文章来源：大风控

在2019年国务院国资委出台的《关于加强中央企业内部控制体系建设与监督工作的实施意见》（简称“101”号文）中，提出了以“强内控、防风险、促合规”为基调的管控目标。

2020年，在国资委出台《关于开展对标世界一流管理提升行动的通知》中，梳理了和世界一流管理对标的八个要素，其中第六个要素为“加强合规管理、提升合规经营能力”。

这几年，加强企业合规管理被提到了一个新的高度，同这几年中国企业面临的复杂多变的国际环境是分不开的。

2018年11月5日，国务院国资委发布了《中央企业合规管理指引（试行）》文件。

从2017年开始的“中兴事件”、“华为事件”引发的中国企业合规问题（实为“被合规”）引起了中国企业界和监管层的极大关注，此举是继2017年底国家标准委发布GB/T 35770《合规管理体系指南》之后，从国家层面启动的又一项推动合规体系建设的动作。

本文件是国资委发布的一项专门针对央企的合规政策指引。关于中兴事件，我们曾经做过一篇案例分析，感兴趣的朋友可以再温习一下：《痛定思痛，中兴事件暴露了中国企业管理“软实力”的脆弱性》。

在这篇文章中，我曾提到了中兴的合规属于“被合规”，不是普通意义上的合规风险。无论如何，通过此次惨痛的教训，中国企业对于涉外经营和业务往来的合规意识比之前是大大提高了。

一、《中央企业合规管理指引》文件概览

此指引文件共6章31条，10页纸的篇幅，逻辑还是比较清晰、内容比较连贯，应该说还是一份不错的指导文件，特别是在当下合规被作为一个关注的焦点，为中央企业乃至整个中国企业提供了很好的一个指导纲要。

这是一个典型的政策文件样本，重点内容是其中的2-5章，分别解决了谁来干、干什么、怎么干、如何保障的问题。

二、《中央企业合规管理指引》文件的主要内容

1、明确了合规管理工作职责和组织架构

明确了董事会、监事会、经理层分别担任的合规管理职责，其中规定：

• 董事会决定合规管理负责人的任免以及合规管理牵头部门的设置；

• 监事会监督董事会和高级管理人员的合规管理履职情况；

• 高级经理层负责合规管理组织架构

合规管理组织架构如下图所示：

央企合规管理组织架构

需要注意一点的是，结合企业实践经验来看，合规管理委员会既可以为治理层（董事会）下设机构，也可以为经理层下设机构（但是董事会对合规负责人和牵头机构拥有决定权）。

另外还需要看企业原有的法制建设领导小组和风险控制委员会设立在哪个层面。实践过程中需要结合不同央企的实际情况来看，到底定位到哪个层面比较合适。

2、明确了合规工作的重点内容

文件规定防范合规风险的七大重点领域、三大重点环节、三大类重点人员，重点强调了海外业务的合规运作。

七大重点领域包括：市场交易、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴等；

三大重点环节包括：制度制定环节、经营决策环节、生产运营环节；

三大重点人员包括：管理人员、重要风险岗位人员、海外人员；

其中重点人员中的重要风险岗位人员是指通过合规风险评估确定的承担重要合规风险的职能岗位，是风险导向进行合规管理的明显体现。

三、中企“海外合规”是重点

央企合规指引发布1个月以后，2018年12月，国家发改委联合外交部、商务部、人民银行、国资委、外汇局、全国工商联等七个部门联合制定发布了《企业境外经营合规管理指引》（简称“境外合规指引”）。

1、海外合规的背景

中国企业第一次成规模的走出去始于2008年，在全球经济危机的影响下使得资产泡沫破裂，而中国发行了4万亿的刺激计划让中国在当时“成功”躲过了那一波的经济危机，而且成为了挽救全球经济的英雄。

