跨境合規觀察|美國司法部《公司合規計劃評估》最新修訂_風聞
走出去智库-走出去智库官方账号-05-08 19:30
走出去智庫觀察
美國司法部(DOJ)於今年3月再次修訂的《企業合規計劃評估》(ECCP),作為企業合規管理體系評估的指導文件,涵蓋合規文化、薪酬激勵、第三方通信等方面,對中企建設境外合規體系、防範境外合規風險有重要作用。
走出去智庫(CGGT)特約法律專家、環球律師事務所合夥人王克友律師及其團隊認為,自2022年下半年以來,美國司法部(DOJ)就其對公司合規的發展期望發佈了多項政策,所有這些政策都旨在敦促公司更新和加強合規計劃,披露不當行為,並懲罰員工不當行為。鑑於ECCP的變化,公司應投入適當的時間和資源來評估現有的合規計劃是否符合其實際需要和內外部風險管控要求。
中企如何做好跨境合規管理?今天,走出去智庫(CGGT)刊發王克友律師團隊的文章,供關注跨境合規管理的讀者參閲。
要 點
CGGT,CHINA GOING GLOBAL THINKTANK
**1、**美國《公司合規計劃評估》(ECCP)的制定與發佈旨在協助檢察官評估和確定公司的合規計劃在違法犯罪行為發生時是否有效,以及在多大程度上有效,從而確定(1)處理案件或提起訴訟的適當方式;(2)適當的罰金(若適用);和(3)公司刑事案件解決方案中所應確立的合規義務(例如監察或彙報義務等)。
2、2023年版ECCP中“激勵與懲罰”主要修訂內容為指導檢察官在評估公司合規計劃時,應考慮薪酬結構和後果管理,包括使用“獎金激勵”和“薪酬追回機制”等財務手段在公司內部培育合規文化,確保合規計劃有效運行。
3、2023年版ECCP表明DOJ不僅關注公司內部的數據資源及訪問權限,對於個人設備、第三方通訊平台上的公司相關數據的保存和獲取也越來越重視和關注。
4、公司應根據新修訂的ECCP重新審視並更新其關於薪酬和通信管理相關的合規政策,例如調整薪酬模式、政策和僱傭協議,以及有關使用個人設備或消息應用程序的政策,包括適當使用、監測、文件保留和保存政策。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
文/王克友、覃僚
環球律師事務所
前言
公司既有合規計劃的有效性及公司為實施有效的合規計劃而採取的補救措施,是美國檢察官在對公司展開調查、決定是否起訴、辯訴交易談判或達成其他協議時所應予以考慮的因素。由於不同公司實際情況存在差異,必然導致在評價各公司的合規計劃有效性時所考慮的風險因素不盡相同。但美國司法部(DOJ)認為在對合規計劃有效性進行具體判定時,仍存在一些常見和共通的要素。為此,DOJ在2017年發佈了第一版《公司合規計劃評估》(Evaluation of Corporate Compliance Program,簡稱ECCP),並分別在2019年、2020年進行了兩次更新。
近年來,美國以應對國家安全等為由,不斷強化和更新其公司刑事執法政策,對公司合規計劃有效性提出更多挑戰。2023年,DOJ在1月發佈《公司執法和自我披露政策》後,又於3月對ECCP進行了第三次修訂與更新[1],重點增加了薪酬結構和後果管理,公司如何管理員工使用個人設備、第三方通信平台以及應用程序的指引內容。這一更新是DOJ《公司合規計劃評估》持續發展的最新體現,對檢察官辦案和公司優化合規計劃均具有重要指導意義。
一、ECCP制定背景及歷次修訂
(一)ECCP制定的目的
有效的合規計劃對於公司防範和解決刑事合規風險具有重要作用。一直以來,美國的刑事執法政策和《聯邦量刑指南》(U.S. Sentencing Guidelines,簡稱USSG)就公司合規計劃的評估提供綜合指導。例如,《司法手冊》的“聯邦商業組織起訴原則”規定,檢察官在決定是否對一家公司提起刑事指控、辯訴交易談判或其他協議時,應考慮“該公司在犯罪發生時以及在作出指控決定時的合規計劃的充分性和有效性”,以及該公司為“實施充分有效的公司合規計劃或改進現有合規計劃”所做的補救努力[2]。在根據USSG確定對公司的潛在刑事罰款時,法官在量刑時應考慮該公司在不當行為發生時是否有有效的合規計劃,作為計算公司罪責評分的減輕因素。[3]此外,關於選擇合規監察官的政策指示,檢察官在對刑事案件進行決議時應考慮公司是否對其合規計劃和內部控制系統投入了充分資源並改進,合規計劃和內部控制的補救改進是否已經過測試,以確定是否需要設置合規監察官。
