本节探讨风险评估和尽职调查的概念,并就组织如何以合理和适度的方式采取这些措施提供指导(第 11 条措施 组织反腐败计划).
本节提供一般性指导,另有四个相关章节针对不同类别的风险评估提供具体的补充指导。机构需要调整这些一般性原则和指导,以便实施适合其业务的风险评估和尽职调查程序,并充分应对机构面临的腐败风险。
如解释 什么是腐败GIACC 使用“腐败”一词的广义含义,包括贿赂、勒索、欺诈、卡特尔、滥用权力、挪用公款和洗钱。因此,本节的指导适用于所有此类犯罪活动。
在本节中,“业务伙伴”是指组织与之签订合同或计划签订合同的任何一方,包括但不限于客户、顾客、合资伙伴、财团伙伴、承包商、顾问、分包商、供应商、供应商、顾问、代理商、分销商、代表和中介机构(但不包括组织的人员)。
什么是风险评估?风险评估是由机构进行的审查,评估机构在其活动中可能面临的风险,以及机构的政策和程序是否足以将这些风险降低到可接受的水平。风险评估涵盖各种风险,例如金融、商业、政治、技术、安全、质量、环境和腐败等。
腐败风险评估可以由组织作为其整体风险评估的一部分进行,也可以作为一项专门针对腐败风险的单独评估。以下指南仅针对腐败风险。
在本指南中,“可接受”的风险水平意味着,考虑到组织的政策和程序,腐败风险似乎足够低,以至于可以合理地允许业务关系、交易或项目继续进行或继续下去。
什么是尽职调查?尽职调查是指机构对特定国家、交易、项目或业务伙伴进行调查,以进一步了解这些对象及其可能对机构构成的风险。尽职调查的结果将反馈到相关的风险评估中。
风险评估与尽职调查之间的相互关系风险评估和尽职调查是两个独立的概念,但它们相互关联且协同作用。原则上,无需进行具体的尽职调查即可进行风险评估。例如,如果一家机构非常熟悉其业务所在国家/地区,并且与长期知名的业务伙伴合作,则在进行风险评估时可能无需进行任何具体的尽职调查,因为该机构已通过先前进行的尽职调查了解了关键点。通常,机构也无需针对可能构成低腐败风险的交易、项目或业务伙伴进行尽职调查。但是,如果国家/地区、交易、项目和/或业务伙伴对该机构来说是新事物,并且/或者可能构成过低的腐败风险,则在正确完成风险评估之前,可能需要进行一些尽职调查。
虽然风险评估可以独立进行而无需尽职调查,但尽职调查本质上是一种工具,仅在组织评估风险的情况下执行,并且需要更多信息才能正确完成评估。
风险评估与组织政策和程序之间的相互关系在初步划分腐败风险(例如,分为低、中、高三个等级)时,组织应根据风险发生的可能性(即不考虑组织政策和程序的影响)进行原则性分类。例如,在腐败现象普遍的国家工作可能被归类为高风险。
风险评估应考虑机构的政策和程序,并评估风险发生的可能性及其后果的严重程度。例如,在某个国家开展业务的评估风险可能很高,但机构可能会确定,如果按照其程序,只与对招标和项目管理有良好控制的客户合作,并且机构对其供应链和人员实施强有力的控制,那么风险就不太可能发生;即使发生了,其后果也可以得到适当的缓解。因此,由于客户和机构的控制,潜在的高风险已降至低风险或中低风险。
该组织应考虑其风险评估的结果,并确保对较高风险类别实施更高级别的控制,以将所有类别降低到可接受的风险。
如果即使考虑到组织的政策和程序,评估的风险仍然很高,那么组织可以决定是否增加控制措施以将风险降低到可接受的水平,或者组织是否有必要不参与该项目,或不与该业务伙伴合作,因为风险高得令人无法接受。
风险评估和尽职调查的目的腐败风险评估以及作为风险评估一部分开展的任何尽职调查的目的并非消除所有可能的腐败风险。其目的是在进行合理且适度的调查并对问题进行适当考量后,确定腐败风险是否足够低,从而合理地允许业务关系、交易或项目继续进行。
风险评估范围 组织实施的腐败风险评估程序应旨在使组织能够评估:
与其现有和拟议活动有关的腐败风险;以及其政策和程序是否足以将这些风险降低到可接受的水平。风险评估可以在不同层面进行。
它可以是一种总体风险评估,从总体上审视组织在其整体活动中面临的风险。它可以是一项特定风险评估,对特定国家、交易、项目和/或业务伙伴进行充分详细的审查。它通常是上述内容的组合,包括进行总体风险评估,以及针对高风险国家、项目和业务伙伴进行具体风险评估。风险评估的类别风险评估主要分为四类(有关每个类别的进一步指导,请参阅单独的链接页面):
