01《合规承诺框架》的重点要求

2019年5月2日，美国财政部外国资产管理办公室(OFAC)发布《合规承诺框架》（A Framework for OFAC Compliance Commitments），要求受美国管辖的实体、在美国境内的实体、与美国人开展业务的外国实体以及使用美国原产货物或服务的外国实体，全面遵守OFAC合规要求。该《合规承诺框架》包含了五大关键合规要素：（1）管理层承诺；（2）风险评估；（3）内部管控；（4）测试与审计；（5）培训，体现了OFAC对实体满足出口管制合规的最新要求。　　

此外，该《合规承诺框架》还明示， OFAC 在考虑给予何种程度的处罚时会考察被调查的对象是否存在内部管制合规计划；若被调查对象内部已有此类合规计划，则有助于OFAC确定被调查对象的违规行为并非属于"性质严重"，即如果发生违反出口管制行为的实体在面临OFAC实施的违规业务调查时，若能够证明在实体内部已实施有符合OFAC《合规承诺框架》要求的、稳健的管制合规计划，则可以作为OFAC酌情从轻的情节，有助于OFAC减轻处罚。　　

按照OFAC《合规承诺框架》的要求，实体的内部管控措施应涵盖四项具体行动：　　

•识别：确定可疑交易。　　

•拦截：在交易前，拦截可疑的交易。　　

•上报：将可疑交易上报，以进行进一步审查。　　

•举报：向外部当局报告可疑交易。　　

OFAC《合规承诺框架》要求，有效的内部管控应做到识别、拦截、上报、举报、保存任何涉嫌违反出口管制的活动、业务。内部管控应有利于管理层快速识别和确定违规点，分析违规原因，纠正已发生的违规，预防潜在违规风险，进而从根本上防止存在违反 OFAC制裁计划的行为和业务。

02 AI辅助＋人工识别

要实现全面识别至少需覆盖以下信息来源并及时更新：　　

1.OFAC制裁清单及更新，如Specially Designated Nationals List, Consolidated Sanctions List, Additional OFAC Sanctions Lists;　　

2.OFAC制裁计划和国家信息，特别涉及伊朗、北朝鲜、乌克兰-俄罗斯相关争议地区、古巴、叙利亚、涉恐国家和组织、　　

OFAC各制裁清单的内容非常繁多，人工搜索费时费力，可以借助AI软件实施辅助筛查。但应当注意的是，现有的筛选或过滤智能软件并不能保证做到百分之百精准识别，仍可能导致误判和遗漏。　　

在2018年，OFAC对弗吉尼亚州的一家电子产品销售商处以87,500 美元的罚款，因该销售商与被禁止发生业务的一家俄罗斯公司存在买卖业务。　　

经查，该弗州销售商在公司内部已采用了一款业务合规筛查软件来识别业务方是否属于被管制被禁止的对象，以筛查出可能存在的出口管制合规风险，但该软件并没有识别出交易对象是被禁止发生业务的俄罗斯公司。原因是筛查软件在判定该俄罗斯公司不属于被限制和被禁止业务对象后，没有对该俄罗斯公司的投资股东进行比对，但该投资股东恰已被出口管制制裁措施禁止与美国公司发生业务，其控制下的子公司自动适用被限制和被禁止的制裁措施。　　

可见，AI软件筛查的准确性尚有不足，除需要不断提升AI软件筛查标准外，还需要借助人工审查。实体内部应配备合规审查员，在依据AI筛查结果的基础上，综合考虑来自OFAC的外部信息和内部数据（如该客户的交易历史记录），才能准确地研判。

必须承认，AI软件的作用是快速地、独立地、不受人员因素影响的初步识别，虽然AI筛查软件时有出错，但毕竟可以取代合规审查员投入大量的时间去重复初级检索，所以，实体应选择使用一项适合其业务特点的成熟的筛查技术，以初步识别潜在的交易对手和客户及其相关利益方的管制违规风险。

合规审查员应定期测试筛查系统，以确保其准确无误。测试应使用已知的禁止方（"特别指定国民"）进行，以测试筛查系统是否能够准确报告实体。采用智能技术筛选与人工筛选相结合的方式可以实现更精确的识别。

03 有效识别

实施有效的识别需要深入理解公司的商业模式，包括公司的业务活动、交易环节参与方（生产商、系统、经纪人、分销商）、产品、服务、所有权结构、内部组织、交易和销售流程、最终用途、政府关系、行业特点、地理风险、劳动力规模、客户的性质、业务结构等，这些领域都不是AI软件所能替代的识别前人工环节，需要合规审核员实施广泛深入的内部调查，并整理获得完整的信息。

比如，在研究实体产品和服务的情况，应清楚：

•产品和服务的技术规格是什么?

