美國司法部刑事部門《公司合規程序評價》中譯本（全文）

美國司法部刑事部門

公司合規程序評價

指導文件

更新:4月20日

----------------------------------------------------

介紹

司法手冊中的“聯邦起訴商業組織的原則”闡述了檢察官在對公司進行調查、決定是否起訴、談判或其他協議時應考慮的具體因素。(JM 9-28.300)。這些因素包括“公司在犯罪時以及在被起訴時合規程序的充分性和有效性”，以及公司“爲實施充分有效的公司合規程序或改進現有合規程序”所做的補救措施。JM 9-28.300（引用JM 9-28.800和JM 9-28.1000）。此外，美國量刑指南建議，在計算組織機構適當的刑事罰金時，應考慮該公司是否在不當行爲發生時制定了有效的合規程序。參見U.S.S.G§8B2.1、8C2.5(f)和8C2.8(11)。此外，司法部長助理Brian Benczkowski發佈的題爲“刑事部門事務中檢察官的選擇”的備忘錄(下文簡稱“Benczkowski備忘錄”)，指出檢察官在作出決議時應考慮“公司是否在合規程序和內部控制上進行了重大投資和改進”，以及“合規程序和內部控制的補救改進是否已經過測試，以證明它們將預防或發現日後的類似不當行爲”，以確定是否有適當的監控。

本文件旨在協助檢察官作出正確判斷，以確定公司的合規程序在犯罪時是否有效、在何種程度上有效，以及在起訴或決議時是否有效，進而確定（1）決議或起訴的適當形式;（2）罰金（如有）;（3）公司在刑事決議中履行的合規義務（如監事、報告義務)。

由於公司合規程序必須在刑事調查的特定背景下進行評估，刑事部門沒有使用任何嚴格的公式來評估公司合規程序的有效性。我們認識到，每一家公司的風險概況和降低其風險的解決方案都需要詳細而具體的評估。因此，我們對每一種情況都做出了個性化的決定。然而，在做出個性化決定的過程中，我們可能會問一些共同的問題。正如司法手冊所指出的，檢察官應提出以下三個“基本問題”:

1. “公司的合規程序是否設計良好?”

2. “這個程序是否得到了認真、真誠的執行?”換句話說，該程序是否得到有效實施?

3. 在實踐中“公司的合規程序是否有效”?

參見JM§9-28.800。

在回答這三個“基本問題”中的每一個時，檢察官可能會根據刑事部門常見的與評估公司合規程序相關的內容，來對該公司各方面的表現進行評估。下面的示例主題和問題既不是清單也不是固定公式。在任何特定情況下，下文所述的主題和問題可能並不都是相關的，鑑於所涉的特定事實，其他主題和問題可能更爲突出。雖然我們已經將主題歸納在這三個基本問題之下，但我們認識到有些主題必然不止屬於一個類別。

1. “公司的合規程序是否設計良好?”

“評估任何程序的關鍵因素是，該程序的設計是否足夠有效，以最大限度地預防和發現員工的不當行爲，以及公司管理層是否在執行該程序，或在暗中鼓勵或迫使員工從事不當行爲。”JM 9-28.800。

因此,檢察官應該檢查“合規程序的全面性”，JM 9-28.800，以確保公司不僅明確表明了對不當行爲的零容忍，而且制定了適當的政策和程序（從作業的責任,培訓到系統的激勵機制和紀律）來確保合規程序完全融入公司的業務和員工。

A. 風險評估

檢察官評估一家公司是否有完善合規程序的出發點是從商業的視角，瞭解該公司的業務、瞭解公司如何識別、評估和定義其風險概況，以及該程序在多大程度上對風險進行了適當的審查、投入了多少資源。

檢察官應考慮該程序是否“旨在發現某一公司業務中最有可能發生的特定類型的不當行爲”和“複雜的監管環境”。JM 9-28.800.2。例如，排除其他因素，檢察官應該考慮公司是否分析和解決各類不同風險，包括業務的位置，產業部門，市場的競爭力構成，監管環境，潛在客戶和業務合作伙伴，與外國政府事務，向外國官員，使用第三方，禮物，旅行和娛樂費用，和慈善及政治捐款所形成的各種風險。

