1.3 如何定位企業合規管理

企業在開展合規管理工作時，會不可避免地遇到以下問題。

1. 合規管理與風險管理是什么關系？

2. 合規管理與內部控制是什么關系？

3. 合規管理與法務管理是什么關系？

4. 合規管理體系與其他管理體系是什么關系？

針對上述問題，理論界和實務界的專家和同人們一直各持己見，爭論不休。risk-doctor認為：在談關系時，一定要明確前提和基準，離開前提和基準談關系是沒有意義的。這一點就像物理學中的速度，離開參照物談速度，那與盲人摸象沒什么區別。

下面risk-doctor將針對上述問題談談自己的觀點，供讀者朋友參考。

1.3.1 合規管理與其他方面的管理之間的關系

一、合規管理與風險管理之間的關系

中央企業從2006年開始啟動風險管理工作，以《中央企業全面風險管理指引》的發布為標志；合規管理工作則啟動于2015年，正式推廣于2018年，以《中央企業合規管理指引（試行）》為標志。在國內，與風險管理和合規管理相關的知名度較高的標準和指引如表1-5所示。在實踐中，國務院國資委的指引更具影響力。

關于二者之間的關系，risk-doctor的觀點如下。

1. 從不確定性角度來講，合規風險管理是全面風險管理的一個子集，但不能由此得出風險管理包含合規管理，因為合規風險管理不等于合規管理。

2. 從確定性角度來講，因為“規”是確定的、明確的，先有“規”，才能“合規”；而風險與目標相關，是關乎未來的、不確定的，目標因風險的存在而不一定能夠達成。所以從這個角度來看，二者是沒有直接關系的。如果說有一點關系，那就是“合”的過程因操作而產生的不確定性，即合規操作風險管理。

二、合規管理與內部控制之間的關系

現在談論的和采用的內部控制（簡稱“內控”）概念源于1992年美國科索委員會（COSO）發布的《內部控制——整合框架》，該框架于2013年被COSO修訂完善。我國企業的內部控制始于2002年美國《薩班斯法案》的發布（注：金融機構，尤其是商業銀行，則主要參考巴塞爾委員會的相關協議和規則），因為部分企業在美國上市。大部分企業是在2008年財政部等五部委聯合發布《企業內部控制基本規范》后才陸續著手進行內部控制建設的。中央企業則在2012年才正式啟動內控體系建設。

與內部控制相關的知名度較高的標準和規范如表1-6所示。

在我國，主要是國有企業和上市公司關注內部控制，它們大都是為了滿足監管要求才做的。國有企業是為了滿足國資委的監管要求，上市公司是為了滿足證監會和交易所的監管要求。按照監管要求，上市公司每年必須披露《內部控制評價報告》《內部控制審計報告》；國有企業則每年向國資委提交《企業內部控制工作報告》（2019年之后，該報告已整合為《企業全面風險管理報告》）。

我國的內部控制規范基于COSO的《內部控制——整合框架》，也把報告的真實性、完整性，以及對法律法規的遵循性作為內部控制的主要目標。所以，一部分專家就認為：內部控制包含合規。

而另一部分專家認為：合規除了“符合”內部的規章制度，還要遵從外部的法律法規，以及商業合同、社會責任、道德規范、宗教習俗等要求，所以合規包含內部控制。

risk-doctor的觀點如下。

1. 合規強調企業和員工的行為，關注自然人和法人；內部控制強調制度和流程，關注事和活動。

2. 內部控制以流程為載體，以制度為形式，強調的是企業為達成內部控制目標所采用的內部控制措施，內部控制的目的之一是合規。

3. 合規需要內控。對企業而言，合規通常通過內部控制實現。企業只有把規則變成制度和控制措施，并把它們融入業務活動過程之中，它們才能被執行。

4. 內部控制制度也必須合規，不合規的制度沒有法律效力。

三、合規管理與法務管理之間的關系

在企業里，傳統的法務工作通常包括法律訴訟和合同管理，對企業業務和企業內部管理較少涉及?，F在國務院國資委希望企業的總法律顧問牽頭合規管理工作，企業的法律部或法務部順理成章地成為合規管理的牽頭部門。這對法務人員來說是一個不小的挑戰。

企業合規除了涉及法律訴訟和合同管理外，還涉及很多工作，比如，比較成熟的勞動用工、反商業賄賂、知識產權保護等方面的管理，還有反不正當競爭、環境保護、產品質量、信息安全等級保護、個人信息保護等方面的管理。為了較好地完成這些工作，人力資源社會保障部于2021年3月發布了企業合規師這個新職業。企業合規師不僅要懂法務，還要懂風險管理、內部控制等專業知識，否則將無法有效地開展工作。關于企業合規師的能力及認證，詳見本書第12章。

1.3.2 企業各種管理體系及其之間的關系

企業建立合規管理體系，除了上面介紹的幾種關系外，還需要清楚合規管理體系與質量管理（ISO 9001：2015）、環境管理（ISO 14001：2015）、職業健康安全管理（ISO 45001：2018）等體系之間的關系。

其實，各種管理體系都只是企業管理的一部分，都是從不同角度去看待和描述企業管理；各種管理為了凸顯自己的重要性，把自己的職能擴大，于是出現了全面質量管理、全面風險管理、全面合規管理等概念。細想一下，企業做什么沒有風險？理論上，企業無論做什么都有風險（包括什么都不做），那能因此讓風險管理部負責管理企業的所有不確定性事項嗎？顯然不能。一名員工到底該不該晉升？一份銷售合同到底該不該簽訂？一個投資項目到底該不該立項、該不該投資？風險管理部能完全說了算嗎？合規管理部能完全說了算嗎？質量管理部能完全說了算嗎？顯然，都不能。但是如果沒有這些部門（或職能）的參與或建議，企業領導者的決策可能就會有遺憾或失誤。這就是各管理體系之間協同關系的一種具體表現。

對企業來說，業務永遠都是第一位的。做業務需要一系列的活動，需要顯性或隱性的流程。其中，顯性的流程指有明確清晰的流程圖（或制度要求）的流程，隱性的流程則指約定俗成的或者自己想當然的做事流程。上面所說的各種管理體系都是從不同角度為這些顯性或隱性的流程服務的。業務流程是各種管理體系的載體，離開業務流程（或業務活動）談管理是沒有意義的。

正因為各種管理體系都是企業管理的一部分，都以流程為載體，所以各種管理體系是可以整合的。在大數據、云計算等技術被廣泛使用的信息化和數字化時代，這種整合在技術上已沒有難度，難的是復合型人才太少。隨著AI等智能技術的發展，將來或許可以整合各領域專家的特長于企業綜合管理體系之中，打造真正的統一的企業標準管理體系（或者叫作企業綜合管理平臺）。

1.3.3 合規管理與企業發展之間的關系

發展業務、創造利潤是企業的根本使命。也就是說，發展是硬道理，發展具有不可替代的優先權。在實踐中，合規管理會對業務開展形成一定的制約，就像內部控制、風險管理、質量管理、環保管理工作一樣。但是，合規管理也好，其他管理也好，它們是為業務發展服務的，而不是為了制約發展。如果合規、內控嚴重制約業務的發展，那么其將失去生命力。

risk-doctor認為，合規、內控與業務發展之間是辯證的關系，業務發展需要管控，合規、內控為業務發展提供基本保障。企業在經營管理過程中堅持合規優先的原則，就是為了保證業務的合規性和可持續性。當合規管理目標與其他管理目標沖突時，合規優先。通過合規管理，保障和維護國有資本安全，保障企業運營安全和員工履職從業安全。