您好,欢迎来到ACCP官方网站!
本世纪初震惊世界的的安然公司会计丑闻案对美国上市公司治理和监管方式带来了深远的影响,许多今天我们已经习以为常的公司内控制度都来源于那场丑闻后的深刻反思,其中就包括今天几乎所有大公司都必备的内部举报机制(Whistleblower Program)。
曾担任安然公司副总裁的Sherron Watkins,曾在安然丑闻爆发之前向公司高层警告安然在会计方法上的巨大问题以及面临的巨大风险。她也因此而和其他两位著名的“Whistleblower”一起荣登美国《时代》周刊2002年的“年度人物”。这一年也被《时代》周刊称为“举报人之年”。(Whistleblower字面意思为“吹哨人”,实际指的是举报违反问题的人)
(左起为世通公司的Cynthia Cooper;FBI的ColeenRowley;和安然公司的Sherron Watkins)
安然丑闻后美国通过了著名的《萨班斯-奥克斯利法案》(Sarbanes-OxleyAct),致力于解决安然等一系列案件所暴露出的上市公司欺诈、审计失败和证券监管问题。正是该法案要求所有美国公共公司必须设立内部举报机制,让知道公司欺诈、违规行为的人有机会进行举报,以及早发现公司存在的违规问题。从那时起,内部举报机制开始逐渐被各大公司所采纳,作为内部风险控制的重要手段,如今已经是几乎所有大公司在合规管理上的标配。
这篇文章将探讨内部举报制度对公司合规的意义和作用,以及如何设计和执行一个合理的内部举报机制,以发挥它的最佳效果,以及围绕这一制度的诸多法律问题。
内部举报机制的真正作用
绝大多数欺诈或是违法行为,都是靠知情人的举报而被发现的,这一点不仅仅体现在执法机关、监管机构日常的执法监督活动中,也体现在公司的内部合规管理中。员工处心积虑的违法或是欺诈,有可能绕开法务、合规的把关,甚至内审的监督,但往往绕不开身边的人,或是需要其他人配合,或是给同事留下蛛丝马迹,很难做到真正的密不透风。根据Association of Certified Fraud Examiners的数据显示,在一个设置了内部举报机制的公司中,超过一半的违法行为是通过内部举报而被发现的,而其中,绝大部分是来自于内部员工的举报。
更重要的是,当员工还愿意向公司反映其所发现的问题时,意味着问题还有机会在公司内部得到解决。举报人或许是违法行为的受害人,或是知晓违法行为,对其深恶痛绝的知情人。如果没有一个让人信任的内部举报机制,实际上是把这样的知情人推向了其他渠道,比如媒体,比如监管机构,到那个时候问题就有可能发展成公司无法控制的局面。这一周在媒体上广泛报道的某银行高管骚扰女员工的新闻,就是一个很好的例子。
在当今的合规环境下,员工直接向监管机构举报的风险更是比以往任何时候都要大。
2010年美国通过了Dodd-Frank Wall Street Reform andConsumer Protection Act,设立了“举报者奖励计划”。它鼓励任何人提供关于违反证券法规、侵害投资者利益的证据和线索。如果举报人向美国证券交易委员会(“SEC”)提供了SEC所不知道的线索,且帮助SEC完成了一次成功的执法行动,且罚款或收缴的金额超过100万美元,则举报人有可能获得”不低于10%,不超过30%“罚没收缴金额作为他个人的奖励。
