岳亮 何如

【摘要】清晰界定合规管理之“规”的内涵与外延是企业合规管理工作中开展合规风险识别的前提。文章基于对合规管理之“规”内涵与外延的辨析，指出“规”的内涵与明确范围，并在此基础上提出合规管理理论与实践上的探索思路。

【关键词】合规管理；合规；内涵；外延；辨析

【中图分类号】F275

2006年10月中国银监会发布《商业银行合规风险管理指引》，其后保监会、证监会与国务院国资委陆续发布《保险公司合规管理办法》《证券公司和证券投资基金管理公司合规管理办法》《中央企业合规管理指引（试行）》，这些指引（办法）有力地推动了我国企业合规管理体系建设的进程。然而，企業全面风险管理体系建设、内部控制体系建设与合规管理体系建设的相互关系，特别是内部控制体系中的内部控制运行有效性与合规管理的关系问题，不但困扰着合规管理的实践，更是影响着企业合规管理体系建设的实施效果。导致这一问题存在的根本原因在于对合规管理或合规风险概念中所涉及“规”的定义并不清晰准确，特别是对“规”是否包括企业内部规章制度，理论界与实务界均存在认识上的较大差异。为此，本文旨在通过对合规管理或合规风险概念所涉及“规”的内涵外延分析，厘清合规风险的准确范围边界，并进而揭示企业合规管理体系建设的可行性建议路径。

一、合规管理之“规”内涵与外延辨析

目前，业界对合规管理之“规”比较主流的定义，以如下解释最具代表性，“狭义的合规，是指企业遵守反对商业贿赂方面的规定；广义的合规，有三层含义，第一层是企业在生产经营过程中要遵守法律法规，即企业要遵守公司总部所在国和经营所在国的法律规定及监管规定；第二层是企业经营要遵循企业内部规章制度，包括企业商业行为准则的规章；第三层是企业员工要遵守良好的职业操守和道德规范等”。企业合规管理实践则属于广义的合规管理，业界主流的观点是将企业内部规章制度纳入合规管理“规”的范畴。

众所周知，合规管理之“规”属于企业及其内部员工“为”什么或“不为”什么的行为规范，而企业内部规章制度既包括对行为规范内容的明确规定，也包括保障企业确立的行为规范得以遵循的制度设计；此外，企业通过内部规章制度确立的行为规范，既包括对企业构成外部承诺与外部责任约束的行为规范，也包括不构成企业对外承诺与外部责任约束的内部行为规范。如果将企业内部规章制度中，属于保障企业制定的行为规范得以遵循的制度设计，以及属于不构成企业对外承诺与外部责任约束的内部行为规范，也全部纳入合规管理“规”的范畴（即合规管理之“规”包含企业全部内部规章制度的主流观点），则合规管理遵循的“规”就与内部控制的运行有效性（全面风险管理的控制有效性）目标与措施产生高度重叠，这无疑在逻辑上让人难以理解，也导致实务领域对在企业内部控制体系建设的同时为何要开展，以及如何开展合规管理体系建设产生很大的困惑。

其实，分析上述对“规”解释的三层含义，不难发现第一层次是法律法规、监管要求等对企业构成外部硬约束的行为规范；第三层次是企业自愿制定或对外承诺并通过内部规章制度条款加以明确，由企业内部员工遵守的职业操守和道德规范等内部约束性行为规范。这实际上是企业为实现其战略目标，在外部法律法规等硬性约束性规范之上，自我追加确立的约束性行为规范；对于该解释“规”的第二层次的企业内部规章制度，如果仅指企业商业行为与社会行为准则的规章，则与第二层次的含义接近，只是将企业自我追加确立的约束性行为规范的内容从针对员工调整为针对企业，属于企业自愿制定或对外承诺并通过内部规章制度条款明确，由企业遵守的商业行为与社会行为准则等内部约束性行为规范。如果第二层次的企业内部规章制度的范围严格限定在构成企业对外承诺与承担责任约束的企业行为规范的范畴，则合规管理之“规”显然是指对企业及其内部员工具有强制约束力的法律法规等行为规范，以及企业自愿制定或对外承诺并以内部规章制度条款形式确立、需要企业及其内部员工遵守的高于法律法规要求的行为规范。然而，业界主流观点对合规管理之“规”的解释，显然超出上述法律法规等强制性行为规范与构成企业对外自愿承诺并承担责任约束的行为规范范围，而是泛化至企业全部的内部规章制度范围，这着实令人困惑。

