安理合规丨关于合规一般性问题的思考

笔者在2019年曾为某大型国有企业提供合规专项法律服务。在这之前，合规对于笔者或者其他律师来说，都不是一个陌生的名词，我们在各种尽职调查报告、法律意见书等法律文件中大量使用“合规”这个名词或概念，通常是与“合法”合称“合法合规”，在这里，合规是一个约定俗成的概念，有其约定俗成的含义，我们使用起来也是信手拈来，并无障碍。但是在给客户提供合规专项法律服务之初和过程中，我们就感觉到原来信手拈来、约定俗成的“合规”概念并不好用，无法套用在合规项目中。概念、推理、逻辑体系对于律师构建自己的知识体系以及解决实际法律问题的重要性不言而喻，虽然这次的合规项目有国资委《中央企业合规管理指引（试行）》（国资发法规【2018】106号）作为依据，但理论界、实务界尚未形成有说服力的或主流的理论与经验。实践与解决实际问题永远是知识的起源和归宿，虽然很多合规理论问题（是什么）没有澄清，方法论工具（怎么做）没有成形，逻辑体系（做什么）尚未形成自洽，但项目的持续推进也是检验或形成理论、工具、体系的最佳路径。而且，2019年以来有关合规的文章、专著如雨后春笋般涌现出来，与合规有关的研究和实务也越发广泛与深入。

本文是笔者对合规一般性问题的初步探讨，主要围绕合规的概念、合规的方法论和合规体系提出问题、分析问题、寻求答案或解题的路径。笔者归纳、思考的合规一般性问题包括合规的价值与意义、合规风险与法律风险、合规与内控、合规的价值属性、合规的制度属性、合规管理的组织体系与文件体系、外法内规化、合规行为规范（合规行为准则/指引）。

防范合规风险和满足法律政策要求是企业合规的直接驱动力，近些年来国内外的合规风险事件已经引起了企业、监管机构、政府部门、司法机关的高度重视，尤其是重大合规风险事件关乎企业的生死存亡和管理层的刑事责任。从防范合规风险的角度，确保企业的经营安全和可持续发展、企业免责与管理层免责或减轻处罚都是合规对于企业直接的价值和意义。

2018年下半年《中央企业合规管理指引（试行）》、《企业境外经营合规管理指引》（发改外资〔2018〕1916号）也将合规管理上升到企业治理的高度和扩展到企业经营管理的全过程。《中央企业合规管理指引（试行）》第四条规定：“中央企业应当按照以下原则加快建立健全合规管理体系：(一)全面覆盖。坚持将合规要求覆盖各业务领域、各部门、各级子企业和分支机构、全体员工，贯穿决策、执行、监督全流程。(二)强化责任。把加强合规管理作为企业主要负责人履行推进法治建设第一责任人职责的重要内容。建立全员合规责任制，明确管理人员和各岗位员工的合规责任并督促有效落实。(三)协同联动。推动合规管理与法律风险防范、监察、审计、内控、风险管理等工作相统筹、相衔接，确保合规管理体系有效运行。(四)客观独立。严格依照法律法规等规定对企业和员工行为进行客观评价和处理。合规管理牵头部门独立履行职责，不受其他部门和人员的干涉。”第二十九条规定：“中央企业根据本指引，结合实际制定合规管理实施细则。地方国有资产监督管理机构可以参照本指引，积极推进所出资企业合规管理工作。”换言之，中央企业是否有健全完善的合规管理体系以及合规管理体系是否得到有效执行，本身就是一个合规判断的问题，企业尤其是国有企业的很多经营管理过程中的风险在合规视角下都可能构成合规风险进而引发违法违规责任的承担。

合规风险是合规实务中用的最多也是最常见的用语，按照《中央企业合规管理指引（试行）》中给出的定义，企业合规风险是指“企业及其员工因不合规行为，引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。”从风险管理的角度讲，合规风险属于企业风险的一种，《中央企业全面风险管理指引》（国资发改革[2006]108号）第三条规定：“本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。”根据该定义，合规风险应该是企业未来的一种不确定性以及该不确定性对企业的影响，合规风险管理应该是对该不确定性以及该不确定性对企业的影响的管理。就合规风险而言，合规风险应包括两方面的内容，即企业在经营管理活动中出现不合规行为的风险（不确定性）以及不合规行为对企业的风险（影响），合规风险管理亦是包括对不合规行为风险的管理和对不合规行为对企业的影响的管理两个方面，即按照合规的标准和要求对企业行为和员工的职务行为进行管理避免出现违规行为，对不合规行为进行识别和处置以减小或降低不合规行为对企业和员工的影响。法律风险是指企业由于立法（立、改、废）、司法政策（九民会议纪要）、法律适用（刑事司法、行政执法、主张民事权利）而承担刑事责任、行政责任以及民商事法律责任等一系列不利法律后果的可能性。合规风险与法律风险并非种属关系或包含关系，合规风险与法律风险存在部分交叉，合规风险与法律风险的交集在于这样一类法律风险：主要指含有法律否定评价的法律处罚和法律责任承担的可能性，典型的有刑事处罚、行政处罚、行政监管措施、侵权责任承担等。