而ECCP的制定與發佈旨在協助檢察官評估和確定公司的合規計劃在違法犯罪行為發生時是否有效,以及在多大程度上有效,從而確定(1)處理案件或提起訴訟的適當方式;(2)適當的罰金(若適用);和(3)公司刑事案件解決方案中所應確立的合規義務(例如監察或彙報義務等)。
雖然2023年3月修訂的ECCP在技術上只適用於刑事司,但DOJ副部長Lisa O. Monaco(Monaco)鼓勵DOJ其他部門在評估公司合規計劃時考慮ECCP,進一步擴大其在DOJ的適用性。
(二)ECCP的歷次修訂
ECCP在2017年2月發佈後,已經分別在2019年4月和2020年6月分別進行了兩次修訂。
2017年2月,DOJ刑事司反欺詐科制定併發布了最初版的ECCP,其中提供了“反欺詐科在評估公司合規計劃時經常發現的一些重要主題和示例問題”列表。該版本從不當行為分析與整改、管理層、合規資源、政策與程序、風險評估、培訓與溝通、獎懲措施、持續改進、第三方管理等方面提出了11個評價主題,每個主題又被細分多個具體問題。ECCP發佈後在業界普遍受到積極的評價,被認為不僅為檢察官在辦案時提供了有益的指導方向,還為公司在制定和完善其合規計劃時提出了更明確的期望和提供了更多的參考。
2019年4月,DOJ對最初版ECCP進行首次重大修訂,按照“體系設計-落地執行-實效檢驗”邏輯將原來的評價主題和問題進行了重新整合排序,明確提出檢察官在評估公司合規計劃時應重點考慮三個“基礎性問題”,即(1)公司合規計劃是否設計完善;(2)公司合規計劃是否得到有效實施;以及(3)公司合規計劃在實踐中是否實際有效?該版本ECCP在三個基礎性問題下,將原來11個評價主題拓展為了12個,每個評價主題下分別有對應的評價要素項,一共包含了48個評價要素項,每個評價要素則又包含了若干評價有效性的具體問題。該版本還有一重要變化是該次的發佈主體級別上移,由反欺詐科變更為了刑事司。
2020年6月,DOJ刑事司時隔一年再次修訂ECCP,更新了2019年4月30日發佈的版本。該版指南繼續強調有效合規計劃的重要性,指導檢察官如何評估公司合規計劃的設計、實施和有效運作,以確定DOJ是否以及在多大程度上認為公司的合規計劃在犯罪時有效。2020年6月發佈的ECCP在核心結構和內容上與2019年4月的ECCP大致保持一致,但擴展或增加了新的指導主題,並細化了評估標準。針對第二個基礎問題中的“有效實施”,將其表述更改為公司“是否投入足夠的資源和授權來有效實施”。在具體內容上,包括增加和細化對公司政策更新、合規培訓、第三方管理、數據保存與獲取和公司併購等方面的評估問題。
2023年3月3日,DOJ刑事司助理檢察長Kenneth A. Polite, Jr.在美國律師協會第38屆白領犯罪年度會議發表主題演講[4],宣佈對ECCP進行了重大修訂(為行文方便,本文將2023年3月3日修訂的ECCP簡稱為“2023年版ECCP”)。他表示本次修訂主要是為落實Monaco在2022年9月15日關於公司合規和刑事執法項目演講備忘錄中關於進一步完善合規計劃評估標準的指示[5]。Monaco在該次演講中強調公司僅為合規部門提供資源是不夠的,還必須建立合規文化,通過在合規計劃中建立激勵和威懾相結合的政策,促使公司做正確的事情。因此,她指示刑事司就薪酬和追回政策制定進一步指導意見,並研究有關使用個人設備和第三方通信平台的使用及管理方法的最佳公司實踐。
二、2023年版ECCP主要變化解讀
(一)2023年版ECCP與上一版本的對比
2023年版ECCP是在2020年6月ECCP版本(簡稱“2020年版ECCP”)基礎上進行修訂和更新的。相較於2020年版ECCP,2023年版本並未進行大範圍修訂[6],主要是針對部分主題和要素下的問題進行了補充和優化。本文將通過表格對比的方式將2023年版本和2020年版本進行簡易對比(紅色字體表示本次新增或修訂內容,藍色字體表示部分具體問題更新,黑色字體表示基本未變內容),以期能幫助讀者迅速定位最新版本的修訂之處。
內容
版本
2020年版ECCP
2023年版ECCP
一、公司合規計劃是否設計完善?
