新形勢下企業合規管理面臨的挑戰與對策探究

高艷偉 董曉笛

（1.中交投資有限公司，北京 100029；2.中國化學工程集團有限公司，北京 100007）

完善的合規管理體系，是企業的核心競爭力之一。新形勢下，企業要實現高質量發展，需要持續推進合規管理體系建設，針對面臨的重大合規風險采取有效的應對措施。

一、正確認識合規管理的大環境

談到合規，不少人會覺得無關緊要；甚至有人覺得，如果過于強調合規，很多事都做不了，以至于將合規作為業務開拓的絆腳石。或許，在某些時期、某些地區、某些環境下，這類觀點也得到了某些實踐操作的印證。但是，本文想強調的是，合規環境已經發生根本變化。新形勢下，推進合規管理體系建設，首先就要對當前合規管理所處的大環境有清醒的認識，破除陳舊的思維觀念，樹立合規經營的理念。

（一）監管日趨嚴格，執法力度持續增強

法律的生命在于執行。但在一些情形下，國家不少法律規定，只是停留在紙面上，沒有得到強有力的執行。以至于讓很多人形成一種錯覺，覺得那些法律規定根本不必在乎。但是，近年來，很多領域的執法力度都在持續增強，因合規問題受到行政處罰甚至刑事追責，或者導致項目停滯甚至終止，都屢見不鮮。例如，2019年，證監會對各類違法行為共做出行政處罰決定296件，罰沒款金額達到41.83億元[1]。

（二）法規動態變化，業務模式受到挑戰

政策法規不是一成不變的，經常會根據社會經濟形勢的變化進行調整。其中，與業務模式相關的政策法規變化，是企業合規管理面臨的重要挑戰。例如，近期螞蟻集團上市前夕，國家關于網絡小額貸款業務的監管規則出現重大變化，直接導致該公司上市受挫。又如，政企合作項目領域，國家對預算法的修訂、隱性債務的監管，使得BT模式由合規變為違規，政企合作項目的多種投資模式都面臨合規性風險。

（三）合規風控能力是企業核心競爭力之一

合規管理不是簡單地將風險拒之門外，而是重在提升控制合規風險的能力，將合規風控體系打造成為企業的核心競爭力。這要求合規管理不是簡單地“say no”，而是要圍繞企業的發展目標，探索實現目標的合規路徑。同樣的項目，可能有的企業覺得不合規而無法實施；但合規風控能力強的企業，就可以找到合規實施的路徑。如果企業的合規風控能力足夠強，就可以實施別的企業做不了或不敢做的項目，從而取得競爭優勢。

二、正確認識企業面臨的合規風險

普通企業所處的行業，一般不是受到專門監管的金融、醫藥等特定行業；如果不從事海外業務，也不涉及境外合規管理要求。但是，這并不意味著企業不存在合規風險，而是要有針對性地加強合規管理。

（一）區分日常合規風險與業務合規風險

所謂日常合規風險，是指公司日常管理活動中存在的合規風險，例如：財務、人力、招標、采購、工程建設等。任何企業日常管理工作中均可能存在違反法律法規的風險。所謂業務合規風險，是指公司主營業務產品或服務存在的特定合規風險，例如：基建投資公司從事的政企合作項目，投資模式是否合規的風險。

針對日常合規風險的控制，重在規范相關職能部門管理要求，一般并不需要采取特別的應對措施。針對業務合規風險的控制，則需要公司業務部門和相關職能部門共同加強研究，為業務模式創新及規范實施，提供支撐和保障。

（二）區分一般合規風險與重大合規風險

所謂一般合規風險，雖然可能對公司造成不利后果，但總體能夠承受，不會傷筋動骨。所謂重大合規風險，是可能對公司、項目或某類業務造成顛覆性影響的風險。

舉例來說，華為、中興這類公司，海外業務占比較高，美國貿易制裁的風險，就是重大合規風險。一旦發生，將可能使公司立刻停止運轉。再比如，政企合作項目，如果投資模式出現重大合規風險，就可能停滯或終止。但是，如果工程項目的建設手續不夠完善，雖然也會有不利后果，但一般不會造成顛覆性影響，可以逐步整改完善，屬一般合規風險。實踐中，一般合規風險與重大合規風險的界定，可能因外部監管尺度的變化而需要相應調整。

