OFAC合规承诺框架：确保企业合规

2019年5月2日，OFAC发布了《OFAC合规承诺框架》（A Framework for OFAC Compliance Commitments，以下简称《承诺框架》），向受美国司法管辖的实体提供一个制裁合规计划（Sanctions Compliance Program，SCP）基本组成部分的框架。受美国司法管辖的实体包括美国实体以及业务与美国存在连接点的非美国实体，其中，业务与美国存在连接点主要包括开展业务时在美国，或与美国人开展业务，或开展业务时使用了源自美国的产品或服务。《承诺框架》介绍了OFAC如何将这些基本组成部分纳入其对违规行为的评估以及调查中去。OFAC鼓励受美国司法管辖的实体采用风险为本的方法来建立、实施和定期更新SCP。OFAC认为，尽管每一个风险为本的SCP都会因企业的规模和复杂程度、产品和服务、客户和交易对手以及地理位置等因素而有所不同，但是，每一个SCP都应该至少包括以下五个组成部分：管理层承诺（Management Commitment）、风险评估（Risk Assessment）、内部控制（Internal Controls）、测试和审计（Testing and Auditing）以及培训（Training）。另外，OFAC表示，在决定通过民事罚款的方式了结违规行为时，OFAC将考虑哪些因素作为和解协议的一部分纳入受罚对象的SCP中。

（一）SCP的五个基本组成部分

1.管理层承诺

OFAC认为，高级管理层（Senior Management Commitment）^[8]对风险为本的SCP的承诺和支持是决定SCP能否成功的最重要因素之一；高级管理层的支持对于确保SCP获得足够的资源并将SCP完全整合到组织的日常运营中至关重要，高级管理层的支持还有助于使SCP合法化，有助于合规人员获得相应的授权，有助于在整个组织中培养合规文化。OFAC认为，有效的高级管理层的支持应包括以下五个方面：一是高级管理层已审核并批准了SCP；二是高级管理层应确保给予合规部门足够的授权和自主权，以建立有效的政策和程序来控制公司的制裁风险；三是高级管理层应采取措施确保合规部门获得与企业的业务范围、目标市场以及总体风险状况等相匹配的资源，包括合规人员及其专业能力、信息技术以及其他适当的资源；四是高级管理层应在企业推动合规文化建设；五是高级管理层应认识到企业及其员工没有执行SCP或执行SCP存在不足等问题的严重性，更应认识到违反美国经济制裁法律法规的严重性，进而执行必要的措施减少违规行为的发生，这些必要措施必须能够解决产生违规行为的根源，并在可能的情况下提供系统性的解决方法。

2.风险评估

OFAC建议企业采用风险为本的方法设计或更新SCP。风险为本的方法的主要原则之一是企业进行例行的、在适当的情况下进行持续的风险评估，以识别可能遇到的潜在制裁合规问题。风险评估的目的是识别潜在的制裁风险，进而帮助企业做出风险控制决策。OFAC认为，尽管没有“一招鲜”的风险评估方法，但是，风险评估通常应包括对企业进行自上而下的整体评估，并评估企业与外界的连接点。OFAC建议，企业可以从以下三个方面进行风险评估：一是客户、供应链、中介机构和其他交易对手；二是企业提供的产品和服务，包括本企业的产品和服务如何以及在何处融入其他机构的产品、服务、网络或系统中；三是企业及其客户、供应链、中介机构和其他交易对手的地理位置。在企业并购过程中，特别是并购的企业是非美国企业时，进行风险评估和制裁相关的尽职调查至关重要。

3.内部控制

OFAC认为，有效的SCP应包括内部控制措施，以便识别、防止以及视情况报告被禁止的活动；内部控制的目的是清晰地界定目标，明确制裁合规相关的程序和流程，并使企业风险评估所确定的风险最小化；内部控制包括政策和程序，政策和程序应得到有效执行，内控缺陷应被识别并被纠正，企业还应定期对制裁合规计划进行内部或外部审计。鉴于美国经济制裁法律法规不时发生调整，OFAC认为，成功和有效的SCP应能够快速适应政策的变化，应包括以下内容：及时更新制裁名单；及时跟踪评估落实新的制裁措施、新的指导性文件等；及时跟踪评估落实新的一般许可。OFAC对于内部控制的具体要求包括：（1）企业已经设计并实施了概述SCP的书面政策和程序，这些政策和程序与企业日常运营相关，易于遵循，旨在防止员工从事不当行为；（2）企业根据制裁风险评估情况执行了内部控制措施，这些内部控制措施应使企业能够识别、防止、报告被禁止的行为；（3）企业通过内部或外部审计来实施内部控制政策和程序；（4）企业确保制裁合规相关资料得到有效保管；（5）企业确保内控缺陷被识别，并被纠正；（6）企业已清楚地向所有相关员工及外部相关方传达了SCP的政策和程序；（7）企业已安排相关人员将SCP的政策和程序整合到日常运营中去。(www.xing528.com)

4.测试和审计

审计会评估当前流程的有效性，并核查流程与日常运营不一致的地方。OFAC认为，全面而客观的测试或审计可确保企业识别控制程序存在的缺陷，使企业意识到制裁合规计划在什么地方以及如何进行优化，使企业能够根据外部环境的变化调整SCP。OFAC对于测试和审计的具体要求包括：（1）企业承诺确保负责测试或审计的部门和人员对高级管理层负责，独立于业务和其他职能部门，负责测试或审计的部门和人员在组织内具有足够的权限、专业知识和资源；（2）企业承诺采用适合其SCP复杂程度的测试或审计程序，并确保测试或审计反映了企业制裁风险评估结果和内部控制状况；（3）企业应确保在得知已确认的负面测试结果或与其SCP有关的审计发现后，将尽可能采取及时有效的补救措施以解决存在的问题。

5.培训

OFAC认为，有效的培训计划是成功的SCP不可或缺的组成部分，应定期（至少每年一次）对所有相关人员进行培训，企业在培训时，应根据需要传授专业知识，应向每位员工传达制裁合规责任，培训后应通过评估使员工对制裁合规培训成效负责。OFAC对于培训的具体要求包括：（1）企业承诺确保制裁合规培训计划向员工以及利益相关者，如客户、供应商、业务合作伙伴和交易对手，提供足够的信息和指导，应针对企业内的高风险员工量身定制培训计划；（2）企业承诺提供的制裁合规培训范围与其提供的产品和服务，企业的客户、合作伙伴，以及其运营所在的地理区域相适应；（3）企业承诺根据其制裁风险状况，以适当的频率提供制裁合规培训；（4）企业承诺在发现内控缺陷后采取对相关人员进行培训以及其他补救措施；（5）企业的制裁合规培训计划应包括适用于所有相关人员且易于获取的资源和材料。

（二）SCP对OFAC处罚的影响

在所有执行案件中，OFAC将以符合《执行指引》的方式评估受罚对象的SCP。在具体执行时，如果受罚对象拥有有效的SCP，那么OFAC会予以考虑，比方说，在根据《执行指引》评估第五个一般因素“合规计划”时，OFAC可能会考虑受罚对象是否制定了SCP以及SCP的性质和充分性，适当的时候，OFAC可能会在此基础上减少民事罚款。如果受罚对象执行了有效的SCP且SCP导致受罚对象采取了补救措施，OFAC可能会根据《执行指引》中的第六个一般因素“补救措施”进一步减少民事罚款。最后，在适当情况下，OFAC可以将受罚对象是否建立有效的SCP的存在作为OFAC评估违规是否属于恶意的一个因素。