《2009年马来西亚反腐败委员会法》(MACC Act)修正案第17A节引入了企业责任，并规定组织管理层可能对其员工的任何腐败行为承担个人责任, third-party vendors and any other parties acting on their behalf - even if the company is unaware of the act. The amendment is expected to come into force on 1 June 2020 and is a strict liability offence i.e. no fault needs to be proved. Organisations and management have a defence available to them under law by demonstrating that they have a programme in place to prevent corruption from happening in the first place. This anti-corruption programme is commonly referred to as ‘adequate procedures’. The Government has published its “Guidelines on Adequate Procedures” (Guidelines), and this article will discuss three of the multiple elements of the Guidelines: risk assessments; managing third-party risk; and maintaining a speak-up culture.

1. 腐败风险评估必须定期进行(至少每三年进行一次)，并记录在案，评估结果必须用于制定反腐败计划。
2. 您应该对您的第三方进行足够的前往和持续的尽职调查（即您代表您代表的供应商，代理人，承包商和子承包商），以满足自己，并将继续以合规的方式为您行事。与第三方的合同必须有反腐败条款。建议还考虑培训和教育您的第三方对您的反腐败预期。
3. 当你的员工、商业伙伴和更广泛的公众对腐败感到担忧时，鼓励并使他们能够告诉你，这一点至关重要。透过强有力的发声计划，让市民关注贪污问题，有助迅速发现贪污问题，并作出回应。

介绍

透明国际对腐败有一个简单的定义——滥用委托权力谋取私利。腐败危害社会，阻碍发展，浪费资源，扭曲市场，破坏信任。腐败对最无力对抗的人伤害最大。与腐败作斗争是每个人的责任，马来西亚政府已经明确表示了它的期望。

2018年5月，修订了MACC法。除其他改变之外，现在通过新的腐败犯罪的企业责任节17

从本质上说，第17A条扩大了法律的范围。现在，那些能够或应该做一些事情来阻止腐败行为发生的人，即董事和管理层，可能要承担责任。这与他们自己是否犯下了这一行为，甚至是否意识到这一点无关。个人的过失不需要证明。

这意味着任何在商业组织中担任管理职务的人都可能要对他们远方下属的行为承担个人责任。这种个人责任甚至延伸到代表他们的其他组织的员工的行为。

为了进一步强调政府在处理腐败问题上的严肃性，对不遵守规定的处罚已经大幅增加。犯下腐败行为的罪犯仍可能面临10,000令吉的罚款和/或最高两年的监禁。然而，那些本可以采取行动阻止这一腐败行为，但没有采取行动的人，可能会面临最低100万令吉的罚款和/或最高20年的监禁，即使他们不知道这一腐败行为。

1. 《MACC法案》(修正案)第17A条第3段:任何董事、财务总监、官员、合伙人或任何与组织事务管理有关的人
2. 在马来西亚注册的公司或合伙企业，在世界各地开展业务;或在马来西亚境外注册的公司或合伙企业，在马来西亚开展业务，MACC法案(修正案)第17A节第8段

商业组织和董事们不能坐视不管，采取放任的做法——无论是声誉、财务还是个人风险都太大了。政府知道这一点，它推动了马来西亚企业接受第17A条提供的充分程序辩护的必要性。

足够的程序

的《2010年英国贿赂法》(UKBA)亦引入贪污罪行的公司责任。这部法律的目的是打击腐败，推动企业界的变革。UKBA对不遵守规定的人采取了严厉的惩罚措施。不过，它也为商业机构提供了避免被起诉的能力，证明它们已尽其所能阻止贪污。这就是所谓的适当程序。

MACC法案的第17A节大量借鉴了UKBA制定的标准，并为在马来西亚运营的组织提供了类似的辩护。马来西亚对第17A条的唯一辩护是，组织的董事和管理人员必须证明他们(a)没有纵容、同意或允许腐败行为，以及(b)已经进行了尽职调查以防止腐败行为，即实施了充分的程序。

MACC明确指出，只有法院才能真正定义什么程序是“适当的”。然而，对于那些希望建立或发展反腐败计划的人来说，有大量的指导。来自马来西亚政府T.R.U.S.T.框架透明国际的反贿赂的网站和它的反贿赂检查表,有广泛的适当的程序特定的支持材料。

除了马来西亚政府的《适当程序指南》外，其他机构也发布了自己的反腐败指南。这些国家包括:美国司法部;国际标准组织(ISO)反贿赂管理系统;ISO 37001:2016和政府间组织如经济合作与发展组织和世界银行

有了这些触手可及的指导，你可能会忍不住认为，设计和实施一项适当有力的反腐败计划，仅仅是遵循指示的问题。不幸的是，商业组织的多样性和复杂性，以及腐败在你最意想不到的时间和地点打击你的能力，使为你的组织构建正确的方案成为一个挑战。

与任何项目的开始一样，第一步是评估和计划。下面我们将讨论腐败风险评估作为第一步。与此同时，值得回顾一下你当前的合规计划——你的政策、程序、控制、培训、监控等等，这些都是tr.u.s.t框架所要求的。如果做得正确，这个评审将识别出你所拥有的和你所需要的之间的差距，以符合第17A节的要求。

从风险评估中找出风险最高的领域，从差距分析中找出最大或最紧迫的差距。这两种方法的结合将告诉您需要从哪里开始。

你应该关注哪里?

