美国司法部推出更新版《公司合规程序评价》
出品:合规作者:陈立彤2019年4月30日,美国司法部刑事处公布了更新版的《公司合规程序评价》(Evaluation of Corporate Compliance Programs),迅速引起各国合规专业人士的关注。(注:Compliance Programs应当翻译成“合规程序”还是“合规计划”有争议。因为Plan翻译成“计划”,Program翻译成“程序”似乎更好。)这个2019年的版本是美国司法部早在2017年2月8日颁布的版本的更新版。在2017年的版本中,美国司法部从多角度,对如何评价企业合规程序给予了指导。我们常说合规是生产力创造价值;合规是金色盾牌让企业少被罚不被抓。那么在实务中,这个金色盾牌该怎么打造?2017年版本解决了这个问题:对潜在不当行为的分析和整改公司如何对相关不当行为进行根本原因分析?之前是否有机会发现相关不当行为?公司实施了哪些具体改变以确保将来不再发生相同或类似的问题?高级和中层管理人员高层领导如何通过自身的言行鼓励或者阻止这类不当行为?高层领导和其他利益相关方采取了哪些具体行动展现他们对合规的承诺,包括采取的整改措施?董事会能够获得什么样的专业合规帮助?自主权和资源合规部门是否参与不当行为相关的培训及相关决策?合规职能部门与公司其他战略职能部门相比如何?合规和内控人员是否具备其职责所要求的适当经验和资格?合规和相关控制部门是否直接向董事会汇报工作?如何基于公司的风险特征对合规和相关控制部门的人员和资源分配进行决策?公司是否将全部或部分合规职能外包给外部公司或顾问?政策和流程公司制订和执行新的政策和程序的流程是什么?谁负责整合政策和程序?哪些控制失效或者缺乏哪些原本可以发现或阻止不当行为的控制措施?风险评估公司使用什么方法识别、分析和解决其所面临的特定风险?公司为发现相关类型的不当行为收集和使用过哪些信息或参数?公司的风险评估流程是如何解释显现的风险的?培训与沟通相关控制部门的员工接受过哪些培训?培训使用的形式和语言是否适合目标培训对象?高级管理人员采取哪些措施让员工知悉公司对已发生的不当行为所持有的立场?公司为员工提供哪些合规政策指导资源?保密报告和调查公司是如何收集、分析和使用来自其报告机制的信息的?公司如何确保调查范围的适当性、调查的独立性和客观性、调查实施和记录的恰当性?公司是否通过调查确认根本原因、系统漏洞以及问责失效?激励和处罚措施公司针对不当行为有哪些纪律处分措施以及何时实施这些措施?公司针对不当行为有哪些纪律处分措施以及何时实施这些措施?奖惩措施是否在整个公司得到公平一致的实施?公司对激励合规和道德行为有什么激励机制?持续改进、定期测试和审查通过哪些类型的审计可以发现与不当行为相关的问题?公司是否审核并审计过不当行为相关领域的合规制度,包括测试相关控制措施,收集并分析合规数据以及约谈员工和第三方?公司更新风险评估机制以及审核合规政策、流程和操作实践的频率如何?第三方管理公司的第三方管理流程如何适应其所发现的企业风险的性质和级别?使用相关第三方的商业理由是什么?公司如何从合规风险角度考虑和分析第三方的激励模式?对涉及不当行为的第三方进行的尽职调查是否发现危险信号以及是如何解决的?并购尽职调查过程中是否发现不当行为或者不当行为的风险?合规部门如何参与兼并、收购及整合流程?公司对于尽职调查过程中发现的不当行为或不当行为风险有什么追踪和整改流程?与2017年版本相比,2019年更新版的《公司合规程序评价》(Evaluation of Corporate Compliance Programs)更加务实、落地且有实操性。其旨在帮助检察官在是否且如何做出检控及处理决定时参考如下标准:一个公司的合规程序在该公司的违法犯罪行为发生时是否有效、在多大程度上有效;一个公司的合规程序在检察官在提起检控决定或着解决方案时是否有效、在多大程度上有效,从而帮助检察官决定合适的:(1)解决方案或监控方式;(2)罚金(如有);(3)公司刑事解决方案中含有的合规义务(比如,监管计划(monitorship)或者报告义务)。在评价一个公司的合规程序时,一个检察官要问三个基本问题:1.公司的合规程序是否设计有方?(“Is the corporation’s compliance program well designed?“)2.该程序的实施是否实打实、不弄虚作假?换言之,该程序是否被有效地落实到位?(“Is the program being applied earnestly and in good faith?“In other words, is the program being implemented effectively? )3.在实务中“公司的合规程序在发挥着作用”?(“Does the corporation’s compliance program work“ in practice?)就第一个问题:公司的合规程序是否设计有方?在评价一个合规程序是否设计有方在于看其是否能够有效地阻止且检测员工的不当行为、公司管理层是否在执行该流程或者公司默许或迫使员工在从事不当行为。