经贸实务： 如何修改或撤销进出口货物报关单？ 中国企业如何应对俄乌局势下的 涉外合规风险？

中国企业如何应对制裁风险？ 今天，走出去智库 (CGGT) 刊发马建新 演讲的主要内容，供关注跨境合规管理的读者参阅。

       正 文

 当今世界正经历百年未有之大变局，国内外形势正在发生深刻复杂变 化。当下的俄乌战争，促使欧美等国对俄罗斯不断加码制裁，大国博 弈所带来的国际秩序和规则变化，这给企业国际经营环境带来极大的 不确定性，因此如何驾驭风险，如何化解长臂管辖，如何安全稳健发 展，成为所有企业的关注焦点。

       以前，企业走出去是以规则为本，现在一定要以风险为本。以风险为 导向，就需要定性和定量的评估风险、监测风险、控制风险以及缓释 风险，还需要从全流程分析各类地缘风险对企业国际经营的影响，从 国际收付结算等关键节点判断对企业资金管理的影响，以及从客户、 经销商、供应商、交易对手方、第三方合作伙伴等方面分析是否会有风险传染的影响等。因此，企业要以点、线、面、体相结合的多维视 角，去开展风险管理和合规治理工作。

      当然，任何事情都没有绝对的无风险，风险一定还是会存在，但关键 是怎样设定企业的风险容忍度和风险偏好，怎样加强对风险的“免疫 力”和“反脆弱”能力，从而“不管风吹浪打，胜似闲庭信步”的驾 驭好风险。

        关于对俄罗斯的制裁，美国从 2014 年因克里米亚就开始加强制裁， 特朗普上任后又签署了很多法案，比如涉及到金融、能源、军工和深 海油田开发等各方面的制裁限制，以及对资本市场也进行融资类的制 裁限制。又如，2018 年针对俄铝的制裁，香港联交所就发出过风险  提示，要在一定时间内清仓。由此可见，国际制裁政策是瞬息万变、 千变万化的，我们不能仅通过“老办法应对新问题”，还需要动态的 观察风险，适时的优化风控能力，与时俱进的调整应对策略。

       美国的经济制裁和出口管制措施，现在已经成为其外交政策“工具箱” 里的主要工具，所以在域外长臂管辖的范围越来越多，单边制裁的规   则也变化很快，但我们千万不要掉进这些规则的陷阱，而应该“跳出” 这些琐碎的规则，了解美国制裁的主要诉求，抓住关键的制裁风险点， 比如美国的制裁体系至少要从两个维度分析，第一个维度是从行政令   的角度，第二个维度是美国国会的立法角度。结合俄罗斯的相关制裁   来看，主要的制裁措施是依据一些国会法案，比如 2017 年的 CAATSA   法案，2012 年《马格尼茨基人权问责法案》 ，还有 911 事件之后小布什签署的《美国爱国者法案》等，所有制裁约束机制中大多是以这 些法案为依据； 然后美国总统及其政府部门，围绕外交政策及所谓国 家安全的诉求，再从贸易、金融、能源、军工、人权，以及技术壁垒 等方面，制订更为详细的制裁规则，从而达到美国国会或总统所期望 的制裁目的。

      从美国联邦法规上来看，一共有 50 编，如上图所示，其中与出口管   制和经济制裁相关的制裁分别在第 15 编和第 31 编。比如，涉及到俄  罗斯相关的制裁条例是第 587 部分（ Part 587: Russian Harmful Foreign  Activities Sanctions Regulations） ，大家可能也会发现第 586 部分涉及  到对我国涉军企业的制裁（ Part 586:Chinese Military-Industrial Complex  Sanctions Regulations） ，另外第 501 部分的 501.807 款涉及履职记录   和罚金计算等内容，这些看起来很繁杂，但都是有章可循，当然要具  体这分析这些制裁规则，还是建议通过专家团队，甚至通过科技团队  帮忙智能化梳理，以实现“制度流程化、流程信息化、信息智能化” 的应对策略。

