequences) F.兼并收購 (Mergers and Acquisitions) 一個設(shè)計有方的合規(guī)體系應(yīng)當(dāng)包括對收購目標(biāo)做充分的盡責(zé)調(diào)查���,包括: 盡調(diào)程序(Due Diligence Process) 合規(guī)融入盡調(diào)(Integration in the M&A Process) 盡調(diào)落實(shí)到實(shí)處的流程 (Process Connecting Due Diligence to Implementation) 就第二個問題:合規(guī)體系是否被有效地落實(shí)到位? 一個合規(guī)流程設(shè)計得再好����,如果它不能被有效地落實(shí)到實(shí)處,也是失敗的����。 檢察官一個合規(guī)流程是否是僅僅落實(shí)在“紙面”上(paper program)����,還是被有效地“實(shí)施、評審和修改”���。 另外�����,檢察官應(yīng)當(dāng)決定公司是否提供了足夠的人力來進(jìn)行審計����、歸檔、分析并利用公司力量來做好合規(guī)���。 檢察官還應(yīng)當(dāng)檢查公司的員工是否被充分地告知公司的合規(guī)流程以及公司就合規(guī)所做的承諾�,包括公司的合規(guī)文化比如員工充分意識到公司對于任何違法犯罪行為都是零容忍�����。 A.中高管理層合規(guī)擔(dān)當(dāng) (Commitment by Senior and Middle Management) 公司的高層領(lǐng)導(dǎo)——董事會與行政高管——是否做到合規(guī)從高層做起���。 檢察官應(yīng)當(dāng)檢查公司的高管清晰無誤地表達(dá)了公司的道德標(biāo)準(zhǔn)并且做到身體力行�����。 檢察官還應(yīng)當(dāng)檢查中層領(lǐng)導(dǎo)是否實(shí)施了這些標(biāo)準(zhǔn)并且鼓勵員工遵守這些標(biāo)準(zhǔn)�����。 公司的治理層應(yīng)當(dāng)對公司的合規(guī)與道德要求的內(nèi)容與行動了然于胸并采取合理的監(jiān)察��。 對此���,檢察官應(yīng)當(dāng)考察如下因素: 從領(lǐng)導(dǎo)做起(Conduct at the Top) 宣貫合規(guī)承諾(Shared Commitment) 監(jiān)察(Oversight) B.自主與資源支持 (Autonomy and Resources) 高度的執(zhí)行力要求從事日常合規(guī)管理工作的人員應(yīng)當(dāng)有足夠的權(quán)威與聲望���。 因此,檢察官應(yīng)當(dāng)評估合規(guī)流程是怎樣構(gòu)成的�。 另外,檢察官應(yīng)當(dāng)評價合規(guī)崗位是否配備足夠的人力和資源����。 特別是,負(fù)責(zé)合規(guī)工作的崗位是否: (1)有足夠高的職位�����; (2)速購的資源�,特別是,人員來有效地從事必需的審計�、歸檔及分析工作�; (3)有足夠的自主權(quán),比如能夠直接與董事會或董事會的審計委員會聯(lián)系��。 檢察官應(yīng)當(dāng)評價內(nèi)部審計是否能夠在獨(dú)立和準(zhǔn)確的基礎(chǔ)上予以展開���,這也是表面來合規(guī)工作人員是否有足夠的權(quán)力和職位來有效地檢測和防止不當(dāng)行為的發(fā)生�。 公司還應(yīng)當(dāng)保證足夠的人力和資源配備,并且做合規(guī)工作的人員應(yīng)當(dāng)是有職權(quán)�����、有獨(dú)立性并且有足夠的專業(yè)性���。 因此��,檢察官要考量下列因素: 構(gòu)成(Structure) 職位與聲望(Seniority and Stature) 經(jīng)驗(yàn)與資質(zhì)(Experience and Qualifications) 資金與資源(Funding and Resources) 自主(Autonomy)�。 C.合規(guī)功能外包 (Outsourced Compliance Functions) 公司是否把它的合規(guī)功能全部或部分地外包給外部律所或顧問�����? 