審計反賄賂計劃的方法（下）

曾繁榮

[摘要]2018年5月，國際內部審計師協會研究基金會出版了內審專家Hans Nieuwlands的專著《審計反賄賂計劃的方法》。該書總結了國際社會過去幾十年針對組織賄賂所采取的專項行動，分析了這些行動如何落實到對國家和國際組織都有重要影響的公約、法律和條例中，在此基礎上介紹了反賄賂計劃的設計，并給出一個審計反賄賂計劃的樣本程序。該書具有積極的參考作用，因篇幅較長，將其主要內容分為上下兩篇予以介紹，本篇為下篇。

[關鍵詞]審計? ? 反賄賂? ? 計劃? ? 方法? ? 反腐敗

（承上篇）

（五）監控合規

……

7.業務關系。每個組織都與諸多第三方進行業務往來。第三方是所有與組織有或將要有業務關系的個人或實體，包括合作伙伴、供應商、承包商、代理、顧問、說客和其他中介。聘請第三方會帶來風險，因為代表組織行事的個人或實體的不當行為可能導致組織承擔法律責任和名譽損害。此外，第三方可能支付組織賬戶中未反映的賄賂。因此，只有在與潛在第三方建立或修改的業務關系滿足內部誠信盡職調查要求時，才應與第三方建立或修改業務關系。

8.關聯的業務實體。一個組織通常有許多關聯的業務實體，如子公司、養老基金及其所控制的其他法律實體。這可能基于所有權或雙方之間的協議。反賄賂計劃應在組織有效控制的所有業務實體中實施。無論是否對業務實體進行有效控制，組織都應在建立關系時對業務實體進行適當記錄，合理和相應地開展反賄賂盡職調查。若相關業務實體的策略和實踐與企業的程序與原則相沖突，組織應采取適當行動，包括要求糾正實體計劃執行和制裁實施方面的缺陷。

9.合資企業和財團。在訂立合資、聯營或類似業務之前，應進行盡職調查。必須進行年度評估，以確定合資企業不斷變化的腐敗風險。在進行評估時，可考慮以下事項：一是合資企業所在國的一般腐敗程度。二是合資企業經營者的聲譽。三是運營商管理體系/合規計劃的設計及其有效性。四是集團在合資企業中的影響力。五是對合資企業進行審計/驗證。六是合資企業面臨的腐敗風險。當組織不能保證合資企業或聯營企業的計劃與自身相一致時，應制定計劃，在已發生或推斷發生了賄賂行為時采取適當行動，包括要求糾正合資企業或聯合企業在實施計劃、實施制裁或退出安排方面的缺陷。

10.特工、說客和其他中間人。組織應根據合同，要求其代理人、說客和其他中間人保存適當的賬簿和記錄，以便組織、審計人員或調查當局檢查。所有與代理人、說客或其他中間人達成的協議都需事先獲得高管和法律事務部門的批準。對中介的補償必須是合理的，并與其提供的（合法）服務成比例。合同中應包含第三方反賄賂條款和審計權條款。

11.供應商和承包商。采購和承包可能存在較高的賄賂風險。負責采購和承包的員工可能從供應商（特別是承包商）那里收受賄賂和回扣。為規避政策和程序，采購或合同部門的員工可能以犧牲其他供應商和承包商的利益為代價，偏袒某些供應商和承包商，如排除潛在供應商或承包商的競爭，或在競爭性投標過程中提供敏感信息。賄賂可以是現金或其他福利，如由供應商/承包商支付的貨物或假期旅行。合同應包括一項條款，即規定公司有權在違反與賄賂有關規定時實施制裁，包括終止合同。根據風險評估，應要求供應商保證遵守供應商行為準則。

