This document is meant to assist prosecutors in making informed decisions as to whether, and to what extent, the corporation's compliance program was effective. As the Justice Manual notes, there are three "fundamental questions" a prosecutor should ask:

1. Is the corporation's compliance program well designed?

2. Is the program being applied earnestly and in good faith? In other words, is the program being implemented effectively?

3. Does the corporation's compliance program work in practice?

Hereinafter is the Chinese text:

美国司法部刑事部门

公司合规程序评价

指导文件

更新:4月20日

-----------------------------------------------------------------------

介绍

       司法手册中的“联邦起诉商业组织的原则”阐述了检察官在对公司进行调查、决定是否起诉、谈判或其他协议时应考虑的具体因素。(JM 9-28.300)。这些因素包括“公司在犯罪时以及在被起诉时合规程序的充分性和有效性”，以及公司“为实施充分有效的公司合规程序或改进现有合规程序”所做的补救措施。JM 9-28.300（引用JM 9-28.800和JM 9-28.1000）。此外，美国量刑指南建议，在计算组织机构适当的刑事罚金时，应考虑该公司是否在不当行为发生时制定了有效的合规程序。参见U.S.S.G§8B2.1、8C2.5(f)和8C2.8(11)。此外，司法部长助理Brian Benczkowski发布的题为“刑事部门事务中检察官的选择”的备忘录(下文简称“Benczkowski备忘录”)，指出检察官在作出决议时应考虑“公司是否在合规程序和内部控制上进行了重大投资和改进”，以及“合规程序和内部控制的补救改进是否已经过测试，以证明它们将预防或发现日后的类似不当行为”，以确定是否有适当的监控。

       本文件旨在协助检察官作出正确判断，以确定公司的合规程序在犯罪时是否有效、在何种程度上有效，以及在起诉或决议时是否有效，进而确定（1）决议或起诉的适当形式;（2）罚金（如有）;（3）公司在刑事决议中履行的合规义务（如监事、报告义务)。

      由于公司合规程序必须在刑事调查的特定背景下进行评估，刑事部门没有使用任何严格的公式来评估公司合规程序的有效性。我们认识到，每一家公司的风险概况和降低其风险的解决方案都需要详细而具体的评估。因此，我们对每一种情况都做出了个性化的决定。然而，在做出个性化决定的过程中，我们可能会问一些共同的问题。正如司法手册所指出的，检察官应提出以下三个“基本问题”:

1. “公司的合规程序是否设计良好?”

2. “这个程序是否得到了认真、真诚的执行?”换句话说，该程序是否得到有效实施?

3. 在实践中"公司的合规程序是否有效”?

参见JM§9-28.800。

      在回答这三个“基本问题”中的每一个时，检察官可能会根据刑事部门常见的与评估公司合规程序相关的内容，来对该公司各方面的表现进行评估。下面的示例主题和问题既不是清单也不是固定公式。在任何特定情况下，下文所述的主题和问题可能并不都是相关的，鉴于所涉的特定事实，其他主题和问题可能更为突出。虽然我们已经将主题归纳在这三个基本问题之下，但我们认识到有些主题必然不止属于一个类别。

1. “公司的合规程序是否设计良好?”

      “评估任何程序的关键因素是，该程序的设计是否足够有效，以最大限度地预防和发现员工的不当行为，以及公司管理层是否在执行该程序，或在暗中鼓励或迫使员工从事不当行为。”JM 9-28.800。

      因此,检察官应该检查“合规程序的全面性”，JM 9-28.800，以确保公司不仅明确表明了对不当行为的零容忍，而且制定了适当的政策和程序（从作业的责任,培训到系统的激励机制和纪律）来确保合规程序完全融入公司的业务和员工。

A. 风险评估

      检察官评估一家公司是否有完善合规程序的出发点是从商业的视角，了解该公司的业务、了解公司如何识别、评估和定义其风险概况，以及该程序在多大程度上对风险进行了适当的审查、投入了多少资源。

      检察官应考虑该程序是否“旨在发现某一公司业务中最有可能发生的特定类型的不当行为”和“复杂的监管环境”。JM 9-28.800.2。例如，排除其他因素，检察官应该考虑公司是否分析和解决各类不同风险，包括业务的位置，产业部门，市场的竞争力构成，监管环境，潜在客户和业务合作伙伴，与外国政府事务，向外国官员，使用第三方，礼物，旅行和娱乐费用，和慈善及政治捐款所形成的各种风险。

