試論企業合規管理的落地措施

時如寧

（光大金甌資產管理有限公司）

一、出臺合規管理的背景

2018年4月，中興在海外經營中交了一次學費，此次受處罰金額高達12億，事件一出，全國上下一片嘩然，痛心疾首的同時，也應該痛定思痛，是什么原因導致了中興受罰。中國企業海外經營行為不合規，其根本在國內，企業國內經營合規的重視程度不夠。面對此次事件，國務院領導要求企業強化合規經營意識，并要求有關政府部門采取措施指導企業在經營中遵規守法，切實防范合規風險。中興事件只是出臺合規管理規定的導火索。其實，國家對于合規管理的引導早已有之，自2006年開始，國家就陸續對商業銀行、保險公司、中央企業提出合規管理要求，并選取開展試點工作。

二、合規管理的內涵和外延

2006年，中國銀監會頒布《商業銀行合規風險管理指引》。2007年，中國保監會頒布《保險公司合規管理指引》。2015年12月8日，國資委《關于全面推進法治央企建設的意見》（國資發法規【2015】166號），明確要求中央企業加快提升合規管理能力，研究制定統一有效、全面覆蓋、內容明確的合規制度準則，加強合規教育培訓，形成全員合規的良性機制，建立法律、合規、風險、內控一體化管理平臺。2016年，國資委組織中國石油、中國移動、東方電氣集團、招商局集團、中國中鐵等五家中央企業開展試點工作。2017年12月29日，中國國家質量監督檢驗檢疫總局、中國國家標準化管理委員會發布了ISO 19600《合規管理體系指南》（GB/T 35770-2017）。2018年5月28日，國資委就《中央企業合規管理指引》（試行）征求意見。2018年11月2日，國資委印發了《中央企業合規管理指引（試行）》，同年12月13日，河北省國資委印發了《省國資委監管企業合規管理指引（試行）》。

（一）合規的內涵

上述制度文件對于合規、合規管理、合規風險的涵義作出了規定，簡單說來，合規管理就是遵守規則。

規則包括法律法規、監管規定、行業準則、企業內部規章、國際規則等。中興受處罰的依據就是美國下發的經濟制裁名單。具體到我公司，公司需要遵守的規則除了公司法人需要遵守的普遍意義上的民法、合同法、刑法、行政法等法律法規，還有國資委下發的條線管理規定、金融監管機構下發的資產管理方面的規定、職業道德規范，公司制發的章程及內部規章制度等等。

合規管理是要系統地開展以“合規”為目標的管理，包括公司制度規定與外部法律法規相“合”；公司內部制度完善，無漏洞；公司內部制度間無沖突；公司內部制度評價、改進；公司內部制度執行到位；公司合規風險識別、評估、應對；合規評價、監督、改進等。

（二）合規的外延

對于國內大中型企業尤其是國企、央企來說，合規不僅是簡單地合乎監管要求，更是實現內部機制的融合，順暢運行。在國家對企業全面風險管理、內部控制、合規監管要求提倡多年后，很多企業都無法實現三者的銜接，這得先從三者的起源說。

1.內部控制的法律基礎和實踐

2005年，財政部下發了《金融資產管理公司內部控制辦法》（財金[2005]136號），對四大資產管理公司提出了加強內部控制，建立健全內部控制機制的要求。2006年，滬交所和深交所分別發布《上市公司內部控制指引》。2008年，國家五部委頒發了《企業內部控制基本規范》，并于2010年下發《企業內部控制配套指引》，對境內設立的大中型企業提出了內部控制的要求。2012年，國資委和財政部下發《關于加快構建中央企業內部控制體系有關事項的通知》（國資發評價[2012]68號），對央企提出了相關內部控制的要求。

2.全面風險管理的法律基礎和實踐

2006年，國資委發布《中央企業全面風險管理指引》，提出企業全面風險管理的要求，建立三道防線管理。第一道防線是包括董事會高管層及全體員工在內的業務層面；第二道防線是董事會下設的風險管理委員會及下設職能部門；第三道防線，是董事會下設的審計委員會及下設職能部門。2013年，省國資委印發《河北省國資委監管企業全面風險管理工作實施辦法》的通知《關于進一步加強監管企業管理工作的指導意見》的通知（冀國資[2013]5號），要求開展全面風險管理，提高風險管理能力。

3.合規管理、內部控制、全面風險管理三者的關系

關于企業合規管理、內部控制、全面風險管理的要求分布在法律法規的各個層面，具體的管理職責分布在公司的各個部門，相互間既有交叉又有區別。

三者具體的關系是合規管理、內部控制、全面風險管理的范疇逐步增大。合規管理的目標只有一個即合規，內部控制的目標包括經營、報告、合規三個目標，全面風險管理包括戰略、經營、報告、合規四個目標。