12.合并和收購。公司與另一家公司合并或收購時，將因合同或不當行為而承擔大量責任。作為一般法律問題，公司與另一家公司合并或收購時，將由繼承公司承擔原公司的責任。繼承責任是公司法不可分割的組成部分，它通過重組等方式防止公司逃避責任。并購既是風險也是機遇。若公司在合并或收購前未進行充分的盡職調查，可能面臨法律或商業風險。為保護組織利益，迅速將其所有內部控制（包括反賄賂計劃）納入新組織是極為重要的。新員工應接受培訓，（新）第三方應根據組織的反賄賂計劃進行評估，還可考慮對新實體進行具體的合規審計。

13.盡職調查?；陲L險的盡職調查對第三方尤其重要，因為一些法庭案例表明，包括代理、顧問和分銷商在內的第三方，通常被用來在國際商業交易中隱瞞對外國官員的賄賂?？梢钥紤]下列指導原則：首先，作為基于風險的盡職調查的一部分，組織應了解第三方合作伙伴的資質和關系，包括其商業信譽以及與外國官員的關系（若有）。隨著危險信號浮出水面，應提高審查力度。其次，組織應了解將第三方納入交易的業務理由。除其他事項外，公司應了解第三方的角色和需求，并確保合同條款所執行的服務到位。其他考慮因素包括付款條件及其與該行業和國家/地區的典型條款的比較。此外，公司可能希望確認并記錄第三方工作實際履行的情況，使補償與其所提供的工作相稱。最后，組織應對第三方關系進行某種形式的持續監測，包括定期更新盡職調查、行使審計權利、提供定期培訓以及要求第三方提供年度合規證明。

14.禮物和款待。在許多國家，禮物是建立和加強關系的一種方式，這種關系對建立和維持業務至關重要。禮物種類繁多，從印有該組織標志的鋼筆等低級禮物到金表等貴重物品。禮物也可以是戲票，或者是完全付費的異國之旅。雖然這些可能沒有任何明顯的商業目的，但不相稱的禮物是被禁止的。真誠的款待、促銷或其他商業支出，旨在改善商業組織的形象，更好地展示產品和服務或建立友好關系。通常認為這是商業既定和重要的部分，并不認為是犯罪行為。但招待和促銷或其他類似的業務支出可能被用作賄賂。不過，多數國家并不禁止合理適當的款待促銷或其他類似的商業開支。組織應有適當的政策和程序，來確保所有的禮物、招待和費用都是真實的。

15.接受禮物。政策和程序應明確規定，禁止員工和任何其他間接為本組織工作的個人接受任何現金或任何其他形式的禮物。作為例外情況，如價值有限的促銷項目，應在行為守則中明確說明。有時很明顯地拒絕送禮會引起冒犯，而且送禮和接受禮物時并沒有明確或隱含的理解。行為守則應包括有關雇員在這些情況下應如何行動的指示，即如何報告所提供、接受或拒絕的禮物。

16.接受款待。在商業活動中，款待必須是習以為常、普遍接受、價值不高、沒有明確暗示的，才能接受。與此類款待有關的人員所產生的旅行、住宿和其他相關費用不應由主辦方支付，而應由其所在組織支付。

17.贈送禮物、款待或其他商務禮節。接受禮物的規則也應適用于送禮、款待或其他商務禮節。除通常印有公司標志的價值極低的促銷品外，為本組織工作的個人不得代表本組織送禮。在贈送禮物或款待之前，員工應事先與經理討論擬提議的禮物或款待，必要時還應與合規官員討論這些問題。在與公職人員打交道時必須特別小心，通常不應向他們提供任何禮物。

（六）人力資源（HR）

保持誠信文化需要積極和誠實的員工。人力資源部在制定有效的反賄賂計劃、招聘和培訓全體員工方面發揮著重要作用。在招聘階段，組織的誠信價值和反賄賂計劃應與應聘者公開討論。雇傭合同應包括一項條款，說明雇員應遵守該計劃。所有員工（尤其是新員工）都應接受反賄賂培訓，還應針對在賄賂風險高的地區工作的員工進行專門培訓。