全球资产价格的大幅下降，手里拿着大把现金的中国企业认为这是一次绝好的抄底全球优质资源、进行全球资产配置从而实现全球发展战略的机会。

但是，当时中国企业并没有大规模走出去的经验，很多企业对国际化经营不熟悉。所以，其实我们并没有做好充足准备，市场上一些大家熟知的案例如中信泰富澳洲磁铁矿、波兰A2高速公路、沙特麦加轻轨项目、中铝力拓合作、中钢澳洲磁铁矿、中海油并购尼克森等，动辄就承受了高达几十亿的损失。另外，还有很多大家没听过的小项目，只要企业自身能够消化处理的，没有企业愿意披露出来，有很多惨痛的经验。

我在不同的场合曾反复呼吁，希望后来走出去的企业好好借鉴这些前期的一些失败案例，我们在一些简单的问题方面反复犯错，很痛心，没有经验交学费可以，但是不能在一些低级错误面前反复交，这个是不能接受的。

面对这样的情况，前些年在协助地方国资委起草风险管理监管文件时，我也将“对海外投资项目进行单独风险评估，出具风险评估报告，是投资决策的前置条件”作为明确要求提了出来，这样的做法目前已经得到国家层面的认可。

在2017年国务院国资委发布的35号令《中央企业境外投资监督管理办法》中，第六章对“境外投资风险管理”的要求专门增加了一个章节，并明确提出：

对于境外特别重大投资项目，中央企业应建立投资决策前风险评估制度，委托独立第三方有资质咨询机构对投资所在国（地区）政治、经济、社会、文化、市场、法律、政策等风险做全面评估。

这几年国资委出台的风险、内控相关文件都再次把这个要求反复提出。

2013年国家提出“一带一路”的合作倡议后，中国企业开始了第二次成规模的走出去，有了2008年的经验，这次从国家层面到企业具体实施层面，比2008年那次走的更谨慎了一些，更加关注投资项目的前期评估和对风险的充分认识和把握。有的企业决策层甚至提出，没有充分全面的项目风险评估报告，就不能提交董事会审议。

我曾专门针对中国企业走出去的风险管理进行研究和实践，提出海外投资项目风险评估方法论，带队协助了第一批“一带一路”落地的部分海外投资项目进行了投资风险评估论证，取得了比较好的成效。也曾接受国资委的委托，牵头联合了清华大学、国际SOS、美世咨询、摩根律所等几家国际机构深入研究“一带一路”涉及部分国家的国家风险概况，形成《国家风险手册》，供走出去的央企进行投资决策前参考，其中合规风险是一项重要内容。

其实，合规风险的最突出矛盾还是海外合规，因为中国企业普遍认为在国内很多合规问题都比较好处理，但一走出国门，很多时候我们用国内的套路去摸着石头过河的时候，吃了亏。

所以在前段时间发布的《中央企业合规管理指引》中也是将“境外投资经营”作为重点合规内容进行了描述，这次七部门又专门发布了针对境外经营合规的指导性文件。

2、几个合规文件的关系

国家标准GB/T35770-2017《合规管理体系指南》是对国际标准组织ISO在2014年发布的ISO19600《合规管理体系指南》的翻译和等同采用，旨在提供一个普适性的合规管理体系参考框架，并没有对特定主体的倾向性和针对性。

而《中央企业合规管理指引》主要针对的对象就是中央企业，对中央企业的合规管理工作和所有合规事项进行了规定。

《企业境外经营合规管理指引》针对的内容是企业境外经营，适用的范围不局限于中央企业，而是所有中国企业。

本“境外合规指引”虽然是只针对于境外合规，但在企业中合规管理不局限于境外合规，所以工作开展过程中还是希望可以和其它合规管理工作一同整合开展，不一定需要独立开展，除非企业在海外业务的合规上有特殊的考虑。

3、《企业境外经营合规管理指引》的结构

《境外合规指引》共八章，三十条，包括合规管理要求、合规管理架构、合规管理制度、合规管理运行机制、合规风险识别评估与处置、合规评审与改进、合规文化建设等内容。

4、合规要求

合规管理涉及三个方面的业务类型：对外贸易、境外投资、对外承包工程。

中国企业走出去经历的阶段顺序应该是先以:输出产品的对外贸易为主—>再以劳务和服务输出的对外工程承包—>再到资本输出的对外投资阶段。相应的，承担的风险也逐次递增。

在这三个业务类型外加日常运营，提出了四个“确保”和四个“全面掌握”，确保描述的是目标，全面掌握描述的是重点合规内容。

5、境外合规管理机构

境外合规管理机构由合规管理委员会、合规管理负责人、合规管理部门、合规管理工作的协调等几个部分内容组成。

这个机构的设置和上面的《中央企业合规管理指引》中的要求非常类似，只是这次提出一个“首席合规官”的说法，并且由于海外合规的工作特点，在工作协调机制中除了一、二、三道防线之外又增加了与外部监管机构和第三方的沟通事项。

