中国企业合规管理调研报告

三、 企业如何合规：目的、架构、体系与流程

虽然企业合规如我们在上述部分所论述的，不仅部分地具有外部规制的性质，并且在其产生以后已经由规制行业向一般公司所推广，但是从总体的目的、架构、体系与流程来看，作为起源行业的，金融部分的合规不仅资料详实，而且也可以作为一般性的分析框架，因此，我们在此部分中，主要以金融行业部分的合规目的、架构、体系与流程进行分析，作为一般化的体系框架，而在个案调研的分析之中，则突出各行各业合规的不同。

(一)目标

1. 防范合规风险

合规风险是一个刚刚由金融操作风险中剥离出来的概念。根据中国证监会《证券公司合规管理指引》中的描述，合规风险主要含义：“证券公司及其工作人员的经营管理或执业行为违反法律、法规或准则而使证券公司受到法律制裁、被采取监管措施、遭受财产损失或声誉损失的风险”。学界目前的探讨较少，将其表述为：指因公司或其工作人员的经营管理或执业行为违反法律、法规或准则而使公司受到法律制裁、被采取监管措施、遭受财产损失或声誉损失的风险。合规风险是法律风险、市场风险、信用风险、流动性风险、特别是操作风险存在和表现的诱因。[1]

合规是一个企业长期稳定发展的基石。无论一个企业曾经获得过多高的利润，有多大的社会影响，在业内占有多么重要的地位，一旦企业出现了合规问题，企业就很可能受到监管者的处罚、法律的制裁，与此同时，其必将面临企业的信誉危机，苦心经营、点点累积起来的商业信誉可能瞬间垮塌，曾经的努力都会化为乌有，商誉的建立谈何容易，而毁掉却似乎只在弹指之间。企业的合规风险给企业所带来的打击无疑是致命的，同时也是难以弥补甚至是无法弥补的。而企业合规管理的目的恰恰是试图建立一套机制，使企业能够满足监管要求，有效的识别、评估、监测合规风险，主动的去防范、避免违法、违规行为发生，从而免受法律的制裁亦或是经济、信誉等方面的损失，实现企业合规经营和企业的可持续发展。

为了推动企业的合规风险管理，1987年的美国《联邦审判指南》首次将企业犯罪的量刑与合规风险管理挂钩。根据《联邦审判指南》的规定，如果触犯法律的企业己经建有合规框架预防和监测合规风险,联邦法官在量刑或判决时,可以减轻对该企业刑罚，包括减少罚款、免于刑事诉讼等。企业高管人员在民事诉讼中还可将合规风险管理机制的建立作为抗辩事由,罚金甚至可以减少95%。[2]

2. 强化企业内部控制

1992年Treadway委员会[3]经过多年研究，对公司的内部控制进行高度概括，发布《内部控制——整体框架》(Internal Control-Integrated Framework)报告，将“内部控制”界定为：由公司董事会、经理层和其他相关人员实施的，为实现下列目标提供合理保证的过程，即经营的效果和效率、财务报告的可靠性、法律法规与政策的遵循。由此，正式将合规管理融入公司的内控体系中，并作为其核心内容，成为决定公司内控机制有效性的关键因素。[4]

这一报告在国际上产生了深远的影响，各国的监管当局为了加强本国企业的内部控制纷纷效仿,我国也不例外。2009年，由财政部、证监会、审计署、银监会、保监会联合发布的，自同年7月1日起在上市公司范围内实施的《企业内部控制基本规范》也将“合理保证企业经营管理合法合规”列为内部控制的主要目标之一。

合规管理事实上是为了实现企业内部控制的目标而实施的一系列合规风险管理措施,其必然融合于企业的内部控制体系之中。同时，企业通过合规管理，合规部门对企业管理人员、职工的行为进行合规监督、评估、审查，增强公司的自我约束能力，强化了企业的内部治理结构和内部控制，成为健全企业内部控制的重要手段。