此外，人力資源部還應明確檢舉程序，引起員工關注;應負責溝通潛在的違規制裁措施，在內部網或以任何其他方式公布實施的制裁，以提高對違反政策和程序后果的認識。

（七）培訓

培訓是反賄賂計劃有效實施的重要因素。應要求員工定期參加反賄賂培訓，確保各層級了解和執行組織的道德價值觀、反賄賂政策及程序。培訓可通過各種方式提供，如會議、課堂、電子學習和嚴肅的游戲。培訓旨在提高員工對反賄賂計劃的認識并提供額外指導，使員工識別和處理可能遇到的道德和賄賂問題，通過宣傳組織對腐敗的零容忍政策，降低員工從事腐敗行為的風險，防止個人和組織受到民事和刑事處罰。

需要明確的是，人力資源部應對培訓項目完成率進行監控，并通過事后測試參與者的知識來評估培訓質量。

（八）檢舉和尋求指導

熱線、舉報渠道旨在方便員工報告賄賂事件，提出對潛在賄賂的擔憂，包括可能對本組織產生消極影響的第三方的可疑不法行為，并尋求指導。由于有人揭發，許多賄賂丑聞浮出水面。

員工應意識到，他們有責任向高管報告任何違規行為或擔憂。懷疑和缺乏信任或害怕報復可能是一些雇員不敢舉報的原因。此外，當地文化可能讓員工對檢舉感到不自在。此時，可選擇匿名熱線。全天候舉報提高了監督效率。組織也應為員工提供熱線電話，以便他們就反賄賂計劃的應用尋求指導，或為改進程序和控制提供建議。組織應保護那些使用舉報或建議渠道的人，對報告的事件和關注事項的調查應由獨立于業務的高管開展。

（九）溝通

為使反賄賂計劃有效實施，內外部溝通至關重要。所有溝通渠道都可以用于此目的，包括互聯網、內部網、社交媒體等。解釋行為要點的動畫或視頻是一種通過社交媒體進行溝通的有效方式。

（十）內部控制和記錄

組織應建立和維持有效的內部控制體系以打擊賄賂，應保持準確的賬簿和記錄，適當和公平地記錄所有財務交易，并可供檢查;應定期審查內部控制制度（特別是會計和記錄慣例），以保證其設計和執行的有效性。

（十一）監控和修正

反賄賂計劃需保持有效。組織環境在不斷變化，并產生關于風險的新視角。例如，新立法、利益相關者的不同期望、并購和新合資企業將改變賄賂風險狀況。新視角要求對反賄賂計劃的充分性和有效性進行評估，并在必要時修訂。

此外，組織應建立反饋渠道來支持反賄賂計劃的持續改進。來自員工和第三方的反饋可能表明需要更新反賄賂計劃的政策和程序等，董事會應獨立評估計劃的充分性和有效性，并在年度報告中向股東披露結果。

（十二）與政府合作

向政府主動報告與賄賂有關的事件最符合組織利益。它表明了組織的良好意圖，也可能大大減少罰款。組織應制定政策，向有關當局披露重大賄賂事件，并在賄賂、腐敗調查與起訴方面予以配合。

（十三）獨立的保證

組織應對反賄賂計劃的設計、實施和有效性進行獨立保證。組織的內部審計職能可以提供這種保證，審計范圍應基于組織內賄賂風險高的領域。若內審人員參與了設計或實施，其客觀性可能受到損害。此時，應另派人員進行審計。在沒有內部審計職能的情況下，可以由合格的外部審計人員提供保證。

五、如何審計反賄賂計劃

在進行審計時，可采用多種審計技術，包括：研究、審核（內部）文檔、面談、調查、交易測試、分析測試、數據分析、觀察等。

（一）高層的價值觀和聲調

一是清晰地評估組織的價值觀，是否承諾公平、誠實和公開地開展業務。二是確定董事會、高級和中級管理人員通過道德領導和強有力、明確、可見的支持和行為，證明其反賄賂承諾。三是評估對賄賂的零容忍承諾的清晰度。四是確定價值觀是否通過內部網、互聯網或其他方式充分傳達給員工、供應商和其他涉眾。

