企業合規管理控制模式及其適用情形分析

楊俊翔 黃 欣

（1.四川省法學會企業法商融合研究會，四川 成都 610000；2.四川商務職業學院，四川 成都 610000）

隨著我國改革開放進程的持續深入，全面依法治國戰略的不斷深化，加強企業合規管理，構建完備、有效的合規管理體系已經成企業管理和政府監管的重點之一[1]。國際標準化組織2021年發布的ISO37301：2021《合規管理體系 要求及使用指南》和國務院國資委2022年發布的《中央企業合規管理辦法（公開征求意見稿）》均對合規管理的控制模式提出了相應要求。企業合規管理的控制模式具體是指，在建立了企業合規管理治理結構，明確了合規管理的任務體系和總控模型后，企業所采取的一套強有力的、適合自身實際情況的保障合規管理績效的提升和合規管理目標的達成的控制手段，是合規管理體系的重要組成部分。

一、合規管理不同控制控制模式及其內涵

在已有合規管理控制模式的研究中，一般可以認為有三種模式，分別為“三道防線”模式、全流程管控模式和全景視圖模式。

1.“三道防線”模式。“三道防線”概念最初由中國人民銀行在1997年亞洲金融危機發生后提出，2010年歐洲風險管理協會聯合會（FERMA）和歐洲內部審計協會聯合會（ECIIA）正式提出“三道防線”理論[2]。所謂“三道防線”分別指業務部門、合規管理牽頭部門以及審計監察部門[3]。在這一模式中，業務部門是合規管理的第一道防線，負責制定所涉及業務領域的合規管理規則，梳理風險清單，識別并排查風險，發布合規警示等工作；合規管理牽頭部門作為第二道防線，負責企業合規管理整體工作規劃和基本制度制定，組織開展風險識別及預警，定期進行合規評價與考核等工作；第三道防線為內部審計監察部門，負責監督經營管理行為，開展全面或專項檢查，查處違規行為并督查整改。合規管理的具體制度與規則主要由第一道防線負責構建，通過梳理相關法律法規、行業標準、企業現行規章制度等文件形成合規義務，識別風險環節，進行風險度量和評價，并結合業務實際情況制定風險應對預案，從而化解或控制風險。不難看出，“三道防線”模式的核心是業務部門，較多的強調事前制度制定和事后的審查處理，事中環節的管控也更多地交由業務部門自行完成。

2.全流程管控模式。全流程管控模式是將合規義務要求與業務流程相匹配的管控模式。這種模式認為，業務部門一方面存在經營任務壓力，會將合規置于較為次要的因素來考慮，甚至為達到經營目標而不惜故意違法違規；另一方面，業務部門缺乏專業的合規管理技能和知識體系，難以較為準確、完善的識別和控制好合規風險，“三道防線”模式存在一定缺陷。全流程管控模式要求將合規管理的目標和措施跟業務活動的開展相匹配，由合規管理職能部門會同業務部門在業務流程各個必要環節設立合規檢查和控制節點，從而實現對業務活動的全面合規管控[4]。在這個模式中，合規管理部門是最核心的部門，負責建立業務流程的工作秩序、工作程序以及工作標準，并通過申請和授權，不相容職務分離[5]，交叉檢查及驗證等技術手段來抑制違規行為的發生，強調業務部門對流程的遵循，按照既定流程和標準開展各項工作。

3.全景視圖模式。這種模式的支持者認為，違規事件產生的風險來源于主觀故意違規、客觀茫然違規和客觀不受控違規三種情況，制度的建立和流程的細化可以很好地解決客觀茫然違規帶來的問題，而對另外兩種違規行為的約束作用有限。合規管理體系不僅應該建立制度和具體控制點，還應該對其遵循性進行監測，并通過中臺機制采集經營活動中的物資流、商業事務流、資金流、信息流等數據，形成關鍵指標，建立風險分析模型，從而對合規風險及時識別、及時控制，對違規行為及時糾偏、及時處置，最大限度降低風險損失[6]。同時，實時和成體系的監控也能對主觀故意違規形成較大心理壓力，盡力避免違規行為的產生。

二、合規管理不同控制模式的特點分析

1.“三道防線”模式以“要求-警示-檢查-處置”為路徑，防線的建立側重于事前對合規義務的梳理、風險度量及風險警示，通過對利益相關者進行結構化訪談、調查問卷、研討會議及歷史數據分析等成熟方法識別出風險點及防控方式。合規管理牽頭部門對業務流程的風險識別和控制進行指導，而不涉及具體的業務過程，不要求組建專門的合規管理職能部門，實現成本較低，建立所需周期較短。對于復雜程度低、框架式約束及是非對錯等二分性問題有較好的控制力度。例如，國務院國資委嚴禁中央企業開展融資性貿易業務，嚴禁對集團外無股權關系的企業提供任何形式擔保等監管要求，通過這種模式就可以得到較好的落實。但對業務部門在各業務流程中的合規管理具體行動及有效性缺乏監督，也難以對此在事中進行實時風險監控及預警。

