英美法及世界银行反腐败合规体系建设的普遍要点

上海律协中伦视界 2022-07-31

引语

2018年，GB/T 35770-2017《合规管理体系指南》国家标准、《中央企业合规管理指引（试行）》和《企业境外经营合规管理指引》相继颁布。企业反腐败合规体系的建立和健全开始成为国家层面关注的话题。

企业反腐败合规体系建设不能闭门造车，而应放眼于全球，充分考虑境外反腐败法规要求。本文旨在通过对《美国审判指南》、世界银行集团《诚信合规指南》、《FCPA资源指南》及《UKBA指引》的分析，寻找出一套普遍适用的有效合规体系建设要点。

一

全球反腐败背景及合规起源

根据英国标准协会首席专家高毅民提供的数据显示，当前全球每年有高达1.5兆美元（1.5万亿美元）的行贿金额，全球通过行贿以保障其开展的业务的企业比重高达30%，行贿金额占到了企业总成本的10%。另据调查显示，在中国企业海外投资过程中，约有69%的中国海外经营企业遭受过反商业贿赂执法或处罚。截止2018年4月份世界银行网站上公布的数据，共有超过1180家企业受到世行制裁或交叉制裁，其中中国企业超过110家。

贿赂腐败严重侵蚀市场秩序，最终损害的是整个商业社会。与腐败作斗争的有效工具之一就是在企业内部建立合规体系，过去二十年，这已经成为国际社会的共识与普遍实践。

当今天我们宣讲企业合规体系建设时，追根溯源，与美国的司法制度发展息息相关。在某种程度上，2004年11月生效的《美国审判指南》（the U.S. Sentencing Guidelines，USSG）第8B2.1条将企业腐败犯罪量刑与企业合规体系相关联，促使美国公司开始被动建立合规体系，以适应法律要求。在过去十余年，美国反腐败司法制度继续发展完善，联合国在反腐败领域也陆续推出一系列公约文件。随着全球反腐败合规教育的发展，以及美国公司在全球经营而起到的带动作用，全球跨国公司遂从一开始的被动建设合规体系，逐渐发展到普遍性的主动合规。时至今日，建立一套有效的合规体系，已经成为一家跨国企业的标准配置，任何一家志在全球化的中国企业均应当把合规体系建设提高到新的高度，以适应全球法律环境。

二

鼓励或要求企业建立合规体系的主要法律文件

1、美国《海外反腐败法》（FCPA），1977年

1977年12月19日，美国在水门事件之后出台了《海外反腐败法》（Foreign Corruption Practices Act, FCPA）并立即生效。FCPA由两部分条款组成，会计账目条款和反贿赂条款，违反任一条款，均构成刑事犯罪。

随后二十年间，美国政府一方面不断改进FCPA内容，另一方面致力于FCPA的国际化，积极推动联合国政府间国际组织经济合作与发展组织（Organization for Economic Co-operation and Development, OECD）讨论出台反腐败国际公约。

2、美国《联邦商业机构检控原则》，1999年

1999年6月，美国司法部DOJ颁布《联邦商业机构检控原则》（The Principles of Federal Prosecution of Business Organizations）。作为FCPA的执法机构之一，DOJ在针对企业进行FCPA执法时，有关是否启动调查、是否撤销调查、是否以延迟检控协议（DPA）或免予检控协议（NPA）方式处理案件时，主要是依据《联邦商业机构检控原则》第9-28.300条而进行。

《联邦商业机构检控原则》罗列了美国司法部在执法时应考虑的九项因素，其中至少有三项与公司合规体系相关，即：

公司内部违法行为存在的普遍性（the pervasiveness of wrongdoing within the company）；
公司事先合规体系的存在及其有效性（the existence and effectiveness of the company’s pre-existing compliance program）；以及
公司事后的救济行为（the company’s remedial actions）。

3、《OECD反腐公约》，1997年

1997年，联合国政府间国际组织经济合作与发展组织（OECD）终于通过《关于打击国际商业交易中行贿外国公职人员行为的公约》（OECD Convention on Combating Bribery of Foreign Public Officials in International Business Transactions，以下简称“《OECD反腐公约》”），美国与OECD其他33国共同签署该公约，令公约于1999年2月正式生效。截至2018年9月，已有44个国家签署该公约，其中包括全部G8国家和主要的欧洲发达国家。中国目前只是一个观察国，尚未签署该公约。