首席合规官（Chief Compliance Officer，CCO）在一些国际企业中早就有此提法，但并不是所有公司的标配，需要按照本企业合规风险的大小和工作量视情况而定，而中国企业目前绝大部分都没有设置此类岗位。未来是否要设立也要看企业自身情况，主要是有一个明确的合规管理负责人是其实质内容，至于叫什么称呼并不是最重要的。

6、境外经营风险管理是根本

其实对于境外经营来说，面临的合规风险只是其中的一个方面，企业在走出的过程中面临的风险是复杂多样的，哪一个没有把握好，海外经营的目标都实现不了。所以，我建议涉外企业可以从更高的角度把握走出去的风险，做好项目整体的风险管理工作，将合规风险有机的纳入到其中，这也是整合视角下的风险管理工作强度的一个原则。

风险其实是合规、内控、审计、法务等二、三道防线工作的主线，是根目录，这也是为什么我一直强调风险重要性的原因。

我们今天谈到的境外合规，基本都是针对有明确立法和规定“硬合规”内容。除此之外，从过去这些年我们走出去的经验看，由于我们不了解当地的风俗习惯和地域文化这些“软合规”内容，也发生过很多由于违背当地的文化和习俗导致项目失败或遇到阻碍的情形。

特别注意一些国家和区域的各类禁忌事宜，虽然没有明确的法律法规列明，但是如果行为举止冒犯了当地合作方或居民，项目肯定是无法顺利开展。

四、合规和风险管理、内部控制的关系

1、合规是基本目标

刚才在展示合规管理架构时，在具体工作层面我引用了三道防线的概念。合规（英文对应是Compliance），从企业整体的经营管理来看，一直都是最基本目标，是企业管理的边界和红线。就合规目标而已，为企业的风险偏好和承受度设定提供了清晰的边界。

在国际上，合规管理不是一个新职能，而是早已被认知和运行多年的一项管理工作。为什么我们国内近几年才开始关注，其实是和三个方面的因素有关系：

1. 与整个社会经济发展阶段有关；

   
   

2. 与一个国家整体的法治意识和进程有关；

   
   

3. 与当下面临的外部环境有关。

我们最近几篇文章中都谈到关于规则意识的问题，合规是什么？简单来讲就是要遵守规则。我们过去几十年的高速发展其中一个重要原因是得益于我们不墨守成规、敢于突破规则（当然有时候是一些灰色地带）、没有规则的情况下也可以先“摸着石头过河”。

但是一旦发展跳出了“草莽英雄”阶段，就不一样了，如果作为世界第二大经济体，还没有形成明确、清晰的规则意识，在这个企业经营最基本的目标方面与世界如果不能达成共识的话，那就面临很多问题了。

所以，就企业而言，合规目标是所有职能面对的最基本目标。

有人会说，企业最基本的目标是盈利和生存。如果还有此想法的企业家，我建议要尽快转换思维，未来的盈利和生存只能是要建立在合规基础上的目标。当然这里面有一个辩证关系，通过违规而获得的发展肯定是不可持续的短期行为，而为了合规而蚕食掉大部分的盈利同样也肯定不会是最优方案。

2、与内部控制和风险管理的关系

了解COSO内部控制和风险管理体系的同仁都知道，对于合规而言，一直都是两个体系的工作目标之一。既然是目标，那内部控制也好、风险管理也罢，都应该是实现合规目标的手段和工具。包括上面架构中提到的三道防线的各个职能，就合规目标而已，都是手段和工具。