檢察官還應當考慮風險評估的有效性、根據這種風險評估應該如何調整企業合規程序，以及其標準是否“定期更新”。可參閱JM 9-47-120(2)(c); U.S.S.G. § 8B2.1(c) （“組織機構應定期評估犯罪行爲風險，並應採取適當的舉措設計、實施或修改[合規程序]的每項要求，以降低犯罪行爲風險”）

檢察官可以相信基於風險的合規程序的質量和有效性，該程序將適當的注意力和資源用於高風險交易，即使它無法防止低風險地區的違規行爲。因此，檢察官應考慮將風險調整的指標“根據經驗教訓對公司合規程序進行修訂。”JM 9-28.80

-風險管理過程——公司採用什麼方法來識別，分析並處理它所面臨的特定風險？該公司收集了哪些信息或度量標準來幫助檢測存在問題的不當行爲類型？這些信息或度量如何影響公司的合規程序？

-風險特定的資源配置——公司是否投入了不成比例的資源將大量時間用於監管低風險領域，而非高風險領域，例如支付給第三方顧問的可疑款項、可疑交易活動或給經銷商和分銷商過多的折扣？公司是否對高風險交易(例如，與高風險國家政府組織簽訂大額合同）提出更高的要求，進行嚴格的審查，而不是把重點放在更溫和、更常規的接待和娛樂活動方面？

-更新和修訂——風險評估是否現行並定期進行審查？根據經驗教訓，政策及程序是否進行了更新？這些更新是否對不當行爲或合規程序的其他問題發現的風險做出瞭解釋？

B. 政策與程序

任何精心設計的合規程序都需要策略和程序，這些策略和程序既要符合道德規範的內容和效果，也應致力於降低公司在風險評估過程中確定的風險。作爲一個門檻，檢察官應該檢查公司是否有一套行爲準則，其中包括公司承諾完全遵守適用於所有公司員工的相關聯邦法律。因此，檢察官也應該評估公司是否制定了政策和程序，將合規文化融入其中它的日常運作。

-設計——公司在設計和執行新版政策與程序時，流程是怎樣的？設計時是否考慮了程序的實時更新？參與政策與程序設計的主體是誰？在推出新的公司業務部門前是否有前置的商討程序？

-全面——政策與程序能夠反映包括法律及監管環境變化在內的企業風險範圍，並且能夠對此提供解決途徑嗎？公司爲了監管與執行政策與程序，採取了哪些措施？

-可及——公司如何將自己的政策與流程傳達給所有的員工和相關第三方？如果公司設有外國子公司，對於外國員工而言是否存在語言或其他障礙？

-運營整合責任——負責整合政策與流程的主體是誰？政策與流程在推廣時是否能夠確保員工理解？通過公司的內控程序，政策與流程在哪些具體方面得到了加強？

-把關——在公司控制程序中，向把關者（如有審覈權限或認證職責的員工）提供了什麼樣的指引和培訓？把關者是否知道要關注哪些不當行爲？他們是否清楚需要提高警惕的節點及方式？

C. 培訓與交流

恰當且符合公司情況的培訓和交流是優秀合規程序的另一個標誌。

檢察官應當對公司採取的步驟進行評估，以確保政策與程序已融入組織，如爲董事、經理、相關員工以及其他需要培訓的代理人和商業夥伴提供定期培訓和認證。檢察官應當評估，公司是否以符合受衆規模、水平或專業的方式傳遞了信息。舉例來看，有些公司向員工提供瞭解決現實問題的實用建議或案例研究和/或指導員工如何在需要的時候根據具體情況獲取道德意見。另外，公司培訓是否涵蓋了過往的合規事件、公司是否有衡量培訓課程有效性的方式，也是檢察官應當評估的事項。

總而言之，檢察官應當檢查公司是否在實踐中向員工傳播了合規程序，員工是否在實踐中理解了該程序。只有這樣，檢察官才能作出合規程序是否“真正有效”的判斷。JM 9-28.800

