曾繁荣

[摘要]2018年5月，国际内部审计师协会研究基金会出版了内审专家Hans Nieuwlands的专著《审计反贿赂计划的方法》。该书总结了国际社会过去几十年针对组织贿赂所采取的专项行动，分析了这些行动如何落实到对国家和国际组织都有重要影响的公约、法律和条例中，在此基础上介绍了反贿赂计划的设计，并给出一个审计反贿赂计划的样本程序。该书具有积极的参考作用，因篇幅较长，将其主要内容分为上下两篇予以介绍，本篇为下篇。

[关键词]审计    反贿赂    计划    方法    反腐败

（承上篇）

（五）监控合规

……

7.业务关系。每个组织都与诸多第三方进行业务往来。第三方是所有与组织有或将要有业务关系的个人或实体，包括合作伙伴、供应商、承包商、代理、顾问、说客和其他中介。聘请第三方会带来风险，因为代表组织行事的个人或实体的不当行为可能导致组织承担法律责任和名誉损害。此外，第三方可能支付组织账户中未反映的贿赂。因此，只有在与潜在第三方建立或修改的业务关系满足内部诚信尽职调查要求时，才应与第三方建立或修改业务关系。

8.关联的业务实体。一个组织通常有许多关联的业务实体，如子公司、养老基金及其所控制的其他法律实体。这可能基于所有权或双方之间的协议。反贿赂计划应在组织有效控制的所有业务实体中实施。无论是否对业务实体进行有效控制，组织都应在建立关系时对业务实体进行适当记录，合理和相应地开展反贿赂尽职调查。若相关业务实体的策略和实践与企业的程序与原则相冲突，组织应采取适当行动，包括要求纠正实体计划执行和制裁实施方面的缺陷。

9.合资企业和财团。在订立合资、联营或类似业务之前，应进行尽职调查。必须进行年度评估，以确定合资企业不断变化的腐败风险。在进行评估时，可考虑以下事项：一是合资企业所在国的一般腐败程度。二是合资企业经营者的声誉。三是运营商管理体系/合规计划的设计及其有效性。四是集团在合资企业中的影响力。五是对合资企业进行审计/验证。六是合资企业面临的腐败风险。当组织不能保证合资企业或联营企业的计划与自身相一致时，应制定计划，在已发生或推断发生了贿赂行为时采取适当行动，包括要求纠正合资企业或联合企业在实施计划、实施制裁或退出安排方面的缺陷。

10.特工、说客和其他中间人。组织应根据合同，要求其代理人、说客和其他中间人保存适当的账簿和记录，以便组织、审计人员或调查当局检查。所有与代理人、说客或其他中间人达成的协议都需事先获得高管和法律事务部门的批准。对中介的补偿必须是合理的，并与其提供的（合法）服务成比例。合同中应包含第三方反贿赂条款和审计权条款。

11.供应商和承包商。采购和承包可能存在较高的贿赂风险。负责采购和承包的员工可能从供应商（特别是承包商）那里收受贿赂和回扣。為规避政策和程序，采购或合同部门的员工可能以牺牲其他供应商和承包商的利益为代价，偏袒某些供应商和承包商，如排除潜在供应商或承包商的竞争，或在竞争性投标过程中提供敏感信息。贿赂可以是现金或其他福利，如由供应商/承包商支付的货物或假期旅行。合同应包括一项条款，即规定公司有权在违反与贿赂有关规定时实施制裁，包括终止合同。根据风险评估，应要求供应商保证遵守供应商行为准则。

12.合并和收购。公司与另一家公司合并或收购时，将因合同或不当行为而承担大量责任。作为一般法律问题，公司与另一家公司合并或收购时，将由继承公司承担原公司的责任。继承责任是公司法不可分割的组成部分，它通过重组等方式防止公司逃避责任。并购既是风险也是机遇。若公司在合并或收购前未进行充分的尽职调查，可能面临法律或商业风险。为保护组织利益，迅速将其所有内部控制（包括反贿赂计划）纳入新组织是极为重要的。新员工应接受培训，（新）第三方应根据组织的反贿赂计划进行评估，还可考虑对新实体进行具体的合规审计。