对此,检察官应当检查合规流程是否全面(the comprehensiveness of the compliance program),确保不仅有一个明确的信号传递给员工:违规行为不被许可,而且公司制定有政策和程序——从适当的责任分配到培训流程到激励与惩罚——确保合规流程嵌入到公司的运行与工作中去。A.风险评价(Risk Assessment)一个公司的合规体系是否设计有方要看这个公司是如何识别、评价及定义该公司的风险特征并在多大程度积聚公司的资源来应对这些风险。检察官在考量一个合规体系是否设计有方时,要看该体系“是否能够把该公司某个特定的业务线中很有可能发生的那些特定的违规行为给检测出来”以及“复杂的监管环境”。检察官还得考量一个公司的合规体系是否能够针对风险评估的结果做到定身量作并且定期地更新评价标准。检察官对于那些高质量的、有效的以风险为基础的合规程序(亦即把人财力放到高风险的业务上,哪怕因此无暇顾及低风险区的一些问题)应当加分。至于什么是针对风险定身量作主要看一个公司是否能够吸取教训来提升合规体系。对此,检察官要看三个因素:风险管理流程(Risk Management Process)风险定制资源配置(Risk-Tailored Resource Allocation)更新与修正(Updates and Revisions)B.政策与程序(Policies and Procedures)一个设计有方的合规体系应当制定有政策和程序一方面弘扬企业的道德文化,另外一方面降低企业的风险敞口。因此,要看一个公司是否制定有行为准则明示合规的合规承诺和决心并且把行为准则宣贯到公司所有的员工。对此,检察官应当评估一个公司是否建立了政策和程序把公司的合规文化融合到它的日常运营当中去。对此,一个检查官要考虑如下的因素:设计( Design)全面(Comprehensiveness)宣贯(Accessibility)执行到位(Responsibility for Operational Integration)关键控制人(Gatekeepers)C.培训与交流(Training and Communications)检察官要评价合规政策和程序是否落实到位,关键要看是否提供了相关培训和证书给所有的董事、经理、员工,必要时包括代理商及业务伙伴。培训务求有效、务实,而不应当是泛泛的、肤浅的。对此,一个检察官应当考量如下因素:风险为基础的培训(Risk-Based Training)培训的方式、内容及有效性(Form/Content/Effectiveness of Training)自曝其短(Communications about Misconduct)准则规范唾手可得(Availability of Guidance)D.保密报告体系和调查程序(Confidential Reporting Structure and Investigation Process)E.举报机制的有效性(Effectiveness of the Reporting Mechanism)企业是否有匿名的举报体系?如果没有,为什么?举报体系是否告知了员工?企业是否对举报的严重程度做相应的评估?合规职能部门对举报和调查信息是否能够全面接触?对此,检察官要考量如下因素:由合格的人员圈定调查范围并调查(Properly Scoped Investigations by Qualified Personnel)调查响应(Investigation Response)资源分配与结果处理(Resources and Tracking of Results)第三方管理(Third Party Management)行动与结果不打折扣(Real Actions and Consequences)F.兼并收购(Mergers and Acquisitions)一个设计有方的合规体系应当包括对收购目标做充分的尽责调查,包括:尽调程序(Due Diligence Process)合规融入尽调(Integration in the M&A Process)尽调落实到实处的流程(Process Connecting Due Diligence to Implementation)就第二个问题:合规体系是否被有效地落实到位?一个合规流程设计得再好,如果它不能被有效地落实到实处,也是失败的。检察官一个合规流程是否是仅仅落实在“纸面”上(paper program),还是被有效地“实施、评审和修改”。另外,检察官应当决定公司是否提供了足够的人力来进行审计、归档、分析并利用公司力量来做好合规。检察官还应当检查公司的员工是否被充分地告知公司的合规流程以及公司就合规所做的承诺,包括公司的合规文化比如员工充分意识到公司对于任何违法犯罪行为都是零容忍。A.中高管理层合规担当(Commitment by Senior and Middle Management)公司的高层领导——董事会与行政高管——是否做到合规从高层做起。检察官应当检查公司的高管清晰无误地表达了公司的道德标准并且做到身体力行。检察官还应当检查中层领导是否实施了这些标准并且鼓励员工遵守这些标准。