     比如最近 CAATSA 法案关注的人比较多，因为这个法案不仅仅是针对 俄罗斯的，还有伊朗和朝鲜。其中大家要注意第 228 节（ Sec. 228. 对 俄罗斯境内与外国逃避制裁者和严重侵犯人权者进行交易的制裁） ， 其中涉及俄罗斯重大交易（Significant transactions） 的定义，还有第  231 节（ Sec.231 对与俄罗斯情报或国防部门进行交易的制裁） ，也对重大交易进行了强调，以及第 233 节（Sec.233.对国有资产进行投资 或促进其私有化的制裁） 等，建议企业重点关注。

        还有大家也要多了解制裁豁免的情形，比如：外交豁免或者人道主义 豁免，当然这些规则最后的解释权还是归美国政府。我们要注意的是， 美国的这些制裁逻辑和规则，实际上就是“小院高墙”策略，通过经 济或技术壁垒，制约其科技发展，影响其经济稳定性，破坏被制裁政 府的执政基础，从而达到制裁之目的。还有，从小院高墙的外部挖好 “壕沟”，阻断外部救援力量，如针对非美国人采取次级制裁，即使 没有美国连接点，但如果与被制裁对象进行的交易恰好在其制裁措施 红线内，则会被次级制裁。比如美国在 2018 年对俄铝的制裁就是很  典型的案例，其中就涉及到次级制裁，导致俄铝的第三方合作伙伴不 能与俄铝交易。

       另外，目前大家对俄罗斯制裁比较关心的还有 SWIFT 系统，这与 SDN 等制裁名单不一样，不是资产冻结，只是涉及被切断的几家银行的资 金通路无法通过 SWIFT 报文往来，从而影响整个支付、清算、结算  环节。虽然从制裁逻辑上分析，这不代表一定不能开展非美元业务， 但这需要根据业务场景具体分析，要全面评估相关风险。

       还有一个要特别注意的风险就是制裁所有权（Sanction Controls      Ownership，简称 SCO）。因为美国 OFAC 有个 50%原则，当被制裁 对象直接或间接所持有的权益达到 50%，则该权益也适应于被制裁对 象的限制措施。比如俄罗斯联邦储蓄银行所持有的 50%以上股权的资产也会受到一样的制裁限制，即使这些资产并没有被列入制裁名单。 这需要企业进行最终受益所有人（UBO）的股权穿透，所以客户尽职 调查（CDD）的合规履职工作是非常重要的，因为股权结构里“埋着 很多雷”。

再举例：比如被制裁对象 X 企业持有 A 企业 50%的股权，同时持有 B 企业 50%的股权，则 A 和 B 企业虽然没有被列入制裁黑名单，但也 一样受到与 X 企业相同的制裁限制。假设这个股权结构中还有 C 企 业，分别被 A 和 B 企业持有 25%股权，因为 A 和 B 属于被制裁所有 权限制的对象，而 A 和 B 对 C 企业累积拥有 50%（25%+25%） 的股 权，所以 C 企业也将会受到与 X 一样的制裁限制。因此真正做好股 权穿透分析非常复杂，建议通过专业机构做分析和判断。（注意，英 国和欧盟的制裁规则中也有 50%原则。）

企业应对俄罗斯的制裁风险，我们建议至少有五个关键点（ 4W1H）， 就是:

     1、了解您在与谁进行交易（WHO）？最终用户是谁？ 合作伙伴是谁？ 做好客户身份识别（Know Your Customer, KYC ）；

      2、您做的是什么交易（WHAT）? 是军品还是军民两用物品？ 是否 是含有美国最低占比成分的物品？ 是否在美国为俄罗斯新增设的外 国直接产品规则（FDP）?

