自序
做更有特色的企业合规管理

合规管理最近几年热度不减，而且有持续升温的态势。

“合规”这个词很有意思，是人们都认识，但是很多人不知道具体含义的词。所以这些年来，合规被冠上了不少定语，如刑事合规、行政合规、海外合规等，更有从经营角度分类的财务合规、人力合规、市场拓展合规等。细究起来，刑事合规是什么？行政合规是什么？人力合规是什么？合规和合法又有什么区别？法律工作者能否一手托两家，既搞法律工作又兼职做一些合规工作？这些都尚无定论。

合规管理（Compliance Management）发源于欧美，以美国最为盛行。美国的《反海外腐败法》曾有力地推动了合规管理的发展，几件大案进一步促进了合规管理在企业中生根发芽。一些欧美企业，尤其是处在美国执法环境下的企业纷纷成立合规部门，以求预防风险。随着国内执法力度的加大，市场愈加规范，合规管理也逐渐被引入现代企业管理当中。我国企业的合规管理还需要在哪些方面进行提升呢？什么是更有中国特色的合规管理呢？

1.我国企业要更注重非成文的合规要求

先说说合规与合法的关系。很遗憾，目前很多学者把合规与合法混同起来。合规确实应当主要从合法的角度进行设计，但是不能仅仅局限于合法。我们可以将“合规”这个词进行以下拆解。

合规=合（符合）+规（法律+规范+行业/当地交易习惯+当地风俗+对外承诺+普遍认知的商业道德准则+其他）

再说得通俗一点，合规里的“合”=符合，即管理动作；合规里的“规”=规则，包括：

·法律；

·规范；

·行业/当地交易习惯；

·当地风俗；

·对外承诺；

·普遍认知的商业道德准则；

·其他。

总之，合规就是企业采取管理的方法让自己符合适用的“规”。我们可以将“规”中的法律、规范界定为“成文的、书面的合规要求”，而将行业/当地交易习惯、当地风俗、对外承诺及普遍认知的商业道德准则粗略界定为“非成文的合规要求”。

那么，如何确定“规”的内容呢？首先，要确定成文的“规”，法律、规范是很清晰明了的，打开网页搜索一下均能获得。而且，对于那些明显可能导致违法犯罪的行为，大多数职场人士都有一定的认知。其次，要确定非成文的合规要求，这就考验企业合规人员的功力了。说白了，企业合规人员捕捉这些不成文的规则的功力，往往是决定业务成败的关键。各个国家、各个地方不成文的规则均有各自的特点，更重要的是，这些规则还是时时变化的。目前，对国内企业来说，合规管理的主要目标依然是对法律、规范等成文要求的遵守，但是随着企业对管理需求的逐步提升，国内企业势必将在一些非成文的合规要求中逐步加大管理力度。

同时要注意，在不同地区、不同国家，成文或非成文的合规要求都是不同的。随着合规环境的变化，有些“规”在国内看似是通行的方式，到了国外就被认定为严重违规了。有些企业曾经拿着借用的资质去投标，未被查处并赢得了项目。企业就以为这种行为是能一直行得通的。有些企业到了国外也按这个“惯例”去做，但是很遗憾，企业没有意识到这是严重违规的行为，给企业带来了极大的危害。以世界银行（下称“世行”）为例，前几年被发禁令的企业，很多都是违反了世行的“反欺诈”原则。其中的主要原因就是“串资质”，也就是拿了母公司或其他关联企业的资质去投标而被认定为欺诈。被发禁令之后，好多项目的贷款就停了，世行的项目就不再给企业贷款了；更麻烦的是，和世行有协议的其他多边银行如亚洲开发银行也认可世行的禁令，因此企业在受到交叉禁止的背景下，连亚洲开发银行等的项目也不能参与了。所以，一些行业/当地交易习惯、当地风俗，在不同环境下的判定标准是大不相同的，企业要及时认清外部这些“规”所带来的风险。

那么，作为一个合规人员，单就合规环境的把控而言，你的工作做到位了吗？

除了上述提到的“规”，肯定还会有人提出问题：你怎么落下了企业的内部规定呢？内部规定当然要遵守！但为什么在提到企业适用的“规”的时候，没有提到内部规定呢？

诚然，国内外一些理论认为内部规定是合规管理要求的重要组成部分。这确实没错，但是，就国内企业的大多数实践案例来看，内部规定更多的是对外部合规要求的一种解读和诠释，使外部的那些要求更适合企业来执行；内部规定是外部要求在企业管理上的映射，而不是企业从无到有凭空创造出来的东西。而合规人员非常重要的工作恰恰就是对合规要求进行诠释，诠释得越准确、越适用、越有效，就越能体现合规人员的水平。

合规管理的内涵如图1所示。

2.我国企业要更注重合规管理的预防功能

我们再比较一下合规与合法。

法律是很清晰明了的，有据可查。一个行为是否违法甚至犯罪，一般人大多会有个模糊的判断。也就是说，对于法律的边界，大家多少都有认知和感受。但是合规这件事，如果没有专业的合规人员辅助，大多数人很可能是感知不到的。下面举例说明。