组织腐败风险评估: 检查组织业务面临的总体腐败风险(概述风险评估)。
国家腐败风险评估: 它审查组织在进行或计划进行交易或项目的每个国家可能遇到的腐败风险的一般类型和程度。
项目腐败风险评估: 它审查组织正在进行或打算进行的特定项目或交易中可能遇到的腐败风险的类型和程度。
业务伙伴腐败风险评估: 它审查特定类别的业务伙伴或特定业务伙伴可能遇到的腐败风险的类型和程度。
组织进行这些风险评估的方式取决于组织的规模和复杂性以及其工作的性质。
如果机构的业务活动相对简单且相似,并且长期在一个或几个国家开展业务,使用熟悉的同一批业务伙伴,并从事相对常规的重复性工作,那么该机构可能只需进行一次总体机构腐败风险评估,并且每年进行一次即可。整体国家、项目和业务伙伴风险可以作为机构腐败风险评估的一部分进行评估,而无需单独进行国家、项目或业务伙伴风险评估。如果机构的活动较为复杂,或业务范围广泛,或业务遍及多个国家/地区,或业务伙伴类型多样,或开展的交易或项目类型多样,从而可能带来不同的腐败风险,那么机构最好进行年度机构腐败风险评估,该评估概述了机构的风险,并对腐败风险较高的国家/地区、项目和业务伙伴进行单独评估。单独评估的摘要可以纳入年度机构腐败风险评估。如果机构在不同国家开展几个重大项目,并使用特定的业务伙伴来完成这些项目,那么机构可能无需单独进行国家和业务伙伴风险评估,而是将国家、业务伙伴和项目风险合并到具体的项目腐败风险评估中。这样,机构每年将进行一次机构腐败风险评估,并针对其主要高风险项目进行几项具体的项目腐败风险评估。单独项目评估的摘要可以纳入年度机构腐败风险评估。对于业务伙伴,组织可以选择按类别对业务伙伴进行年度风险评估(即根据业务规模、与客户或政府官员之间的可能关系等因素,将业务伙伴分为高、中、低风险类别),然后仅对腐败风险高于低的业务伙伴进行特定的业务伙伴腐败风险评估。因此,该组织需要确定如何以合理和适当的方式最有效地评估其腐败风险,然后相应地调整其风险评估流程。
上文提到的关于组织、国家、项目和业务伙伴腐败风险评估的单独网页,提供了关于如何实施这些不同评估的建议。然而,在任何情况下,组织都应根据自身业务调整本指南,并制定最适合其结构、业务模式和腐败风险的风险评估流程。
何时应进行尽职调查?以上章节介绍了不同类型的风险评估。何时应进行尽职调查以支持这些风险评估?机构对其所有国家、项目和业务伙伴进行尽职调查,无论它们是否可能构成腐败风险,可能都是不合理且不相称的。因此,GIACC 项目建议机构应对其整体业务进行风险评估(机构腐败风险评估),该风险评估将按类别审查国家、项目和业务伙伴,并确定哪些类别的腐败风险高于低水平。之后,将对所有属于风险评估确定的腐败风险高于低水平的特定国家、项目和业务伙伴进行适当的尽职调查。
尽职调查的结果将反馈到风险评估中。
尽职调查应尽可能在机构签订相关合同或承诺之前进行,因为如果在此之后进行,机构可能会发现风险已经发生,或者已经签订了合同承诺,从而难以减轻风险。
如果组织发现任何情况导致评估风险从低风险类别变为高风险类别,则组织应尽快对相关活动、项目或业务伙伴进行适当的尽职调查。
组织应定期更新其对正在进行的活动、项目和业务伙伴的尽职调查。组织需要确定更新频率,以确保风险评估保持最新状态。在某些情况下,可能需要至少每年更新一次尽职调查,这对于高风险领域而言似乎是合适的。对于中等风险领域,组织可能认为每两年更新一次风险评估较为合适。
为什么要进行尽职调查?充分的尽职调查是预防腐败的重要机制。它可以识别潜在的腐败情况,并使组织能够采取适当的预防措施,或完全避免与潜在腐败方或项目发生牵连。例如:
一家承包商正在考虑竞标一项建筑施工合同。该公司对其客户(即建筑物业主)进行尽职调查,发现该客户的主要股东正因重大欺诈而接受调查。如果该股东确实实施了该欺诈行为,并将部分欺诈所得用于项目融资,那么承包商的付款将来自犯罪所得,这可能构成洗钱。因此,承包商可能卷入洗钱交易,这可能会对其造成潜在的刑事后果。一家分包商正在考虑向另一家承包商投标,由后者为其为一家公共部门机构建设的项目提供和安装设备。分包商的尽职调查发现,该机构未经竞争性投标就将合同授予了该承包商,尽管适用于该机构的国家采购法要求进行竞争性投标。有传言称,公共部门机构的管理人员经常出于腐败目的绕过招标程序。如果合同是在违反招标程序的情况下授予的,则该合同可能是违法的,可能会被终止,从而使分包商面临财务风险。如果承包商通过行贿赢得合同,那么该合同也是违法的,可能会被终止,而且承包商向分包商支付的任何款项都可能被视为犯罪所得,并可能构成洗钱罪。某承包商在一个以腐败程度高而闻名的国家竞标项目,对该国家的海关和内部运输程序进行了尽职调查,发现如果不行贿或支付疏通费,其设备很可能无法运到现场。承包商不会行贿,因为这是违法的,也违反了承包商的政策。承包商不能将运输分包出去,除非承包商有合理的把握确定分包商不会行贿(否则承包商可能要对分包商的贿赂行为负责)。如果没有支付贿赂,设备可能会被严重延误或永久扣押。除非承包商可以建立法律机制,使设备及时通过海关而不需要行贿,否则承包商可能会决定在这种情况下不能竞标该合同。在所有上述案例中,尽职调查均已提醒询价机构注意潜在的腐败风险。仅仅识别出风险的存在并不意味着已识别出的因素必然成立或腐败风险将会发生。然而,该机构需要仔细考虑该风险,并评估其防范该风险的政策和程序的有效性。只有当该机构认为腐败风险足够低,足以构成合理的商业决策时,才应继续进行交易。
尽职调查应该有多广泛?尽职调查应根据风险程度量身定制。有效的尽职调查很大程度上取决于良好的培训和判断力。尽职调查不能过于彻底和昂贵,以至于导致业务关系或项目不具成本效益。所有风险都无法避免。尽职调查的目的是对具体方面进行合理且适度的调查,以便做出判断,确定腐败风险是否足够低,从而做出继续进行或维持项目或业务关系的合理商业决策。
本页底部链接的相关风险评估部分提供了有关开展尽职调查的具体指导。
风险评估和尽职调查的成本风险评估和任何相关尽职调查的成本应与相关交易或项目的规模成比例,以保证成本效益。
处理已发现的腐败风险如果风险评估确定机构现有的政策和程序不足以将评估的腐败风险降低到可接受的水平,则应尽可能改进政策和程序,以将评估的风险降低到可接受的水平。针对这些高风险方面的改进可以包括,例如,建立额外的监督机制,要求更高级别的管理层批准任命、工作或付款,或要求在批准文件上增加签名。或者,如果可行的话,可以重组交易或项目,以降低机构面临的风险。例如,这种重组可以包括,机构将代理人基于高风险成功费的支付结构改为基于低风险日费率的支付结构,或调整项目工作范围,使机构不再负责高风险项目活动。
如果针对特定交易或项目的风险评估表明,即使改进了政策和程序,也不足以将评估的风险降低到可接受的水平,则组织应:
对于现有的交易或项目,采取与交易或项目的风险和性质相适应的措施,尽快终止、中止或退出该交易或项目;如果有新的交易或项目提议,则拒绝继续进行。组织可能评估无法将评估的风险降低到可接受水平的情况以及可能采取的后续行动如下
机构评估,就拟议项目而言,使用当地代理商或当地合资伙伴将构成超低腐败风险,且机构没有合理的可能性能够控制或降低腐败风险。因此,机构可能决定继续该项目,但不使用当地代理商或合资伙伴。或者,机构评估,其无法合理信任其拟议合资伙伴的道德规范,因此无法指定其为合作伙伴,但可以寻找其他更值得信赖的合作伙伴。该机构评估,就一项拟议项目而言,有强烈迹象表明,该机构将为其承建该项目的客户通过贿赂非法获得了规划许可。因此,该项目很可能是非法获得的项目,客户向该机构支付的项目款项可能构成洗钱。此外,该项目可能因违法行为而被政府随时终止。该机构在其政策和程序方面无能为力,无法应对此类风险。因此,该机构拒绝竞标该项目。记录风险评估和尽职调查组织应记录进行这些风险评估和尽职调查的程序(即风险评估和尽职调查的类型、何时进行以及由谁进行)。
该组织还应适当记录所进行的实际风险评估和尽职调查。
责任与批准风险评估和尽职调查应由合规经理或其他适当经理准备或在其监督下进行。
这个 机构腐败风险评估 应每年由该组织的董事会批准。
如果该组织采取具体行动 国家腐败风险评估, 项目腐败风险评估 和 业务伙伴腐败风险评估,则这些应该得到合规经理或其他适当经理的批准。
风险评估和尽职调查的副本应提供给所有相关人员。可以将其放在组织内部网(即只有组织人员才能访问的私人网站)上,或通过电子邮件或纸质版提供。