公司的治理层应当对公司的合规与道德要求的内容与行动了然于胸并采取合理的监察。对此,检察官应当考察如下因素:从领导做起(Conduct at the Top)宣贯合规承诺(Shared Commitment)监察(Oversight)B.自主与资源支持(Autonomy and Resources)高度的执行力要求从事日常合规管理工作的人员应当有足够的权威与声望。因此,检察官应当评估合规流程是怎样构成的。另外,检察官应当评价合规岗位是否配备足够的人力和资源。特别是,负责合规工作的岗位是否:(1)有足够高的职位;(2)速购的资源,特别是,人员来有效地从事必需的审计、归档及分析工作;(3)有足够的自主权,比如能够直接与董事会或董事会的审计委员会联系。检察官应当评价内部审计是否能够在独立和准确的基础上予以展开,这也是表面来合规工作人员是否有足够的权力和职位来有效地检测和防止不当行为的发生。公司还应当保证足够的人力和资源配备,并且做合规工作的人员应当是有职权、有独立性并且有足够的专业性。因此,检察官要考量下列因素:构成(Structure)职位与声望(Seniority and Stature)经验与资质(Experience and Qualifications)资金与资源(Funding and Resources)自主(Autonomy)。C.合规功能外包(Outsourced Compliance Functions)公司是否把它的合规功能全部或部分地外包给外部律所或顾问?对此,监察官要考虑下列因素:激励及惩罚措施(Incentives and Disciplinary Measures)人力资源流程(Human Resources Process)适用同一标准(Consistent Application)激励系统(Consistent Application)就第三个问题:在实务中“公司的合规体系在发挥着作用”?一个公司的合规程序在该公司的违法犯罪行为发生时是否有效、在多大程度上有效;一个公司的合规程序在检察官在提起检控决定或着解决方案时是否有效、在多大程度上有效。在检测合规程序在该公司的违法犯罪行为发生时是否有效时,检察官要考量一个违规行为是否被检测到以及怎样被检测到的;公司采取了什么样的资源区调查可疑的不当行为;公司采取的改正行为的性质和彻底性。在检查合规程序在检察官在提起检控决定或着解决方案时是否有效,检察官应当合规流程是否随着时间的变化而进化并解决现在的和变化的合规风险。检察官还应当考量公司是否对违规的根本性原因做了足够的、实事求是的分析,从而了解到底是什么导致了不当行为的发生以及改正到什么程度才能防止类似情况在将来再发生。A.持续的提升、定期测试和评审(Continuous Improvement, Periodic Testing, and Review)一个有效的合规流程的显著特征就是其是否可以提升与进化。对此,检察官应当检查一个公司是否采取了行之有效的努力来评审它的合规程序并保证其不在是过时的。检察官应当对那些推动合规程序不断地提升和变得可持续的努力进行加分。特别是在评价一个特定的合规程序是否在实务中发挥作用,检察官应当检查公司的合规程序是否被修改从而汲取教训。检察官还应当检查公司是否采取合理的步骤确保公司的合规与道德要求被遵守,包括其监察与审计是否能够检测到违法犯罪行为并且合规流程能够得到定期的、有效地评价。对此,检察官要检查下列因素:合规审计(Internal Audit)控制性测试(Control Testing)进化性的更新( Evolving Updates)合规文化(Culture of Compliance)具体针对内部审计(Internal Audit),检察官应当审查公司是如何决定审计的区域和频次?审计的合理性是什么?审计如何做出的?什么样的设计才可以把违规事项给识别出来?审计做了吗且发现什么问题了吗?多长时间审计发现和解决方案上报到管理层和董事会?管理层和董事会采取了什么行动?对于高风险区域多长时间审计一次?B.对违规行为的调查(Investigation of Misconduct)对违规行为的及时、充分的调查是一个合规管理体系设计有方的重要特征。对此,检察官要考虑两个因素:合格的调查人员为调查确定范围并实施调查(Properly Scoped Investigation by Qualified Personnel)及调查跟进(Response to Investigations)C.违规行为的分析和改正(Analysis and Remediation of Any Underlying Misconduct)对违规行为的分析并采取解决方案是一个合规管理体系设计有方的重要特征。对此,检察官要考虑一下因素:根本原因分析(Root Cause Analysis)先前存在的弱点(Prior Weaknesses)支付系统(Payment Systems)供应商管理(Vendor Management)先前存在的征兆(Prior Indications)违规更正(Remediation)责任(Accountability)