前言
近年來(lái)，美國(guó)以應(yīng)對(duì)國(guó)家安全、維護(hù)國(guó)際政治經(jīng)濟(jì)貿(mào)易環(huán)境等為由，不斷強(qiáng)化和更新其公司刑事執(zhí)法政策，對(duì)在美注冊(cè)、上市及貿(mào)易公司合規(guī)有效性提出了更多、更嚴(yán)苛的挑戰(zhàn)。由美國(guó)司法部（DOJ）發(fā)布并進(jìn)行了多次修訂的《企業(yè)合規(guī)計(jì)劃評(píng)估》（ECCP），作為企業(yè)合規(guī)管理體系有效性評(píng)估的指導(dǎo)文件，最新修訂的重點(diǎn)涵蓋合規(guī)文化、薪酬激勵(lì)、第三方通信、人工智能使用及數(shù)據(jù)控制風(fēng)險(xiǎn)等方面（詳如附錄，參美司法部DOJ原文報(bào)告摘要譯文），對(duì)中企、在美涉華企業(yè)建設(shè)境外合規(guī)體系、防范境外合規(guī)風(fēng)險(xiǎn)有重要參考價(jià)值和規(guī)范管理作用。
本文旨在深入研究、重點(diǎn)對(duì)照并分析美司法部DOJ直接發(fā)布的ECCP核心要義，及其與國(guó)際、國(guó)內(nèi)合規(guī)規(guī)范要求的異同，將助益于企業(yè)通過(guò)美司法部頒發(fā)的“合規(guī)免死金牌”，避免在美涉華貿(mào)易企業(yè)及中企等，因合規(guī)管理上的小疏漏，造成后果嚴(yán)重的大問(wèn)題，甚至因此而承擔(dān)本可有效避免、或減輕的境外司法合規(guī)責(zé)任與潛在刑事風(fēng)險(xiǎn)。
本文首先明確了美國(guó)司法部（DOJ）最新企業(yè)合規(guī)評(píng)估要求的核心邏輯，再對(duì)照分析國(guó)際合規(guī)標(biāo)準(zhǔn)（ISO 37301）與國(guó)內(nèi)有關(guān)合規(guī)規(guī)范（GB/T 35770、國(guó)資委《中央企業(yè)合規(guī)管理辦法》）等規(guī)范要求及執(zhí)行要點(diǎn)，綜合對(duì)照中美合規(guī)規(guī)范的核心要求的共性、異同，最后分別對(duì)在美（擬）上市企業(yè)、國(guó)央企、在華涉外資企業(yè)，及中小創(chuàng)新企業(yè)等四類典型的差異化需求，給予合規(guī)建議。
以下是中美對(duì)企業(yè)合規(guī)體系有效性要求的結(jié)構(gòu)化分析與核心要點(diǎn)對(duì)比：
一、美國(guó)司法部最新企業(yè)合規(guī)管理體系有效性評(píng)價(jià)核心要點(diǎn)
美國(guó)司法部通過(guò)《企業(yè)合規(guī)體系評(píng)估指南》（Evaluation of Corporate Compliance Programs, ECCP，2020年6月更新，為當(dāng)前最新框架，2023、2024年有部分內(nèi)容更新），以“有效性”為核心，從“ 6大維度+18項(xiàng)具體指標(biāo)“ 評(píng)估企業(yè)合規(guī)體系是否“真管用”，而非“紙面合規(guī)”。
該指南核心邏輯是：合規(guī)體系需“嵌入業(yè)務(wù)、動(dòng)態(tài)適配、責(zé)任到人”（*筆者注：這與國(guó)際通用合規(guī)體系規(guī)范要求，保持高度一致），ECCP關(guān)鍵要點(diǎn)提煉如下：

二、對(duì)照合規(guī)國(guó)際標(biāo)準(zhǔn)（ISO 37301）與國(guó)內(nèi)規(guī)范的異同
1. 國(guó)際標(biāo)準(zhǔn)：ISO 37301:2021《合規(guī)管理體系 要求及使用指南》
