企业合规极简史

合规管理是企业能够保持基本长青、防范违规风险发生的前提，也是关键时刻企业维护自身利益的一张王牌。

PART 01  过去——前世今生

现代企业合规管理最早起源于美国，繁荣的商业为合规管理的发展提供了契机与平台。上世纪60年代，美国发生了通用电气垄断案。通用电气作为电气领域的头部企业，在美国乃至市场上都占据重要地位，往上查三代，通用的创始人可以倒到发明大王爱迪生。通用电气与其他30家电气厂商达成协议，对市场分块经营、统一定价。通用电气遭到反垄断起诉，美国宾夕法尼亚州法院判决其罚金43万美元。通用电气希望仅对承担主要责任的职业经理人，不对企业处罚。此观点在当时并未被法院接受，但通用电气提出的如果企业已建立完善的合规制度，那么发生合规事件时，企业可以免责的观点在学界引起了争论。

上世纪70年代，美国爆发了举世闻名的水门事件。水门事件本身属于政治范畴，但由此也掀开了美国企业合规制度的新篇章。在水门事件中，检察官被授权调查包括但不限于尼克松在总统选举的各项不正当行为，因此揭露出大量企业，包括300家著名企业近3亿美金的违法捐赠和行贿行为。水门事件揭露出的违规捐赠和行贿问题，让整个美国蒙羞，但如果严格依照法律法规处罚，很多企业会直接破产，会对美国经济造成重大打击。现代社会是商业社会，摧毁商事主体无异于自杀。最后，美国政府做了妥协，明确如果企业停止可疑行动、彻底自查、公示调查结果，将减少被起诉的可能性。实质上承认了前文所述通用电气的观点。

70年代-80年代，针对混乱的企业合规管理现状，美国出台一系列政策法规，到了90年代，划时代的《联邦量刑指南》出台了。

《联邦量刑指南》明确，正确实施合规管理制度的企业可以减轻或免除处罚，若其他条件相同，实施了合规管理的企业较未实施的企业需缴纳的罚金可降低30%-83%。各位看官看明白了吗？只要企业按要求实施了合规管理，所遭受行政处罚的金额会大幅下降。这种做法直接促进了美国企业在合规上的重金投入。“风控创造价值”，由此可见一斑，领导所言非虚。

此后美国合规管理又有了新的发展，各项规定冗杂，在此不赘述。讲一讲美国合规管理是怎么走向世界的。

二战以后，美国一直谋求、占据世界霸主地位，在政治、军事、经济打击其他国家。政治上，朝鲜半岛被分裂为朝鲜和韩国，明里暗里支持“台独”势力、妄图分裂中国，将中东分裂为26个国家和地区；军事上，采取高压政策，到处兴建军事基地，直接发动越战、伊拉克战争等；经济上的重要抓手之一，就是合规。

美国人具体是怎么在海外开展合规管理的呢？讲两个例子大家就清楚了。

阿尔斯通案

根据事件当事人皮尔鲁奇陈述，我们可以大概梳理出事件的发展脉络。阿尔斯通被称为法国工业的明珠，在世界能源和电气行业都享有盛誉。2013年，在一个阿尔斯通和通用电气（对就是前文所述的通用电气）同时投标的项目中，阿尔斯通中标，但通用获得了阿尔斯通行贿的线索。于是美国政府逮捕了在美出差的阿尔斯通高管皮尔鲁奇，要求皮尔鲁奇说出阿尔斯通违规的具体细节。这个皮尔鲁奇长期养尊处优，美国人把他和强奸犯、杀人犯关在一起，皮尔鲁奇经不住美国人的威逼利诱，就把怎么行贿的、怎么违规拿到项目的全部抖搂出来了。美国政府一方面不断抓捕阿尔斯通高管，并开出7亿美元的巨额罚单，警告阿尔斯通CEO可能对其采取措施。另一方面通用电气向阿尔斯通抛出橄榄枝，表示只要将能源电气核心业务出售给通用，罚金由通用来承担，通用还会帮助阿尔斯通优化经营管理，打造大西欧共荣圈，有钱一起赚，火坑你来跳。期间发生了很多插曲，包括德国西门子和日本三菱的介入、法国政府的挣扎，最终还是以美国人如愿吃掉阿尔斯通核心业务收场。阿尔斯通被肢解后，每况愈下。而当事人皮尔鲁奇，现在到处讲他的遭遇，还出了本书叫《美国陷阱》，各位看官可以去看一下，前车之鉴、后事之师。