      检察官还应当考虑风险评估的有效性、根据这种风险评估应该如何调整企业合规程序，以及其标准是否“定期更新”。可参阅JM 9-47-120(2)(c); U.S.S.G. § 8B2.1(c) （“组织机构应定期评估犯罪行为风险，并应采取适当的举措设计、实施或修改[合规程序]的每项要求，以降低犯罪行为风险”）

      检察官可以相信基于风险的合规程序的质量和有效性，该程序将适当的注意力和资源用于高风险交易，即使它无法防止低风险地区的违规行为。因此，检察官应考虑将风险调整的指标“根据经验教训对公司合规程序进行修订。”JM 9-28.80

-风险管理过程——公司采用什么方法来识别，分析并处理它所面临的特定风险？该公司收集了哪些信息或度量标准来帮助检测存在问题的不当行为类型？这些信息或度量如何影响公司的合规程序？

-风险特定的资源配置——公司是否投入了不成比例的资源将大量时间用于监管低风险领域，而非高风险领域，例如支付给第三方顾问的可疑款项、可疑交易活动或给经销商和分销商过多的折扣？公司是否对高风险交易(例如，与高风险国家政府组织签订大额合同）提出更高的要求，进行严格的审查，而不是把重点放在更温和、更常规的接待和娱乐活动方面？

-更新和修订——风险评估是否现行并定期进行审查？根据经验教训，政策及程序是否进行了更新？这些更新是否对不当行为或合规程序的其他问题发现的风险做出了解释？

B. 政策与程序

      任何精心设计的合规程序都需要策略和程序，这些策略和程序既要符合道德规范的内容和效果，也应致力于降低公司在风险评估过程中确定的风险。作为一个门槛，检察官应该检查公司是否有一套行为准则，其中包括公司承诺完全遵守适用于所有公司员工的相关联邦法律。因此，检察官也应该评估公司是否制定了政策和程序，将合规文化融入其中它的日常运作。

-设计——公司在设计和执行新版政策与程序时，流程是怎样的？设计时是否考虑了程序的实时更新？参与政策与程序设计的主体是谁？在推出新的公司业务部门前是否有前置的商讨程序？

-全面——政策与程序能够反映包括法律及监管环境变化在内的企业风险范围，并且能够对此提供解决途径吗？公司为了监管与执行政策与程序，采取了哪些措施？

-可及——公司如何将自己的政策与流程传达给所有的员工和相关第三方？如果公司设有外国子公司，对于外国员工而言是否存在语言或其他障碍？

-运营整合责任——负责整合政策与流程的主体是谁？政策与流程在推广时是否能够确保员工理解？通过公司的内控程序，政策与流程在哪些具体方面得到了加强？

-把关——在公司控制程序中，向把关者（如有审核权限或认证职责的员工）提供了什么样的指引和培训？把关者是否知道要关注哪些不当行为？他们是否清楚需要提高警惕的节点及方式？

C. 培训与交流

      恰当且符合公司情况的培训和交流是优秀合规程序的另一个标志。

      检察官应当对公司采取的步骤进行评估，以确保政策与程序已融入组织，如为董事、经理、相关员工以及其他需要培训的代理人和商业伙伴提供定期培训和认证。检察官应当评估，公司是否以符合受众规模、水平或专业的方式传递了信息。举例来看，有些公司向员工提供了解决现实问题的实用建议或案例研究和/或指导员工如何在需要的时候根据具体情况获取道德意见。另外，公司培训是否涵盖了过往的合规事件、公司是否有衡量培训课程有效性的方式，也是检察官应当评估的事项。

      总而言之，检察官应当检查公司是否在实践中向员工传播了合规程序，员工是否在实践中理解了该程序。只有这样，检察官才能作出合规程序是否“真正有效”的判断。JM 9-28.800

-以风险为基础——相关控制部门的员工接受了什么培训？公司是否向高风险及起到控制作用的员工提供了恰当的培训（包括用来解决不当行为所在领域风险的培训）？负责监管的员工是否接受了不同培训或补充培训？公司是如何决定接受培训的主体以及培训内容的？

-培训的形式/内容/效力——培训的形式及语言是否适合受众？培训是线上还是线下（或者两者兼有）的？公司选择某种培训形式的理由是什么？培训内容是否包括从以前的合规事件中吸取的经验教训？公司如何判断培训的有效性？员工接受培训后，公司是否会安排考核？公司如何解决员工全部或部分通不过考核的情况？

