美国司法部《公司合规管理评价》 对我国企业合规管理评估与合规审计的借鉴意义
发布时间:2019-07-09
文 | 郭青红 汇业律师事务所 合伙人
企业合规管理评估与合规审计对于我国企业来说都是新课题。我国国资委《中央企业合规管理指引(试行)》第二十二条要求企业开展合规管理评估,定期对合规管理体系的有效性进行分析。我国发改委等七部委《企业境外经营合规管理指引》第二十六条要求企业审计部门应对企业合规管理的执行情况、合规管理体系的适当性和有效性等进行独立审计。
美国司法部刑事处于2019年4月30日发布了《公司合规管理评价》(Evaluation of Corporate Compliance Programs,有些学者业也将其译作《合规管理程序评价》)更新版,对其2017年2月8日版本做了修改和补充。该指南提出了合规管理评价的主要内容、重点和方法等,对我国企业合规管理评估及合规审计具有重要参考价值:
1. 美国司法部《公司合规管理评价》关注公司合规管理的有效性、全面性和适当性,合规管理程序和制度是否得到有效实施,以及在实践中是否充分有效等三个方面,并对公司合规管理评价的主要内容、重点、方法等提供了指南,值得我国企业在开展合规管理评估与合规审计时学习和参考。
2. 我国企业实施“一带一路”战略,在境外经营的子公司和分支机构,在建立、改进和完善合规管理体系时,可以对标适用美国司法部《公司合规管理评价》,将其用作合规管理工作的指导及验收指南。
3. 对于遭受美国司法部、证监委或者其他国际组织违规处罚的我国企业,在建立、改进和完善合规管理体系时,可以对标适用美国司法部《公司合规管理评价》,将其用作合规高管理工作的指导及验收指南。
4. 在我国设立的外商投资企业,可以参照适用美国司法部《公司合规管理评价》,对合规管理的有效性、全面性和适当性进行评价。
美国司法部《公司合规管理评价》针对每一合规管理评价领域提出了一系列详细的问题。笔者对这些问题进行了翻译和梳理,以问题清单的形式做了如下整理,供我国企业在开展合规管理评估和合规审计时参照使用。
但是,需要提醒的是,美国司法部《公司合规管理评价》规范的主要内容是不当行为的预防和管控,涉及不当行为(腐败、欺诈、串通、胁迫等)、礼品与招待、政治捐献和捐款、第三方商业伙伴、并购、合规风险管理、培训与沟通、违规举报与调查、奖惩、持续改进等方面的内容,属于诚信合规管理范畴。而我国国家标准ISO19600《合规管理体系 指南》、国资委《中央企业合规管理指引(试行)》、发改委等七部委《企业境外经营合规管理指引》等,在关注企业诚信合规管理的同时,强调建立和运行全面合规管理体系,除合规风险管理、培训与沟通、违规管理与问责外,还包括合规管理组织建设、合规管理制度建设、合规审查、合规管理评估、合规审计、合规考核评价、合规计划与合规报告等。就我国企业全面合规管理体系的合规管理评估与合规审计而言,美国司法部《公司合规管理评价》的合规管理评价问题清单是远远不够的,我国企业需要取长补短,批判性地借鉴和运用。
一、合规管理的设计是否完善
评价公司合规管理的设计是否完善,主要是对公司合规管理政策和制度的有效性、全面性和适当性进行评价,目的是考查公司的合规管理是否能够最大程度地预防和发现员工的不当行为,公司管理层是否真正实施合规管理。包括:
1. 风险评估
对公司合规管理进行评价,需要了解公司如何识别和评估风险,公司合规管理采取哪些审慎措施和资源来管控风险,合规风险评估的有效性,是否对高风险交易给予充分关注并分配适当资源进行管控等。
(1)风险管理程序
公司识别、分析和描述特定风险的方法是什么?
公司在侦查可疑不当行为时,收集、使用的信息和指标是什么?
这些信息和指标如何传递到公司的合规管理体系?
