第一部分
合規管理基礎

第1章
合規管理基礎概述

1.1 合規管理工作中的基本內容

1.1.1 合規管理的定義與對象

ISO 37301:2021《合規管理體系 要求及使用指南》對于合規的定義是：合規就是履行組織的全部合規義務。

合規的含義很廣，從廣義上說，一家企業進行正常經營，各個方面都要符合“規范、規定”。是否各個方面都有可能觸及合規？從這個意義上來說，可能。但是如此廣泛的范圍給合規工作的界定帶來了很大的難度，合規工作很容易因分工不清造成與其他部門的工作重復或產生管理真空的現象。比如，財務工作，也是一種風險管控的工作，自然也涉及合規相關的財務規定，若合規界定不明，就分不清是該由合規部來負責把控財務的合規風險還是財務部自己進行管理。

從合規各個管控主題（如財務、市場、經營等）來界定合規的工作似乎頗有難度。

換個角度，從風險管理的角度給合規工作進行界限的劃定。

合規工作，即對違規風險發生的可能性和影響力的管理。換言之，合規工作是對可能發生違規風險的預警信號的管理。

預警信號是合規管理的重點對象。

一、預警信號

預警信號是產生違規后果的可能性前兆。預警信號可以根據以往總結的規律或專業性觀測得到。預警信號并不意味著違規風險一定發生，但是它的出現表示風險有較大的發生的可能性，或一旦發生會釀成較大的損失。在合規管理中，預警信號常用以下符號表示，如圖1-1所示。

預警信號的英文可以用Red Flag、Danger Sign等詞語表示。

在合規管理工作中，預警信號會出現在合規義務的各個范疇之中，如表1-1所示。

從經營管理的角度來說，預警信號常出現在業務流程的操作中。比如，在常見的禮品與招待的合規管控中，預警信號可能出現在對外贈送大額禮品時，在不恰當的地點進行宴請時，在合同洽談的敏感期進行往來時。這些預警信號的出現并不一定導致違規的后果，但是會增大違規后果發生的概率，這就是合規所要進行重點管理的部分。

二、影響力與可能性

影響力與可能性是對風險管理的兩個衡量指標，常見于風險管理之中。此處對其定義不做贅述。

影響力與可能性這兩個對合規風險程度的衡量指標直接將合規工作前置到了違規行為發生之前，突出了合規管理的預防性屬性。雖然預警信號可能出現在各個管理的模塊和流程之中，但是這并不意味著要對全部預警信號進行合規防控。這時，就需要用“影響力與可能性”在已知的全部預警信號中進行篩選，篩選出緊急且必要的預警信號進行管理。

同樣地，對預警信號的影響力與可能性的判定也可以說明合規管理如何與其他部門進行協同。比如，以財務風險為例，雖然發現了相關的預警信號，但是由于企業本身對財務管理已經非常成熟，那么預警信號造成違規后果的可能性很小，合規人員就不再需要對相關財務風險進行過多管控。但是如果企業內部對財務風險的管控弱，那么發生違規的可能性很高，一旦釀成損失對企業的影響重大，合規人員就需要對此進行介入。

我們可以利用九宮格的模型，對預警信號進行分類。將影響力作為橫軸，可能性作為縱軸，從這兩個維度對預警信號進行判定，之后在九宮格中標記出來就可以得到清晰的結果。對那些可能性和影響力均為“高”的預警信號，合規人員需要進行重點管控；對可能性和影響力均為“低”的預警信號，合規人員盡到日常的監督職責即可。較難處理的可能是處于中間位置的預警信號。其中，如果可能性和影響力有一項是“高”的，那么合規人員應當保持對該預警信號的密切關注和工作上的大力支持。如果預警信號處于“中間位置”，那么合規人員需要與責任部門進行協作，商討分工與職責，合并管理。比如，“投標中出現濫用他人資質”這一預警信號對企業的影響力大但是發生的可能性小，合規人員可以與投標部門商議如何對該預警信號進行管理及其管理深度，例如：是否需要在每次投標前增設合規人員對資質的審核；是否使用抽查的方式就足夠；是否補充對相應人員的培訓就可以。具體要配合企業內部的管理職責及制度流程設置來進行。圖1-2所示為預警信號判定九宮格模型。

