彭子沐，韩晓峰

（山东德衡（滨州）律师事务所，山东 滨州 256600）

0 引言

受“中兴事件”、德勤员工举报事件的影响，企业合规问题开始受到社会的广泛关注。在中美贸易战的大背景下，国内企业纷纷开始注重创新改革和规避风险，加强企业合规管理已是大势所趋。为更好地掌握企业合规的发展动态，促进企业可持续发展，文章对企业合规做如下探讨。

1 理论概述

1.1 合规管理的相关概念

要加强企业合规管理，需要先认识合规的相关概念，即认识合规、合规风险、合规管理等概念。

巴塞尔银监会将合规定义为遵守法律、法规、监管规则或标准［1］。据此，本文中的合规是指企业及员工的经营管理行为符合法律法规、规章、行业准则及其他规范性文件［2］。

《中央企业合规管理指引（试行）》（以下简称“《指引》”）将合规风险界定为央企及其员工的违规行为引发法律处罚、造成经济或声誉损失及其他负面影响的可能性。在本文中，合规风险指企业因存在不合规行为而遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险等负面影响的可能性［3］。

《合规管理体系指南》中将管理定义为组织建立方针和目标以及实现这些目标的过程的相互关联或相互作用的一组要素。本文中，合规管理指企业通过采取措施达到法律法规、规章、行业准则及其他规范性文件的要求，以降低企业风险的活动或方式。

基于此，文章将围绕企业合规管理及合规风险这一中心展开研讨，试图探索一条有利于企业加强合规管理及风险防控的合规体系。

1.2 国内外合规发展历史的法律梳理

合规概念最早源于以美国为代表的西方国家金融行业。20世纪90 年代，随着西方金融行业风险事件频发，各国监管机构开始重视合规管理与风险防控，并相继出台一系列法案，比较典型的有美国1977 年颁布的《反海外腐败法》；2002 年颁布的《萨班斯法案》，该法案开创了法律合规新模式，也标志着美国法律思想由披露向内部管控转变［4］。2011 年英国《反贿赂法》生效，该法构建了一套严密的贿赂犯罪刑法治理体系［5］。除此之外，2014 年ISO 19600《合规管理体系指南》开始实施［6］。

相对而言，我国合规管理研究虽然起步较晚，但发展历程与西方相似。尤其是近年来随着世界各国对合规管理日益重视，我国政府也陆续出台了一系列文件政策，比较典型的有2017 年12 月《合规管理体系指南》（GB/T 35770—2017）发布［7］；2018 年国务院国资委发布了《指引》，明确了三道防线，对合规管理职责作了清晰划分，突出了合规管理的重点领域，将合规体系建立分为事前、事中、事后3 个阶段，并提出了风险应对的相关要求。

可以看出，世界各国都越来越重视合规管理。在经济全球化的今天，企业要想立足，必须稳扎稳打，建立健全合规管理制度，增强风险防控意识，切实防范企业经营风险。

2 企业合规现状

为了解企业合规发展现状及趋势，笔者通过问卷调查的方式，对100 家企业的内外部环境进行了调研。在参加调研的企业中，按照类型划分，外商独资企业约占15%、内资民企约占60%、国企约占15%、中外合资企业约占5%，其他类型企业约占5%；按照规模划分，约5%的企业为500 人以上的大型企业，101～500 人的中型企业以及100 人以下的企业占比约为30%和65%。就调研情况而言，相关数据分析如下：

2.1 内部环境

2.1.1 机构设置及职责分工

在所调研的企业中，企业基本都设立有股东会、董事会、监事会、经理层，但在权责比重上，各公司视其情况有所不同［7］。另外，有近3/4 的企业设有专门机构作为合规管理牵头机构，有1/4 的企业由法务部门负责组织协调企业合规事宜。在人员配备上，部分大型企业设置了重要风险岗位，部分中小型企业设有1～5 个法务岗位来兼顾合规。总的来说，外资企业和国有企业人员配备相对较为完善。

2.1.2 制度体系

2/3 的企业制定了企业基本管理办法以及审计监督制度。其中，国有企业和外资企业还专门制定了合规管理或内部控制的基本制度及专项办法、员工激励约束制度、考核评价制度、重大事项集体决策制度等。从规模来看，大型企业的制度建设比中小企业更为完善，但与国企和外企的合规制度建设水平仍有差距。