中兴事件

2012年，美国因伊朗制造核武器，而对伊朗实施全范围的贸易禁运和制裁。据美国人称，中兴仍旧出口通讯设备给伊朗企业，关键这个通讯设备，有美国成分，被美国人抓到把柄了。美国人再次挥舞合规大棒，重重砸向中兴。美国对中兴通讯实施出口限制措施，导致中兴赖以生存的芯片来源被断。技术不独立，处处受制于人，美国人的制裁措施直接导致中兴濒临倒闭。经过艰难交涉，最终以中兴付出23亿美元天价罚款、撤换整个董事会及高层管理人员并选定符合美国要求的新团队、由美国人派员进行合规监管等惨痛代价，换取美国放松禁运措施。代价过于沉重，每每回顾此事件笔者都心怀戚戚，细节在此不再展开。

此外还有东芝事件、深圳驰创事件等，都是美国人运用合规打压竞争对手，都是血淋淋的教训。

PART02  现在——中国语境

合规到底是什么？怎么开展合规管理？合规管理的抓手是什么？合规该由谁来管？对于中国的公司法务来说，这些都是灵魂拷问。很遗憾，很少有人能给出令人信服的答案。我们现在急需要解决的是在中国现在的语境下，如何去看待合规这个舶来品。

2018年，国务院国资委出台《中央企业合规管理指引（试行）》（以下简称“指引”），给全国的中央企业合规管理指明了方向，对企业合规管理起到了极大的推动作用。可以说，就因为国资委这个文件，2018年变成了国有企业的合规元年，各类企业开始不断探索、尝试、推进合规管理，可以说是八仙过海、各显神通。但很多问题不仅没有解决，反而现在变得越发混乱，下面我们从几个方面谈一谈国有企业合规管理现在存在的问题。

合规是什么

当我们讨论合规的时候，到底在讨论什么？这个问题似乎没什么意义，指引里面有明确规定：“本指引所称合规，是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。本指引所称合规风险，是指中央企业及其员工因不合规行为，引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。本指引所称合规管理，是指以有效防控合规风险为目的，以企业和员工经营管理行为为对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。”

让我们反复读一下这个定义：中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。

这里涉及几个问题：

1.什么是经营管理行为？举个例子，企业员工酒后吹牛泄露商业秘密，是不是合规问题呢？显然是的，但酒后吹牛的这个行为并非“经营管理行为”？把合规管理的对象限定为企业及员工的经营管理行为，是否过窄？

2.什么是监管规定、行业准则？国家部委出台的文件、全国行业协会出台的规定、地方行业协会出台的准则算不算？我国没参加的国际条约算不算？这个范围到底有多大？另外，企业规章制度难道不包括章程？为什么要把章程单列？

3.是否所有法律法规都是合规义务来源？民法、刑法都算？美国的法律法规算不算？

我理解的合规：

上述问题，我相信所有法务或多或少都会想到，但到底怎么解释合规？我们应该如何去看待合规？笔者谈一下自己的看法。

首先合规的基本逻辑到底是什么。我们可以再问一个问题，合同是否是合规义务的来源？目前理论界有不同的看法，本文不是专业论文，不展开说。举个例子，某企业经营不善，资金链紧张，为确保自身不破产，欠付供应商款项，违反了合同约定，分供商诉诸法院，判决企业付款并承担违约责任。在这个案件里，企业明显是违法了，违反了民法的诚实信用原则。如果按照指引的定义，违反了法律规定，企业受到处罚，信用遭受影响，那应该是合规问题，双方签订的合同也是合规义务的来源。看起来逻辑非常严密，但真的是这样吗？

合规的英文翻译是Compliance，原意是“服从”。什么是服从呢？平等民事主体之间会存在“服从”这个概念吗？显然是不存在的，只有监管与被监管的主体间才可能会有“服从”。我们把合规与合约两个词放在一起会有更直观的认识。合规，简而言之合乎规定；合约，简而言之合乎约定。规定与约定，一字之差，不难看出区别，规定天然具有强制性意味，约定则是民事主体自身权益的处置。合规即是合乎规定，至于这个“规定”到底指的是什么，要结合企业和员工所处的具体环境，我们无法穷尽、无法准确限定合规义务来源。就好比一个足球运动员，他在职业生涯中要遵循俱乐部的规定、国家联赛的规定、欧冠的规定、世界杯的规定，但到底遵循谁的规定得看他在哪里踢球。我们企业就好比那个球员，规定的来源是多元的、变化的，行为符合规定是各个生存阶段和环境下都必须遵循的。我们再回过头来看指引中所述的合规概念，是否真的符合合规的内在逻辑。概念中的合规义务来源过广，比如“法律法规”，看似正确，其实是混淆了合规管理的“公法”属性与民事纠纷处理的“私法”属性，其他“监管规定、行业准则、国际条约、规则”等表述，说了等于白说。笔者个人意见，对合规进行定义是不必要的，很多企业都有专门的安全管理部门，但我们会去定义“安全”吗？从理论上和现实上我们都不需要、无法对合规进行精准定义。