A. 風險評估
風險管理流程
針對風險的資源分配
更新與修正
經驗教訓
A. 風險評估
風險管理流程
針對風險的資源分配
更新與修正
經驗教訓
B. 政策與程序
設計
全面性
可及性
嵌入運營
把關者
B. 政策與程序
設計
全面性
可及性
嵌入運營
把關者
C. 培訓與溝通
基於風險的培訓
培訓的形式/內容/有效性
關於不當行為的溝通
提供指引
C. 培訓與溝通
基於風險的培訓
培訓的形式/內容/有效性
關於不當行為的溝通
提供指引
D. 保密性質的報告結構和調查程序
報告機制的有效性
由具備資質的人員負責適當範圍的調查
調查回應
資源和結果追蹤
D. 保密性質的報告結構和調查程序
報告機制的有效性
由具備資質的人員負責適當範圍的調查
調查回應
資源和結果追蹤
E. 第三方管理
基於風險與整合的流程
適當的控制措施
關係管理
實際行動和後果
E.第三方管理
基於風險與整合的流程
適當的控制措施
關係管理
實際行動和後果
F. 兼併與收購(併購)
盡職調查流程
併購過程中的整合
連接盡職調查與實施的流程
F. 兼併與收購(併購)
盡職調查流程
併購過程中的整合
連接盡職調查與實施的流程
二、公司的合規計劃是否得到充分的資源和授權以有效實施?
A. 高中級管理層的承諾
高層的行為
共同的承諾
監督
A. 高中級管理層的承諾
高層的行為
共同的承諾
監督
B. 自主權和資源
架構
資歷與地位
經驗與資格
資金與資源
數據資源和訪問
自主權
外包合規職能
B. 自主權和資源
架構
資歷與地位
經驗與資格
資金與資源
數據資源和訪問
自主權
外包合規職能
C. 激勵與懲罰
人力資源流程
一致的實施
激勵機制
C. 薪酬結構和後果管理
人力資源流程
懲戒措施
一致的實施
財務激勵機制
有效性
三、公司的合規計劃在實踐中有效嗎?
A. 持續改進、定期測試和審查
內部審計
控制測試
不斷更新
合規文化
A. 持續改進、定期測試和審查
內部審計
控制測試
不斷更新
合規文化
B. 調查不當行為
由合格人員進行適當範圍的調查
對調查的回應
B. 調查不當行為
由合格人員進行適當範圍的調查
對調查的回應
獨立性和授權
溝通渠道
政策環境
風險管理
C. 任何相關不當行為的分析和補救
根因分析
之前的薄弱環節
支付系統
供應商管理
先前跡象
補救措施
問責
C. 任何相關不當行為的分析和補救
根因分析
之前的薄弱環節
支付系統
供應商管理
先前跡象
補救措施
問責
通過對比可發現,2023年版ECCP的修訂之處主要集中在第二個基礎性問題“公司的合規計劃是否得到充分的資源和授權以有效實施?”下的“激勵與懲罰”,以及第三個基礎性問題“公司的合規計劃在實踐中有效嗎?”下的“調查不當行為”等主題下。
(二)2023年版ECCP的修訂要點
就具體內容而言,2023年版ECCP中“激勵與懲罰”主要修訂內容為指導檢察官在評估公司合規計劃時,應考慮薪酬結構和後果管理,包括使用“獎金激勵”和“薪酬追回機制”等財務手段在公司內部培育合規文化,確保合規計劃有效運行。“調查不當行為”部分的主要變化是,檢察官在評估公司合規計劃時將考慮圍繞個人設備、通信平台和信息應用程序(包括加密和即時消息應用程序)使用的公司實踐,以及公司訪問和保存相關數據的能力。
1. 通過優化薪酬結構與後果管理促進公司合規文化
Monaco備忘錄指出公司合規計劃根植於合規文化,如果公司獎勵合規行為,懲罰不當行為,就可以幫助阻止犯罪活動。為了促進這種文化建立,DOJ特別重視合規在薪酬體系中的應用。在懲戒方面,公司可採用追回條款、託管薪酬和其他方式,追究參與犯罪行為的個人的財務責任。在激勵方面,公司可建立薪酬體系,使用肯定性指標和基準來獎勵促進合規的行為。以薪酬體系培育員工守法、避免從事法律“灰色地帶”的公司合規文化。
