別讓除弊興利勢不兩立

Why Compliance Programs Fail
陳永惠 Hui Chen , 尤金.索提斯 Eugene Soltes
瀏覽人數:2835
首先,公司應該把法規遵循計畫,更緊密結連到特定目標;這些目標包括:防止不當行為、偵察不當行為、使公司的政策符合法規。接著,仔細設計統計模型,發揮創意,制定更好的指標,來衡量哪些做法有效,哪些無效。

富國銀行(Wells Fargo)爆出數百萬個假帳號;福斯汽車(Volkswagen)的排放資料造假;巴西石油公司(Petrobras)普遍行賄,衝擊巴西政府與經濟。近年來,這些企業醜聞登上新聞頭條,但有無數其他醜聞並未曝光。註冊舞弊檢查師協會(Association of Certified Fraud Examiners)的資料顯示,近半數的舞弊案件從未公開報導,一般組織每年因舞弊而損失的營收近三百萬美元。此外,安永(EY)的「2016年全球舞弊調查」(2016 Global Fraud Survey)訪問近三千位高階主管,42%的受訪者表示,為了達到財務目標,他們可以合理化不道德的行為。顯然,不法行為在現今的私營企業中依然根深柢固。

企業在法規遵循工作上的花費驚人,包括訓練計畫、設置熱線,以及其他為防範、偵測違反法規與公司政策而制定的制度等。即使如此,企業不當行為仍如此普遍,這實在令人訝異。多國籍企業每年平均花數百萬美元在法規遵循工作,有些受到法規高度管制的產業,像是金融服務和國防業,法規遵循成本可能高達數千萬美元,或甚至數億美元。即使如此,這些評估仍大幅低估法規遵循的真實成本,因為訓練和其他的法規遵循活動,每年會占用員工數千小時的寶貴時間。

許多高階主管顯然很有理由感到沮喪,因為法規遵循成本高昂且日益增加,又看不到明顯的效益。但他們還是繼續投資在這方面,並不是因為他們覺得這樣做真的有效,而是擔心萬一在法規遵循方面投入不夠,可能害組織承擔更大的責任。員工也討厭法規遵循計畫,把它們視為一系列應付規定的例行工作,以及無謂的訓練課程。我們認為,這些開銷和挫折感都很不幸,也是可以避免的。

我們都很清楚法規遵循工作給人的觀感,以及相關的挑戰。本文作者之一陳永惠從2015年11月上任到2017年6月辭職為止,是美國司法部首位、也是唯一的法規遵循顧問,為負責評估受調查公司是否善盡法規遵循責任的檢察官,提供諮詢服務。另一位作者索提斯在哈佛商學院的研究,是探討企業法務長及法規遵循主管在判斷他們的計畫成效,以及向同仁說明法規遵循工作的效益時,面臨的障礙。我們認為,必須讓公司領導人和員工更了解法規遵循的價值。

我們認為,解決之道在於設計更好的衡量指標。這個概念的核心很簡單,也很重要:缺乏有效的衡量工具,公司就不可能設計出有效的法規遵循計畫。對許多公司來說,適當的衡量指標,可促成更精實、最終更有效的法規遵循計畫。簡單來說,更好的法規遵循衡量指標,促成更好的法規遵循管理。

一路走來,
法規遵循變成表面工夫

若要了解法規遵循工作如何演變成現在的狀態,我們來看一下法規遵循計畫是如何開始的。1970和1980年代美國爆發一連串的企業醜聞,在那之後,產業團體聯合起來,制定一些通報及防範不當行為的內部政策和程序。這些做法有助於安撫當時的立法者,後者試圖以更嚴厲格的法規,來規範企業的不實作為,並加重罰責。這種自我管制的做法不僅吸引企業領導人(他們認為可藉此避免額外法規監管的成本與干擾),也減輕了監管機關的調查責任,許多人以為這樣就能成功遏阻不法行為。

1991年,美國量刑委員會(USSC)看到企業自我管制的好處,便修改指導原則,宣布只要公司能證明它有制定「有效的法規遵循計畫」,就可以大幅降低罰款。不久,司法部的高級官員發出一系列的備忘錄,敦促檢察官在決定刑事起訴時,考慮公司的法規遵循計畫是否有效。這些做法不僅是為了鼓勵公司做更好的監督,也表示主管機關了解到,公司也可能是惡劣員工的受害者。其他的民間監管機構(像是美國證券交易委員會)、美國衛生及公共服務部、環境保護局等,在法規遵循方面,也採取這種軟硬兼施的方式。

