时如宁

（光大金瓯资产管理有限公司）

一、出台合规管理的背景

2018年4月，中兴在海外经营中交了一次学费，此次受处罚金额高达12亿，事件一出，全国上下一片哗然，痛心疾首的同时，也应该痛定思痛，是什么原因导致了中兴受罚。中国企业海外经营行为不合规，其根本在国内，企业国内经营合规的重视程度不够。面对此次事件，国务院领导要求企业强化合规经营意识，并要求有关政府部门采取措施指导企业在经营中遵规守法，切实防范合规风险。中兴事件只是出台合规管理规定的导火索。其实，国家对于合规管理的引导早已有之，自2006年开始，国家就陆续对商业银行、保险公司、中央企业提出合规管理要求，并选取开展试点工作。

二、合规管理的内涵和外延

2006年，中国银监会颁布《商业银行合规风险管理指引》。2007年，中国保监会颁布《保险公司合规管理指引》。2015年12月8日，国资委《关于全面推进法治央企建设的意见》（国资发法规【2015】166号），明确要求中央企业加快提升合规管理能力，研究制定统一有效、全面覆盖、内容明确的合规制度准则，加强合规教育培训，形成全员合规的良性机制，建立法律、合规、风险、内控一体化管理平台。2016年，国资委组织中国石油、中国移动、东方电气集团、招商局集团、中国中铁等五家中央企业开展试点工作。2017年12月29日，中国国家质量监督检验检疫总局、中国国家标准化管理委员会发布了ISO 19600《合规管理体系指南》（GB/T 35770-2017）。2018年5月28日，国资委就《中央企业合规管理指引》（试行）征求意见。2018年11月2日，国资委印发了《中央企业合规管理指引（试行）》，同年12月13日，河北省国资委印发了《省国资委监管企业合规管理指引（试行）》。

（一）合规的内涵

上述制度文件对于合规、合规管理、合规风险的涵义作出了规定，简单说来，合规管理就是遵守规则。

规则包括法律法规、监管规定、行业准则、企业内部规章、国际规则等。中兴受处罚的依据就是美国下发的经济制裁名单。具体到我公司，公司需要遵守的规则除了公司法人需要遵守的普遍意义上的民法、合同法、刑法、行政法等法律法规，还有国资委下发的条线管理规定、金融监管机构下发的资产管理方面的规定、职业道德规范，公司制发的章程及内部规章制度等等。

合规管理是要系统地开展以“合规”为目标的管理，包括公司制度规定与外部法律法规相“合”；公司内部制度完善，无漏洞；公司内部制度间无冲突；公司内部制度评价、改进；公司内部制度执行到位；公司合规风险识别、评估、应对；合规评价、监督、改进等。

（二）合规的外延

对于国内大中型企业尤其是国企、央企来说，合规不仅是简单地合乎监管要求，更是实现内部机制的融合，顺畅运行。在国家对企业全面风险管理、内部控制、合规监管要求提倡多年后，很多企业都无法实现三者的衔接，这得先从三者的起源说。

1.内部控制的法律基础和实践

2005年，财政部下发了《金融资产管理公司内部控制办法》（财金[2005]136号），对四大资产管理公司提出了加强内部控制，建立健全内部控制机制的要求。2006年，沪交所和深交所分别发布《上市公司内部控制指引》。2008年，国家五部委颁发了《企业内部控制基本规范》，并于2010年下发《企业内部控制配套指引》，对境内设立的大中型企业提出了内部控制的要求。2012年，国资委和财政部下发《关于加快构建中央企业内部控制体系有关事项的通知》（国资发评价[2012]68号），对央企提出了相关内部控制的要求。

2.全面风险管理的法律基础和实践

2006年，国资委发布《中央企业全面风险管理指引》，提出企业全面风险管理的要求，建立三道防线管理。第一道防线是包括董事会高管层及全体员工在内的业务层面；第二道防线是董事会下设的风险管理委员会及下设职能部门；第三道防线，是董事会下设的审计委员会及下设职能部门。2013年，省国资委印发《河北省国资委监管企业全面风险管理工作实施办法》的通知《关于进一步加强监管企业管理工作的指导意见》的通知（冀国资[2013]5号），要求开展全面风险管理，提高风险管理能力。

3.合规管理、内部控制、全面风险管理三者的关系

关于企业合规管理、内部控制、全面风险管理的要求分布在法律法规的各个层面，具体的管理职责分布在公司的各个部门，相互间既有交叉又有区别。

三者具体的关系是合规管理、内部控制、全面风险管理的范畴逐步增大。合规管理的目标只有一个即合规，内部控制的目标包括经营、报告、合规三个目标，全面风险管理包括战略、经营、报告、合规四个目标。

