OFAC合规承诺框架解读

摘要

2019年5月2日，美国财政部海外资产控制办公室（OFAC）发布了一个合规承诺框架（“框架”），为受美国管辖的组织（包括在美国或与美国人打交道的外国实体，或使用美国原产品或服务的实体）提供指导，告知OFAC认为制裁合规项目应具有的五个基本组成部分：1）管理层承诺　2）风险评估　3）内部控制　4）测试和审计　5）培训。

这五个组成部分与FFIEC^[1]《反洗钱检查手册》^[2]中要求的金融机构银行保密和反洗钱项目的必备要素高度吻合。框架还解释了OFAC如何在执法背景下考虑这五个组成部分，并强调OFAC对合规项目充分性的重视，这在解决执法行动时至关重要。事实上，最近的两起执法行动^[3]已经将承诺作为谈判解决的条件。最后，框架包含一个附录，列出了OFAC在公开执法行动中发现的十大明显违反美国经济和贸易制裁规定的根本原因。

背景

虽然OFAC的法规并没有明确要求各方实施和维护制裁合规项目（框架也没有改变这一点），但OFAC的《执法指南》^[4]将存在和有效的OFAC合规项目的充分性列为判断对明显违规行为采取适当行政行动时需要考虑的一个常规因素。在发布该框架时，OFAC官员在公开讲话中强调，该框架与OFAC长期以来建议采用基于风险的方法以及大型、复杂金融机构目前的做法是一致的。^[5]该OFAC官员还确认，框架在很大程度上依赖FFIEC的反洗钱检查手册，并表示在制定框架时，OFAC还征求了联邦银行监管机构的反馈。

最近宣布的与两家外国金融机构达成的明显违反OFAC法规行为的和解，预示了该框架的内容，要求每一家机构承担六项合规承诺，其中前五项与框架中规定的要素完全一致。在每次最近的两起和解中都存在而在框架中不存在的第六个要素，是要求一名高级管理人员或经理在未来五年每年向OFAC提供证明，确认该机构已经实施并继续维护其他五类中规定的合规承诺。在最近的公开讲话中，OFAC官员确认，这些解决方案中的证明要求不代表一个更广泛的、适用于所有机构的要求，而将根据每个个案情况而定。

在发布该框架时发表的声明中，负责恐怖主义与金融情报的财政部次长Sigal P. Mandelker解释了该框架的重要性，她指出：“随着美国继续加强制裁方案，确保私营部门实施强大且有效的合规方案，以保护美国金融系统免受滥用，这是我们战略的一个关键部分。”

框架的重点

该框架声称OFAC“强烈鼓励”受监管对象“采用基于风险的制裁合规方法，通过制定、实施和定期更新［制裁合规项目］”。虽然该框架承认每个合规项目会根据几个因素而有所不同，如组织的规模和复杂程度、提供的产品和服务、客户和交易对手以及运营所在地，但该框架指出每个项目至少应包括以下五个组成部分：

1．管理层承诺

2．风险评估　　

3．内部控制

4．测试和审计

5．培训

然后，该框架利用这五个组成部分（下面会详细讨论）为制定和实施基于风险的合规项目提供指导。

Ａ．管理层承诺

框架指出，第一个组成部分，高级管理层的承诺，是确定SCP^[6]成功的第一个“重要因素”，因为它有助于确保SCP获得充分的资源和全面融入组织的日常运营。它还可以帮助合法化SCP和赋予SCP人员权力，并在整个组织培养合规文化。尽管“高级管理层”这个术语在不同组织中可能不同，但它通常应包括高级领导、高级管理人员和／或董事会。然后，该框架进一步确定管理承诺组成部分的五个方面：审查和批准合规项目；确保合规部门的适当权力和汇报结构，包括足够的自主性；采取措施确保合规部门获得足够的资源；推广合规文化；表明已经认识到明显违规或合规缺陷的严重性并采取必要措施减少将来明显违规行为的发生。

Ｂ．风险评估

框架的第二个组成部分是OFAC建议每个组织采用基于风险的方法来设计或更新其SCP。这种方法的核心是进行风险评估，并在适当时持续进行，评估结果将是告知组织基于风险的决策和控制的重要信息。尽管该框架承认风险评估将因组织而异，但它表示风险评估通常应该包括对组织及其外部接触点的全面自上而下的审查，可能包括对以下方面的评估：(i)客户、供应链、中间商和交易对手；(ii)组织提供的产品和服务，包括此类项目如何以及在何处适用于其他金融或商业产品、服务、网络或系统；以及(iii)组织及其客户、供应链、中间商和交易对手的地理位置。然后，该框架进一步确定风险评估组成部分的两个方面：方式和频率（包括对风险评估的更新）；以及识别、分析和解决特定风险的方法。该框架特别指出，如果组织在日常业务中识别出任何明显违规或系统性缺陷，应更新风险评估以考虑这些根本原因。　

