企业合规的产生,源自1977年美国为严惩美国公司海外贿赂行为而颁布的《反海外腐败法》。进入20世纪90年代,美国政府反海外腐败执法力度不断加强,美国公司意识到必须遵守法律规定,避免海外贿赂行为的发生,否则不仅会受到声誉损害,也将面临严重的行政、刑事责任。2004年11月生效的《美国量刑指南》(U.S. Sentencing Guidelines, USSG) 第8B2.1条[1]将企业腐败犯罪量刑与企业合规体系相关联,促使美国公司开始被动建设合规体系。为保障美国公司不因遵守合规而在国际社会丧失竞争优势,美国也积极将合规标准要求推向全球,借鉴美国的合规理念和合规制度,许多国家及国际组织相继出台企业合规标准。时至今日,建立一套有效的合规体系,已成为一家企业“走出去”的必备条件。对企业而言,合规体系建设是实现稳健发展、成就百年老店的金色盾牌。
USSG 8B2.1(c) 要求企业定期进行风险评估,并应采取适当措施设计、实施或修改合规计划的各项要求,以降低犯罪的风险[2]。美国司法部 (Department of Justice, DOJ) 发布的《企业合规计划评估》(Evaluation of Corporate Compliance Programs, ECCP) 亦指出检察官评估企业合规体系有效性的要素包括风险评估。除了美国,2011年3月,英国司法部在《反贿赂法案》(UK Bribery Act) 生效后,发布指南指导企业建设预防贿赂的合规体系,明确风险评估是合规体系的六大原则之一[3];国际标准化组织 (International Organization for Standardization, ISO)[4]在2014年12月15日出版了全球第一个合规管理的国际标准 -- ISO 19600《合规管理体系 -- 指南》[5](简称 “ISO 19600”,已于2021年4月13日由更新修订后的标准ISO37301指南所替代),ISO 19600指出合规风险评估是实施合规管理体系的基础。纵观各类合规建设指南,不难发现风险评估是公认的构成有效合规计划的核心要素之一。本文旨在研究合规体系建设 -- 风险评估要素,助力公司探索以风险为导向的合规治理体系。篇幅原因,本篇研究将分三期推送。
1. 工业安全局《出口合规指南》对风险评估的指导要求
2017年2月8日,美国工业和安全局 (Bureau of Industry and Security, BIS) 发布《出口合规指南——有效合规体系的要素》(Export Compliance Guidelines-The Elements of an Effective Export Compliance Program,简称“ECP”)[17]。ECP 在先前的版本(《出口管理及合规计划》(Export Management and Compliance Program,简称“EMCP”)[18]基础之上更新,BIS 更新的目的是为简化指南,因为 EMCP 篇幅过长且包含过多不必要的技术语言。
ECP 指出忽视出口合规风险可能会对企业的声誉和出口业务产生负面影响,风险评估的目标是识别企业可能面临的风险,并建立保护措施来控制这些风险;尽管风险评估无法识别企业面临的每一项风险,但尽可能地识别风险有助于在 ECP 要素3:出口授权中建立具体的出口程序。ECP 将常见出口合规风险分为三大类:出口物项、企业运作及客户,并列举了常见风险及降低风险的方法。
EMCP 相比 ECP 较为过时,但仍可为企业风险评估提供许多有益的指导和见解。EMCP认为审查评估出口合规风险的因素包括:出口量、最终用途、最终用户、其他交易中介方、客户所在地、产品敏感度或限制以及订单处理系统;EMCP 建议企业制定一份从接收订单直至产品交付的全流程图,并对订单流程进行描述。通过分解订单流程,企业可以逐步梳理流程风险管控节点,以最大化降低违规风险。直观的流程图有助于向员工宣贯整个订单交易流程的现有合规措施,帮助员工了解其在流程中的角色和责任;EMCP 还强调需要确保所有订单在发货前都得到适当的“控制”检查,包括:1)预防性控制,尽量减少订单输入前的漏洞;2)过程中控制,对“暂挂”交易实施二次审核;3)过程后控制,警惕系统的故障。