这一计划自2011年正式实施以来,在全球范围内获得了广泛的关注和回应。SEC收到的线索非常之多:仅2014年就有超过3600条举报或线索。而SEC也毫不吝啬,动辄就给举报者开出数百万甚至上千万美元的奖励。2014年9月,一名海外举报者获得了3000万美金的奖励,是目前奖金数额之冠。正因为这一计划效果很好,很多其他的执法机构也在效仿SEC,推出了其他相关领域的举报者奖励计划。如果公司不能重视知情人的举报,知情人转而向监管机构举报,是再正常不过的。
内部举报机制的成功基础
任何公司的内部举报机制,无论其形式如何,在技术上如何先进,要想发挥最大的作用,都离不开“让员工(或是外部合作伙伴)充分信任,愿意与之合作”这一最重要的成功基础。
不被员工信任的内部举报机制,只是一个空架子,无论设计的多么漂亮,都不能发挥作用。这里有三个层次的问题需要考虑。
首先,要让潜在的举报者相信公司反对任何欺诈和违法,并且充分重视内部举报。
如果一个内部举报机制让人觉得只是做做样子,并不重视问题,也不能很好的解决举报的问题,那么没有人会愿意在这上面浪费精力。
对这一问题,最有效的方式就是获得公司高层对内部举报机制的支持。“Tone from the Top”是提升员工重视程度的最有效方式。公司的高层应当利用合适的机会,表达公司对于欺诈、违法行为的毫不容忍,并且鼓励员工说出自己发现的问题,营造一个坦诚、诚信的内部环境。
同时,在发布或是宣传公司的内部举报制度时,最好能得到高层的支持,以管理层的名义向公司自上而下的发布。至少也应该在发布和宣传内容中,加入管理层的声音,这些手段都会传递一个清晰的信号给潜在的举报人:公司是重视举报的,你的举报是会被严肃对待的。
同时,在培训和宣传时,也要注意多宣传成功的内部举报案例,用实际的例子来鼓励潜在的举报人。
当然,说得再漂亮,还要看行动。高层的声音再响亮,如果没有很好地执行,哪怕只是个别现象,也是会打击举报人的积极性的。
其次、要让举报者相信,一旦他们提出举报,无论是匿名的还是实名的,这套举报机制是可以保护他们的。
潜在的举报者最担心的就是举报违法行为,不仅没能制止违法,反而还要把自己的工作乃至前途都搭进去。毕竟,打击报复举报人的情形非常常见。除了少数打定主意鱼死网破,或是已经离职的员工,大部分的举报人都希望自己的身份不要暴露,即使是实名举报,也希望举报机制能够为他们的身份保密,让他们免于打击报复。
对这一点,首先内部举报制度应当在法律允许的范围内,允许匿名举报。(关于匿名举报可能引起的法律问题,尤其是个人信息保护问题,我们下面会详细讨论)。
此外,公司要有一套行之有效的为举报人信息保密的机制。而且在宣传内部举报制度时,也要多宣传这套保密机制,给潜在的举报人以信心。
另外,公司要制定明确的“反报复政策(Anti-retaliationPolicy)”,明确规定打击报复的认定方式、申诉方法,从制度上给潜在的举报者以信心。
最后、要让潜在的举报者熟悉举报流程,毫无障碍的进行举报。
对这一问题,只能依靠合规部门的培训和宣传来提升员工或外部合作伙伴对举报机制的熟悉程度。例如,关于内部机制的培训应当成为所有员工必须完成的强制培训项目;在所有入职培训中都必须有关于内部举报机制的培训内容;合规部门要制作、散发关于内部举报机制的小册子或是宣传材料,分发给给部门的员工,或是在公司网站上方便查阅。在和外部合作伙伴,如供应商交往中,要告知其举报的流程和方式。
需要说明的是,关于内部举报制度的培训,不但要告知内部举报的方法和流程,也要对常见的内部欺诈或是典型的违规行为做一个介绍,要介绍一些明显的red flags。要注意法务和合规专业人士和其他普通员工在认知上的差距。
很多违规的行为或是线索,在一般员工看来可能是行业惯例,并没有很明显的问题。
内部举报机制的基本形式