(二)架构

1. 董事会

巴塞尔银行监管委员会在《合规与银行内部合规部门职能》中专门制定了董事会的合规职责，包括审批合规政策并确保其制定适当，监督合规政策的实施，在全公司推行诚信与政治的价值观念等。中国银监会《商业银行合规风险管理指引》、中国保监会在《指引》第6条中也规定董事会对商业银行的风险管理负有最终责任。具体而言包括：制定与本公司战略目标一致且适用于全公司的合规风险管理战略和总体政策;第一，通过审批及检查高级管理层有关合规风险的职责、权限及报告制度，确保全公司的合规管理风险管理决策体系的有效性，并尽可能将企业所从事的各项业务所面临的合规风险控制在可以承受的范围内;第二，授权董事会下设的风险管理委员会、审计委员会或专门设立的合规管理委员会对商业银行合规风险管理进行日常监督;第三，章程规定的其他合规管理职责。

2. 监事会

中国银监会在《商业银行合规风险管理指引》中对监事会应监督董事会和高级管理层履行合规管理职责作了原则性规定。中国保监会在《保险公司合规管理指引》中对监事会履行合规职责作了列举性规定。中国证监会则在其发布的《证券公司合规管理试行规定》授权证券公司在其公司章程中作出规定。结合以上规定以及公司法关于监事会职权的规定，监事会合规管理职能可归纳如下：

监事会负责监督董事会和经营者合规管理职责的履行情况，具体合规职责通常包括以下方面：(1)监督董事会、经营管理层和合规总监是否履行了合规管理职责;(2)监督董事会的决策及决策流程是否合规;(3)监管合规政策的实施，依法调查企业经营中的异常情况，并可要求公司合规负责人和合规管理部门协助;(4)评估公司管理合规风险的有效程度;(5)对引发重大合规风险的董事、高级管理人员提出罢免的建议;(6)其他合规管理职责。[5]

3. 高级管理层[6]

企业高级管理层负责执行董事会批准的合规管理战略、总体政策及体系。在合规风险的日常管理方面，对董事会负最终责任。一般来讲，主要职责包括：

(1)根据董事会制定的合规风险管理战略及总体政策，制定书面的合规政策，并根据合规管理状况以及法律、规则、准则的变化适时修订合规政策，报经董事会审议批准后传达给全体员工。

(2)任命合规部门负责人、并确保合规部门负责人的独立性。

(3)明确合规部门及其组织结构，为其履行职责配备适当的资源，如提供必要的经费、设置必要的岗位、配备合格的人员、为合规风险管理人员提供培训、赋予合规风险管理人员履行职务所必需的权限等;

(4)全面掌握企业合规风险管理的总体状况，识别企业所面临的主要合规风险，审核批准合规风险管理计划，确保合规部门与风险管理部门、内部审计部门以及其他相关部门之间的工作协调;

(5)明确界定各部门的合规风险管理职责以及合规风险报告的路径、频率、内容，督促各部门切实履行合规风险管理职责，以确保合规风险管理体系的正常运行;

(6)每年向董事会提交合规风险管理报告，报告应应充分依据并有助于董事会成员判断高级管理层管理合规风险的有效性;

(7)及时向董事会或其下设委员会、监事会报告任何重大违规事件。

(8)合规政策规定的其他职责。

4.合规负责人(合规总监)和合规管理部门

(1)合规负责人

对合规负责人较早且较为完善的定义来自2005年巴塞尔委员会的《合规与银行内部合规部门》。该文件第二十四条规定：“每家银行应该有一位执行官或高级职员全面负责协调银行合规风险的识别和管理，以及监督合规管理部门职员的工作。本文件使用‘合规负责人’这一称谓来描述该职位”。第二十六条规定，合规负责人未必一定是高级管理层人员。