2.全流程管控模式立足于將合規管理嵌入業務流程，將合規義務落實到各部門的全流程操作環節中。合規管理職能部門與業務部門密切協同，剖析業務流程中的風險點和控制策略，共同制定具有操作性和控制力的管理辦法，能夠盡可能從流程安排和執行中規避風險，適合于與業務流程密切相關的合規義務。例如在采購環節，規定詢價與確定供應商職能分離、采購合同訂立與審查職能分離、采購與驗收職能分離[7]，從而有效抑制營私舞弊，保護和提升企業價值。但這種模式建立和運行的管理成本、溝通成本和時間成本較第一種模式而言顯著增加，并主要依賴于業務流程的遵循，而對主觀故意違規或意外事件的針對性不足，本質上還是“事先+事后”的管控。

3.全景視圖模式借鑒了業務的全生命周期管理模式，強調對合規制度遵循監測及控制的實時性，較好地解決了事中合規管理缺位的問題[8]。對于規模較大的企業中有一定容忍程度的風險點，能夠進行實時監控、評估和控制。還可以將經營數據匯總整理、計算關鍵指標與監管要求、企業歷史數據、同行業公允數據對比分析，發現并分析問題。這種模式一般都需要建立合規管理信息系統，通過大數據、AI等方式，以機器識別為主，人工決策為輔。例如，民航運輸企業在機票定價系統的合規管理中，要求票價及座位投放的所有相關操作均在計算機系統中留痕，并與預先設定好的操作邏輯和規則進行對比檢查，若有不符立即提示。同時，計算上座率、平均票價、座公里收益率等核心指標，與同航線歷史數據、企業內部同類航線數據、不同企業相同航線數據進行對比，對存在較大差異的情形及時預警，實時監測經營業務中的風險。建立全景視圖管控模式需要對業務流程進行全面的梳理，對經營業務邏輯化、數據化，建立企業實際情況相匹配的數據模型，這也就意味著巨大的建設投入和較長的實施周期。

三、合規管理不同控制模式的適用情形分析

三種模式具備各自優勢，在管控效能上呈現遞進性，在建立及運行成本上呈現遞增性。企業合規管理工作的漸進性、行業差異性、職能差異性、企業規模和經營狀況等因素將影響企業的管控模式或模式組合的選定。

第一，需要考慮企業合規管理工作的漸進性。對于尚未建立合規管理體系，或合規管理剛剛起步的企業來說，應首先建立“三道防線”的管控模式，將企業面臨的主要合規義務、合規風險及管控措施通過制度化的方式予以明確，“三道防線”各司其職，以較小的合規邊際成本獲得更大的合規邊際收益，不斷積累合規管理經驗，培育合規管理文化；對于“三道防線”模式運行成熟、合規意識得到很好建立，但合規績效仍未能很好達成的企業，可以采取全流程的合規管控模式，以“三道防線”為基礎，細化深化對業務流程的管控，將合規管理的控制措施落實到每個業務環節，確保事事有章可循，人人有規可依；對于采取了前兩種模式但仍無法達到合規管理績效目標的企業，則可考慮采用全景視圖模式，不僅在橫向上監控業務流程的實時合規性，還從縱向上監控人、財、物、信息的流動情況，系統、全面、實時的管控合規風險。

第二，需要考慮企業所處的行業差異性。不同行業必然存在不同的業務流程和監管要求。對于制造業、商貿等類型企業，在經營策略和業務模式確定之后，需要在業務流程中進行決策的事項有限，來自政府部門的監管點相對較少，頻率較低，因此，采用前兩種模式，事先建立健全制度并優化流程，事后進行審計監督，能夠較好地控制合規風險。然而，對于金融、投資、建筑等類型企業而言，經營環境變化迅速，業務過程中會隨時面臨決策點，同時也在眾多業務環節或指標上面臨政府監管，監管要求時常還會根據經濟形勢情況有所調整，因此，更需要第三種模式動態加強合規管控。

第三，需要考慮企業內部職能的差異性。對于企業戰略管理、生產制造、人力資源、綜合行政等部門，制度一旦制定，遵循較為容易，如有違規行為也能突出和暴露出來，“三道防線”模式就可以很好地發揮作用。而對于投融資、采購、市場營銷、財務等職能或業務部門，違規行為常常更加隱匿，而違規所造成的直接和間接損失是巨大的，因而在“三道防線”模式基礎之上，對更加全面、更加強有力的合規控制手段存在迫切需求。此外，不同職能部門業務流程的數據化程度對采用全景視圖模式的成本影響顯著。

第四，企業的規模和自身經營狀況也是模式選擇需要考慮的因素。合規管理服務于企業的經營活動。對于初創型企業或規模較小的企業，所面臨的經營風險顯著，難以在合規控制上進行大規模投入，應該先將“三道防線”模式建立和運行起來。而對于規模較大，經營狀況較好的企業而言，違法違規所帶來的收益遠遠小于可能由此遭受的損失，甚至會讓企業面臨滅頂之災，因此更需要加大投入，逐步建立覆蓋面更廣，管理能力更強，更加體系化的合規管控模式，來保障企業的長遠發展。

四、結語

企業合規管理的控制模式是達成合規管理體系績效，滿足利益相關者訴求的重要抓手，三種主要控制模式各自具備的優點和缺點。處于合規管理工作不同進程、不同行業、不同規模和經營狀況的企業，應該從實際情況出發，綜合考慮合規管理目標、工作步驟及所擁有的資源，選擇適合自身發展進程的合規管理控制模式，從而為企業的穩健經營，實現經濟價值和社會價值保駕護航。