顾名思义，OECD《关于打击国际商业交易中行贿外国公职人员行为的公约》旨在打击跨境投资与贸易中通过向外国官员行贿谋取不当商业利益，从而破坏良好治理与经济发展，扭曲国际竞争的行为。《OECD反腐公约》在很大程度上受到美国FCPA的影响，既有（1）反贿赂条款，要求签署国通过国内立法将本国主体向外国官员行贿的行为列为犯罪行为，进行刑事处罚，又有（2）会计账目条款，要求签署国通过国内立法，明确禁止公司设立账外账或通过不实记账隐瞒行贿行为，并对此类行为给予民事、行政或刑事惩罚。

4、《联合国反腐败公约》（UNCAC），2005年

2003年10月，第58届联合国大会全体会议审议通过了《联合国反腐败公约》（The United Nations Convention against Corruption, UNCAC），2005年10月27日，中国全国人大常委会审议并批准了该公约。2005年12月14日，《联合国反腐败公约》正式生效，至今已有83个国家批准了该公约。

有别于《OECD反腐公约》主要针对向外国官员行贿的行为，《联合国反腐败公约》是全面反腐公约，是联合国历史上通过的第一个用于指导国际反腐败斗争的法律文件，在腐败的预防性措施，刑事定罪，执法合作，国际追赃，引渡合作等方面形成了一套完整的制度。

2007年9月6日，为履行《联合国反腐败公约》，中国国家预防腐败局正式成立，成为中国首个预防腐败机构。

5、英国《2010年反腐败法案》（UKBA），2011年

2011年4月，英国《2010年反腐败法案》（The Bribery Act 2010, UKBA）正式生效。UKBA规定的主要罪行有四类：一是行贿；二是受贿；三是贿赂或企图贿赂外国公职人员；四是商业机构未能预防贿赂。与FCPA相比，其主要特点在于覆盖面更广，惩治力更强，因此，被称为目前全世界最严厉的反腐败法律。

UKBA第7条明确规定，如果一家企业的关联人员（包括为该企业服务或者代表该企业行事的人员）为谋取该企业的不当利益而行贿，则该企业即触犯“商业机构未能预防贿赂罪”。在同一法条下，UKBA规定，如果该企业能够证明其内部已经建立充足的内控程序用以防止此类不当行为的发生（…had in place adequate procedures designed to prevent persons…from undertaking such conduct.），则可以以此为抗辩理由主张该企业本身免于承担刑事责任。

由此可见，UKBA通过创设“商业机构未能预防贿赂罪”，并且以成文法形式明确规定企业建立充足的内控合规体系可以作为免于承担刑事责任的法定抗辩理由，明确鼓励企业建立并维持一套有效的内控合规体系，用以防止贿赂行为的发生。

三

直接为企业如何建立合规体系提供指引的法律文件

1、《美国审判指南》，2004年

美国司法部在《FCPA资源指南》中明确其在执法FCPA时将考虑《美国审判指南》（the U.S. Sentencing Guidelines，USSG）第8B2.1条内容。

《美国审判指南》第8B2.1条于2004年11月生效，该法条明确规定，当公司因其不当行为被定罪判刑之时，公司事先是否致力于阻止与侦测犯罪行为、是否预先建立一套合规体系以实现对犯罪行为的阻止与侦测，将直接影响美国司法机关对该公司的罚金与缓刑考察期限的决定（The prior diligence of an organization in seeking to prevent and detect criminal conduct has a direct bearing on the appropriate penalties and probation terms for the organization if it is convicted and sentenced for a criminal offense）。如前所述，USSG第8B2.1条的规定，在某种程度上，正是全球企业（尤其是美国公司，以及受美国海外反腐败法管辖的外国公司）建立内部合规体系的直接原因。

《美国审判指南》为一套有效的合规体系列出了七项要素，包括应当有书面的合规文件、领导层认可、有相应的合规培训机制、合理的合规审计及风险测试、奖善惩恶、不良记录者禁入管理层制度以及发生违规行为时能够采取合理补救措施进行修正。

2、世界银行集团《诚信合规指南》，2010年

世界银行集团长期以来颁布了一系列与其提供贷款的投资项目相关的采购规则以及违反相应规则的制裁制度，如《世界银行制裁指引》等。受到制裁的企业将被列入世行“黑名单”，在一定期限内（通常3年）被禁止参与由世界银行提供融资的项目，被制裁范围还将及于被制裁企业的关联企业，包括该企业的母公司、子公司、兄弟公司等，不论其是否直接参与被制裁的不当行为。

2010年，世界银行集团、亚洲发展银行、非洲发展银行集团、欧洲复兴开发银行、美洲开发银行集团签订《共同实施制裁决议的协议》，根据该协议，被世行制裁的企业将遭受上述机构的交叉制裁。

