企業合規管理體系建設的基本要素分析

孫甲夫

吉林攸同律師事務所，吉林 長春 130033

目前為止，國內合規管理體系相關規定主要有《合規管理體系指南（GB/T 35770：2017）》《中央企業合規管理指引（試行）》《企業境外經營合規管理指引》《中央企業合規管理辦法》等，國際上廣泛應用的是國際標準化組織（ISO）2021年發布的ISO37301：2021《合規管理體系要求及使用指南》。上述各體系中對企業在合規制度建設中提出了基本一致但內容略有不同的標準，企業無論按照哪種體系建設合規，基本上都是從三個基本方面設計的：一是合規體系具有預防企業違規、違法行為發生的功能，二是合規體系具有監督企業實施合規計劃過程中是否存在違規、違法行為的作用，三是當企業發生了違規、違法行為時應當具備相應的應對措施。據此，企業合規管理體系能否發揮防范、監控和應對違規行為的作用，關鍵在于體系包含的基本要素內容是否完善、全面和具體。前述幾種合規體系分別規定了企業合規體系建設基本要素，各體系對要素的規定既有共同之處，也有不同之處，但總體來講企業合規管理體系建設基本要素主要包含以下內容：

一、企業合規體系建設方針

企業合規方針是企業合規管理體系的首要構成要素。［1］企業合規方針涵蓋了企業合規體系建設的發展方向以及長期規劃和遠景目標。企業建設發展的目的通常要做大做強，而實現這個目的必須要遵循依法經營的理念，以法治思維管理企業，運營企業，以依法治企的思想使企業走上合法化、規范化的道路，促進企業可持續發展，確保企業合法權益的實現。企業合規方針應當包括合規宗旨和合規目標。

企業合規宗旨是關于企業合法、安全、穩定運營的目的的闡述。企業合規宗旨明確回答“什么是企業合規”這個問題，體現了企業建設合規管理體系的任務。企業合規宗旨包含了合規目的、合規原則及合規行為基本準則等內容。企業合規宗旨的作用在于統一企業全體員工的合規意識，固化員工依法依規行事的理念，不斷加強法律意識，避免違法行為發生。

企業合規目標是指通過合規管理體系建設所要實現的合規目的。企業在經營過程中最大的風險就是法律責任風險。法律責任有三種，一是民事責任，主要是民事賠償；二是行政責任，主要是行政處罰（罰款）；三是刑事責任，主要是追究企業主要責任人的刑事犯罪責任和企業罰金。其中最嚴重的就是刑事責任。合規要為企業發展保駕護航，創造價值，避免因為違法違規行為而使企業或領導人遭受損害。由此可以看出，企業合規目標的最終目的無疑是避免企業和領導人承擔任何法律責任，防止利益受損。

二、企業合規體系組織架構

第一，企業應當建立適應合規要求的公司治理框架，即明確股東會、董事會、監事會的權責關系及其他們在合規管理中的權力和職責；第二，企業應當建立有效的合規風險管理組織架構，明確合規部門和相關部門的職責和人員組成；第三，企業合規建設需要全體員工共同參與。［2］

合規組織的主要職能包括：第一，起草合規制度和計劃；第二，督促、協調、落實合規計劃和要求；第三，調查違規違法問題，提出處理意見；第四，識別各類合規風險；第五，組織合規責任考核；第六，執行整改工作。［3］

三、企業合規體系管理制度建設

制度是組織存在的基礎，具有根本性、全局性、穩定性和長期性等特征。企業合規體系建設從形式上看也是制度建設的體現。合規是指企業及其員工的經營管理行為符合法律法規、監管規定、行業準則和企業章程、規章制度，以及國際條約、規則等要求。［4］完善的“合規”體系是由一系列的國內、國外的法律法規、條約規則及行業準則和企業內部各項規章制度構成的，是不可分割的有機整體，是企業行為合法合規的保障，是企業行使權利、履行義務、承擔責任的依據。

廣義的合規管理制度通常包括合規組織、合規風險管理、業務流程合規、合規審查、合規評估、合規審計、合規考核與評價、合規宣傳與培訓、合規違規問責、合規計劃與合規報告、合規文化制度等。狹義的合規管理制度即為合規體系運行的具體制度。制度的原理是一種約束機制，制度不是約束人的，而是對人的行為的一種約束，它既保護合法行為又懲處違法行為。企業合規首要任務就是把各項規章制度按照合規體系要求建立起來，使全體成員在制度下行使相應的權利，履行相應的義務，承擔相應的責任。

制度建設的重點就在于制度制定。企業合規管理的前提條件就是建立一整套完善有用的合規體系，而體系的建立又是以相關規章制度的建立為基礎的。［5］制度具有強制力和約束力，在制度面前人人平等。企業合規管理制度建設的成敗，關系到企業行為合法與違法的走向。因此企業合規體系建設的第一步就是制定完善的合規管理制度。只有建立健全合規規章制度，才能實現企業與員工的權利、義務、責任相統一。如果沒有完善、全面、具體的合規制度，實踐中就會存在著不同程度的權利與責任不平衡的問題。

四、企業合規體系組織環境分析

組織應確定內部和外部問題，如與合規風險相關、與組織目標相關和影響組織實現合規管理體系預期成果能力的問題。在這種情況下，組織應考慮更大范圍的內部和外部因素，包括監管、社會、文化、環境、經濟形勢、內部方針、程序、過程和資源等因素。［6］

市場不是一成不變的，其中往往潛藏著巨大風險，主要是外部環境的不確定性導致的，它包括國際政治、經濟、文化等戰略的改變，國家法律法規規章等的制定、變更，政府對相關政策的變動，市場消費需求的變化，獲取信息渠道不同或信息不對稱，同行業的規則制約等等。因此在制定企業合規計劃時，除了要考慮企業內部因素外，更要考慮企業外部因素。