由此看來，要對預警信號的影響力和可能性進行深入的理解和熟練運用，才能在合規管理中厘清思路與抓住重點。

練習

請區分以下描述是預警信號還是違規行為。[1]

（1）某員工被發現侵占企業資產20萬元。

（2）某員工宴請客戶，人均1000元。

（3）某員工在外部網站發布企業的機密信息。

（4）在行業協會上，市場經理與同行聊起企業今年的產品產量。

1.1.2 合規管理的目標

合規管理是一種通過體系化操作方式管控主體運行中違規風險的綜合管理方法。合規管理以最大限度平衡企業經營與違規風險為目標。合規管理的目標可以從三個層次進行拆解：①培育根基——培養道德與合規價值觀；②樹立主干——打造合規管理體系；③延伸枝杈——符合法律規范等具體條款。

一、培育根基——培養道德與合規價值觀

主體的道德與合規價值觀的樹立，是合規管理的基本目標。主體成員是否與高層的引導目標相一致，主體是否持續對價值觀進行完善與更新，等等，都是影響主體的道德與合規價值觀能否正向樹立的關鍵。沒有正確和堅定的文化土壤，合規管理極難展開。即使采取了一系列看似完善的管理措施，也根基不穩，極易出現問題。

二、樹立主干——打造合規管理體系

合規管理體系基于價值觀的土壤，是支撐主體合規管理的主干，是合規管理目標的第二個層次。

合規管理體系的搭建更專注于可操作性，從合規風險的評估、合規專業人員的選用、制度與流程的搭建、監督與審計的操作、案件舉報與處理等方面進行。依據主體的不同需求，對不同程度的風險點采取對應程度的管控。體系建設不宜過度或不足，即作為合規管理的樹干不宜過粗或過細。過粗，吸取根基養分過多，導致根基不穩，企業員工產生對價值觀的懷疑；過細，導致枝杈無法延伸生長，脫離實際，使合規管理變得虛無縹緲、紙上談兵。主體在進行合規管理體系的建設時，應以適用性為標準，找到恰當的建設方式。

三、延伸枝杈——符合法律規范等具體條款

在培育根基、樹立主干的基礎上，合規管理延伸出各個由專業法律規范內容構成的枝杈，對主體的合規義務進行保障。

依照企業管理的習慣，各枝杈可延伸出對“規”的細分，如國內管轄內容、國際管轄內容、行業規范、主體內部規范、合同履行、黨風黨紀等。按主體適用性勾畫出符合合規要求的輪廓，在輪廓內采取專業手段進行具體操作和指導。同樣，要在各枝杈中繼續延伸出不同內容和數量的葉片，可就單獨的法律法規，乃至個別條款的適用性對主體進行具體操作的調整和管理。圖1-3所示為合規管理體系示意圖。

根基、主干和枝杈完整勾勒出了合規管理的目標。只有明確了其中的層級關系，在管理中才能有的放矢，抓住核心。依照此目標進行合規建設的優勢為，即使在采用個別規范條款的管理中出現問題，只要根基和主干穩固，對主體來講就僅僅是枝葉的損失而非根基的動搖，只要稍加培育，個別枝杈仍會再次長出新芽；但倘若舍本逐末，過分追逐對枝杈中個別規范條款的管理而忽略根基和主干，一旦出現問題，根基不穩導致主體無法承受。故在合規管理的目標中，對于基礎——道德與合規價值觀的培養是重中之重，是根本。合規管理好比栽培樹木，強壯根基才能強壯樹干繼而枝繁葉茂。

1.1.3 合規管理工作的分類

合規管理工作如何分類是合規管理工作中的難點。

通常，可以根據合規管理的重點主題進行分類，如反賄賂、反腐敗、反壟斷、信息安全、商業伙伴、境外合規等。此種分類方式的好處是明確了企業當下的合規管理重點，便于企業有針對性地進行合規管理。