13.尽职调查。基于风险的尽职调查对第三方尤其重要，因为一些法庭案例表明，包括代理、顾问和分销商在内的第三方，通常被用来在国际商业交易中隐瞒对外国官员的贿赂。可以考虑下列指导原则：首先，作为基于风险的尽职调查的一部分，组织应了解第三方合作伙伴的资质和关系，包括其商业信誉以及与外国官员的关系（若有）。随着危险信号浮出水面，应提高审查力度。其次，组织应了解将第三方纳入交易的业务理由。除其他事项外，公司应了解第三方的角色和需求，并确保合同条款所执行的服务到位。其他考虑因素包括付款条件及其与该行业和国家/地区的典型条款的比较。此外，公司可能希望确认并记录第三方工作实际履行的情况，使补偿与其所提供的工作相称。最后，组织应对第三方关系进行某种形式的持续监测，包括定期更新尽职调查、行使审计权利、提供定期培训以及要求第三方提供年度合规证明。

14.礼物和款待。在许多国家，礼物是建立和加强关系的一种方式，这种关系对建立和维持业务至关重要。礼物种类繁多，从印有该组织标志的钢笔等低级礼物到金表等贵重物品。礼物也可以是戏票，或者是完全付费的异国之旅。虽然这些可能没有任何明显的商业目的，但不相称的礼物是被禁止的。真诚的款待、促销或其他商业支出，旨在改善商业组织的形象，更好地展示产品和服务或建立友好关系。通常认为这是商业既定和重要的部分，并不认为是犯罪行为。但招待和促销或其他类似的业务支出可能被用作贿赂。不过，多数国家并不禁止合理适当的款待促销或其他类似的商业开支。组织应有适当的政策和程序，来确保所有的礼物、招待和费用都是真实的。

15.接受礼物。政策和程序应明确规定，禁止员工和任何其他间接为本组织工作的个人接受任何现金或任何其他形式的礼物。作为例外情况，如价值有限的促销项目，应在行为守则中明确说明。有时很明显地拒绝送礼会引起冒犯，而且送礼和接受礼物时并没有明确或隐含的理解。行为守则应包括有关雇员在这些情况下应如何行动的指示，即如何报告所提供、接受或拒绝的礼物。

16.接受款待。在商业活动中，款待必须是习以为常、普遍接受、价值不高、没有明确暗示的，才能接受。与此类款待有关的人员所产生的旅行、住宿和其他相关费用不应由主办方支付，而应由其所在组织支付。

17.赠送礼物、款待或其他商务礼节。接受礼物的规则也应适用于送礼、款待或其他商务礼节。除通常印有公司标志的价值极低的促销品外，为本组织工作的个人不得代表本组织送礼。在赠送礼物或款待之前，员工应事先与经理讨论拟提议的礼物或款待，必要时还应与合规官员讨论这些问题。在与公职人员打交道时必须特别小心，通常不应向他们提供任何礼物。

（六）人力资源（HR）

保持诚信文化需要积极和诚实的员工。人力资源部在制定有效的反贿赂计划、招聘和培训全体员工方面发挥着重要作用。在招聘阶段，组织的诚信价值和反贿赂计划应与应聘者公开讨论。雇佣合同应包括一项条款，说明雇员应遵守该计划。所有员工（尤其是新员工）都应接受反贿赂培训，还应针对在贿赂风险高的地区工作的员工进行专门培训。

此外，人力资源部还应明确检举程序，引起员工关注;应负责沟通潜在的违规制裁措施，在内部网或以任何其他方式公布实施的制裁，以提高对违反政策和程序后果的认识。

（七）培训

培训是反贿赂计划有效实施的重要因素。应要求员工定期参加反贿赂培训，确保各层级了解和执行组织的道德价值观、反贿赂政策及程序。培训可通过各种方式提供，如会议、课堂、电子学习和严肃的游戏。培训旨在提高员工对反贿赂计划的认识并提供额外指导，使员工识别和处理可能遇到的道德和贿赂问题，通过宣传组织对腐败的零容忍政策，降低员工从事腐败行为的风险，防止个人和组织受到民事和刑事处罚。

需要明确的是，人力资源部应对培训项目完成率进行监控，并通过事后测试参与者的知识来评估培训质量。

（八）检举和寻求指导

热线、举报渠道旨在方便员工报告贿赂事件，提出对潜在贿赂的担忧，包括可能对本组织产生消极影响的第三方的可疑不法行为，并寻求指导。由于有人揭发，许多贿赂丑闻浮出水面。

员工应意识到，他们有责任向高管报告任何违规行为或担忧。怀疑和缺乏信任或害怕报复可能是一些雇员不敢举报的原因。此外，当地文化可能让员工对检举感到不自在。此时，可选择匿名热线。全天候举报提高了监督效率。组织也应为员工提供热线电话，以便他们就反贿赂计划的应用寻求指导，或为改进程序和控制提供建议。组织应保护那些使用举报或建议渠道的人，对报告的事件和关注事项的调查应由独立于业务的高管开展。