2.1.3 文化体系

随着一系列企业合规相关法律政策出台，外资企业为更好地适应瞬息万变的经济形势，开始在企业合规及风险防控方面加大资金预算，注重增强企业员工的合规管理能力及风险防控意识，鼓励员工积极学习合规知识，参加合规相关的知识培训，帮助员工更快地掌握合规政策的动态。但部分中小型企业在合规管理上投入较少，合规能力及风险防范意识仍有待提高。

2.1.4 风险防控机制

企业要想防范风险，必须具备有效的防控机制，该机制应该涵盖风险的识别与评估、跟踪、控制、应对、评价等各方面。在所调研的企业中，外资企业的防控机制比较完备，部分内资企业尚未建立完善的防控机制。在所调研的企业中，有一半外资企业建立了可行性较强的识别预警机制及风险应对方案，在合规审查评估和评价监督上也规定了具体措施。大多国有企业对风险事件的识别预警机制较为完善，但在风险应对方面不够灵活。民营企业更加注重风险审查和评价，在风险应对上较为灵活。

2.2 外部环境

（1）企业风险防范能力总体有所提升。一方面，随着“营改增”、新三板、首次公开募股（Initial Public Offering，IPO）重启、“一带一路”等多项改革措施的实行，企业法律风险指数趋于稳定。另一方面，基于国内外对合规管理的严格要求，企业不得不努力提升风险防范能力。

（2）企业间风险防控水平差异巨大。目前，国有企业风险防控水平明显高于民营企业，更是远远超过中小企业，但与外企还有较大差距。

（3）合规风险水平低的企业在市场竞争中明显更具优势。随着“引进来”政策的落实，外企大量涌入，对本土企业文化理念产生了巨大冲击，国内企业在外企合规理念的影响下开始转变。少数企业抓住机遇，寻求合规管理上的突破，在市场竞争中占得先机。

3 合规管理中存在的问题及分析

通过分析企业的合规现状，发现企业在合规方面存在以下问题：

3.1 企业职责分工及人员配备存在问题

根据《指引》，合规管理职责主要由董事会、监事会、经理层履行。但部分企业的合规管理职责偏重董事会，监事会未能发挥较大作用。另外，部分中小型企业由于企业规模较小、合规人才匮乏、领导层不够重视等原因，部门设置不合理，仅由几个法务人员或者业务人员兼顾合规。这样做虽然节省了人力资源，但规模小不代表需要应对的风险少。当作为兼职合规人员的业务人员较少或者法务岗位仅有1～2 个时，合规人员在合规管理上的投入势必不足，对风险事件反应迟钝或疏忽大意，就可能触发多米诺骨牌效应，给企业带来损失［8］。

3.2 缺乏完备的合规管理制度

当前，国有企业及外资企业基本上都形成了一套符合自身情况的内控制度。部分中小企业虽然设立了相应的合规管理制度，但由于程序复杂、落实困难，合规制度形同虚设。个别中小企业的审核机构和监督机构出现了混同，所谓的监督制度便失去价值。再者，部分中小企业尚未形成相对完备的合规制度。例如，部分企业缺乏对员工的考核评价制度及激励约束制度、对违规违法行为的责任追究制度，还有部分企业的合规管理流程僵化老旧，实际操作的可行性不强［9］。

3.3 忽视合规文化建设

很多内资企业的领导层认为企业合规只是企业建设中可有可无的一个环节，运营才是企业的立身之本，甚至部分企业管理层为实现业务目标而明确鼓励或者默许员工从事不法行为［10］。殊不知，企业要想长远发展，仅靠运营是不够的。企业合规建设的基石不稳固，就会随时面临各种风险，且因缺乏应对能力和防范意识，企业很难保全自身。同时，由于企业忽视合规文化建设，员工的合规意识也会比较淡薄，往往无法及时察觉企业面临的风险，更别提及时实施应对举措。

3.4 企业风险防控机制存在缺陷

企业要切实防范风险，必须从识别与评估、跟踪、控制、应对、评价等各方面严格把控，缺一不可。但实际上，仍有部分企业的风险识别与应对能力较差［11］。一方面，这可能与企业未及时掌握业内政策资讯且未及时更新企业制度规范有关。另一方面，企业缺乏合规管理的专门机构，且未配备合规官，对法律风险的预测与识别不够敏感，也会出现识别迟钝、应对仓促等问题。除此之外，部分企业虽具有较为全面的风险防控机制，但因时代变迁或流程复杂而很难落地执行，导致纠纷案件频发，企业诉累严重。

