-------（中豪律师集团四川事务所副主任律师/高级合伙人）
                                   孔建会
 
    合规管理、业务管理与财务管理并称企业管理的三大支柱，是企业稳健经营和基业常青的重要保障。随着企业的发展，经营活动日益综合化和国际化，业务和产品越来越复杂，在威权政治和权力市场经济特殊的环境下，合规风险将对企业的生存发展产生严重威胁。近年来备受关注的国美集团原董事局主席黄光裕涉罪案和山西煤焦富豪张新明即为典型代表。2010年5月18日，黄光裕被北京市第二中级法院以非法经营罪，内幕交易、泄露内幕信息罪和单位行贿罪，三罪并罚，一审判处有期徒刑14年，罚金6亿元，没收财产2亿元;黄光裕妻子、原中关村监事杜鹃获刑3年半，罚金2亿元;中关村原董事长许钟民获刑3年，罚金1亿元。8月30日北京市高级人民法院二审宣判黄光裕三罪并罚被判十四年以及罚没人民币8亿元的一审判决维持不变。无论是对黄光裕、他的家庭以及国美集团，还是对整个中国民营经济界，甚至对无数曾以黄光裕为榜样的奋斗中的青年群体而言，这都是一个非常遗憾的事情。企业家必须把握住法律底线，企业经营活动须依法进行，不能逾越法律轨道。作为有着丰富社会经验的首富，黄光裕无视这些常识和风险铤而走险，说明法律和规则在他心目中曾多么淡漠。山西首富张新明因涉嫌洗钱和骗取出入境证件在逃，出逃前变卖资产，疑涉官场黑幕，被河南省公安厅“悬赏500元”通缉。近期涉及多个违规企业案件频频曝光，尽管这些案件各不相同，但其内在都有一个共同点：违规和违法操作，忽视合规风险。违规的事件不断暴露表明，合规风险正成为当前企业的主要风险之一，企业面临着巨大的合规风险的挑战。现实生活中，一些企业的管理者、合伙人对合规风险的认识不足，存在重业务拓展、轻合规管理的做法，往往把目光局限于完成考核任务和经营目标、注重市场营销和拓展，忽视业务的合规性管理，有些机构甚至不惜冒着违规操作的风险以实现短期业绩，加大了企业合规经营风险。
    合规风险，是指企业因没有遵循适用于行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。企业的合规管理就是对企业合规风险的管理。合规管理不仅是防范信誉风险的手段，也是实现企业行业战略发展规划的重要前提。健全良好的合规管理可以增强企业的竞争能力，提高企业的业务效益。鉴于合规管理涉及企业的生存和发展，合规管理对立志于建设成为一个全国乃至全球受人尊敬的企业而言具有重要的现实和理论意义，本文拟就此问题作一探讨。
    1．“合规”、“合规风险”和“合规管理”概念
    所谓合规，英文即compliance(原意是遵守、服从)。在国际金融保险领域中，compliance逐渐发展有专门的特殊含义。“规”即合规的渊源。巴塞尔银行监管委员会的《合规与银行内部合规部门》中列举合规的渊源包括：“立法机构和监管机构发布的基本的法律、规则和准则”，“市场惯例”，“行业协会制定的行业规则”，以及适用于金融企业职员的“内部行为准则”等。因此，“合规”中的“规”不仅是指来自企业外部的具有法律约束力的文件，还包括更广义的诚实守信和道德行为的准则，它们可能是来自企业外部，也可能是由企业自身制定的。“合规”中的“合”包括两个方面内容，“合”首先要求企业内部的管理制度、业务规则必须符合外部的法律法规、监管规定和行业准则；其次，“合”则要求企业内部的管理制度、业务规则都得到实际的执行。“合规”，是指企业及其员工遵守法律法规、监管规定、行业自律准则，以及企业自己制定的内部规范的总称。