由于合規與管理密切連接的屬性，推薦采用“1+2”的合規管理工作分類方式，即一個合規管理框架加合規主題領域與經營管理領域的雙向分類方式，如圖1-4所示。這樣做的目的是在盡可能大的范圍內對合規管理的工作內容進行窮舉，不放過任何一個合規管理中的風險。

我們可以將合規管理看成“1+2”的結構，即一個框架+兩個縱深。

一個框架指的是合規管理的頂層架構及關于合規管理的方法，如合規義務識別、合規風險梳理、合規文化建設、合規制度建設、合規監督、合規舉報及合規報告等。

兩個縱深指的是合規主題領域的縱深與經營管理領域的縱深。其中合規主題領域的縱深是合規管理的核心，即使從經營管理領域的角度出發進行合規管理，其管控要點也是由合規主題構成的，如市場營銷中的反賄賂、反腐敗、信息安全等。當然，縱深中也可以分出區域、子公司、控股公司等領域，其也由合規主題與經營管理組成，本書不再單獨列示。

框架覆蓋兩個縱深，兩個縱深的建設依托于框架。

一、合規主題領域的分類（縱向分類）

合規主題領域聚焦于某一類合規風險，是依照不同的風險內容對合規工作進行的分類，其基本是對某一類違規行為的管控的體現，名稱也是對某一類主題描述的集合。

表1-2所示為合規主題領域的分類。

合規主題的運用方法是：當企業確定了對某一重點合規主題進行管控后，以該主題為出發點，排查企業在各個經營環節和操作環節中涉及該主題的風險點，從而進行以該合規主題為目標的管控。

二、經營管理領域的分類（橫向分類）

經營管理領域的分類遵循企業的通常分類標準，可按照企業已有的各業務部門來進行。表1-3所示為經營管理領域的分類。

既然企業的日常經營管理都離不開規定、規范，那么就從已有的管理操作中提取與規定、規范相關的流程和環節，匯總至合規管理工作處，進行統一管控。

合規主題領域的分類與經營管理領域的分類相互作用，相輔相成，勾勒出在合規管理框架下的本企業合規管理的完整范圍，二者缺一不可。

三、對合規管理工作分類的運用

將合規管理工作的分類用三維圖像來進行說明，以經營管理領域為橫軸，合規主題領域為縱軸，合規管理框架為豎軸，如圖1-5所示。圖中的每個點均有關聯，可互相聯系。

可以看到，無論從合規管理框架、合規主題領域還是經營管理領域中的哪一點，都可以發起相對于另外兩軸的合規管理工作。比如，某企業經過梳理，認為對市場交易的合規管理較弱，則可以以市場交易為起點，建設市場運營合規管理框架，同時將與市場交易有關的合規領域進行梳理，將市場交易的具體環節與流程嵌套至各合規管理領域，之后得到市場交易合規管理工作結構，如圖1-6所示。

又比如，某企業經過梳理，發現當前與反賄賂相關的合規管理較弱，存在著較大的風險，則可以以反賄賂為起點，對相關合規管理工作進行拆解。首先企業要構建反賄賂合規管理框架，其次將反賄賂管理的要求嵌套至各經營管理領域，之后得到反賄賂合規管理工作結構，如圖1-7所示。

在此三維分類中，合規管理框架是基礎、是指引，指導合規主題領域與經營管理領域的具體工作，同時也是方法論。方法論要作用在具體的工作主題中，合規主題便是承接方法論的載體，所以對合規主題的管控是合規管理工作的核心。通常，經營管理領域應當聚焦重點的合規主題進行管控。換言之，若企業在經營管理領域中已有成熟的管理模式，則合規人員的工作僅僅起到監督的作用；若經營管理領域中缺失相關合規工作的內容，則合規人員要積極主動地與管理人員進行共同管理，甚至要起到主要的管理作用。

企業運用此三維分類方式可以達到部門互相協同的作用，將合規工作獨立于企業的其他經營管理活動之外，更有針對性地進行合規管控。同時，企業運用此三維分類方式，使合規管理更貼合日常運營，保證合規與經營的相互協作。