ISO 37301是全球通用的合規(guī)管理“通用語(yǔ)言”，核心是PDCA循環(huán)（策劃-實(shí)施-檢查-改進(jìn)），要求企業(yè)：
? 建立合規(guī)方針（高層承諾）；
? 識(shí)別合規(guī)義務(wù)（法律法規(guī)、行業(yè)標(biāo)準(zhǔn)、道德準(zhǔn)則）；
? 開(kāi)展風(fēng)險(xiǎn)評(píng)估（用“可能性×影響”矩陣排序）；
? 實(shí)施控制措施（合規(guī)政策、流程、技術(shù)）；
? 監(jiān)測(cè)績(jī)效（內(nèi)外審計(jì)、指標(biāo)跟蹤監(jiān)測(cè)）；
? 推動(dòng)持續(xù)改進(jìn)（糾正措施、體系更新）。
2. 國(guó)內(nèi)規(guī)范：GB/T 35770-2022與《中央企業(yè)合規(guī)管理辦法》
? GB/T 35770-2022：等同采用ISO 37301，是國(guó)內(nèi)企業(yè)合規(guī)管理的“基礎(chǔ)框架”，適用于所有類型企業(yè)；
?《中央企業(yè)合規(guī)管理辦法》（國(guó)資委2022年10月實(shí)施）：針對(duì)國(guó)央企的強(qiáng)合規(guī)“升級(jí)要求”，強(qiáng)調(diào)“首席合規(guī)官”制度（由總法律顧問(wèn)或高管擔(dān)任，直接向董事會(huì)匯報(bào)）、合規(guī)審查嵌入業(yè)務(wù)流程（如重大決策前需合規(guī)審核）、合規(guī)考核與問(wèn)責(zé)（將合規(guī)納入KPI）等。
3. 與DOJ ECCP美司法部合規(guī)的銜接點(diǎn)
三者均強(qiáng)調(diào)“風(fēng)險(xiǎn)導(dǎo)向、高層承諾、持續(xù)改進(jìn)”，核心原則具有一定共通性。
DOJ ECCP要求更聚焦合規(guī)執(zhí)法實(shí)踐（如FCPA反海外腐敗、SOX合規(guī)內(nèi)控及刑事調(diào)查等），ISO與國(guó)內(nèi)規(guī)范則相對(duì)更普適、通用化。企業(yè)可結(jié)合DOJ的“實(shí)操要求”落地ISO/國(guó)內(nèi)體系，重點(diǎn)避免“合規(guī)兩張皮”等虛、假、瞞、放等合規(guī)雷區(qū)。
三、不同類型企業(yè)出海合規(guī)建議
需結(jié)合企業(yè)規(guī)模、性質(zhì)、業(yè)務(wù)場(chǎng)景的差異，重點(diǎn)聚焦“核心風(fēng)險(xiǎn)+合規(guī)資源適配”：
1. 在美上市企業(yè)：聚焦“雙重監(jiān)管+刑事風(fēng)險(xiǎn)防控”
核心風(fēng)險(xiǎn)：美國(guó)《反海外腐敗法》（FCPA）、《薩班斯-奧克斯利法案》（SOX內(nèi)部控制）、DOJ刑事調(diào)查。
合規(guī)建議：
? 強(qiáng)化FCPA合規(guī)：用ECCP的“風(fēng)險(xiǎn)評(píng)估”識(shí)別海外高風(fēng)險(xiǎn)環(huán)節(jié)（如第三方代理、禮品招待），要求代理商簽署《反賄賂承諾書》，定期審計(jì)其費(fèi)用報(bào)銷；
? 滿足SOX要求：將合規(guī)控制嵌入財(cái)務(wù)報(bào)告流程（如收入確認(rèn)的合規(guī)審核），用ISO 37301的“運(yùn)行控制”確保內(nèi)控有效；
? 建立“獨(dú)立合規(guī)部門”：直接向董事會(huì)審計(jì)委員會(huì)匯報(bào)（符合ECCP“高層基調(diào)”），避免業(yè)務(wù)部門干預(yù)；