-关于不当行为的沟通——为了让员工清楚公司对于不当行为的态度，高级管理层采取了何种措施？当员工因未能遵守公司政策、程序及控制手段（如对不当行为的类型进行匿名）被公司解雇或惩处时，公司内部通常是如何进行沟通的？

-指引的可用性——员工在提供关于合规政策的指引时可获取哪些资源？公司如何评估其员工是否知道何时寻求建议，以及他们是否愿意这样做？

D. 保密报告体系和调查程序

      一个精心设计的合规程序应当建立一个有效且可信的保密机制。通过这个机制，员工可以通过匿名或秘密报告的方式，向公司报告违反公司行为准则、公司政策的行为以及可疑或已经存在的不当行为。检察官应当评估，公司在处理举报时是否采取了积极主动的措施来创造一个不惧报复的工作氛围，是否规定了提交报告的合适程序以及保护举报者的流程。检察官应当评估，公司的调查程序是否包括将举报转交给适当的部门、及时完成彻底调查以及采取适当的后续行动及纪律规定的内容。

      保密报告体系能够在很大程度上证明，“一个公司的公司治理机制是否能够有效发现及防范不当行为。”JM 9-28.800；也可参考U.S.S.G. § 8B2.1(b)(5)(C) （当“一个系统包含有允许匿名或保密的机制，机构员工及其代理人可以在不惧报复的前提下报告潜在或业已存在的犯罪行为或就此寻求指引”时，一个有效的工作合规程序已经就位并且经过公示了。）

-报告体系的有效性——公司是否设有匿名报告机制，如果没有，为什么？公司是如何向员工宣传这一报告机制的？报告机制被使用过吗？公司是如何处理报告机制收到的指控的？公司的合规职能部门是否能获悉关于报告和调查的全部信息？

-合格人员在合理范围内组织调查——公司是如何决定哪些报告或危险信号是值得进一步调查的？公司如何保障调查是在合理范围内进行的？公司采取哪些步骤来确保调查的独立性和客观性，如何确定调查的展开是合适且被恰当记录的？公司如何决定谁来调查，谁做决定？

-调查响应——公司为确保响应能力是否运用了时间指标？公司是否设有程序来监控调查结果并且确保对任何调查发现或建议做出的响应是负责的？

-资源和结果追踪——报告和调查机制是否有充分的资金支持？公司如何收集、跟踪、分析和使用报告机制中的信息？公司是否会根据报告及调查结果，对不当行为或其他合规危险信号进行定期的模式分析？

E. 第三方管理

      一个设计良好的合规程序应当对它的第三方关系进行以风险为基础的尽职调查。尽管尽职调查的程度会因公司或交易的规模及性质有所不同，但检察官应当评估，公司是否对第三方合作伙伴的资质和关系有所了解，包括经常被用作隐瞒不法行为的代理人、顾问和分销商。不当行为包括在国际商业交易中行贿外国官员。

      检察官还应当评估，公司是否了解第三方合作伙伴的声誉，第三方与外国官员的关系（如有）以及在交易中需要第三方的商业理由。比方说，公司与第三方签署的合同是否有具体描述第三方服务内容的条款，第三方是否确实在履行服务，第三方因此获得的报酬水平与该行业及该地理区域的工作报酬是否相符。检察官需要进一步评估，公司通过第三方合作伙伴提供的新版尽职调查、培训、审计和/或年度合规认证，对第三方的关系是否进行了持续监控。

      总之，一个公司对第三方进行的尽职调查工作是检察官评估公司合规程序的一个重要因素，以确定该程序是否确有能力“发现公司业务线中最有可能发生的特定不当行为类型”。JM 9-28.800.

-以风险为基础的整合程序——公司的第三方管理程序如何与公司识别出的企业风险的性质及级别相对应？该对应程序如何与相应的采购程序及供应商管理程序相结合？

-合适的控制——公司使用第三方是否确定有合适的商业理由？如果第三方曾参与了潜在的不当行为，决定继续使用第三方的商业理由是什么？就公司与第三方签订的合同而言，条款是否明确了第三方的具体服务事项，收费条款是否合适，第三方是否按照合同执行了服务内容，第三方收费与所提供的服务是否相称？

-关系管理——为了防止第三方引发合规风险，公司是如何考虑第三方的薪酬及激励结构的？公司如何监管它的第三方合作伙伴？公司对第三方的账簿和账户是否有审计的权利，如有，公司是否在过去行使过这一权利？公司如何通过培训的方式告知第三方关系经理相关的合规风险及管理办法？公司通过何种方式激励第三方实施合规和道德行为？

