2019.05.07

|

更新

海外资产控制办公室 (OFAC) 是一个隶属于美国财政部的政府机构,负责按照美国国家安全和外交政策管理和执行针对外国政府、个人、组织和实体的经济制裁计划。

OFAC 之前未曾针对一份有效的制裁合规计划(以下简称 SCP)的基本要件发布过任何指南。而现在发布了这样一份指南。具体而言,2019 年 5 月 2 日,OFAC 发布了题为 “OFAC 合规义务框架”(A Framework for OFAC Compliance Commitments)的指南(以下简称 OFAC 框架)。

OFAC 框架和执法指引

OFAC 框架明确确定了该政府机构对于一项有效的 SCP 的期望。鉴于 OFAC 在其执法裁决中对有效的 SCP 的重视,包括裁定民事处罚的数额,处理国际业务的公司应当考虑是否更新其 SCP 以符合 OFAC 的标准。

OFAC 承认,基于风险制定的 SCP 会因各种因素而异,包括公司的规模和复杂程度,产品和服务,客户和交易对手方,以及地理位置。然而,该政府机构指出,每个 SCP 应当至少包含五个合规的基本要件:(1)管理层义务;(2)风险评估;(3)内部控制;(4)测试和审计;以及(5)培训。OFAC 框架对这五个要件一一进行了详细阐述。

此外,该政府机构重申其经济制裁执法指引(以下简称指引)规定,违规行为发生时如果具有一份有效的 SCP,将被视为重要的减轻情节,以及,在适当的情况下,OFAC 可将在明显违规行为发生时是否具有一份有效的 SCP 作为该案是否被认定为“极其恶劣”的考虑因素。按照该指引,如果 OFAC 裁定明显违规行为并非极其恶劣,那么通常会导致民事罚款大幅减少。该政府机构表示,按照该指引,完全纳入 OFAC 框架的 SCP 最有可能减轻处罚。

OFAC 框架包含一份附录,其中列出了违反制裁的十项根本原因。该机构建议所有受美国管辖的公司应当审阅 OFAC 发布的和解协议,并酌情重新评估并改进其 SCP。

合规的五个要件

OFAC 框架阐明了合规的五个要件。下面我们将针对该政府机构对每个要件的关键点进行概括。

1. 管理层义务

OFAC 认为高级管理层义务是决定 SCP 成功与否的一个关键性因素。该因素包括以下要素:

  • 高级管理人员已审阅并批准了该组织的 SCP。

  • 高级管理人员确保其合规部门具有必要的权限和自主权,并在 SCP 负责人员和高级管理人员之间建立直接的汇报关系。

  • 高级管理人员确保该合规部门获得与公司整体风险状况相称的充足资源,包括:

    • 任命一名专职 OFAC 制裁合规官。

    • 确保公司的 SCP 人员了解并具备与 OFAC 监管计划相关的专业知识,并且拥有将 OFAC 要求应用于复杂金融和商业活动的能力。
  • 高级管理人员在公司内部推广“合规文化”,包括:
    • 允许员工向高级管理人员报告违反制裁的行为而不必担心遭到报复。
    • 阻止明令禁止的行为,并强调不遵守 OFAC 制裁而可能受到的影响。
    • 为 OFAC 制裁合规之目的,监管整个组织的 SCP 情况。
  • 高级管理人员证明其对明显违反 OFAC 要求的行为或未能遵守 SCP 要求之严重性的重视。
  • 高级管理人员采取必要措施以减少违规行为的发生,包括解决过去明显违规行为的根本原因以及系统性措施。

2. 风险评估

制裁合规中的风险是潜在的威胁因素,这些因素如果被忽略便会导致违反制裁的行为。OFAC 承认没有一套“放之四海而皆准”的风险评估,但它表明风险评估应当包括对整个组织的审查,并确定其与受制裁个体、国家或地区接触的潜在领域。这意味着包括对以下方面的评估:(1)客户、供应链、中间商和交易对手方;(2)公司提供的产品和服务;以及(3)公司及其客户、供应链、中间商和交易对手方的地理位置。

  • 公司应以适当的方式和频率进行风险评估,以充分说明潜在风险和公司发现的任何缺陷的根本原因。该评估应当运用现有信息,并且风险评估通常应在关系进行和交易中的各个阶段告知尽职调查的范围,包括在客户引导以及并购交易中。
  • 公司应制定一项用以识别、分析和处理已确定风险的方法。应当更新风险评估以说明公司查出的明显违规行为或系统缺陷。