? 并購(gòu)前“合規(guī)盡調(diào)”：重點(diǎn)查目標(biāo)公司的歷史違規(guī)（如FCPA處罰記錄），用“陳述與保證條款”轉(zhuǎn)移風(fēng)險(xiǎn)；
? 保留“合規(guī)證據(jù)鏈”：如培訓(xùn)記錄、舉報(bào)處理日志、審計(jì)報(bào)告，以備DOJ檢查時(shí)證明體系有效性。
2. 國(guó)央企：聚焦“國(guó)家安全+雙重合規(guī)”
核心風(fēng)險(xiǎn)：國(guó)內(nèi)《中央企業(yè)合規(guī)管理辦法》、國(guó)家安全（數(shù)據(jù)安全、出口管制）、海外政治風(fēng)險(xiǎn)（制裁、國(guó)有化）。
合規(guī)建議：
? 落實(shí)“首席合規(guī)官”制度：由總法律顧問(wèn)兼任，參與重大決策（如海外投資項(xiàng)目），用國(guó)資委辦法的“合規(guī)審查清單”逐一核對(duì)；
? 識(shí)別“雙重合規(guī)義務(wù)”：如數(shù)據(jù)出境需符合《數(shù)據(jù)安全法》+東道國(guó)GDPR，出口管制需符合《出口管制法》+美國(guó)EAR；建立“合規(guī)義務(wù)映射表”（對(duì)比國(guó)內(nèi)與東道國(guó)要求）；
? 強(qiáng)化“政治風(fēng)險(xiǎn)應(yīng)對(duì)”：用ECCP的“風(fēng)險(xiǎn)評(píng)估”做情景分析（如美國(guó)制裁、當(dāng)?shù)卣?quán)更迭），購(gòu)買政治風(fēng)險(xiǎn)保險(xiǎn)；
? 加強(qiáng)“集團(tuán)協(xié)同”：建立集團(tuán)級(jí)合規(guī)共享平臺(tái)（如第三方黑名單數(shù)據(jù)庫(kù)、培訓(xùn)課程），避免子公司重復(fù)投入；
? 主動(dòng)溝通國(guó)資委：重大合規(guī)事件（如被東道國(guó)調(diào)查等）需在24小時(shí)內(nèi)報(bào)告，避免“瞞報(bào)追責(zé)”，或引發(fā)更大合規(guī)風(fēng)險(xiǎn)升級(jí)、失控。
3. 中小創(chuàng)新企業(yè)：聚焦“輕量化+精準(zhǔn)防控”
核心風(fēng)險(xiǎn)：資源有限導(dǎo)致的“合規(guī)盲區(qū)”（如知識(shí)產(chǎn)權(quán)、數(shù)據(jù)隱私）、快速擴(kuò)張中的流程漏洞。
合規(guī)建議：
? “輕量化”合規(guī)體系：聚焦核心風(fēng)險(xiǎn)（如AI企業(yè)的算法倫理、生物醫(yī)藥的臨床試驗(yàn)合規(guī)），用ISO 37301的“風(fēng)險(xiǎn)評(píng)估”篩選高優(yōu)先級(jí)事項(xiàng)；
? 借助外部資源：用行業(yè)協(xié)會(huì)的“合規(guī)模板”（如反商業(yè)賄賂協(xié)議）、第三方咨詢機(jī)構(gòu)的“低成本審計(jì)”，降低自建成本；
? “精準(zhǔn)培訓(xùn)”：針對(duì)創(chuàng)始人/核心技術(shù)人員講“知識(shí)產(chǎn)權(quán)保護(hù)”（如專利申請(qǐng)、開(kāi)源協(xié)議），針對(duì)銷售講“反商業(yè)賄賂”（如客戶招待標(biāo)準(zhǔn)）；
? 簡(jiǎn)化舉報(bào)渠道：用匿名郵箱或第三方平臺(tái)（如“合規(guī)舉報(bào)網(wǎng)”），通常建議避免復(fù)雜IT系統(tǒng)，運(yùn)維投入成本高企、易出錯(cuò)且效果可能甚微；
? “季度/年度合規(guī)檢查”：用ECCP的“績(jī)效評(píng)價(jià)”要素自我評(píng)估（如“本季度是否有違規(guī)事件？”“培訓(xùn)覆蓋率多少？是否有效掌握等”），及時(shí)調(diào)整。