但放弃合规的定义不代表放弃对合规管理的定义。合规管理是一个企业管理概念，就涉及到管什么、谁来管、怎么管的问题了，这个就必须要明确了。笔者认为合规管理是指：“企业及其员工遵守各类内外部商事规定，为避免遭受行政、刑事处罚而采取的管理措施。”本定义回避了行为的界限、限定了规定的边界、明确的处罚的种类。当然，我们不是为了定义而定义。各种理论基础的构建是为了指导实践，最重要的是解决谁来管合规的问题。

合规谁来管

首先应对合规与其他概念进行区分。

合规与风险：合规是导致风险的原因之一，除合规风险外，企业还可能面临市场风险、政策风险、政治风险、法律风险等，风险管理的概念更大，包含合规管理。

合规与内控：合规侧重行为管理，目的在于确保企业和员工的行为不突破底线，合规决定了企业经营的“下限”；内控侧重流程管理，目的在于提高企业管理效率和流畅度，内控决定企业经营的“上限”。

合规与法务：合规主要关注行业监管规定，防范行政和刑事处罚风险；法务主要关注交易各方是否守约、法律风险是否受控，防范各方争议和民事纠纷。

合规与审计：合规关注“现在”和“将来”，提前规范企业和员工的行为；审计关注“过去”和“现在”，事后评价经营行为是否达到预期。

尽管合规与相关概念有明显区别，但合规管理与企业风控、内控、法务、审计管理仍紧密相关。合规管理的最终目的是控制风险，合规管理的各项要求要通过内控手段落实，合规管理所依据的法律法规、监管规定也是法务管理的重要关注点，合规管理评价需要审计支撑。

企业有很多部门，到底应该由谁来管合规呢？可以明确一点，各个部门都有合规管理的职责，比如财务部要对财务合规负责，市场部要对市场营销合规负责。此外，还需要一个牵头部门，负责整个企业合规管理体系的搭建和流程设计。根据指引，法律事务机构或其他相关机构为合规管理牵头部门，组织、协调和监督合规管理工作，为其他部门提供合规支持。

目前各国有企业做法不一。有的成立单独的合规管理部，有的由企业战略部门牵头，有的由纪检或审计部牵头，有的干脆直接成立大风控部，将审计、纪检、法务、合规全部纳入，一体管理。

根据前文合规基本概念的阐述，合规不属于传统企业管理中的任何职能，但又与各部门都有密切关联关系，合规渗入到企业管理的各个环节，需要一个既有大体系管理、又有专项应对机制的管控模式。就目前的企业实际而言，单独为合规创设一套运行体系不仅复杂，且会与各个部门的管理相重复。合规管理不是另立门户、另起炉灶，而是应当依托现有管理架构和部门功能的基础上查漏补缺、激发活力，既不加重现有的管理负担、也体现合规的独立价值。笔者认为，将审计、纪检、法务、合规职能全部纳入一体，形成大的风控部，由大风控部来行使合规管理职能，有利于合规管理的长远发展。但目前国有企业特别是超大型国企的审计、纪检、法务均是有深厚底蕴的管理部门，各自有成熟的管理机制，强行合并，会导致管理混乱。更有甚者，会让其他业务部门产生“有专门的部门管合规，不需要我们再把关”的错误认识。

那到底谁来管合规？

笔者认为，组建包含审计、纪检、法务的柔性组织，形成合规顶层设计，负责合规管理的统筹协调；法务部门负责日常合规管理标准的制定、工作机制的搭建；各业务部门负责本系统内具体合规管理工作，此种模式是最优解。

首先，柔性组织能够解决跨部门的统筹，对于法务部门难以独立完成的工作予以支持，同时因柔性组织的兼容性，可采取多种管理手段促进合规管理的落实，如考核、检查等。另外柔性组织的组建不需要对现行管理机制做出重大调整，可最大限度的节省管理成本。

