2023年3月美国《企业合规计划评估》(ECCP)更新要点解读
作者:刘平 张艳
一、概要
2023年3月3日,美国司法部('DOJ')再次修订了《企业合规计划评估》(Evaluation of Corporate Compliance Programs,ECCP)。本次ECCP的修订主要遵循了副总检察长Lisa Monaco在2022年9月对刑事部门的指示,即制定关于报酬回扣政策的进一步指导,并研究关于使用个人设备和第三方信息平台的最佳公司做法。
因此,本次的修订主要包含两方面内容:(1)关于个人设备、通信平台和信息应用程序(包括短暂的信息应用程序)的新指导;(2)如何利用薪酬结构推动合规的指导。包括使用经济处罚手段,如薪酬回扣条款(compensation clawback provisions)来抑制不合规行为。
ECCP虽然严格意义上只适用于刑事部门,但副总检察长已经鼓励司法部的其他部门也遵循使用ECCP。最近发布的美国检察官办公室自愿自我披露政策(Voluntary Self-Disclosure Policy for U.S. Attorney’s Offices)指出,美国检察官办公室在决定是否对公司适用独立合规监督人时将考虑ECCP。因此,公司可以利用ECCP来评估其合规计划是否符合司法部的要求,并进行适当的改进。
二、《企业合规计划评估》(ECCP)背景介绍
(一)ECCP的制定目的
美国《司法手册》中的“联邦起诉商业组织的原则”(Principles of Federal Prosecution of Business Organizations)描述了检察官在对公司进行调查、决定是否提出指控以及谈判认罪或其他协议时应考虑的具体因素。[1]这些因素包括“在犯罪发生时,以及在作出指控决定时,公司的合规计划是否充分和有效”,以及公司为“实施充分和有效的公司合规计划或改进现有计划所做的补救努力”。[2]《美国量刑指南》(United States Sentencing Guidelines)建议,在计算刑事罚款时,应考虑该公司在不当行为发生时是否有有效的合规计划。[3]此外,ECCP也是刑事部门验收合规计划时检验独立合规监督人是否合格的标准。
因此,ECCP旨在帮助检察官作出知情决定,即公司的合规计划在犯罪发生时是否有效,以及在指控决定或决议时在多大程度上有效,以便确定适当的(1)决议或起诉的形式;(2)罚金(如有);以及(3)公司刑事决议中包含的合规义务(例如,监督或报告义务)。[4]
(二)ECCP历次修订
2017年2月,司法部刑事司欺诈科(Fraud Section in DOJ’s Criminal Division)发布了最初的ECCP,列出了欺诈科在评估企业合规计划时经常发现的一些重要议题和样本问题。最初的ECCP为公司应对调查提供了有用的方向,并为设计合规计划提供了清晰的指导。
2019年4月,ECCP进行了大幅修订,将原ECCP的话题和问题围绕《司法手册》中的三个关键问题进行整合。三个关键问题为:(1)合规计划是否设计良好?(2)合规计划是否得到有效实施?以及(3)合规计划在实践中是否真正发挥作用?并且,2019年4月的ECCP被规定适用于整个刑事司,而不仅仅是欺诈科。
2020年6月,ECCP再次被修订。2020年6月的ECCP在结构上与2019年4月的ECCP相同,但增加和扩展了一些指引内容。例如,使用数据来加强合规计划,将被收购的公司纳入收购公司的合规计划和内部控制,以及给予发挥合规职能的充分资源,将合规“资源不足”视为判断无效的理由。
2022年9月,副总检察长Monaco发布了一份备忘录(“《Monaco备忘录》”)[5],指示刑事司制定关于赔偿金回扣政策的进一步指导,并研究关于使用个人设备和第三方信息平台的最佳公司做法。对于后者,副总检察长Monaco明确指示刑事司将其研究结果纳入下一版的《企业合规计划评估》。
2023年3月3日,司法部刑事司助理检察长宣布了ECCP的修订内容。本次修订共有两方面内容。一个修订内容为检察官将考虑公司如何使用和管理个人设备、通信平台和信息应用程序(包括短暂的信息应用程序)。根据助理检察长检察官的说法,“一家公司如何回答或不回答有关其通信政策的问题,以及它是否能够保存并向司法部提供通信”会影响对它刑事责任的提议。[6]另一个修订是考虑补偿结构和后果管理。检察官将考虑许多因素以确定一个公司的薪酬制度对有效的合规计划的影响。
三、2023年3月《企业合规计划评估》更新要点解读
(一)关于公司如何使用和管理员工个人设备、通信平台和信息应用程序的评估
1、修订背景介绍