於是一個產業迅速出現,提供法規遵循訓練計畫、揭發弊案熱線、風險評估等服務。對任何大公司來說,缺乏法規遵循計畫會變成很大的責任,大到無法忽視,連只是使用美國銀行的外商都不能忽視。隨著英國、巴西、西班牙等國制定法律,要求執法時要考量法規遵循的情況,違反法規遵循的潛在責任持續增加。

對許多公司領導人來說,法規遵循計畫是為了防範最糟的情境,與購買昂貴保單的情況類似。他們可能要求員工簽署冗長的行為準則文件,證明他們了解公司的政策。此外,員工也必須上各種訓練課程,主題包括隱私、內線交易、行賄等。但員工在上這些一般性的法規遵循課程時,往往不會花太多心力,只求最後可通過十題的測驗即可。即使是那些每年花數百萬美元在法規遵循計畫上的公司,法規遵循工作也往往缺乏實質內涵。

2012年,美國司法部對摩根士丹利(Morgan Stanley)的員工蓋思.彼得森(Garth Peterson)提出刑事訴訟時,檢方的文件指出,彼得森上過七次法規遵循訓練課程,也接受過35次相關提醒,以防止他賄賂政府官員,然而,他依然犯下這個罪行。但是,那些法規遵循訓練對彼得森影響不大,是因為他認為那些計畫都只是形式上的。他說:「你可以制定計畫及發送電郵,但如果大家收信之後只是刪除;或者,如果是以電話會議的方式進行法規遵循訓練,你不必專心聽,只要說『彼得森在線上』,他們就會打勾,表示你已經受過訓練了。接著,你可以悄悄地掛斷電話,或是擱著話筒去做其他的事。」

美國司法部知道公司可能花很多錢,規畫法規遵循計畫的各種內容,但實際上,這些全是表面功夫。2008年修訂《聯邦商業機構起訴規則》時,司法部特別要求檢察官,「判斷一家公司的法規遵循計畫是否只是表面工夫,還是以有效的方式來設計、實施、檢討,並視需要而修改」。同年,西門子遭起訴,創下應付美國當局八億美元的罰款紀錄,該案的檢方屢次指出西門子法規遵循計畫只是表面工夫,缺乏實效。

公司往往宣稱,曾給予不法員工一些特定主題的法規遵循訓練,顯然不覺得他們這樣為自己的法規遵循訓練辯解,是很諷刺的事。

檢方一再發現,法規遵循計畫無效的公司,進行的法規遵循工作都不值得肯定。然而,區別認真實在的法規遵循計畫和表面功夫,往往是一大挑戰,因為評估計畫需要大量的時間和專業知識。例如,外界把「司法部決定不針對彼得森的案子起訴摩根士丹利」,解讀成主管機關肯定摩根士丹利確保遵循法規的做法,也就是除了設置標準的揭弊熱線及員工簽署行為準則證明之外,也要求員工上許多訓練課程。但彼得森聲稱,政府「向大眾撒謊,宣稱摩根士丹利有很好的法規遵循計畫,但其實政府知道,法規遵循的觀念根本沒有落實到員工心裡,員工真正遵守才是真正重要的。」

公司法規遵循計畫的實際效果難以評估,因此在2015年秋季,美國司法部延攬陳永惠來協助處理這項挑戰。她從一開始就注意到,她所檢查的許多法規遵循計畫,都有失當的地方。公司習慣規畫大量政策和程序,計算財務系統中有幾道控管。但他們沒有提供證據,用來證明那些政策、程序、控管都經過測試,也沒有追蹤他們發生過幾次違規行為。例如,某家公司可能聲稱,內部長久以來都有揭弊系統,卻沒有提供揭弊系統的使用情況資料。公司往往宣稱,對那些不法員工做過特定主題的法規遵循訓練;他們顯然不覺得用這種方式為自家的法規遵循訓練辯解,是很諷刺的事。

為善盡評估法規遵循計畫效果的職責,陳永惠草擬一系列的問題,讓檢察官在評估法規遵循計畫時參考。這些問題涵蓋廣泛的法規遵循領域,包括訓練(「公司做過哪些分析,以判斷誰應該受訓及受訓主題?」)、個人責任(「經理人是否要為他們監督下發生的不當行為負責?」)、領導(「董事會有哪些法規遵循方面的專業?」)。2017年2月,司法部在名為〈公司法規遵循計畫評估〉(Evaluation of Corporate Compliance Programs)的文件中,公布這些問題。