公司的合規管理是最基礎的，只有在合規管理下的經營才是可持續的；公司的合規管理也是最核心的，只有在合規管理下的經營才是安全有效的。從合規管理出發，外延不斷擴大到內部控制，應該實現流程效率和效果、資產保值增值等；外延繼續擴大，應該實現各業務部門自主識別各類風險、提前預防各類風險的職責，風險不僅限于合規風險，包括流動性風險、操作風險、市場風險、行業風險等。所以，公司最全面的管理體系應是全面風險導向下的管理體系。

公司合規管理、內部控制、全面風險管理的“抓手”有一致性。國際上并沒有單獨對合規管理有專業規定，而是融合在內部控制和全面風險管理中，按照國際通行且比較成熟的coso內部控制框架和全面風險管理框架指導，為了實現合規目標，需要建立內部環境、目標設定、風險識別、風險評估、控制活動、信息與溝通、監督等措施。

三、合規管理發展現狀

2018年末2019年初，國務院國資委、各省國資委陸續下發了國有企業加強合規建設的法規規章，《關于印發〈中央企業合規管理指引（試行）〉的通知》（國資發法規［2018］106號）《關于印發〈省國資委監管企業合規管理指引（試行）〉的通知》（冀國資字［2018］335號）《關于貫徹落實〈省國資委監管企業合規管理指引（試行）〉的通知》（冀國資字［2019］66號）等。國有企業陸續照葫蘆畫瓢建立了企業合規制度，但除了受到國際出口管制的外貿型企業感同身受外，其他在國內經營的企業對于合規到底做什么、怎么做、做了能給企業帶來什么，連企業合規部門都有所疑惑。經過近3年的發展，企業合規人員越來越清晰地認識到企業合規的內涵、路徑、效能等。

（一）逐步統一對合規的認識

（1）企業合規是一種公司治理機制。原有的公司治理更多關注于委托人和受托人的權力邊界劃分，厘清“四會一層”的職責，隨著監管政策的加強，現在的公司治理內涵不斷擴大，包括全面風險管理、內控管理、合規管理、依法治企等都上升為公司主要負責人的職責，進而演變成公司治理的重要事項。

（2）企業合規的內涵經歷了三個階段的發展：最初的樸素認識，合規就是要遵守規則，規則包括法律法規、監管規定、行業準則、企業內部規章、國際規則等。其次，企業合規的建立是為了防范因違法違規受到行政監管處罰、刑事追究的風險。企業合規與法律風險要做好區分，企業合規只針對公司被處罰、定罪或剝奪特定資格的風險做好防范，民法意義上的風險歸于法律風險。最后，國家檢察院開展的合規暫緩起訴或不起訴制度為企業合規設立了外部激勵機制。如果企業沒有做合規，則面臨比較嚴重的行政或刑事處罰；如果企業做了合規或與監管部門和檢察機關達成諒解，則獲得寬大的理由。

（3）企業合規是為了避免企業自身合規風險建立起來的治理體系，有時候會使高管獲得收益，但從本質上不是“保護企業高管”的管理機制。為了維護企業的最大利益，需要實現企業責任和員工責任的有效切割，甚至將違法違規行為的高管移交執法部門，換取企業免于處罰或被起訴的寬大處理。

（4）合規管理能夠為企業合規經營提供合理保證，但是并不能確保經營一定合規。合規管理的價值在于，通過程序合規盡可能保證結果的合規，即通過程序合規盡可能保證公司經營目標的實現，通過程序合規盡可能保護員工個人的職業生涯。合規管理不是萬能的，不能對合規目標實現提供確定結果，在經營過程中有可能出現決策失誤、串通舞弊、管理成本過大等情況，這是客觀的，不可避免的。

（二）充分認識合規發展中存在的問題

大部分企業已經建立了一定的企業文化、管理架構、規章體系等，已經搭建了合規管理的基礎。總體來說，公司的合規管理處于初級階段，合規管理不成體系。

（1）合規管理的理念“守而不牢”。公司及員工人人提合規，但從前段時間監察委員會對公司的檢查結果來看，合規管理的理念只是浮于表面，并沒有深入公司及員工脊髓，主動識別合規風險的積極性不足。

（2）合規管理的職責分散交叉。按照省國資委的要求，合規管理工作包括制度和業務等方面合規性審查、制度的建立健全和合規性（內控）、合規風險識別評價和應對，職責對應到法律合規部、戰略規劃與績效管理部、風險管理部三個部門。從合規管理方面的工作來說，法律合規部、戰略規劃與績效管理部在制度建設方面職責重復交叉，法律合規部、風險管理部在合規風險識別評估和應對方面職責重復交叉。

（3）三道“合規管理防線”不清晰。按照省國資委的合規管理要求，結合內部控制和全面風險管理的要求，應該在公司內部明確三道“合規管理防線”。第一道防線是業務部門，負責各業務、各流程中操作過程的合規；第二道防線是法律合規部、風險管理部、紀檢監察室，負責業務內外部合規風險的識別和控制、流程合理設置、違規處罰等；第三道防線是審計部門，負責對各部門違規行為的檢查、監督。三道防線各司其職，互相補位。