練習

請區分以下領域是屬于合規主題領域、經營管理領域還是合規管理框架。[2]

（1）貿易管制。

（2）市場交易。

（3）合規制度與流程。

（4）信息管理。

1.1.4 合規管理工作的閉環

合規屬于風險管控的一部分，合規管理工作的方法同樣遵循風險管理的模式，即發現問題、解決問題。合規管理工作的閉環可以細分為三大模塊——預防、監控、應對，如圖1-8所示。

這三大模塊與PDCA管理方法是一致的，即計劃（Plan）、實施（Do）、檢查（Check）、行動（Action）。

我們以預防、監控、應對為管理閉環對合規管理的工作進行拆解，當風險點出現后，首先要對其采取預防措施，其次在商業活動中針對此風險點進行監察，最后一旦發現執行中的問題要及時糾錯，進行進一步的應對。預防、監控與應對三者無縫連接，形成有機的合規管理體系，保證企業在商業活動中對相應的風險無管控盲點。

一、預防階段

企業應在預防階段即違規風險發生前采取一系列防范措施。采取措施的目的在于及時發現預警信號，并提前防控。通常，預防的行為可以發生在業務決策前。常見的在預防階段所進行的合規管理框架類工作有：合規義務的識別、合規風險的梳理、合規制度和流程的制定、合規文化的建設和合規培訓等。進行此類工作的目的在于防患于未然。預防階段的合規管理工作是合規工作中十分重要的部分，合規人員應當多花精力和時間。若在預防階段做好防范工作，所達到的效果是不錯的，企業可以花最少的成本獲取最大的收益。

二、監控階段

預防階段之后是監控階段。監控行為發生在臨近決策和決策后。通常，在做出正確的決策前需要對支持決策的信息進行收集，同時分析其中相應的預警信號并做出處理。決策后，在執行階段，要對執行的過程進行監控，監控執行是否依照決策做出，以及若執行發生變化，則需要及時進行重新或額外決策。在監控階段，常見的合規工作有：合規舉報、合規監督、合規審查、合規調查等。

三、應對階段

最后一個階段是應對階段。在應對階段，應對前兩步（預防與監控）所遺漏的問題進行處理。常見的應對階段的合規工作有：合規問題處理、合規的持續改進等。

練習

1.以下工作分別屬于合規管理工作的哪個階段？[3]

（1）合規培訓。

（2）合規調查。

（3）合規問題處理。

（4）合規制度和流程的制定。

2.試著畫出你所管轄領域的合規工作地圖。

1.1.5 中國企業合規管理與國外企業的合規管理

中國企業的運營有別于國外企業，中國企業有自己的行為特點和管理模式，中國社會也有獨特的社會政策、經濟政策等。合規管理作為中國企業的新課題，需要扎根于中國本土進行實踐與應用。

一、使用本地語言進行管理

合規管理中有效性的一個判定指標就是：企業內部制度、文件是否以當地的語言呈現，合規的政策能否讓當地的員工讀得懂、看得明白。中國企業的合規管理切忌照搬國外企業的相關內容，如照搬國外企業的《商業行為守則》《管理制度》等文件；不可把外來文件直接翻譯成中文，不可直接照搬其他企業的合規文件，更不可從網上下載模板直接使用。中國企業應該形成以本國語言文字和文化背景為基礎的個性化文件和制度，保證員工能夠理解。

此外，合規管理應當由當地人員負責，即自己的人做自己的事情，保證文化背景、認知水平的統一。作為一個依托于人文社會科學的工種，合規管理極大地考驗了合規人員對企業、當地風土人情、國家文化等的理解和運用程度。此處的“合規管理應當由當地人員負責”既指境外企業在境內應當雇傭熟悉中國情況的人員進行合規管理，也指境內企業在境外應當雇傭熟悉當地情況的人員進行合規管理。