2010年世界银行集团颁布《诚信合规指南》（Integrity Compliance Guidelines），该指南在吸纳了被许多机构和组织认为是良好治理和反欺诈与腐败的良好实践的标准、原则和内容的基础上，为一套有效的合规体系罗列出十一项要素，包括明令禁止不当行为、合规职责明确、以风险评估为基础、详尽而明晰的内部合规政策、将业务伙伴纳入合规体系、内控制度、培训制度、奖惩激励机制、举报制度、补救措施及企业上下共同行动。

世界银行集团《诚信合规指南》尤其对于经常参与世行项目的企业，在建立其合规体系时，具有极其重要的参考意义。根据世行制裁程序，在制裁决定作出前，被调查企业具有抗辩机会，此时被调查企业应该聘请有经验的律师顾问，积极主动与世行进行沟通，陈述企业合规体系建设情况，并积极采取纠正措施，这将使企业有可能避免被列入制裁黑名单或者被减轻制裁等级。如果已被列入黑名单，企业就需要切实建立和完善令世行满意的合规体系，以尽快满足解除条件，争取提前从黑名单中移除出去。

3、UKBA指引，2011年

UKBA明确授权英国司法大臣于2011年3月发布一份书面指引，指导企业如何才能建立一套足以预防贿赂的内部程序（Guidance about procedures which relevant commercial organizations can put into place to prevent persons associated with them from bribing，简称《UKBA指引》）。

《UKBA指引》指出，企业建立预防贿赂的合规内控体系应该考虑六大原则，包括程序应与风险相匹配、高层对反腐有承诺、风险评估制度、对第三方伙伴进行尽职调查、沟通和培训以及监督和检查制度。

4、FCPA资源指南，2012年

2012年11月，美国司法部和证监会联合颁布了《FCPA资源指南》（A Resource Guide to the U.S. FCPA）。美国司法部和证监会作为FCPA的执法机构，在《FCPA资源指南》里明确指出，执法机构在决定是否采取以及采取何种执法行动时，除了考虑违法行为是否系由企业自报、企业是否配合以及是否采取适当的补救措施之外，还将考虑企业合规体系的充分性（the adequacy of a company’s compliance program）。合规体系存在与否以及充分与否，将影响执法机构决定是否通过延迟检控协议（DPA）或免予检控协议（NPA）的方式结案，DPA或NPA时长，公司缓刑期限，罚金金额，是否在企业内安放监督官，是否给企业添加自我报告义务等。

然而，美国司法部和证监会对企业合规体系的具体形式并没有提出程式化的要求。两个执法机构在评判企业的合规体系时，秉持常识性与务实性的方法，通常通过三个问题进行考察：（1）企业的合规体系是否设计良好；（2）该合规体系是否被善意执行；以及（3）该合规体系是否有效。

美国司法部和证监会认为，并没有一个理想的合规体系可以适用于所有企业，一家企业的合规体系应当与其规模和业务固有风险相匹配。在此基础上，《FCPA资源指南》列出了其认为的一套有效的合规体系应当具有的十项内容，包括高层反腐承诺、合规政策、充裕的资源令合规部门可作到自治、以风险测试为基础、对员工培训及持续指导、奖惩到位、将第三方伙伴纳入合规体系、秘密举报及内部调查、定期测试与审查有效性以及须对并购对象进行反腐合规尽调。

5、ISO 19600:2014和ISO 37001:2016

国际标准化组织（ISO）在2014年12月15日出版了世界上第一个关于合规管理的国际标准，即《ISO 19600:2014合规管理体系-指南》，简称为ISO 19600合规管理体系标准或ISO 19600标准。ISO 19600标准与ISO的其他标准一样，基于P-D-C-A循环（Plan-Do-Check-Act Cycle），为想要建设合规管理体系的企业提供标准框架和全面指导。

ISO于2016年10月15日正式出版了《ISO 37001反贿赂管理体系-要求及使用指南》，简称为ISO 37001反贿赂管理体系标准或ISO 37001标准。ISO出台ISO 37001标准，意在指导企业设计其自身反腐败管理体系。ISO 37001标准将近200页，其内容细致入微，企业可以对照该标准建设合规体系，也可以通过聘请经过认证的独立第三方，辅导企业建设一套有效的立体合规体系，并在合规体系建设完成后获取认证，成为通过ISO 37001认证的企业。可以预见，在将来国际投标活动中，极有可能将获得ISO 37001标准认证证书作为投标资质要求之一。