四、合規管理的落地措施

按照合規管理的要求，參照行業先進經驗，并結合公司實際情況，公司應該在組織架構、制度框架、制度落實等方面重點加強，以合規為目標，以內控和全面風險管理為抓手，建立完善的合規管理體系。

（一）提高合規管理的底線思維

（1）合規是前提，不能辦理任何不合規的業務。合規是公司高質量發展的前提，不能用合規換取公司業務暫時發展，合規不是用來溝通的問題，不是可以隨便援引“法無明文規定即合法”的問題，在法律法規執行過程中產生分歧時，必須經上級監管單位確定合規后才可行。堅持合規改造經營方向，改變經營模式去違規化去犯罪化，做到只做合規業務。

（2）繼續深耕合規管理，細化合規管理子制度，做到單位責任和員工責任的明確劃分。繼續細化員工手冊，推動外規內化，員工依據員工手冊就能形成合規與否的判斷。持續定期開展合規培訓，明確合規行為與禁止行為，保存員工參與合規培訓的記錄。持續推進合規文化，公司高管層應該每日三省吾身，以言行表彰合規行為，堅持合規理念。堅持吹哨人制度，鼓勵不同意見的發表，高管層堅持“在無不同意見時不表決”，堅持“事越辯越清，理越辯越明”。堅持定期開展對合規工作的監督檢查或內部調查，確保合規是在監督下的合規。

（二）培養合規管理的內部環境

（1）高管層做好表率。公司應該明確合規管理的企業目標，每位員工都應該將合規要求記于心，踐于行。高管層尤其要做好表率，嚴格按照法律法規及內部規定決策、執行。在合規管理的高層設計中，要明確公司三會、各職責部門、各崗位的職責，避免職責不清，邊界不明。各項職責要集中管理，避免交叉重復。

表1 法律合規部出具法律合規意見的事項

（2）明確部門和崗位的合規管理職責。

法律合規部是合規管理的牽頭部門，全面負責合規管理的工作，主導制度是否合規的工作開展，對于內控、風險管理方面所涉的合規管理工作分別由其職責部門負責，法律合規部予以配合；在業務開展過程中履行合規審查的職責，對于涉及到法律合規方面的事項在上會審議前出具相關意見（具體事項見下表）；接受其他部門對合規管理的意見和建議，并予以反饋。

表2 公司制度體系建設

業務部門、成員企業是合規管理的主責部門，其職責是按照公司的制度規范嚴格操作，主動識別合規風險，采取合理的措施降低合規風險；對于超過風險承受能力的事項積極與相關部門溝通，共同商議解決辦法。

審計部對合規管理工作進行評價，提出相關的改進意見。紀檢監察室對違反合規管理規定的事項進行處理，監事會按照相應職責對合規管理工作進行監督。

表3 公司合規流程建設

每位員工都按照崗位職責承擔相應的合規管理責任。按照現有設置，法律合規部、戰略合規部與績效管理部分別設合規崗、內控崗，其他各部門指定專人負責收集本部門合規管理建議，反饋給法律合規部。

（三）建立健全合規管理體系

（1）分層建設內部規章體系。第一層，核心制度。公司合規管理實施細則，作為合規管理體系的統領性文件。細則中包括基本原則、各部門職責、操作流程、違規及處罰、保障措施等內容。第二層，合規的相關規范。公司的合規規范包括綜合管理、業務管理、監督管理等三個方面，每個方面都有不同層次。第三層，違規處罰規范。紀檢監察部、人力資源部分別負責業務條線、工作紀律方面的違規處罰規范的制定，審計部負責審計章程、準則、操作流程等方面規范的制定。

圖1 三道防線建設

搭建三道合規防線。與全面風險管理的三道防線一樣，建立三道合規防線。三道合規防線的建設是漏斗狀的，每層就是一個篩子，第一道防線是各職能部門、

成員企業，解決95%的合規問題；第二道防線是法律合規部、戰略規劃與績效管理部、風險管理部、紀檢監察室，解決5%問題，第三道防線是審計，重點是對前兩道防線的工作進行評價和監督。最上面是公司面臨的合規風險，經過合規管理的三道防線后，是剩余風險，是企業風險承受能力。

（3）梳理完善合規流程。公司的合規管理工作不是一蹴而就的，是個長期持續的過程。按照COSO內部控制框架和全面風險管理框架，公司的合規管理也應該遵循內部環境、目標設定、風險識別、風險評估、控制活動、信息與溝通、監督的管理過程。

綜上所述，做好合規管理應該做到：第一，應該將合規管理理念融入企業文化，公司及員工緊繃“合規”這根弦。第二，應該將合規作為公司經營的目標，把合規管理落實到日常管理中，實現合規的“虛實”兩手抓。第三，通過風險識別評估，篩選公司業務中面臨的重大合規風險，做好重大合規風險政策、員工手冊等工作。第四，應該將合規管理與公司現有的內控、風險管理、審計、紀檢相互配合，互為補充，形成一個互為補位的安全網。