陈永惠(Hui Chen) 尤金·索缇斯(Eugene Soltes) | 文
蒋荟蓉 | 译 刘筱薇 | 校 万艳 | 编辑
美国富国银行虚开上百万个涉嫌欺诈的银行账户;大众汽车尾气排放等级整体造假;巴西国家石油公司贪腐严重,对巴西政府和经济都造成了损害。前几年这些大型企业的丑闻屡屡登上新闻头条,还有其他许许多多的公司尚未充分渗透全球意识。根据美国注册舞弊审查员协会(Association of Certified Fraud Examiners)的记录,近半数欺诈案件没有公开报道,而企业由于欺诈损失的年收入接近300万美元。另外,安永2016年全球欺诈调查涵盖了近3000名高管,其中42%受访者表示,自己会为了达到财务目标而容许不道德行为。显然,如今私营企业中的不法行为依然难以杜绝。
公司为合规工作耗费大量资源,采取了开展培训项目、设立举报热线等各种方式,甄别和避免违反法律法规及公司政策的行为,不当行为却依然普遍存在,这个事实令人吃惊。跨国公司每年平均为合规工作花费数百万美元,而在金融服务和国防等管控程度较高的行业,合规成本可能达到千万乃至上亿美元。这类评估结果,依然远低于合规工作真正的成本,因为培训及其他合规活动每年都会耗费公司员工几千小时时间。
付出了巨大且仍在逐渐增长的合规成本,却看不到明显的回报,许多高管对此感到沮丧, 却仍在继续投入——不是因为他们相信一定有回报,而是担心投入不够导致公司陷入不利局面。员工也常常对合规项目不满,觉得只是走过场的培训,每每敷衍了事。我们认为,这样的支出和不满其实都可以避免。
我们深切了解各方对合规的看法及相关问题。本文作者之一陈永惠曾是美国司法部(DOJ)第一位、也是唯一一位合规咨询顾问,任职时间为2015年11月至2017年6月,其间为检方针对受调查公司合规工作的评估提供建议。另一位作者索缇斯任教于哈佛商学院,研究了公司法律总顾问和合规官员在确认合规项目成果、向组织其他人解释项目益处的时候遇到的障碍。我们深知,合规的价值必须进一步向公司领导者及员工阐明。
我们相信,关键在于改进评估方式。这项工作的核心重点很简单:有了好的评估方法,公司才能设计出好的合规管理方式。合适的评估方法有助于刺激许多公司构建精益程度更高、效果更好的合规项目。简言之,好的合规评估可以带来好的合规管理。
如何做到这一点
合规项目是如何变成了现在的状况?要理解这一点,我们先回溯此类项目的源头。20世纪70年代到80年代,美国发生一系列公司丑闻,业内组织联合起来,调整了内部的政策和流程,以期避免不当行为。这类措施意图对出现不当行为的公司进行严格监管和严厉处罚。自我监督可以避免外部监管产生的成本和破坏,因此获得公司领导者的青睐,并且减轻了监管者的监管压力。许多人相信自我监督可以有效遏制不当行为。
这些预期的利益促使美国量刑委员会(USSC)在1991年修订了其准则,新的准则规定,违规公司只要能够证明本公司有“有效的合规项目”,就可以大幅减少罚款。DOJ高级官员随后发出一系列通知,督促检方提起刑事指控之前评估公司合规项目的有效性。这一举措是为了鼓励公司加强管控,同时避免公司被部分违规员工牵连。美国证监会、健康与公众服务部(Department of Health and Human Services)以及环境保护局(Environmental Protection Agency)等监管部门同样采用了这种软硬兼施的合规监督方法。
提供合规培训项目、举报热线和风险评估的行业迅速兴起。美国任何大公司,乃至向美国的银行融资的外国公司,都难以忽视不设合规项目的巨大风险。英国、巴西和西班牙等其他国家也开始立法,在执法时将合规纳入考量。
许多公司领导者认为,合规管理就像一种昂贵的保险,是为了避免最坏的情况发生。员工被要求在长长的行为准则上签名,证明他们了解公司政策,另外还要参加有关隐私、内部交易和行贿受贿等主题的培训。然而员工对待这种毫无特色的培训,只想着完成培训结束时的测验就好,不会再多投入精力。即使公司每年投入数百万美元,合规项目却依然浮于表面。