-实际行动和结果——公司是否对第三方尽职调查中识别到的危险信号进行追踪？对于未通过公司尽职调查或被终止合作的第三方，公司是否进行跟踪，公司是否采取措施来确保这些第三方不在日后被雇佣或重新雇佣？如果经调查第三方曾参与不当行为，在尽职调查中或雇佣后被识别到危险信号，公司是怎么处理的？是否有类似的第三方因合规问题被中止、终止或审计？

F. 并购（M&A）

      一个设计良好的合规程序应当对所有收购目标进行全面的尽职调查。并购前的尽职调查能够帮助收购方更准确地评估每一个目标的价值，并就伴随目标而来的腐败或不当行为的成本进行协商。有缺陷或不完整的尽职调查会导致目标公司的不当行为持续发生，对一个企业的盈利能力及声誉造成损害，并有承担民事及刑事责任的风险。

      一个公司能够对它的收购目标进行恰当且详尽的审查表明，该公司合规程序的实施能够有效加强内部控制并对企业各层级的不当行为进行纠正。

-尽职调查程序——尽职调查是否能够识别不当行为或不当行为的风险？对被收购/合并实体进行风险审查的主体是谁？并购尽职调查的程序一般包括哪些内容？

-并购整合——合规职能是如何融入合并、收购和整合程序中的？

-将尽职调查与实施相联系的程序——公司对尽职调查中被识别到的不当行为/不当行为风险采取了何种追踪和纠正的程序？公司在新实体实施合规政策和流程的程序是什么？

-高层行为——高层领导如何通过言语或行为鼓励或阻止了合规（包括调查中涉及到的不当行为类型）？他们采取了何种具体行动来显示他们在公司合规工作及补救措施中的领导力？他们是如何为下属员工展现模范作用的？在拓展新业务或追求更高收益，管理人员是如何应对更大的合规风险的？管理人员是否为了实现业务目标鼓励员工实施不道德行为或者阻止合规人员有效履行他们的职责？

-共同承诺——为了证明他们对合规或合规人员的承诺，高层领导和中层管理人员（如业务及运营经理、财务、采购、法律、人事）采取了什么行动和补救措施？在面对竞争利益或业务目标时，这些人员是否坚持了他们的承诺？

-监督——董事会成员具备哪些合规专业知识？董事会及外部审计人员是否召开过具有合规与控制职能的高管会议或私人会议？在对不当行为所在的领域进行监督时，董事会及高级管理层审计了哪类信息？

-结构——公司的合规职能部门（如法律部门、业务部门或向首席执行官/董事会直接报告的独立部门）是什么？合规职能部门向谁报告？合规职能部门由指定的首席合规官或公司内部的另一名高管负责，该名负责人是否在公司内有其他角色？合规人员是只承担合规责任，还是在公司内还承担其他非合规责任？为什么公司选择当前的合规结构？

-级别和地位——在地位、薪酬水平、层级/头衔、隶属关系、资源和与重要决策者接触方面，公司的合规职能部门与其他战略职能部门相比有什么不同？合规和相关控制职能部门员工的更替率是多少？合规在公司的战略和运营决策上扮演了什么角色？在具体案件中，公司对合规问题是如何反应的？是否有交易因合规问题被停止、修正或进一步审查？

-经验和资历——合规和控制职能部门的员工是否具备与他们的职责和责任相适应的经验和能力？随着时间的推移，经验和能力的水平是否发生变化？谁来考核合规职能部门员工的绩效？考核流程是什么？

-资金和资源——是否有足够的合规员工来对合规工作的结果进行审计、记录、分析并采取行动？公司是否对合规工作投入了足够的资金？合规及控制职能部门在向公司要求资源时是否曾被拒绝，如果有，理由是什么？

-自主权——合规及相关的控制职能部门是否能够向董事会和（或）审计委员会直接报告？合规及相关的控制职能部门与董事开会的次数？高级管理层成员是否在会议上出现？公司如何确保合规及控制职能部门员工的独立性？

-外包合规职能——公司是否将全部或部分合规职能外包给外部公司或顾问？如果是，为什么？谁负责监督或联络外部公司或顾问？外部公司或顾问对公司信息的访问级别是多少?如何评估外包过程的有效性？

-人力资源程序——谁参与对不当行为作出的惩罚决定，包括决定涉案的不当行为的类型？是否对每一个不当行为都遵循相同的过程，如果不是的话，为什么？员工被惩戒的实际原因是否传达给员工？如果没有的话，为什么？是否存在限制信息传达的相关法律或调查原因，或是否提供了“托词式”的原因，保护企业免受指控揭发或外部审查？