Ｃ．内部控制

该框架的第三个组成部分规定，有效的SCP应包括内部控制，包括用于识别、拦截、上报、记录和在适当时报告可能违反OFAC法规活动的政策和程序。该框架还确定内部控制的三个目的：(i)概述明确的期望，(ii)定义与OFAC合规相关的程序和流程，以及(iii)最小化组织在风险评估过程中识别的风险。该框架强调组织的内部控制能够快速适应变化的重要性，包括OFAC制裁相关名单的更新，新的和经修订的制裁方案和禁令，以及颁发一般许可证。　然后，该框架进一步确定内部控制组成部分的七个方面：政策和程序；风险评估结果和风险概况；审计；记录保存；解决薄弱环节；传达（包括与运营高风险领域的业务部门及代表组织执行SCP职责的外部各方）；以及已指定人员将SCP整合到组织的日常运营中。该框架强调，要使内部控制有效，“必须执行政策和程序，识别薄弱环节（包括通过分析任何合规违规的根本原因），并纠正这些薄弱环节，并且必须定期对项目进行内部和／或外部审计和评估。”

Ｄ．测试和审计　

框架的第四个组成部分强调了合规项目内全面客观的测试或审计功能的必要性，以评估当前流程的有效性，并核查这些流程与实际日常运营之间的不一致之处。　然后，该框架确定了测试和审计组成部分的三个方面：问责制、独立性和技能；量身定制；以及对负面结果的即时补救。^[7]

Ｅ．培训

OFAC将该框架的第五个组成部分即培训描述为“成功SCP的一个不可或缺的组成部分”，并说明应“定期（至少每年一次）向所有适当的员工和人员提供培训”。该框架进一步确定培训计划的三个主要目标：　(i)　根据需要提供与工作相关的知识；(ii) 传达每个员工的制裁合规责任；以及(iii)　通过评估让员工对制裁合规培训负责。然后，该框架进一步确定培训组成部分的五个方面：向员工和在适当情况下向外部利益相关者提供充分和定制的信息和指导；与所在地域相关；适当的频率；对负面结果或缺陷进行即时纠正或行动；以及对资源和材料的可访问性。

Ｆ．OFAC在调查中确定的根本原因

该框架还包含一个非详尽列表，概述了OFAC在公开执法行动中发现的十种具体根本原因。在最近的公开讲话中，OFAC官员强调，发生违规行为后确定根本原因的重要性，以及将该信息纳入组织后续的风险评估和内部控制之中，这是一种最佳实践。该附录中确定的具体根本原因如下：

1．缺乏正式的OFAC合规项目。该框架指出，虽然OFAC不要求采用合规项目，但它已经在许多民事罚款中将受制裁方缺乏合规项目确定为制裁违规的根本原因之一。在OFAC的执法指南中，缺乏合规项目也经常被确定为加重因素。

2．误解或未能理解OFAC法规的适用性。该框架举出的一个示例是，未能认识到OFAC制裁适用于某组织是由于其美国人身份（或者在古巴和伊朗规定的情况下，是美资控股的子公司），或与美国人、美国金融系统或美国原产商品或技术的交易。

3．促成非美国人关联企业的交易。该框架称，多个受美国管辖的组织违反OFAC法规，因为它们将商机推荐给位于非美国地区的办事处、批准或签署由这些办事处进行的交易，或者以其他方式促成其非美国机构与受OFAC制裁的国家、地区或人员之间的交易。因此，该框架建议，那些跨国运营的组织，特别是那些需要美国人员参与或需要美国人员参与的组织，应确保其参与的任何活动均符合OFAC的法规。

4．对受OFAC制裁的个人或国家出口或再出口美国原产货物、技术或服务。该框架指出，非美国人曾多次购买美国原产货物，并打算将其出口、转让或销售给受制裁的国家、个人或地区，在许多情况下存在合同中明确禁止此类活动等警告信号。该框架还指出，OFAC在这方面的执法行动通常针对的是：规模大或复杂的组织，从事持续数年的模式或做法，忽略或未能响应许多警告信号，使用非常规商业做法，并且在几种情况下，以鲁莽或故意的方式掩盖其活动。