五、企業合規體系領導作用

企業最高領導者和治理機構應該在合規方面起帶頭和表率作用，要通過言行證明其對合規管理體系的領導作用和承諾。［7］

領導的作用主要體現在管理層的承諾方面。管理層是指企業的高級管理人員。根據《中華人民共和國公司法》（以下簡稱《公司法》）規定，高級管理人員包括股東、董事、監事、管理者等。管理層是企業的治理機構和企業的最高管理者。從管理角度看，企業管理實行傳統的“上行下效”模式，即一種制度政策往往是自上而下地施行，其中上級率先垂范是規章制度能否得到良好執行的關鍵所在。同理，在企業合規體系建設中，合規目的能否實現也與領導作用息息相關，而領導作用則體現在領導承諾。在前述ISO37301∶2021《合規管理體系要求及使用指南》和《合規管理體系指南》中，就明確了領導作用的重點就是領導承諾。領導承諾重點內容包括在合規組織中的角色、地位、職責和權限，其實質是體現了合規不是某個人或者某幾個人的事情，也不是某個部門或者某個機構的事情，而是企業全體員工共同的責任和義務，是合規全覆蓋原則的具體體現。領導承諾直接反映出合規的價值，是企業實現全員合規的關鍵環節。

六、企業合規體系建設風險識別、評估與應對

合規風險識別是企業合規體系在實踐中的工作主線，合規風險評估是評估企業合規體系是否發揮作用的重要因素，而合規風險應對則是企業合規體系目的實現的重要保障。合規風險識別在工作程序中應力求達到及時、準確。企業各個部門、機構根據工作流程應對每一個環節中可能發生爭議和糾紛的風險點提前做出預判，并精準識別該風險點的性質和嚴重程度。企業應將其合規義務與活動、產品、服務及運營方面相互聯系起來，確認可能引發合規風險的因素和情形，從而及時規避合規風險。

合規風險評估是企業針對已經發生或者可能發生的違規、違法行為進行的，包括但不限于風險發生的范圍、違反的規則、損失范圍、損失程度、責任性質（民事、行政或者刑事責任）等各方面做出的評價和分析。

合規風險應對是企業對已經發生的違規行為采取有效措施予以處置的程序。合規體系建設的終極目的，一是預防違法違規行為的發生，二是對已發生的違法違規行為做出最適當的應對。有效的應對措施能夠保護企業的合法權益最大化。

七、企業合規體系建設資源、能力的支持

企業合規體系建設資源包括財務資源和人力資源、外部建議和專業技能、組織的基礎設施，以及關于合規管理、法律義務、企業發展和相關技術的參考資料。企業需要具備的合規體系建設能力是應用知識和技能實現預期結果的本領。［8］

企業合規建設工作不是簡單的部門工作，而是全員參與的體系建設工作。在資源支持上體現在人力、物力、財力等各方面的投入，在能力支持上體現在合規、法律、財務、管理等專業技術人才的多方面組合。大型企業的合規體系制度能否得到有效貫徹、執行和落實，關鍵是需要建立一套合規組織體系完整、管理層次分明、部門分工明確、物資保障有力、人員職責清晰、監督措施有效、獎懲制度完善的團體化管理制度模式。中小微型企業與大型企業不同，應當在合規管理上適當減少層級，在人員配備上可以采取兼職方式，以減輕中小微企業在合規體系建設過程中的財務負擔。

八、企業合規體系文化建設

企業合規文化建設指貫穿于整個企業的價值觀、道德觀和信念，并與合規組織的結構和控制系統相互作用，以產生有利于合規成果的行為準則。［9］合規文化在企業合規管理體系中具有重要地位和作用。如何系統地構建企業合規文化，并使合規文化長久地在企業發展過程中傳承下去，是企業家必須面對的重要課題。

企業合規計劃要明確合規指導思想，統一思想是成功的基礎。企業合規計劃要確定“合規創造價值”的合規理念，正確的理念是價值觀的體現。企業合規計劃要樹立明確的合規目標，有目標也就有了方向，在工作中就會少走彎路。企業要制訂不同的合規計劃宣傳貫徹方式，多樣化的宣傳貫徹方式是企業全員合規熱情高漲的最佳途徑。同時，企業要制訂合規培訓計劃，通過培訓員工更好地掌握合規知識、增強合規意識，使其對法律和企業禁止的違規違法行為有更加清晰地認識。

合規的指導思想、理念、目標、宣傳和培訓是合規文化重要組成部分，一個真正有效的合規管理體系必須將合規文化理念嵌入到企業建設之中。

九、企業合規體系建設中的持續改進

企業合規組織應設法持續改進合規管理體系的適用性、充分性和有效性。［10］ISO37301：2021《合規管理體系要求及使用指南》規定，質量管理分為四個階段，即計劃（Plan）、執行（Do）、檢查（Check）和修正（Act），簡稱PDCA 循環。一是要制訂計劃，二是要按計劃去實施，三是要檢查實施效果，四是將成功的經驗和做法納入標準，將不成功的留待下一個循環去解決。企業應設法持續改進合規管理體系的適用性、充分性和有效性。企業所收集、分析和評價的信息，以及納入合規報告的信息，應作為識別該企業合規績效改進的依據。企業要想對合規管理體系進行改進，就要解決經評價而識別出來的不合規現象，消除不合規的根本原因，以避免再次發生或在其他領域發生類似情形。由此可見，針對問題持續改進是企業合規體系建設得以不斷更新進步的原動力。