-以風險爲基礎——相關控制部門的員工接受了什麼培訓？公司是否向高風險及起到控制作用的員工提供了恰當的培訓（包括用來解決不當行爲所在領域風險的培訓）？負責監管的員工是否接受了不同培訓或補充培訓？公司是如何決定接受培訓的主體以及培訓內容的？

-培訓的形式/內容/效力——培訓的形式及語言是否適合受衆？培訓是線上還是線下（或者兩者兼有）的？公司選擇某種培訓形式的理由是什麼？培訓內容是否包括從以前的合規事件中吸取的經驗教訓？公司如何判斷培訓的有效性？員工接受培訓後，公司是否會安排考覈？公司如何解決員工全部或部分通不過考覈的情況？

-關於不當行爲的溝通——爲了讓員工清楚公司對於不當行爲的態度，高級管理層採取了何種措施？當員工因未能遵守公司政策、程序及控制手段（如對不當行爲的類型進行匿名）被公司解僱或懲處時，公司內部通常是如何進行溝通的？

-指引的可用性——員工在提供關於合規政策的指引時可獲取哪些資源？公司如何評估其員工是否知道何時尋求建議，以及他們是否願意這樣做？

D. 保密報告體系和調查程序

一個精心設計的合規程序應當建立一個有效且可信的保密機制。通過這個機制，員工可以通過匿名或祕密報告的方式，向公司報告違反公司行爲準則、公司政策的行爲以及可疑或已經存在的不當行爲。檢察官應當評估，公司在處理舉報時是否採取了積極主動的措施來創造一個不懼報復的工作氛圍，是否規定了提交報告的合適程序以及保護舉報者的流程。檢察官應當評估，公司的調查程序是否包括將舉報轉交給適當的部門、及時完成徹底調查以及採取適當的後續行動及紀律規定的內容。

保密報告體系能夠在很大程度上證明，“一個公司的公司治理機制是否能夠有效發現及防範不當行爲。”JM 9-28.800；也可參考U.S.S.G. § 8B2.1(b)(5)(C) （當“一個系統包含有允許匿名或保密的機制，機構員工及其代理人可以在不懼報復的前提下報告潛在或業已存在的犯罪行爲或就此尋求指引”時，一個有效的工作合規程序已經就位並且經過公示了。）

-報告體系的有效性——公司是否設有匿名報告機制，如果沒有，爲什麼？公司是如何向員工宣傳這一報告機制的？報告機制被使用過嗎？公司是如何處理報告機制收到的指控的？公司的合規職能部門是否能獲悉關於報告和調查的全部信息？

-合格人員在合理範圍內組織調查——公司是如何決定哪些報告或危險信號是值得進一步調查的？公司如何保障調查是在合理範圍內進行的？公司採取哪些步驟來確保調查的獨立性和客觀性，如何確定調查的展開是合適且被恰當記錄的？公司如何決定誰來調查，誰做決定？

-調查響應——公司爲確保響應能力是否運用了時間指標？公司是否設有程序來監控調查結果並且確保對任何調查發現或建議做出的響應是負責的？

-資源和結果追蹤——報告和調查機制是否有充分的資金支持？公司如何收集、跟蹤、分析和使用報告機制中的信息？公司是否會根據報告及調查結果，對不當行爲或其他合規危險信號進行定期的模式分析？

E. 第三方管理

一個設計良好的合規程序應當對它的第三方關係進行以風險爲基礎的盡職調查。儘管盡職調查的程度會因公司或交易的規模及性質有所不同，但檢察官應當評估，公司是否對第三方合作伙伴的資質和關係有所瞭解，包括經常被用作隱瞞不法行爲的代理人、顧問和分銷商。不當行爲包括在國際商業交易中行賄外國官員。

檢察官還應當評估，公司是否瞭解第三方合作伙伴的聲譽，第三方與外國官員的關係（如有）以及在交易中需要第三方的商業理由。比方說，公司與第三方簽署的合同是否有具體描述第三方服務內容的條款，第三方是否確實在履行服務，第三方因此獲得的報酬水平與該行業及該地理區域的工作報酬是否相符。檢察官需要進一步評估，公司通過第三方合作伙伴提供的新版盡職調查、培訓、審計和/或年度合規認證，對第三方的關係是否進行了持續監控。

總之，一個公司對第三方進行的盡職調查工作是檢察官評估公司合規程序的一個重要因素，以確定該程序是否確有能力“發現公司業務線中最有可能發生的特定不當行爲類型”。JM 9-28.800.

