跨境數據合規｜中國企業如何應對俄烏局勢下的涉外合規風險_風聞

走出去智庫觀察

3月18日，道瓊斯風險合規（Dow Jones R&C）和走出去智庫（CGGT）共同舉辦“中國企業如何應對俄烏局勢下的涉外風險”在線研討會，來自高科技企業、互聯網公司、央企、外資500強公司、監管政策研究專家等近300人蔘加，行業涉及電子、半導體、金融、能源、生物醫藥、工業製造、互聯網、汽車、化工、航空等。

道瓊斯風險合規中國區總監馬建新在主旨演講中指出，當前俄烏局勢下美歐制裁不斷加碼，而且這些制裁的規則變化很快，企業需要抓住關鍵點，對美國的制裁體系要從兩個維度分析**，第一個維度是從美國總統行政令的角度，第二個從美國國會立法的角度****。企業防範制裁風險一定要“知其然，知其所以然”，通過全面分析制裁規則，評估制裁風險，然後結合企業特點，從頂層設計制裁合規專項框架，從基層的業務流程中去管控風險，並儘早建立內外部的專家顧問團隊，或培養企業自己的合規人才隊伍，統籌協同各方資源，在總體國家安全觀的理念下，真正做到“未雨綢繆，防患未然”。**

中國企業如何應對制裁風險？今天，走出去智庫(CGGT)刊發馬建新演講的主要內容，供關注跨境合規管理的讀者參閲。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

當今世界正經歷百年未有之大變局，國內外形勢正在發生深刻複雜變化。當下的俄烏戰爭，促使歐美等國對俄羅斯不斷加碼制裁，大國博弈所帶來的國際秩序和規則變化，這給企業國際經營環境帶來極大的不確定性，因此如何駕馭風險，如何化解長臂管轄，如何安全穩健發展，成為所有企業的關注焦點。

以前，企業走出去是以規則為本，現在一定要以風險為本。以風險為導向，就需要定性和定量的評估風險、監測風險、控制風險以及緩釋風險，還需要從全流程分析各類地緣風險對企業國際經營的影響，從國際收付結算等關鍵節點判斷對企業資金管理的影響，以及從客户、經銷商、供應商、交易對手方、第三方合作伙伴等方面分析是否會有風險傳染的影響等。因此，企業要以點、線、面、體相結合的多維視角，去開展風險管理和合規治理工作。

當然，任何事情都沒有絕對的無風險，風險一定還是會存在，但關鍵是怎樣設定企業的風險容忍度和風險偏好，怎樣加強對風險的“免疫力”和“反脆弱”能力，從而“不管風吹浪打，勝似閒庭信步”的駕馭好風險。

關於對俄羅斯的制裁，美國從2014年因克里米亞就開始加強制裁，特朗普上任後又簽署了很多法案，比如涉及到金融、能源、軍工和深海油田開發等各方面的制裁限制，以及對資本市場也進行融資類的制裁限制。又如，2018年針對俄鋁的制裁，香港聯交所就發出過風險提示，要在一定時間內清倉。由此可見，國際制裁政策是瞬息萬變、千變萬化的，我們不能僅通過“老辦法應對新問題”，還需要動態的觀察風險，適時的優化風控能力，與時俱進的調整應對策略。 

美國的經濟制裁和出口管制措施，現在已經成為其外交政策“工具箱”裏的主要工具，所以在域外長臂管轄的範圍越來越多，單邊制裁的規則也變化很快，但我們千萬不要掉進這些規則的陷阱，而應該“跳出”這些瑣碎的規則，瞭解美國製裁的主要訴求，抓住關鍵的制裁風險點，比如美國的制裁體系至少要從兩個維度分析，第一個維度是從行政令的角度，第二個維度是美國國會的立法角度。結合俄羅斯的相關制裁來看，主要的制裁措施是依據一些國會法案，比如 2017年的CAATSA法案，2012年《馬格尼茨基人權問責法案》，還有911事件之後小布什簽署的《美國愛國者法案》等，所有制裁約束機制中大多是以這些法案為依據；然後美國總統及其政府部門，圍繞外交政策及所謂國家安全的訴求，再從貿易、金融、能源、軍工、人權，以及技術壁壘等方面，制訂更為詳細的制裁規則，從而達到美國國會或總統所期望的制裁目的。