公司的薪酬體系的設計,未來將成為美國檢察官評估一家公司合規計劃的有效性時的重要考慮指標。
值得説明的是,檢察官不僅關注書面政策規定,還會考察這些政策和做法在實踐中是否得到遵守,即是否有明確的後果管理程序(識別、調查、懲戒和補救違反法律法規或政策行為的程序),是否在整個公司內得到一致的執行,並確保這些程序與違法行為相稱。此外,檢察官還將評估公司是否對與紀律處分有關的數據進行監測,以衡量後果管理的有效性,具體措施包括監測查證屬實的舉報數量,調查完成的時間,以及在不同地區、部門之間實施紀律措施的一致性。
(1)修訂激勵和懲罰措施規定
2023年版ECCP不僅將原來的“激勵與懲罰”更名為“薪酬結構和後果管理(Compensation Structures and Consequence Management)”,同時還將其下一層級的評估要素“激勵機制(Incentive System)”更改為了“財務激勵機制(Financial Incentive System)”。從具體內容來看,2023年版ECCP在原有評估要素,即“人力資源流程”“激勵機制”和“統一實施”中,增加了檢察官應予關注的部分問題,同時新增加了“懲戒措施”和“有效性”兩個要素及相關問題,具體如下:
A. 人力資源流程
增加的問題主要有:
公司在設計和實施紀律處分程序方面的透明度如何?在公司高管因違反合規制度而被公司解僱的情況下,公司在離職條件方面對員工的透明度如何?
是否對每個不當行為的案件處理都遵循相同的流程,如果不是,為什麼?
公司是否已採取措施限制有關紀律處分程序的信息披露或獲取?
B. 統一實施
該要素下的變化相對較小,主要是在原有問題上增加了一個問題,即“公司採用了什麼衡量標準來確保跨地區、運營單位和組織的紀律措施的實施一致性?”
C. 財務激勵制度
Monaco認為沒有什麼措施比財務激勵更能有效激發員工的合規行為。因為使用財務激勵可以使高管、員工的利益與合規部門的利益保持一致,可以極大地提高公司的整體合規水平。為此,DOJ在本次修訂中將“激勵制度”要素的原標題增加了“財務”二字,以期公司進一步採取更積極、有效的財務激勵措施促進合規。這些問題有:
·公司是否考慮過其財務獎勵和其他激勵措施對合規的影響?
·公司是否評估過如果業務以合規和道德的方式運作,商業目標是否可以實現?
·合規職能部門在設計和授予高層的財務激勵方面發揮了什麼作用?
·公司如何激勵合規和道德行為?高管薪酬的多大比例是為了鼓勵公司實現持久的道德目標?如果在獎金頒發之前或之後有不合規或不道德的行為被曝光,獎金和遞延補償條款是否會在適用法律規定的範圍內被取消或收回?
·是否有由於合規和道德考慮而採取行動的具體例子(例如,拒絕晉升或獎勵,收回補償或取消遞延獎金)?
除了上述三個評估要素中的具體問題被修訂外,2023年3月的ECCP還新增了兩個評估要素:
D. 紀律措施
雖然以前版本的ECCP中也有關於紀律措施的內容或問題,但本次修訂將該要素單獨列明,並集中列舉了刑事司如何評估公司紀律處分計劃的具體問題。我們認為該變化進一步表明DOJ對違規懲處的重視程度。相關具體問題如下:
·當管理層尋求執行合規政策時,可以採取哪些類型的紀律措施?
·如果不當行為可直接或間接歸咎於高管或員工,公司是否有適當的政策或程序來追回獎勵或薪酬?
·公司在哪些政策和做法中提醒了員工,他們不會從任何不當行為的潛在結果中獲益?
·關於不當行為的處理,公司是否始終努力遵守其在這方面的政策和做法?