    合规风险是指企业因未能遵循法律、监管规定、规则、自律性组织制定的有关准则，以及适用于企业自身业务活动的行为准则，而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。法律风险是指企业因不遵守法律规定、监管规则或者因和交易方产生合同纠纷，而导致财务损失、被处罚或者产生诉讼纠纷的风险。合规风险与法律风险不同显而易见。合规风险中有些部分无法归入法律风险的范畴，如因不遵守诚实守信和道德行为的准则(包括自律组织制定的某些准则，企业内部制定的管理制度、业务规则等)而遭受声誉甚至财务损失的风险只能称为合规风险，而不是法律风险。因合同不能执行或合同纠纷而导致损失的风险称为法律风险，而不是合规风险。
    合规管理或合规风险管理是指企业主动识别合规风险，主动避免违规事件的发生，主动采取各项纠正措施以及适当的惩戒措施，持续修订相关制度流程和详尽描述具体做法的岗位手册，以有效管理合规风险，确保企业合规稳健运行的一个周而复始的循环过程。企业合规管理是指企业通过制定合规政策，按照外部法规的要求统一制定并持续修改内部规范，监督内部规范的执行，以实现增强内部控制，对违规行为进行早期预警，防范、化解、控制合规风险的一整套管理活动和机制。合规管理的目的就是通过建立一套机制，使公司能够有效识别、评估、监测合规风险，主动避免违法违规行为发生，从而免受法律制裁或财务、声誉等方面的损失，防范操作风险。吕立山律师认为合规管理的重点在于企业应如何开展经营活动，其首要内容包括公司治理、行业监管方面的其他合规事务、法律风险防范、其他内部道德规范和规章制度(包括行为守则)。合规管理的对内任务是从整体上改善内部管理控制，进而提高企业的竞争力。对外任务(也是其首要任务)是保证企业妥善履行其对外部利害关系人所承担的责任，如信息披露、保护公共利益、公平竞争、保护股东利益、不侵犯第三方权益等。合规管理能够改善企业形象、保护企业免于发生重大风险事件。合规管理是企业管理工作中的下一个主要发展趋势。因此，世界上管理卓越的企业均构建了标准化的合规管理体制。
    合规管理实际是内控的一个重要方面，同时也是风险管理的一个关键环节。合规管理作为一项独特的风险管理技术，始于欧美一些大型跨国金融集团。自20世纪90年代以来，基于对一系列重大操作风险事件的深刻反省，这些公司认识到合规管理的特殊性、专业性和重要性，纷纷整合内部资源，创新管理方式，逐渐形成了一整套专门的合规管理机制。与此同时，许多国家和国际组织也出台了一系列有关合规管理的指引或规定。如英国要求金融企业设立合规官。目前，合规管理作为一项独立的风险管理活动，已得到金融业普遍认同，合规管理的组织结构和报告路线不断完善，合规人员也日益发展成为一个专业化的职业阶层。
    2．政府行政主管部门和企业行业协会或工商业联合会或商会和企业应高度重视企业合规风险管理机制建设，及时制定《企业合规管理指引》，指引和规范企业合规管理。
随着各行各业对合规重要性的认识逐步到位，合规作为一门独特的风险管理技术，已得到全球银行、保险等行业的普遍认同，合规风险已与其他风险一道被纳入到企业风险管理框架之中。借鉴国内外金融行业尤其是银行业合规管理有效的做法，政府监管机构纷纷致力于促进银行建立一个有效的合规风险管理体系，并大力倡导建立良好的合规文化，以提高合规的有效性，并对本行业合规作出规定。巴塞尔银行监管委员会《合规与银行内部合规部门》高级文件的制定在世界范围内产生了巨大影响。