一文读懂《公司合规体系评价指南》变化

2019版本《公司合规(管理)体系(有效性)评价指南》之变化

作者：周鋡 范勇 （北京光曦国际咨询有限公司）

本文为威科先行法律信息库丨反商业贿赂实务模块独家文章，

在企业合规管理中，美国始终是一个绕不开的话题。无论企业是否在美国经营、是否与美国企业有来往、甚至是否以美国金融系统作为结算方式……都有可能被其“长臂原则”所揽住，受到管辖（所谓美国“长臂原则”，即美依靠其《反海外腐败法》（FCPA）、萨班斯法案、以及《出口管制条例》三大臂膀，对大部分跨国企业——不限于美国跨国企业——以合规管理为途径进行管控。）甚至，很多企业根本从未意识到自己处于美国的“监控”下就已经身置于违规的风暴中。

从全球经济一体化的趋势来看，近年，各国企业均对合规管理进行更深入的要求。尤其以美国为首的欧美诸国，不光强调企业自身对于合规管理体系的搭建，更对企业合规管理的主动性、积极性提出了更高的要求。

2004年，美国政府修订后的《针对机构实体的联邦量刑指南》（FSGO）明确了建立有效的合规管理体系可为企业减轻处罚；2017年美国发布的《公司合规（管理[1]）体系（有效性）[2]评价指南》以及2019年的修订版，更为企业有效合规管理的搭建提出明确的操作方向。

2017年2月，美司法部刑事局欺诈处在其官网发布了一份名为《公司合规（管理[3]）体系（有效性）[4]评价指南》。（以下简称2017版本）

2019年4月，美司法部刑事局对《公司合规（管理）体系（有效性）评价指南》进行了更新。（以下简称2019版本）

2019更新版本较2017版本有那些重要变化呢？

一、调整刑事局的作用，而非局限于反欺诈处

2019版本发文处为：美国司法部刑事局；2017版本发文处为：美国司法部刑事局反欺诈处。2019版本将发文机构级别上移，强调了文件在整个刑事局的适用范围。2019版本正文中也突出了此特点：

原文：“Because a corporate compliance program must be evaluated in the specific context of a criminal investigation, the Criminal Division（2017：the Fraud Section） does not use any rigid formula to assess the effectiveness of corporate compliance programs. We recognize that each company's risk profile and solutions to reduce its risks warrant particularized evaluation. Accordingly, we make an individualized determination in each case. There are, however, common questions that we may ask in the course of making an individualized determination.

译文：由于必须在刑事调查的特定背景下对企业的合规体系进行评价，刑事司（2017版本为：反欺诈处）没有使用任何严格死板的公式来评价企业合规体系的有效性。我们认识到，每一家企业的风险状况和降低其风险的解决方案都需要具体详细的评估。因此，针对每一种情况，我们做出了切合个体实际的决定。然而，在做出个性化决定的过程中，我们可能会问一些共同的问题。

二、以“体系搭建-体系执行-体系有效”三大模块重排问题，逻辑更加清晰

相较于2017版本中较分散的11个评价主题（TOPICs），2019版本以：“体系搭建-体系执行-体系有效”三大逻辑评价板块对2017版本的11个评价主题进行重排整合，使逻辑更加清晰。

2019版本在各个评价主题下，分别有对应的评价要素项，一共包含了48个评价要素项；每个评价要素项则又包含了若干评价有效性的问题，一共包含了160个评价问题（比2017版本的124个评价问题多出了36个）。