《Monaco备忘录》指出,个人智能手机、平板电脑、笔记本电脑和其他设备的广泛应用给公司带来了合规风险,特别是在公司监测这些设备的使用,以及后续调查中恢复相关数据的能力方面。第三方信息平台的使用,包括使用短暂和加密的信息应用,也带来了类似的挑战。作为一般规则,公司应在合规计划中制定有效的政策,规范个人设备和第三方信息平台在公司的使用。
实践中,有些公司要求员工使用公司电子设备,有些公司则允许使用个人设备,但将其用于商业目的限制在经授权的应用程序和平台上,以保留数据和通信用于合规性审查。公司如何处理个人设备和第三方信息平台的使用问题,会影响检察官对公司合规计划有效性的评估,以及对公司在刑事调查期间的合作情况的评估。
2、修订内容
2023年3月的ECCP在“不当行为调查部分”(Investigation of Misconduct)添加了一个新的小节(P17 of ECCP),涉及检察官应如何评估公司管理个人设备、通信平台和信息应用程序(包括短暂的信息应用程序)使用的政策和程序。这表明司法部的重点是为公司内部调查(包括政府调查)保存相关数据。
根据新的分节,与通信有关的政策和程序应基于风险,针对公司的具体需求,旨在确保与业务有关的电子数据和通信可被公司获取并保存。新的小节反映了《Monaco备忘录》中关于该部分的三个基本要素:(1)实施有效的政策管理个人设备和第三方信息平台用于公司通信;(2)对员工进行关于此类政策的明确培训;以及(3)在发现违规行为时检察官如何获取该等数据。
关于该部分的评估要素主要有:
(1)通讯渠道(Communication Channels)。该公司员工在公司业务的各个部分实际使用了哪些电子通信渠道?每个渠道有哪些保存或删除的设置?为什么选择这些设置?
(2)政策环境(Policy Environment)。即公司为确保通信和其他数据被适当保存并被公司访问而制定的政策和程序。
2023年3月ECCP特别关注 '自带设备'(bring your own devices, BYOD)的管理程序。对于员工个人数据的访问和保存,会受到当地隐私和劳动相关法律的限制,但ECCP确立了一个明确的期望,即公司应设计和实施相关合规政策,最大限度地提高他们访问BYOD设备和个人信息应用的数据的能力。除了考虑政策环境的设计和内容外,检察官还将考虑政策和程序是如何传达给员工的。
(3)风险管理(Risk Management)。检察官将评估公司如何执行和衡量其通信相关政策和程序的有效性。例如,检察官将询问员工是否因违反政策而受到纪律处分,是否因数据无法恢复而损害了合规性或调查,公司是否实际控制了受政策约束的通信渠道,以及公司是否根据其不断变化的业务需求和风险状况评估了其政策和程序的持续合理性。
(二)关于公司补偿结构和后果管理的评估
1、修订背景介绍
《Monaco备忘录》指出,使用经济激励措施使公司管理层的利益与合规部门的利益保持一致,可以极大地提高公司的整体合规水平,也可以将公司财务处罚的负担从股东转移到更直接的责任者身上。
在评估合规计划时,检察官应考虑公司的薪酬制度(包括薪酬协议、安排和一揽子计划)是否包含薪酬回扣条款等要素,以便对直接或监督行为或不行为导致犯罪行为的现任或前任雇员、高管或董事进行处罚。由于不当行为往往在发生后才被发现,检察官应审查薪酬制度的制定是否允许追溯惩戒,包括通过使用回扣措施、部分托管薪酬或同等安排。同样,公司可以通过奖励那些在组织内促进合规的管理人员和雇员来促进企业的道德文化。
在宣布修订ECCP的同一天,助理检察长还宣布了刑事部门关于补偿奖励和回扣的试点计划。根据该试点计划,公司若被要求在补偿和奖金制度中实施合规回扣条款,将减少对公司的罚款。与试点计划一致,ECCP的修订反映了司法部的信念,即赔偿结构和后果管理是有效的合规计划的关键组成部分。
2、修订内容
2023年3月的ECCP对前版的“激励和惩戒措施”(Incentives and Disciplinary Measures)部分进行了大幅修订,更改标题名称为 '薪酬结构和后果管理'(Compensation Structures and Consequence Management)。
与2020版本的ECCP一样,2023年3月的ECCP一开始就提出了一个前提,即有效的合规计划的一个标志是建立对合规的激励和对不合规的抑制。在阐述这一前提时,2023年3月ECCP指示检察官考虑公司是否通过推迟某些报酬直到员工表现出符合公司价值观和政策的行为来激励合规,以及通过在员工从事不当行为时收回或减少报酬来抑制不合规行为。
2023年3月的ECCP扩充了原有评价要素的问题,包括:
(1) 人力资源流程(Human Resources Process)。公司在设计和实施纪律处分程序方面的透明度如何?在高管因违规而离开公司的情况下,公司在离职条件方面对员工的透明度如何?