-适用上的一致与平等——惩戒措施和奖励措施是否在整个组织内得到公平和一致的应用？是否有相似的不当行为得到不一样的对待，如果有，为什么？

-奖励制度——公司是否考虑过奖励制度对公司合规的影响?公司如何激励合规和道德行为？公司是否存在基于合规与伦理原因而采取的具体行动的例子（例如，得到晋升或拒绝给予奖励）？谁决定包括奖金在内的薪酬，以及与合规问题有关的人员的惩戒和晋升？

3. 在实践中“公司的合规程序是否有效”？

      联邦起诉商业组织的原则要求检察官评估“公司违规时和作出指控决定时，合规程序的充分性、有效性”。JM 9 - 28.300。鉴于首次被调查后的后顾性，检察官在公司发生不当行为后，评估合规项目时必须回答的最困难的问题之一是，该项目在不当行为发生时是否得到有效运行，特别是在不当行为没有立即被发现的情况下。

      在回答这个问题时，检察官需要注意到，不当行为的存在本身并不意味着不当行为发生时合规程序没有奏效或没有效果。参见U.S.S.G §8B2.1(a)(“未能预防或检测到违法行为并不意味着该程序在预防和制止不当行为方面通常没有效果”)。事实上，“公司应当认识到，没有任何合规程序能够完全阻止公司员工的所有不当行为。”JM9 - 28.800。当然，如果合规程序确实有效地识别了不当行为，包括能够及时纠正和自我报告，那么检察官应该将这种情况视为一个强有力的指标，表明公司的合规程序正在有效地工作。

      在评估公司在不当行为发生时，合规程序是否有效地起到作用时，检察官应考虑公司是否发现不当行为、如何发现不当行为、在调查可疑的不当行为时有哪些合适的调查资源可以运用，以及公司补救措施的性质和彻底性。

      为了确定公司的合规程序在作出起诉决定或决议时是否有效，检察官应考虑该程序是否随着时间的推移而演变，以应对现有和不断变化的合规风险。检察官还应考虑，该公司是否进行了充分和实际的根源性的原因分析，以了解是什么导致了不当行为，以及为防止今后发生类似事件而需要采取的补救措施的程度。

      例如，在众多有影响的因素中，检察官应当考虑“公司是否在公司合规程序和内部控制系统方面投入较大的投资和进行改善”和“对合规程序和内部控制制度的补救性的改善措施是否经过测试，能够证明这种改善措施将防止或检测在未来类似的不当行为。Benczkowski备忘录的第2部分（查看“如果公司的合规程序和控制在决议时被证明是有效的，并且资源充足，那么可能就不需要监控了”)。

A. 对合规程序的持续改进，定期测试和评审

      有效的合规程序的一个标志是其公司对程序的改进和发展。在实践中管控措施的实施必然会暴露出风险领域和潜在的调整需求。随着时间的推移，公司的业务、经营环境、客户的性质、法律的相关规定以及适用的行业标准也会发生变化。因此，检察官应该考虑该公司是否在审查其合规程序以确保它没有过时的方面作出了有效的努力。一些公司会对员工进行调查，以衡量企业的合规文化、评估合规程序的规制力度是否发挥其应有的作用，并/或进行定期审计，以确保合规程序的良好运行，尽管评估程序的性质和频率可能取决于公司的规模和复杂性。

      检察官可以对公司作出促进合规程序的改进与可持续性发展所作出的努力进行奖励。在评估一个特定的合规项目是否在实践中有效时，检察官应考虑“根据公司在合规过程中吸取的教训对公司合规程序进行修订”。JM 9 - 28.800；参见JM 9-47-120(2)(c)(查看“审计合规程序以确保其有效性”)。检察官同样应该关注公司是否采取了“合理的措施”，以“确保遵守组织的合规和道德程序，包括监控和审计，以发现犯罪行为”，以及是否“定期评估合规程序实施的有效性”。U.S.S.G §8B2.1(b) (5)。像这样积极主动的努力不仅可以在受到任何决议或检控时得到回报（例如，在量刑指南中规定，可以补救信贷或较低的适用罚款范围），而且更重要的是，可以避免今后继续出现问题。

-内部审计——确定内部审计将在何处和多久进行一次审计的程序是什么？制定该程序依据的基本原理是什么？如何进行内部审计？如何审计可以发现与不当行为相关的问题？是否进行了审计？结果如何？定期向管理层及审计委员会报告过哪些有关的审计结果及补救进度？管理层和董事会如何跟进？内部审计多久对高风险领域进行一次评估？