      3、请问是在哪里做交易（WHERe）？是否在一些司法管辖区所认定 的高风险国家? 是否在这些国家的港口、机场或自贸区？

4、请问是如何开展的交易（HOW）？是否海上船舶运输？ 船舶及其 控制人、受益人是否被制裁？ 是否管道运输？ 管道运营公司是否有制 裁风险？

      5、最后还要问一下自己，为什么（WHY）要做这笔业务? 您的初心 是什么？

      大家要注意的是，在当前俄乌局势下，我们不仅要看美国对俄罗斯的 制裁，还要看俄罗斯对西方国家的反制裁。这五个关键点只是帮助企 业梳理主要的风险点，其他风险点，建议企业结合已建立的合规体系 及风险管理措施，搭建国际制裁合规专项框架（Sanctions Compliance Program，简称 SCP ），在此简要的说明一下其中的五个要素：

       1、管理层承诺：高级管理层义务是决定 SCP 成功与否的一个关键  性因素，包括并不限于以下义务：高级管理层是否已审阅并批准了  SCP？ 高级管理层是否确保合规部门具有必要的权限和自主权，并在 SCP 负责人和高级管理层之间建立直接的汇报关系？ 高级管理层是  否确保合规部门获得与公司整体风险状况相称的充足资源，比如任命 一名专职且合格的制裁合规官？ 高级管理层是否在公司内部推广“合 规文化”并给予合规团队资源支持（人、财、物等） ？

       2、风险评估：制裁合规中的风险是潜在的威胁因素，这些因素如果  被忽略便会导致违反制裁的行为。风险评估应当包括对整个组织的审 查，并确定其与受制裁个体、国家或地区接触的潜在领域，包括并不 限于以下方面的评估：客户、供应链、中间商和交易对手方； 公司提 供的产品和服务； 公司及其客户、供应链、中间商和交易对手方的地 理位置； 应以适当的方式和频率进行风险评估，并且风险评估应“端 到端”的从建立业务开始，到交易期间，以及业务结束之后，持续的 开展风险评估，并适当开展回溯风险评估程序；应制定一项用以识别、 分析和处理已知风险的方法，并适时更新和优化风险评估方法，避免 明显违规行为或系统缺陷。

       3、内部控制：有效的 SCP 应当包括内部控制，以识别、禁止或报  告明显的违规行为，并保存相关记录。内部控制应当反映对制裁名单 更新，及以下措施：制定与机构相适应的制裁合规制度和流程，指导 日常业务运营的需求，易于遵守，且防范员工的不当行为； 实施恰当 解决风险评估结果的内部控制措施，降低固有风险； 选择并调整解决 公司制裁风险状况和合规需求的信息技术解决方案，并定期测试这些 方案以确保其有效性； 将 SCP 制度明确地传达给所有相关人员，包括 在高风险地区工作的人员和业务部门，并且传达给代表该公司执行  SCP 程序的外部各方；任命合适人员将 SCP 程序整合到公司日常运营 的各项流程之中。

        4、测试和审计：定期或不定期的评估当前 SCP 程序的有效性，并且 查找薄弱环节和缺陷，然后改进和优化合规计划以弥补相关漏洞。工 作内容包括并不限于以下内容：更新 SCP 内容以应对变化中的风险评 估或制裁环境； 对特定项目进行测试和审计，或在整个范围内实施测 试和审计； 采取与风险等级相适应的测试或审计程序，并且确保审计 人员拥有足够的专业知识、资源和权限； 了解到薄弱环节后，立即采 取有效措施执行补偿性控制，直到导致薄弱环节的根本原因可以得到 纠正。

       5、培训：根据公司制裁风险状况定制的培训，并且涵盖适当人员的  培训对 SCP 的成功而言至关重要。建议每年应当至少举办一次培训， 并达成以下目标：提供与机构经营特点及风险状况相关的制裁合规知 识； 传达每个员工的合规责任； 通过评估使员工了解各自对制裁合规 的义务； 为利益相关方（如适用） 提供培训和指导，以支持组织的合 规工作； 建议为高风险员工提供定制化的培训； 为客户、代理行、商 业合作伙伴等提供适当的合规培训，避免风险传导； 确保参与培训的 所有适用人员均达到培训目标。

       综上，中国企业在应对俄乌局势下的涉外合规风险的时候，建议管理 者和经营者要有“一二三”的新理念：“一个意识” ，即总体国家安 全观的大局意识； “两件大事”： 即统筹安全和发展两件大事，推动 企业从高速度发展向高质量可持续发展转型； “三项思维”： 即顶层思维，做好战略风险预判； 底线思维，做好履职责任担当； 系统思维， 协同科学发展。