汇业评论

文 | 江天 汇业律师事务所 高级顾问

2018年6月，中兴通讯与美国商务部达成和解协议，以巨大代价换来了生存机会，成为中国企业合规管理的里程碑事件，使很多中国企业第一次意识到业务合规的重要性。中兴通讯吸取了很多经验教训，将合规视为可持续发展的关键，尤其是出口管制与经济制裁合规更是企业经营的生命线。那么企业应该如何建设一套有效的出口管制合规体系呢？

由美国产业安全局（BIS）发布的《出口管制合规指南》中，将合规管理体系分为八大要素，分别包括管理层承诺、风险评估、出口授权、记录保存、培训、合规审计、违规报告与整改以及编制更新合规手册。企业根据此指南，结合公司本身业务特点以及业务复杂性，制定符合本公司的体系制度。本文针对八大要素，结合企业（特别是法务部门）在推进合规体系搭建的过程中可能遇到的困难，逐一进行分析说明。

一、管理层承诺

管理层承诺是企业合规体系搭建成功的关键。有效的合规计划由管理层自上而下的灌输，管理层通过发布《合规承诺声明》对内对外传递信号，一方面显示出对合规的重视程度和决心，并将此信息转递给合作伙伴、供应商、客户、分销商等；另一方面承诺公开支持合规政策和程序，为合规体系搭建运行提供充足的资源配置，大力支持出口合规培训。管理层承诺内容一般包括企业主要负责人声明企业将严格执行国家出口管制法律法规，提供充分内部合规机制资源支持，评估审查业务出口管制风险，明示违规后果、惩戒措施，列明相关合规管理人员联系方式，等。

但是，要达到此要求需要高度依赖管理层的觉悟和高瞻远瞩。企业本身以盈利为本，日常业务要求效率，因此一些企业的管理层可能对合规体系推进没有那么热心，甚至可能还存在抵触情绪。在此情况下如果想要获得管理层的认可，可以采取“迂回战术”，曲线救国。先从日常合规排查开始，让业务部门负责人意识到合规的重要性，自下而上，最终让管理层意识到合规的重要性。同时，由于各业务负责人是具体业务的决策人员，更了解业务风险，在日常合规排查中也更愿意主动配合。

二、风险评估

企业应对当前各业务节点进行梳理，识别风险点。当前企业普遍面临合规风险的领域包括出口物项、组织运营以及客户。

1.出口物项

出口物项方面存在的合规风险包括未经授权的出口（包括出口、再出口以及境内转运，以下统称“出口”）、敏感信息或受控技术未经授权的视同出口，以及在违规在美国境外进行的维修等服务。

为避免在无意识的情况下违规，有合规意识的业务人员应该在业务开展初期对交易本身进行详细了解，内容包括交易所涉及的物项是否受控、所有相对方、产品的最终用户是否在任何限制性清单、产品最终用途是否受限、交易涉及国别或地区是否受限、物流是否途径受限港口，支付渠道是否受限，等。如果企业合规尚处于初级阶段，商谈初期业务人员没有对这些情况进行了解的，可以等到签订合同阶段，审批流到法务之后，法务发起背景调查流程。如果最终判定风险较低的，可以继续往下进行，如果判定风险较高，可能采取一系列措施以降低风险，包括寻找替代产品或原料、加强项目合规管理、定期进行合规监督和审计，等。如果在所有措施都穷尽之后，还是无法把合规风险降到最低，或无法判定合规风险，那最终只能将问题上升至项目总负责人或管理层进行决策。

除产品和货物之外，敏感信息或技术等的传输也可能违规。最常出现的场景包括商业会展、邮件往来、路演，以及外籍雇员或受限单位员工参与的科研项目等。以上情况，会出现敏感信息或技术以口头、视觉、书面等方式转移到外籍人员或受限实体手里，此过程被称为“视同出口”。无论此行为发生地是在境内还是境外，在信息技术接收方为受限的情况下，此过程可能导致违规情况的发生。此种情况单从法务端是无法进行防范的，因为大多数展会、邮件或路演行为并不会经过法务审批。因此需要进行合规体系建设，对交易对象进行实时筛查，对所涉及的技术工程师、研发人员和销售人员等进行事先排查，并对其进行培训，建立管控技术与外籍员工目录，对特定人员或客户隔离敏感信息等，以达到降低视同出口风险的目的。