广义上的腐败风险需要由董事会承担。它几乎是唯一的风险，因为它涉及几乎所有的业务流程、部门、功能和活动。这使得有效应对腐败风险变得困难。企业中的腐败风险所有者必须得到适当的授权——并有足够广泛的职权——以有效地应对风险。这些风险所有者应负责推动反腐败合规计划，而董事会应确定正确的基调并发挥积极的领导作用。

建立一个充分的反腐败合规计划，尤其是针对大型商业组织，不太可能是一项小任务。必须充分考虑高层承诺、腐败风险评估、控制措施、系统监测、审查和执行，以及培训和沟通。本文无法涵盖符合第17A条要求的所有方面，因此将重点关注以下三个领域，这可能会成为您反腐败计划的更广泛基础的一部分:

1. 腐败风险评估;
2. 管理第三方风险;和
3. 说出来的文化

腐败风险评估

贪污风险评估与你的业务所进行的其他风险及机会评估并无不同，不同的是，评估的重点是贪污问题，而不是营运或其他特定的风险。方法保持不变:

1. 计划- - - - - -确定运行和执行评估的团队，并确定其他涉众。同意范围:这是你可以确保你的业务没有任何相关部分被遗漏的地方。确保您定义并访问足够的资源来运行评估。这些资源还必须具备了解腐败风险的必要经验。明确定义并同意进行评估所需的行动。这将有助于评估小组全面、有效地开展工作
2. 数据收集,采访您的部门，部门和功能头;工艺业主;和高级工作人员。寻求他们对腐败风险的看法，因为它们将具有最好的见解。审查您的政策和程序以接触腐败风险。考虑与初级员工进行焦点小组来了解“地面上的风险”，特别是员工的群体级政策和预期如何。公司在员工方面，在反腐败方面的期望以及在实践中所做的事情之间通常存在差距。焦点小组和员工调查可以帮助您识别这种差距
3. 风险识别,虽然第17A节只讨论了给予贿赂，但根据《MACC法案》收受贿赂仍然是非法的。你既要考虑行贿的风险，也要考虑受贿的风险。当人们对贿赂可能是什么缺乏认识时，一个常见的风险领域就会出现。考虑向你采访的人解释，贿赂不仅仅是现金，它是任何有价值的东西，甚至是支付满足的承诺。这可能促使他们讨论更广泛的风险领域。
4. 控制/缓解因子识别 --无论您的组织的法规遵循成熟度如何，您都可能有一些现有的控制来减轻腐败。然而，如果没有这种风险评估，它们对腐败风险的应用可能不会立即显现出来。例如:财务团队的制衡;采购流程;礼品和招待的审核和批准;以及健全的人力资源流程。此外，对员工的培训和领导层的沟通有助于进一步降低腐败风险。
5. 净影响/可能性评估-一旦您确定了业务和运营中的固有风险并减轻了控制活动，您就应该留下剩余风险。审查残留风险并确定改进缓解控制的机会。重复这个过程，直到剩余的风险不能有效地降低，并且业务可以接受为止。

仅仅进行腐败风险评估是不够的。企业必须能够证明评估结果已被用于加强其反腐败计划。评估也必须重复进行。频率取决于你的业务规模和复杂性，但是上市公司将贪污风险纳入年度风险评估程序。你可定期对整个业务进行贪污风险评估;将贪污风险纳入现有的年度风险评估计划;或者对你的业务的不同部分进行滚动评估，覆盖整个公司。已修订了列名要求，要求审计委员会确保至少每三年进行一次列名。

但是，您选择结构并进行腐败风险评估，必须记录。必须记录范围，调查结果和结果。董事会或至少应须知委员会风险委员会通报已确定的风险。对您的风险评估结果进行行事 - 使用它来集中您的适当程序实施。

管理第三方风险

大部分贪污案件涉及第三方。根据第17A条，在法律的眼中，由您的代理商和第三方进行的腐败行为被视为您的“自身”行动。如果这些第三方中的任何一个行为腐败，而代表您工作，则您的责任也是您可能会被起诉，即使您不了解其腐败行为。