2. 外国资产管理办公室《制裁合规计划》对风险评估的指导要求
2019年5月2日,美国财政部外国资产控制办公室 (Office of Foreign Assets Control, OFAC) 发布《OFAC合规承诺框架指南》[20],明确指出该指南不仅针对受美国管辖的企业,也同样适用于在美国境内、与美国或美国人员进行业务往来以及使用美国原产商品或服务的非美国公司,并强烈鼓励企业“制定、实施和定期更新”基于风险的制裁合规计划 (Sanction Compliance Program, SCP)。有效的 SCP 包含五个要素:管理承诺、风险评估、内部控制、测试审计及培训。通过强调风险评估是五要素之一,OFAC 阐明基于风险的制裁合规实践从“识别固有风险,以基于风险的决策和管控提供信息”开始。
框架指南指出制裁风险评估应当涵盖以下四方面导致的风险:(1)客户、供应链、中介机构和对手方;(2)产品和服务;(3)组织和第三方的地理位置;(4)并购交易,尤其是收购非美国公司。
风险评估的范围必须反映执法风险的广度,总结 OFAC 执法案例,可以窥见 OFAC 对企业合规计划的期望。
(1) 供应商的行为:了解您的供应商并解决他们可能带来的制裁合规风险
制裁合规风险可能通过供应商产生,特别是从高风险地区采购时。美国化妆品公司 (Elf Cosmetics) 因从两家中国供应商购买含朝鲜原料的假睫毛而被 OFAC 处罚约100万美元[21]。OFAC 强调该公司在从中国采购产品时并未进行足够的供应链尽职调查构成了加重因素,因为中国对朝鲜制裁的有效性构成高风险。大多数公司都有“了解您的供应商”流程来引入新供应商,但是仅对供应商进行一次扫描和审查是不够的。公司应当确保其制裁合规计划包括以交易风险为基础的流程风险评估、培训和审核。
由于自动扫描工具的局限性,受限制主体存在未被捕获的风险。在一宗执法案件中,尽管美国公司 (Metelics) 已设置了模糊搜索,但扫描工具仍未将名为 “Almaz Antey Telecom”(被 “SDN” JSC Almaz-Antey 持股51%)的主体标记为 “JSC Almaz Antey” 的潜在命中对象。最终,该公司实施了改进的扫描解决方案,采用了扫描智能工具标记由 SDN 持有的主体[22]。
(3) 代理的行为:了解您的货运代理并解决他们可能带来的制裁合规风险
最近的一项执法行动中,OFAC 针对船公司/货运代理案件进行了处理[23]。聘请船运公司或货运代理的公司应考虑,货运代理是否清楚地了解自己的制裁合规义务。企业可与货运代理协商审核协议,增加或强化制裁合规条款,以最大程度地降低风险。
(4) 并购交易:将制裁合规纳入公司收购前的尽职调查和收购后的整合
并购背景下的制裁合规也是 OFAC 的关注焦点。2020年9月,OFAC 与一家美国公司(Keysight Technologies Inc.) 达成和解,Keysight 收购了一家芬兰子公司 (Anite),Anite 曾在包括伊朗在内的某些受制裁国家开展业务,尽管 Keysight 向 Anite 获取了终止与受制裁国家进行所有现有和将来业务活动的承诺,但并购后 Anite 采取措施向 Keysight 隐瞒了在伊朗的经营活动,Keysight 在识别到 Anite 员工的违规行为后,对 OFAC 进行了自愿自我披露,但仍因 Anite 的违法行为受到473,157美元的罚款[24]。企业应当在并购前后进行制裁合规尽职调查,并采取适当的措施来审核、监督、培训和验证收购的子公司是否遵守 OFAC 要求。
