雇错律所可能让公司更不安全且更脆弱

作者：亚历山德拉·瑞吉

译者：章伟

    有很多非常优秀且历史悠久的专业律所为与世界范围内的第三方合作的公司（我的雇主TRACE公司就是其中之一）提供尽职调查服务。合规界也迅速迎来了一批新人，但是由于他们没有历史服务记录可查，因此难以判断他们的好坏。但你可以通过以下五个基本问题启动审查程序：

    1、 公司是如何成立以及成立的地方？

    几乎所有公司在对商业第三方做尽职审查时都会问这样一个问题，但奇怪的是，几乎没有公司会问他们的尽职调查服务提供者。应该至少以对待销售和营销代理的标准对待尽职调查提供者。公司是上市公司吗？如果是私人公司，谁是真正的实益所有人？政府官员拥有股份吗？这是非营利公司吗？如果是这样，谁是董事以及谁是管理团队成员？该公司或其关联公司是在知名的避税天堂或以银行保密知名的国家成立的吗？

    2、 贵所（及贵所的服务器）在哪？

    在一些地方，数据安全性广遭质疑。例如，许多公司不遗余力地避免其数据经过中国及其边境区域， 因为政府有可能获取数据。对大部分公司而言，第三方、渠道合作伙伴及供应商的网络被认为是有价值的专有信息。这些信息被小心保护以防止被竞争者获取，但是可能因不恰当的安全保护措施而被转移到尽职调查提供者那里。

    3、谁在真正做事？

    “世界范围”内提供尽职调查的组织不能有效地把员工分配在每个国家（虽然有些很快就可以了）。对那些不能的，你应该了解谁在现场工作？他们是独立承包商吗？如果他们是，他们进行的是何种审查程序？他们如何获得报酬？他们是如何接受培训的以及他们如何将问题告知总部？如何审查和评估他们的工作？有针对他们的保密协议以保护你的数据吗？一些最好的尽职调查提供者，虽然在许多地区特别强大，但是在其他地区却只是蜻蜓点水罢了。对需要广泛尽职调查的跨国公司而言，为不同的地区寻找不同的尽职调查提供者可能更好，当需要有人在现场时，这可以确保最到位的审查。

    4、 审查程序的哪一部份是自动化的以及分析师审查什么？

    合规界最近在工作自动化上（这些工作以前是手工完成）取得了巨大成就。最好的例子就是一些供应商提供数据库以供检索国际观察名单。但是，这个过程不能完全实现自动化。也会出现典型的错误“点击”——例如有个人的名字和名单上的一样，但却是国籍和出生日期完全不同的另外一个人。这需要在分析的过程中查看真人。谁来审查这些点击？有什么协定确定是否真正符合？同样地，如果公司要求第三方上传行为准则，这个步骤可以大量自动化——但是，需要有人审查行为准则以确保其符合公司要求，或者如果是基于模式化语言，它没有被实质变更。

    5、 如何获取非公开信息？

    一些尽职调查提供者想要获取非公开的记录或其他信息。用何种方法获取政府持有的包括犯罪记录在内的私人记录？官员提供这些信息时受贿了吗？政府记录之外的其他信息仅仅是谣言还是可以被证实的？如果提供者不披露来源，如何评估信息可靠性？最后，一些调查者仍然参与“伪造借口”——通过说谎获取他们在其他情况下不能获取的信息, 虽然这种情况在减少。（他们可能声称他们代表执法部门或者外国情报部门，或者已经获得目标对象的允许。）与这些方法相关的具有讽刺意味的是一个合规方案可以依赖非法获取的信息。如果合规方案被作为针对执法机构的挡箭牌，这些方法可能会使公司深处窘境，而非展示有效的尽职调查。

    在得到这些问题答案的同时，公司应该就运用哪些服务提供者进行每个层面的尽职调查做出恰当和可靠的决定。唯一真正有风险的决定是不审查那些做审查的人。