（二）行為準則

一是確保將組織的價值觀轉化為行為準則。二是確定行為準則清晰、簡明，且對所有員工、承包商或分包商、供應商、代理以及代表組織開展業務的其他人都可知。三是必要時評估是否有細化的行為準則。四是確定行為準則是否通過內部網、互聯網或其他方式傳達給所有相關方。五是確定向員工和其他人提供額外的具體指導，包括假設的案例和預期行為。六是確定所有員工和（高風險）代理、其他中介和供應商接受了培訓，并理解行為準則的含義。七是確定員工每年均通過書面確認其遵守行為準則。

（三）反賄賂計劃的結構

包括：組織的價值觀;零容忍聲明;員工、供應商和其他相關利益相關者的行為準則;風險評估;政策和程序，包括檢舉和制裁;范圍;監控和持續改進。

（四）風險評估

一是確保對組織面臨的外部賄賂風險進行具體的風險評估，包括但不限于：國家風險、風險分類、交易風險、機會風險、合作風險。二是確保組織會定期重新評估風險。三是確保根據風險感知的變化定期調整計劃。四是確保反賄賂措施的重點是高風險領域。五是確?？紤]到內部風險因素，如高層的不當語氣或獎金計劃對行為的影響。

（五）政策和程序

一是確定將建立和維護反賄賂計劃、政策和程序的責任分配給合規官，由其直接向CEO匯報。二是確定建立的政策和程序遵守內部規則，如行為準則和法律法規的責任。三是確定政策和程序涵蓋風險評估中確定的高風險賄賂領域。四是確定特定的政策和程序適合不同利益相關者的需要。五是確定這些政策和程序與員工、代理、供應商和其他利益相關者有明確的溝通和理解。六是確定存在有效的控制措施，以監測反賄賂政策和程序的遵守情況。七是確定業務管理部門向合規官員適當報告了違規行為。八是評估檢舉程序的有效性。九是評估合規官員報告的違規行為及后續整改行動的有效性。十是確定制裁是否按計劃實施。十一是確定通過內部網或其他方式將違反規定和實施的制裁清楚地傳達給員工。

（六）范圍

1.利益沖突。一是確定員工和相關第三方在招聘或任用前是否以書面形式披露任何（潛在的）沖突，并將任何變更及時通知組織。二是確定董事會和中高級管理人員是否存在（潛在的）利益沖突，并以書面形式提交年度報告。三是審查外部資源是否有跡象表明報告的（潛在）利益沖突已解決。四是確定員工接受了識別（潛在）利益沖突的培訓。五是確定組織鼓勵員工與管理層討論（潛在的）利益沖突。六是確認合規主管和人力資源部門持續跟蹤利益沖突情況。

2.與政府官員的互動。一是確定政策和程序明確禁止雇員直接或通過中介向公職人員提供任何報酬或其他有價值的東西，以獲得公職人員的不當利益。二是通過審查公職人員的薪酬來確認：支付的整體合理性;差旅費和招待費;直接支付給政府官員，而不是供應商;預付款給公職人員是否在沒有足夠證明文件的情況下支付費用;購買禮物。三是確定選定的付款已獲得必要的批準。

3.小額賄賂。一是確定政策和程序明確禁止員工支付小額賄賂，包括自掏腰包。二是確定有機會接受小額賄賂的雇員接受了適當培訓，包括個案研究。三是審核費用報告樣本，以確定是否有隱藏的小額賄賂或沒有證明文件。

4.政治獻金。一是確定政策和程序禁止本組織以任何形式提供政治捐助。例如：捐款;有利的貸款條件;產品、服務或貸款的折扣費用或費率;活動或出版物的贊助;免費或打折使用設施或服務;支持籌款活動。二是確定員工可以清楚地傳達和理解這些政策。三是分析政治獻金項目的會計數據。四是使用搜索引擎瀏覽互聯網和社交媒體，尋找組織參與政治活動的跡象。