從美國聯邦法規上來看，一共有50編，如上圖所示，其中與出口管制和經濟制裁相關的制裁分別在第15編和第31編。比如，涉及到俄羅斯相關的制裁條例是第587部分（Part 587: Russian Harmful Foreign Activities Sanctions Regulations），大家可能也會發現第586部分涉及到對我國涉軍企業的制裁（Part 586:Chinese Military-Industrial Complex Sanctions Regulations），另外第501部分的501.807款涉及履職記錄和罰金計算等內容，這些看起來很繁雜，但都是有章可循，當然要具體這分析這些制裁規則，還是建議通過專家團隊，甚至通過科技團隊幫忙智能化梳理，以實現“制度流程化、流程信息化、信息智能化”的應對策略。

比如最近CAATSA法案關注的人比較多，因為這個法案不僅僅是針對俄羅斯的，還有伊朗和朝鮮。其中大家要注意第228節（Sec. 228. 對俄羅斯境內與外國逃避制裁者和嚴重侵犯人權者進行交易的制裁），其中涉及俄羅斯重大交易（Significant transactions）的定義，還有第231節（Sec.231對與俄羅斯情報或國防部門進行交易的制裁），也對重大交易進行了強調，以及第233節（Sec.233.對國有資產進行投資或促進其私有化的制裁）等，建議企業重點關注。

還有大家也要多瞭解制裁豁免的情形，比如：外交豁免或者人道主義豁免，當然這些規則最後的解釋權還是歸美國政府。我們要注意的是，美國的這些制裁邏輯和規則，實際上就是“小院高牆”策略，通過經濟或技術壁壘，制約其科技發展，影響其經濟穩定性，破壞被制裁政府的執政基礎，從而達到制裁之目的。還有，從小院高牆的外部挖好“壕溝”，阻斷外部救援力量，如針對非美國人採取次級制裁，即使沒有美國連接點，但如果與被制裁對象進行的交易恰好在其制裁措施紅線內，則會被次級制裁。比如美國在2018年對俄鋁的制裁就是很典型的案例，其中就涉及到次級制裁，導致俄鋁的第三方合作伙伴不能與俄鋁交易。

另外，目前大家對俄羅斯制裁比較關心的還有SWIFT系統，這與SDN等制裁名單不一樣，不是資產凍結，只是涉及被切斷的幾家銀行的資金通路無法通過SWIFT報文往來，從而影響整個支付、清算、結算環節。雖然從制裁邏輯上分析，這不代表一定不能開展非美元業務，但這需要根據業務場景具體分析，要全面評估相關風險。

還有一個要特別注意的風險就是制裁所有權（Sanction Controls Ownership，簡稱SCO）。因為美國OFAC有個50%原則，當被制裁對象直接或間接所持有的權益達到50%，則該權益也適應於被制裁對象的限制措施。比如俄羅斯聯邦儲蓄銀行所持有的50%以上股權的資產也會受到一樣的制裁限制，即使這些資產並沒有被列入制裁名單。這需要企業進行最終受益所有人（UBO）的股權穿透，所以客户盡職調查（CDD）的合規履職工作是非常重要的，因為股權結構裏“埋着很多雷”。

再舉例：比如被制裁對象X企業持有A企業50%的股權，同時持有B企業50%的股權，則A和B企業雖然沒有被列入制裁黑名單，但也一樣受到與X企業相同的制裁限制。假設這個股權結構中還有C企業，分別被A和B企業持有25%股權，因為A和B屬於被制裁所有權限制的對象，而A和B對C企業累積擁有50%（25%+25%）的股權，所以C企業也將會受到與X一樣的制裁限制。因此真正做好股權穿透分析非常複雜，建議通過專業機構做分析和判斷。（注意，英國和歐盟的制裁規則中也有50%原則。）

企業應對俄羅斯的制裁風險，我們建議至少有五個關鍵點（4W1H），就是:

1、瞭解您在與誰進行交易（WHO）？最終用户是誰？合作伙伴是誰？做好客户身份識別（Know Your Customer, KYC）；

2、您做的是什麼交易（WHAT）? 是軍品還是軍民兩用物品？是否是含有美國最低佔比成分的物品？是否在美國為俄羅斯新增設的外國直接產品規則（FDP）?

