一文讀懂《公司合規體系評價指南》變化

作者：周鋡範勇（北京光曦國際咨詢有限公司）

本文為威科先行法律信息庫丨反商業賄賂實務模塊獨家文章，

在企業合規管理中，美國始終是一個繞不開的話題。無論企業是否在美國經營、是否與美國企業有來往、甚至是否以美國金融系統作為結算方式……都有可能被其“長臂原則”所攬住，受到管轄（所謂美國“長臂原則”，即美依靠其《反海外腐敗法》（FCPA）、薩班斯法案、以及《出口管制條例》三大臂膀，對大部分跨國企業——不限于美國跨國企業——以合規管理為途徑進行管控。）甚至，很多企業根本從未意識到自己處于美國的“監控”下就已經身置于違規的風暴中。

從全球經濟一體化的趨勢來看，近年，各國企業均對合規管理進行更深入的要求。尤其以美國為首的歐美諸國，不光強調企業自身對于合規管理體系的搭建，更對企業合規管理的主動性、積極性提出了更高的要求。

2004年，美國政府修訂後的《針對機構實體的聯邦量刑指南》（FSGO）明确了建立有效的合規管理體系可為企業減輕處罰；2017年美國發布的《公司合規（管理[1]）體系（有效性）[2]評價指南》以及2019年的修訂版，更為企業有效合規管理的搭建提出明确的操作方向。

2017年2月，美司法部刑事局欺詐處在其官網發布了一份名為《公司合規（管理[3]）體系（有效性）[4]評價指南》。（以下簡稱2017版本）

2019年4月，美司法部刑事局對《公司合規（管理）體系（有效性）評價指南》進行了更新。（以下簡稱2019版本）

2019更新版本較2017版本有那些重要變化呢？

一、調整刑事局的作用，而非局限于反欺詐處

2019版本發文處為：美國司法部刑事局；2017版本發文處為：美國司法部刑事局反欺詐處。2019版本将發文機構級别上移，強調了文件在整個刑事局的适用範圍。2019版本正文中也突出了此特點：

原文：“Because a corporate compliance program must be evaluated in the specific context of a criminal investigation,the Criminal Division（2017：the Fraud Section）does not use any rigid formula to assess the effectiveness of corporate compliance programs. We recognize that each company's risk profile and solutions to reduce its risks warrant particularized evaluation. Accordingly, we make an individualized determination in each case. There are, however, common questions that we may ask in the course of making an individualized determination.

譯文：由于必須在刑事調查的特定背景下對企業的合規體系進行評價，刑事司（2017版本為：反欺詐處）沒有使用任何嚴格死闆的公式來評價企業合規體系的有效性。我們認識到，每一家企業的風險狀況和降低其風險的解決方案都需要具體詳細的評估。因此，針對每一種情況，我們做出了切合個體實際的決定。然而，在做出個性化決定的過程中，我們可能會問一些共同的問題。

二、以“體系搭建-體系執行-體系有效”三大模塊重排問題，邏輯更加清晰

相較于2017版本中較分散的11個評價主題（TOPICs），2019版本以：“體系搭建-體系執行-體系有效”三大邏輯評價闆塊對2017版本的11個評價主題進行重排整合，使邏輯更加清晰。

2019版本在各個評價主題下，分别有對應的評價要素項，一共包含了48個評價要素項；每個評價要素項則又包含了若幹評價有效性的問題，一共包含了160個評價問題（比2017版本的124個評價問題多出了36個）。

2019版本四級評價框架

頂層的三大評價模塊如圖所示：

2019版本中三大評價模塊

2017版本的11個評價主題也在此三大闆塊中進行重排、拆分及整合：

I. Is the Corporation’s Compliance Program Well Designed? （企業的合規體系是否設計良好？）

A. Risk assessment 風險評估 （2017 T5）
B. Policies and Procedures 政策和流程 （2017 T4）
C. Training and Communications 培訓和溝通 （2017 T6）
D. Confidential Reporting Structure and Investigation Process 保密報告結構和調查過程（類似2017 Q7）
E. Third Party Management第三方管理 （2017 T10）
F. Mergers and Acquisitions (M&A)兼并和收購（并購）（2017 T11）