我国对于“合规负责人”的界定主要见于金融行业，中国银监会在《商业银行合规风险管理指引》中使用了“合规负责人”的概念，但没有界定其地位。从目前的实践来看，中资商业银行合规部门的负责人基本上都不是高级管理层成员。[7]而保险业和证券业则不同，合规负责人具有高级管理人员的地位。《保险公司合规管理指引》第十条明确规定：“保险公司应当设立合规负责人。合规负责人是保险公司总公司的高级管理人员。”国务院颁布的《证券公司监督管理条例》首度对证券公司合规负责人作出规定，也将合规负责人定位为证券公司高级管理人员。中国证监会在其后颁布的《证券公司合规管理试行规定》中规定：“证券公司应设立‘合规总监’，‘合规总监’是公司的合规负责人，对公司及其工作人员的经营管理和执业行为的合法合规性进行审查、监督和检查。”将证券公司合规负责人进一步明确为合规总监一职。

在其他行业，由于并没有与合规负责人相关的法律规定，对于合规负责人定位，企业享有更大的自主性，有些企业将合规部门法律事务部负责人作为合规风险管理负责人[8]，负责领导合规风险管理部门和合规管理临时机构的同时，要接受高级管理层的领导，并负责向高级管理层报告工作、接受监督;协助公司高级管理层有效管理合规风险。

根据《合规与银行内部合规部门》原则5的规定，合规部门负责人的主要职责，是全面协调企业合规风险的识别和管理，监督合规部门根据合规风险管理计划履行职责，定期向高级管理层提交合规风险评估报告。结合我国的相关法律规定以及一些企业的内部合规政策，合规负责人的具体职责可归纳如下：

在《证券公司合规管理试行规定》中，合规总监的具体工作包括：(1)对公司内部管理制度、重大决策、新产品和新业务方案出具合规审查意见;(2)督导相关部门根据法律、法规和准则的变化，及时评估、完善公司内部管理制度和业务流程;(3)对公司及其工作人员经营管理和执业行为的合法合规性进行事中监督，进行定期、不定期的检查;(4)处理涉及公司和工作人员违法违规行为的投诉等。

《保险公司合规管理指引》第十一条规定：“保险公司合规负责人对总经理和董事会负责，并履行以下职责：(一)制订和修订公司合规政策并报总经理审核;(二)将董事会审议批准后的合规政策传达给公司全体员工和营销员，并组织执行;(三)在董事会和总经理领导下，制定公司年度合规风险管理计划，全面负责公司的合规管理工作，并领导合规管理部门或者合规岗位;(四)定期向总经理和董事会审计委员会提出合规改进建议，及时向总经理和董事会审计委员会报告公司和高级管理人员的重大违规行为;(五)审核并签字认可合规管理部门出具的合规报告等各种合规文件;(六)公司章程规定或者者董事会确定的其他合规职责。”

《商业银行合规管理指引》规定：“合规管理部门应在合规负责人的管理下协助高级管理层有效识别和管理商业银行所面临的合规风险，履行以下基本职责：(一)持续关注法律、规则和准则的最新发展，正确理解法律、规则和准则的规定及其精神，准确把握法律、规则和准则对商业银行经营的影响，及时为高级管理层提供合规建议;(二)制定并执行风险为本的合规管理计划，包括特定政策和程序的实施与评价、合规风险评估、合规性测试、合规培训与教育等;(三)审核评价商业银行各项政策、程序和操作指南的合规性，组织、协调和督促各业务条线和内部控制部门对各项政策、程序和操作指南进行梳理和修订，确保各项政策、程序和操作指南符合法律、规则和准则的要求;(四)协助相关培训和教育部门对员工进行合规培训，包括新员工的合规培训，以及所有员工的定期合规培训，并成为员工咨询有关合规问题的内部联络部门;(五)组织制定合规管理程序以及合规手册、员工行为准则等合规指南，并评估合规管理程序和合规指南的适当性，为员工恰当执行法律、规则和准则提供指导;(六)积极主动地识别和评估与商业银行经营活动相关的合规风险，包括为新产品和新业务的开发提供必要的合规性审核和测试，识别和评估新业务方式的拓展、新客户关系的建立以及客户关系的性质发生重大变化等所产生的合规风险;(七)收集、筛选可能预示潜在合规问题的数据，如消费者投诉的增长数、异常交易等，建立合规风险监测指标，按照风险矩阵衡量合规风险发生的可能性和影响，确定合规风险的优先考虑序列;(八)实施充分且有代表性的合规风险评估和测试，包括通过现场审核对各项政策和程序的合规性进行测试，询问政策和程序存在的缺陷，并进行相应的调查。合规性测试结果应按照商业银行的内部风险管理程序，通过合规风险报告路线向上报告，以确保各项政策和程序符合法律、规则 和准则的要求;(九)保持与监管机构日常的工作联系，跟踪和评估监管意见和监管要求的落实情况。”