(2)基于风险的资源配置
公司是否在管控较低风险领域安排了较多时间和资源,而在管控高风险领域(如向第三方顾问进行了可疑支付,可疑的贸易活动,对分销商和经销商的超额付款等)安排了较少时间和资源;
相对于日常接待和招待,公司对高风险交易(如:在高风险国家与政府机构签署大额合同等)是否给予更严格的审查?
(3)更新和修改
风险评估是否最新并做定期审查?
是否吸取教训,对合规管理政策和制度进行更新?
对政策和制度的更新,是基于发现的不当行为风险还是合规管理中的其他原因?
2. 合规政策与制度
公司是否制定了一套承诺全面守法合规、适用于公司全体员工的行为准则,是否将合规文化融入日常经营。
(1)制定
公司制定和实施新的合规管理政策和制度的程序是什么?
谁负责合规管理政策和制度的制定?
新的合规管理政策和制度发布前,是否征询了业务部门的意见?
(2)全面性
在监督和实施反映和处理有关合规风险(包括法律和监管环境发生变化时)的合规管理政策和制度方面,公司做出了哪些努力?
(3)是否可及
公司是否已经将合规管理政策与制度传达给所有员工和相关第三方?
如果公司有海外子公司,海外员工在获得合规管理政策与制度方面是否存在困难或障碍?
(4)融入业务的职责
谁负责将合规管理政策和制度融入业务?
是否采取适当方式确保员工理解合规管理政策和制度?
在公司内部控制体系中,是否了采取特殊方式使合规管理政策和制度得以加强?
(5)把关
是否对负责合规审查、认证的员工提供了足够有效的指导和培训?
他们是否知道需要寻找哪些不当行为,是否知道何时及如何报告他们的关切?
3. 培训与交流
公司是否建立了适当的培训和交流机制也是合规管理评估的重要方面。公司是否采取措施对所有董事、管理人员、员工以及代理人、商业伙伴进行定期培训和认证,确保合规管理政策和制度融入组织。公司在培训中是否包括已经发生的违规案例分析,是否对培训的效果进行考评等。
(1)基于风险的培训
公司向负责控制职能的员工提供了哪些培训?
是否对高风险和控制岗位的员工提供具有针对性的培训?
负责监管的员工是否接受了不同或者额外培训?
对于谁应参加培训及其培训内容,公司做了哪些分析?
(2)培训的形式、内容和效果
培训的形式和语言是否适合于学员?
是网上培训还是现场培训,提供不同培训方式的合理理由是什么?
在培训中是否对过去违规案例进行分析?
公司是否对培训效果进行考核?是否对学员进行考核?如果学员没有通过培训考核,公司如何处理?
(3)不当行为沟通
公司高级管理人员如何让员工知晓公司关于不当行为的态度?
员工因违纪被解除劳动合同或者给予其他纪律处分时,如何与其进行沟通?
(4)提供指导
在指导员工合规方面,公司提供了哪些资源?
公司如何评估:员工是否知道何时应当咨询,他们是否愿意咨询?
4. 违规举报和调查
公司是否建立了有效且可以信赖的违规举报机制,是否对员工的违规举报提供了保密措施,是否制定了保护举报人员、反打击报复的制度。
(1)举报机制是否有效
公司是否建立了匿名举报机制?
公司如何向员工公开违规举报机制?
违规举报机制使用过吗?
如何评估收到的违规举报的严肃性?
合规管理部门是否能够完全得到举报和调查信息?
(2)由合格人员进行适当调查
如何确定哪些违规举报或危险信号需要启动违规调查;
如何确保违规调查的范围适当?
公司采取了哪些措施,确保违规调查的独立性、客观性、适当性,并进行适当记录和归档?
谁来确定以及如何确定违规调查人员?
(3)调查反馈
是否设定违规调查的期限?
是否制定了对调查结果进行监督、确保调查发现及建议可靠性的程序?
(4)违规调查资源及结果追踪
是否对违规举报和违规调查提供充分资金支持?