-以風險爲基礎的整合程序——公司的第三方管理程序如何與公司識別出的企業風險的性質及級別相對應？該對應程序如何與相應的採購程序及供應商管理程序相結合？

-合適的控制——公司使用第三方是否確定有合適的商業理由？如果第三方曾參與了潛在的不當行爲，決定繼續使用第三方的商業理由是什麼？就公司與第三方簽訂的合同而言，條款是否明確了第三方的具體服務事項，收費條款是否合適，第三方是否按照合同執行了服務內容，第三方收費與所提供的服務是否相稱？

-關係管理——爲了防止第三方引發合規風險，公司是如何考慮第三方的薪酬及激勵結構的？公司如何監管它的第三方合作伙伴？公司對第三方的賬簿和賬戶是否有審計的權利，如有，公司是否在過去行使過這一權利？公司如何通過培訓的方式告知第三方關係經理相關的合規風險及管理辦法？公司通過何種方式激勵第三方實施合規和道德行爲？

-實際行動和結果——公司是否對第三方盡職調查中識別到的危險信號進行追蹤？對於未通過公司盡職調查或被終止合作的第三方，公司是否進行跟蹤，公司是否採取措施來確保這些第三方不在日後被僱傭或重新僱傭？如果經調查第三方曾參與不當行爲，在盡職調查中或僱傭後被識別到危險信號，公司是怎麼處理的？是否有類似的第三方因合規問題被中止、終止或審計？

F. 併購（M&A）

一個設計良好的合規程序應當對所有收購目標進行全面的盡職調查。併購前的盡職調查能夠幫助收購方更準確地評估每一個目標的價值，並就伴隨目標而來的腐敗或不當行爲的成本進行協商。有缺陷或不完整的盡職調查會導致目標公司的不當行爲持續發生，對一個企業的盈利能力及聲譽造成損害，並有承擔民事及刑事責任的風險。

一個公司能夠對它的收購目標進行恰當且詳盡的審查表明，該公司合規程序的實施能夠有效加強內部控制並對企業各層級的不當行爲進行糾正。

-盡職調查程序——盡職調查是否能夠識別不當行爲或不當行爲的風險？對被收購/合併實體進行風險審查的主體是誰？併購盡職調查的程序一般包括哪些內容？

-併購整合——合規職能是如何融入合併、收購和整合程序中的？

-將盡職調查與實施相聯繫的程序——公司對盡職調查中被識別到的不當行爲/不當行爲風險採取了何種追蹤和糾正的程序？公司在新實體實施合規政策和流程的程序是什麼？

2. “這個程序是否得到了認真、真誠的執行?”換句話說，該程序是否得到有效實施?

如果不能嚴格執行和有效落實，那麼即便是一個精心設計的合規程序在實踐中也可能是不成功的。檢察官被要求去調查，合規程序究竟是“紙上工程”還是“以有效的方式進行了酌情實施、審查和修訂”。JM 9-28.800. 除此以外，檢察官應當判斷“公司是否有充足的員工來對合規工作的結果進行審計、記錄、分析和運用”。JM 9-28.800. 檢察官應當判斷“公司的員工是否充分了解合規程序並確信公司程序作出的承諾”。JM 9-28.800；也可參考JM 9-47.120(2)(c)（一個有效的合規程序的標準包括，“公司的合規文化，員工應當意識到任何的犯罪行爲，即便是調查中潛在的犯罪行爲，也不會被容忍。”）