•产品和服务是否被纳入《两用物品管理条例》？

•产品和服务是否被纳入针对特定国家/地区的制裁条例？

•产品和服务再销售是否需要许可？

•产品和服务再出口是否需要出口授权？ 

在研究产品和服务的最终用途时,应注意:

•在合同订单上的最终用途是否合乎逻辑?

•用户已订购产品的正常数量?

•产品或服务的最终使用是否与最终用户的业务活动一致？

•有关最终用户的基本信息能否被公开查询到？

在识别业务用户的情况时，应注意：

•用户所在地国工商机构、公证机构、商会是否可以提供用户已存在、已注册的声明和签名？

•用户是否属于有关目的地国的制裁对象?

•用户是否位于受国际或欧洲贸易限制的国家/地区?

•用户的业务活动是否清楚？

•用户代表的个人联系方式是否真实？

•用户是否具有物理地址，而不是虚拟地址？

•用户是否为分销商？如果是，最终客户是否可确认？能否为符合出口管制的民事最终用途提供充分的担保？

2019 年 10 月，通用电气公司被OFAC处罚，因其与加拿大的客户公司之间业务合同款项由一家第三方公司支付。通用电气公司从该第三方公司收到总计8,018,615美元，而该第三方（付款方）Cobalt精炼公司自1995年6月以来，就已被列入了特别指定国民和被封人员名单（"SDN名单"）。通用电气公司没有对客户加拿大公司的活动进行充分调查，却保持了多年从第三方收款的金融关系，因此触犯了出口禁止规定。通用电气公司支付了3,377,119美元罚款,相当于从Cobalt精炼公司收到合同款金额的42.1%。

本案显示，实体在接受第三方付款和进行外币交易或通过外国金融机构支付时，应对客户及其关联方进行适当尽职调查，并采取持续的合规监控措施。

04 内部控制措施设计

实体内部管控的作用是帮助公司识别、评估和定义其风险状况，以及决定是否将适当的人力和资源用于防控风险。实体采用何种方法识别、分析和解决其面临的特定风险，收集并用于帮助监测有关不当行为类型的信息或指标都有赖于内部管控措施制定者从商业角度了解公司的业务的深度和广度，以及实体为此目的可以投入多少人力和财政资源。在设计内部管控前，应将此类程序的成本及估计收益进行比较，以便帮助实体决策。

为每天做数十单出口业务的大型实体设计内部管控体系完全不同于每月才发送一两笔出口货物的小型出口商的管控措施。虽然不存在一个"适合所有实体"的内部管控体系，但任何内部管控都应当具有基本功能，如：审核功能、内部控制目标、反馈／分析和评估、必要的纠错功能等。

建议实体的内部管控措施还需纳入以下各点：自动跟踪红旗警示以及危险信号处理结果；跟踪未通过公司尽职调查或终止的业务伙伴；采取措施确保今后不再与这些不合格的伙伴发生业务往来；监控位于高风险区域的业务对象及其附属公司、子公司、客户、供应商等。

虽然涉美业务实体满足美国出口管制要求被公认为是一项艰巨的挑战，但若不能有效满足相关管制要求，则不仅可能会被处以民事罚款，还可构成美国法律下的严重刑事犯罪，并给实体带来重大声誉损害。应对这项挑战的举措就是设计、实施、维持、提升符合美国出口管制要求的管制合规措施，以降低可能因违反美国出口管制和制裁而带来的各类风险。

鉴于该《合规承诺框架》的重要价值，建议凡有融入源自美国供应业务的中国实体在准确理解OFAC《合规承诺框架》的基础上，制定符合实体内部特点的合规方案。

美国出口管制系列作者相关文章：

① 美国出口管制概述② 触发美国出口管制风险的行为③ 以在华美资企业为例,如何避免触发美国出口管制风险④ 了解您的用户⑤ 出口违规交易案例及特征⑥ OFAC如何认定出口行为违法

【资料来源】江苏圣典（江北新区）律师事务所、荷兰威科集团

【文章作者】李竹影，江苏圣典（江北新区）律师事务所主任、高级合伙人