4. 涉外資企業(yè)：聚焦“雙重合規(guī)+文化融合”
核心風(fēng)險(xiǎn)：母國(guó)合規(guī)要求（如歐盟GDPR、美國(guó)FCPA）與中國(guó)法規(guī)沖突、文化差異所可能導(dǎo)致的執(zhí)行偏差、落地信息差或不當(dāng)（形式化）加碼、無(wú)效執(zhí)行等。
合規(guī)建議：
? 建立“合規(guī)映射表”：對(duì)比母國(guó)與中國(guó)的要求（如歐盟GDPR的“數(shù)據(jù)主體權(quán)利”vs中國(guó)《個(gè)人信息保護(hù)法》的“刪除權(quán)”），明確合規(guī)要求差異點(diǎn)與執(zhí)行要點(diǎn)；
? 任命“本地合規(guī)負(fù)責(zé)人”：需熟悉中國(guó)法規(guī)（如《反壟斷法》《外商投資法》），并熟練掌握境內(nèi)外合規(guī)規(guī)范，同時(shí)與總部合規(guī)團(tuán)隊(duì)保持定期（月、季度、年度）溝通；——重點(diǎn)TIPS：該人選應(yīng)具有一定管理決策權(quán)或建議權(quán)，而非單純執(zhí)行境外總公司指令的“稻草人”；
? 供應(yīng)鏈合規(guī)：用ECCP的“第三方管理”對(duì)供應(yīng)商做盡職調(diào)查（查是否涉及強(qiáng)迫勞動(dòng)、環(huán)保違規(guī)），簽署《合規(guī)承諾書》；
? 文化融合培訓(xùn)：用ISO 37301的“溝通”要素，開(kāi)展“跨文化合規(guī)workshop”（如解釋中國(guó)“親清政商關(guān)系”與西方游說(shuō)的區(qū)別）；
? 加入本地組織：例如中國(guó)外商投資企業(yè)協(xié)會(huì)（CAEFI）等，積極獲取最新合規(guī)信息（如稅收優(yōu)惠、監(jiān)管變化等）。
四、共性建議：所有企業(yè)的“合規(guī)底線”
1.高層承諾（Top-down Commitment）：董事會(huì)/CEO需公開(kāi)強(qiáng)調(diào)合規(guī)的重要性，將合規(guī)納入戰(zhàn)略。
2.風(fēng)險(xiǎn)導(dǎo)向：可不必追求 大而全做“全面合規(guī)”，優(yōu)先做“關(guān)鍵風(fēng)險(xiǎn)合規(guī)”。
3.持續(xù)改進(jìn)：每季度/半年 review 體系有效性，用數(shù)據(jù)（如違規(guī)率、舉報(bào)量和合規(guī)績(jī)效）驗(yàn)證效果。
4.記錄留存：保留所有合規(guī)活動(dòng)的成文信息（培訓(xùn)、審計(jì)、調(diào)查等完整記錄），以備監(jiān)管方隨時(shí)檢查。
五、總結(jié)：美出海企業(yè)和國(guó)央企合規(guī)風(fēng)險(xiǎn)
企業(yè)出海合規(guī)的核心是“用DOJ的‘有效性’標(biāo)準(zhǔn)落地ISO/國(guó)內(nèi)體系”，結(jié)合自身類型聚焦核心風(fēng)險(xiǎn)，避免“為合規(guī)而合規(guī)”。
對(duì)于資源有限的中小企業(yè)和涉外資企業(yè)，“輕量化”和“本地化”是關(guān)鍵；對(duì)于在美上市企業(yè)和國(guó)央企等合規(guī)高風(fēng)險(xiǎn)企業(yè)，“雙重監(jiān)管”和“國(guó)家安全”是重點(diǎn)。
附：DOJ ECCP背景溯源及最近二次（2023、2024）最新修訂內(nèi)容更新摘要：