3、請問是在哪裏做交易（WHERE）？是否在一些司法管轄區所認定的高風險國家? 是否在這些國家的港口、機場或自貿區？

4、請問是如何開展的交易（HOW）？是否海上船舶運輸？船舶及其控制人、受益人是否被制裁？是否管道運輸？管道運營公司是否有制裁風險？

5、最後還要問一下自己，為什麼（WHY）要做這筆業務? 您的初心是什麼？

大家要注意的是，在當前俄烏局勢下，我們不僅要看美國對俄羅斯的制裁，還要看俄羅斯對西方國家的反制裁。這五個關鍵點只是幫助企業梳理主要的風險點，其他風險點，建議企業結合已建立的合規體系及風險管理措施，搭建國際制裁合規專項框架（Sanctions Compliance Program，簡稱SCP），在此簡要的説明一下其中的五個要素：

1、**管理層承諾：**高級管理層義務是決定 SCP 成功與否的一個關鍵性因素，包括並不限於以下義務：高級管理層是否已審閲並批准了 SCP？高級管理層是否確保合規部門具有必要的權限和自主權，並在 SCP 負責人和高級管理層之間建立直接的彙報關係？高級管理層是否確保合規部門獲得與公司整體風險狀況相稱的充足資源，比如任命一名專職且合格的制裁合規官？高級管理層是否在公司內部推廣“合規文化”並給予合規團隊資源支持（人、財、物等）？

2**、****風險評估：**制裁合規中的風險是潛在的威脅因素，這些因素如果被忽略便會導致違反制裁的行為。風險評估應當包括對整個組織的審查，並確定其與受制裁個體、國家或地區接觸的潛在領域，包括並不限於以下方面的評估：客户、供應鏈、中間商和交易對手方；公司提供的產品和服務；公司及其客户、供應鏈、中間商和交易對手方的地理位置；應以適當的方式和頻率進行風險評估，並且風險評估應“端到端”的從建立業務開始，到交易期間，以及業務結束之後，持續的開展風險評估，並適當開展回溯風險評估程序；應制定一項用以識別、分析和處理已知風險的方法，並適時更新和優化風險評估方法，避免明顯違規行為或系統缺陷。

3**、****內部控制：**有效的 SCP 應當包括內部控制，以識別、禁止或報告明顯的違規行為，並保存相關記錄。內部控制應當反映對制裁名單更新，及以下措施：制定與機構相適應的制裁合規制度和流程，指導日常業務運營的需求，易於遵守，且防範員工的不當行為；實施恰當解決風險評估結果的內部控制措施，降低固有風險；選擇並調整解決公司制裁風險狀況和合規需求的信息技術解決方案，並定期測試這些方案以確保其有效性；將SCP制度明確地傳達給所有相關人員，包括在高風險地區工作的人員和業務部門，並且傳達給代表該公司執行SCP程序的外部各方；任命合適人員將SCP程序整合到公司日常運營的各項流程之中。

4**、****測試和審計：**定期或不定期的評估當前SCP程序的有效性，並且查找薄弱環節和缺陷，然後改進和優化合規計劃以彌補相關漏洞。工作內容包括並不限於以下內容：更新SCP內容以應對變化中的風險評估或制裁環境；對特定項目進行測試和審計，或在整個範圍內實施測試和審計；採取與風險等級相適應的測試或審計程序，並且確保審計人員擁有足夠的專業知識、資源和權限；瞭解到薄弱環節後，立即採取有效措施執行補償性控制，直到導致薄弱環節的根本原因可以得到糾正。

5**、**培訓：根據公司制裁風險狀況定製的培訓，並且涵蓋適當人員的培訓對SCP的成功而言至關重要。建議每年應當至少舉辦一次培訓，並達成以下目標：提供與機構經營特點及風險狀況相關的制裁合規知識；傳達每個員工的合規責任；通過評估使員工瞭解各自對制裁合規的義務；為利益相關方（如適用）提供培訓和指導，以支持組織的合規工作；建議為高風險員工提供定製化的培訓；為客户、代理行、商業合作伙伴等提供適當的合規培訓，避免風險傳導；確保參與培訓的所有適用人員均達到培訓目標。

綜上，中國企業在應對俄烏局勢下的涉外合規風險的時候，建議管理者和經營者要有“一二三”的新理念：“一個意識”，即總體國家安全觀的大局意識；“兩件大事”：即統籌安全和發展兩件大事，推動企業從高速度發展向高質量可持續發展轉型；“三項思維”：即頂層思維，做好戰略風險預判；底線思維，做好履職責任擔當；系統思維，協同科學發展。

企業合規不是口號，也不是紙面合規，而是要深入到客户層面、業務場景中仔細分析。企業防範制裁風險一定要“知其然，知其所以然”，通過全面分析制裁規則，評估制裁風險，然後結合企業特點，從頂層設計制裁合規專項框架，從基層的業務流程中去管控風險，並儘早建立內外部的專家顧問團隊，或培養企業自己的合規人才隊伍，統籌協同各方資源，在總體國家安全觀的理念下，真正做到“未雨綢繆，防患未然”，真正實現“乘風破浪，行穩致遠”。