如果产品存在售后服务或运维，业务人员或法务也应在前期商谈的时候具体了解相关信息，如服务的运维主体是否受限、所在目的地是否受限，是否用于被禁止的最终用户或最终用途；如果该产品来源是第三方，还应该了解所出口的产品是否履行了合规义务。如果在签订合同之前没有了解以上情况，售后服务阶段可能会陷于两难的境地。一方面继续履行合同可能造成违规，而不履行合同可能会造成违约。

2.组织运营

组织运营方面的合规风险包括薄弱或没有合规架构、组织内部缺乏沟通、与出口代理关系脆弱，以及缺乏或待完善的出口清关程序。

衡量企业组织架构有效性的依据之一为资源的充分性，即企业是否为合规管理提供了足够的资源，包括硬件软件、培训资源和人力支持。其中，人力资源规模适宜性评估应当考虑企业规模与股权架构、营业场所所在国家/地区、出口管制合规经理权限范围、商业订单规模/处理周期/处理效率。

企业应该检查是否存在内部沟通不畅的问题，主要表现为部门间互不接触；内部排斥合作；认为合规是业务推进的障碍；部门之间存在竞争关系等。要打破这些屏障并不容易。出口合规人员需要找到建立桥梁和创建开放沟通渠道的方法。比如，可以举办管理层支持会议或培训，定期举办沟通会议，帮助业务人员识别并解决合规风险，积极通过发送邮件、通知或发布内部资讯等方式让业务人员了解合规部门在做的事情，向其灌输合规风险的意识，等。但是最主要的是，出口合规人员在日常合规咨询中需要对自己的角色正确定位，即合规的最终目的是将风险降到最低的同时促成交易达成，而不是为了尽可能的把风险降到最低，不惜牺牲业务。这就要求合规人员进行精准合规，避免过度合规为企业造成的损失。当然前提是交易没有触及合规的红线，如果在穷尽一切手段，交易本身风险还是较高，不宜再继续推进的，应该及时给出结论。交易风险不确定的，应及时报业务总负责人或管理层决策。笔者认为一套完美的合规体系需要达到的效果是在合规过程中尽量达到“无感”合规，让业务人员在不知不觉中走完合规流程。

企业还应检查与出口代理的关系，具体包括在与货运代理人的合作是否难以推进；是否持续参与指定路线的出口交易；是否依赖于第三方提交相关文件、推进出口进程；是否有出口计划；是否存在关系恶化迹象，等。因为电子出口信息申报、物项分类、许可申请等业务通常会外包给外部第三方，因此合作过程中较难发现合规风险。而企业需要通过对代理方进行外部审计评估，并通过定期会议或沟通促进对方对责任与义务的理解，或在合同协议中补充对代理方的监管要求。

最后，缺乏或不完善的出口清关程序会使企业陷于合规风险而不自知，因此制定完善的出口清关程序有助于合规风险的识别和处理，面对可疑交易时能够迅速反应，及时止损。出口清关程序一般审查内容包括：货运单据的准确性与完整性；是否有合理指示和出口授权；运输路线是否不正常或陌生；运输方式有效性；清晰的禁止性主体筛查；货物贴标或运输的不寻常要求。

