标杆案例
这七步,是你和一流企业合规的差距
编者按
公司必须保护自己免受腐败风险。有效的合规程序不仅要检测和纠正不当行为,同时要被执法当局认可。一套有效并得到执法当局认可的合规程序也许不能百分百保证企业免受腐败风险,但它至少可以在腐败不幸发生时,让企业少交罚款,或免于刑事起诉。本文提供了一种循序渐进的方法以助企业设计和实现有效的反腐败合规制度。
本文选自中国公司法务研究院主编的《公司法务》第一辑ACC聚焦栏目,ACC是全球企业法律顾问的自律性组织,总部位于美国华盛顿。
美国《反海外腐败法》(《Foreign Corrupt Practices Act》,以下简称FCPA)禁止美国国内企业、个人以及发行人,在任何地区向外国政府官员行贿。更具体地说,FCPA反贿赂条款禁止向外国政府官员支付,或者直接或间接地提供礼物、款项或“任何有价值的东西”。FCPA还要求在美国上市的证券发行人,建立并保持准确的账簿和记录,同时制定和维护一个合理有效的内部会计控制系统。FCPA由美国司法部(DOJ)和美国证券交易委员会(SEC)共同执行。
不服从FCPA所遭受的处罚十分严重。目前,企业金钱解决途径 (corporate monetary resolution)的平均成本空前高涨。在2014年的FCPA相关执法行动中,企业金钱解决途径的平均价值总额是15661万美元。这比2013年的8007万元和2012年的2171万元都要高。企业金钱解决途径花费高昂的同时,法务和会计调查成本通常可能超过刑事罚款。雅芳公司就是一个典型案例。在2014年12月,雅芳产品公司支付了1.35亿美元用于和解对其违反FCPA的指控。然而更惊人的是,雅芳报告其在超过五年的时间中,在与FCPA调查和合规审查相关的“专业和相关费用”领域花费了超过3亿美元。
尽管可能触犯FCPA,当一个机构评估风险时必须要将视野超越出美国和FCPA。在过去的几年中,我们已经看到了本土反腐败立法和执法的积极发展。最有代表性的案例也许就是葛兰素史克(GSK)在中国的解决方式。2014年9月,在经历了一天的非公开审判之后,GSK的一个中国子公司因通过医药协会和旅行社对医院和医生进行药品回扣贿赂而被判有罪。中国政府对该公司处以5亿美元的罚单。而在个人层面,该公司的五名中国高管被判有罪并获得缓行。
公司必须保护自己免受腐败风险。有效的合规程序不仅要检测和纠正不当行为,同时要在谈判解决方案时被执法当局认可。在已出版的指南中,DOJ和SEC建议,公司合规程序的存在和有效性可能影响决议的性质、罚金的金额和监视或自我报告的需求。此外,合规程序的存在或者缺位,在最近的FCPA决议中被频繁引用。例如,在2012年DOJ拒绝起诉摩根斯坦利,很大程度上是因为它健全的合规程序及内控机制。
虽然任何合规程序的性质和范围都必须适应具体的运营情况和地理风险因素,但是任何有效的合规计划的步骤和要素都是共通的。本文提供了一种循序渐进的方法以助设计和实现一个反腐败合规项目。
步骤一:高级管理层决定制定和实施合规程序
合规程序的目的有三层:预防、发现和纠正违规行为。当成功的时候,合规程序将使潜在风险和执法监督最小化。但为了更有效,反腐败合规程序必须不能是临时的。一个项目要起作用,必须要有目的地设计和实施。
因此,在进一步讨论之前,公司必须要决定实施一个合规项目。FCPA指南强调“合规文化”首先需要“高层基调”,这一决定最好是由一个或者多个有足够权利的高级管理人员做出。为了确保适当的监督,一般会任命一位合规官。同样重要的是,一个实施合规计划的决定也需要适当的货币和人力资源配给计划,以及机构能够充分配合计划的承诺。
步骤二:风险评估
在决定了制定合规计划之后,一个机构应当进行综合的基准风险评估。风险评估的结果将成为制定有效合规计划的路线引导图。通常,一次风险评估涉及到地理和运营层面的风险因素。风险评估的性质和范围将基于机构的规模和运营情况而大有不同。例如:
■地理风险:公司运营地在何处?这些国家对腐败的认知水平如何?公司的运营地是否属于美国执法机构正在积极与外国政府合作以进行FCPA调查和起诉的地区?