企业协会和政府主管部门作为企业的自治组织和政府监管主管部门应高度重视企业合规风险管理机制建设，政府监管主管部门、行业协会和企业应及时制定《企业合规管理指引》，指引和规范企业合规管理，为中国企业构建全新的合规管理体系、组建合规部门提供法律法规或政策依据，必将大大促进企业合规管理体系的建设。2006年10月25日，中国银监会发布《商业银行合规风险管理指引》，要求商业银行建立与其经营范围、组织结构和业务规模相适应的合规风险管理体系，并建立合规绩效考核制度、合规问责制度和诚信举报制度等三项基本制度。《指引》指出，合规是商业银行所有员工的共同责任，并应从商业银行高层做起。《指引》要求商业银行加强合规文化建设，董事会和高级管理层应确定合规的基调，确立全员主动合规、合规创造价值等合规理念，在全行推行诚信与正直的职业操守和价值观念，提高全体员工的合规意识，促进商业银行自身合规与外部监管的有效互动。《指引》还规定了商业银行董事会、监事会、高级管理层的合规管理职责。之后，中国保险监督管理委员会于2007年9月7日制定了《保险公司合规管理指引》，中国证券监督管理委员会于2008年7月14日发布《证券公司合规管理试行规定》，2008年6月28日,财政部、证监会、银监会、保监会及审计署等五部委会联合发布《企业内部控制基本规范》（下称《规范》），并定于明年7月1日起首先在上市公司范围内强制施行，同时鼓励非上市其他大中型企业执行。《规范》的发布，标志着我国企业内部控制规范体系建设取得重大突破。全国人民代表大会常务委员会第二十八次会议于2007年6月29日通过自2008年1月1日起施行《中华人民共和国劳动合同法》也有加强企业合规管理的意图。
    3、合规管理能够改善企业形象、保护企业免于发生重大风险事件。加强法律风险管理将会使企业获得竞争优势。合规管理很可能为企业管理工作中的下一个主要趋势。
无论三聚氰胺压垮了的三鹿集团破产案件，还是蒙牛、伊利陷诽谤门事件，无论是360与腾讯“火拼”涉嫌不正当竞争案映射出互联网安全市场竞争乱象丛生，还是西门子、朗讯、雅芳、家乐福、麦当劳等闹的沸沸扬扬的“贿赂门”事件，给很多的企业敲响了警钟。企业作为合规管理的最直接主体，更应当重视建立有效地合规管理制度，并践诺合规风险管理法律法规和管理制度。杰克▪韦尔奇曾经说过，“GE业务我并不担心，我担心的是有人做了法律上愚蠢的事给公司声誉带来污点，甚至使公司毁于一旦，”“企业的法律风险是一种商业风险，商业管理人员有责任像管理企业商业经营的其他风险一样管理法律风险”。合规管理要求企业应根据法律规定去经营所有的业务，世界上管理卓越的企业均构建标准化的合规管理体制。合规管理体制将使企业受益无穷，合规管理能够改善企业形象、保护企业免于发生重大风险事件。加强合规风险管理将会使企业获得竞争优势。建立有效地合规管理制度，并践诺合规风险管理法律法规和管理制度。对一个追求成功的企业来讲，建立健全有效的风险控制体系，事前防范、事中控制和事后补救三个方面，一个也不能少。对企业管理者来说，无论从经济效益还是从成本角度考虑，企业风险控制，事后补救不如事中控制，事中控制不如事前预防。外聘律师、法律顾问和内部法务资源科学配置，可以有效预测和评估企业所面对的合规风险。企业是自己利益的最大判断者，合规管理带来效用不言而喻。西门子公司从前述贿赂事件中吸取经验和教训，从防范（包括内控政策制定和流程管理）、监察（包括对一些案件的跟踪调查）以及应对（惩罚）三方面，立志重建的新的合规管理体系和制度，广西柳工机械股份有限公司于2008年1月4日制定发布《柳工(000528)合规风险管理办法》的合规管理的进步显而易见，无不值得我们很多企业学习和借鉴。