這份文件的目的,不是拿來當作檢查表,而是列出「司法部詐騙處(Fraud Section)在評估公司法規遵循計畫時,常覺得值得參考的一些重要議題和問題範例」。其實,所有評估都會持續個別化處理。不過,索提斯當時與經理人及企業律師互動時發現,公司很快就把那份文件,當成設計有效法規遵循計畫的指導手冊。尤其是經理人認為,只要能回答那份文件裡的每個問題,就能確保符合司法部的期望了。更令人擔憂的是,索提斯發現,有些企業選擇性地挑選資料,來佐證他們的做法是有效的,而不承認有些做法明顯不足。

例如,司法部的文件中有一個問題,是問公司如何評估相關訓練的品質和效果。德勤(Deloitte)和《法規遵循週刊》(Compliance Week)的調查顯示,最常見的評估方法是衡量完成率,只要有足夠的員工(90%或95%)完成訓練,就算訓練有效。但那個指標既未反映訓練品質(內容的適當程度及價值),也沒有反映訓練是有效的(員工實際學到及實踐多少)。

公司會依賴「完成率」來衡量,不是因為這經證明是衡量成效的「正確方法」,而是因為他們的目標,只是想向主管機關證明他們已經完成任務,也就是可以在「訓練」那一項打勾。有些公司確實會在法規遵循方面,提供員工有效的指示,但我們看到更多公司是自欺欺人,以為只要做完訓練,成果就令人滿意了。

公司在法規遵循方面的投資愈來愈多,原因之一在於他們沒有恰當的衡量指標,因而無從判斷哪些做法有效,哪些無效。在很多公司中,加強法規遵循,就等於是雇用更多法規遵循經理、採購更複雜的軟體、制定更多政策,即使這些做法是多餘、浪費的,或是毫無效果,他們也不以為意。

四大陷阱,
法規遵循指標變了質

德勤和《法規遵循週刊》的調查顯示,只有70%的公司,試圖衡量法規遵循計畫的效果,而那些真正去衡量的公司中,只有三分之一的公司表示,他們有信心或非常有信心自己使用的是正確的指標。2017年初,美國衛生及公共服務部召開會議來制定指標,以協助醫療照護組織,更妥善地判斷法規遵循計畫的效果。與會者最後製作一份報告,詳細列出超過550種指標。該報告指出,任一組織只需要用到其中一部分指標,並配合公司的具體業務或風險狀況加以調整。儘管如此,在有這麼多指標可選擇之下,要確定哪些情況下適合採用哪種指標,還是很難,大多數公司無法真的確定。

為了量化評估計畫的效果,公司常犯同樣的錯誤。底下是常見的陷阱:

陷阱1:指標不完整

司法部和美國量刑委員會的準則是,有效的法規遵循計畫,應該要讓個人負起違規的責任。例如,美國司法部的評估文件指出:「公司是否曾因這個不當行為,而停職或懲處任何人?」和「懲戒行動和獎勵誘因,是否在整個組織內公平、一致地施行?」為證明公司確實有追究個人責任,公司通常會列出因違規而遭到停職,或是因此遭取消升遷和獎金的員工。但這種統計資料,並不足以證明公司嚴格要求員工負責,因為他們並未說明未受到懲處的員工人數。一家公司在一年內,因五人違紀而懲處五人,和一家公司有五十人違紀,卻只懲罰五人,是截然不同的。我們都看到,有些企業只懲罰較低層級員工,或是較沒有潛力的員工,卻保護那些收入高或資深的高階主管。所以,光是列出懲處人數之類的簡單統計資料並不完整,也容易造成誤導。

陷阱2:指標無效

雖然我們可以從法規遵循計畫的各方面收集多種資料,但其中只有一部分真正和計畫效果有關。例如,司法部詢問公司如何衡量訓練的效果,正如我們之前提到的,公司的回答常著重在完成訓練的員工比率,或是員工花了幾小時受訓。這些根本是完全錯誤的指標。公司也許可以追蹤完成率以達到其他目的,但有意義的衡量效果指標,必須和明確的結果直接相關,例如,員工展現出已理解相關政策和程序、學會因應預期情境的實用技能,或是行為改變。

再舉個例子:公司為證明管理階層「認真」投入法規遵循,可能會引用高層主管發出的法規遵循宣導訊息數量。但如果員工調查顯示,大家普遍不信任管理階層,而且大家都覺得揭弊會遭到報復,那種指標就毫無意義。

你的法規遵循計畫效果如何?
美國司法部起訴公司時,會評估該公司的法規遵循計畫是否有效。以下是司法部詐欺處考慮的主要議題和問題範例(摘自2017年的〈公司法規遵循計畫評估〉文件)。

中高階主管
● 資深領導人如何透過言行,來鼓勵或阻止不當行為?
● 董事會和高階主管履行監督責任時,檢查了哪類資訊?