2019版本四级评价框架

顶层的三大评价模块如图所示：

2019版本中三大评价模块

2017版本的11个评价主题也在此三大板块中进行重排、拆分及整合：

I. Is the Corporation’s Compliance Program Well Designed? （企业的合规体系是否设计良好？）

A. Risk assessment 风险评估 （2017 T5）

B. Policies and Procedures 政策和流程 （2017 T4）

C. Training and Communications 培训和沟通 （2017 T6）

D. Confidential Reporting Structure and Investigation Process 保密报告结构和调查过程（类似2017 Q7）

E. Third Party Management第三方管理 （2017 T10）

F. Mergers and Acquisitions (M&A)兼并和收购（并购）（2017 T11）

II. Is the Corporation’s Compliance Program Being Implemented Effectively? （企业的合规体系是否得以有效执行？）

A. Commitment by Senior and Middle Management 高层和中层管理层的承诺 （2017 T2）

B. Autonomy and Resources自主权和资源 （2017 T3）

C. Incentives and Disciplinary Measures 奖惩措施 （2017 T8）

III. Does the Corporation’s Compliance Program Work in Practice? （企业的合规体系在实践中有效吗？）

A. Continuous Improvement, Periodic Testing, and Review 持续改进、定期测试和评审（2017 T9）

B. Investigation of Misconduct不当行为的调查 （类似2017 T7）

C. Analysis and Remediation of Any Underlying Misconduct任何潜在不当行为的分析和补救 （2017 T1）

2019版本三大模块的12个评价主题分布图

三、对举报和响应机制进行更多强调

2017版本中”T7:秘密举报与调查”的问题被拆解及增加后，在2019版本中分别处于两个问题中：（1）“I. Is the Corporation’s Compliance Program Well Designed?企业的合规体系是否设计良好？”（2）“III. Does the Corporation’s Compliance Program Work in Practice? 企业的合规体系在实践中有效吗？”

模块I -体系搭建中，该评价主题及评价要素项为：

“D. Confidential Reporting Structure and Investigation Process 保密报告结构和调查过程

▶ Effectiveness of the Reporting Mechanism 举报机制的有效性

▶ Properly Scoped Investigations by Qualified Personnel 由合格人员进行适当范围的调查

▶ Investigation Response 调查响应

▶ Resources and Tracking of Results资源和结果跟踪 （2019版本新增）”

模块III-体系有效中，该评价主题及评价要素项为：

“B. Investigation of Misconduct不当行为的调查

▶ Properly Scoped Investigation by Qualified Personnel 由合格人员进行适当范围的调查

▶ Response to Investigations 调查响应”

明显看到，其中”Properly Scoped Investigation by Qualified Personnel 由合格人员进行适当范围的调查”以及“Response to Investigations 调查响应”重复出现。此要求不仅是企业合规体系设计良好的标准之一，也是衡量合规体系在实践中有效性的标准之一。

四、增加对于设置每个评价主题的解释，让使用者更加明晰

在2019版本中，对于每一个评价主题，增加了更多的解释内容，为检察官及合规官在日常工作的判定范围更清晰地划清了界限。这也是本次修订版本中最大的变化，而2017版本中则无任何详尽的解释说明。

如对于“A. Risk Assessment”风险评价，2019版本给出了清晰的说明：

原文：“The starting point for a prosecutor’s evaluation of whether a company has a well- designed compliance program is to understand the company’s business from a commercial perspective, how the company has identified, assessed, and defined its risk profile, and the degree to which the program devotes appropriate scrutiny and resources to the spectrum of risks.

译文：检察官评估一家企业是否具备设计良好的合规体系的出发点，是从商业角度了解该企业的业务、了解企业如何识别、评估和定义其风险状况，以及该合规体系在多大程度上对风险范围进行了适当的审查、投入了多少资源。

解读：解释了设立“风险评估”评价主题的动机。

原文：Prosecutors should consider whether the program is appropriately “designed to detect the particular types of misconduct most likely to occur in a particular corporation’s line of business” and “complex regulatory environment.” JM 9-28.800.2 For example, prosecutors should consider whether the company has analyzed and addressed the varying risks presented by, among other factors, the location of its operations, the industry sector, the competitiveness of the market, the regulatory landscape, potential clients and business partners, transactions with foreign governments, payments to foreign officials, use of third parties, gifts, travel, and entertainment expenses, and charitable and political donations.

译文：检察官应考虑该体系是否“旨在监测企业某一特定营业范围内最有可能发生的特定类型的不当行为”和“复杂的监管环境” JM 9-28.800.2 例如，检察官应考虑，该企业是否分析并处理了，除其他因素外，由其营业地点、所处的工业部门、市场竞争、监管环境、潜在客户和商业伙伴、与外国政府的交易、支付给外国官员的款项、利用第三方、礼品、旅行和招待费用、以及慈善和政治捐款形成的各种风险。

解读：解释了检察官对该主题的考量范围。

原文：Prosecutors should also consider “[t]he effectiveness of the company’s risk assessment and the manner in which the company’s compliance program has been tailored based on that risk assessment” and whether its criteria are “periodically updated.” See, e.g., JM 9-47-120(2)(c);U.S.S.G. § 8B2.1(c) (“the organization shall periodically assess the risk of criminal conduct and shall take appropriate steps to design, implement, or modify each requirement [of the compliance program] to reduce the risk of criminal conduct”).