II. Is the Corporation’s Compliance Program Being Implemented Effectively? （企業的合規體系是否得以有效執行？）

A. Commitment by Senior and Middle Management 高層和中層管理層的承諾 （2017 T2）
B. Autonomy and Resources自主權和資源 （2017 T3）
C. Incentives and Disciplinary Measures 獎懲措施 （2017 T8）

III. Does the Corporation’s Compliance Program Work in Practice? （企業的合規體系在實踐中有效嗎？）

A. Continuous Improvement, Periodic Testing, and Review 持續改進、定期測試和評審（2017 T9）
B. Investigation of Misconduct不當行為的調查 （類似2017 T7）
C. Analysis and Remediation of Any Underlying Misconduct任何潛在不當行為的分析和補救 （2017 T1）

2019版本三大模塊的12個評價主題分布圖

三、對舉報和響應機制進行更多強調

2017版本中”T7:秘密舉報與調查”的問題被拆解及增加後，在2019版本中分别處于兩個問題中：（1）“I. Is the Corporation’s Compliance Program Well Designed?企業的合規體系是否設計良好？”（2）“III. Does the Corporation’s Compliance Program Work in Practice? 企業的合規體系在實踐中有效嗎？”

模塊I -體系搭建中，該評價主題及評價要素項為：

“D. Confidential Reporting Structure and Investigation Process 保密報告結構和調查過程
▶ Effectiveness of the Reporting Mechanism 舉報機制的有效性
▶Properly Scoped Investigations by Qualified Personnel 由合格人員進行适當範圍的調查
▶Investigation Response 調查響應
▶Resources and Tracking of Results資源和結果跟蹤 （2019版本新增）”

模塊III-體系有效中，該評價主題及評價要素項為：

“B. Investigation of Misconduct不當行為的調查
▶Properly Scoped Investigation by Qualified Personnel 由合格人員進行适當範圍的調查
▶Response to Investigations 調查響應”

明顯看到，其中”Properly Scoped Investigation by Qualified Personnel 由合格人員進行适當範圍的調查”以及“Response to Investigations 調查響應”重複出現。此要求不僅是企業合規體系設計良好的标準之一，也是衡量合規體系在實踐中有效性的标準之一。

四、增加對于設置每個評價主題的解釋，讓使用者更加明晰

在2019版本中，對于每一個評價主題，增加了更多的解釋内容，為檢察官及合規官在日常工作的判定範圍更清晰地劃清了界限。這也是本次修訂版本中最大的變化，而2017版本中則無任何詳盡的解釋說明。

如對于“A. Risk Assessment”風險評價，2019版本給出了清晰的說明：

原文：“The starting point for a prosecutor’s evaluation of whether a company has a well- designed compliance program is to understand the company’s business from a commercial perspective, how the company has identified, assessed, and defined its risk profile, and the degree to which the program devotes appropriate scrutiny and resources to the spectrum of risks.

譯文：檢察官評估一家企業是否具備設計良好的合規體系的出發點，是從商業角度了解該企業的業務、了解企業如何識别、評估和定義其風險狀況，以及該合規體系在多大程度上對風險範圍進行了适當的審查、投入了多少資源。

解讀：解釋了設立“風險評估”評價主題的動機。

原文：Prosecutors should consider whether the program is appropriately “designed to detect the particular types of misconduct most likely to occur in a particular corporation’s line of business” and “complex regulatory environment.” JM 9-28.800.2 For example, prosecutors should consider whether the company has analyzed and addressed the varying risks presented by, among other factors, the location of its operations, the industry sector, the competitiveness of the market, the regulatory landscape, potential clients and business partners, transactions with foreign governments, payments to foreign officials, use of third parties, gifts, travel, and entertainment expenses, and charitable and political donations.

譯文：檢察官應考慮該體系是否“旨在監測企業某一特定營業範圍内最有可能發生的特定類型的不當行為”和“複雜的監管環境” JM 9-28.800.2 例如，檢察官應考慮，該企業是否分析并處理了，除其他因素外，由其營業地點、所處的工業部門、市場競争、監管環境、潛在客戶和商業夥伴、與外國政府的交易、支付給外國官員的款項、利用第三方、禮品、旅行和招待費用、以及慈善和政治捐款形成的各種風險。

解讀：解釋了檢察官對該主題的考量範圍。

原文：Prosecutors should also consider “[t]he effectiveness of the company’s risk assessment and the manner in which the company’s compliance program has been tailored based on that risk assessment” and whether its criteria are “periodically updated.” See, e.g., JM 9-47-120(2)(c);U.S.S.G. § 8B2.1(c) (“the organization shall periodically assess the risk of criminal conduct and shall take appropriate steps to design, implement, or modify each requirement [of the compliance program] to reduce the risk of criminal conduct”).