虽然每个公司的情况不同,设置的内部举报系统各有不同,但大体来说,一个成功的内部举报机制应该满足以下一些基本条件:
第一、提供多种方式供举报者提供举报信息。
对大部分跨国企业来说,提供在线的举报平台基本已经成为标配。设置合理,界面友善的在线平台,能够提供全年无休的服务,是最为方便的举报方式。此外,热线电话,甚至专门的邮箱也都是常见接收举报信息的方式。
第二、如果设置了举报热线,则负责接听举报电话的必须是受过专业训练的人员。能够在有限的机会里获取举报人的信任,尽可能获得最全面的信息、完整的记录信息、安抚举报人。
第三、 对跨国企业来说,无论是哪一种举报方式,都必须确保留给当地员工使用“当地语言”的机会。
很多时候,语言会成为阻碍举报者内部举报的一个重大障碍,即使是跨国公司,也无法保证每一位员工都能充分、准确的用英语来说明他发现的问题。哪怕英语很好的员工,在使用非母语表达的过程,也有可能流失一些细节。让当地员工有使用母语进行举报的机会,能够最大限度的获取最完整的事实。
第四、信息接收平台的背后,应该是一个受过训练,熟悉公司各项制度的专职部门来处理所有的举报信息。
对收到的举报信息,有这一团队进行第一步的处理,包括必要的跟进,收集后续信息;第二步,是将经过处理的信息(例如隐去举报者信息)按照举报问题的性质,分发给各个部门,如人事、法务、合规等;第三步,再由这一团队跟进各个部门的调查进度,协调不同部门的合作,并对举报者进行反馈。
第五、光有专业的团队还不够,一个好的内部举报机制还离不开一个案件管理系统。所有的举报事项都应当统一记录在案件管理系统中,负责部门、所花时间、进度、处理结果一目了然。方便时候审计和质量控制。
第六、对举报信息的分析。对收到的举报信息进行数据分析是内部举报机制给公司合规管理带来的一项额外好处。哪个地区或是哪个业务条线的投诉和举报最多,可能意味着需要合规部门的特别关照,如加强培训、实地考察、反映给地区/部门负责人等举措。如果某一类的违规行为的举报特别多,也许意味着公司现有的相关合规制度和程序可能存在不足,无法有针对性解决这类问题。这都是合规部门宝贵的第一手参考资料,供其改进调整现有的合规制度,发现风险。
内部举报机制的个人信息保护法律问题
由于内部举报机制必然要涉及到收集、处理甚至是转移员工的个人信息(被举报人),因此不可避免的涉及到个人信息保护方面的法律问题,这是一个迅速发展,日渐受到各国重视的法律领域,很多国家都在近年通过立法加强了个人信息保护的力度。因此跨国公司在设置和执行内部举报制度时,要确保符合当地的个人信息保护法规。
另一方面,各国之间在个人信息保护方面的法律要求和保护程度往往差异极大,对跨国企业来说,很难有一套“放之四海而皆准”,适合所有国家和地区的内部举报制度。在一些对个人信息保护有特殊规定的国家,不可避免的要做出特殊的安排。
在这一点上,美国和欧盟十几年来围绕《萨班斯-奥克斯利法案》与欧盟的个人信息保护传统的博弈是一个很好的例子,它极好的展示了个人信息保护的法律是如何影响内部举报制度的。
欧美法律文化差异
在美国法律文化里,举报者(whistleblower)这个词带有一点英雄主义色彩,它暗含一种个人不畏强权,勇于揭露违法,追求正义的形象,这从时代周刊将匿名揭露安然丑闻的Sherron Watkins等人评为“年度人物”可见一斑。而好莱坞电影里也不乏各种不畏强权、不惧报复的举报人形象。
