编辑：丁胜

      美国作为国际社会企业合规的首倡者和重要推动者，其合规立法、合规指引以及合规实践也在不断发展，其企业合规的内涵日趋丰富。

一、美国企业合规的规范指引

      实际上，在美国等西方国家，除合规硬法（hard law）之外，国际合规软法也是企业合规领域的重要规范。鉴此，以下从国内及国际硬法、国内规范以及国际软法三个部分介绍美国企业合规的规范指引。

     一是关于企业合规的国内及国际硬法。代表性的有1977年《美国反海外腐败法》、1991年《美国组织量刑指南》及其2013年的修订、SOX法案、2005年生效的《联合国反腐败公约》，1999年2月15日正式生效的《OECD反贿赂公约》等。

      二是关于企业合规的国内规范。代表性的有美国司法部相继出台的公司起诉标准以及如何审查合规计划的执法指南，如美国司法部先后出台并修订了一系列作为起诉企业或其他商业组织之司法指南的美国司法部备忘录，这些备忘录强化并完善了公司起诉标准。此外，美国司法部还将以上起诉标准与《美国检察官手册》予以整合。

      根据上述规范，美国检察官可以基于上述起诉标准以及如下两方面因素决定采取控告还是控辩协商：一是公司现有合规计划是否存在及其有效程度；二是公司所采取的改进措施，如对有效的公司合规计划的实施、对现有合规计划的完善、调整不负责任的公司经理、对违法者的内部纪律处分或者解雇工作、支付赔偿、与政府相关部门之间的合作等情况。

      21世纪初期美国安然公司、世界通信（World Com）等大型企业的经济丑闻所带来的教训是深刻的，仅仅建立着眼于预防欺诈的内部控制制度是不够的，应当建立更为全面的发现、评估和管理所有风险的综合性防控制度。鉴此，美国反虚假财务报告委员会发起人委员会（the Committee of Sponsoring Organization of the National Commission of Fraudulent Financial Reporting，以下简称COSO）于1992年颁布了关于企业内部控制框架的指导性规范《内部控制：综合性框架》（Internal Control-Integrated Framework）。此后，COSO还专门为企业董事会和高管开发了管理单位风险的新工具“COSO企业风险管理标准”（the COSO standard for enterprise risk managemant）。根据“CO-SO企业风险管理标准”，企业风险管理包括四个主要目标或宗旨：战略（strategy）、经营（operations）、报告（reporting）和合规（compliance）。根据“COSO企业风险管理标准”，合规旨在确保单位遵守可以适用的法律和规章，适用的法律既包括禁止性法律，也包括义务性法律，如关于保障职业安全或身体健康方面的法律。

     三是关于企业合规的国际软法。国际社会广为认可的企业反腐败软法主要有《反贿赂业务原则》（the Business Principles for Countering Bribery）（透明国际TI制定）；《内部控制、道德和合规良好实践指南》（OECD制定）；《世界银行集团诚信合规指南》（the Integrity Compliance Guidelines）（世界银行制定）；《反贿赂基本原则》（the Principles for Countering Bribery）（世界银行与反腐经济论坛共同制定）；《ICC反腐败规则》（the Rules on Combating Corruption）（国际商会制定）。

      此外，2013年，经合组织、联合国毒品和犯罪问题办公室与世界银行共同发布了《企业反腐、道德及合规手册》（the Anti-Corruption，Ethics and Compliance Handbook for Business）。同时，OECD出台的企业反腐及合规软法也颇有影响，如《OECD关于国际商业交易中贿赂的建议》（OECDR Recommendation on Bribery in International Business Transactions）（制订于1994年5月27日）；《OECD关于对国外公职人员贿赂之税收减免的建议》（OECDR Recommendation on the.Tax Deductibility of Bribes to Foreign Public Officials）（制订于1996年4月11日）；《OECD发展援助委员会关于双边援助采购反腐败计划的建议》（OECDR Recommendation of the Development Assistance committee on Anti-CorruptionProposalsforBilateralAidProcurement）（制订于1996年5月7日）；OECD理事会《关于打击国际商业交易中贿赂的修订版建议》（OECDRevisedRecommendationoftheCouncilonBriberyinInternationalBusi-nessTransactions）（制订于1997年5月23日）；OECD理事会《关于进一步打击在国际商业交易中贿赂外国公职人员行为的建议》（OECDRecommendationoftheCouncilforFurtherCombatingBriberyofForeignPublicOfficialsinInternationalBusi-nessTransactions）（2009年11月26日制订，2010年2月18日修订）以及其两个附件：

      附件一：《执行〈打击国际商业交易中贿赂外国公职人员公约〉具体条款的良好做法指南》（PracticeGuidanceonImplementingSpecificArticlesoftheConven-tiononCombatingBriberyofForeignPublicOfficialsinInternationalBusinessTrans-actions）

      附件二：《内部控制、道德和合规良好实践指南》（Good Practice Guidance on Internal Controls，Ethics and Compliance）。