本文不试图深入探讨企业内控，而是着眼于内控与合规、风险管理的关系和边界。《关于加强中央企业内部控制体系建设与监督工作的实施意见》（国资发监督规〔2019〕101号）对三者的关系有一段非常精辟的论述，其在第一条“建立健全内控体系，进一步提升管控效能”中规定：

与合规管理与风险管理相比，内控的工具属性更强，依附于公司的战略，表现为一系列流程、方法、工具、措施、标准，用《关于加强中央企业内部控制体系建设与监督工作的实施意见》里的话，就是管理制度化、制度流程化、流程信息化。内控的核心是控制与可控，目标包括资金资产安全、法规遵从、财报合规、防止舞弊、提高运营效率和效果等。企业的经营管理就是一系列活动和过程，内控并不是在企业经营管理的活动与过程之外再叠加一套内控管理活动与过程，合规管理也不是在企业的内控管理之外再叠加一套合规管理流程，从这个意义上讲，就是上述规定中所说的“将风险管理和合规管理要求嵌入业务流程”，“在具体业务制度的制定、审核和修订中嵌入统一的内控体系管控要求”。

前文已经从功利（防范风险）角度谈到合规对于企业的价值和意义，即确保企业的经营安全和可持续发展、企业免责与管理层免责或减轻处罚，避免含有法律否定评价的法律处罚是被动合规的主要推动力，但这只是合规的效用或合规对企业的功利性价值，风险管理和内控都有这样的作用或价值。

企业是社会和经济活动的重要参与者，就其参与社会经济活动的广度与深度而言，其对现代社会的重要性和影响是巨大而深刻的。企业是人为创设、法律拟制的一类主体，是社会经济活动的重要参与者（主体）或组成部分，没有天赋或先验的权利，企业是以其对社会的作用和价值得以被社会接纳认可，这是企业作为工具或载体其功利性价值的体现。但是，企业作为社会经济活动的主体并不因其对社会的有用（比如创造就业、缴纳税收、提供产品）而获得完全的主体正当性，企业作为社会经济活动主体，以其依法设立、合法合规经营而获得其正当性，正当性是企业设立、存续的基础或基石，依法设立是企业设立的正当性，合法合规经营管理是企业存续的正当性。正当性是企业的基础价值，是企业存续的基石。企业正当性的缺失或缺乏会导致企业基础的崩塌，如果正当性不能恢复或修复，企业就丧失了存在或存续的正当性或合法性。这就是合规对于企业或人为创设机构的价值所在，这也是内控或风险管理无法解决的问题，合规要解决的恰恰是企业存在的正当性与持续发展的正当性。

合规首先是一种价值，是更基础性的价值——正当性派生出来的，适用于企业等人为创设、法律拟制的机构——合规理念；然后是一套满足合规、合乎合规、达至合规的行为范式和行为规范/准则——合规制度；最后是合规的践行——合规行动/行为。制度由一系列宗旨、目标、原则、标准、规范、准则、流程、组织（包括架构、编制、岗位、职责等）、技术、装备等各种资源合乎目的、逻辑地组合、运转。

合规制度的框架结构可参考下图：

合规管理的组织体系包括组织原则、组织架构、编制与岗位三个层次。

合规制度的组织原则是合规责任制，即总经理全面负责制、业务/部门负责人对业务/部门合规负责、专项合规负责人对专项合规负责、经办人员对经办事务合规负责。

《中央企业合规管理指引（试行）》第四条第二项规定：“把加强合规管理作为企业主要负责人履行推进法治建设第一责任人职责的重要内容。建立全员合规责任制，明确管理人员和各岗位员工的合规责任并督促有效落实。”

合规管理的组织架构分为治理层——董事会、监事会，管理层——总经理、合规负责人、专项合规负责人、业务/部门负责人和执行层——经办人员三个层次。编制与岗位如下：

合规委员会：董事会下设专门委员会/管理层非常设机构

合规负责人：总法律顾问/法律总监/合规风控总监

合规管理牵头部门：合规部/法律合规部/合规审计部/风险合规部

包含合规职能的部门/岗位：质量监督部门、安全监督部门、知识产权部门、审计部门、监察部门。

合规制度文件是合规制度的书面化、文件化，但文件本身不是制度全部，就如同法律规定不完全是法律制度。合规制度文件是指合规制度中反复适用、作为制度运行依据的一类文件。

按适用范围或领域分类：一般性合规管理文件、专项合规管理文件。

按规范内容分类：组织、流程类合规管理文件、行为准则/指引类合规管理文件。

按文件与合规的关联度分类：专门合规管理文件、规章制度中包含的合规条款。

按制定机关分类：董事会制定/批准的合规管理文件、经理制定/批准的合规管理文件、合规负责人/合规牵头部门制定的合规管理文件、含有合规管理职能的部门制定的合规管理文件。