A. 中高級管理層的承諾

合規體系、政策和程序之外，對公司而言很重要的是要創造和培養遵守道德及法律的企業文化，有效的合規程序需要公司領導做出高層級承諾，承諾自上而下地實施合規文化。

公司的最高領導——董事會和高管——爲企業的其他部門定下了基調。檢察官應當檢驗高級管理層是否清楚地表達了公司的道德規範，以明確且毫不含糊的措辭傳達、傳播並通過實例表明公司嚴格遵守了這些規範。檢察官還應當檢驗公司的中級管理層是如何反過來加強了這些標準並鼓勵員工遵守這些標準的。也可參考U.S.S.G. § 8B2.1(b)(2)(A)-(C)（公司的“管理人員應當熟知合規及道德程序的內容及程序，並對其進行合理監督”；“高層人員……應當確保組織擁有有效的合規及道德程序”）（強調）。

-高層行爲——高層領導如何通過言語或行爲鼓勵或阻止了合規（包括調查中涉及到的不當行爲類型）？他們採取了何種具體行動來顯示他們在公司合規工作及補救措施中的領導力？他們是如何爲下屬員工展現模範作用的？在拓展新業務或追求更高收益，管理人員是如何應對更大的合規風險的？管理人員是否爲了實現業務目標鼓勵員工實施不道德行爲或者阻止合規人員有效履行他們的職責？

-共同承諾——爲了證明他們對合規或合規人員的承諾，高層領導和中層管理人員（如業務及運營經理、財務、採購、法律、人事）採取了什麼行動和補救措施？在面對競爭利益或業務目標時，這些人員是否堅持了他們的承諾？

-監督——董事會成員具備哪些合規專業知識？董事會及外部審計人員是否召開過具有合規與控制職能的高管會議或私人會議？在對不當行爲所在的領域進行監督時，董事會及高級管理層審計了哪類信息？

B. 自主權和資源

有效的實施還要求負責合規程序日常監督的人員具有足夠的權威和地位來採取行動。首先，檢察官應當評估合規程序的結構。此外，檢察官應當解決合規職能部門人員及資源的充足問題，尤其是負責合規程序的人是否：（1）在組織中有足夠的級別；（2）有充足的人力資源來有效執行必需的審計、記錄和分析工作；（3）從管理層獲取足夠的自主權，比如與董事會或董事會審計委員會直接接觸的權利。對企業而言，上述因素根據每個公司的規模、結構和風險狀況有所不同。“大公司……相較於小公司而言，通常應當投入更多的流程操作和更多的資源” U.S.S.G. § 8B2.1 note 2(C).的評述。“小公司可能不需要那麼多的形式和資源。” U.S.S.G. § 8B2.1 note 2(C).的評述。無論如何，想要一個合規程序真正起到作用，合規人員必須得到公司內部授權。

檢察官應當評估，“內部審計職能的實現是否由一個足以確保其獨立性和準確性的層級來負責”。這一評估能夠證明的是，合規人員是否實際被授權並且在公司的定位是“有效發現和預防不當行爲”。JM 9-28.800. 檢察官應當評估，“公司分配給合規工作的資源”，“合規人員的素質和經驗，比如他們是否能夠理解和識別構成潛在風險的交易及活動”以及“合規職能部門的權威性和獨立性，董事可獲得的合規專業知識”。JM 9-47.120(2)(c); 也可參考JM 9-28.800 （指示檢察官評估“管理者是否在公司內部建立了一個合理設計的信息及報告系統，這個系統能夠爲管理層和董事提供及時、準確且充分的信息，幫助他們就與法律相關的合規問題作出知情決定”）；U.S.S.G. § 8B2.1(b)(2)(C) （負責日常運作責任的人員應當有足夠的資源、適當的權威以及與管理層或一個合適的管理小組直接接觸的機會）。

-結構——公司的合規職能部門（如法律部門、業務部門或向首席執行官/董事會直接報告的獨立部門）是什麼？合規職能部門向誰報告？合規職能部門由指定的首席合規官或公司內部的另一名高管負責，該名負責人是否在公司內有其他角色？合規人員是隻承擔合規責任，還是在公司內還承擔其他非合規責任？爲什麼公司選擇當前的合規結構？