译文：检察官还应考虑“[t]企业风险评估的有效性，以及根据该风险评估以何种方式调整企业合规体系使其适应实际情况”，以及其标准是否“定期更新。”可参阅JM 9-47-120(2)(c); U.S.S.G. § 8B2.1(c) （“组织机构应定期评估犯罪行为风险，并应采取适当的举措设计、实施或修改[合规体系]的每项要求，以降低犯罪行为风险”）。

解读：解释了检察官对该主题的评价标准。

原文：Prosecutors may credit the quality and effectiveness of a risk-based compliance program that devotes appropriate attention and resources to high-risk transactions, even if it fails to prevent an infraction in a low-risk area. Prosecutors should therefore consider, as an indicator of risk-tailoring, “revisions to corporate compliance programs in light of lessons learned.” JM 9- 28.800.

译文：即使一个基于风险的、在高风险交易上投入了足够注意力和资源的合规体系仍未能阻止低风险领域的违规行为，检察官仍可衡量肯定该体系的质量和有效性。”

解读：解释了检察官对该主题的评价结果如何做出。

除对风险管理的解释之外，对于每个评价主题，2019版本都给出了明确的解读，由于篇幅原因，不在此一一罗列。明显的，对于合规官来说，较该类解释的准确理解和应用，是能否在合规管理日常工作中清晰界定工作方法和范围的关键。2019版本为合规管理日常工作提出了更为具体和深入的指导方向。

五、三个评价模块下的最终的评价问题逻辑上彼此关联呼应

三大评价模块，最终展开成了160个评价问题需要企业向检察官进行一一客观、清晰、具体的解释。“I-体系搭建”模块包含了72个问题，“II-体系执行”模块包含了47个问题，“III-体系有效”模块则包含了41个问题。应该注意的是，这些分布于各个评价模块的问题不是孤立的存在，三个模块是递进关系，因此，对前续模块下问题的回答，检察官可能会在后续模块的问题中继续得到验证，这也增加了企业面对检察官的评估时，进行虚假应答的难度。

如：在模块I的“风险评估”主题下，企业会被问及“风险评估是否现行并须定期复盘?”、“根据吸取的教训，政策和程序是否有任何更新?”这样的问题。

而在模块III中，则专门出现了“持续提升、定期检查与复盘”的主题，检察官则会提出“内部审计多久对高风险地区进行一次评估?”、“公司是否经常更新其风险评估并审查其合规政策、程序和实践?”、“公司采取了哪些步骤来确定政策/程序/实践是否适用于特定的业务部门/子公司?” 这样的问题，来对照参考企业之前回答的模块I中对应的问题，以此来评价企业的回答是否真实，以及企业在风险评估方面是否行之有效。

总体看来，2019版本与企业日常经营更为贴合，也更为实际。这与我们一直倡导的：企业合规管理应最大化与日常管理流程相结合的理念不谋而合。仔细研读2019版本的：《公司合规（管理）体系（有效性）评价指南》，对于中国的走出去企业，甚至与美国有关联业务的企业无疑具有极大价值。

最后，我们需要再次强调，无论是2017版本还是2019版本，这份文件仅为美国司法机关评价本企业当前合规管理体系有效性的思路框架。对于适用的国内企业来说，框架思路如何演变为实际应用，需要企业相关责任人进行仔细揣摩、与企业实际的行业、运营流程相结合。只有将指引框架切实地绑定操作运营，才能得出最有实际意义的企业合规评价结论。

注释：

[1] “管理”：作者根据实际意义增加

[2]“有效性”：作者根据实际意义增加

[3]“管理”：作者根据实际意义增加

[4]“有效性”：作者根据实际意义增加

本文不代表赛尼尔法务管理观点