指引的附件提供了一个风险矩阵,公司可将其用于评估自身的合规计划。

 

3. 内部控制

一项有效的 SCP 应当包括内部控制,以识别、禁止或报告明显的违规行为,并保存相关记录。该内部控制应概述期望,定义OFAC合规程序(包括报告和升级流程),以及降低风险评估中查出的风险。该内部控制应当反映对OFAC关于制裁个人和公司的名单的更新;美国政府对目标国家、政府、地区或个人实施的新的禁止规定;以及对OFAC发布的一般许可的更改。此外,该公司应当:

  • 制定与该组织相关的书面政策和程序,且该政策和程序满足该公司日常运营的需求,易于遵守,且旨在防范员工的不当行为。
  • 实施恰当解决OFAC风险评估结果的内部控制,并使公司能够识别和报告OFAC明令禁止的行为。
  • 选择并调整解决公司风险状况和合规需求的信息技术解决方案,并定期测试这些解决方案以确保其有效性。
  • 通过内部和/或外部审计审查其OFAC程序。
  • 维护符合OFAC要求的记录保存程序。
  • 了解到薄弱环节后,立即采取有效措施执行补偿性控制,直到导致薄弱环节的根本原因可以得到纠正。
  • 将SCP程序明确地传达给所有相关人员,包括在高风险地区工作的监管人员和业务部门,并且传达给代表该公司执行SCP程序的外部各方。
  • 任命人员将SCP程序整合到公司日常运营中。

4. 测试和审计

应当进行审计以评估当前SCP程序的有效性,并且确定SCP薄弱环节和缺陷。公司有责任改进其合规计划以弥补合规方面的漏洞。改进可以包含更新SCP内容以应对变化中的风险评估或制裁环境。可以对SCP特定内容进行测试和审计,或在整个企业范围内实施测试和审计。

公司应当采取与其风险评估及其SCP级别和复杂程度相适应的测试或审计程序,并且确保审计组对高级管理人员负责,且在组织内部拥有足够的专业知识、资源和权限。

5. 培训

一项根据公司风险状况定制的,并且涵盖适当人员的合格的培训计划对SCP的成功而言至关重要。每年应当至少举办一次培训,并达成以下目标:(1)提供与工作相关的知识;(2)传达每个员工的合规责任;并且(3)通过评估使员工对制裁合规培训负责。

此外,公司应当:

  • 确保OFAC培训计划为员工和利益相关方(如适用)提供足够的信息和指导,以支持组织的OFAC合规工作。
  • 为高风险员工提供定制化的培训。
  • 提供适合其产品和服务;其用户、客户和合作伙伴;及其经营所在地区的培训。
  • 根据其风险状况提供适当频率的培训。
  • 当了解到程序中存在薄弱环节时,为相关人员及时提供培训以进行纠正。
  • 确保其培训计划包括所有适用人员均可获得的资源和材料。

 违反 OFAC 制裁的根因

OFAC 框架包括一个附录,该附录中根据 OFAC 先前的行政行为确定了十项违反 OFAC 制裁合规规定的根本原因:

  1. 缺乏一份正规的 SCP。
  2. 误解,或未能理解 OFAC 规定的适用性。
  3. 为非美国个体(包括由海外子公司或附属公司)进行的交易提供便利。
  4. 向 OFAC 制裁的个体或国家出口或再出口美国的产品、技术或服务。
  5. 利用美国金融系统与 OFAC 制裁的个体或国家进行商业交易。
  6. 制裁预检软件或过滤机制出现问题。
  7. 对用户/客户的不当尽职调查(例如:所有权、商业交易等)
  8. 分散的合规职能以及 SCP 应用的不一致。
  9. 利用非标准的支付或商业做法。
  10. 可能导致个人责任的关键员工的错误行为。

结论

如上所述,OFAC 框架明确确定了该政府机构对于一项有效的SCP的期望。鉴于 OFAC 在其执法裁决中对有效的 SCP 的重视,包括裁定民事处罚的数额,处理国际业务的公司应当考虑其 SCP 是否符合OFAC的标准,如不符合,应当修改 SCP 使其满足 OFAC 的要求。

© 2019 Perkins Coie LLP