3.客户

客户的合规风险包括不明确的最终用户和最终用途、未意识到的转移风险，以及违反反抵制（Anti-boycott）条款。

为了确保含有受控物项的产品不会转移到被禁止的最终用户或被用于受限的最终用途，在交易中了解最终用户和最终用途是出口商的义务。因此企业合规管理机制应包含对最终用户和最终用途的验证环节。如果BIS发现在一项交易中，产品存在违规转移或使用的情况，其会使用“有罪推定”，先推定交易所涉及的所有节点都是违规的，除非相对方能证明自己已经做了合规体系搭建且有效运行，并在交易过程中已经履行了核查义务，采取措施尽可能避免违规情况的发生，否则会受到处罚。处罚措施分为行政政和刑事两种。行政上，企业可面临每单交易最高30万美元或交易额两倍的罚金，二者取其高；性质严重的还可能限制美国供货商向其继续供货、没收货物等；而刑事上，可对每单交易最高处以100万美元的罚金，涉事个人可判处最高20年的监禁，二者可并罚。

那么企业应该如何进行最终用户和最终用途的核查呢？在一项交易中，企业应先整体了解项目交易模式、涉及各方都有谁、产品如何转移、交易性质是否涉军或涉警、途径地和最终目的地，等；其次，再对交易方进行黑名单排查，包括但不限于上游供应商、下游客户、物流公司、清关机构、交易银行和中转行、产品最终客户，等；最后，根据以上情况，结合第1条已经收集的物项信息，综合判断交易风险。

在交易信息收集的过程中，客户给到的信息可能会释放可疑信号，这就要求企业对交易进行进一步了解。这些可疑信号被称为Red Flags，是交易可能违规转移的警示。一般情况下可疑信号可能包括但不限于以下情况：客户对产品或行业不了解，却仍然要求采购；客户拒绝例行的调试、培训或维护；物流运输路线不符合惯例，或包装或装运方式与目的地不符；客户使用现金支付，而不使用通常的电汇等方式；客户注册地是居民地址，或多个企业在同一地址运营；客户知道但不愿意提供最终用户或最终用途的信息，或不愿意签署最终用户最终用途承诺；物流公司被列为最终用户；等等。不明确最终用户和最终用途信息可能使企业在无意识的情况下受到处罚，严重的可能被切断供应链，造成灾难性的损失。

除此以外，以下行为也可能因违反税收改革法与《出口管制条例》（以下简称“EAR”）项下禁止事项而使企业受到处罚：合意拒绝或实际拒绝与以色列以及黑名单企业交易；合意基于种族、宗教、性别、国籍或民族歧视或实际歧视相关方；合意提供或实际提供与以色列以及黑名单在列企业商业关系的相关信息；合意提供或实际提供相关方种族、宗教、性别、国籍或民族信息；执行载明反抵制（Anti-boycott）条款的信用证。

三、出口授权

对于所交易的物项含有受控物项的，企业应该通过发布制度文件、建立流程图和决策表等方式进行合规管理，引导员工做出正确的出口决定。该管理通过管辖权、物项分类、许可证以及合规筛查四部分实现。

企业先确定本次交易项下拥有出口管辖权的主管部门，根据EAR管辖的物项规则确定产品或原材料的出口管制分类编码（即ECCN）。针对特殊最终用户的还需要确认产品生产设备是否含有特定ECCN。之后在国别列表（Country Chart）中查找产品运往该最终目的地是否需要申请出口许可，是否适用许可例外。

除此以外，企业还应建立合规筛查制度，对日常项目进行排查，建立相对方筛查和可疑交易应对流程、项目合规管理机制。法律部门负责牵头组织出口管制合规审核，各业务部门、职能部门配合，从立项或要约阶段至出口完成，进行全流程管控。

四、记录保存

日常合规记录没有妥善保存，导致企业合规缺乏证据支持，在违规行为产生的情况下会直接导致受到处罚。其中最大的风险之一在于外国雇员、分包商、来访者或客户通过电话、传真、电子邮件或面谈等方式进行非正式技术交流，使受控技术在未经许可的情况下直接或间接流转到受限实体。记录的保存可能并不是法规所要求的，却是最符合企业最佳利益需求。

无论是纸质还是电子存档，都有其优缺点。对于纸质存档，应考虑副本留存、物理存储、异地存储、归档、销毁的成本和时间；对于电子存档，应考虑各部门访问权限、检索和日常维护等因素。