5.慈善捐贈、社區投資和贊助。一是確定政策和程序明確哪些慈善捐贈、社區投資和贊助是允許的。二是確保已訂立明確的甄選準則來接納慈善捐款。三是確保對所有接收機構進行盡職調查。四是確定有明確的程序、授權。四是分析會計數據，確定慈善組織的支出及其合理性。

（七）業務關系

1.關聯的商業實體、合資企業和財團。一是從法律顧問處獲得清單，列明組織的所有關聯業務實體，包括子公司、合資企業、財團和其他法律實體。二是對現有和新關聯的商業實體、合資企業、財團和其他法律實體中涉及的所有第三方進行盡職調查并形成文件。三是確認組織的所有關聯業務實體均已納入賄賂風險評估。四是確定組織的行為準則和反賄賂計劃已在所控制的實體中得到有效實施。五是確定董事會和高級管理層積極促進其無法控制的相關業務實體遵守組織、道德規范和反賄賂計劃的價值觀。六是確定組織無法控制的關聯實體使用的道德規范和反賄賂計劃與本組織使用道德規范和反賄賂計劃的一致性。七是審查內部和外部反賄賂計劃有效性的審計報告。

2.合并和收購。一是確定盡職調查包括賄賂風險評估，并在交易完成之前進行。二是確定已識別出的賄賂支付和做法，發現后立即向有關當局報告。三是驗證是否已執行計劃，以使目標公司達到遵守組織價值、行為準則、政策和程序以及反賄賂計劃等其他要素。四是測試與新員工溝通和培訓的有效性。五是驗證目標公司的內部控制與組織的內部控制相一致。

3.特工、說客和其他中介。一是從法律顧問處獲取所有已知代理人、說客和其他中介的名單。二是在為每個第三方簽署協議之前，審核是否進行了適當的盡職調查并記錄在案。三是就相關風險而言，評估向第三方提供的培訓是否足夠。四是確定是否鼓勵第三方使用組織的檢舉機制來報告關注事項和事件。五是對總賬、采購和供應商記錄開展數據分析，以識別潛在代理、說客和其他中介。六是根據從法律顧問處收到的清單，調查上述清單的完整性、合理性。七是與法律顧問和合規人員討論不匹配的地方。八是驗證已簽署的所有協議是否真實，是否對授權進行約束。九是核實每份協議是否包含第三方將遵守組織反賄賂計劃的條款，且每年以書面形式再次確認。十是確認每個協議都有審計權條款。十一是根據風險評估，確定是否需要對第三方進行審計。十二是審核支付給第三方的款項，以確定這些款項得到文件的充分支持、符合合同并得到適當授權。十三是確保支付給第三方的款項在會計記錄中得到正確描述和分配。

4.供應商。一是評估批準新供應商和承包商的程序。二是選擇若干新的供應商和承包商，并核實程序是否得到遵守。三是以數量較多的供應商和金額較大的合同為樣本，在考慮賄賂風險的情況下，驗證是否進行了充分的盡職調查。四是審查組織與高風險供應商和承包商的協議，確定同意遵守本組織的反賄賂計劃，并每年以書面形式再次確認其遵守。五是確認所有供應商和承包商已書面確認遵守供應商的行為準則。六是與供應商一起審查獎金計劃。七是確保獎金計劃得到遵守，并直接向組織支付獎金。八是與法律顧問共同評估與供應商和承包商簽訂協議中的處罰條款是否合理，是否成為非法向對方輸送利益的工具。九是確定已支付的所有重大罰款是否合理和適當。

5.禮物和款待。一是確定公司的政策和程序能讓員工清楚地了解在何種程度給予或接受禮物和款待，包括娛樂和旅游。二是確認員工理解并遵守公司的政策和程序。三是核實最有可能收到第三方禮物的員工，是否按照政策要求收到禮物。四是確認這些禮物不超過規定的價值上限。五是驗證所有與政策和程序不同的已接受禮品，是否獲得相應級別的批準。