(2)合规管理部门

合规管理部门有广义和狭义之分，广义上的合规管理部门是整个企业系统负有履行合规管理职责的各个业务条线与分支机构的统称。狭义的合规管理部门是识别、评估、通报、监控并报告企业合规风险的一个独立的职能部门。

关于合规部门的设立，主要有四种模式：[9]①单独式。设立单独的合规部门承担合规风险管理职责，在合规部门内部设立若干合规风险管理团队，如负责管理制度合规性审核的合规政策团队、负责合规风险监测和评估的检测团队、负责保持与监管机构联系的监管关系维护团队。这种模式，上海浦东发展银行比较典型。②联合式。设立法律合规部统一管理法律风险和合规风险，在负责合规风险管理的团队中再设置相应的岗位，具体负责合规风险管理事务。如中国民生银行在总行设立法律与合规事务部，统一管理法律风险和合规风险;其内部分设法律事务中心、合规管理中心等团队;合规管理中心又设置批发业务合规岗、零售业务合规岗、金融交易合规岗、管理协作岗等岗位。③混合式。即由一个部门(如风险管理部)集中管理企业面临的不同风险，如市场风险、法律风险、会计风险等;在该部门内部，又设置不同专业团队，如银行业的风险管理部往往下设法律合规、授信评审、资产监控团队，承担相应管理职责。这种模式，被一些小型商业银行或股份制商业银行的部分分行所采用。④分散式。即指定现有多个部门共同承担合规管理职能而形成的虚拟型合规部门，也即广义上的合规部门。它并没有一个具体、完整的形态。

(3)合规部门的职责

巴塞尔银行监管委员会在《合规与银行内部合规部门》中列举了合规部门的6项主要职责：一是建议职责。合规部门应该对合规法律、规则和准则充分了解吸收，向高级管理层提出建议，包括随时向高级管理层报告该领域的发展情况。二是指导和教育职责。合规部门应协助高级管理层，就合规问题对员工进行教育，并成为员工咨询有关合规问题的内部联络部门。通过政策、程序以及诸如合规手册、内部行为准则和各项操作指引等其他文件，为员工恰当执行和归法律、规则和准则提供书面指引。三是识别、量化、评估合规风险的职责。运用各种专业技术方法、及早识别合规风险，并对其进行量化、评估，定期向管理层提交合规报告。四是监测、测试和报告合规风险的职责。包括事前、事中、事后全过程。五是履行法定责任和对外联络的职责。合规部是和监管部门对接的为一部门，负责协调监管机构与公司之间的联系。六是制定合规方案的职责。合规方案确定了合规部门的行动计划，如具体政策和程序的实施与评审，合规风险评估，合规测试等。合规方案应以合规风险为本，并受到合规负责人的监督，以确保对不同事业部的适当覆盖以及各合规风险管理部门之间的协调。以此为蓝本，我国银行业、保险业、证券业也出台了相关规定，将合规部门的职责进一步细化。整体来看，合规部门的职责可归纳如下：