其次，合约法务部在专业能力、司法资源对接上有天然优势，是综合性的风控部门，合规作为企业风险源之一，完全可以套用其他风险管理的机制。法务部门完全可以承担合规牵头部门的职责。

最后，各业务部门是本系统合规管理的第一责任人，也是合规管理的第一道防线，有利于企业形成横向到边的全员合规模式。

PART03 未来——大道至简

本章节讨论的主要问题：合规应该怎么管？

兵来将挡、水来土掩。任何管理行为都有目的。我们为什么要开展合规管理呢？笔者认为，至少在现阶段，企业合规管理应当有两个明确的方向。

应对国际制裁

最应关注的是美国和世界银行的制裁。其中美国制裁已不是新鲜事，关于这方面的论述很多。美国的制裁主要理由是出口管制和反腐败，世界银行的制裁主要是诚信和反腐败。出口管制可参见华为、中兴案，反腐败可参见阿尔斯通案，诚信可参见中铁建格鲁吉亚案。或许大家都在猜测，下一个中招的会是谁。笔者认为，高新技术企业仍是美国制裁的重点对象，此外，能源、金融等关乎国家安全的企业也可能被美国人盯上。建筑企业因对美国市场和技术的依赖程度低，被美国直接制裁的可能性相对较低，但由于欠发达国家基础设施建设目前仍处于上升期，世界银行的制裁仍有大概率发生。国内企业应当对号入座，在跨国业务中谨慎对待反腐败、诚信和出口管制风险。

顺应国内严监管形势

国内营商环境将朝着市场化、法治化的方向发展，市场监管趋严、趋细，对违规行为的打击力度日益加大，大额罚款时有发生，而且就发生在我们身边。各位读者可以自行搜索一下广西桂林米粉案、长安福特垄断案、四川水泥垄断案。一些在以往司空见惯的行为，一旦被认定为违规，将被行政执法部门严厉打击。企业受到处罚后可能会被在信用中国上公示，直接影响企业生产经营，此外，随着国家信用系统的不断优化升级，有朝一日必会实现全国联网，全国布局的大型企业，只要在任一地方遭受行政处罚，可能会全国公示，这对企业的精细化管理提出了极高的要求。

需要关注的重点问题

正是因为内外部环境要求，迫使国有企业轰轰烈烈搞合规，各类律所、智库一拥而上，各类合规服务应接不暇。对于合规这种处于风口上的管理类型，很容易搞得热热闹闹。但想真正把合规落到实处，真正服务企业生产经营，国有企业还有很长的路要走，笔者认为，目前国有企业合规管理主要还存在以下几个问题：

一是自我定位问题。知己知彼，百战不殆。各类企业主营业务领域、经营范围不同，其关注的合规重点自然不同。笔者曾经接触过一位银行合规管理人员，他表示银行合规管理就一个重点，就是反洗钱。虽然他的表述可能较为极端，但至少他对企业本身的合规需求是非常清楚的。笔者认为，企业是否涉外是开展合规管理必须考虑的重要问题。一旦有涉外业务，就必须对美国和世界银行的合规管理原则、手段进行全方位学习，制定有针对性的合规风险防范措施。没有涉外业务的单位，可以将精力集中在国内合规监管应对上。如此既可以节省资源，又可以更好地防范风险。总而言之，企业要知道自己的合规短板在哪里，最需要解决哪方面的问题。

二是合规意识问题。意识形态的工作是最难做的。我们先来思考，什么是合规意识？人人合规、时时合规、事事合规就是合规意识吗？未必。笔者曾与多个国有企业法务部门负责人谈起法务与合规工作，很多人都很疑惑，有些事情是违法的、违规的，但从实际出发考虑应该不会出什么问题，法务不敢行使否决权。说白了，就是合规管理的“度”的问题。好比司机驾驶汽车，要想一辈子不违章，除非不开车上路，但在一般人的认知中，违停、压线、轻微超速等情节较轻的违章行为是可以接受的，即便有处罚，也不会造成重大损失，但所有人都知道，无证驾驶、套牌、酒后驾车就不能干，所以交管行政部门采取的扣分制，是一种有弹性的管理机制。企业的合规管理也应该有这样的理念，具体什么意思各位看官自行体会。