（八）人力資源

一是確認人力資源部參與了反賄賂計劃的設計和維護。二是確保人力資源部將組織的價值觀和行為準則納入了組織檔案。三是確保人力資源部在法律允許的范圍內，對應聘者的犯罪背景進行調查。四是確保人力資源部討論了勞動合同中的反賄賂條款，要求員工每年遵守反賄賂計劃。五是對新舊勞動協議進行抽樣，以確保協議符合規定并歸檔。

（九）培訓

一是確定人力資源部門為所有員工建立了適當的培訓計劃，包括為受賄風險較高的員工量身定制培訓計劃。二是確定人力資源部門存在有效制度來監督培訓參與情況。三是確保在培訓結束之后，定期對參與者應掌握的知識進行測試。四是審核人力資源部對培訓有效性進行的評估。五是確保對無效培訓進行重新設計。六是確保對推遲培訓的員工有足夠的后續程序。

（十）檢舉和尋求指導

一是確定舉報程序明確，并以組織所在國家/地區的官方語言提供。二是核實舉報（涉嫌）賄賂事件可以匿名進行，除非當地法律法規禁止。三是確保舉報人受到保護，免受報復。四是評估在當地情況需要時是否采用檢舉程序。五是確保熱線運營商熟悉當地文化。六是確保檢舉程序可以在組織的互聯網和內網站點以及相關社交媒體和其他手段上使用。七是與合規人員討論事故報告的性質及其調查結果。八是與合規人員討論從錯誤發生過程中吸取了什么教訓，采取了什么糾正措施，以及對政策和程序的修改情況。九是核實已查明的賄賂，包括合規或人力資源部門的制裁，是否向所有員工披露。十是確保合規官將調查結果（匿名）反饋給舉報人，并贊揚其使用熱線電話。

（十一）溝通

一是驗證組織的價值觀、行為準則和反賄賂計劃是否在組織的互聯網、內網等渠道披露。二是驗證組織的價值觀、行為準則和反賄賂計劃的變更是否清楚傳達給了員工和第三方。三是確保內部網站包含關于賄賂的“常見問題”，并根據所提問題和關注事項定期更新。四是確保在內網、互聯網和其他媒體上宣傳熱線使用，引起關注并報告與賄賂有關的事件。五是核實報告的事件和相關制裁是否已傳達給員工、供應商、承包商和其他利益相關方。

（十二）內部控制和記錄

一是測試程序中提到的控制是否有效實施。二是測試是否遵循了授權程序，特別是對于大額現金交易、跨境支付、禮品、招待費以及涉及賄賂風險較高的員工費用報告。三是使用數據分析識別異常項目，以便進一步調查。四是核實這些類型的費用是否在會計系統中有適當記錄，包括交易的性質。

（十三）監控和修正

一是確保合規人員與高級管理層定期審查反賄賂計劃的充分性和有效性，并在需要時修訂。二是討論是否將所提出的關注事項和從事件中吸取的教訓作為監測和修訂過程的參考因素。三是確保反賄賂計劃的修訂已清楚地傳達給所有員工和相關方。四是確保合規人員和高級管理人員向董事會報告監測和修訂結果。五是確保向利益相關方提交的年度報告中包括董事會對反賄賂計劃充分性的獨立評估。

（十四）與政府的合作

一是確保組織制定了要求向政府相關機構報告重大賄賂事件的政策。二是驗證所有重大事件是否遵循此政策。

（十五）獨立的保證

一是確定已提供足夠的資源，用于審計內部或外部高賄賂風險領域。二是確保聘用合格的外聘審計員。三是確保計劃的審計工作已經完成。四是在審查報告的基礎上，尋找應提請合規人員和高管人員注意的模式。五是確認審計結果已得到充分的持續跟蹤。

主要參考文獻

葉陳云.公司內部審計[M].北京：機械工業出版社， 2013