-控制测试——公司是否对与不当行为相关的合规程序进行了审核？放到更常见的情况中，公司对控制、合规数据的收集和分析，以及对员工和第三方的访谈进行了哪些测试？如何报告结果和跟踪操作项？

-不断更新——公司多久对风险评估进行更新，并审查公司合规政策、程序和实践？公司是否进行了差距分析，以确定是否在其政策、控制或培训中有没有充分关注特定的风险领域？公司采取了哪些步骤来确定政策/程序/实践是否适用于特定的业务部门/子公司？

-合规文化——公司对公司的合规文化衡量一次？是如何衡量的？公司是否寻求各级员工的意见，以确定他们是否理解高级和中级管理层对合规的承诺？公司在衡量合规文化方面采取了哪些措施？

B. 对不当行为的调查

      合规程序有效运作的另一个标志是，存在一个运作良好、资金充足的机制，可以对公司、员工或代理人的任何不当行为受到指控或怀疑时进行及时和彻底的调查。有效的调查结构还应具备记录公司响应的既定手段，包括所采取的任何惩戒措施或补救措施。

-由具有资质的人员在合适的范围内进行调查——公司如何确保调查的范围是适当的，独立、客观、适当地进行，并进行了适当地记录？

-对调查的回应——公司的调查是否被用于确定根本原因、系统漏洞和责任缺失，包括对监督经理和高级管理人员的调查？对调查结果作出回应的程序是什么？调查结果最高可以提交到公司里哪个层级？

C. 分析和纠正任何潜在的不当行为

      最后，在实践中有效运作的合规程序的一个标志是，公司能够在多大程度上对不当行为进行周密的根本原因分析，并及时和适当地纠正，以解决根本原因。

      检察官在评估合规程序的有效性时，应该反思“违法行为的程度和普遍性；涉案职工的人数、级别；违法行为的严重程度、持续时间、发生频率；公司采取的所有的补救措施，包括对以前合规程序中发现的不当行为进行纪律处分，并根据吸取的教训对公司合规程序进行修订。”JM 9 - 28.800；另见JM 9-47.120(3)(c)（根据《反海外腐败法》公司执行政策，“为进行及时和适当的补救并获得充分的信任”，公司应论证“根本原因分析”，并在适当情况下“进行补救以解决根本原因”)。

      检察官应该对“公司采取的任何补救措施，例如，对之前合规程序中发现的过去的违反者采取纪律处分。”进行考虑。JM 98 - 28.800；参见JM 9-47-120 (2) (c)（查看“对员工进行适当的惩戒，包括那些由于直接参与或监督不力而被公司认定应对不当行为负责的员工，以及对不当行为发生地有监督权力的员工”和“任何表明公司承认不当行为的严重性，为不当行为承担责任，以及实施相关措施以减少此类不当行为再次发生的风险，包括确定未来风险的措施”)。

-根本原因分析——公司对问题中的不当行为的根本原因的分析结果是什么？是否发现了任何系统性问题？公司里谁参与了分析？

-先前的弱点——是哪一步管控措施失效了？如果政策或程序本应禁止不当行为，它们是否得到了有效执行，并且对享有这些政策和程序所有权的职能的工作人员是否被追责？

-付款系统——涉案的不当行为是如何获得资金的（例如，采购订单、员工报销、折扣、零用现金）？哪些程序可以防止或检测到对这些资金的不当使用？这些程序是否得到了改进？

-供应商管理——如果供应商涉及不当行为，供应商选择的过程是什么？供应商是否经历过这个过程？

-以前的迹象——是否有机会事先发现相关的不当行为，如识别确定相关控制失败的审计报告或受到指控、投诉或调查？该公司是如何分析这些机会为何被错过的？

-补救措施——公司做了哪些具体的改变来降低将来发生相同或类似风险的可能性？哪些具体的补救措施解决了根本原因和错失的机会分析中确定的问题？

-问责制——公司针对不当行为采取了哪些惩戒措施？这些措施是否及时？管理人员是否对在其监督下发生的不当行为负责？公司是否考虑过因监管不力的人员而采取纪律处分？公司对员工纪律处分记录（如纪律处分的数目及种类）与所涉及的行为类别有何关系？公司是否曾因员工行为不端而解雇或以其他方式对其进行处罚（如减少或取消奖金、发出警告信等）？