(2) 一致性应用(Consistent Application)。公司采用什么衡量标准来确保所有地区、运营单位和组织级别的纪律措施的一致性?
(3) 奖励制度(Incentive System)要素更新为“财务奖励制度”(Financial Incentive System)。公司是否评估过如果以合规和道德的方式运作,商业目标是否可以实现?合规职能部门在设计和授予组织高层的财务奖励方面发挥了什么作用?高管薪酬的结构有多大比例是为了鼓励持久的道德商业目标?在适用的法律范围内,如果在发放奖金之前或之后暴露出不符合规定或不道德的行为,奖金和递延补偿的条款是否会被取消或收回?公司是否有政策在存在不当行为的情况下收回已支付的补偿?是否有因合规和道德考虑而采取的行动的具体例子(例如,拒绝晋升或奖励,收回补偿金或取消递延补偿)?
在原有的3个评价要素上,新增2个的评估要素:
(1)惩戒措施(Disciplinary Measures)。包括公司可以采取哪些类型的纪律处分有哪些?公司是否有政策或程序来收回薪酬赔偿?公司有什么政策和做法让员工注意到他们不会从不当行为的任何潜在成果中获益?对于有争议的特定不当行为,公司是否已作出真诚的努力遵循其在这方面的政策和做法?
(2)有效性(Effectiveness)。2023年3月ECCP提出了检察官和公司确保和衡量“后果管理”系统有效性的几种方法。例如,公司可以跟踪与热线报告有关的指标(如报告数量、证实率和调查时间),以同行公司为基准,进行根本原因分析,跟踪回扣指标(如公司试图回扣赔偿的次数和已收回的金额),并衡量纪律措施在所有地区、运营单位和组织层面的一致性。
四、结论
2022年3月新修订的ECCP增加了对公司通信设备管理和薪酬政策的合规指引,公司应相应的在合规政策和体系中进行调整,以最大程度的避免自身的合规风险。
美国是企业合规管理一个绕不开的重要话题。无论企业是否在美国经营、是否与美国企业有来往、甚至是否以美国金融系统作为结算方式等都有可能因其“长臂原则”而受到管辖。因此,美国ECCP对中国企业自身合规体系建设也有较高的参考价值。我们也可以借鉴美国ECCP中的有益部分来完善我国的合规有效性评价。
脚注:
[1] JM 9-28.300.
[2] JM 9-28.800和JM 9-28.1000。
[3] 见《美国刑法》U.S.S.G.第8B2.1、8C2.5(f)和8C2.8(11)条。
[4] U.S. Department of Justice Criminal Division Evaluation of Corporate Compliance Programs (Updated March 2023)
[5]https://insightplus.bakermckenzie.com/bm/attachment_dw.action?attkey=FRbANEucS95NMLRN47z%2BeeOgEFCt8EGQJsWJiCH2WAUuQVQjpl3o%2BRLAMTvRbfhD&nav=FRbANEucS95NMLRN47z%2BeeOgEFCt8EGQbuwypnpZjc4%3D&attdocparam=pB7HEsg%2FZ312Bk8OIuOIH1c%2BY4beLEAeERGnp76ZtFE%3D&fromContentView=1
[6]https://www.justice.gov/opa/speech/assistant-attorney-general-kenneth-polite-jr-delivers-keynote-aba-s-38th-annual-national