根据EAR第762.6条，出口的记录保存的期限为从出口行为发生的最近时间起5年内。出口行为发生的最近时间包括：已知货物出口或转运的日期；交易终止的日期，无论是否为书面形式；涉及受限交易或抵制贸易的，为收到相关请求或要求之日。

企业应事先识别涉及出口合规的日常活动，根据EAR要求创建一份需要留档和维护的文件清单。根据文件清单制定记录保存的责任和程序，包括各部门人员保管职责、保存文件的方式和地点、对所保存的记录进行完整性、准确性排查，以及与货代、经纪和分销商等合同中对记录保存的要求。企业应明确划分各部门人员的记录存档、系统管理等责任。公开确认记录保存责任的人员，并确保形成监督和汇报链条的制度。定期对相关人员进行培训，确保制度得到有效执行。

记录中应着重考虑以下类别文件：美国政府要求提供的文件、与美国政府沟通的记录、与非美国公民的特定交流的记录，以及政府各部门记录保存的要求，包括但不限于美国商务部、国务院、财政部、国土安全局，等。

五、合规培训

有效的培训计划应该注重“因材施教”，针对拥有不同合规责任的人员设计不同的合规内容。有效的合规培训应具备以下几个特点：根据目的和需要提供特定工作的相关知识；传达不同部门员工的出口合规责任；以及通过评估测试确定员工掌握了培训内容，通过签署承诺使员工对其违规行为承担责任。

培训一般分为三个级别：第一级，是针对全员的培训，目的是传递出口管制基础知识；第二级，是针对具有特定出口职能的员工的培训，包括可获取管制技术的研发或工程背景人员、运输和接收人员、人力资源管理人员、销售人员等，目的是使其了解熟悉自己的合规义务和流程，并更好的履行合规责任；第三级，是针对出口管制合规经理及其辅助雇员的培训，目的是使其拥有专业知识，具有日常合规排查和制度编写的能力，内容包括内部出口管制合规程序以及适用于企业供应链的各国出口管制法规，以确保上述群体对出口、再出口和国内转让相关要求有充分的了解。

六、合规审计

为保证合规体系的有效运行，企业需要对合规体系进行检查和重构，保持合规体系的持续动态更新。通常情况下由出口管制合规经理负责组建审计团队，并根据可得资源确认需要审计的类型和审计范围，识别合规缺陷与潜在合规风险，并提出解决方案。

审计类型分为全面合规审计和专项合规审计。全面合规审计为每年对企业出口管制合规计划进行的全方位评估，审计范围包括内部出口程序、特定出口交易以及业务单位根据内部程序处理交易的过程；专项合规审计则更注重特定出口环节的具体问题，包括特定系列交易，以确定其是否依照既定内部程序良好运行。相较于全面合规审计，由于专注领域详细而具体，专项合规审计开展频率更高，以期成功地将注意力集中在业务单元和风险早期阶段，避免产生更加严重的不良后果。

在资源允许的情况下，定期利用外部审计师是一种良好的商业惯例。外部审计可以提供一个公正的第三方对组织整体出口合规计划和实践的评估及验证。

七、违规报告与改进

建立违规报告机制是合规体系搭建的重要组成部分，该制度可以指导员工在发生或涉嫌出口违规相关事件发生时所应该采取的快速响应措施和程序。有效的违规报告机制应包括以下内容：建立内外部可疑和违规行为报告程序，并应得到管理层支持；详细说明调查、确认、纠正违规行为的内部程序；根据企业合规政策和出口管制相关法律建立处罚机制。

违规报告制度的顺利运行依赖于管理层所致力营造的合规文化氛围。高级管理层不仅应该鼓励员工报告可疑出口违规行为，同时也要让员工认识到管理层将报告涉嫌违规行为视为组织合规体系搭建的重要组成部分。员工只有在高度确信出口管制合规是管理层的核心关切问题，且合规不因利润或私利而动摇、个人不因揭露而遭受报复的情况下，才会有切实的报告意愿与信心。