    4．企业合规机构设置和合规队伍的建立
政府主管部门和企业协会以及企业应根据本地区规模、经营的复杂化程度、业务性质及其区域分布的不同，制定企业的合规管理指引或规范制度，设立不同组织结构的合规风险管理部门和人员。为确保合规部门有效履行职责，应配备高素质的专业合规人员。企业的合规人员要具有与其职责履行相匹配的资质、经验、专业素质和个人素质。适当的专业素质包括能全面、正确地理解法律、规则和标准及其对企业经营运作的实际影响；通过定期、系统的教育和培训，能保持并发展其专业技能，具有对所适用法律、规则和标准最新发展的实时把握能力。适当的个人品质主要包括诚实正直的品格、思考质疑的能力、职业判断的中立性和独立性、良好的沟通能力、较强的判断力和灵活性等，尤其需要具有对合规问题涉及的相关人员直言不讳的勇气和能力。
    4．1合规机构设置和模式选择
除了政府主管部门和企业协会或商会设立专门的机构和/或人员专门负责企业的合规风险管理外，笔者建议企业应考虑设立合规管理委员会，重视指导、规范和管理本行业的合规风险管理问题。国内外金融机构和其他企业的合规机构设置主要存在两种组织结构：一种是集中化的组织结构，即所有负责合规工作的职员都放在一个独立的合规部门体系之中；另一种则是分散化的组织结构，即负责合规工作的职员分布在不同业务部门或业务条线，但一些国际性活跃机构一般还会设有集团合规部和首席合规官，以及区域或当地合规部和合规官。国际上，金融企业通常在总部设置独立的合规部门，在分支机构设置当地的合规部和合规官。总部合规部门直接向高级管理层(总裁或董事会主席)报告，并拥有直接向董事会或其下设委员会报告的权限；各分支机构的合规部门则存在矩阵式和条线式两种报告路线，前者在向上一级合规主管报告的同时，还要向合规部门所在分支机构行政主管报告，后者只向上一级合规部门主管报告。
借鉴国内外金融机构的合规管理做法，全国性的规模比较大的企业成立独立的法律及合规风险管理部，根据需要可以增加合规管理职能，并设首席合规官；规模小的或区域性的企业可以设立专门的合规风险管理人员或将合规和法律部门与其他部门人员合二为一。规模较小的企业可以设立兼职专门的合规风险管理人员。在企业股东、负责人、首席合规官的领导下，在职权范围内进行的规章制度建设、合规监督检查、合规培训、咨询、调研、宣传等工作。2006年4月15日中国建设银行设立了“首席风险官”，这显示中国企业的法律风险管理意识正在加强，特别是金融业领先于国内其他行业。
    4．2 合规部门应保持独立性。
无论合规部门的组织结构如何，保持其独立性是最重要的原则。对独立性，包含四个相关要素：第一，合规部门应在企业内部享有正式地位。第二，应由一名合规官或合规负责人全面负责协调企业的合规风险管理。第三，在合规部门职员特别是合规负责人的职位安排上，应避免他们的合规职责与其所承担的任何其他职责之间产生可能的利益冲突。第四，合规部门职员为履行职责，应能够获取必需的信息并能接触到相关人员。”
    因此，在设置合规部门时，为确保其独立性，应当考虑建立相关的配套机制：一是合规部门要尽量独立于业务和财务部门，进行独立预算管理，预算管理应与合规部门的工作目标保持一致，而非取决于业务部门或业务的盈利状况。二是建立科学的激励考核机制，即一方面合规部门要接受上级部门和机构的监督评估，以确保合规职能的有效发挥；另一方面，对各业务部门或业务管理人员的绩效考核，应主动咨询合规负责人对其合规风险管理能力的评价意见。
    4．3 合规队伍的建立
    合规队伍的建设涉及到的股东大会、董事会、职能部门和具体合规人员各个层面。