(5) 从美国供应商/美元交易中采购的非美国公司:了解制裁如何适用于非美国公司
2020年7月,OFAC 与一家非美国公司 (Essentra FZE) 达成和解,该公司通过第三国的分销商向朝鲜出售产品,该分销商与美国的联结点是使用美元和美国金融机构在国外的分支机构。该公司还与美国司法部签订了延期起诉协议[25]。正如 OFAC 明确指出,交易带有美国联结点的非美国公司应实施基于风险的制裁合规计划。
1. 联合国《反腐败风险评估指南》对风险评估的指导要求
联合国全球契约 (UN Global Compact)[26]发布的《反腐败风险评估指南》(Guide for Anti-Corruption Risk Assessment)[27]指出“广义上的反腐败风险评估涵盖了企业用来估算风险的各种机制,包括对企业内部和外部交往中特定形式的腐败的可能性以及这种腐败可能产生的影响。有效的风险评估意味着了解企业,它意味着广泛地提出问题,了解其运营环境,以及了解企业在公共和私营部门与谁打交道。它还意味着了解企业中各种反腐败计划和控制的工作方式,以及它们对风险的影响。只有这样企业才能将合规资源引导到最佳状态。”[28]
2. 美国《反海外腐败法资源指引》对风险评估的指导要求
美国《反海外腐败法资源指引》(Foreign Corrupt Practice Act, FCPA) 指出“风险评估是制定强有力合规方案的基础,也是司法部和证交会评估公司合规方案时的另一个因素”[29]。一刀切的合规方案通常都考虑欠周详并缺乏实际效果,因为资源不可避免地会被过多地用于低风险的市场和交易而过少地分配给高风险领域。将不合比例的时间用于监管娱乐和礼品馈赠的细枝末节而忽略大型政府的投标、向第三方顾问的可疑付款或给予零售商和分销商过多的折扣可能预示着公司的合规方案是无效的。与小额、日常的礼品和娱乐相比,和一个高风险国家的政府部门签订五千万美元的合同应受到更严格的监管。类似的,不考虑风险因素而对所有第三方代理开展同样的尽职调查通常会起到反作用,导致本该用于那些具有最显著风险的第三方的注意力和资源被分散。司法部和证交会会向那些善意地实施了全面风险合规方案的公司[30]给予重要加分,即使这些公司因为将大量注意力和资源投入高风险领域而导致未能防范在低风险领域的违规行为。
除此之外,在法国、马来西亚等国家的反贿赂法律中对于风险评估也有相关规定,如法国《萨宾第二法案》(Spain II Law) 第17条第2款规定,企业应建立以下合规制度,企业应“进行风险评估,区分企业所属的行业和实际运营地区,对企业的贿赂风险进行识别、分析和分级,并定期更新风险评估。风险评估过程中,应设定针对客户、直接或间接供应商的评估程序”[31]。根据英国《反贿赂法案》:建立有效的合规制度是企业免责的一项抗辩理由,风险评估是作为衡量企业是否建立有效合规制度的六大要素之一。
3. DOJ《企业合规计划评估》对风险评估的指导要求
2020年6月1日,美国司法部 (DOJ) 发布了其“企业合规计划评估”的更新版本。刑事司助理总检察长 Brian A. Benczkowski 指出,“修订后的指南反映并补充了根据司法部的经验和来自企业界和合规界的重要反馈意见。”[32]本次更新重点关注“风险导向”合规计划的重要性,这项计划应当拥有足够的资源和授权,以识别最可能发生不当行为的领域。
如开篇所述,针对风险评估,ECCP 修订新增提问:
更新和修订 -- 风险评估是否为最新版本并接受定期审查?定期审查是仅限于“快照式”还是基于跨职能部门对运营数据和信息的连续访问?定期审查是否创设了新的政策、程序和控制?这些更新是否说明了因不当行为或合规计划的其他问题而发现风险?
经验教训 -- 公司是否有跟踪并将从公司自身或同一行业和/或地理区域运营的其他公司的经验教训纳入定期风险评估的流程?