如何收集、追踪、分析和使用违规举报信息?
是否针对不当行为及其他风险,对违规举报或调查发现进行定期分析,以发现合规管理较弱领域?
5. 第三方商业伙伴管理
公司合规管理应包括对第三方商业伙伴进行合规尽职调查。使用第三方商业伙伴(包括代理人、顾问和经销商等)来隐瞒不当行为(如在跨国业务中向外国政府官员行贿等),公司是否了解其构成要件。公司是否了解第三商业伙伴的声誉及其与外国政府官员的关系,以及需要与该第三方商业伙伴从事交易的合理理由。公司是否通过重新尽职调查、培训、审计、年度合规认证等,对第三方伙伴进行持续监督。
(1)基于风险的、相互融合的程序
公司对第三方进行合规管理的程序,如何与公司识别的风险性质和级别相对应?
该程序如何融入公司的采购和销售管理程序?
(2)适当的控制
使用第三方,如何确保具有适当的商业理由?
如果第三方参与了某不当行为,公司使用该第三方的商业理由是什么?
目前已经建立何种机制,确保相关合同对服务的内容做了专门规定、支付条款适当、合同义务已经履行、报酬与提供的服务相匹配等?
(3)关系管理
对于第三方就防控合规风险做出的努力,公司如何确定报酬与激励机制?
公司如何对第三方进行监督?公司拥有对第三方的账簿和财务报表的审计权吗?公司过去行使过审计权吗?
公司如何对第三方管理人员进行合规风险管理方面的培训?如何安排这些培训?
对于第三方的合规与道德行为,公司如何激励?
(4)实际发生的行为及其后果
对于通过对第三方尽职调查制定的危险信号,公司进行追踪吗?如何描述这些危险信号?
对于没有通过公司尽职调查,或者被终止业务关系的第三方,公司对他们进行追踪吗?公司是否采取措施,确保他们不被聘用以及在以后不被再次聘用?
如果第三方参与了调查中尚无定论的不当行为,是在尽职调查中还是在聘用第三方后识别危险信号?如何解除这些危险信号?
任何第三方曾经因为合规问题被中止、解除或审计过吗?
6. 并购
设计良好的合规管理应包括对收购对象进行全面合规尽职调查。有瑕疵或者不完整的合规尽职调查,可能使得收购对象在被收购后继续从事不当行为,从而损害其盈利能力、声誉并导致民事和刑事责任。
(1)尽职调查程序
在尽职调查中,是否识别出了不当行为或者不当行为风险?
谁负责对收购的公司进行风险审查?如何开展?
并购尽职调查的一般程序是什么?
(2)融入并购程序
合规职能如何融入并购?融入程序是什么?
(3)连接尽职调查和实施的程序
对于在尽职调查中识别出的不当行为或不当行为风险,公司追踪和应对整改的程序是什么?
在收购的新公司,公司实施合规政策和制度的程序是什么?
二、合规政策和制度是否得到有效实施
美国司法部《公司合规管理评价》从合规承诺、合规管理部门人员的自主权、奖惩等三个方面,对如何调查、评价公司合规管理是否得到有效实施提供指南。该文件尤其要求调查公司的合规政策和制度是否只是“纸上谈兵”的形式主主义。
1. 合规承诺
有效的合规管理,要求公司最高领导做出合规承诺。高级管理人员是否清楚地阐述了公司的道德标准,是否以明确且毫不含糊的语言传达并通过实例表明公司严格遵守这些标准的决心。公司的中级管理人员是如何反过来加强了这些标准并鼓励员工遵守。
(1)高层的行为
高级管理人员如何通过言行鼓励或妨碍合规(包括参与不当行为的情况)?
采取了哪些具体措施,证明公司领导在合规与违规整改中付出的努力?
他们如何在下属面前做合规的模范?
在开拓新业务或者追求更高营业收入时,管理人员如何放大对重大合规风险的宽容度?
为了完成业务目标,管理人员是否鼓励过员工从事不道德行为或者阻碍合规人员有效履行职责?