在管理第三方风险时，你应该关注以下四个方面:

1. 尽职调查,- 了解你是谁，最终拥有这项业务。检查公司，董事和业主是否针对在线数据库和列表：MACC的网站识别过去被被判犯有腐败罪的个人;在线治理，全球风险和合规数据库或制裁筛选数据库;犯罪记录检查;并在新闻或社交媒体中搜索不利的声誉问题，这一切都很有用来构建你曾经参与过的照片。
2. 承包 -对所有第三方合同使用标准条款。要求遵守法律和反腐败政策的反腐败条款几乎是“必须有的”。审计权条款可以帮助你监督第三方为你工作时在做什么，以及你付给他们的钱去了哪里。如果发现腐败行为，合同有权终止合同，这有助于传达你对反腐败的重视程度。如果有必要，可以考虑将其中一些条款纳入投标资格审查过程
3. 监测 -不足以进行初步的尽职调查。在你与第三方接触的整个过程中，你必须监控他们的活动。内部审计应将对高风险第三方的审查纳入其年度审计计划。当第三方的情况发生重大变化时，你应该进行补充尽职调查，或者高风险第三方的滚动调查。考虑投资可以自动识别腐败危险信号或更高风险的数据模式的工具——自动化分析——以识别高风险供应商或不寻常的行为模式。对第三方进行风险评级是个好主意，可以让你采取基于风险的方法对第三方进行尽职调查。维护并更新供应商黑名单。如果供应商从事腐败行为(或以任何其他方式违反您的政策)，请将其、其董事以及必要时其所有者列入黑名单。在雇用新供应商时，检查清单
4. 教育- - - - - -供应商也必须遵守第17A条。考虑主动与他们交流，让他们了解你的期望，并解释你正在做出的改变。对于风险较高的供应商，您应该举办专门的培训课程，让他们了解如何防范腐败。

通过强有力的合同流程与您了解和信任的供应商进行强有力的接触，并使他们能够以符合要求的方式继续开展业务，这可以帮助您。除了你自己的反腐败程序之外，它还为你的组织增加了一层防御。

说出来的文化

最后，你必须建立一种直言不讳的文化。任何合规计划都无法完全杜绝腐败。所以当它发生时，你想第一个知道。如果你的员工和供应商知道如何举报腐败行为——而且他们信任公开发言的过程——你就可以在腐败风险变得难以控制之前提前脱身。

提供多种渠道报告。电子邮件及网上表格;邮政信件;对高级管理人员实行开放式政策;和/或24/7电话线路提供所有适用的语言和男性和女性受访者。在内部和外部都要清楚地宣传这些渠道。

让大家知道，对于善意的举报，我们将始终予以处理，并予以适当的认真对待。承诺对善意报告不进行报复的政策。

不要让披露报告只发给一个人。制定明确的“分类”流程，以确定调查报告的合适团队，并确保不存在利益冲突的可能性。这样一个团队应该由具有不同职能、不同技能的工作人员组成。例如，人力资源、财务、道德和合规、法律和/或首席执行官的办公室。内部审计的代表也应包括在内。考虑定期增加向执行局提交的报告，或至少是报告和所采取行动的综合摘要。

鼓励直言不讳的报告有助于你在潜在的腐败问题成为监管问题之前发现并解决它们。通过黎明突袭第一次听到腐败指控是一个非常困难和不愉快的位置!

下一个步骤

马来西亚企业界正在意识到法律的变化，但2020年6月1日即将到来。不应低估根据tr.u.s.t框架进行腐败风险评估和差距分析所需的工作规模，并在2020年6月之前解决这些差距。

企业应该记住四件事:

1. 2020年6月1日已经不远了。如果你对你的第17A节不熟悉，那么现在就开始吧!不遵守规定的惩罚是严厉的，不仅对组织，对个人也是如此。在你完全不知情的情况下，不要冒着被处以高额罚款或入狱的风险。
2. 您所做的一切都必须记录。从监管机构的角度来看，如果没有记录进程或活动，它可能也没有发生。
3. 你不是这样做的。马来西亚的每个商业组织都必须适应法律的变化，并且有资源和专家可以帮助您。这不是让你在业务劣势。
4. 无论你实施什么计划，它都必须与你的业务相称。你可能不需要一下子对金本位做所有的事情。

最后，在思考反腐败时，最重要的事情之一是要理解的是，它不仅仅是对政府和法律的期望。打击腐败将有助于我们国家的增长和发展;它将帮助我们的社会成熟;它将使我们的机构更加有效，我们的市场更加有效，我们的领导人更加可信。打击腐败不仅仅是法律问题，而是要做正确的事情。

作者:普华永道咨询公司(M) Sdn Bhd囊马来西亚