可以看出,美国司法部更关注用于公司合规计划的资源是否充足、以及公司合规计划是否是动态且不断更新的。基于风险评估制定的合规体系,能将适当的注意力和资源投入到高风险交易,即使该体系未能防止某项违规行为,检察官也可以相信该合规体系的有效性,并考虑作为从宽处理的因素。[33]
4. ISO 37001《反贿赂管理体系》对风险评估的指导要求
ISO 37001于2016年10月发布[34],其将联邦量刑指南[35]、美国司法部 (DOJ) 和美国证券交易委员会 (SEC) 发布的《反海外腐败法资源指引》[36]、英国司法部《反贿赂法案2010指南》[37]以及经合组织(Organisation for Economic Co-operation and Development,后文简称为 “OECD”)发布的《最佳实践指南:内控、道德与合规》[38]进行了整合。对于缺乏反贿赂管理框架的企业,ISO 37001是有效的分步式指导,使其能够在不花费大量精力识别监管和非监管要求的情况下实施合规计划。在实践中,ISO 37001不仅被企业也被许多政府接受。实施 ISO 37001的企业可向执法机构和监管机构证明已采取合理措施制定合规计划降低贿赂风险,ISO 37001认证也能帮助减轻违法后果。
在 ISO37001附则中有明确规定,风险评估目的之一在于为公司的反贿赂管理体系打下坚实的基础。如何进行风险评估、如何去评判贿赂风险、以及怎样去接受或承受风险,都是需要公司去自行判断的,公司应当自行制定和评估贿赂风险的标准,例如对贿赂风险等级进行低、中、高的排序,甚至采用更加细致的五层、七层标准排序。除此之外,公司在制定风险评估标准时,应当充分考虑企业的规模架构等因素。
1. 欧盟《通用数据保护条例》及《95指令》[39]对风险评估的指导要求
如上文所述,ISO 37301强调企业在开展风险评估前,应当系统地识别合规义务。《通用数据保护条例》(General Data Protection Regulation, GDPR) 在立法上区分了原则性义务与一般性义务,并且在设定一般义务时采用了“基于风险的合规路径”(Risk-based Approach),强调从“数据处理行为的性质、范围、环境、目的以及对自然人的权利和自由带来风险和损害的可能性与严重程度”出发,制定不同的规则并将其纳入内部决策之中,使安全义务从外部“自上而下”施加转变为“内化于心”的自我执行。
《95指令》早在 GDPR 之前就规定了考虑到技术发展水平以及执行的成本,这些(安全)措施应当达到与数据处理表现的风险以及被保护的数据的性质相适应的安全水平。[40]GDPR承继了《95指令》的风险导向思路,建立了风险规制 (Risk Regulation) 框架。
首先,GDPR 基于处理行为对数据主体的潜在风险程度,区分了一般个人数据和特殊种类个人数据:一般个人数据可以基于合法性基础进行处理、特殊种类个人数据原则上禁止处理;其次,GDPR 用举例的方式列举了典型的高风险场景:个人数据处理引发歧视性待遇、身份冒用或欺诈、财产损失、名誉损毁、机密泄露、数据未经授权披露以及造成数据主体经济和社会方面的其他重大不利局面时、用户被剥夺数据控制权时;数据被用以揭示民族或种族起源、政治观点、宗教或哲学信仰、工会成员资格、处理基因信息、有关健康、性生活及犯罪有关的信息、数据被用以分析或预测个人的工作、经济状况、健康状况、个人偏好或兴趣、信用评估、位置或行动、用以构建用户画像;处理儿童等弱势群体的信息;处理大量的个人数据且影响大量的用户时;此外,GDPR 确立了数据保护影响评估(Data protection impact assessment,以下简称 DPIA)制度[41],要求数据控制者在可能发生高风险的数据处理前,科学、客观地评估处理行为的性质、范围、内容等,避免个人数据安全事件的发生。这些高风险的处理行为包括但不限于:基于数据的自动化处理和决策、大规模处理特殊种类个人数据、对公共区域大规模的系统化监控。评估内容要求涵盖:(1)对数据处理操作、数据处理目的、所追求的合法利益等的系统性描述;(2)对数据处理操作与数据处理目的之间的必要性和比例性评估;(3)数据处理操作可能对数据主体权利造成的风险;(4)应对前述风险的措施。DPIA 避免了传统风险管理路径上“全有或全无”、“一刀切”式的弊端,凭借风险程度量化,提升了数据保护的有效性与实质意义,同时也承认了合理风险的不可避免性,大幅减轻了企业的合规压力。[42]
2. 中国《个人信息保护法(草案)》对风险评估的要求