■操作风险:公司所经营的领域是否属于执法行动集中增加的领域?(比如,能源、物流、运输、医药、技术)?
■合作伙伴:公司对第三方的依赖程度有多高?这些第三方与政府官员是否会互相影响?该公司是否有合资伙伴?近期是否有收购交易?被收购实体是否被完全整合?之前是否存在违反FCPA或者其他反腐败的案例?
如果有可能的话,风险评估应当在法律顾问的指导下进行,以便可以保持特权保护。风险评估应当包括由对中低档风险地区的远程调查问卷,以及在高风险地区的现场访谈共同组成。同样,基于评估产生的建议应当被记录在案,并传达到高级管理层。
合规风险在不断快速的进化发展。一个公司必须能够识别出新的或者高风险,以适应不断变化的监管和执法情况。除了之前讨论过的基准风险评估,有针对性的风险评估应该是一个公司合规工作的常规组成部分,并通常为一年一度。
步骤三:合规程序设计
一旦公司进行了适当的风险评估,程序的设计便可以启动。通常,反腐败合规程序包括了以下要素。
行为准则。行为准则是任何公司合规计划的基石。行为准则应该:(1)对合法、符合道德的商业惯例提出一个强大且明确的承诺(包括一个明确的贿赂禁止);(2)容易被所有员工、代理商取得,而且应当提供所有该公司所使用的商业语言版本;(3)引用更详细的政策和程序。通常,在合规承诺方面,机构的行为准则将从高级管理层引述或者摘录,以此订立“高层基调”。
反腐败政策和程序。独立于行为准则之外,内部政策应当至少解决伴随着以下事项的腐败风险:(1)礼物;(2)旅行和住宿;(3)娱乐;(4)餐饮;(5)慈善和政治捐款;(6)雇佣关系。
政策和程序同样也需要考虑使用第三方代理所带来的风险,通过提供供应商选择和市场测试程序、预约尽职调查,以及包括反腐败声明、保证和审计权利在内的合同安全保障。
更国际化方式是,编写一个合规计划的组成要素应当采取明确的方式。不应该有灰色的操作空间。所有的行贿都应该被禁止,而不仅仅针对贿赂外国政府官员。此外,尽管FCPA允许支付便利费,多数地方反腐败法律都禁止此类支付。最后,一个公司的政策和程序都必须定期审查和更新。
培训。作为任何合规程序的组成部分,常规的用以化解具体风险因素的反腐败训练应当被提供。特定于行业假设或案例的训练通常是有效的。通常,反腐败训练会结合一些生活、现场培训和网络培训。训练应当提供给所有的新雇员,而对所有员工至少每年要进行一次训练。此外,对于一个公司来说,对在高风险市场或高风险业务职位的雇员,必须提供有针对性、补充性的反腐败培训。培训是一种有用的双向沟通机制,在此机制下,政策将会被强化、员工对任何领域的关注都可能被提高。
作为年度培训的组成部分,一个机构可能也希望考虑定期进行反腐败更新升级。这些通常从合规部门或总法律顾问办公室通过电子邮件发出的更新,可以对相关执法行动进行总结,或提醒员工公司的合规计划要素。
确认和认证。每年,所有员工应当被要求证明他们在反腐败培训中的收获和理解。此外,一个机构应当考虑要求雇员证明他们符合适用的法律和政策。对于那些在高风险或者敏感职位的人来说,这种认证尤为重要。
报告机制。对违法行为和潜在不当行为的早期检测和修复,报告机制允许对这些事件进行匿名举报。报告潜在的违规应该是强制的。此外,对于受2002年萨班斯-奥克斯利法案(以下简称“SoX”)管制的公司,报告机制必须允许匿名报告。在此机制下,雇员进行报告的渠道包括:(1)热线;(2)电子邮件或电子报告;(3)总法律顾问或合规部门办公室的通信;(4)直接报告或者通过其他主管通信。可采用的报告机制,包括任何匿名报告机制,应进行广泛的宣传沟通,以便所有员工都知道如何对潜在的违规进行报告。