因此,美国法下对举报人的鼓励和保护是广泛的,几乎所有关于打击违法和欺诈的联邦法律中,都有鼓励举报和保护举报人的内容。而对于公司设置的内部举报机制也少有法律上的限制,所以美国公司设置的举报机制的主要考量就是让举报人“知无不言、言无不尽”,同时允许匿名举报,最大限度的打消举报人的担心。
而欧洲国家对举报这件事,无论是向政府部门举报,还是公司内部举报,却一直都有一种根深蒂固的排斥感。这种排斥感来源于历史和文化中,二战时纳粹占领国,以及二战后铁幕东边的国家里,都曾在社会上出现过广泛的互相监视和告密的风气。这一点战前和战后的德国体会最深,尤其是战后的民主德国,整个社会都被笼罩在秘密警察构建的监视网下,邻里、朋友、同事之间互相告密司空见惯。尽管这一切已经成为过去,但是“举报”仍然会让人想起这段不光彩的过去。
直接的结果就体现在欧盟整体上鼓励、保护举报者的法律较弱。根据2013年透明国际所做的调查显示,在欧盟27个国家里,只有四个国家有令人满意的保护举报者的法律框架,其他则要么没有,要么不足以充分保护举报人。
欧盟的个人信息保护法规,更是在这一方面采取了与美国截然相反的立场。如果说美国法下更关注举报人的权益,更重视能够顺利举报,那么欧盟的个人信息保护法律则是更关注被举报人的合法权益。2005年,麦当劳在法国的分公司,根据《萨班斯-奥克斯利法案》的要求所设置的内部举报机制就被法国的个人信息保护部门判定为违法,理由是麦当劳通过内部举报所收集到的信息,未经举报人同意就进行转移,违反了法国的个人信息保护法规。
下面来看一些具体的例子:
匿名举报的规定
在美国法下,“允许匿名举报”是一项重要的要求,不仅《萨班斯-奥克斯利法案》明确要求“举报机制必须允许举报人匿名的提出举报”,在其他一些重要的关于合规制度的指南性文件,例如《美国公司量刑条例》,美国司法部和SEC联合颁布的《FCPA资源指南》中关于“公司良好的合规体系”的要求中,都包含了必须有一个“允许举报人匿名举报”的内部举报制度。
但在欧盟大多数国家看来,匿名举报不是一个好主意。除了一些国家明确禁止匿名提起举报(如葡萄牙、西班牙等),很多国家对匿名举报制度都有诸多限制。例如法国要求不能积极鼓励举报人以匿名身份举报;德国的规定也类似,举报系统应当鼓励举报人实名举报,如果举报人坚持匿名,则应当解释原因,并被告知匿名举报可能的不利后果(例如不方便调查)。
除了表面上声称的原因,如匿名举报不利于调查;匿名举报不利于公司与举报人联系;匿名举报不利于保护举报人免于打击报复,其根本原因还在于,很多欧洲国家还是觉得匿名举报很难构成一个让人信服的充分理由,使得公司有合法的基础来收集、处理、使用当事人的个人信息。而且有可能导致内部举报机制被滥用,被用来满足非正当的目的,提出不实指控,而不用负责任。
对内部举报机制的限制
欧盟诸国的个人信息保护法规对于内部举报机制的设置和执行还有非常多的限制,例如:
某些情况下,设立公司内部举报机制需要向相关机构或政府部门备案或是报批,以确保符合个人信息保护要求;
对内部举报机制可以收集的信息类型有所限制。这种限制的原因在于某些国家的个人信息保护法规都明确要求“收集、处理、转移”个人信息必须是为了履行某项强制性的法律义务。因此有些国家把可以进行举报的信息限制在“和内部会计财务欺诈、违规、企业内部控制、审计事务、反腐败、金融犯罪等相关的信息”,而不包括其他如人事纠纷等;
对举报信息向境外转移的限制,例如只能转往特定个人信息保护程度较高的国家;要获得信息对象(被举报人)的同意(希腊、爱尔兰等);
对收集的举报信息保存时间有所限制,要求保存期限要与实际需求相符,过期应及时删除;
*此文转自国际合规法律问题实务与观察公众号*