（九）沟通

为使反贿赂计划有效实施，内外部沟通至关重要。所有沟通渠道都可以用于此目的，包括互联网、内部网、社交媒体等。解释行为要点的动画或视频是一种通过社交媒体进行沟通的有效方式。

（十）内部控制和记录

组织应建立和维持有效的内部控制体系以打击贿赂，应保持准确的账簿和记录，适当和公平地记錄所有财务交易，并可供检查;应定期审查内部控制制度（特别是会计和记录惯例），以保证其设计和执行的有效性。

（十一）监控和修正

反贿赂计划需保持有效。组织环境在不断变化，并产生关于风险的新视角。例如，新立法、利益相关者的不同期望、并购和新合资企业将改变贿赂风险状况。新视角要求对反贿赂计划的充分性和有效性进行评估，并在必要时修订。

此外，组织应建立反馈渠道来支持反贿赂计划的持续改进。来自员工和第三方的反馈可能表明需要更新反贿赂计划的政策和程序等，董事会应独立评估计划的充分性和有效性，并在年度报告中向股东披露结果。

（十二）与政府合作

向政府主动报告与贿赂有关的事件最符合组织利益。它表明了组织的良好意图，也可能大大减少罚款。组织应制定政策，向有关当局披露重大贿赂事件，并在贿赂、腐败调查与起诉方面予以配合。

（十三）独立的保证

组织应对反贿赂计划的设计、实施和有效性进行独立保证。组织的内部审计职能可以提供这种保证，审计范围应基于组织内贿赂风险高的领域。若内审人员参与了设计或实施，其客观性可能受到损害。此时，应另派人员进行审计。在没有内部审计职能的情况下，可以由合格的外部审计人员提供保证。

五、如何审计反贿赂计划

在进行审计时，可采用多种审计技术，包括：研究、审核（内部）文档、面谈、调查、交易测试、分析测试、数据分析、观察等。

（一）高层的价值观和声调

一是清晰地评估组织的价值观，是否承诺公平、诚实和公开地开展业务。二是确定董事会、高级和中级管理人员通过道德领导和强有力、明确、可见的支持和行为，证明其反贿赂承诺。三是评估对贿赂的零容忍承诺的清晰度。四是确定价值观是否通过内部网、互联网或其他方式充分传达给员工、供应商和其他涉众。

（二）行为准则

一是确保将组织的价值观转化为行为准则。二是确定行为准则清晰、简明，且对所有员工、承包商或分包商、供应商、代理以及代表组织开展业务的其他人都可知。三是必要时评估是否有细化的行为准则。四是确定行为准则是否通过内部网、互联网或其他方式传达给所有相关方。五是确定向员工和其他人提供额外的具体指导，包括假设的案例和预期行为。六是确定所有员工和（高风险）代理、其他中介和供应商接受了培训，并理解行为准则的含义。七是确定员工每年均通过书面确认其遵守行为准则。

（三）反贿赂计划的结构

包括：组织的价值观;零容忍声明;员工、供应商和其他相关利益相关者的行为准则;风险评估;政策和程序，包括检举和制裁;范围;监控和持续改进。

（四）风险评估

一是确保对组织面临的外部贿赂风险进行具体的风险评估，包括但不限于：国家风险、风险分类、交易风险、机会风险、合作风险。二是确保组织会定期重新评估风险。三是确保根据风险感知的变化定期调整计划。四是确保反贿赂措施的重点是高风险领域。五是确保考虑到内部风险因素，如高层的不当语气或奖金计划对行为的影响。

（五）政策和程序

一是确定将建立和维护反贿赂计划、政策和程序的责任分配给合规官，由其直接向CEO汇报。二是确定建立的政策和程序遵守内部规则，如行为准则和法律法规的责任。三是确定政策和程序涵盖风险评估中确定的高风险贿赂领域。四是确定特定的政策和程序适合不同利益相关者的需要。五是确定这些政策和程序与员工、代理、供应商和其他利益相关者有明确的沟通和理解。六是确定存在有效的控制措施，以监测反贿赂政策和程序的遵守情况。七是确定业务管理部门向合规官员适当报告了违规行为。八是评估检举程序的有效性。九是评估合规官员报告的违规行为及后续整改行动的有效性。十是确定制裁是否按计划实施。十一是确定通过内部网或其他方式将违反规定和实施的制裁清楚地传达给员工。