自主與資源
● 法規遵循及相關控管部門的人員流動率是多少?
● 是否曾因法規遵循考量,而停止、修改,或更嚴格地審查一些交易?

政策與程序
● 公司如何評估適用的政策和程序是否有效落實?
● 公司如何評估這些政策和程序的效用?

風險評估
● 公司使用什麼方法,來辨識、分析、因應它面臨的特定風險?
● 公司收集和使用哪些資訊或指標,來協助偵察特定類型的不當行為?

訓練和溝通
● 公司如何評估員工是否知道何時應尋求建議,以及員工是否願意這樣做?
● 公司如何衡量員工接受訓練的效果?

保密通報和調查
● 公司如何收集、分析、使用那些來自通報機制的資訊?
● 調查結果會讓多高層級的主管知道?

獎勵和懲戒措施
● 關於各類不當行為,公司目前有哪些員工懲戒紀錄(例如懲戒數量和類型)?
● 懲戒行動和獎勵誘因,是否在整個組織內公平且一致施行?

持續改善、定期測試和檢討
● 公司是否已檢討與稽查法規遵循計畫,包括相關管控的測試、法規遵循資料的收集和分析、員工和第三方的訪談?
● 定期向管理階層和董事會報告哪些稽查結果和補救進度?

第三方管理
● 公司如何監督相關的第三方?
● 公司如何激勵第三方的法規遵循和道德行為?

陷阱3:誤把法律責任視為有效的法規遵循

法規遵循政策有重要的法律功能,但把它硬塞入法律框架中,可能會限制正面影響員工行為的效果。以下面的問題為例:「公司如何評估這些政策和程序是否有效落實?」公司常拿出員工簽過的文件,來證明他們都已讀過並了解公司的政策和行為準則。雖然那樣的簽名,可作為違紀時開除員工的法律依據,但那無法證明,員工已把對於政策的了解納入日常工作實務。我們有多少次不假思索地同意協議書上的條款,尤其是那些我們沒有權力談判的條款?員工可能在沒讀過或不了解條款的情況下,就簽下公司政策的確認書。此外,那些政策可能難以理解,因為它們的用字是法律用語、技術用語,或是艱澀的字詞。另外,公司內部可能也有一些心照不宣的共識,覺得那些政策並非真的需要遵守,或認為最佳實務就是即興應變。所以,計算有多少員工簽名認同政策,並不適合用來量化法規遵循計畫的效果。

陷阱4:自行作答和自行選擇是否回答的偏誤

法規遵循主管常依靠調查,來評估法規遵循計畫的績效。例如,為衡量員工對通報機制的放心程度,公司可能會問:「你知道何時應尋求法規遵循方面的建議?你願意這樣做嗎?」進行調查的問題在於,由受訪者自行回答和自行選擇是否作答,都可能會誤導結果,使經理人做出不正確的結論。例如,看到不法行為的員工,可能不願「舉報」同事,因而選擇不回答相關的調查問題,於是,調查結果就偏重那些未看到不法行為員工觀察到的情況。同理,高階人員及從事不法行為的人較不願參與調查。因此,詮釋這些指標時,必須考慮收集資料的偏誤。

設計模型
連結法規遵循計畫和目標

那麼,如何設計出一套可靠的模型,用來評估法規遵循計畫的效用?第一步,應先了解這類計畫其實有好幾個目的。司法部高級官員發布的許多備忘錄裡都提到,法規遵循計畫的三個主要目標是:防止不當行為、偵察不當行為、使公司的政策符合法規。所以,法規遵循計畫的每個組成要件,都應該與前述的任一目標有關,例如,訓練是為了防止不當行為,設置舉報熱線是為了偵察不當行為,行為準則是為了讓員工行為符合公司政策及外部法規。雖然一項法規遵循計畫,可能與另一項法規遵循計畫互有重疊或相互影響,但是,明確釐清每個法規遵循計畫的目標,可以協助經理人設計更有意義的指標。

以設置祕密的舉報熱線為例,目的是為了更即時偵測不法行為。若要了解這項措施是否達到目標,需要多種資訊,包括通報是否真的有效(「神祕測試者」報告)、員工是否真的有使用那條熱線(使用情況資料)、大家如何使用熱線(舉報類型的資料)、公司對指控的反應(反應時間、調查完成時間、調查結果、調查結果的溝通說明)、員工是否放心舉報(定期調查員工心態)。這些指標各自呈現計畫效果的不同面向。