4 企业合规风险防控体系构建途径

4.1 完善企业合规管理的组织机构，明确合规管理职责

按照分层管理、全面覆盖原则，将合规管理职能分散到不同的管理部门，做到覆盖所有部门，纵向到底，横向到边。总体层面，应设立最高领导机构，对风险管理进行垂直领导。高层治理层面，应严格明确董事会、监事会、经理层的职能，并确保各管理部门充分行使职能。部门层面，根据企业实际，可单独设置或由法务部门作为合规管理牵头部门，由业务部门作为业务领域的合规日常管理部门。同时，应建立有效的各部门协同联动的工作机制，保障合规管理体系的运行。企业员工层面，应根据企业情况，选拔、培训首席合规官或专职合规官、兼职合规官，指定1～2 名合规专员及合规联络员。同时应建立考核评价制度，将履行合规管理职责作为考核的一个方面［12］。

4.2 建立健全企业合规管理制度

一是完善合规管理基本制度或准则。其作为企业合规管理的指南针，能够明确合规管理的范围及原则，为企业进行合规管理、规避风险、实现可持续发展指明道路和方向。二是制定合规管理专项制度。根据企业情况，针对重点业务领域制定专门的合规管理制度或指引，对专门领域提出详细的业务要求，对专门事项进行详细规定，明确规范流程，从而具体有效地解决某一领域的合规事务。三是制定或完善合规管理的配套制度。根据政策变化及企业发展，为及时制定或更新企业合规管理的相关制度，通过制定单独的规章制度或补充说明等形式，将新的政策规定或符合企业发展的规范以文字形式进行明确，从而使其规范化、系统化。

4.3 积极培育合规文化，筑牢合规经营的思想基础

首先，应增强管理层的合规意识，发挥领导干部“关键少数”的作用，以带动企业合规文化建设。同时，可以将合规文化理念纳入企业文化的范畴，将合规管理纳入党建学习活动。

其次，应增强关键岗位人员的合规意识，主要是增强合规管理人员的合规意识。企业可以通过对合规人员进行培训，或者组织合规人员对业内的政策资讯进行学习、讨论、分享，抑或是通过选拔优秀的合规人才，设立考核及奖惩制度，提高关键岗位人员学习合规文化的积极性与法律风险意识。

最后，应增强普通员工的合规意识。可以通过企业内部渠道定期推送合规管理方面的文章或进行全员普法活动，也可以通过组织合规知识竞赛活动鼓励全员学习合规知识，还可以举办培训或教育活动，使合规理念被大家广泛熟知［13］。

4.4 完善法律风险防控机制

企业应从风险的识别与评估、跟踪、控制、应对、评价等各方面建立切实可行的防控机制。

一是完善合规风险识别预警机制。应强化合规风险数据库建设，运用大数据对企业的经营管理活动进行实时监控，并记录保存信息，进行信息共享和合规分析，对可能存在的风险及时识别并发布预警。

二是完善合规风险评估机制。可通过风险矩阵的方式，对各领域的风险情况，包括风险的类别、可能性及危害等进行评估［14］。所谓风险矩阵，主要是通过对潜在风险以“影响”和“可能性”两个指标进行量化，形成风险矩阵图，再根据矩阵图有针对性地提出预防或应急措施。实践中，风险矩阵可基于流程或岗位来对潜在风险进行评估［15］。

三是健全合规审查机制。企业应建立重大事项集体决策机制、信息披露制度、合规报告制度，明确合规审查的范围及流程，落实相关部门的合规审查职责，定期审查企业经营管理活动是否存在不合规行为并记录，然后由相关部门对不合规行为进行分析并出具审查报告。

四是完善合规风险的应对机制。对已经发现的风险及时制订应对方案，并尽快落实；对于重大风险事件，严格按流程处置；对于突发的紧急状况，必要时为最大限度降低风险，可采取灵活变通的应对方式。

五是完善合规风险的评价机制。企业应建立绩效评价制度与责任追究制度，建立体系监督评价制度与运行报告制度，建立重大风险报告制度，对不合规的地方及时纠正与改进。

5 结语

文章通过对当前国内外合规理论进行法律梳理，对100 家企业的合规现状进行调研分析，尝试构建一套企业合规及法律风险防范体系，以期实现对各类法律风险的科学防范及有效规避，从而有效促使企业依法经营，促进企业可持续发展。