對此���,監(jiān)察官要考慮下列因素: 激勵及懲罰措施 (Incentives and Disciplinary Measures) 人力資源流程(Human Resources Process) 適用同一標(biāo)準(zhǔn)(Consistent Application) 激勵系統(tǒng)(Consistent Application) 就第三個問題:在實(shí)務(wù)中“公司的合規(guī)體系在發(fā)揮著作用”��? 一個公司的合規(guī)程序在該公司的違法犯罪行為發(fā)生時是否有效��、在多大程度上有效����;一個公司的合規(guī)程序在檢察官在提起檢控決定或著解決方案時是否有效、在多大程度上有效�����。 在檢測合規(guī)程序在該公司的違法犯罪行為發(fā)生時是否有效時����,檢察官要考量一個違規(guī)行為是否被檢測到以及怎樣被檢測到的;公司采取了什么樣的資源區(qū)調(diào)查可疑的不當(dāng)行為���;公司采取的改正行為的性質(zhì)和徹底性�����。 在檢查合規(guī)程序在檢察官在提起檢控決定或著解決方案時是否有效�,檢察官應(yīng)當(dāng)合規(guī)流程是否隨著時間的變化而進(jìn)化并解決現(xiàn)在的和變化的合規(guī)風(fēng)險���。 檢察官還應(yīng)當(dāng)考量公司是否對違規(guī)的根本性原因做了足夠的���、實(shí)事求是的分析,從而了解到底是什么導(dǎo)致了不當(dāng)行為的發(fā)生以及改正到什么程度才能防止類似情況在將來再發(fā)生���。 A.持續(xù)的提升���、定期測試和評審 (Continuous Improvement, Periodic Testing, and Review) 一個有效的合規(guī)流程的顯著特征就是其是否可以提升與進(jìn)化。 對此��,檢察官應(yīng)當(dāng)檢查一個公司是否采取了行之有效的努力來評審它的合規(guī)程序并保證其不在是過時的��。 檢察官應(yīng)當(dāng)對那些推動合規(guī)程序不斷地提升和變得可持續(xù)的努力進(jìn)行加分����。 特別是在評價一個特定的合規(guī)程序是否在實(shí)務(wù)中發(fā)揮作用,檢察官應(yīng)當(dāng)檢查公司的合規(guī)程序是否被修改從而汲取教訓(xùn)�����。 檢察官還應(yīng)當(dāng)檢查公司是否采取合理的步驟確保公司的合規(guī)與道德要求被遵守��,包括其監(jiān)察與審計是否能夠檢測到違法犯罪行為并且合規(guī)流程能夠得到定期的�����、有效地評價�����。 對此,檢察官要檢查下列因素: 合規(guī)審計(Internal Audit) 控制性測試(Control Testing) 進(jìn)化性的更新( Evolving Updates) 合規(guī)文化(Culture of Compliance) 具體針對內(nèi)部審計(Internal Audit)��,檢察官應(yīng)當(dāng)審查公司是如何決定審計的區(qū)域和頻次��?審計的合理性是什么�?審計如何做出的?什么樣的設(shè)計才可以把違規(guī)事項給識別出來����?審計做了嗎且發(fā)現(xiàn)什么問題了嗎?多長時間審計發(fā)現(xiàn)和解決方案上報到管理層和董事會��?管理層和董事會采取了什么行動����?對于高風(fēng)險區(qū)域多長時間審計一次? B.對違規(guī)行為的調(diào)查 (Investigation of Misconduct) 對違規(guī)行為的及時����、充分的調(diào)查是一個合規(guī)管理體系設(shè)計有方的重要特征。 對此����,檢察官要考慮兩個因素: 合格的調(diào)查人員為調(diào)查確定范圍并實(shí)施調(diào)查(Properly Scoped Investigation by Qualified Personnel)及調(diào)查跟進(jìn)(Response to Investigations) C.違規(guī)行為的分析和改正 (Analysis and Remediation of Any Underlying Misconduct) 對違規(guī)行為的分析并采取解決方案是一個合規(guī)管理體系設(shè)計有方的重要特征。 對此����,檢察官要考慮一下因素: 根本原因分析(Root Cause Analysis) 先前存在的弱點(diǎn)(Prior Weaknesses) 支付系統(tǒng)(Payment Systems) 供應(yīng)商管理(Vendor Management) 先前存在的征兆(Prior Indications) 違規(guī)更正(Remediation) 責(zé)任(Accountability)
|