(2)坚守承诺
高层领导和中级管理人员(如业务和运营经理,财务,采购,法务,人力资源等)采取了哪些措施,来验证其对合规的承诺,包括在违规整改方面的努力?
在竞争利益或者业务目标面前,他们是否坚守承诺?
(3)监督
在董事会层面,培训了哪些合规专业知识?
董事会和/或外部审计师与合规控制部门召开过高层或私下会议吗?
在对发生不当行为领域进行监督时,董事会和高级管理人员审查过哪些信息?
2. 自主权和资源
合规管理的有效实施,要求给予合规管理人员足够的权威和地位。合规管理部门的人员和资源是否充足,尤其是他们:(1)在组织中应有够高的级别(2)有充分的人力资源来有效开展必需的审计、记录和分析;(3)从管理层获取足够的自主权,如:与董事会或审计委员会直接接触的权利。无论如何,合规管理要真正有效,合规管理人员必须得到充分的公司内部授权。
“内部审计是否由一个能够足以确保其独立性和准确性的部门来负责”。
(1)组织机构
在公司内部,合规管理部门如何设置(设在法律部,放在业务部门之下,或是一个直接向总裁和/或董事会汇报的独立部门)?
合规管理部门向谁报告?
合规管理职责由合规总监领导,还是由公司内另一高官领导?他在公司内兼管其他职责吗?
合规管理人员是否专职于合规管理,还是在公司内拥有其他非合规管理职责?
公司为什么选择目前的合规管理组织结构?
(2)级别和地位
与公司其他战略管理部门相比,合规管理部门在地位、报酬、级别、汇报路线、资源、与决策者接触等方面的地位如何?
合规管理人员及其他相关控制岗位员工的离职率是多少?
在公司战略和运营决策中,合规扮演什么角色?
合规管理部门提出问题时,公司如何响应?
是否有交易或业务因为存在合规问题而被停止、调整或者做进一步审查?
(3)经验和资历
合规管理和控制人员是否具备与其职责相适应的经验和能力?
他们的职责所要求的经验和资历级别是否变化过?
谁来负责合规管理部门的业绩考核?考核程序是什么?
(4)资金和资源
就公司合规管理目标,公司是否配备了足够的合规管理人员来有效审查、归档、分析和采取行动?
为上述目的,公司是否提供了足额资金?
过去是否发生过合规管理和控制人员的资源申请被否定的情况?如果有,理由是什么?
(5)自主权
合规管理和相关控制部门是否能够向董事会和/或审计委员会直接报告?
他们与董事开会的频率有多高?
高级管理人员参加这些会议吗?
如何确保合规管理和控制人员的独立性?
(6)外包合规管理职能
公司是否将全部或部分合规管理职能外包给外部的律师事务所或咨询机构?
如果外包了,谁来负责对其进行监督和协调?
外部律所或咨询机构能够接触到公司哪些级别的信息?
对外包程序的有效性做过评估吗?
3. 奖惩措施
合规管理有效实施的另一标志是,公司建立了合规奖励机制和合规惩戒机制。公司向员工传达的信息是否达到了下列程度:公司对不道德行为零容忍,违规人须承担相应后果。公司是否提供激励措施(如人员晋升、奖励和奖金),推动合规管理。
(1)人事程序
针对不同种类的不当行为,谁参与做出处罚决定?
对于每一不当行为,是否执行同一程序?如果不是,原因是什么?
纪律处分的真正原因会与员工沟通吗?如果不会,原因是什么?
会因法律或调查方面的原因对信息进行保密吗?是否因不成文的原因妨碍举报或调查?
(2)持续适用
纪律处分和奖励是否在全公司公平、持续适用?是否存在区别对待同类不当行为的情况?如果存在,理由是什么?
公司如何奖励合规与道德行为?
发生过因为违规或不道德行为而采取惩处措施的情况吗(如取消晋升或奖金等)的案例吗?
谁来决定奖励、晋升或处罚合规管理人员?