（六）范围

1.利益冲突。一是确定员工和相关第三方在招聘或任用前是否以书面形式披露任何（潜在的）冲突，并将任何变更及时通知组织。二是确定董事会和中高级管理人员是否存在（潜在的）利益冲突，并以书面形式提交年度报告。三是审查外部资源是否有迹象表明报告的（潜在）利益冲突已解决。四是确定员工接受了识别（潜在）利益冲突的培训。五是确定组织鼓励员工与管理层讨论（潜在的）利益冲突。六是确认合规主管和人力资源部门持续跟踪利益冲突情况。

2.与政府官员的互动。一是确定政策和程序明确禁止雇员直接或通过中介向公职人员提供任何报酬或其他有价值的东西，以获得公职人员的不当利益。二是通过审查公职人员的薪酬来确认：支付的整体合理性;差旅费和招待费;直接支付给政府官员，而不是供应商;预付款给公职人员是否在没有足够证明文件的情况下支付费用;购买礼物。三是确定选定的付款已获得必要的批准。

3.小额贿赂。一是确定政策和程序明确禁止员工支付小额贿赂，包括自掏腰包。二是确定有机会接受小额贿赂的雇员接受了适当培训，包括个案研究。三是审核费用报告样本，以确定是否有隐藏的小额贿赂或没有证明文件。

4.政治献金。一是确定政策和程序禁止本组织以任何形式提供政治捐助。例如：捐款;有利的贷款条件;产品、服务或贷款的折扣费用或费率;活动或出版物的赞助;免费或打折使用设施或服务;支持筹款活动。二是确定员工可以清楚地传达和理解这些政策。三是分析政治献金项目的会计数据。四是使用搜索引擎浏览互联网和社交媒体，寻找组织参与政治活动的迹象。

5.慈善捐赠、社区投资和赞助。一是确定政策和程序明确哪些慈善捐赠、社区投资和赞助是允许的。二是确保已订立明确的甄选准则来接纳慈善捐款。三是确保对所有接收机构进行尽职调查。四是确定有明确的程序、授权。四是分析会计数据，确定慈善组织的支出及其合理性。

（七）业务关系

1.关联的商业实体、合资企业和财团。一是从法律顾问处获得清单，列明组织的所有关联业务实体，包括子公司、合资企业、财团和其他法律实体。二是對现有和新关联的商业实体、合资企业、财团和其他法律实体中涉及的所有第三方进行尽职调查并形成文件。三是确认组织的所有关联业务实体均已纳入贿赂风险评估。四是确定组织的行为准则和反贿赂计划已在所控制的实体中得到有效实施。五是确定董事会和高级管理层积极促进其无法控制的相关业务实体遵守组织、道德规范和反贿赂计划的价值观。六是确定组织无法控制的关联实体使用的道德规范和反贿赂计划与本组织使用道德规范和反贿赂计划的一致性。七是审查内部和外部反贿赂计划有效性的审计报告。

2.合并和收购。一是确定尽职调查包括贿赂风险评估，并在交易完成之前进行。二是确定已识别出的贿赂支付和做法，发现后立即向有关当局报告。三是验证是否已执行计划，以使目标公司达到遵守组织价值、行为准则、政策和程序以及反贿赂计划等其他要素。四是测试与新员工沟通和培训的有效性。五是验证目标公司的内部控制与组织的内部控制相一致。

3.特工、说客和其他中介。一是从法律顾问处获取所有已知代理人、说客和其他中介的名单。二是在为每个第三方签署协议之前，审核是否进行了适当的尽职调查并记录在案。三是就相关风险而言，评估向第三方提供的培训是否足够。四是确定是否鼓励第三方使用组织的检举机制来报告关注事项和事件。五是对总账、采购和供应商记录开展数据分析，以识别潜在代理、说客和其他中介。六是根据从法律顾问处收到的清单，调查上述清单的完整性、合理性。七是与法律顾问和合规人员讨论不匹配的地方。八是验证已签署的所有协议是否真实，是否对授权进行约束。九是核实每份协议是否包含第三方将遵守组织反贿赂计划的条款，且每年以书面形式再次确认。十是确认每个协议都有审计权条款。十一是根据风险评估，确定是否需要对第三方进行审计。十二是审核支付给第三方的款项，以确定这些款项得到文件的充分支持、符合合同并得到适当授权。十三是确保支付给第三方的款项在会计记录中得到正确描述和分配。

