2019年4月30日,美国司法部刑事处公布了更新版的《公司合规程序评价》(Evaluation of Corporate Compliance Programs),迅速引起各国合规专业人士的关注(注:Compliance Programs应当翻译成“合规程序”还是“合规计划”有争议。因为Plan翻译成“计划”,Program翻译成“程序”似乎更好。)
这个2019年的版本是美国司法部早在2017年2月8日颁布的版本的更新版。在2017年的版本中,美国司法部从多角度,对如何评价企业合规程序给予了指导。我们常说合规是生产力创造价值;合规是金色盾牌让企业少被罚不被抓。那么在实务中,这个金色盾牌该怎么打造?2017年版本解决了这个问题:
与2017年版本相比,2019年更新版的《公司合规程序评价》(Evaluation of Corporate Compliance Programs)更加务实、落地且有实操性。其旨在帮助检察官在是否且如何做出检控及处理决定时参考如下标准:一个公司的合规程序在该公司的违法犯罪行为发生时是否有效、在多大程度上有效;一个公司的合规程序在检察官在提起检控决定或着解决方案时是否有效、在多大程度上有效,从而帮助检察官决定合适的(1)解决方案或监控方式;(2)罚金(如有);(3)公司刑事解决方案中含有的合规义务(比如,监管计划(monitorship)或者报告义务)。
在评价一个合规程序是否设计有方在于看其是否能够有效地阻止且检测员工的不当行为、公司管理层是否在执行该流程或者公司默许或迫使员工在从事不当行为。对此,检察官应当检查合规流程是否全面(the comprehensiveness of the compliance program),确保不仅有一个明确的信号传递给员工:违规行为不被许可,而且公司制定有政策和程序——从适当的责任分配到培训流程到激励与惩罚——确保合规流程嵌入到公司的运行与工作中去。
一个公司的合规体系是否设计有方要看这个公司是如何识别、评价及定义该公司的风险特征并在多大程度积聚公司的资源来应对这些风险。
检察官在考量一个合规体系是否设计有方时,要看该体系“是否能够把该公司某个特定的业务线中很有可能发生的那些特定的违规行为给检测出来”以及“复杂的监管环境”。
检察官还得考量一个公司的合规体系是否能够针对风险评估的结果做到定身量作并且定期地更新评价标准。
检察官对于那些高质量的、有效的以风险为基础的合规程序(亦即把人财力放到高风险的业务上,哪怕因此无暇顾及低风险区的一些问题)应当加分。至于什么是针对风险定身量作主要看一个公司是否能够吸取教训来提升合规体系。对此,检察官要看三个因素:风险管理流程(Risk Management Process)、风险定制资源配置(Risk-Tailored Resource Allocation)、更新与修正(Updates and Revisions)。
一个设计有方的合规体系应当制定有政策和程序一方面弘扬企业的道德文化,另外一方面降低企业的风险敞口。因此,要看一个公司是否制定有行为准则明示合规的合规承诺和决心并且把行为准则宣贯到公司所有的员工。对此,检察官应当评估一个公司是否建立了政策和程序把公司的合规文化融合到它的日常运营当中去。对此,一个检查官要考虑如下的因素:设计(Design)、全面(Comprehensiveness)、宣贯(Accessibility)、执行到位(Responsibility for Operational Integration)、关键控制人(Gatekeepers)
检察官要评价合规政策和程序是否落实到位,关键要看是否提供了相关培训和证书给所有的董事、经理、员工,必要时包括代理商及业务伙伴。培训务求有效、务实,而不应当是泛泛的、肤浅的。对此,一个检察官应当考量如下因素:风险为基础的培训(Risk-Based Training)、培训的方式、内容及有效性(Form/Content/Effectiveness of Training)、自曝其短(Communications about Misconduct)、准则规范唾手可得(Availability of Guidance)
