第1章 合规管理基础知识

1.1 合规管理术语

虽然各个标准或文件对合规和合规管理的定义大同小异，但我们也应搞清楚它们的细微差异，因为这也关乎“合规”。采用一个标准，首先就要遵循其对相关术语的定义。

1.1.1 合规

一、ISO 37301对合规的定义

ISO 37301对合规的定义很简单：合规（compliance）就是履行组织的全部合规义务。（Meeting all the organization's compliance obligations.）

要想明白这个定义，必须先搞清楚“合规义务”是什么，以及“全部合规义务”包含哪些内容。这些问题的答案详见1.1.2节“合规义务”部分的描述。

我们可以把“合规”看成一个动宾词组，即“合”+“规”=符合规定。合规的前提是先有“规”，没有“规”，就谈不上合规，有了“规”，接下来才是“合”的问题。“合”是符合、匹配，是个动词，反映合规需要靠行动措施和具体行为来实现。在实践中，企业可以通过内部控制措施来保证相关行为（业务活动或业务操作）合规。

合规具有嵌入性，企业可以将合规融入企业文化及其员工的行为和态度中，使合规保持可操作性和有效性。

二、国务院国资委对合规的定义

国务院国资委在《中央企业合规管理指引（试行）》（国资发法规〔2018〕106号）中对合规的定义是：中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。

该定义比ISO 37301对合规的定义要明确一些，既对“规”的内容做了具体说明，也对“合”做了形象的解释，强调了合规就是“行为符合要求”。由此定义可知，企业在梳理合规风险时，不仅要梳理“规”和“行为”，还要梳理二者之间的关系，以及这种关系对企业经营目标的影响。

该定义同时指出，合规的主体既包括企业法人的行为，也包括其员工的行为。这就带来两个问题：一个是员工不合规算不算企业不合规；另一个是企业不合规，应该让哪些员工来承担责任。将这两个问题与近期比较热门的话题“合规不起诉”相关联，会产生新的问题：到底是不起诉企业，还是不起诉企业的员工？抑或二者都可以免于被起诉？要想准确回答这些问题，则要基于实际情况而定，不能一概而论。

三、其他机构对合规的定义

中国银监会在《商业银行合规风险管理指引》（银监发〔2006〕76号）中对合规的定义是：使商业银行的经营活动与法律、规则和准则相一致。

国家发改委在《企业境外经营合规管理指引》（发改外资〔2018〕1916号）中对合规的定义是：企业及其员工的经营管理行为符合有关法律法规、国际条约、监管规定、行业准则、商业惯例、道德规范和企业依法制定的章程及规章制度等要求。

对比国务院国资委对合规的定义，国家发改委扩展了“规”的范围，增加了“商业惯例”“道德规范”，这离ISO 37301描述的“全部合规义务”又近了一步。

综合上述合规的定义，risk-doctor 认为合规具有三要素：主体、义务和行为。合规即主体的行为符合其合规义务，或者说，主体履行其全部合规义务。企业的合规管理可以从这三个维度展开。

1.1.2 合规义务

合规义务，对应的英文是compliance obligations。

在ISO 37301中，合规义务被定义为：组织必须遵守的强制性要求，以及组织自愿选择遵守的要求。（Requirements that an organization mandatorily has to comply with as well asthose that an organization voluntarily chooses to comply with.）

在ISO 19600：2014中，合规义务被定义为：合规要求或合规承诺。（Compliance requirement or compliance commitment.）其中，合规要求指组织有义务遵守的要求，合规承诺指组织选择遵守的要求。

这两个定义本质上没太大区别，前者把后者的“合规承诺”描述成“组织自愿选择遵守的要求”，从定义的角度来看，更为严谨，可以有效遏制滥用合规承诺的倾向。

为了解释合规义务到底是什么，ISO 37301根据对合规义务的定义，列举了以下事项做补充说明。

组织必须遵守的强制性要求包括：

1. 法律法规；

2. 许可、执照或其他形式的授权；

3. 监管机构发布的命令、条例或指南；

4. 法院判决或行政决定；

5. 条约、公约和协议。

组织自愿选择遵守的要求包括：

1. 与公共权力机构、社会团体或非政府组织签订的合同或协议；

2. 与客户、合作伙伴等签订的合同或协议；

3. 组织的要求，如方针和程序；

4. 自愿的原则或规程；

5. 自愿性标志或环境承诺；

6. 与组织签署合同产生的义务；

7. 相关组织和产业的标准。

同时，ISO 37301还明确指出：组织应将合规义务作为确立、制定、实施、评价、维护和改进其合规管理体系的基础。这足以显示合规义务在合规管理中的重要性。我们将在本书第4章进一步介绍如何梳理企业的合规义务。

《中央企业合规管理指引（试行）》《企业境外经营合规管理指引》中都没有出现“合规义务”这个词。这不是说它们对合规义务不重视，而是它们在对合规的定义中已列举了企业应履行的合规义务。

在实际工作中，为方便理解，可以把企业的合规义务分成三大类：强制性要求，自愿性承诺，商业道德及公序良俗。同时，还要特别注意区分企业合规义务的主体是法人还是员工。

1.1.3 合规风险

一、风险的定义

关于风险的定义，一直处于争论不休的状态：有的定义侧重可能性，有的定义则侧重负面影响；有的定义视风险为机遇，有的定义则视风险为机遇和威胁的结合体。

2006年以前，认为风险是负面影响可能性的占主流；经过全球20余年的风险管理实践，现在认可风险具有二重性的占主流，即风险是不确定性对目标的影响，其影响可能是正面的（机会），也可能是负面的（威胁）。