5．利用金融系统或通过美国金融机构处理涉及受OFAC制裁个人或国家的商业交易的支付。该框架解释说，许多非美国人通过处理与受制裁国家、地区或个人的商业活动有关的金融交易违反了OFAC法规，几乎所有这些交易都是以美元结算，经美国金融机构支付。该框架指出，即使基础商业贸易本身不涉及任何美国人，但如果在相关支付中涉及美国金融机构，往往会导致被禁活动，例如从美国向全面受制裁的国家出口服务，或在美国处理被冻结财产。该框架还指出，OFAC在这方面的调查通常集中在参与故意或鲁莽行为的人身上，他们试图隐瞒该活动（例如通过删除或操纵支付消息，或对其美国或非美国金融机构做出虚假陈述），从事持续数月或数年的模式或做法，忽略或未能考虑许多警告信号，组织管理层实际知晓或参与，严重损害了美国制裁计划的目标和／或属于大型或复杂的组织。

6．制裁筛查软件或过滤故障。该框架表示，这些故障往往是由于未能(i)更新软件以反映OFAC制裁名单的更新；(ii)包括受指定、冻结或制裁的金融机构的相关标识符，如SWIFT商业标识码；或(iii)拼写替代，例如以Habana替代Havana､Kuba替代Cuba､Soudan替代Sudan等，尽管相关组织运营地使用这些拼写。

7．对客户或客户的尽职调查不当。该框架指出，组织对其客户的尽职调查是有效的风险评估和合规项目的“基本组成部分”之一，这方面的失败可能包括不当或不完整的尽职调查，包括关于客户的所有权、地理位置、交易对手以及交易本身，以及对OFAC制裁的知悉程度。

8．合规职能分散化和对SCP适用不一致。虽然该框架指出每个组织应根据自身特点设计、开发和实施SCP，但它解释说，由于合规项目分散化，人员和决策者分布在各个办事处或业务部门，导致几个受美国管辖的组织出现明显违规。该框架列出了合规职能分散化可能带来的几个问题，包括：(i)　错误解释和适用OFAC法规；(ii)　没有正式的高风险客户或交易上报流程；　(iii)　监督和审计职能效率低下或无能；(iv)　对制裁相关政策和程序的传达流程不畅。

9．使用非标准支付或商业惯例。该框架警告说，在许多情况下，组织通过实施非标准的业务方法来规避OFAC制裁，并指出受美国管辖的组织最能判断某项交易、业务或活动是否符合行业规范和惯例。

10．个人责任。该框架指出，在几起案件中，OFAC确定个别员工，特别是那些担任监督、管理或行政职位的员工，在导致或促成违反OFAC法规方面发挥了主导作用。在某些情况下，组织外国实体的员工设法向组织内其他人员（包括合规人员）以及监管机构或执法部门隐瞄并掩盖其活动。该框架解释说，在这种情况下，OFAC将考虑不仅对违规实体，还将对个人行使执法权。

Ｇ．与司法部指南的关系

除了前面提到的与FFIEC检查手册的重叠外，该框架还包含若干与美国司法部最近更新的企业合规项目评估指南中的要素，包括：进行风险评估的必要性、通过定期培训加强政策和程序的方式、高级管理层传达适当标准的程度、合规项目获得的资源和自治、以及定期测试、审查和任何潜在不当行为的补救的重要性。

框架的影响

虽然该框架与OFAC之前关于组织采用基于风险的SCP的重要性的声明一致，但它通过概述OFAC认为合规项目的五个基本组成部分以及如何实施每个组成部分提供了有用的指导。该框架的应用必然因组织制裁相关风险的性质和程度而异。在最近的公开讲话中，OFAC官员将这些组成部分描述为大型、复杂金融机构高质量SCP的标志，并指出其他类型的机构（如从事货物和服务贸易的公司）需要进行自己的风险评估，并选择适合其情况的合规项目要素。

尽管如此，审阅该框架时，仍出现几个主题，包括：

－兼并收购背景下考虑制裁相关风险的重要性，以及让合规人员参与交易本身和整合过程的必要性；

－技术在合规项目中的关键作用及相关风险，组织不仅需要根据其风险配置（包括组织运营所在地区，正如OFAC在根本原因附录中强调的拼写错误示例）校准任何技术解决方案，还需确保其随外部和内部事件更新，如OFAC制裁名单更新和组织确定的缺陷改正；

－一旦通过审计或测试功能或其他来源确定合规相关缺陷，组织需要进行根本原因分析，并采取适当措施，包括在基础薄弱环节得以修复之前使用补偿控制；　

－合规项目需要有适当的独立性，包括合规人员对高级管理层的监督，以及测试或审计功能的独立运作；

－获取并有效利用知晓的客户信息，这可能对风险评估和内部控制产生重大影响。

公司应仔细阅读该框架，以确定是否需要根据该指南对其现有的SCP进行更新。在某些情况下，公司可能已经在其他背景或出于其他目的实施了该指南的某些要素，但可能希望更新相关文件，以展示其对OFAC具体指引的知晓和理解。例如，该框架明确指出，衡量高级管理层是否营造了合规文化的标准之一，是员工能够举报与制裁相关的不当行为，而不必担心遭到报复。在许多情况下，公司可能已经建立了举报政策，其中可能涵盖了框架的这一要素，但是公司可以从重新审查其现有的举报政策中受益，比如可以确保其已被涵盖在SCP中并确保是更新后的。