三是合规标准问题。大体来说，弄懂合规管理要求、遵守合规管理底线、运用合规管理方法是合规意识形成的三个环节，最难的是第一个，“弄懂”的环节。各位看官可能有疑惑，这个有什么难的，国际有条约、国家有法律、地方有规定、行业有标准、企业有制度，明明白白的，有什么不好懂的？这显然是一个很大的认识误区，首先，各类规定浩如烟海，各级规定全部弄通学透的那是专家，不是我等凡人；其次，即便所有规定都认识到了，能否做到也是一个问题。咱们国内那些项目经理、生产经理们难道不懂规定？项目上每年那么多行政处罚为什么发生？笔者看过很多企业编的合规管理手册，都很好，但都容易忽略这个问题，总是站在监管的角度，没考虑到实际情况，是不具备实操性的。

四是体系建设问题。体系建设是基础性问题。一个企业对合规管理重不重视，首先要看是否具有一个强大、协调动员能力强的组织体系。在这个语境下，合规牵头部门的管理能力是重中之重。指引明确企业法律事务部门是合规管理的牵头部门，很多企业也将合规管理纳入法务管理，那法务部门的组织机构体系、人员队伍情况则直接影响到合规管理开展的深度和力度。但遗憾的是，法务在很多企业特别是基层企业都不受重视甚至没有独立部门，而合规问题的发生往往是在履约第一线，总部再怎么重视，下面没反应，上热下冷，合规管理的目标始终无法实现.

只谈理论不讲实操、只提问题不谈方法，是合规管理的大忌。我们究竟该如何做呢？

开展合规测评

特别是经营多元、全球布局的大型企业，因为合规管理的特殊性，在很多企业都是自上而下推动，而总部与基层往往存在管理与实践两张皮，有必要开展一次全面的合规体检。合规测评应有几项重点：企业遭受行政处罚的种类、数量、每年的趋势、地域执法力度区别，形成企业合规风险清单；企业合规管理的常规做法、人员配备、制度机制建设情况；各级管理人员均能接受的合规管理工具与措施。通过合规测评，为后续搭建全局性的合规管理体系奠定基础。

编制合规管理标准

编制合规标准是合规管理的核心任务，也是解决前文所述“弄懂”环节的钥匙。笔者认为，一个好的合规管理标准应当包括各项管理事务的表现形式、风险等级、行为准则、管控措施、违规后果、政策指引等各项维度。当然，由法务部一个部门来完成此项工作显然不现实，应当在前述合规管理测评形成的企业常见风险清单的基础上，会同各业务部门进行系统性梳理和归纳，分门别类将合规风险点一一列出。合规管理标准编制出台后，管理人员一眼就能看出哪些行为应该干、哪些行为可以干但要注意方法、哪些行为尽量不要干、哪些行为一定不能干，这里面的这个“度”，要根据企业能够承受的合规压力来确定，对企业来说，笔者认为小额罚款是可以接受的，但上信用中国、区域停牌等就不能接受了。各类行为标准要很细致以便实操，要与行政执法部门经常关注的点相挂钩。另外，应针对海外业务的特殊性，应根据美国和世界银行的各项规定，出台海外通用合规管理标准，对于有特殊合规要求的国家，还应针对具体的国别单独编制。手册编完后不能放在那里，还应由法务部门和各业务部门联合宣贯，法务部负责编制思路、行为原则的阐述，业务部门负责具体做法的说明，两者相结合，提升基层管理人员的合规能力。

实现管理融合

这一点是很多企业很疑惑的地方，哪怕体系建设再健全、合规标准编制再完善，怎么落地都是问题。把合规嵌入到具体的管理行为中，是很多企业想做但一直没做成的工作。笔者认为，通用的管理工具是可以适用在合规管理上的。比如日常巡查巡检、责任状考核、信息化流程审批等。举个例子，环保是当前合规监管的重点领域，对于施工企业，可以将合规标准纳入到各级环保部门职责中去，加入到环保现场管理的要点中去，完成所谓的“外规内化”。

强化体系建设

提高法务地位、强化组织机构、提升人员素质，这是老生常谈了，不赘述。就谈一点，法务人员自身的合规能力问题。还是那个观点，法务人员不能只谈理论、谈概念，要管好合规，法务人员需要对企业生产经营的各个业务系统的重大合规风险点有清晰的认知，这与以往的归口管理的概念不同。以往我们管合同、管风险，不会过多的去考虑专业问题，但合规就是很具体的专业问题，如果法务人员不懂，那就只能依靠各专业部门，这个头，肯定是牵不好的。所以，法务人员自己要对合规管理标准深入研究、学习，自己先成为合规专家，才能在实际上解决各类合规问题。

投稿邮箱：snr5151@139.com

后台回复”投稿“”转载“，了解事项

THE END