GDPR 已成为各主要国家采用或计划采用的数据保护法律法规基准,所确立的“以风险为导向的路径”是我国个人信息保护立法和执法的重要指引。例如《个人信息保护法(草案)》第54条便参考引入了 DPIA 的制度:个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:(1)处理敏感个人信息;(2)利用个人信息进行自动化决策;(3)委托处理个人信息、向第三方提供个人信息、公开个人信息;(4)其他对个人有重大影响的个人信息处理活动。风险评估的内容应当包括:(1)个人信息的处理目的、处理方式等是否合法、正当、必要;(2)对个人的影响及风险程度;(3)所采取的安全保护措施是否合法、有效并与风险程度相适应。并且还对数据保护影响评估的记录保存提出了明确的要求:风险评估报告和处理情况记录应当保存至少三年。
3. ISO/IEC 27701《隐私信息管理体系》对风险评估的指导要求
2019年8月6日发布的 ISO/IEC 27701《隐私信息管理体系》(Private Information Management System,以下简称“ISO 27701”)国际标准[43],给涉及个人数据处理的各类企业提供了一整套落实个人信息保护责任的框架。ISO 27701的新增特定隐私要求部分从控制者和处理者的角度,提出包括收集和处理可识别个人信息(Personal Identifiable Information,以下简称PII)的前提、针对个人信息主体应承担的义务、设计和默认的隐私保护,以及个人信息的分享、传输和披露的具体要求。并且,ISO 27701与 GDPR 的要求之间存在强映射关系[44],ISO 27701标准中的附录D关于“与 GDPR 之间的映射”是由欧盟数据保护委员会 (European Data Protection Board, EDPB) 起草,体现了数据保护合规方面的通用基本要求。
综上,数据保护风险评估的合规要求部分可参照 ISO 27701进行建构,在风评具体开展的维度上,也给企业风险评估合规义务识别提供了可用性极高的参考维度。
具体来说,ISO 27701在第五章第四节第一项[45]中提出了企业应对风险的措施:组织应通过信息安全风险评估过程,识别隐私信息管理体系(Privacy Information Management System,以下简称 “PIMS”)的保密性、完整性与可用性丧失、与 PII 处理相关的风险,并且,企业应当在整个风险评估过程中确保信息安全与PII保护之间的关系得到适当的管理。因为本部分直接引用了 ISO/IEC 27001:2013《信息安全管理体系要求》,因此本部分也特别注明企业可以整合信息安全和隐私信息保护风险评估,也可分别单独进行。
[1] https://www.ussc.gov/sites/default/files/pdf/guidelines-anual/2014/CHAPTER_8.pdf.
[3] https://www.justice.gov.uk/downloads/legislation/bribery-act-2010-guidance.pdf.
[4] ISO,国际标准化组织 (International Organization for Standardization),是世界上最大的非政府性标准化专门机构。"ISO"一词来源于希腊语isos,意为“相等”,其宗旨是“在世界上促进标准化及其相关活动的发展,以便于商品和服务的国际交换,在智力、科学、技术和经济领域开展合作。”中国于1978年加入 ISO,在2008年10月的第31届国际化标准组织大会上,中国正式成为 ISO 的常任理事国。
[5] https://www.iso.org/standard/62342.html.
[17] https://www.bis.doc.gov/index.php/documents/pdfs/1641-ecp/file.
[18] https://www.bis.doc.gov/index.php/documents/compliance-training/export-management-compliance/1256-emcp-guidelines-november-2013.
[19] https://www.bis.doc.gov/index.php/documents/bis-guidance-documents/oee/2528-freight-forwarder-guidance.
[20] https://home.treasury.gov/system/files/126/framework_ofac_cc.pdf.