公司的合规管理是最基础的，只有在合规管理下的经营才是可持续的；公司的合规管理也是最核心的，只有在合规管理下的经营才是安全有效的。从合规管理出发，外延不断扩大到内部控制，应该实现流程效率和效果、资产保值增值等；外延继续扩大，应该实现各业务部门自主识别各类风险、提前预防各类风险的职责，风险不仅限于合规风险，包括流动性风险、操作风险、市场风险、行业风险等。所以，公司最全面的管理体系应是全面风险导向下的管理体系。

公司合规管理、内部控制、全面风险管理的“抓手”有一致性。国际上并没有单独对合规管理有专业规定，而是融合在内部控制和全面风险管理中，按照国际通行且比较成熟的coso内部控制框架和全面风险管理框架指导，为了实现合规目标，需要建立内部环境、目标设定、风险识别、风险评估、控制活动、信息与沟通、监督等措施。

三、合规管理发展现状

2018年末2019年初，国务院国资委、各省国资委陆续下发了国有企业加强合规建设的法规规章，《关于印发〈中央企业合规管理指引（试行）〉的通知》（国资发法规［2018］106号）《关于印发〈省国资委监管企业合规管理指引（试行）〉的通知》（冀国资字［2018］335号）《关于贯彻落实〈省国资委监管企业合规管理指引（试行）〉的通知》（冀国资字［2019］66号）等。国有企业陆续照葫芦画瓢建立了企业合规制度，但除了受到国际出口管制的外贸型企业感同身受外，其他在国内经营的企业对于合规到底做什么、怎么做、做了能给企业带来什么，连企业合规部门都有所疑惑。经过近3年的发展，企业合规人员越来越清晰地认识到企业合规的内涵、路径、效能等。

（一）逐步统一对合规的认识

（1）企业合规是一种公司治理机制。原有的公司治理更多关注于委托人和受托人的权力边界划分，厘清“四会一层”的职责，随着监管政策的加强，现在的公司治理内涵不断扩大，包括全面风险管理、内控管理、合规管理、依法治企等都上升为公司主要负责人的职责，进而演变成公司治理的重要事项。

（2）企业合规的内涵经历了三个阶段的发展：最初的朴素认识，合规就是要遵守规则，规则包括法律法规、监管规定、行业准则、企业内部规章、国际规则等。其次，企业合规的建立是为了防范因违法违规受到行政监管处罚、刑事追究的风险。企业合规与法律风险要做好区分，企业合规只针对公司被处罚、定罪或剥夺特定资格的风险做好防范，民法意义上的风险归于法律风险。最后，国家检察院开展的合规暂缓起诉或不起诉制度为企业合规设立了外部激励机制。如果企业没有做合规，则面临比较严重的行政或刑事处罚；如果企业做了合规或与监管部门和检察机关达成谅解，则获得宽大的理由。

（3）企业合规是为了避免企业自身合规风险建立起来的治理体系，有时候会使高管获得收益，但从本质上不是“保护企业高管”的管理机制。为了维护企业的最大利益，需要实现企业责任和员工责任的有效切割，甚至将违法违规行为的高管移交执法部门，换取企业免于处罚或被起诉的宽大处理。

（4）合规管理能够为企业合规经营提供合理保证，但是并不能确保经营一定合规。合规管理的价值在于，通过程序合规尽可能保证结果的合规，即通过程序合规尽可能保证公司经营目标的实现，通过程序合规尽可能保护员工个人的职业生涯。合规管理不是万能的，不能对合规目标实现提供确定结果，在经营过程中有可能出现决策失误、串通舞弊、管理成本过大等情况，这是客观的，不可避免的。

（二）充分认识合规发展中存在的问题

大部分企业已经建立了一定的企业文化、管理架构、规章体系等，已经搭建了合规管理的基础。总体来说，公司的合规管理处于初级阶段，合规管理不成体系。

（1）合规管理的理念“守而不牢”。公司及员工人人提合规，但从前段时间监察委员会对公司的检查结果来看，合规管理的理念只是浮于表面，并没有深入公司及员工脊髓，主动识别合规风险的积极性不足。

（2）合规管理的职责分散交叉。按照省国资委的要求，合规管理工作包括制度和业务等方面合规性审查、制度的建立健全和合规性（内控）、合规风险识别评价和应对，职责对应到法律合规部、战略规划与绩效管理部、风险管理部三个部门。从合规管理方面的工作来说，法律合规部、战略规划与绩效管理部在制度建设方面职责重复交叉，法律合规部、风险管理部在合规风险识别评估和应对方面职责重复交叉。

（3）三道“合规管理防线”不清晰。按照省国资委的合规管理要求，结合内部控制和全面风险管理的要求，应该在公司内部明确三道“合规管理防线”。第一道防线是业务部门，负责各业务、各流程中操作过程的合规；第二道防线是法律合规部、风险管理部、纪检监察室，负责业务内外部合规风险的识别和控制、流程合理设置、违规处罚等；第三道防线是审计部门，负责对各部门违规行为的检查、监督。三道防线各司其职，互相补位。