4.供应商。一是评估批准新供应商和承包商的程序。二是选择若干新的供应商和承包商，并核实程序是否得到遵守。三是以数量较多的供应商和金额较大的合同为样本，在考虑贿赂风险的情况下，验证是否进行了充分的尽职调查。四是审查组织与高风险供应商和承包商的协议，确定同意遵守本组织的反贿赂计划，并每年以书面形式再次确认其遵守。五是确认所有供应商和承包商已书面确认遵守供应商的行为准则。六是与供应商一起审查奖金计划。七是确保奖金计划得到遵守，并直接向组织支付奖金。八是与法律顾问共同评估与供应商和承包商签订协议中的处罚条款是否合理，是否成为非法向对方输送利益的工具。九是确定已支付的所有重大罚款是否合理和适当。

5.礼物和款待。一是确定公司的政策和程序能让员工清楚地了解在何种程度给予或接受礼物和款待，包括娱乐和旅游。二是确认员工理解并遵守公司的政策和程序。三是核实最有可能收到第三方礼物的员工，是否按照政策要求收到礼物。四是确认这些礼物不超过规定的价值上限。五是验证所有与政策和程序不同的已接受礼品，是否获得相应级别的批准。

（八）人力资源

一是确认人力资源部参与了反贿赂计划的设计和维护。二是确保人力资源部将组织的价值观和行为准则纳入了组织档案。三是确保人力资源部在法律允许的范围内，对应聘者的犯罪背景进行调查。四是确保人力资源部讨论了劳动合同中的反贿赂条款，要求员工每年遵守反贿赂计划。五是对新旧劳动协议进行抽样，以确保协议符合规定并归档。

（九）培训

一是确定人力资源部门为所有员工建立了适当的培训计划，包括为受贿风险较高的员工量身定制培训计划。二是确定人力资源部门存在有效制度来监督培训参与情况。三是确保在培训结束之后，定期对参与者应掌握的知识进行测试。四是审核人力资源部对培训有效性进行的评估。五是确保对无效培训进行重新设计。六是确保对推迟培训的员工有足够的后续程序。

（十）检举和寻求指导

一是确定举报程序明确，并以组织所在国家/地区的官方语言提供。二是核实举报（涉嫌）贿赂事件可以匿名进行，除非当地法律法规禁止。三是确保举报人受到保护，免受报复。四是评估在当地情况需要时是否采用检举程序。五是确保热线运营商熟悉当地文化。六是确保检举程序可以在组织的互联网和内网站点以及相关社交媒体和其他手段上使用。七是与合规人员讨论事故报告的性质及其调查结果。八是与合规人员讨论从错误发生过程中吸取了什么教训，采取了什么纠正措施，以及对政策和程序的修改情况。九是核实已查明的贿赂，包括合规或人力资源部门的制裁，是否向所有员工披露。十是确保合规官将调查结果（匿名）反馈给举报人，并赞扬其使用热线电话。

（十一）沟通

一是验证组织的价值观、行为准则和反贿赂计划是否在组织的互联网、内网等渠道披露。二是验证组织的价值观、行为准则和反贿赂计划的变更是否清楚传达给了员工和第三方。三是确保内部网站包含关于贿赂的“常见问题”，并根据所提问题和关注事项定期更新。四是确保在内网、互联网和其他媒体上宣传热线使用，引起关注并报告与贿赂有关的事件。五是核实报告的事件和相关制裁是否已传达给员工、供应商、承包商和其他利益相关方。

（十二）内部控制和记录

一是测试程序中提到的控制是否有效实施。二是测试是否遵循了授权程序，特别是对于大额现金交易、跨境支付、礼品、招待费以及涉及贿赂风险较高的员工费用报告。三是使用數据分析识别异常项目，以便进一步调查。四是核实这些类型的费用是否在会计系统中有适当记录，包括交易的性质。

（十三）监控和修正

一是确保合规人员与高级管理层定期审查反贿赂计划的充分性和有效性，并在需要时修订。二是讨论是否将所提出的关注事项和从事件中吸取的教训作为监测和修订过程的参考因素。三是确保反贿赂计划的修订已清楚地传达给所有员工和相关方。四是确保合规人员和高级管理人员向董事会报告监测和修订结果。五是确保向利益相关方提交的年度报告中包括董事会对反贿赂计划充分性的独立评估。

（十四）与政府的合作

一是确保组织制定了要求向政府相关机构报告重大贿赂事件的政策。二是验证所有重大事件是否遵循此政策。

（十五）独立的保证

一是确定已提供足够的资源，用于审计内部或外部高贿赂风险领域。二是确保聘用合格的外聘审计员。三是确保计划的审计工作已经完成。四是在审查报告的基础上，寻找应提请合规人员和高管人员注意的模式。五是确认审计结果已得到充分的持续跟踪。

主要参考文献

叶陈云.公司内部审计[M].北京：机械工业出版社， 2013