DOJ在2017年發(fā)布了第一版《公司合規(guī)計(jì)劃評(píng)估》（Evaluation of Corporate Compliance Program，簡(jiǎn)稱ECCP），并于2019年、2020年分別進(jìn)行了兩次更新。至2023年，DOJ在1月發(fā)布《公司執(zhí)法和自我披露政策》后，又于3月對(duì)ECCP進(jìn)行了第三次修訂與更新，本次修訂重點(diǎn)增加了：薪酬結(jié)構(gòu)和后果管理，公司如何管理員工使用個(gè)人設(shè)備、第三方通信平臺(tái)以及應(yīng)用程序指引。
這一更新是DOJ《公司合規(guī)計(jì)劃評(píng)估》持續(xù)發(fā)展的最新體現(xiàn)。2023年版ECCP中“激勵(lì)與懲罰”主要修訂內(nèi)容為：指導(dǎo)檢察官在評(píng)估公司合規(guī)計(jì)劃時(shí)，應(yīng)考慮薪酬結(jié)構(gòu)和后果管理，包括使用“獎(jiǎng)金激勵(lì)”和“薪酬追回機(jī)制”等財(cái)務(wù)手段，在公司內(nèi)部培育“合規(guī)文化”，確保合規(guī)計(jì)劃確實(shí)有效運(yùn)行。2023年版ECCP表明DOJ不僅關(guān)注公司內(nèi)部的數(shù)據(jù)資源及訪問(wèn)權(quán)限，對(duì)于個(gè)人設(shè)備、第三方通訊平臺(tái)上的公司相關(guān)數(shù)據(jù)的保存和獲取也越來(lái)越重視和關(guān)注。

2024年9月，DOJ又再次對(duì)ECCP進(jìn)行了更新，最新修訂內(nèi)容包括對(duì)人工智能的使用和數(shù)據(jù)控制風(fēng)險(xiǎn)，并再次強(qiáng)調(diào)了持續(xù)改進(jìn)與培養(yǎng)員工意識(shí)、合規(guī)文化的重要性，以下為本次ECCP更新要點(diǎn)及內(nèi)容——筆者譯自于：美司法部及哈佛法學(xué)院相關(guān)報(bào)告原文（鏈接附于文末）——可重點(diǎn)關(guān)注新興人工智能技術(shù)及其使用引發(fā)的風(fēng)險(xiǎn)管控，可酌情進(jìn)一步參考：近年中美日益增長(zhǎng)的人工智能相關(guān)合規(guī)判罰案例，以更為精準(zhǔn)地把握涉及AI人工智能技術(shù)的合規(guī)風(fēng)險(xiǎn)防控方向與具體策略：

原文參考鏈接（DOJ官網(wǎng)建議外網(wǎng)訪問(wèn)/或需翻墻）：
U.S. Department of Justice
https://www.justice.gov
The Harvard Law School Forum on Corporate Governance
Key Updates to the DOJs Evaluation of Corporate Compliance Programs
筆者注：經(jīng)筆者及AI多次輔助調(diào)教、人工校驗(yàn)后核實(shí)，目前全網(wǎng)暫無(wú)有關(guān)2024年此次最近更新的完整中文內(nèi)容，故附上：對(duì)本文述及各類企業(yè)主均具較高參考價(jià)值。
【聲明】本文部分基礎(chǔ)信息由AI輔助生成，但經(jīng)筆者多次調(diào)教與人工校驗(yàn)，避免AI直接生成內(nèi)容存在的Bugs/ Slop等信息“陷阱”，如需進(jìn)一步專業(yè)指導(dǎo)，建議聯(lián)系筆者所在機(jī)構(gòu)，或發(fā)送您的企業(yè)/個(gè)人信息、關(guān)注或待解決問(wèn)題至本人工作郵箱：pengjuan@zgrzbj.com。

來(lái)源：IPRdaily中文網(wǎng)（iprdaily.cn）
作者：彭涓 中規(guī)（北京）認(rèn)證有限公司