框架的意义

－OFAC非常重视SCP在制裁合规中的关键地位。它要求各组织根据自身情况建立完善的SCP。

－框架给出了操作性指导意见，有助受规管机构完善SCP，提高合规水平。

－框架强调管理层承诺和培训中的文化塑造，意在引导各机构形成全面合规文化。

－框架中提出的10大失败根源，警示机构注意合规薄弱环节，防患于未然。　

－该框架反映OFAC将SCP的有效性视为执法重点考量，对各机构具警示作用。

我们的建议

－受监管机构应详细研读该框架，检查自身SCP合规性和有效性。

－根据框架要求和行业最佳实践不断完善SCP，提升合规水平。

－高度重视框架提出的易失败环节，防止类似问题发生。

－只有健全合规体系，才能有效降低制裁合规风险。

______________________________________

注释：

[1] FFIEC 指的是美国联邦金融机构检查理事会(Federal Financial Institutions Examination Council)。FFIEC作为美国的联邦层面金融监管协调机构,其制订的《反洗钱检查手册》对金融机构合规计划提出了要求,这对OFAC制定SCP框架也具有重要参考价值。

[2] 反洗钱检查手册全称是《银行保密法反洗钱检查手册》(Bank Secrecy Act/Anti-Money Laundering Examination Manual)。该手册的主要内容和作用包括:提出了金融机构反洗钱合规计划应包含的必要要素,如风险评估、内部政策、客户尽职调查、监测和报告等。为银行检查员提供检查金融机构反洗钱合规计划的程序和方法。为评估金融机构反洗钱合规水平的重要参考文件。OFAC在制定SCP框架时参考了该手册,使SCP的要求与现有金融业反洗钱合规要求保持一致,降低执行复杂度。这体现了SCP框架与其他部门规定的协调性。

[3] 分别是美国财政部海外资产控制办公室与Standard Chartered Bank的和解协议(2019年4月9日);与UniCredit Bank AG的和解协议(2019年4月15日)。

[4]《经济制裁执法指南》31 C.F.R. 第501部分附录A。OFAC的执法指南(OFAC's Enforcement Guidelines) 是美国财政部海外资产控制办公室(OFAC)制定的关于经济制裁执法和处罚的政策指南。其主要内容包括:关于OFAC调查和执法程序的概述；关于OFAC如何决定民事罚款金额的论述；列出OFAC在决定执法反应时会考虑的衡量因素,比如组织是否存在合规计划；对特定制裁计划的执法指南,如针对伊朗、古巴等国家/地区的制裁；作为法规的附录,具有法律效力。该指南于2007年发布,2019年有过更新。它为OFAC的经济制裁执法提供了政策指引,也使受制裁方更明确OFAC的执法考量。OFAC在制定SCP框架时也参考了该指南。

[5] OFAC官员,美国会议研究所经济制裁执法和合规会议小组讨论(2019年5月3日)(“OFAC官员5月3日言论”)

[6] Sanctions Compliance Program，即制裁合规计划。SCP这个概念最初出现在OFAC的经济制裁执法指南(Economic Sanctions Enforcement Guidelines)，该指南发布于2007年,是OFAC制定的有关经济制裁执法和处罚的政策指引。指南中提到存在并且有效的SCP将会作为衡量违规行为适当行政处罚的一个积极因素。 2019年4月和5月，OFAC与两家外国银行达成的违规行为罚款和和解协议，这两份协议分别是OFAC与Standard Chartered Bank和UniCredit Bank AG达成的。协议中详细列出了这两家银行需要采取的六项合规承诺,其中前五项与OFAC后来在SCP框架中提出的要素一致。所以可以说SCP最初是在OFAC的执法指南中出现,后来在2019年5月发布的SCP框架文件中得到进一步阐述和明确。这表明SCP在OFAC经济制裁合规中的重要性越来越凸显。

[7] OFAC合规承诺框架指出,测试和审计的一个方面是,在得知确定的负面测试结果或与SCP相关的审计发现后,组织将立即采取有效行动识别和实施补偿性控制措施,直到发现该漏洞的根本原因并得以补救。OFAC官员在最近的公开讲话中解释说,这一建议基于这样的前提,即审计发现或测试结果对组织的SCP意义重大且相关,并承认各利益相关方之间可能需要对话,因为某些发现可能更侧重于反洗钱。OFAC官员5月3日言论。