OFAC 框架还非常重视内部控制,以维持有效的制裁合规计划。合规专业人员需要深入研究开发和维护这些控制措施的细节,以确保其公司的制裁合规计划能够应对挑战。
从政策和程序开始。制裁合规计划应包括书面政策,解释相关法律法规以及该计划的目标。政策应以易于理解的语言编写,并与员工实际与客户合作和处理交易的方式相关。程序应就如何遵守制裁规则以及不当行为的后果向员工提供指导。
虽然每家公司都需要制定自己的程序,但 OFAC 框架强调了所有情况下都必须涵盖的四项具体行动:
识别可疑交易,这涉及一定程度的尽职调查
在处理这些交易之前拦截它们。
将可疑交易上报给适当的合规人员以进行进一步审查。
根据领导层的决定,向外部当局报告可疑交易。
在制定制裁合规计划时,合规专业人员应考虑企业中的哪些数据可能是执行这些目标所必需的,以及在交易进行之前可以利用哪些业务流程来拦截和阻止可疑交易。
合规专业人员还需要关注记录保存和报告程序,因为它们对于 OFAC 本身履 比利时电报数据库 行其使命至关重要。一个人可以与多家公司合作逃避制裁规则,OFAC 依靠所有这些公司的可疑活动报告来全面了解潜在的非法活动。
改进其制裁合规计划。这些测试可以在内部或通过外部机构完成,但 OFAC 再次希望这些审计能够在具备做好这些审计所需的能力和资源的情况下完成。
一旦这些审计完成,公司必须采取“立即有效的行动”来弥补发现的任何缺陷。作为临时措施,合规专业人员应该引入补偿性控制措施,他们需要回答以下问题:我们现在如何填补这一空白?为此,我们需要调整哪些程序或业务职能?然后,合规部门应执行根本原因分析,以了解可能需要进行哪些更深层次的更改才能永久解决差距。
更好地利用技术
OFAC 的框架强调了公司对过滤软件的使用。具体来说,它警告公司,无论他们使用什么软件,它都必须执行三个功能:(1) 及时更新该机构的特别指定国民 (SDN) 名单,(2) 显示相关的危险信号,例如用于冻结财务的 SWIFT 代码机构,以及 (3) 解释被禁止的公司或个人的替代拼写。
例如,2018 年,OFAC 对一家使用检测软件但设置错误的公司处以 87,500 美元的罚款。结果,经销商没有意识到其客户之一是一家被禁俄罗斯企业的关联公司。检测软件仅搜索完整的公司名称,不包括部分公司名称。
合规专业人员需要考虑如何使用检测软件以及如何与第三方供应商合作以避免此类错误。其中一些考虑因素是技术性的,例如确保检测软件配置能够广泛撒网,寻找 SDN 列表上的潜在匹配项或被阻止的金融公司。
合规专业人员还需要考虑如何将外部数据(例如来自检测提供商的数据)和内部数据(例如客户的交易历史记录)结合起来,以全面了解可疑交易。