E. 有效性
2023年3月修訂的ECCP提出了檢察官確保和衡量後果管理有效性的幾種方法。例如,公司可以通過舉報調查管理,實際違規處罰情況監測等方式來衡量其有效性。具體評估問題如下:
·公司在實踐中如何確保對違規行為進行有效的後果管理?
·如何通過公司對其舉報熱線的管理進一步理解該公司的合規文化或其對舉報信息的處置機制?在公司內部不同的級別、地域或部門,或與情況類似的公司相比,對所舉報的違規行為調查證實率如何?公司是否對某些舉報較多或較少的領域進行了根本原因分析?對通過熱線舉報的調查平均完成時間是多少?責任部門如何處理不一致的調查?
·被發現有不當行為的高管獲得的薪酬或獎金中,有多大比例因違反道德準則而被取消或收回?考慮到管理薪酬計劃相關法律和當地情況,公司如何尋求強制執行對違反規定或違反道德行為的懲罰措施?
·實踐中,公司員工薪酬是否由於與合規行為相關而受到了任何積極或消極的影響?
(2)試點計劃
為了實現薪酬激勵和追回這一目標,DOJ還啓動了一項試點計劃(a pilot program)。根據試點計劃,尋求與刑事部門和解結案的公司將被要求在其薪酬和獎金結構中實施促進合規的措施,刑事部門將減少對那些從違規者手中追回或試圖追回薪酬的公司的罰款。
試點計劃規定公司今後與刑事部門達成每一項有關刑事和解決議或方案時,都必須在其薪酬和獎金制度中實施合規措施。公司還將被要求在決議期間向刑事司提交一份關於其執行這些措施的年度報告。適當的措施可能包括但不限於:禁止向不符合合規要求的員工發放獎金;對違反適用法律的員工,或對從事不當行為的員工或對業務領域具有監督管理權限且知曉或者故意視而不見這些不當行為的員工採取紀律處分措施;對充分履行合規程序的員工進行激勵或獎勵。
此外,DOJ認為行為不端的後果應該由公司違規人員而不是股東來承擔,因此試點計劃允許向那些充分配合DOJ調查,且及時、適當地採取補救措施或糾正不當行為,並啓動相關程序在作出決議前向違規員工追回相關薪酬的公司提供罰款減免。同時,DOJ希望公司使用這些程序不僅處理違規員工,還應處理那些對違規員工或對相關業務領域負有監督義務、知道或故意無視不當行為的人員。如果一家公司在DOJ作出決議之前已經主動啓動了此類薪酬追回的程序,檢察官可以減少與已追回薪酬金額等同的刑事罰款。值得注意的是,試點計劃考慮到了完成薪酬追回的實際困難,如果一家公司盡最大努力在刑事案件解決期限結束時未能成功的追回,試點計劃賦予檢察官自由裁量權,仍可將刑事罰款減少公司所尋求追回薪酬金額的25%。
該試點計劃為期三年,於2023年3月15日生效,DOJ將在三年後重新評估。
事實上,美國DOJ已經開始要求公司將薪酬政策的改變作為刑事解決方案的一部分。例如,在2022年12月,DOJ在對Safran S.A作出的不起訴決議[7]中就特別指出,該公司及時和全面的補救措施包括扣留涉及不當行為的前員工的遞延獎金。ECCP關於薪酬政策的修訂和試點計劃的這些變化均反映了DOJ不斷努力強化在公司刑事執法中推動追究個人責任。
2. 強化公司對個人設備、第三方通信平台和應用程序的管理
隨着移動通信技術的發展,個人智能手機、平板電腦、筆記本電腦和其他移動終端設備在全球範圍內被廣泛使用和普及,第三方通信平台和應用程序(包括即時和加密信息應用程序)的使用率也在不斷上升[8]。許多公司要求所有工作都要在公司提供的設備上進行,即使一些公司允許使用個人設備,也明確將與公司公務相關的行為限制在授權的應用程序和平台上,以便公司可以對這些應用程序和平台所保留數據和通信進行合規性審查。但實踐中,仍有大量公司員工使用個人設備和未經公司授權的應用程序和平台(例如WhatsApp、Signal和Telegram等加密和即時通訊應用程序)從事公司公務。DOJ認為這些個人設備和通信程序通常沒有在公司監控的範圍內,公司監控此類設備和程序是否被不當使用以及在調查中獲取相關數據信息的能力不足,在必要時無法通過訪問其數據和信息進行審計、審查或調查,對公司構成了巨大的合規風險。