国际与国内相关规范性文件关于合规管理之“规”的定义，也存在着显而易见的较大差异：（1）2005年4月，巴塞尔银行监管委员会在其颁布的《合规与银行内部合规部门》中规定“合规所涉及的法律、规则和准则有各种各样的规范来源，主要包括立法机关和监管机构发行的法律、规则和准则、市场惯例、行业协会制定的适用于银行内部工作人员的内部守则和行为准则。合规还包括超越上述具有法律约束力的规范外，具有广泛意义的诚信标准和道德行为标准”；（2）国际标准组织2014年12月发布的ISO19600：2014《合规管理体系——导则》国际标准中，将合规定义为“对合规要求和合规承诺的遵守。其中，合规要求一般包括法律法规、许可执照或其他形式的授权、监管机构发布的制度条例或指导方针、法院或行政法庭的裁决、条约公约和条款等；合规承诺一般包括与社区团体或非政府机构签订的协议、与主管部门和客户签订的协议、内部要求如政策和程序、自愿性原则或行为守则、自愿性标记或环境承诺、所签协议产生的责任、相关组织和行业标准等”；（3）中国银监会2006年10月颁布的《商业银行合规风险管理指引》中规定“合规是指使商业银行的经营活动与法律、规则和准则相一致”；（4）中国保监会2016年12月颁布的《保险公司合规管理办法》中规定“合规是指保险公司及其保险从业人员的保险经营管理行为应当符合法律法规、监管规定、公司内部管理制度以及诚实守信的道德准则”；（5）中国证监会2017年6月颁布的《证券公司和证券投资基金管理公司合规管理办法》中规定“合规是指证券基金经营机构及其工作人员的经营管理和执业行为符合法律、法规、规章及规范性文件、行业规范和自律规则、公司内部规章制度，以及行业普遍遵守的职业道德和行为准则”；（6）2018年11月国务院国资委印发的《中央企业合规管理指引（试行）》中规定“本指引所称合规，是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。”

对比上述6个国际、国内的相关文件，中国银监会对“规”做了最为狭义的定义，仅指法律、规则和准则；巴塞尔银行监管委员会与国际标准组织对“规”所做的定义，除包括法律、规则和准则外，还包括企业自愿制定或对外承诺并由此产生外部责任约束，以内部规章制度条款形式确立，要求企业及其内部员工遵守的高于法律法规要求的行为规范（即，企业内部规章制度中特定的、涉及外部责任约束并属于行为规范的部分条款）；中国保监会、证监会与国务院国资委陆续印发的三个合规管理办法（或指引）则均将内部规章制度的全部纳入合规之“规”。毫无疑问，这些规范性文件的较大差异又进一步模糊了业界本就不够清晰的对合规管理之“规”范围边界的认识。

分析认为，合规管理之“规”涉及内部规章制度，但内部规章制度条款中只有属于企业自愿遵循并构成对外责任约束的行为规范条款才是“规”的组成部分，其他的大量内部规章制度及其条款属于保障“规”得以遵循的手段与措施，我们不能因为合规管理涉及内部规章制度就将其全部等同于“规”本身；这种将合规管理之“规”泛化至企业全部内部规章制度范围的不严谨观点，导致了作为保障合规管理之“规”得以有效遵循手段与措施的内部规章制度条款，被误认成了合规管理的对象（“规”本身），由此造成的后果是严重混淆了合规管理对象与手段的关系，使得企业合规风险的识别工作出现混乱，当然必须予以澄清。显然，巴塞尔银行监管委员会与国际标准化组织对合规的定义是清晰准确的，应当成为业界的共识，并指导合规管理的实践。