    4．3．1 股东会
    股东会的合规职责，包括审批合规政策并确保其制定适当，监督合规政策的实施，在企业推行诚信与正直的价值观念等。并对企业遵守法律法规、监管规定和内部管理制度的情况定期进行检查评估并负最终责任。因此，处于企业最高层的股东大会应充分认识到合规风险管理的重要性，责成高级管理层拟定合规管理的战略方案、合规政策，并由董事会通过执行；同时了解合规部门的功能及其效力范围，并监督和评价高级管理层的合规风险管理状况。当然，股东会会议可以设置专门的合规机构等来承担上述职责。
    4．3．2 董事会高级管理层层面
    每家企业应该有一位执行官或高级职员全面负责协调合规风险的识别和管理，以及监督其他合规部门职员的工作，该执行官或高级职员被称为“合规负责人”。合规负责人既向管理层负责，也向股东大会负责，并向企业行业协会及时报告企业的重大违规行为。因此，合规负责人更应设置在高级管理层层面，如规模较大的全国性企业股东大会或董事会，而非部门负责人层面，否则将可能难以很好地履行职责。对高级管理层如董事会而言，应做好以下工作：制定和传达合规政策(包含管理层和员工应遵守的基本原则)，说明整个企业上下用以识别和管理合规风险的主要程序；确保合规政策得以遵守，发现违规问题时，采取适当的补救方法或惩戒措施；每年至少一次识别和评估企业所面临的主要合规风险，并制定管理这些合规风险问题的计划；就合规风险管理，特别是重大违规情况向股东大会报告；组建一个常设的、有效的内部合规部门。
    4．3．3 合规部门层面
    合规部门是合规工作的职能部门，是合规管理体系的重要组成部分。科学地组建适合企业需要的合规部门是做好合规工作的前提和组织保障。
    5、合规管理的指导原则
借鉴巴塞尔银行监管委员会和世界各国金融国家监管机构和银行规范合规风险管理的指导性文件有关合规的指导原则，笔者认为企业合规管理的原则也应包括以下几个方面内容：
    5.1合规应从高层做起，并成为企业文化的一部分。当企业文化强调诚信与正直的道德行为准则，并由合伙人会议和高级管理层如董事会作出表率时，合规才最为有效。
    5.2合规并不只是专业合规人员的责任，合规是企业内部一项核心的风险管理活动，与企业内部的每一位员工都相关，合规应被视为企业经营活动组成部分。
    5.3合规法律、规则和准则有多种渊源，包括立法机构和监管机构发布的基本的法律、规则和准则，市场惯例，行业协会制定的行业规则和适用于企业职员的内部行为准则，以及更广义的诚实守信和道德行为准则等。
    5.4企业在开展业务时应坚持高标准，并始终追求遵循法律的规定与精神。如果疏于考虑企业的经营行为对其合伙人、客户、雇员和市场的影响，即使没有违反任何法律，也可能导致严重的负面影响和声誉损失。
    5.5企业应明确股东大会和高级管理层如董事会、主任、部门主任在合规方面的特定职责，以及合规部门的地位、职责和工作程序，确保合规部门的独立性，并给予其足够的资源支持，合规部门工作应受到内部审计部门定期和独立复查。
    6、培养企业的合规文化
    企业的文化是企业的灵魂、支柱，是把所有员工联系到一起的精神纽带，是企业生存、发展的内在动力，也是企业行为规范制度的基础。合规的价值观应当成为现代企业文化核心价值的组成部分，合规风险管理是企业文化建设的重要举措。笔者认为，恪守合规管理价值观，是企业可持续发展、基业常青和受人尊敬的一大基石。利润是衡量企业实力和对社会贡献的唯一最好尺度，但是企业必须能够跳出利润范围思考企业合规管理发展问题。