COSO1992和2004发布的内控和风险管理框架

只不过需要强调的是，这些职能需要实现的目标并不止一个，而合规目标只是所有这些职能的基本目标，所以在框架中合规目标都是放在所有目标的最后面展示。不应理解为其最不重要，而要理解为其最基本。只有设立了专门的合规管理部门的企业，合规目标才会成为此职能部门的主要目标。

所以，合规管理与所有的管理体系都相关，但都是这些管理体系其中的一部分。如果要以合规管理体系作为一个结点来拎的话，那其实是在所有体系中将与其有关联的管理活动拎了出来，这就是为什么大家觉得他们之间都有关系，但又都扯不清的原因。因为着眼的、侧重点、抓取点的不同，容易导致这种理解不清晰。

就具体工作而言，是在各体系中对合规部分和相关内容的巩固和强化，也可以将其相关的内容镜像一份，给合规管理负责机构进一步梳理完善形成合规管理体系，双方是相互促进的良性互动过程。

切不可因此将企业现有的管理体系中的合规管理部分推倒重来，亦或是从零开始建立企业合规体系，要以实质内容和效果为根本出发点。

五、对合规指引的两点建议

1、合规风险的定义

央企《合规指引》文件的第二条对合规风险进行了定义：中央企业及其员工因不合规行为，引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。

这里首先要向大家解释一下，我们前期和大家普及了很久关于风险的概念。首先风险的提出需要有目标作为载体，对于有些风险而言，自身是携带目标描述的，比如我们这里谈到的合规风险，什么是合规风险？

其实这里指的是“不合规所导致的风险”，合规就是目标本身，所以合规风险就是指代那些不合规的情形。自带目标的风险还包括安全风险，都是自带目标的风险描述。

这个定义前半部分的描述，其实是对合规这个目标产生了负面影响的典型表现形式的表述，最后落在了可能性上。这和我在前期风险本质论战第一篇和最后一篇提出的对风险的严格定义：

对目标产生负面影响的不确定性 只是最后落脚点差了一个词。

为什么我支持落在不确定性而不是可能性，因为产生负面影响的可能性只强调了发生的不确定性，没有强调影响的不确定性，而风险是两者不确定性兼具的。

2、合规内容的准确界定

《合规指引》文件中提到的合规是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。

这就是合规所有涉及的各方面内容，我对其中的大部分描述都表示认同，只是对其中关于规章制度的内容持保留意见。按照这样的描述，对企业规章制度的遵循性也属于合规管理的范畴。

• “外规”与“内规”

常规的合规管理工作强调的是对外部的法律法规和监管、条约、规则的遵循性，因为“规”已经被立好了，所以叫合规！对于这些“外规”而言，单个企业一般没有对如何“立规”的影响力，能做的只是遵守。

但是如果要将企业对内部的规章制度的“内规”也纳入合规管理的范畴，那会极大扩展合规管理工作的边界，在企业操作层面也会形成一定的理解误差。

• “内规”到底属不属于合规的内容？

如果“内规”也属于合规内容的话，就是说如果企业或员工违反的公司的制度规定也属于合规管理的内容，那就面临一个问题，这些规是谁来“立”的？因为只有立了规才有合规一说。如果企业自己立的规有问题怎么办？算不算不合规？

所以，我觉得还是需要区分一下，对企业内规的遵循性很容易和内部控制体系的执行有效性关联在一起，但同时不要忘了还有设计有效性的要求。从COSO的内部控制体系要求来看，对企业内部规章制度的遵循性问题不属于合规目标的内容，而是放在了运营目标下。

那应该如何表述？

我画了一个图方便大家理解，我认为合规的合理范畴应该如下所示，对于外规，企业可以直接采用其相关要求进行直接合规，也可以转化为企业的规章制度来执行。有的企业可能会制定比外部合规要求更严格和谨慎的企业规定，比如追求卓越的公司可能对环保、劳动用工等方面不会止步于外部监管要求的标准。

现行的合规管理工作的本意是要推行“大合规”做法，将企业自行制定的内规也划入合规管理的范畴，那就需要和企业内部控制体系的制度执行结合在一起，而且要记住：

企业不仅要强调“合规”，更需要合理的“立规”！

THE END

投稿邮箱：snr5151@139.com

联系方式：18701085957（微信同）