四、合规管理的落地措施

按照合规管理的要求，参照行业先进经验，并结合公司实际情况，公司应该在组织架构、制度框架、制度落实等方面重点加强，以合规为目标，以内控和全面风险管理为抓手，建立完善的合规管理体系。

（一）提高合规管理的底线思维

（1）合规是前提，不能办理任何不合规的业务。合规是公司高质量发展的前提，不能用合规换取公司业务暂时发展，合规不是用来沟通的问题，不是可以随便援引“法无明文规定即合法”的问题，在法律法规执行过程中产生分歧时，必须经上级监管单位确定合规后才可行。坚持合规改造经营方向，改变经营模式去违规化去犯罪化，做到只做合规业务。

（2）继续深耕合规管理，细化合规管理子制度，做到单位责任和员工责任的明确划分。继续细化员工手册，推动外规内化，员工依据员工手册就能形成合规与否的判断。持续定期开展合规培训，明确合规行为与禁止行为，保存员工参与合规培训的记录。持续推进合规文化，公司高管层应该每日三省吾身，以言行表彰合规行为，坚持合规理念。坚持吹哨人制度，鼓励不同意见的发表，高管层坚持“在无不同意见时不表决”，坚持“事越辩越清，理越辩越明”。坚持定期开展对合规工作的监督检查或内部调查，确保合规是在监督下的合规。

（二）培养合规管理的内部环境

（1）高管层做好表率。公司应该明确合规管理的企业目标，每位员工都应该将合规要求记于心，践于行。高管层尤其要做好表率，严格按照法律法规及内部规定决策、执行。在合规管理的高层设计中，要明确公司三会、各职责部门、各岗位的职责，避免职责不清，边界不明。各项职责要集中管理，避免交叉重复。

表1 法律合规部出具法律合规意见的事项

（2）明确部门和岗位的合规管理职责。

法律合规部是合规管理的牵头部门，全面负责合规管理的工作，主导制度是否合规的工作开展，对于内控、风险管理方面所涉的合规管理工作分别由其职责部门负责，法律合规部予以配合；在业务开展过程中履行合规审查的职责，对于涉及到法律合规方面的事项在上会审议前出具相关意见（具体事项见下表）；接受其他部门对合规管理的意见和建议，并予以反馈。

表2 公司制度体系建设

业务部门、成员企业是合规管理的主责部门，其职责是按照公司的制度规范严格操作，主动识别合规风险，采取合理的措施降低合规风险；对于超过风险承受能力的事项积极与相关部门沟通，共同商议解决办法。

审计部对合规管理工作进行评价，提出相关的改进意见。纪检监察室对违反合规管理规定的事项进行处理，监事会按照相应职责对合规管理工作进行监督。

表3 公司合规流程建设

每位员工都按照岗位职责承担相应的合规管理责任。按照现有设置，法律合规部、战略合规部与绩效管理部分别设合规岗、内控岗，其他各部门指定专人负责收集本部门合规管理建议，反馈给法律合规部。

（三）建立健全合规管理体系

（1）分层建设内部规章体系。第一层，核心制度。公司合规管理实施细则，作为合规管理体系的统领性文件。细则中包括基本原则、各部门职责、操作流程、违规及处罚、保障措施等内容。第二层，合规的相关规范。公司的合规规范包括综合管理、业务管理、监督管理等三个方面，每个方面都有不同层次。第三层，违规处罚规范。纪检监察部、人力资源部分别负责业务条线、工作纪律方面的违规处罚规范的制定，审计部负责审计章程、准则、操作流程等方面规范的制定。

图1 三道防线建设

搭建三道合规防线。与全面风险管理的三道防线一样，建立三道合规防线。三道合规防线的建设是漏斗状的，每层就是一个筛子，第一道防线是各职能部门、

成员企业，解决95%的合规问题；第二道防线是法律合规部、战略规划与绩效管理部、风险管理部、纪检监察室，解决5%问题，第三道防线是审计，重点是对前两道防线的工作进行评价和监督。最上面是公司面临的合规风险，经过合规管理的三道防线后，是剩余风险，是企业风险承受能力。

（3）梳理完善合规流程。公司的合规管理工作不是一蹴而就的，是个长期持续的过程。按照COSO内部控制框架和全面风险管理框架，公司的合规管理也应该遵循内部环境、目标设定、风险识别、风险评估、控制活动、信息与沟通、监督的管理过程。

综上所述，做好合规管理应该做到：第一，应该将合规管理理念融入企业文化，公司及员工紧绷“合规”这根弦。第二，应该将合规作为公司经营的目标，把合规管理落实到日常管理中，实现合规的“虚实”两手抓。第三，通过风险识别评估，筛选公司业务中面临的重大合规风险，做好重大合规风险政策、员工手册等工作。第四，应该将合规管理与公司现有的内控、风险管理、审计、纪检相互配合，互为补充，形成一个互为补位的安全网。