如果你的合规人员尽责，他会及时关注国际局势，利用专业合规工具取得制裁名单，然后把外部的变化及时生成风险提示单告知于你，使你在进行贸易前有所准备。

看到这里，大家可能有点感觉了。合规人员的重要工作是预防风险，是对诱发风险的预警信号进行管控，而非对已发风险进行处理。合规工作不应局限于某部法律、某个政策、某个职能部门，而是应当通过管理手段做出评估后，对诱发违规风险的预警信号进行管理，甚至消除。所以，合规更多针对的不是风险本身，而是风险的预警信号。

下面以请客吃饭为例。什么是请客吃饭的风险预警信号呢？我们可以把请客吃饭这个行为简单分解如表1所示。

对请客吃饭做简单的分析后发现，如果有的风险过高，很有可能引发违规风险，那么要在吃饭前对该行为进行管控。当合规人员预判无大碍了，才可以继续这个行为。但是，如果在发生行为的过程中有什么突发情况，就要及时与合规人员进行沟通，而且要针对变化元素进行二次处理。

3.我国企业要更注重合规管理的成本与效益

确实，合规管理是需要付出成本的事情，企业毕竟是以营利为目标的。能否在控制成本的同时发挥合规管理的作用？还是以实践来说话吧。

以“人”为例。

在做一件事之前，起码要有人。但是现在用人的成本越来越高，尤其像合规管理这件事，想找一位有资历有经验、能帮助企业进行主动管理的合规人员，势必要花大价钱，更别说组建全套的合规管理部门了。只有很少的企业会下定决心组建一个全链条的合规管理部门。

那么，如何解决合规管理中人的问题呢？合规管理一定要绑定管理。“绑定管理”的意思就是要深入企业管理的细枝末节。谁是最熟悉企业管理细节的人？肯定是企业自己的人。所以，企业要充分利用现有的人力资源，如在关键岗位上有丰富经验的员工、见证过案件或违规事件的员工等，利用他们的宝贵经验促进合规管理在企业管理中的植入。

那么，这些员工不懂合规怎么办呢？他们可能只看到了一些领域的风险。在这些风险点中，哪些是可能触发违规的预警信号？哪些是需要和“规”连接起来的？怎么连接？怎么处理预警信号？怎么验证处理结果？这时，就需要请专业的合规人员来协助了，合规人员可以通过专业的方式方法并运用自己的工作经验对各个领域的风险信号进行梳理，从而进行管理。所以，专业合规人员也可以不用太多，如果条件有限，聘请一两位就够了。如果不想长期设置全职的合规管理岗位，临时聘请专业的咨询机构协助也可以。但是一定要保证，合规人员或咨询机构足够专业，能够把合规与管理连接起来。

综上，以人为例，若想做经济有效的合规管理，人员配备可以采取以下模式。

合规专职人士+业务兼职人士

这样既节省成本，又能达到一定的效果。而且在一些国内企业，通常是老员工、核心员工的话对其他员工更有说服力，更有以身作则的效果，更能增强合规文化的植入与宣传。

除了人之外，如何稳、准、狠地找到合规管理中的关键点？合规文化建设如何与廉洁管理宣传相辅相成？如何以更低的成本实现更好的工作效果？合规管理中还有太多的实践经验可谈，在此就不赘述了。

我国企业的合规管理与国外不同，其所涉及的管理范围更广阔、管理内容更复杂。这就需要合规人员对企业管理有更深入的认知。而且，国内的大型企业大多已经有了比较完善的内控体系，因此最好以合规管理为出发点，借鉴内控的方式方法，做事半功倍的工作。

一千个人心中有一千个哈姆雷特。

一千家企业也有一千种合规管理的方式。

适合我国企业的合规管理绝不是照搬国外标准、硬性要求中所规定的生硬文字，它一定是扎根于企业、作用于实践的。我们要做更有特色的企业合规管理！为了让更多的合规人员、企业管理者和有识之士了解合规管理，我将近年来在企业中的合规工作经验，以及创业后接触的大量央企、外企、民营企业的合规管理实践汇集成本书与大家分享。本书更像一本工具书，通过对大量实践操作和典型案例的描述，希望能够让大家对合规管理有更加清晰、明确的认识。

本书分为三个部分：合规管理基础、合规管理方法及重点合规主题（见图2）。其中，合规管理基础的主要内容是在合规管理中很可能遇到的一些常见问题，是阅读后两个部分的基础，需要读者深入地理解。合规管理方法是在合规管理工作中通用的具体的方式方法，无论何种类型的企业均可以使用，是合规人员必须掌握的内容。重点合规主题以当前合规管理中的一些重点内容为阐述对象，若企业对该重点内容有管理需求，则可以仔细阅读。三个部分的内容层层递进，逐步深入，读者了解了合规管理基础后就可以学习合规管理方法，学习了合规管理方法后即可将这些方法应用于重点合规主题的管理。

当然，受水平所限，而且合规管理工作中尚有大量未知领域等待我们去探索，本书难免有不足之处，请各位读者海涵，也欢迎与我讨论。让我们一起把合规管理工作落到实处！

周鋡

2023年年初于北京