6、中国国内相关标准和指引，2018

2017年12月29日，中国国家质量监督检验检疫总局、国家标准化管理委员会正式发布GB/T 35770-2017《合规管理体系指南》国家标准，并将于2018年8月1日起实施。国家标准以ISO 19600标准为蓝本，意在对企业开展合规管理体系建设和运行提供普适性的指导意见。

2018年11月2日，中国国资委发布《中央企业合规管理指引（试行）》，明确要求中央企业要加快建立健全合规管理体系，全面加强合规管理，其中的一个重点就是加强反商业贿赂管理。根据这份指引，评价企业合规管理体系是否健全可以从以下几点入手：（1）管理体系应该全面覆盖到各分支、各部分和全体员工；（2）加强企业主要负责人合规职责，合规责任落实到具体人员；（3）合规管理应当与风控、监察、审计等功能协同联动；以及（4）合规管理保持独立性。

2018年12月29日，为推动企业增强境外经营合规管理意识，提升境外经营合规管理水平，国家发改委，外交部，商务部，人民银行，国资委，外汇局，全国工商联等七部委在参考国际规则和国家标准的基础上，联合印发了《企业境外经营合规管理指引》，为进行境外投资与运营的中资企业的合规管理提供了指导。

7、美国司法部《企业合规体系评估》，2017年

2017年2月，美国司法部（DOJ）发布了《企业合规体系评估》（Evaluation of Corporate Compliance Programs）。DOJ认为不同企业所面对的腐败风险不同，因此其用于应对风险的解决方案也各有不同。《评估》通过在十一个大类项下罗列数十个话题与问题样本清单的形式，让企业可以细致对照这份清单，对自身的合规体系的效能进行评估，从而达到增加自身合规体系建议的目的。在内容上，《评估》的十一大类与《FCPA资源指南》关于合规体系有效性的十项内容完全一致。

8、OECD《商业机构反腐败道德及合规手册》，2013年

考虑到市面上存在大量针对商业机构的反腐败指南，对于资源有限的中小型企业，容易造成困惑，为此，OECD、UNODC和世界银行三者联合，于2013年出版了《商业机构反腐败道德及合规手册》（Anti-Corruption Ethics and Compliance Handbook），意图为寻求合规建议的企业提供一份有用的务实的工具。OECD《合规手册》将主要的国际商业机构合规指引工具整合到一起，并在手册中展示企业运用这些指引工具的真实案例研究。考虑到其内容与其他文件大同小异，就不在此展开讨论。

四

总结：有效合规体系九要素

综合《美国审判指南》、世界银行集团《诚信合规指南》、《FCPA资源指南》及《UKBA指引》对一套有效的合规体系的阐述及其所确立的原则，我们可以总结出一套有效的合规体系应当具备以下九要素：

1 企业高层的反腐承诺与企业文化

企业高层包括股东会、董事会和高级管理层。企业高层应当有预防贿赂的认知、决心和承诺，并且了解自身企业合规体系的内容与运作。高层的反腐败决心，应当通过中层传达到普通员工，从而在企业内部发展并形成对贿赂零容忍的企业反腐败文化。

2 行为守则和各项合规政策

企业的行为守则是合规体系之基础，行为守则应当清晰、准确并且可及于全体员工和相关第三方。对于跨国公司而言，行为守则在语言上应当本地化，并且应当定期审阅并予以更新，以确保其内容及时有效。

除此之外，企业还应当制定各项合规政策和程序，写明公司内部合规职责、财务合同及决策等内控制度、审计操作、文档记录政策以及纪律程序，某些行业在必要时还需要考虑具体细化到规定清楚馈赠、接待及好处费等内容。

通常而言，若要制定有效的合规政策，首先要深度理解企业的业务模式，包括其产品和服务、第三方代理商、客户、政府关系以及行业和地理风险等。

3 合规体系基于风险评估结果而建立，二者应相称

企业的合规体系应当基于对本企业风险评估的结果而建立。每一家企业因其所处行业和地理不同，规模不同，业务模式不同，产品不同，其所面对的风险来源不同，风险的大小也不同。因此，一个有效的合规体系，应当对于自身企业的风险事先进行评估，并在此基础上建立与企业经营活动的复杂性及其所面临的贿赂风险相称的、清晰的及务实的制度与程序，使得企业能够将反腐注意力和资源主要分配给显著性风险。

4 合规负责人要有自治权与资源

企业内部对于合规体系的实施应当职责明确、具体到人。企业应当指派一位或多数高级管理层人员作为合规负责人，承担贯彻并监管合规体系之施行的职责。企业应当赋予合规负责人实权和独立于管理层的自治权，并给其配备充足的资源（包括人力和财力），以令其可以有效施行合规体系。一般而言，合规负责人的自治权通常包括可以直接参与董事会并直接向董事会报告合规体系实施中遇到的问题。