[21] Elf Cosmetics, Inc.就违反《朝鲜制裁条例》以996,080美元与 OFAC 达成和解。参见:https://home.treasury.gov/system/files/126/20190131_elf.pdf。
[22] Cobham Holdings, Inc.就违反《乌克兰相关制裁条例》以87,507美元与 OFAC 达成和解。参考https://home.treasury.gov/system/files/126/20181127_metelics.pdf。
[23] Eagle Shipping 就违反《缅甸制裁条例》以1,125,000美元与 OFAC 达成和解协议。参见https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20200127。
[24] https://home.treasury.gov/system/files/126/20200924_keysight.pdf.
[25] Essentra FZE 就违反《朝鲜制裁条例》以665,112美元与 OFAC 达成和解。参见https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20200716_33。
[26] https://www.unglobalcompact.org/what-is-gc.
[27] https://www.unglobalcompact.org/library/411.
[28] 见A Guide for Anti-Corruption Risk Assessment, p.10。
[29] 见A Resource Guide to the U.S. Foreign Corrupt Practices Act, p.58。
[30] 参见UK-Bribery-Act-Guidance,The six principles。
[31] 见法国《萨宾第二法案》第17条第2款规定。
[32] https://www.lexology.com/library/detail.aspx?g=366c3835-ff55-4a13-98fe-eaa484b0ba1b。
[33] 2019年4月发布的版本表述为“基于风险评估妥善制定的合规体系,将适当的注意力和资源投入到高风险交易,即使该体系未能防止低风险领域的某项违规行为,检察官也可以相信该合规体系的质量和有效性,并考虑作为从宽处理的因素。”2020年6月美国司法部对 ECCP 进行了更新,删除了前述的“低风险领域”表述,体现了美国司法部对那些在基于风险评估基础上建立了合规体系的公司在未能防止某项违规行为时,同等条件下具有更大的容忍度。
[34] https://www.iso.org/standard/65034.html.
[35] https://www.ussc.gov/guidelines.
[36] https://www.justice.gov/criminal-fraud/fcpa-resource-guide.
[37] https://www.justice.gov.uk/downloads/legislation/bribery-act-2010-guidance.pdf.
[38] https://www.oecd.org/daf/anti-bribery/44884389.pdf.
[39] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.
[42] 范为:《大数据时代个人信息保护的路径重构》,《环球法律评论》,2016年第5期。
[43] https://www.iso.org/standard/71670.html.
[44] 参见ISO/IEC 27701:2019,Introduction:Requirements and guidance for PII protection vary depending on the context of the organization,in particular where national legislation and/or regulation exist.ISO/IEC 27001 requires that this context be understood :the privacy framework and principles defined in ISO/IEC 29100;ISO/IEC 27018;ISO/IEC 29151; and the EU General Data Protection Regulation。
[45] 本部分ISO/IEC27701直接引用了ISO/IEC27001:2013第6.1.1节中规定的要求。
题图来源:TravelHealthPro.org.uk
大型企业合规管理建设暨企业合规师职业技能提升高级研修班(北京站)
大型企业合规管理建设暨企业合规师职业技能提升高级研修班(北京站)
第一天下午 大型企业合规管理体系建设流程及成果:核心
第二天上午 基于信息化视角的合规管理运行框架实施:衔接
3.管理信息系统开发一般过程及合规管理体系中的可信息化部分
第二天下午 企业合规师的基本职业素养及技能提升:成长
1.作为一种新职业的企业合规师之基本素养:基于国家职业技能标准
3.合规思维与法务思维的不同点及从法务到合规的转变
陶光辉律师,企业合规管理实务培训与咨询集大成者,德衡律师集团管委会成员(2021),高级合伙人,一法网创始人。武汉大学法学硕士,高级经济师,曾任500强法务总监,获ALB2016中国最佳总法律顾问称号,担任大连大学法学院客座教授,北京大学全球高端法商人才计划未来领袖授课专家,中国人民大学企业法治研究所兼职研究员,青岛仲裁委互联网仲裁院副院长,北京律师协会企业法律顾问专业委员会副主任等职务,著有《公司法务部》、《法务之道》、《合规管理十论》等。