    如果企业上下都严格遵守高标准的道德行为准则，那么该企业的合规风险的管理是最为有效的。合伙人会议和高级管理层应采取一系列措施，推进企业的合规文化建设，促使所有员工（包括高层管理人员）在开展业务时都能遵守法律、规则和标准。在组建内部的合规部门时，应遵循合规管理原则，建设蓬勃向上富有活力的合规文化，从而促进形成高效的企业治理环境。
企业作为专门为客户提供产品或服务的特殊机构，其风险管理特性决定了其经营活动始终与风险为伴，其经营过程就是管理风险的过程。这就要求企业应建立一整套有效管理各类风险的职业行为规范；而且在内部，要形成浓厚的合规文化，做到人人合规。所有员工都要有足够的职业谨慎、具有诚信正直的个人品行以及良好的风险意识和行为规范；内部要具有清晰的责任制和问责制，以及相应的激励约束机制，形成所有员工理所当然要为他从事的职业和所在岗位的工作负责任的氛围，进而逐步形成全新的行业经营管理的合规文化。这种合规文化的形成，对于有效管理包括合规风险在内的各类风险至关重要。
    首先，强调“合规从高层做起”。“合规从高层做起”是有效的合规管理体制得以建立的基础。企业合伙人和管理高层应当在整个企业中做出表率，设定鼓励合规的基调。“当企业文化强调诚信与正直的准则并由股东大会和高级管理层做出表率时，合规才最为有效。”而且，“来自高层的支持必须持续不断、毫不动摇，并将其纳入核心管理目标之中。
其次，强调“合规并不只是专业人员的责任”。企业应“努力培育主动合规以及良好互动的合规意识，业务人员应欣然接受全面的合规培训，主动寻求合规部门或合规员的建议；业务管理者应准确识别关键合规问题，及时向合规部门或合规工作人员咨询，频繁、主动地进行动态合规回顾；合规部门或合规工作人员则应积极主动地识别、评估和监测潜在的合规问题或合规风险，给出合规建议后主动向上级反映，并跟踪其发展。”
第三，强化“合规创造价值”的理念。合规管理的唯一使命就是保护企业的利益。合规管理创造价值，顾名思义即通过合规管理，减少企业因违法违规而受到法律制裁或监管处罚的可能性，相应避免或控制企业财产或声誉受损的不利后果，因此为企业创造了价值。换言之，因为控制了合规风险，所以创造价值。
     合规风险管理本身虽然并不能直接为企业增加利润，但是系列的合规活动能够为企业争取到有利于未来发展和业务创新的外部政策环境；形成一整套具有较强执行力的、程序化的内部制度。通过内部制度的持续修订，将日积月累的各种良好做法沉淀下来，并清晰地界定实际工作中的尽职、问责和免责标准，将大大降低企业成本并增强企业风险控制能力，提高资本回报，最终为企业创造价值。
第四，提前预防和提示合规风险。对监管机构下发的每一个规章制度，都要同步分析整理和归纳，提出相应的法律合规要点，及时提醒各职能部门。在合同管理方面，完善从合同项目立项、草拟、审查、印章管理、履行到档案管理等各环节的管理流程，推出示范合同范本，做到对法律合规风险的提前防范。
第五，保持激励约束机制与企业倡导的合规文化和价值观的一致性，严格责任追究制度。企业应“切实有效地落实问责制，确保奖惩分明、违规必究”。“不仅要奖励好的道德行为和良好合规做法，更要惩罚不道德的行为和违规行为”，要将“资源用于良好的控制系统、优良的客户服务和尽职员工的激励上，而不只是单纯的业绩激励”。企业“要纠正‘重经营业绩、轻内控管理’的绩效考核理念”，“平衡业务拓展与风险管理的关系，重视对‘优秀员工’的行为约束”。企业“要破除‘以信任代替管理、以习惯代替制度、以情面代替纪律’等不良文化的桎梏，明确‘零容忍’理念，以扭转长期职责不清、责任落实难的状况，强化政策和程序等规章制度的执行力”。