管理层还应该确保员工接受足够的培训，具有相关知识和资源以遵守组织的合规计划。员工应监督企业运营，始终如一地执行合规标准，并向适当的管理层级别报告违规事件。违规报告应该纳入员工绩效计划和评估，激励员工在发现潜在问题时提出关切。管理层应向员工传递：除了解法律和道德责任外，披露不确定是否适宜的行动或需求建议也是员工的重要义务。披露情形包括确信其他雇员已从事、将从事违规行为，或确信自身涉及违规行为。

违规报告机制应至少包括调查启动的标准、调查范围确定的标准、具体的调查程序（何人、何事、何地、何时、如何调查）、调查报告文件要求、管理层报告程序、补救措施相关文件要求、调查结果通报的程序，以及纠正措施报告的程序。

如果违规得到确认，企业还应制定向美国政府进行外部报告的程序。BIS有一个自我披露计划。根据该计划，该自愿披露行为将被视为任何出口执法行政行为中的一项重大减轻处罚因素。但是，如想要被认定为“自愿”，披露行为必须在美国政府获得另一来源的相同或基本相似的信息，并在内部预先启动调查或查询前作出披露行为。因此，企业应该尽快披露以减轻处罚。如果企业需要时间去进行全面的评估，以确定任何其他违规行为，可以事先做一个初步自愿披露，并在完成内部检查后提交完整的披露内容。

一旦确定了违规行为，出口合规团队应进一步确认违规行为的根本原因，确保已经识别出相同或类似的违规事件，并将其纳入自我披露范围。该纠正措施应该被尽可能快速地执行并得到监督，以确保其正常运行。除此之外，内部识别违规行为以及为纠正错误而采取的纠正措施，也是一个很好的“经验教训”培训的机会。这些教训可以纳入后续出口合规培训计划中。

为了最大限度地减轻任何行政罚款，企业应在自我披露中包含已经采取的纠正措施以避免违规行为再次发生，以及任何其他可能存在的缓解因素。如果企业已经建立了基于BIS要求的出口合规计划，也将会是一个很好减轻处罚的因素，应该在自我披露中进行特别强调。

八、编写并维护合规手册

出口管制合规手册有助于使员工清晰明了地理解工作的具体职责，以及如何与企业内其他部门合作。但在编写合规手册之前，应确保手册的编写已经得到管理层的支持。管理层应起到示范作用，通过签署书面声明表明其对出口管制合规的支持和承诺。

出口管制合规手册可以帮助员工了解他们的具体责任以及其如何与企业内部其他部门进行整合，从而帮助加快出口流程。

合规手册的内容应根据企业规模和出口业务范围相适应，内容应以企业实际业务情况为基础，确保员工易于理解和遵循，包括日常操作和流程等。合规手册以风险识别、评估、管控为导向，明确所涉规则、流程的相关主体职责。为确保手册具有连续性、适用性与关联性，出口管制合规管理团队应当按年度对其进行更新，以应对企业业务与监管规则变化产生的外源修改要求。

九、结语

当前随着中美矛盾不断加剧，美国对我国在出口管制方面进行限制的力度也越来越大。由此带来的是具有涉美业务的企业被迫进行合规体系建设，否则一旦违规，不管是有意还是无意中的，对企业产生的影响都可能是灾难性的。

与其他国家相比，美国出口管制合规体系有其自身的特点——它是由社会效益驱动的。这就意味着，如果一些美国信用社将把不合规公司纳入其“黑名单”，与这些公司进行交易的个人和实体会注意到他们的交易面临更大的合规风险，他们可能会暂停或停止交易。同时，美国金融业也在构建美国出口管制合规体系中发挥了作用。它们会为符合美国出口管制法的公司提供更快、更高效的金融服务。

然而，美国目前的出口管制体系本身也存在潜在的国家安全风险，因为其结构过于复杂，包含了太多的冗余，并试图保护太多。因此，造成该体系鼓励外国客户寻求外国供应商，美国公司寻求不受美国出口管制的外国合作伙伴。