二、合规管理体系建设的可行建议实施路径

明确合规管理与合规风险之“规”的内涵，将合规所需遵循的“规”清晰地界定在具有外部责任约束的企业及其内部员工必须遵循的行为规范的范畴，对合规风险的识别这一合规管理极为重要环节而言，意义不言自明。以此为立足点，在展开合规风险分析、确定合规风险应对策略的基础上，采取适当的合规风险控制措施就显得尤为重要。

由于合规风险是企业及其员工因不合规行为，引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性，在企业经营管理各环节中，能够有效避免企业及其员工因不合规行为的发生而导致合规风险发生的控制措施必然是合规管理体系的重点，这其中合规审查无疑是重中之重，企业只有有效地将经营管理环节中的合规风险逐一审查识别出来，才有机会去采取进一步的控制措施。为此，从控制措施是否具有长效机制、重要程度、运用频率角度的不同，可以分析归纳为三大主要类别：一是制度制定环节。企业内部规章制度是企业建立有效合规管理体系的基础性、根本性保障，虽然内部规章制度制定工作的频率较低，但内部规章制度中出现不合规条款将对企业合规管理体系的有效性产生持续、重大的负面影响。为此，企业需要强化对规章制度等重要内部规范性文件的合规审查，确保符合法律法規、监管规定等内外部约束性责任的要求，这是合规管理长效机制的必然要求。二是经营决策环节。经营决策的工作频率远远低于日常经营管理行为却高于内部规章制度制定的工作频率，由于经营决策，特别是“三重一大”决策实施后果非常重大且影响较日常经营管理行为深远，加强对决策事项的合规论证把关，保障决策依法合规就成为守住合规管理底线的必然要求。三是生产经营管理环节。企业日常生产经营环节无时不刻地发生着各种各样的经营管理行为，虽然从重要程度与影响力上远不及制度制定环节与经营决策环节，但由于其发生频率极高，同样只有确保生产经营过程中依规办事、按章操作，企业才能全面把住合规管理有效性的大门。

为此，企业合规管理体系建设的可行建议实施路径应该紧紧围绕上述三个经营管理的关键环节入手。一是比照《立法法》，制定《制定规章制度的制度》，让企业新制定或修订的规章制度无一例外地经受严格规范的合规审查，对企业已经印发执行中的规章制度也要补上合规审查这一环节，确保企业的内部规章制度不存在不合规的条款；二是制定或修订企业的《经营决策管理办法》，在经营决策通过前经受严格的合规论证把关。特别是对董事会、经理层等“三重一大”决策制度，要将律师或专职法务人员的合规审查纳入决策批准实施的必经前置环节，保障决策依法合规；三是依托企业已经建立的全面风险管理体系与内部控制体系，特别是内部控制运行有效性系统，重点针对识别出的合规风险，全面严格执行经过合规审查的企业各项内部规章制度，加强对重点流程的监督检查，确保企业在日常生产经营过程中依规办事、按章操作。如此有针对性地去建设与强化合规管理体系，而不是抛开企业已有的全面风险管理体系与内部控制体系去另建一套所谓的合规管理体系，才是企业合规管理体系建设的可行实施路径。其实，上述建议实施路径完全契合《中央企业合规管理指引（试行）》第十四条“加强对以下重点环节的合规管理”的四条规定，可以理解为是对该条款的深度解读与应用。

总之，厘清合规管理之“规”的内涵与外延，避免将“规”泛化到企业全部内部规章制度而严重混淆合规管理对象与手段的关系，企业合规管理体系建设的可行实施路径就不难展现在我们面前。

主要参考文献：

[1]巴塞尔银行监管委员会，合规与银行内部合规部门[S]，2005.4.

[2]国际标准组织，合规管理体系——导则[S]， 2014.12.

[3]中国银行业监督管理委员会，商业银行合规风险管理指引[S]，2006.10.

[4]中国保险监督管理委员会，保险公司合规管理办法[S]，2016.12.

[5]中国证券监督管理委员会，证券公司和证券投资基金管理公司合规管理办法[S]，2017.6.

[6]国务院国有资产监督管理委员，中央企业合规管理指引（试行）[S]，2018.11.

[7]华兵，鄢青，巴塞尔委员会“合规”文件解读与我国商业银行合规管理[J]，福建金融，2005.12.

[8]宋加强，论企业合规管理[J]，经济师. 2017.8.