（三）區分內部合規風險與外部合規風險

廣義的合規，是將內部制度的執行與外部法規的遵循，均納入合規管理體系的范疇。所謂內部合規風險，是公司內部規章制度得不到執行的風險，一般為內控體系建設的管理領域。所謂外部合規風險，是公司及其員工的行為違反外部法律法規或監管要求的風險，應屬合規管理的重點。

但是，內部合規風險與外部合規風險并非毫無關聯。內控體系不健全，也可能導致違反外部監管要求。比如，法國阿爾斯通因海外行賄被美國利用《反海外腐敗法》重點打擊，原因之一就是阿爾斯通內部未能建立并有效執行禁止商業賄賂的管控體系[2]。

綜上，企業面臨的合規風險，重點是與主營業務相關的外部重大合規風險。日常管理工作中的一般性合規風險，應當重在通過規范職能管理予以控制。

三、推進合規管理體系建設的對策

當前中國企業的合規管理體系建設，普遍處于起步階段，但對企業長遠發展具有舉足輕重的作用。比如，華為公司的合規管理體系，在中美貿易戰的大背景下，經受住了嚴峻考驗，發揮了良好的保障作用。反觀中興通訊，因合規問題遭到巨額處罰，在中美貿易戰中處處受制于人，則是典型的合規管理失敗案例。企業開展合規管理工作，需要在借鑒先進企業經驗、吸取失敗企業教訓的基礎上，結合實際情況穩步推進。

（一）建立合規管理制度體系

完善的制度體系是開展合規管理工作的基礎。企業合規管理制度可以分為基本制度和專項制度，還包括其他管理制度中涉及合規的內容。其中，最重要的是，要結合企業重大合規風險管理需要，制定專項合規管理制度或者操作指南。實踐中，制度體系方面最常出現的問題是“假大空”，脫離實際業務需要，增加了管理成本，卻達不到合規目標。解決這一問題，要求合規管理制度的起草者，對企業的業務實質及關鍵風險要有深刻認識，而非照搬其他企業的制度模板。

（二）建立合規管理組織體系

健全的組織體系是合規管理工作落地的關鍵。對此，一是要明確董事會、高管層及全體員工的合規管理職責；二是要建立專門的合規領導機構，即合規委員會；三是要理清合規管理部門與業務主管部門的職責分工，確立“業務誰主管、合規誰負責”的原則；四是要加強合規管理隊伍建設，在企業各級機構配備符合業務需要的法務合規專員。實踐中，組織體系方面最常出現的問題是，大家都把合規管理當作合規部門的事兒，未能形成合力，導致合規體系漏洞百出。制度建設要靠專業人士，但制度執行要靠全員協同，尤其是高管層的有力推動，否則這種組織體系就會成為擺設。

（三）加強合規風險評估應對

合規風險評估應對是合規管理的主要內容。企業開展合規風險評估，就要持續關注本企業主營業務相關法律法規、監管要求的變化，定期對照有關合規要求，系統梳理、識別經營管理活動中可能觸發的合規風險，建立并及時更新合規風險清單。并且，針對評估確定的重大合規風險，制定合規應急預案，明確應急處置職責、路徑和要求，最大限度地化解風險、降低損失。實踐中，風險評估應對方面最常出現的問題是，浮于表面，未能發現對企業生產經營構成重大威脅的合規風險，或者即使發現了也沒有采取有效的應對措施。風險評估應對不能拍腦袋，而是要依靠專業人士，采用專業方法，否則很可能就只是做了一堆表格和方案，發揮不了實際作用。

（四）把握合規管理重點領域

前文已經提到，開展合規管理要區分日常合規風險與業務合規風險、一般合規風險與重大合規風險、內部合規風險與外部合規風險，其核心就是要把握合規管理的重點領域。雖然從理論上說，合規管理要“縱向到底、橫向到邊”，實現全覆蓋。但如果過于強調全覆蓋，將分散合規管理的注意力，并可能對一些日常管理工作造成負擔。實踐中，華為等先進企業的合規管理實踐中，往往結合本企業的實際，將出口管控、反壟斷、反商業賄賂等作為合規管理的重點。但是，正如任正非所說，“對合規風險進行程度等級的劃分，并不意味著可以接受這些合規風險[3]”。風險程度較低的合規風險，要通過加強日常管理實現有效控制。

企業合規管理體系是一個復雜的有機整體，其中最基本的要素是，企業管理層和全體員工都能夠將合規視為企業管理的剛性要求，將遵紀守法作為原則和紅線。面對新形勢下的挑戰，合規管理體系建設的有效推進，將有助于企業保持定力、行穩致遠。