合规管理部门应在合规负责人的管理下协助高级管理层有效识别和管理商业银行所面临的合规风险，履行以下基本职责：(一)政策跟踪与解读。持续关注法律、规则和准则的最新发展，正确理解法律、规则和准则的规定及其精神，准确把握法律、规则和准则对商业银行经营的影响，为公司依法开展业务提供参考意见;(二)制定合规管理计划。即制定并执行风险为本的合规管理计划，包括特定政策和程序的实施与评价、合规风险评估、合规性测试、合规培训与教育等;(三)合规性审查。对公司内部管理制度、重大决策、新产品、新业务及重要业务活动等进行合规审查，对公司对外签署的合同进行合规性审查，对合规风险进行识别并提出独立的合规意见;(四)合规性检查。对公司经营管理行为的合规性，各部门、分支机构的合规管理的有效性及员工执业行为的合规性进行检查，主动评估和发现合规风险。(五)培训与教育。协助相关培训和教育部门对员工进行合规培训，包括新员工的合规培训，以及所有员工的定期合规培训，并成为员工咨询有关合规问题的内部联络部门;(六)制定合规指南。组织制定合规管理程序以及合规手册、员工行为准则等合规指南，并评估合规管理程序和合规指南的适当性，为员工恰当执行法律、规则和准则提供指导;(七)合规建议及咨询。为公司经营管理层及各部门、分支机构提供合规建议及咨询，并对其经营管理活动的合法合规性进行监督。(八)保持与监管机构日常的工作联系，跟踪和评估监管意见和监管要求的落实情况。(九)董事会确定的其他合规管理职责。

除以上基本职责外，一些监管机构还基于本行业特色规定一些特殊的职责，如《商业银行合规风险管理指引》第十八条规定的“合规性测试”职责[10];《保险公司合规管理指引》第十四条规定的：“负责公司反洗钱制度的制订和实施”的职责。

(三)合规管理体系与流程

1. 合规管理对象

合规管理的主要对象包括以下几类：公司业务中的合规风险;机构设立、变更、合并、撤销、并购、战略合作过程中的风险;担保、投资和公司资金运用的风险;专利、非专利技术、商标、商号等知识产权保护和运作中的风险;涉及不正当竞争、限制竞争或垄断等市场竞争方面的风险;董事会、监事会、高级管理层做出的公司内部决策、管理制度等在执行方面的风险;公司在劳动保障、环境保护、安全生产力方面的风险;公司在执行行业规制规定或商业伦理方面的风险;经济犯罪方面的风险。

2. 合规管理措施与流程

(1)合规风险的识别与评估(报告)

合规风险的识别，是企业对其内部的某机构、员工、行为是否存在或发生合规风险的可能性以及合规风险产生的原因进行分析判断，以便对合规风险进行评估、监测和控制的系统性活动。合规风险的识别，是指在合规风险识别的基础上，应用一定的方法估计和测定某机构、员工、行为发生合规风险的概率和损失大小，以及对企业整体运营产生影响的程度，从而决定如何采取预防、化解等控制措施的系统性活动。合规风险评估的体系主要包括评估的内容、评估的方式、评估的标准、评估报告的路径等几个方面。合规风险的识别和评估是企业合规风险管理的前提和基础，是企业正确分析和把握合规内容的重要手段。

合规风险识别和评估的步骤一般包括：(1)收集企业所有的合规风险点;(2)形成合规风险列表;(3)分析合规风险形成或者产生的原因;(4)对合规风险进行“高、中、低”分类;(5)合规风险测试;(6)形成整体的合规风险评估报告并进行预警提示。[11]

(2)合规性审查

合规审查是指合规管理部门作为识别、评估、通报、监控并报告公司合规风险的一个独立职能部门，应根据法律、法规主动识别和管理合规风险，按照合规风险的报告路线和报告要求及时报告的行为。目前，我国合规审查尚处探索的起步阶段，各企业的着力点也不尽相同。

第一，合规审查的范围。这主要包括新制度的审查及修订;新产品、新业务的审查;重大决策的审查;合规负责人的其他合规审核。

第二，合规审查的方式与流程。

第三，合规检查。合规检查，也即合规风险检查，是指为掌握企业各单位(包括各管理部门、各业务条线、各分公司)对法律、法规、规则和准则等合规依据的遵循情况，以及企业合规风险管理机制的实际运作及其有效性等情况，由合规风险管理部门对各单位的经营管理行为的合规性所进行的检验和评估。合规性检查的重点在于检查各项合规风险控制是否正常执行。