-級別和地位——在地位、薪酬水平、層級/頭銜、隸屬關係、資源和與重要決策者接觸方面，公司的合規職能部門與其他戰略職能部門相比有什麼不同？合規和相關控制職能部門員工的更替率是多少？合規在公司的戰略和運營決策上扮演了什麼角色？在具體案件中，公司對合規問題是如何反應的？是否有交易因合規問題被停止、修正或進一步審查？

-經驗和資歷——合規和控制職能部門的員工是否具備與他們的職責和責任相適應的經驗和能力？隨着時間的推移，經驗和能力的水平是否發生變化？誰來考覈合規職能部門員工的績效？考覈流程是什麼？

-資金和資源——是否有足夠的合規員工來對合規工作的結果進行審計、記錄、分析並採取行動？公司是否對合規工作投入了足夠的資金？合規及控制職能部門在向公司要求資源時是否曾被拒絕，如果有，理由是什麼？

-自主權——合規及相關的控制職能部門是否能夠向董事會和（或）審計委員會直接報告？合規及相關的控制職能部門與董事開會的次數？高級管理層成員是否在會議上出現？公司如何確保合規及控制職能部門員工的獨立性？

-外包合規職能——公司是否將全部或部分合規職能外包給外部公司或顧問？如果是，爲什麼？誰負責監督或聯絡外部公司或顧問？外部公司或顧問對公司信息的訪問級別是多少?如何評估外包過程的有效性？

C. 獎勵措施及紀律

有效實施合規程序的另一個標誌是建立合規獎勵機制和合規懲戒機制。檢察官應評估公司是否有明確的紀律程序、是否在整個組織內始終如一地執行這些程序、是否確保懲戒程序與不當行爲相稱。無論從事不道德行爲的員工的職位或頭銜如何，檢察官都應該評估組織是否將向員工傳達的信息是否達到“不道德行爲將不會得到容忍，並會迅速的讓違規人承擔相應後果”的程度。參見U.S.S.G § 8B2.1(b)(5)(C)(“公司的合規程序應通過以下方式始終得到執行和改善(A)根據公司的合規與道德程序，制定並實施適當的獎勵制度；(B)從事犯罪行爲和未採取合理步驟以預防或發現犯罪行爲的適當懲戒的制度”)。

舉例來說，一些公司發現，在適當的情況下，在公司內部懲戒制度可以產生一定的威懾作用。與此同時，一些公司還發現，提供一些激勵措施（如人員晉升、獎勵以及爲改進和發展合規項目或展示道德模範作用而提供的獎金)可以推動公司合規。一些公司甚至將合規作爲管理獎金的重要衡量標準，並/或將對公司合規工作的貢獻作爲職位晉升的一種根據。

-人力資源程序——誰參與對不當行爲作出的懲罰決定，包括決定涉案的不當行爲的類型？是否對每一個不當行爲都遵循相同的過程，如果不是的話，爲什麼？員工被懲戒的實際原因是否傳達給員工？如果沒有的話，爲什麼？是否存在限制信息傳達的相關法律或調查原因，或是否提供了“託詞式”的原因，保護企業免受指控揭發或外部審查？

-適用上的一致與平等——懲戒措施和獎勵措施是否在整個組織內得到公平和一致的應用？是否有相似的不當行爲得到不一樣的對待，如果有，爲什麼？

-獎勵制度——公司是否考慮過獎勵制度對公司合規的影響?公司如何激勵合規和道德行爲？公司是否存在基於合規與倫理原因而採取的具體行動的例子（例如，得到晉升或拒絕給予獎勵）？誰決定包括獎金在內的薪酬，以及與合規問題有關的人員的懲戒和晉升？

3. 在實踐中“公司的合規程序是否有效”？

聯邦起訴商業組織的原則要求檢察官評估“公司違規時和作出指控決定時，合規程序的充分性、有效性”。JM 9 - 28.300。鑑於首次被調查後的後顧性，檢察官在公司發生不當行爲後，評估合規項目時必須回答的最困難的問題之一是，該項目在不當行爲發生時是否得到有效運行，特別是在不當行爲沒有立即被發現的情況下。