一个合规流程设计得再好,如果它不能被有效地落实到实处,也是失败的。监察官一个合规流程是否是仅仅落实在“纸面”上(paper program),还是被有效地“实施、评审和修改”。另外,检察官应当决定公司是否提供了足够的人力来进行审计、归档、分析并利用公司力量来做好合规。检察官还应当检查公司的员工是否被充分地告知公司的合规流程以及公司就合规所做的承诺,包括公司的合规文化比如员工充分意识到公司对于任何违法犯罪行为都是零容忍。
公司的高层领导——董事会与行政高管——是否做到合规从高层做起。检察官应当检查公司的高管清晰无误地表达了公司的道德标准并且做到身体力行。检察官还应当检查中层领导是否实施了这些标准并且鼓励员工遵守这些标准。公司的治理层应当对公司的合规与道德要求的内容与行动了然于胸并采取合理的监察。对此,检察官应当考察如下因素:从领导做起(Conduct at the Top)、宣贯合规承诺(Shared Commitment)、监察(Oversight)。
高度的执行力要求从事日常合规管理工作的人员应当有足够的权威与声望。因此,检察官应当评估合规流程是怎样构成的。另外,检察官应当评价合规岗位是否配备足够的人力和资源。特别是,负责合规工作的岗位是否(1)有足够高的职位;(2)速购的资源,特别是,人员来有效地从事必需的审计、归档及分析工作;以及(3)有足够的自主权,比如能够直接与董事会或董事会的审计委员会联系。
检察官应当评价内部审计是否能够在独立和准确的基础上予以展开,这也是表面来合规工作人员是否有足够的权力和职位来有效地检测和防止不当行为的发生。公司还应当保证足够的人力和资源配备,并且做合规工作的人员应当是有职权、有独立性并且有足够的专业性。因此,检察官要考量下列因素:构成(Structure)、职位与声望(Seniority and Stature)、经验与资质(Experience and Qualifications)、资金与资源(Funding and Resources)、自主(Autonomy)。
一个公司的合规程序在该公司的违法犯罪行为发生时是否有效、在多大程度上有效;一个公司的合规程序在检察官在提起检控决定或着解决方案时是否有效、在多大程度上有效。在检测合规程序在该公司的违法犯罪行为发生时是否有效时,检察官要考量一个违规行为是否被检测到以及怎样被检测到的;公司采取了什么样的资源区调查可疑的不当行为;公司采取的改正行为的性质和彻底性。
在检查合规程序在检察官在提起检控决定或着解决方案时是否有效,检察官应当合规流程是否随着时间的变化而进化并解决现在的和变化的合规风险。检察官还应当考量公司是否对违规的根本性原因做了足够的、实事求是的分析,从而了解到底是什么导致了不当行为的发生以及改正到什么程度才能防止类似情况在将来再发生。
一个有效的合规流程的显著特征就是其是否可以提升与进化。对此,检察官应当检查一个公司是否采取了行之有效的努力来评审它的合规程序并保证其不在是过时的。检察官应当对那些推动合规程序不断地提升和变得可持续的努力进行加分。特别是在评价一个特定的合规程序是否在实务中发挥作用,检察官应当检查公司的合规程序是否被修改从而汲取教训。检察官还应当检查公司是否采取合理的步骤确保公司的合规与道德要求被遵守,包括其监察与审计是否能够检测到违法犯罪行为并且合规流程能够得到定期的、有效地评价。对此,检察官要检查下列因素:对此,检察官应当考量下列因素:合规审计(Internal Audit)、控制性测试(Control Testing)、进化性的更新(Evolving Updates)、合规文化(Culture of Compliance)
具体针对内部审计(Internal Audit),检察官应当审查公司是如何决定审计的区域和频次?审计的合理性是什么?审计如何做出的?什么样的设计才可以把违规事项给识别出来?审计做了吗且发现什么问题了吗?多长时间审计发现和解决方案上报到管理层和董事会?管理层和董事会采取了什么行动?对于高风险区域多长时间审计一次?