作為評估公司識別、報告、調查和補救潛在違規行為的政策和機制的一部分,公司如何處理個人設備和第三方消息平台的使用將會影響檢察官對公司合規計劃有效性以及公司在刑事調查期間合作度的評估。一般來説,有關使用個人設備和第三方消息應用程序的“最佳公司實踐”應滿足三個基本要求:(1)制定有效的管理個人設備和第三方消息平台用於公司通信的政策;(2)對員工進行有關此類政策的培訓;(3)在發現違規行為時執行此類政策。
2023年版ECCP基於上述原因對“調查不當行為”部分進行了完善,修訂後ECCP為聯邦檢察官提供了關於評估公司員工使用個人設備、通信平台和消息應用程序的新指導。檢察官應考慮公司是否根據其特定的業務需求和個性化的風險狀況,量身定製關於使用個人設備、通信平台和信息應用程序的政策和程序,並確保與業務相關的電子數據和信息得到保存並可被公司訪問。這些數據與信息包括與工作相關的通信(例如,文本、電子消息或聊天),以及包含在公司員工用於商業目的手機、平板電腦或其他設備上的數據。同時,檢察官應評估拒絕提供個人設備上的商業數據訪問權限的員工是否會有後果,以及是否有員工因提供此類訪問權限而受到處罰。
具體而言,ECCP要求檢察官評估以下與數據和通信政策及數據保存有關的因素:
(1)通信渠道
針對通信渠道,聯邦檢察官將評估公司在開展業務過程中使用和允許使用哪些通信渠道,採取了哪些措施來管理和保存每個通信渠道中包含的信息,以及公司使用這些通信渠道和管理措施的理由。ECCP列出了一些有用的問題:
·公司及其員工使用或允許使用哪些電子通信渠道來開展業務?這種做法在不同司法管轄區和業務職能部門之間有何不同?為什麼?
·公司採取了什麼機制來管理和保存每個電子通信渠道中包含的信息?在每個通信渠道下,每個員工都可以使用哪些保存或刪除設置,以及公司的政策對每個設置有什麼要求?
·公司決定允許哪些通信渠道和設置方法的基本理由是什麼?
(2)政策環境
檢察官將通過信息收集以判定在擁有關於個人設備管理計劃的公司中,採用了哪些政策和程序來管理保存和訪問存儲在個人設備上的公司數據和通信。公司的政策是否允許公司審查個人設備和消息應用程序上的商業通信,以及員工是否需要將消息從消息應用程序轉移到公司記錄保存系統以保存和保留它們。ECCP同時認識到全球各國家或地區的隱私和就業法律將可能對該規定產生限制或影響,但還是明確期望公司能設計和實施相關政策,以最大限度地提高其訪問個人設備和消息應用程序上的數據的能力。除了考慮政策環境的設計和內容外,檢察官還將考慮政策和程序是如何傳達給員工的。對此,ECCP列出了以下主要問題:
·公司採取了哪些政策和程序來確保通信和其他數據從被更換的設備中保存下來?有哪些相關的行為準則、隱私、安全和僱傭法律或政策來管理公司確保安全或監控/訪問與業務相關的通信的能力?
·如果公司有一個關於個人設備管理計劃,那麼該公司是否有相關政策對存儲在個人設備上的公司數據和通信的進行管理和訪問權限規定?如有,制定這些政策的基本理由是什麼?
·公司的數據保留和商業行為政策是如何應用和執行於個人設備和消息傳遞應用程序的?公司的政策是否允許公司審查個人設備和/或消息應用程序上的商業通信?公司允許對這些政策有哪些例外或限制?
·如果公司有關於員工是否應將信息、數據和資料從私人電話或信息應用程序轉移到公司記錄保存系統以保存的政策,那麼在實踐中是否得到了遵循,以及如何執行這些政策?
(3)風險管理
修訂後ECCP還明確檢察官將評估一家公司與通信相關的政策和程序的有效性。例如,檢察官將詢問員工是否因違反政策而受到紀律處分,是否因為數據無法恢復而影響了合規或調查,公司是否實際控制了受政策約束的通信渠道,以及公司是否根據不斷變化的業務需求和風險狀況評估了其政策和程序的持續合理性。具體而言,ECCP列出了以下關鍵問題:
·員工拒絕公司訪問有關公司業務通信的後果是什麼?公司是否曾經行使過這些權利?公司是否對不遵守政策或不允許公司查看這些通信的員工進行了紀律處分?