在回答這個問題時，檢察官需要注意到，不當行爲的存在本身並不意味着不當行爲發生時合規程序沒有奏效或沒有效果。參見U.S.S.G §8B2.1(a)(“未能預防或檢測到違法行爲並不意味着該程序在預防和制止不當行爲方面通常沒有效果”)。事實上，“公司應當認識到，沒有任何合規程序能夠完全阻止公司員工的所有不當行爲。”JM 9 - 28.800。當然，如果合規程序確實有效地識別了不當行爲，包括能夠及時糾正和自我報告，那麼檢察官應該將這種情況視爲一個強有力的指標，表明公司的合規程序正在有效地工作。

在評估公司在不當行爲發生時，合規程序是否有效地起到作用時，檢察官應考慮公司是否發現不當行爲、如何發現不當行爲、在調查可疑的不當行爲時有哪些合適的調查資源可以運用，以及公司補救措施的性質和徹底性。

爲了確定公司的合規程序在作出起訴決定或決議時是否有效，檢察官應考慮該程序是否隨着時間的推移而演變，以應對現有和不斷變化的合規風險。檢察官還應考慮，該公司是否進行了充分和實際的根源性的原因分析，以瞭解是什麼導致了不當行爲，以及爲防止今後發生類似事件而需要採取的補救措施的程度。

例如，在衆多有影響的因素中，檢察官應當考慮“公司是否在公司合規程序和內部控制系統方面投入較大的投資和進行改善”和“對合規程序和內部控制制度的補救性的改善措施是否經過測試，能夠證明這種改善措施將防止或檢測在未來類似的不當行爲。Benczkowski備忘錄的第2部分（查看“如果公司的合規程序和控制在決議時被證明是有效的，並且資源充足，那麼可能就不需要監控了”)。

A. 對合規程序的持續改進，定期測試和評審

有效的合規程序的一個標誌是其公司對程序的改進和發展。在實踐中管控措施的實施必然會暴露出風險領域和潛在的調整需求。隨着時間的推移，公司的業務、經營環境、客戶的性質、法律的相關規定以及適用的行業標準也會發生變化。因此，檢察官應該考慮該公司是否在審查其合規程序以確保它沒有過時的方面作出了有效的努力。一些公司會對員工進行調查，以衡量企業的合規文化、評估合規程序的規制力度是否發揮其應有的作用，並/或進行定期審計，以確保合規程序的良好運行，儘管評估程序的性質和頻率可能取決於公司的規模和複雜性。

檢察官可以對公司作出促進合規程序的改進與可持續性發展所作出的努力進行獎勵。在評估一個特定的合規項目是否在實踐中有效時，檢察官應考慮“根據公司在合規過程中吸取的教訓對公司合規程序進行修訂”。JM 9 - 28.800；參見JM 9-47-120(2)(c)(查看“審計合規程序以確保其有效性”)。檢察官同樣應該關注公司是否採取了“合理的措施”，以“確保遵守組織的合規和道德程序，包括監控和審計，以發現犯罪行爲”，以及是否“定期評估合規程序實施的有效性”。U.S.S.G §8B2.1(b) (5)。像這樣積極主動的努力不僅可以在受到任何決議或檢控時得到回報（例如，在量刑指南中規定，可以補救信貸或較低的適用罰款範圍），而且更重要的是，可以避免今後繼續出現問題。

-內部審計——確定內部審計將在何處和多久進行一次審計的程序是什麼？制定該程序依據的基本原理是什麼？如何進行內部審計？如何審計可以發現與不當行爲相關的問題？是否進行了審計？結果如何？定期向管理層及審計委員會報告過哪些有關的審計結果及補救進度？管理層和董事會如何跟進？內部審計多久對高風險領域進行一次評估？

-控制測試——公司是否對與不當行爲相關的合規程序進行了審覈？放到更常見的情況中，公司對控制、合規數據的收集和分析，以及對員工和第三方的訪談進行了哪些測試？如何報告結果和跟蹤操作項？