2012年,DOJ向摩根士丹利(Morgan Stanley)员工加思·彼得森(Garth Peterson)提起刑事诉讼。起诉文件称,针对他的不当行为(贿赂政府官员),他本人参加过7项合规培训,收到了35次相关通知。这些合规项目对他影响不大,他觉得只是走过场。按照他的说法,“公司发的通知邮件,你可以看都不看,直接删掉。通过电话会议开展的培训项目,你不用认真听,只要拿起听筒说‘我在听电话’,他们就会给你的名字打钩,算你过关了,这时候你可以把电话挂断,或者把听筒放到旁边,去做别的工作。”
DOJ发现,公司投入大量资源打造的合规项目可能虚有其表。2008年,DOJ修订了《联邦政府起诉商业组织的原则》(Principles of Federal Prosecution of Business Organizations),特别要求检方“确认企业的合规项目是否经过妥善且有效的设计、实行、审查和修订”。同年西门子被起诉,罚款高达8亿美元,史无前例,控方多次表示,西门子的合规项目形同虚设。
检方一再发现,公司合规项目若不奏效,号称做了多少工作都不算数。然而有实质内容的项目和虚有其表的项目往往难以区分,因为评估项目成果需要投入大量时间,还需要专业人士参与。彼得森一案,DOJ决定不起诉摩根士丹利,被视为对摩根士丹利合规工作(多个培训项目,规范的举报热线,员工行为规范认证)的认可。然而彼得森说政府“欺骗公众,明知摩根士丹利员工根本没有在意那些合规内容,却声称该公司合规项目毫无问题”。
2015年秋,DOJ聘请陈永惠应对公司合规项目效果的评估难题。工作伊始,陈永惠发现许多项目都有问题。公司例行公事地制定政策和流程,着重监督财务系统,却无法证明对这类政策、流程和监督进行过检验,也没有追踪和统计违规行为。举例来说,公司可能会提出某个年代久远的内部检举项目,但并没有员工对该项目利用率的信息。公司一般还会声称已经针对有不当行为的员工开展过多次培训,殊不知以这种方式为本公司的合规工作辩护显得非常讽刺。
陈永惠的任务是考察合规工作有效性,她起草了长长的问题列表,供检方评估合规项目时参考。问题涵盖了合规领域的各个方面,如培训(“公司通过何种分析,确定应当接受培训的人员以及培训内容主题?”)、个人责任(“管理者是否为自己下属的不当行为负责?”)和领导(“董事会能够就合规提供怎样的专业意见?”)。DOJ于2017年2月公开发布了这组问题,题名为“企业合规项目评估”。
这组问题的用意不在于作为检查清单,而是列出“欺诈调查部门在评估企业合规项目时经常涉及的一些重要主题及样题”。在实际应用中,评估应当根据对象公司的情况进行调整。可是,索缇斯在当时与管理者和公司法律顾问的交流中发现,公司很快将这组问题作为开展有效合规项目的参考指南。管理者以为,只要能回答所有问题,就能确保自己所在公司达到DOJ的要求。更糟的是,索缇斯发现,公司不对照问题寻找项目短板,而是刻意选择部分数据证明本公司的合规工作有效。
例如,DOJ给出的一个问题,问公司如何评估培训的质量和成效。德勤与Compliance Week开展的一项调查显示,最普遍的方法是评估完成率,如果完成培训的员工达到一定比例(可能是90%或95%),就认为培训效果良好。然而这样的标准既没有反映培训质量(培训内容的适用性和价值),也无法说明培训效果(员工学会了多少东西可以应用在实际工作中)。
依赖完成率,不是因为这个标准被证明是衡量项目成功与否的“正确方法”,而是因为公司的目的只是向监管者证明,培训做过了,任务完成了。的确有一些公司向员工提供了合规的有效导引,但我们看到更多的公司自欺欺人,好像培训做完就完事了。
公司继续为合规耗费大量资源,一个主要原因就是缺乏合适的评估标准,不知道什么有效、什么无效。在许多公司,加强合规工作等同于聘请更多的合规管理者、购买更复杂的软件、制定更多政策,哪怕这些措施纯属多余,毫无效果,也会继续这样做。