此外,值得注意的是,在数据隐私方面强大的司法管辖区之间的紧张关系——即欧盟和SoX报告。欧盟数据隐私法律常常与匿名热线冲突。欧盟数据隐私法所带来的障碍举例包括:(1)限制热线接受匿名建议;(2)限制雇员可以匿名举报的违规种类(主题);(3)限制哪些雇员可以使用热线;(4)关于热线是选择内部还是外部的偏好;(5)要求热线在当地数据隐私部门进行登记。因为欧盟数据隐私问题可能使热线或者其他匿名报告机制的实施变得更加复杂,对机构所运作的司法辖区内可能存在冲突的地方法律法规,应当谨慎地接受不同国家地区的具体建议。
第三方。第三方意味着任何合规项目中的大量风险,这几乎是无可争议的。事实上,据估计超过90%FCPA的执法行动都涉及第三方行为。应对这一风险已经成为合规计划中最重要的要素之一。其中一个机构可以尝试降低第三方风险,并且识别潜在危险信号的领域,就是通过合同事前反腐败尽职调查。在第三方尽职调查中常见的危险信号,例如:(1)第三方的腐败历史或者名声;(2)第三方没有足够的专业知识来提供其所声称的服务;(3)第三方要求以现金支付;(4)第三方要求匿名;(5)第三方要求开高价发票;(6)第三方在该风险地区或行业运营。
合资企业,兼并与收购。在合资和收购的情况下,任何机构最不想要知道的事情就是未被发现的FCPA问题。对于继任者公司可能因其前身公司违反FCPA的行为而被起诉,DOJ有着广阔的视野。由于属于合资企业,在合资企业中拥有多数股权的实体,对FCPA的会计条款下的帐簿、记录以及内部控制政策有着严格责任。进一步说,根据FCPA的反贿赂条款,即使一个机构不是一个大股东或者不行使控制权,当它知道实际上或者推定知晓不当行为时,仍然可以被追究法律责任。
因为合资和收购所带来的重大风险,公司应该对潜在的收购目标和合资伙伴进行全面的反腐败尽职调查。像合规项目作为一个整体,尽职调查并不是通用的。必要的尽职调查的性质和范围取决于所提出的特定风险和被认定的危险信号。如果全面合理的尽职调查在达成协议之前不可能进行,那么一个组织应当在并购完成或者合资达成之后立即进行尽职调查。事后管理期的尽职调查,可以在发票和应付账款、旅行和娱乐费用报销以及关键客户关系分析方面找寻危险信号。在收购或组建一个合资公司后,除了尽职调查之外,公司必须确保合规程序完全整合成一体。这常常说起来容易做起来难,但是通过正确的高层基调、及时推出的政策和程序以及一系列培训,这将可以达成。
步骤四:实施 一个合规程序的实施,需要内部外部有效的沟通。合规计划不应当分阶段推出,而是应当在全球范围内实施,尤其集中在机构的中枢和高风险操作领域和地区。通常,公司将有一个书面的黄金标准合规程序,但是往往不能做到将其要求与所有层级的员工进行沟通。如果雇员知道并理解他们的义务,那合规程序才能有效,尤其是当它适用于员工对于潜在不当行为的报告义务时。一个组织有效探测并适当纠正任何潜在违规行为的能力,标志着其合规程序的有效性。
步骤五:执行
有效的合规程序应该是有牙齿的。DOJ和SEC已经明确表示:“无人不应在其覆盖之下”——机构必须愿意对其中的各级组织进行纠正和规范。纪律措施应被规定于适用的政策中。当评估一个公司的应对行为可能违反FCPA的时候,执法当局将会关注公司补救措施努力的范围。补救措施的关键组成部分就是对“坏蛋们”进行规制,其中包括了终止。无论看上去多么微不足道,所有纪律措施都必须被记录在案。
