随着公司合规在全球范围内的深入发展，有关思科公司（Cisco Inc.）披露在其季报10-Q法律事项下的一则注释将美国反海外腐败法（Foreign Corrupt Practice Act “FCPA”）再次推向公司合规的聚光灯下。思科公司主动向美国证券交易委员会（Securities and Exchange Commission “SEC”）披露“其正在调查一起有关涉及前员工在中国的密谋侵占（Self-enrichment scheme）计划。这些前雇员被指称直接或指示向包括国有企业员工在内的第三方支付款项。思科公司已主动向美国司法部（U.S. Department of Justices“DOJ”）和SEC披露了该项调查。调查的结果尚未确定，但预计调查结果不会对公司合并财务报表、经营结果和现金流产生重大不利影响。”

上一次华尔街上市公司披露与其中国业务有关的FCPA调查是在2020年9月，Pactiv Evergreen Inc.在其首次公开发行股票（IPO）的注册文件中披露，“在Pactiv Evergreen Inc.的上海公司业务中发现可能涉及违反 FCPA 的行为。在过去几年里，公司偶尔向中国的一家或多家国有企业和政府监管机构的雇员赠送小额礼品卡。上海公司可能通过外部中介机构与政府监管机构沟通以避免遭受可能的不利监管行动。” Pactiv发现这些违法行为的方式，极大可能是通过IPO申报过程中执行法律尽职调查和财务审计发现的。

FCPA禁止与美国有关联的公司向外国政府官员（Government Official）行贿以获得任何商业利益。FCPA对政府官员有着非常宽泛的定义，甚至包括国有企业的普通员工。在2020年中美贸易战时，由前阿尔斯通高管弗雷德里克·皮耶鲁齐著述的《美国陷阱》一书出版，该书描述的正是由于阿尔斯通在2014年在印尼获取业务时通过第三方行贿当地政府官员，而被美国司法部调查并起诉并最终支付高达7.7亿美金的罚款一事。

为什么公司需要对雇员，甚至是第三方代理人或中介、咨询机构的违法行为承担法律责任，以及受FCPA管辖的企业该如何有效管控第三方合规风险，本篇文章将为您一一解读。

一、英美法下Respondeat superior（雇主责任）法律原则的理论依据

在英美法下，公司因雇用的员工或雇佣的第三方代理人的违法行为承担责任，一般必须源自成文法的法律条文规定或普通法的判例。FCPA是一部成文法律，FCPA规定，无论针对证券发行者还是存在美国连接点的其他法人或自然人，涉及的违法主体可以包括“法人或自然人及其管理人员、董事、职员或代理人”。这样的规定来源于英美法中一项被广为接受的基本法律原则 - respondeat superior，即雇主责任法律原则。Respondeat superior来源于拉丁文，原意是“Let the master answer”。其最早应用于民事侵权，即要求雇主或被代理人（Principal）因雇员或代理人（Agent）在雇佣关系（Employment）或代理关系（Agency）范围内的不当行为承担赔偿责任。而英美法下代理人法律关系的定义是指，一个人（委托人/被代理人）委托另一人（代理人）代表委托人行事，但须受委托人的控制，代理人明示同意或以其他方式表示同意时产生的一种法律关系。

New York Central and Hudson River Railroad Company v. United States 是1909年美国最高法院确立Respondeat superior法律原则的著名案例。法院因代理人的违法行为而判处作为被代理人的组织机构承担替代责任（Vicarious Liability）。该案的被告是一家公司（纽约中央和哈德逊河铁路公司），其雇用的助理交通经理因在从纽约市运往底特律市的货物运输业务上向客户支付回扣而被定罪。下级法院确认被告公司有罪，认为“助理交通经理作为代理人在行使被代理人授权的订立运输费率的权力时，在被代理人的控制范围内，所以应该将他的行为归咎于被告，并对被告进行处罚。”被告向美国最高法院提出上诉，主张公司作为法律实体不应以其雇员的犯罪行为而承担责任。最高法院最终确认了下级法院的判决，认为“公司可以作为故意违反法律禁止行为的犯罪主体。公司可以因知道其代理人在赋予他们的权力范围内进行的违法行为而受到处罚。”

尽管当时这种应用“替代刑事责任”的理论遭到了普遍的批评，但直到今天，Respondeat Superior法律原则仍是有效的法律依据。在2009年United States v. Ionia Management一案中，美国联邦第二巡回法庭没有接受在Amicus Brief（法庭之友简评）中提出的关于公司不应该对员工不当行为负责的论点，并认定这种论点是“徒劳和无用的”。主审法官认为，“我们拒绝采纳这样的建议，即检方在主张确立公司的替代责任时，必须另外单独证明公司缺乏有效的政策和程序来阻止和发现其雇员的犯罪行为。即使员工违反明确指示且公司已建立有力合规计划，组织仍将对其代理人（包括低级别的雇员）的犯罪行为承担替代责任。”

二、第三方合规管控要点和手段

FCPA中的法律条款明确规定了公司或其他组织需要对员工、代理人的违法行为负责。即使成文法的发条中没有明确描述，英美普通法下的雇主责任原则也已得到法院的普遍认可和接受，所以公司若希望远离合规风险，不但要做好自身的合规工作，还必须以合理努力（Reasonable efforts）在第三方合规工作上尽职（Due diligence）。对第三方商业合作伙伴实施尽职调查程序是被广泛认可的最佳实践。但关键问题是如何才能证明尽到“合理努力”?尽职调查的要点和手段又是什么？