评估标准的歧路
根据德勤与Compliance Week的调查结果,只有70%的公司尝试评估合规项目效果。而在为此采取了实际行动的公司中,仅有1/3表示对采用的评估标准“有信心”或“很有信心”。2017年年初,美国健康与公众服务部召开会议,意图制定标准,帮助医疗机构更好地评估其合规项目的有效性,最终得到的报告详细列举了550多个指标。报告指出,任一机构只须参考其中一部分,根据自身具体业务及风险概况而定。给定的指标这么多,要确定哪一种情况下应当采用哪些标准仍然是个难题,多数公司很难妥善把握。
在尝试对项目成效进行定量分析的过程中,一些类似的错误一再发生。以下是几个常见问题:
评估指标不完整。DOJ和USSC给出的指南,希望有效的合规项目能够让个人对违规行为负责。例如DOJ给出的文件中有这样的问题:“公司是否由于受到质疑的不当行为解雇或约束员工?”“整个组织的奖惩措施是否公正、一致?”公司为了明确员工个人责任,常常给出由于相关违规行为而被解雇或失去晋升机会和奖金的员工名单,但这不足以证明公司严格地问责到个人,因为并未给出没有因违规而受罚的员工数目。公司处罚了5个人,实际违规的究竟是这5个人还是有50人,两种情况不一样。我们发现,公司处罚层级较低、潜力较低的员工,庇护高收入员工和高管。因此,只给出受罚员工的信息,可能并不完整,而且有误导性。
评估指标无效。评估时会收集合规项目各个方面的许多数据,但其中只有一部分与项目效果相关。如上文提到的,对DOJ给出的问题“如何评估培训效果”,公司往往强调完成培训项目的员工比例,或员工用于参加培训的时间长度。这样的评估标准完全没有用。完成率也许可以用于追踪其他目标的完成情况,但衡量有效性的指标必须与项目成果直接相关,例如员工展示出对政策及流程的理解、习得应对特定情况的实用技能,或自身行为有所改变。
再例如,公司为了证明管理层大力投入合规工作,给出高管支持合规的发言数量。但如果调查发现员工并不信任管理层,认为举报会遭到报复,那么这个指标也是无效的。
误认为法律问责就是合规。合规政策具有重要的法律作用,但强行将合规政策变为一种法律,会影响它对员工行为产生积极影响的能力。比如这个问题:“公司如何评估相关政策及流程是否得到有效执行?”公司对此的回应通常是出示员工签名的声明,表示员工已经阅读并理解了公司政策及行为准则。这种措施可以为解雇违规者提供法律依据,但并不能表明员工将自己获得的有关政策的信息转化融入了日常工作。想一想,我们是不是都会本能地接受合同上的法律条款,尤其是我们无权谈判的条款?员工即使不完全理解公司政策,乃至没有通读,也会签名表示知悉。
再者,因为政策以法律、技术用语写成,也可能是因为信息密度大,员工难以理解。也可能公司内部存在一种共识,认为政策不一定要遵守,具体问题可以具体分析,灵活变通。因此,让员工像认同法律一样认同公司政策,并不是量化合规项目成果的好方法。
自我陈述、自我选择造成的偏差。合规管理者通常依赖调查来评估项目效果。例如,要评估员工对报告机制的利用程度,公司会提出问题:“你是否知道何时须寻求合规建议?你是否愿意寻求合规建议?”调查的问题在于,得到的结果出自参与者的自我陈述和自我选择,可能含有偏差,导致管理者得到错误的结论。举例来说,看到欺诈行为的员工,可能不想“出卖”同事,不回答相关问题,导致结果不够准确。与之类似,高管和涉及不当行为的人可能不太愿意参与调查。因此,在应用这类信息作为评估标准时,要考虑偏差的影响。
将合规项目与目标联系起来
那么,如何建立能够有效评估合规项目影响的模型?第一步是要认识到,这类项目其实有多个目标。DOJ高级官员的许多通知中给出了三个主要目标:避免不当行为,发现不当行为,让公司政策与法律和各种规章制度一致。合规项目的各部分应当与这几项目标一一对应。例如,培训用于避免不当行为,举报热线用于发现不当行为,行为规范则是要让员工行为符合公司政策及其他相关法规。虽然各项合规工作可能有所重叠,相互影响,但明确各项工作的目标可以帮助管理者制定更有意义的评估标准。