结合按适用范围和按规范内容两种分类方法，合规制度文件体系可分为三类文件：

（1）一般性/基础合规制度文件，该类文件一般以“XX公司合规管理规定/办法”命名；

（2）合规管理工作流程文件，比如合规风险管理文件、合规检查/审查文件、合规工作考核和评价文件等；

（3）专项合规管理文件，包括重点业务合规指引、专项合规指引等。

外法内规化是企业合规体系和合规制度建设的重要方法。《中央企业合规管理指引（试行）》第十七条规定：“建立健全合规管理制度，制定全员普遍遵守的合规行为规范，针对重点领域制定专项合规管理制度，并根据法律法规变化和监管动态，及时将外部有关合规要求转化为内部规章制度。”《关于加强中央企业内部控制体系建设与监督工作的实施意见》也规定：“全面梳理内控、风险和合规管理相关制度，及时将法律法规等外部监管要求转化为企业内部规章制度，持续完善企业内部管理制度体系。”按照上述规定，外法内规化是指将法律法规等外部合规义务、监管要求转化为企业内部规章制度。

与传统意义上防范合规风险的被动合规不同，外法内规化是企业的主动合规。外法内规化要避免两方面的误解：一是并不是所有的外法都要内规化；二是并不是企业所有的内部规章制度都是外法内规化的体现。

所谓内规不是简单重复或重述外法的规定，而是从行为准则、行为规范、操作流程上转化为企业及其员工自觉的行动指南、工作指引，相较于外法，内规更具体、更明确，通常是对外法的更严格适用，只有这样才能保证内规符合外法。

所以，企业制定内规、遵守内规的目的是合规，而不是控制、防范合规风险。

如上文所述，合规管理不是在企业经营管理活动之外再额外增加一套合规管理活动或合规动作，而是要“将风险管理和合规管理要求嵌入业务流程”“在具体业务制度的制定、审核和修订中嵌入统一的内控体系管控要求”，即是将合规行为准则（合规指引）嵌入到企业的业务流程和经营管理活动（过程）中去，在企业的经营管理行为和员工的职务行为上打上合规烙印（合规留痕）。按照《中央企业合规管理指引（试行）》的规定，就是要“制定全员普遍遵守的合规行为规范”（第十七条），具体包括重点领域、重点环节和海外投资经营行为（第十三条、十四条、十六条）。

合规行为准则/指引必须要和企业的经营活动和管理活动相结合，根据企业经营活动和管理活动的特点，合规行为准则/指引可分为重点业务合规指引和专项合规指引两类，前者为业务类合规指引，后者为管理类合规指引。业务类合规指引可根据企业的主营业务或经营范围来确定，比如房地产开发业务、国际贸易业务、工程承包业务、金融业务、投资并购业务等，着眼于业务模块、业务流程、业务操作的合规，目标是业务全面合规、业务全流程合规，在逻辑或方法论上适用归纳法。管理类合规指引分为一般管理类和专项管理类，一般管理类合规指引适用于所有企业，包括劳动用工、财税、知识产权等，在逻辑或方法论上适用归纳法；专项管理类合规指引通常与业务相关但不是必不可少的，从监管角度看一般也不属于行业监管，比如反洗钱、数据信息安全、环境保护、信息披露、反商业贿赂、反垄断、反不正当竞争、资产交易等，着眼于管理模块和业务模块、业务环节，在逻辑或方法论上适用演绎法。

从业务流程合规的角度，可根据业务流程的长度分为一级、二级、三级流程，在三级流程中归纳、寻找合规控制点即合规行为准则。从业务模块合规的角度，可根据业务模块的结构，进一步分为业务合规模块、业务合规二级模块，在业务合规二级模块中归纳、寻找合规义务点和合规行为准则。业务模块与业务流程的分类不是绝对的，业务类型单一、业务线较长的适用业务流程合规模式；业务类型多元化、业务线较短的适用业务模块合规模式；还有一类是业务类型多元化且各业务类型的业务线较长，这其中又分为业务线重合与业务线不重合两类，可根据具体情形将业务类型多元化的业务分解成不同的业务模块进而做业务模块合规的分析。

2021年4月10日，国家市场监督管理总局公布处罚决定书，责令阿里巴巴集团停止滥用市场支配地位行为，并处以其2019年中国境内销售额4557.12亿元4%的罚款，计182.28亿元；同时向该集团发出行政指导书，要求其全面整改，并连续3年向国家市场监督管理总局提交自查合规报告。2021年4月13日，国际标准化组织ISO发布ISO 37301:2021《合规管理体系 要求及使用指南》（Compliance management systems — Requirements with guidance for use，简称合规指南）。这两件具有标志意义的事件将进一步加深企业对合规的感受和理解，合规指南则为企业建立完善合规管理体系提供了非常好的参考和工具。

合规管理体系对于企业提高合规意识、提升合规管理水平、降低合规管理成本、系统性合规的重要性和必要性是专项合规或个案（个别项目）合规所不能比拟和替代的，可以避免企业在合规管理上陷入头痛医头、脚痛医脚、首尾不能相顾、顾此失彼的境地。

以上是笔者对合规一般性问题的初步探讨，也是笔者对合规体系相关基本问题的梳理，浅尝辄止，希望能引起同仁对合规体系以及合规一般性问题的关注与兴趣。