鼓励遵守也同样应当被考虑。FCPA指南规定“积极的激励措施”可以“驱动合规行为”。激励的例子可能包括升职,以及在个人评估中的科学评估。
步骤六:监测与评估
合规项目不能变得停滞不前。连续的、主动的监测和审查是任何有效合规项目中的标志性组成部分。关键是公司能够适应不断变化的风险。合规项目需要定期监测和评估,其中包括以下组成部分:
■通过直接或间接的反腐败组件审查政策和程序;
■审查其他潜在相关文件,包括事件报告及和高风险第三方订立的合同;
■对高风险职位进行个人面试;
■有相关的个人来证明符合反腐败政策和程序;
■在适当的地方提供补充和/或有针对性的反腐培训;
■提供政策建议或其他增强合规计划的方式。
机构不应等到问题在某处发生之后,再去对其他地方的程序有效性来进行评估作为应对。合规评估应当有一个定期的进度和预算。这些评估应该在定期的风险评估之上进行。
步骤七:应对潜在的合规问题
DOJ和SEC预期公司实体对被报道的不端行为进行内部应对和事件审查。一个有效的合规计划,必须要有有效的程序来应对潜在违规的指控。在收到指控单据的即刻,指控就应被审查和适当地引导。投诉应当评估它们的可信度和严重性。可信度报告应当通过内部调查来进行进一步调查。
内部调查应当由内部或者外部的法律顾问来进行指导,以便调查可以保持对特权的保护。根据事件的严重程度,调查可能由以下组成:
■文档审查:对于潜在适用政策和程序进行审查,以及在更极端情况下,重点审查相关雇员的电子邮价和其他文档,将给调查队伍提供必要的信息以进行足够的内部调查。必要时,公司还应该考虑是否应当对可能有相应文档的员工进行文档保存提示。
■司法分析:根据所谓不当行为的性质和范围,对相关帐簿和记录进行有针对性的司法分析可能是适当的。虽然司法分析并不经常是必要的,但是当指控可能涉及伪造或者记录、规避内部控制或者当一个系统性问题被质疑时,司法分析可能就会适用。是否使用内部审计功能或者外部审计师来进行这个分析也应当被考虑。
■员工访谈:对潜在相关信息进行员工访谈是内部调查的重要组成部分,并将协助机构评估潜在的不当行为。
■存档:一个机构应当经常对其内部调查的方法和结果进行存档。如果有任何纪律措施和/或补救措施,也应该被记录下来。
此外,被报告的合规事件应当被存档、以问题划分或者定期合成。许多能从所报告的事件中进行趋势分析得出的包括,例如:(1)事件是否代表了一个系统性的问题;(2)某些类别的指控是否构成了信用隐忧;和(3)控制系统是否应该更新升级,以保证观察到问题。
也许,在过去的十年中,国际商业合规中没有任何领域比反腐败吸引了更多的注意力。稳定且积极地执行美国FCPA仍在继续。公司支付超过亿元以上的刑事罚款,以及解决FCPA或者其他反腐败的指控,都不再少见。撇开这些巨额的罚款,调查的成本时常高于惩罚本身。除了昂贵之外,调查往往冗长且带有攻击性。积极创建和维护一个反腐败合规计划可能是最好的防御。然而,并不是所有的合规计划都必须一样。一个通用的反腐败合规计划是不存在的。公司必须灵活地创建并执行一个程序,以满足公司的特殊需求,并对公司独特的风险指标作出解释。
(本文版权属于全球企业法律顾问协会)
来源:中国公司法务研究会
小编微信:Crocso 如欲就法务与合规管理进行交流、培训、咨询等,可与我联系,将为您推荐大咖老师、资深专家和律师。