譯文：檢察官還應考慮“[t]企業風險評估的有效性，以及根據該風險評估以何種方式調整企業合規體系使其适應實際情況”，以及其标準是否“定期更新。”可參閱JM 9-47-120(2)(c); U.S.S.G. § 8B2.1(c) （“組織機構應定期評估犯罪行為風險，并應采取适當的舉措設計、實施或修改[合規體系]的每項要求，以降低犯罪行為風險”）。

解讀：解釋了檢察官對該主題的評價标準。

原文：Prosecutors may credit the quality and effectiveness of a risk-based compliance program that devotes appropriate attention and resources to high-risk transactions, even if it fails to prevent an infraction in a low-risk area. Prosecutors should therefore consider, as an indicator of risk-tailoring, “revisions to corporate compliance programs in light of lessons learned.” JM 9- 28.800.

譯文：即使一個基于風險的、在高風險交易上投入了足夠注意力和資源的合規體系仍未能阻止低風險領域的違規行為，檢察官仍可衡量肯定該體系的質量和有效性。”

解讀：解釋了檢察官對該主題的評價結果如何做出。

除對風險管理的解釋之外，對于每個評價主題，2019版本都給出了明确的解讀，由于篇幅原因，不在此一一羅列。明顯的，對于合規官來說，較該類解釋的準确理解和應用，是能否在合規管理日常工作中清晰界定工作方法和範圍的關鍵。2019版本為合規管理日常工作提出了更為具體和深入的指導方向。

五、三個評價模塊下的最終的評價問題邏輯上彼此關聯呼應

三大評價模塊，最終展開成了160個評價問題需要企業向檢察官進行一一客觀、清晰、具體的解釋。“I-體系搭建”模塊包含了72個問題，“II-體系執行”模塊包含了47個問題，“III-體系有效”模塊則包含了41個問題。應該注意的是，這些分布于各個評價模塊的問題不是孤立的存在，三個模塊是遞進關系，因此，對前續模塊下問題的回答，檢察官可能會在後續模塊的問題中繼續得到驗證，這也增加了企業面對檢察官的評估時，進行虛假應答的難度。
如：在模塊I的“風險評估”主題下，企業會被問及“風險評估是否現行并須定期複盤?”、“根據吸取的教訓，政策和程序是否有任何更新?”這樣的問題。

而在模塊III中，則專門出現了“持續提升、定期檢查與複盤”的主題，檢察官則會提出“内部審計多久對高風險地區進行一次評估?”、“公司是否經常更新其風險評估并審查其合規政策、程序和實踐?”、“公司采取了哪些步驟來确定政策/程序/實踐是否适用于特定的業務部門/子公司?” 這樣的問題，來對照參考企業之前回答的模塊I中對應的問題，以此來評價企業的回答是否真實，以及企業在風險評估方面是否行之有效。

總體看來，2019版本與企業日常經營更為貼合，也更為實際。這與我們一直倡導的：企業合規管理應最大化與日常管理流程相結合的理念不謀而合。仔細研讀2019版本的：《公司合規（管理）體系（有效性）評價指南》，對于中國的走出去企業，甚至與美國有關聯業務的企業無疑具有極大價值。

最後，我們需要再次強調，無論是2017版本還是2019版本，這份文件僅為美國司法機關評價本企業當前合規管理體系有效性的思路框架。對于适用的國内企業來說，框架思路如何演變為實際應用，需要企業相關責任人進行仔細揣摩、與企業實際的行業、運營流程相結合。隻有将指引框架切實地綁定操作運營，才能得出最有實際意義的企業合規評價結論。

注釋：

[1] “管理”：作者根據實際意義增加
[2]“有效性”：作者根據實際意義增加
[3]“管理”：作者根據實際意義增加
[4]“有效性”：作者根據實際意義增加