考虑保密举报热线。设置保密热线的目的是进一步及时发现不当行为。要了解其效果,须收集几个方面的信息,如热线是否可用(匿名测试报告),是否有人在用(使用数据),人们如何使用(接到电话的类型信息),公司对举报的回应(回应时间、调查完成时间、调查结果、调查结果的传达),员工是否愿意拨打热线(针对员工态度的定期调查)。这些评估标准每一条都能反映其效果的一个维度。
可是,只追踪这些变量是不够的,管理者无法判断各个变量对应的效果。比方说,举报热线火爆,可能意味着问题增加,也可能只说明员工很愿意打这个电话。管理者可以用多元回归分析来区分。回归模型让调查者得以在控制其他各个条件的情况下考察某一变量的影响。要确认举报热线收到的电话增加是否说明违规情况增加,可以设法控制热线电话可用性、员工拨打热线的意愿、热线电话运营表现、可能拨打电话的人数等变量。设计合用的回归模型需要时间和经验,但要确认电话数量的变化是好事还是坏事,回归分析是最可靠的方法。
再拿合规培训举例。合规培训的目的是帮助员工把相关规章制度运用于实际工作,从而避免不当行为。培训结束后测试员工对规定的了解程度,并不足以说明培训的有效性。员工对培训内容有深入的理解,可能是培训的作用,也可能只是员工原本的知识储备。因此公司必须在培训前后分别测试,如果差别不大,就说明培训可能并不必要,或者需要继续完善,提升员工参与度,提高培训效率。
当然,培训的目的不只是加深员工对制度的理解,还要向员工灌输和提倡正当行为。这里也可以利用回归模型来了解培训和员工行为改变之间的联系。管理者可以控制其他变量,检验培训对个人违规行为的影响。
参考以上的例子,公司应当利用合规项目中的实际数据,判断项目是否达到目标。在此需要再度强调,公司不能只是单纯地记录用作指标的数据,必须建立模型,在控制或排除其他因素影响的情况下检验成果。
以往公司可以拿出并不完全符合合规目标的评估标准,尝试证明项目起到了应有的效果,可是标准和风险都在变化,检方、法院和监管者对证据的要求越来越严格。公司必须有能力拿出更好的数据和模型,证明其合规项目的有效性,而只有具备了准确衡量项目成果的能力,才能做到这一点。
合规项目测评
一些公司愿意为合规及伦理项目投入大量时间和资源,是因为觉得这类项目对于长期成功起着至关重要的作用。但我们要考虑实用性。我们知道,公司资源有限,需要分配资源的地方太多了,而合规工作往往是在对于监管和责任的忧虑驱使下开展。对监管的关注,正是公司需要认真对待成果评估的原因。针对合规项目的审查越来越严格,没有实际效果的项目势必达不到现今的监管标准。说白了,假如公司只是让员工参加了反腐败培训课程,检方、法院和监管者不会认同该公司具备有效的合规项目。
许多公司依然把合规视为法律事务,其实合规更像是一种行为科学。公司法律顾问也许不同意这个定义,但合规项目要想取得成效,管理者必须检验其中各个因素是否有用。这需要公司进行一些实验和创新。行为规范应当清晰地表达出公司赖以成功的政策。举报热线不只要记录有关不当行为的报告,更应当帮助员工在出现不当行为之前设法解决难题。有了更好的衡量措施,公司才能发挥创意构建更大的项目,真正抑制不当行为。
如今的商业监管十分复杂,公司很难理解并履行相应的法律和道德义务也并不奇怪。公司合规项目有效与否,并没有普遍适用的衡量标准。单一的评估指标无法充分表现一个项目的有效性。成功的合规项目测评,需要创意、测试和谨慎的模型设计,以便恰如其分地评估项目成果。
世界各地的公司都为合规投入巨大。要确定投入的资源都能获得高效的运用。改进评估方式,可以帮助管理者发现应当替换或削减的无效工作,最终找到机会,提升合规项目有效性。
陈永惠是前美国司法部合规顾问,现在为全世界政府监管部门和公司提供道德伦理及合规咨询。尤金·索缇斯是哈佛商学院工商管理学Jakurski Family教席副教授,专攻企业不当行为研究。