三、公司的合规管理在实践中是否充分有效
美国司法部《公司合规管理评价》从持续改进、违规调查两个方面,对评估公司合规管理在实践中的充分有效性提供指导。评估合规政策和制度是否有效地发挥作用,须考虑在发生不当行为时,公司是否能够发现不当行为、如何发现不当行为、在调查可疑不当行为时有哪些调查资源可以运用,以及公司补救措施的性质和彻底性。公司是否对不当行为进行了充分和实际的根本原因分析,是什么导致了不当行为,以及为防止今后发生类似事件而需要采取的补救措施。
1. 持续改进、定期测试和评估
有效合规管理的一个标志是公司对合规成册和制度进行持续改进和提升。公司是否采取了合理措施,以确保遵守公司的合规和道德至合规政策(包括监控和审计),发现违规行为;是否定期评估合规政策与制度实施的有效性。
(1)内部合规审计
对谁进行内部合规审计、内部合规审计频率的确定程序是什么?该程序的合理性是什么?
如何开展合规审计?
哪些合规审计甄别出了不当行为?开展过这样的审计吗?审计发现是什么?
哪些合规审计发现和整改定期向管理层及董事会做了汇报?管理层和董事会如何跟踪?
内部合规审计对高风险领域进行审计的频率有多高?
(2)控制测试
针对与不当行为相关的领域,公司是否对合规政策和制度进行了检查和审计?
公司采取了哪些控制测试、合规数据收集和分析、员工访谈以及第三方商业伙伴访谈?
如何汇报测试结果?如何追踪?
(3)不断更新
公司对风险评估进行更新,对合规政策、制度和实践进行审查的频率有多高?
公司是否进行过差异分析,以确定特定风险领域在合规、控制或培训中是否得到充分说明?
公司采取了哪些措施来确定政策、制度、实践是否对特定业务领域或子公司有效发挥作用?
(4)合规文化
公司如何对其合规文化进行评测?评测的频率如何?
公司是否从所有层级的员工收集意见,以确定他们是否理解公司高层和中策的合规承诺?
公司采取了哪些措施来对公司合规文化进行评测?
2. 调查不当行为
(1)由合格人员进行适当调查
公司如何确保调查的范围适当,如何确保违规调查的独立性、客观性、适当性,如何确保适当记录和归档?
(2)对调查的响应
公司的调查是否以及如何被用来识别根本原因、系统缺陷、责任失效(包括监督人员和高级管理人员)?
对调查发现的响应程序是什么?
调查发现应汇报到公司哪个级别?
3. 对不当行为的分析和整改
(1)根本原因分析
公司是否对不当行为的根本原因进行分析?
发现过任何系统性问题吗?
公司由谁参与分析?
(2)历史性缺陷
哪些控制失效过?
如果政策或制度禁止不当行为,这些政策和制度是否得到有效实施?这些政策和制度的归口管理部门是否应对不当行为承担责任?
(3)付款系统
不当行为的资金支持(如订单、员工报销、折扣、备用金等)是什么?
为防止或监测不当使用这些资金,应当采取什么程序?
这些程序得到改进了吗?
(4)供应商管理
供应商是否参与了不当行为?
供应商的选择程序是什么?公司选择的供应商是否通过该程序?
(5)过去的提示
过去是否有机会监测到不当行为,如审计报告识别出相关控制失效、举报、调查等?
公司对为什么丧失这些机会进行分析吗?
(6)整改
公司采取了哪些措施,以降低相同或类似问题不再发生的风险?
对于在根本原因分析和机会丧失分析中识别的问题,公司采取了什么整改措施?
(7)问责
对于违规行为,公司采取了哪些问责措施,是否及时?
如果管理人员的下属发生违规行为,对管理人员是否追责?
公司是否考虑对监管失效进行问责?
对员工纪律处分,公司是否记录(如纪律处分的数量和种类等)?
公司是否因员工不当行为而解除其劳动合同或者给予纪律处分(减少或取消奖金、给予警告等)。