国务院国资委在《中央企业全面风险管理指引》中，对企业风险的定义为“未来的不确定性对企业实现其经营目标的影响”；并把企业风险分为五大类——战略风险、财务风险、市场风险、运营风险和法律风险；同时，也以能否为企业带来盈利等机会为标志，将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。

国际标准化组织（ISO）继ISO Guide 73：2009之后，也沿用“不确定性对目标的影响”作为风险的定义，并把它引入其他管理体系标准之中，如ISO 9001：2015、ISO 14001：2015、ISO 31000：2018、ISO 37301等标准中。这些定义和应用都视风险为中性的，其结果包含正负两方面的影响。

二、合规风险的定义

在ISO 19600：2014中，合规风险被定义为：不确定性对合规目标的影响。（effect of uncertainty on compliance objectives.）该标准同时指出：合规风险以组织合规义务的不合规发生的可能性和后果表述。该定义的合规风险是中性的，但其描述却是负面的。

在ISO 37301中，为纠正ISO 19600：2014对合规风险定义的矛盾之处，直接将合规风险定义为：因不符合组织合规义务而发生不合规的可能性及其后果。（likelihood of occurrence and the consequences of noncompliance with the organization's complianceobligations.）ISO 37301明确指出合规风险的负面性。这说明，针对合规风险，不能采用“放大”策略，只能采取“降低、控制、规避、接受”这些策略来应对。

在我国，原中国银监会在《商业银行合规风险管理指引》中对合规风险的定义是：商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。在商业银行，与合规风险密切相关的是操作风险及内部控制风险。感兴趣的朋友，可以私下找寻它们的联系与不同。

国务院国资委在《中央企业合规管理指引（试行）》中对合规风险的定义是：中央企业及其员工因不合规行为，引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。国务院国资委政策法规局明确指出，合规风险是相关负面影响的可能性，即合规是底线，合规风险不是机会风险。这与ISO 37301对合规风险的定义基本一致。

在实践中，建议国有企业优先遵循国务院国资委对合规风险的定义，建议非国有企业采纳ISO 37301对合规风险的定义。同时，还要特别注意区分：企业的合规风险到底是企业法人的合规风险，还是员工个人的合规风险。风险与目标相关，目标与主体相关，不同主体有不同的合规风险。

1.1.4 合规管理

ISO在ISO 31000：2015中把风险管理（risk management）定义为“指导和控制组织与风险相关的协调活动”，但没有在ISO 37301中把合规管理作为术语来定义。基于ISO对相关术语的定义，risk-doctor把合规管理定义为“指导和控制组织与合规相关的协调活动”。这样的定义虽然很抽象，但突出了三点：指导、控制、协调。这些正是合规管理第二道防线的基本职责。

国务院国资委在《中央企业合规管理指引（试行）》中对合规管理的定义是“以有效防控合规风险为目的，以企业和员工经营管理行为为对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动”。该定义明确了合规管理的目的、对象及具体工作内容，具有较强的指导性和可操作性。

前文讲合规的概念时，把合规二字拆开来讲，这对研究合规管理非常有益。在risk doctor看来，合规管理就是要管“合”和理“规”，尤其是管“合”。针对不合规行为，企业应及时发现、及时制止、及时改正，确保企业“事事合规、时时合规”。

合规管理是企业管理的一个子集，一个基本方面。在实践中，合规管理经常与风险管理、内部控制、法务，乃至审计、纪检监察等职能相联系，企业需要厘清它们之间的分工及联系，避免不必要的重复管理，从而提升管理效能。

1.1.5 合规管理体系

尽管ISO和国务院国资委都明确提出了“合规管理体系”的概念，但它们都没有对合规管理体系下定义。

国务院国资委在《中央企业合规管理指引（试行）》里有三个地方提及合规管理体系。

依据ISO对相关术语的定义，risk-doctor对合规管理体系（compliance management system）的定义如下。

自ISO 9000：1987以来，ISO发布了很多管理体系，并从2012年开始对管理体系的结构进行规范化管理，即采用高级结构（HLS）来编制或更新相关管理体系标准。截至2021年年底，ISO 37301：2021、ISO 37001：2021、ISO 9001：2015、ISO 14001：2015、ISO45001：2018等标准都已采用HLS来编写。这样，企业在选择使用这些标准时，就可以用一个统一的HLS来整合多个主题，即用一个管理体系结构来整合质量管理、环境管理、合规管理、反贿赂管理、举报管理等主题，从而提升企业的管理效能。

1.1.6 合规文化

在ISO 37301中，合规文化（compliance culture）被定义为“贯穿整个组织的价值观、道德规范、信仰和行为，并与组织结构和控制系统相互作用，产生有利于合规的行为规范”。

国务院国资委在很多文件里提及合规文化，但没有对合规文化做出定义。

risk-doctor认为，合规文化是企业文化的一部分；合规文化不是“写”出来的，而是“表现”出来的，是通过普通员工、管理层、决策层等平常的行为表现出来的。没有好的企业行为和好的员工行为，就不可能有好的企业文化。所以，若不抓合规行为管理，合规文化将是空谈。企业开展合规管理工作，就是要鼓励支持合规的行为，打击危害合规的行为。

在合规管理体系建设初期，可能会有一些员工（包括管理层）不理解、不支持，但经过不断培训和沟通后，当多数员工的心理和行为发生改变时，就会形成企业的合规文化；合规文化一旦形成，就会反过来影响员工的心理和行为。所以，在培育和发展合规文化时，董事会和管理层成员要以身作则，要对企业在各个领域所要求的共同的、已发布的行为标准，做出积极的、可见的、一致的和持久的承诺，并落实到具体行动中。领导的表率作用对企业合规文化的建设有重要作用。

合规文化建设是企业合规管理的重要内容，本书将在第11章给予进一步描述。