合规风险的检查对象应是企业内部各经营管理机构，检查事项是规章制度的执行情况，主要包括：经营管理活动的规章制度建设情况;合规风险管理与合规风险控制政策、措施、资源配置是否充分、适当;合规风险管理政策、制度的贯彻落实、合规风险管理计划的实施状况，以及在实现合规风险管理与控制目标方面的进展情况;员工能否正确理解和把握法律、法规、规则和准则的相关内容;当有关法律、法规等规范性制度发生变化时，是否及时修订和完善已制定的各项管理制度、操作规程及实施细则;发现违规操作或可以交易等合规风险问题时，是否及时上报并采取适当处置和纠正措施;按规定应该接受合规风险审核的事项是否进行了审核;合规部门的合规风险审核、合规风险咨询、合规风险提示等合规风险管理意见是否得到遵守和执行;各类违规问题是否得到有效的整改。

其次，合规检查的方式。合规风险检查方式包括日常监控和专项检查两种。所谓日常监控，是指合规风险管理部门通过风险管理系统，发现合规性问题并及时提出管理建议的一种日常监督检查方式;所谓专项检查，是指合规风险管理部门按照规定的程序对被检查单位的合规风险管理状况、各项业务的合规性等进行专门性检查工作。专项检查又可分为现场检查和非现场检查两种方式。现场检查，是指合规风险管理不恩根据合规风险管理或者业务经营管理的需要，到被检查单位进行实地详细检查的工作方式。非现场检查，是指合规风险管理部门通过要求被检查单位报送各种资料或者运用计算机等工具，对各种经营管理信息进行合规性分析来发现合规风险点的工作方式。[12]

其次，合规检查的阶段和步骤。其主要包括：检查前的准备，包括收集研究信息，开展异动分析;组织检查组，进行人员分工;检查组制定现场检查实施方案;指定待查岗位检查预案;制定《合规检查通知书》;现场检查的实施;撰写提交检查报告。

(未完待续)

[1]邢娟：《论企业合规管理》，载《企业经济》2010年第4期。

[2]刘满佳：《国有商业银行合规管理研究》，西南财经大学硕士学位论文。

[3]即美国全国虚假财务报告委员会(The National Commission on Fraudulent FinancialReporting)　　  [4]http://www.cpa2biz.com/AST/Main/CPA2BIZ_Primary/InternalControls/COSO/PRDOVR~PC-990009/PC-990009.jsp。最后访问日期2014年6月4日。

[5]张云东：《证券公司合规管理》，北京：中国金融出版社，2009年7月，第42页。

[6]周玉华：《保险公司合规风险管理》，北京：法律出版社，2010年6月第一版，第47页。

[7]邵平：《商业银行合规风险管理》，北京：中国金融出版社，2010年，154

[8]《广西柳工机械股份有些公司合规风险管理办法》5.3.2，http://wenku.baidu.com/link?url=qXSxjWkv_Ctl5Tf0yCnenRoti5flMjXb1yIwcK-7CI9ixlp_fb8-sGIA5uylGGHWW1AC8Ej81ZZfIDpMZ87afTwkKDE9Gt9O8WSATZlLEp7，2014年7月10日访问。

[9]邵平：《商业银行合规风险管理》，北京：中国金融出版社，第148页。

[10]“实施充分且有代表性的合规风险评估和测试，包括通过现场审核对各项政策和程序的合规性进行测试，询问政策和程序存在的缺陷，并进行相应的调查。合规性测试结果应按照商业银行的内部风险管理程序，通过合规风险报告路线向上报告，以确保各项政策和程序符合法律、规则和准则的要求。”

[11]周玉华：《保险公司合规风险管理》，北京：法律出版社，2010年6月第一版，第65-67页。

[12]邵平：《商业银行合规风险管理》，北京：中国金融出版社，2010年，第201页。

 本文来源于网络，版权归原作者所有，如有侵权请联系删除。