      值得指出的是，OECD出台的反腐规范内容具体，操作性较强，例如，《OECD反贿赂公约》主要就贿赂犯罪的刑事处罚予以规制。《OECD反贿赂公约》第1条第2款规定，成员国应当将自然人或法人为了在国际贸易中获得或保留业务或其他不正当利益，以直接方式或者通过中介方式故意向国外公职人员提议、承诺或给予不正当经济利益或者其他利益，以便使该公职人员实施与其工作职责相关的作为或不作为规定为犯罪行为。此外，《OECD反贿赂公约》生效之后，OECD还出台了关于与公约配套实施的建议和指南（the Recommendations and Guidance）。OECD制定的反腐败规范不仅在国际社会发挥了较好的引领性和示范性作用，甚至还对众多国家的国内反腐立法产生了实质性影响，如英国学者所言：“实际上，OECD制订的非约束力的反腐公约已经对成员国国内立法产生了影响，并发挥了影响国内立法的重要作用。”

二、美国企业合规的基本内涵

      各国关于企业合规的立法模式、规范形式不同，尤其是制度细节差异不小，但有着一些共同的内容，可称之为企业合规的框架内容。美国企业合规究竟拥有何种框架内容？就此，有关企业合规的实证研究有助于对这一问题的认识。

      比如，2013年一个研究团队在联合国毒品和犯罪问题办公室的支持下针对全球500强企业在防控贿赂方面的作为进行调查并发布调查报告《全球财富500强反腐政策及措施》（Anti-corruption Policies and Measures of the Fortune Global 500）。该份报告由联合国毒品和犯罪问题办公室和普华永道会计师事务所（全球四大会计师事务所之一）联合发布。这份报告表明，21世纪的前十年时间里，全球财富500强中的多数企业已经制定了旨在反贿赂的自我管理制度并采取了大量的有效措施，尤其是建立了反腐败的专门控制机构。这些企业采用的合规措施主要有：识别企业中发现风险的方位，对禁止性行为予以明确规定，规定经理及职员的工作职责，建立内部审计制度、报警和报告制度、内部监控和控制制度，建立针对违法行为的纪律处分或其他反应措施。由于此一时期美国企业占据全球财富500强中的多数席位，因而上述实证考察相当程度上反映了美国企业合规的实践操作。在此，基于美国企业合规的法律规定及操作实践并参考美国学者的研究成果，将美国企业合规的框架内容归纳为如下五个方面。

      一是风险评估。风险评估指评估潜在的外部及内部风险的“性质及其程度”，其目的是发现犯罪或违法行为在单位内部是如何实施以及发生于单位组织中的哪个部门。广义上讲，发现单位内哪些业务活动最容易滋生违法行为是制订合规计划中的关键内容。风险评估的优越性在于：企业能够采取针对性措施保护单位，避免违法行为的发生；可以通过培训教育职工，以在遭遇违法时予以有效而持续的应对；可以制定与企业的政治及经营环境相适应的具体政策以及进行针对性的培训；可以优化相关的预防性措施。

      总之，一切始于风险评估。基于对《美国组织量刑指南》的认识，风险评估中需要考虑很多因素，如公司的区域化组织、公司的历史、公司与外国政府之间的互动情况、公司经营的具体行业等；还有如何把握风险评估的实施时间，或者说，多长时间就需要对合规计划进行修订完善。就此，一般性原则是定期评估合规计划的实际效果。美国的做法是，不断对合规计划进行评估。

      根据意大利法律规定，公司合规“应当于发现重大违法违规时予以完善”。（意大利第231/2001法令第6条）。就合规计划而言，还有另外两个问题。合规计划的完善由谁来决策：意大利判例给出了明确回答，“对合规计划的修订完善由合规监督委员会投票多数通过”（罗马法院2003年决定）。谁有资格评估合规计划：通常由合规官或者合规监督委员会决定。美国的做法是，外部审计师也会介入风险评估并评价合规计划的有效性。此方面的教训是，一旦发现违法行为，合规官或者合规部门就必须研究那些工作出现了问题，以及如何修订完善合规计划。

      二是行为规范（道德准则）（Code of Conductor Ethics）。行为规范是合规制度的顶端，这就是法庭对行为规范如此重视的原因所在。企业合规中的行为规范应当具有如下五个特征。第一，行为规范应当体现在针对违法行为的清晰而有形的公司政策之中。一方面，一般性的或理论性的规范不足以避免刑事责任，另一方面，仅仅由行业协会简单复制法律或指南这一做法同样不符合要求。第二，行为规范应当具有约束力。这方面，大多数公司的行为规范都能轻易写道：“公司员工必须熟悉并严格执行《美国反海外腐败法》这一禁止基于为了影响外国公职人员的行为或者为了有助于获得业务之目的而向外国政府官员支付现金或礼物的法律。”然而，规范的宣传和实施才是重点。第三，反贿赂合规必须面向所有的公司员工，而且必须体现出公司高层管理对该政策的有力、明确和实实在在的支持。第四，合规计划必须包括具体和完整的政策，如关于礼品、接待、招待、开支、客户旅游、政治捐献、慈善捐献、赞助、加速费、教唆罪、敲诈等。第五，合规计划必须清晰明了。关于行为规范的教训是，合规计划中仅仅指出哪些行为是禁止性行为或者由行业协会复制相关的法律或指南还远远不够，对这些法律或指南予以宣传并制定处罚性措施以及内部控制制度是必要的。