-不斷更新——公司多久對風險評估進行更新，並審查公司合規政策、程序和實踐？公司是否進行了差距分析，以確定是否在其政策、控制或培訓中有沒有充分關注特定的風險領域？公司採取了哪些步驟來確定政策/程序/實踐是否適用於特定的業務部門/子公司？

-合規文化——公司對公司的合規文化衡量一次？是如何衡量的？公司是否尋求各級員工的意見，以確定他們是否理解高級和中級管理層對合規的承諾？公司在衡量合規文化方面採取了哪些措施？

B. 對不當行爲的調查

合規程序有效運作的另一個標誌是，存在一個運作良好、資金充足的機制，可以對公司、員工或代理人的任何不當行爲受到指控或懷疑時進行及時和徹底的調查。有效的調查結構還應具備記錄公司響應的既定手段，包括所採取的任何懲戒措施或補救措施。

-由具有資質的人員在合適的範圍內進行調查——公司如何確保調查的範圍是適當的，獨立、客觀、適當地進行，並進行了適當地記錄？

-對調查的回應——公司的調查是否被用於確定根本原因、系統漏洞和責任缺失，包括對監督經理和高級管理人員的調查？對調查結果作出回應的程序是什麼？調查結果最高可以提交到公司裏哪個層級？

C. 分析和糾正任何潛在的不當行爲

最後，在實踐中有效運作的合規程序的一個標誌是，公司能夠在多大程度上對不當行爲進行周密的根本原因分析，並及時和適當地糾正，以解決根本原因。

檢察官在評估合規程序的有效性時，應該反思“違法行爲的程度和普遍性；涉案職工的人數、級別；違法行爲的嚴重程度、持續時間、發生頻率；公司採取的所有的補救措施，包括對以前合規程序中發現的不當行爲進行紀律處分，並根據吸取的教訓對公司合規程序進行修訂。”JM 9 - 28.800；另見JM 9-47.120(3)(c)（根據《反海外腐敗法》公司執行政策，“爲進行及時和適當的補救並獲得充分的信任”，公司應論證“根本原因分析”，並在適當情況下“進行補救以解決根本原因”)。

檢察官應該對“公司採取的任何補救措施，例如，對之前合規程序中發現的過去的違反者採取紀律處分。”進行考慮。JM 98 - 28.800；參見JM 9-47-120 (2) (c)（查看“對員工進行適當的懲戒，包括那些由於直接參與或監督不力而被公司認定應對不當行爲負責的員工，以及對不當行爲發生地有監督權力的員工”和“任何表明公司承認不當行爲的嚴重性，爲不當行爲承擔責任，以及實施相關措施以減少此類不當行爲再次發生的風險，包括確定未來風險的措施”)。

-根本原因分析——公司對問題中的不當行爲的根本原因的分析結果是什麼？是否發現了任何系統性問題？公司裏誰參與了分析？

-先前的弱點——是哪一步管控措施失效了？如果政策或程序本應禁止不當行爲，它們是否得到了有效執行，並且對享有這些政策和程序所有權的職能的工作人員是否被追責？

-付款系統——涉案的不當行爲是如何獲得資金的（例如，採購訂單、員工報銷、折扣、零用現金）？哪些程序可以防止或檢測到對這些資金的不當使用？這些程序是否得到了改進？

-供應商管理——如果供應商涉及不當行爲，供應商選擇的過程是什麼？供應商是否經歷過這個過程？

-以前的跡象——是否有機會事先發現相關的不當行爲，如識別確定相關控制失敗的審計報告或受到指控、投訴或調查？該公司是如何分析這些機會爲何被錯過的？

-補救措施——公司做了哪些具體的改變來降低將來發生相同或類似風險的可能性？哪些具體的補救措施解決了根本原因和錯失的機會分析中確定的問題？

-問責制——公司針對不當行爲採取了哪些懲戒措施？這些措施是否及時？管理人員是否對在其監督下發生的不當行爲負責？公司是否考慮過因監管不力的人員而採取紀律處分？公司對員工紀律處分記錄（如紀律處分的數目及種類）與所涉及的行爲類別有何關係？公司是否曾因員工行爲不端而解僱或以其他方式對其進行處罰（如減少或取消獎金、發出警告信等）？