5 对员工进行合规培训并给予持续指导

企业应当建立培训与教育机制，将其合规体系内容向全体员工传达，确保其所制定的预防贿赂的政策和程序，通过培训与沟通，能够在企业内部植根，并被企业上下员工所熟悉和理解。

企业可以通过向所有董事、高管、员工、代理商甚至商业伙伴进行定期培训、考核并颁发合格证书的方式，令企业上下熟悉其政策和程序。不同的企业可以设置不同的培训课程和培训形式。除了定期培训之外，企业还应当能够就如何遵守企业道德和合规体系为员工提供持续性的指导和建议，令员工遇到合规难题时有明确的途径可以求助。

6 奖惩激励机制到位，一视同仁

企业应当制定明晰且可靠的纪律程序，且合规政策在企业内的施行应一视同仁，无人可得例外。遇到违规行为时，应当对当事人采取惩罚措施，并且在企业内部公开通报企业所采取的纪律措施，以起到警示作用，同时明确阻止有不良行为记录的人员进入企业管理层。对于良好的合规行为，企业也应考虑予以奖励，形式多种多样，可以是精神奖励也可以是物质奖励。通过奖励合规行为、惩罚违规行为，达到持续一致地弘扬与执行合规标准的目的。

7 将商业伙伴等第三方纳入合规体系

企业的第三方包括代理商、顾问以及分销商。在跨境交易中企业通常会利用第三方支付贿款。因此，企业对于为其提供服务或者代表其行事的第三方，应当适用相称的、以风险为导向的尽职调查程序，在与其进行合作前，对其行为纪录进行尽职调查，以降低被确认贿赂的风险。与第三方合作后，应当第一时间将企业合规政策明确告知第三方，要求第三方学习并承诺遵守。

在针对第三方开展尽职调查上，首先，企业应当调查该第三方的专业资质、商业信誉及外国政府关系等。初步调查中如遇疑问则应更进一步展开深入调查。其次，企业应当了解该第三方在交易中的商业逻辑，特别是签约第三方的必要性、付款给第三方的金额和时间等，应当符合正常的商业习惯和逻辑。再次，企业应当对其与第三方的合作关系进行持续监管。

8 秘密举报与内部调查

有效的合规体系应当给员工提供可以无后顾之忧地秘密举报其所发现的违规行为的途径，例如，匿名举报热线、邮箱或网上举报。收到举报，企业应当展开有效可靠的内部调查并且如实记录企业的调查过程及结果，并通过对内部调查发现的问题查缺补漏，及时更新内控合规制度，并在后续的培训中关注此类问题。

当侦测到违规行为时，企业应当能够迅速做出合理反应，展开内部调查，如实记录调查过程及结果，并根据调查结果检查、反思合规体系的有效性，采取有力的补救措施，迅速查缺补漏，对合规体系进行必要的修正，以防止以后发生同类行为。

9 定期测试与审查，以确保体系的有效性

营商环境、客户性质甚至法律都在变化，因此，企业应当采取合理的监控及审计措施，并通过定期测试，持续提升合规体系的有效性。

经营环境在不断变化，风险也在变化，唯有定期检查，方能使得企业有机会根据风险的变化而对合规体系不断进行调整，确保其合规体系与风险可持续地保持相称性。

五

结语

通过对部分国际机构、发达国家以及我国国内规范的整理分析，我们总结出建立健全企业反腐败合规体系的九大要素。需要注意的是，这些要素绝不是排他性的。九要素的总结，可以有效协助企业建立健全反腐败合规体系，减少走弯路，达到事半功倍的效果。当然，合规体系建设是一项系统性工程，绝不能期望毕其功于一役，而是需要企业从高层到普通员工的全员参与，并实现长效监管。从这个角度而言，理解九要素只是合规体系建设的一个开始。

The End

作者简介

吴明律师

上海办公室合伙人

业务领域：诉讼仲裁, 合规/政府监管, 收购兼并

作者往期文章推荐：

《以案说法 | 对赌协议纠纷解析》

《《执行公约》文本签署后，中国法院判决如何在外国申请承认和执行？》

《CAS判例统计，世界反兴奋剂机构胜算有几成？》

《美国严格执法新常态下，中资金融机构境外合规体系怎么建设？》

《电竞时代来临 | 看电竞赛事运营、自治管理与争议解决》

《FIFA球员归化规则解读：归化球员是否有资格代表国足参赛？》