·使用個人設備或信息應用程序(包括即時應用)是否以任何方式損害了公司的合規計劃或進行內部調查或響應檢察官、民事執法或監管機構要求的能力?
·公司如何對用於處理公司事務的通信渠道進行安全管理並控制?
·基於公司的業務需求和風險,公司允許和管理通信渠道的方法是否合理?
2023年版ECCP表明DOJ不僅關注公司內部的數據資源及訪問權限,對於個人設備、第三方通訊平台上的公司相關數據的保存和獲取也越來越重視和關注。我們有理由相信,一旦DOJ刑事執法部門在調查過程中獲知相關公司未提供移動設備和第三方通訊應用中的相關通信內容,並且如果公司沒有相關政策和程序或者不配合司法部就此相關的調查,那麼極有可能影響刑事司對公司做出的起訴決定及其對公司配合情況的評估結果。
三、對公司合規計劃完善的建議
自2022年下半年以來,美國DOJ就其對公司合規的發展期望發佈了多項政策,所有這些政策都旨在敦促公司更新和加強合規計劃,披露不當行為,並懲罰員工不當行為。
實踐中ECCP將在指導聯邦檢察官確定公司的合規計劃在犯罪時是否有效,以及在多大程度上有效,並確定該公司是否應該受到指控等方面發揮巨大作用。因此,受美國司法管轄的公司應重點關注該指南的變化,並考慮和評估自身的合規計劃是否符合本指南。對此,我們建議公司可以從以下幾方面對自身的合規計劃進行完善。
(一)開展獨立的合規計劃有效性評估
鑑於ECCP的變化,公司應投入適當的時間和資源來評估現有的合規計劃是否符合其實際需要和內外部風險管控要求。為記錄和證明該評估的有效性,以及改進公司現有合規計劃,公司可考慮對合規計劃進行定期的“獨立”評估。
(二)根據最新指南制定或優化公司合規政策
公司應根據新修訂的ECCP重新審視並更新其關於薪酬和通信管理相關的合規政策,例如調整薪酬模式、政策和僱傭協議,以及有關使用個人設備或消息應用程序的政策,包括適當使用、監測、文件保留和保存政策。
(三)採取適當措施有效落實合規政策和程序
雖然修訂後的ECCP認識到公司當地隱私保護、勞動用工等法律可能會影響公司訪問員工個人設備、第三方通信平台數據或追回高管薪酬的能力,但DOJ明確表示公司不能簡單以此限制為藉口規避合規義務,而應最大限度地提高合規管理能力。
(四)對公司管理層及員工進行明確的培訓
美國司法部在宣佈一系列旨在加強公司刑事執法的新政策時指出,檢察官應該評估公司是否在公司各個層面(而不僅僅是在合規部門)培育合規文化。我們建議公司有針對性加強對管理層和員工的合規培訓,例如在執行層、管理層和董事會等會議上介紹DOJ的最新動向,強調他們制定合規“高層基調”的重要性,引導他們積極參與監督和支持合規計劃,並詳實地告知合規和違規的後果。
來源:環球律師事務所
註釋:
[1] https://www.justice.gov/criminal-fraud/page/file/937501/download
[2] JM 9-28.300 (citing JM 9-28.800 and JM 9-28.1000).
[3] See U.S.S.G. §§ 8B2.1, 8C2.5(f), and 8C2.8(11).
[4] https://www.justice.gov/opa/speech/assistant-attorney-general-kenneth-polite-jr-delivers-keynote-aba-s-38th-annual-national
[5] https://www.justice.gov/opa/speech/deputy-attorney-general-lisa-o-monaco-delivers-remarks-corporate-criminal-enforcement
[6] 特別説明:通過與2020年版ECCP全文文檔對比,2023年版ECCP共計293處修改,其中72個替換項,22個插入項,11個刪除項,188處格式/樣式調整。在文中表格和解讀部分我們僅從主題和要素等實質性和大的層面進行比較,並未就全部細節變動進行一一説明。
[7] https://www.justice.gov/criminal-fraud/file/1559236/download
[8] 根據數字諮詢公司Kepios2023年1月的數據報告,全球59.4%的人口(47.6億人)經常使用社交網絡平台,用户數量正以每年3%的速度增長https://datareportal.com/reports/digital-2023-global-overview-report