      三是合规培训（Training Programs）。做好培训项目，需要考虑很多因素。其中，下列因素最为重要：培训项目应该使得公司全体员工学会就可疑的违规行为（noncompliance）向有关部门举报且无须担心遭到报复；企业员工需要认识到自己违规时将会受到纪律性制裁；培训项目得到广泛开展并面向公司全体员工。第一，培训项目应该经常开展，间隔6年的培训项目不能算作经常开展。第二，培训项目必须面向所有的企业任职人员.不管他们何时到岗工作。在Coyne V.P.&O Ports一案中，法官对当事方企业“已经采取合理的预防性措施”这一辩解不予支持，因为该企业的培训项目仅仅针对单位全部员工的49%，而且仅仅面向1996年入职的员工，而犯罪人却是1996年之前入职的。第三，培训课程组织良好，课程的内容及培训次数等说明清晰。

      四是内部控制（Internal Controls and Procedures）及尽职调查机制（Due Diligence Mechanisms）。多数案例法中均阐明了一些关于反贿赂的内部控制标准。在美国判例中，指出了关于内部审计控制中确保账簿记录准确的具体认定原则，例如，在Aibel and Transocean案件当中，所明确的限制可以资金支付的内部控制不达标的情形包括：关于公司补贴的账簿记录中，记录有“其他服务支出”“运输及装运费用”“信差费”“售后服务费”“咨询费”“地方处理费”“特别费”等。

     五是企业高层承担合规责任（Allocation of Compliance Responsibilities and To neat the Top）。合规计划的制度化需要明确谁来负责。合规工作通常由首席合规官（Chief Compliance Officer，CCO）或者合规监督委员会（Compliance Supervisory Board，CSB）负责。合规计划的负责制度主要有美国模式和意大利模式两种模式。在美国，《美国组织量刑指南》将合规责任直接赋予具体的人员，也即高级别的管理人员负责合规及道德计划，也即将合规工作交由一个或多个主要合规官来负责合规计划的实施监督。这就是为什么美国案例强调的是需要建立首席合规官与公司董事会之间的报告通道，以及需要设立审计委员会或者公司法律顾问或者法律经理。公司董事会的职责是确保合规计划得到遵守。但问题是谁来监督监督者？或者说谁来确保董事会成员也会遵守行为规范？在美国，找不到答案。

      为了解决前述问题，意大利的做法是建立独立于公司董事会的“合规监督委员会”，这种安排旨在防止官员戴着两顶帽子。此准则源于罗马法院2003年的裁定，该裁定指出，合规监督委员会必须拥有监督违法合规计划的权限，并且该委员会成员不能在该企业担任其他职务。那不勒斯法院的裁定也有类似要求。此外，合规监督委员会成员的专业化问题也值得注意。所谓专业化是指合规监督委员会成员需要具备调查取证以及咨询服务方面的实际经验，如统计分析、风险评估、面对面访谈、发现问题等方面的知识经验。2004年意大利米兰法院以及2007年那不勒斯法院裁定均有这方面的要求。2007年那不勒斯法院的指令更是对此感兴趣，它具体规定了判断合规监督委员会是否胜任职责的具体要求：合规监督委员会至少由三人组成，其中一人负责内部审计事宜，其他成员应当来自公司外部。合规监督委员会的活动开展由公司董事会制定的规范予以调整。合规监督委员会成员有权进行控制和调查，但无权指令该公司，也无权改变公司的组织结构或者处罚公司员工。合规监督委员会应当与公司中其他部门尤其是风险部门进行合作。合规监督委员会成员有权询问情况，有权要求对方提供文件材料，也有权要求风险部门的经理提供经常性的信息。合规监督委员会可以建议予以纪律性处分。合规监督委员会在培训课程准备、合规计划制订上协助公司人力资源部门负责人。合规监督委员会可于公司组织调整或者新法颁布之时建议修订完善合规计划。合规监督委员会每六个月向公司董事会或有关部门提交一个开展活动情况报告，同时于发现犯罪行为时告知公司董事长。这方面值得吸取的教训包括：需要任命一人或一个组织来负责监督合规计划的实施。合规计划监督方与公司董事会或其他部门之间的保持畅通的报告通道十分关键。合规官或者合规监督委员会成员不能身兼两职，而且必须品行良好，没有前科。

      企业合规计划不仅必要，而且必须有效。如果说合规操作需要投入花费的话，那么不合规的代价更大。正如美国司法部副部长保罗·麦克纳尔蒂（Paul McNulty）曾经于2009年的一次主旨发言中所指出的：“如果你认为合规中的花费过多，请试试不合规看看!”

注释：因本文引用较多，就不再一一列举