但是,獨立追蹤這些變數是不夠的,因為經理人無法從這些資訊,判斷某個結果是哪個因素造成的。例如,熱線舉報數量增加,可能反映問題增加,或只是因為員工比較放心舉報而已。為釐清原因,經理人可使用多元迴歸分析。迴歸模型可讓調查人員檢視,在其他變數維持不變的情況下,單一變數的影響。在這個例子中,為判斷舉報數量增加,是不是因為違規情況增加,我們可以設法維持以下的因素不變:是否有舉報熱線可用、大家放心使用熱線的程度、熱線的運作績效、有多少名潛在舉報者(能打那支電話的人)。設計適當的迴歸模型需要時間和經驗,但這是最可靠的方法,可用以確定你該為舉報數量增加而感到放心或擔心。

我們再舉一個例子:法規遵循訓練。這種訓練的目標,是協助員工了解並內化各種法規,以防止不當行為。評估員工完成訓練之後,對法規的理解是否達到預期水準,並不足以確定訓練的效果。員工理解程度高,可能反映教學的正面影響,但也可能只是反映員工的基本知識。所以,公司必須評估員工受訓之前和之後的相關知識水準。如果受訓前後的變化不多,訓練可能沒有必要,或是可能需要改進,變得更吸引員工,也更能善用員工受訓的時間。

當然,訓練的目標不僅是為了讓員工更了解法規,也是為了灌輸及延續適當的行為。同樣地,迴歸模型可幫助企業了解,訓練課程與員工行為變化之間的關聯。控制可能導致違規的其他因素,就可以測試受訓員工是否較容易或較不容易違規。

就像這些例子提到的,企業應使用法規遵循計畫產生的實證資料,來衡量這些計畫是否達成目標。我們必須再次強調,企業不能只是獨立追蹤衡量指標,還必須開發模型,以衡量想要的結果,同時排除其他因素的影響。

以前,公司為證明法規遵循計畫有效,也許會提出一些跟法規遵循目標不太相符的指標,但現在,標準和局勢都不同了。檢察官、法院、主管機關要求更嚴謹的證據。這表示企業必須有能力以更好的資料和模型,來佐證法規遵循計畫的效果;但若要做到這一點,公司必須先具備正確衡量計畫成效的各種能力。

改造工程
法規遵循計畫更有效

有些公司可能願意投入大量的時間和資源,在法規遵循和道德計畫上,因為他們認為,那些計畫對公司的長期成功非常重要。不過,我們是務實派。我們了解,還有許多其要需求在爭取公司的有限資源,因此,始終存在的法規和責任考量,往往是企業投入法規遵循工作的主要理由。但正因為在乎法規監管,公司更應該重視如何衡量結果。隨著法規遵循計畫持續受到嚴密的審查,那些無法產生實質結果的計畫,將無法符合如今更嚴格的法規標準。更坦白地說,如果公司頂多只能說員工上過反貪腐訓練課程,檢察官、法院、主管機關都不會認為,那家公司的法規遵循計畫有效。

儘管許多公司仍把法規遵循視為一種法律活動,但其實法規遵循更是一種行為科學。有些律師可能對這種說法不以為然,但若要讓法規遵循計畫發揮真正的效用,經理人必須測試什麼有效、什麼無效。這需要公司進行一些實驗和創新。行為準則應闡明對企業成功極為重要的政策。舉報熱線的設置,不僅是為了通報違法事件,也是為了協助員工解決困境,以免他們誤入歧途。設計更好的效果衡量指標,公司就可以採用更有企圖心、更創新的計畫,真正遏制不當行為。

如今規範商業的法規相當複雜,這也難怪企業難以了解及符合法律與道德責任。如果有個一體適用的標準,來顯示法規遵循計畫是否有效,就方便多了。但單一變數的簡單指標,不足以呈現計畫的效果。成功的法規遵循規畫和執行,需要一些創意、一些測試,以及仔細的模型設計,才能適切地衡量結果。

世界各地的公司已在法規遵循上花了很多錢。我們應確保那些資源都花得很值得。較好的衡量方式,可幫經理人看出哪些計畫是多餘或無效的,可以取消或用別的計畫取代,最終會帶來一些機會可讓計畫變得更有效。

(洪慧芳譯自“Why Compliance Programs Fail,” HBR, March-April 2018)



陳永惠 Hui Chen

曾擔任美國司法部法規遵循專家,目前為政府法規主管機關及世界各地的公司,提供道德與法規遵循方面的諮詢服務。


尤金.索提斯 Eugene Soltes

哈佛商學院企管講座副教授,專門研究企業失當行為。


本篇文章主題法規管制