二、將合規與反腐倡廉進行有效區分

國外企業的合規管理工作內容近半數甚至超過半數都聚焦于反賄賂、反腐敗工作上，尤其是一些外資醫藥行業企業，其合規管理的工作以反賄賂、反腐敗為主。中國企業則不同，中國很多企業內部都設有紀檢、黨群、監察等部門，更有一系列黨內專屬的規制指導企業進行專門的反腐工作。

所以，一般中國企業的合規與廉潔工作是分別進行的。當提到中國企業的合規工作時，一般指的是以外法內規與商業道德和承諾為出發點進行的相關合規管理工作，而不一定包含反賄賂、反腐敗的內容。在中國企業，舉報的管理工作也多由紀檢等部門承擔，只是紀檢部門多聚焦于與貪污腐敗相關的舉報上。

合規與廉潔雖然管控的角度不同，但是工作中采用的方式方法均可相互借鑒。在一些高度重合的管控領域，如商業伙伴管理、高管責任管控等，可以綜合運用二者，使之互相配合形成完整的管控鏈條，增強防控。

三、與內控管理進行結合

中國的大型企業一般已經擁有比較完整的內部控制體系，而合規管理的具體管控方式需要借鑒內部控制的方式方法。要考慮企業內部控制的已有模型，參考相關流程鏈條，避免獨立進行合規管理流程設計，這樣可以給企業減少額外的管理成本。對于合規管理流程設計的工作應當做加法，即在企業已有的、已運營的內部控制流程中直接增設合規管控的模塊，既方便又省時省力。

例如，企業內部已經有了對于供應商的審核流程，此時就不要再另設一個供應商合規審核流程的分支了，而是應當對已有的內控流程查漏補缺，增加合規控制的模塊，以及增加合規審核的責任人。

1.1.6 境內合規管理與境外合規管理

中國企業在境內和境外開展業務有較大的不同，合規管理工作在進行相關設定時也有較大的差異。

在境內業務的合規管理工作中，企業應當密切關注境內的執法趨勢、行業案例及自身的管理薄弱環節，與企業本身的情況相結合，進行有針對性的合規管理工作。境內的合規政策發展速度快，近幾年多次頒布相關指導和指引文件，隨著合規不起訴政策的出臺，企業更需要及時學習外部政策，了解合規管理的大方向，制定出更有針對性的合規管理方針。除國資委頒布的《中央企業合規管理辦法》外，各省市也頒布了合規管理指引。表1-4所示為相關合規管理指引文件。

境外業務與境內業務在合規管理上差異較大，國外的合規管理有地域性的特點，這給中國企業帶來了較大的管理難度。

一、他國因素

當前，制裁是一種常見的國家或地區間相互制衡的手段。企業進行境外業務時，不得不將他國對企業的制裁行為考慮在內，以免因不知情或管控不到位而發生相應的違規風險。

以美國為例，美國以其“長臂管轄”策略對全球許多經濟活動進行觸及，利用其“最小聯系原則”盡可能對所有觸及美國的元素進行管控，即美國合作方、美國金融支付體系等。企業在境外進行業務活動時，要對其管控方式有所了解，并且進行相應的規劃。譬如，在業務流程中梳理與“美國”有關的元素，一旦發現連接點，可將其視為預警信號，對其進行管控甚至消除。

除美國外，歐洲相關國家及全球范圍內的其他國家也有類似的制裁措施。若有企業在進行境外業務時對相關國家有較強的業務依賴性，則要加強對此類合規風險的管理工作。

二、地域因素

企業進行境外業務時，要對當地的風俗文化、法律環境等進行深入了解與分析。由于各地區的情況差異巨大，由此可能產生具有地區特色的預警信號，該預警信號可能與當地政治環境、人文地理息息相關。所以企業進行境外業務時，除了考慮一些通行的因素外，勢必要有定制化的、符合當地特色的合規義務產生。

練習

請判斷以下合規義務屬于境內合規義務還是境外合規義務。[4]

（1）上海市出臺了《上海市國資委監管企業合規管理指引（試行）》文件。

（2）國家對互聯網行業的反壟斷行為進行管控。

（3）馬來西亞當地的文化風俗。

（4）美國的出口管制與經濟制裁。