美国司法部反腐败局在2020年6月更新的《公司合规计划评估》（《合规计划评估》）中提到，“适当尽职调查的必要性和程度可能因公司规模和性质、交易和第三方本身而异。” 这实际提示了公司在进行第三方尽职调查时需应用风险评估的手段，而不应一概而论，比如通过第三方平台获取同样形式的尽职调查报告。通常，大多数企业已经有意识地在与第三方的商业合同中加入审计权条款，但实际执行可能往往流于形式。我们认为，除了执行通常会对商业交易的审计程序，包括穿行测试、抽样测试等，也应考虑对某些高风险第三方进行现场审计，尤其是对于高风险业务领域和地域。《合规计划评估》还明确提出检察官在评估公司第三方管理体系是否有效时需分析“公司是否确保有适当的使用第三方的业务理由。”公司业务支持职能，包括合规、法律理解业务已经是企业最佳管理实践的一项共识。合规官在同意使用某被合理业务理由支持的第三方或拒绝使用某显现警示风险的第三方时是否能有理有据，有时候是一个非常有挑战的问题。这不但需要业务部门的包容和接纳，使合规人员掌握了解业务的畅通渠道，还需要业务部门主动提示合规人员进入重大交易决策环节从而辅助业务决策。

综合以上分析，我们认为一个尽到“合理努力”的尽职调查体系需要考虑以下问题：

（一）以风险为导向，以商业交易实质，第三方特点为基础制定尽职调查方法。重点关注在高风险业务领域和地域的关键第三方作为实施进一步审计的对象。

（二）在利用全球著名的法律合规尽职调查公司提供的报告的同时考虑结合本地信用资讯平台。

（三）尽职调查不应仅局限在第三方的初始任用阶段，应基于公司业务变化定期对重大第三方进行重新评价。

（四）对重大第三方实施审计，审计手段包括远程对商业交易合同、发票等支持文件的审计，还应择机在第三方进行现场审计。

（五）确保合规人员理解业务的渠道畅通，对于使用第三方的重大、高风险业务活动，合规人员应参与业务讨论，辅助业务决策。

三、FCPA合规体系搭建的策略和框架

与企业内部控制体系不同，合规体系搭建标准并没有一个如同美国反虚假财务报告委员会下属的发起人委员会（COSO）发布的内部控制框架一样的统一标准体系。国际标准化组织（ISO）在2014年和2016年分别发布了ISO19600《企业合规管理体系》和ISO37001《反贿赂管理体系》。2020年6月，ISO19600的改版ISO37301《合规管理体系》的征询意见草稿已完成。其中ISO37001和将要与2021年第二季度正式发布的ISO37301可以进行认证。特别要指出的是，ISO 37301 框架预计将为合规体系建设创建一个全新的可认证的全球基准，改进企业组织执行合规的方式，并使被认证企业和组织有机会将认证结果展示给利益相关者（比如新客户）。

美国司法部自2017年初开始三次更新了上文提及的《公司合规计划评估》，每次更新的内容都反映出执法人员对被执法对象（即企业）在合规计划搭建过程中的深刻理解。这一系列指引提示了司法部在评估认定公司合规计划是否有效，以及能否获得宽大处罚时所关注的重点领域。美国公司违法后与检察官的诉辩交易十分普遍。尽管《合规计划评估》是由司法部下的刑事舞弊局执笔，并主要针对解决FCPA合规问题而编写，但这份指引仍可被用来洞悉哪些关键要素将使合规体系更加符合执法机关心目中的“有效性”。

2018年11月9日，国务院国有资产监督管理委员会（“国资委”）发布了《企业境外经营合规管理指引》，适用于中央企业。2018年12月26日，中国国家发展和改革委员会（“发改委”）也发布了《企业海外经营合规管理指引》（《发改委指引》）。这份《发改委指引》由国家发改委、外交部、商务部、中国人民银行、国资委、国家外汇管理局、全国工商联共同起草。按照《发改委指引》第2条的范围，该指引适用于中国境内企业及其境外子公司、分支机构和代表处、境外投资和对外承包项目。这一范围要比国资委发布的指引广泛得多。

企业建设合规管理体系的动机无外乎来自于两个方面，预防和抗辩。所谓预防，即防患于未然，防微杜渐，分析和应对合规风险，在企业合规风险与业务运营之间建立防火墙。所谓抗辩，即在企业一旦发生违规事项，特别是重大违规案件时，能将企业建立合规计划的努力转化为应对司法机关审查的抗辩证据。

我们认为，如果企业或企业集团的重大投资实体受制于美国法律的管辖，包括直接在美国证券交易所发行股票、债券或控股/参股公司存在美国连接点，那么比较安全的决策应以美国司法部的合规指引为主要参考，在搭建合规计划各要素的过程中站在执法机构的角度考虑并妥善留存记录，以备日后作为抗辩的证据，同时可适当结合和参考国际标准。如果企业经过律师评估目前或在可预见的未来完全不存在受制于美国法律管辖的可能性，那么企业可以根据其实际情况，在专业合规人员的指导下灵活运用三种不同的体系参考路径。

四、总结

合规工作有时充满不确定性，管控作为独立法律实体的第三方就是一个合规不确定性典型体现，但是企业又必须通过各种合规管理措施降低这种不确定性的程度。合规工作既要积极采取防御风险的行动，又要做好发生重大问题时的最坏打算。企业在合规管理上的投入需要花费成本，律师或合规专业人士在选择合规策略时一定要做好公司所涉业务所在法域的法律分析，使公司合规计划不但能防止风险发生，也能使公司在实际发生合规问题时减少损失，从而使合规计划无论是在预防风险中还是在风险发生时，都能游刃有余。

本文作者：

声明：