第一部分
合规管理基础

第1章
合规管理基础概述

1.1 合规管理工作中的基本内容

1.1.1 合规管理的定义与对象

ISO 37301:2021《合规管理体系 要求及使用指南》对于合规的定义是：合规就是履行组织的全部合规义务。

合规的含义很广，从广义上说，一家企业进行正常经营，各个方面都要符合“规范、规定”。是否各个方面都有可能触及合规？从这个意义上来说，可能。但是如此广泛的范围给合规工作的界定带来了很大的难度，合规工作很容易因分工不清造成与其他部门的工作重复或产生管理真空的现象。比如，财务工作，也是一种风险管控的工作，自然也涉及合规相关的财务规定，若合规界定不明，就分不清是该由合规部来负责把控财务的合规风险还是财务部自己进行管理。

从合规各个管控主题（如财务、市场、经营等）来界定合规的工作似乎颇有难度。

换个角度，从风险管理的角度给合规工作进行界限的划定。

合规工作，即对违规风险发生的可能性和影响力的管理。换言之，合规工作是对可能发生违规风险的预警信号的管理。

预警信号是合规管理的重点对象。

一、预警信号

预警信号是产生违规后果的可能性前兆。预警信号可以根据以往总结的规律或专业性观测得到。预警信号并不意味着违规风险一定发生，但是它的出现表示风险有较大的发生的可能性，或一旦发生会酿成较大的损失。在合规管理中，预警信号常用以下符号表示，如图1-1所示。

预警信号的英文可以用Red Flag、Danger Sign等词语表示。

在合规管理工作中，预警信号会出现在合规义务的各个范畴之中，如表1-1所示。

从经营管理的角度来说，预警信号常出现在业务流程的操作中。比如，在常见的礼品与招待的合规管控中，预警信号可能出现在对外赠送大额礼品时，在不恰当的地点进行宴请时，在合同洽谈的敏感期进行往来时。这些预警信号的出现并不一定导致违规的后果，但是会增大违规后果发生的概率，这就是合规所要进行重点管理的部分。

二、影响力与可能性

影响力与可能性是对风险管理的两个衡量指标，常见于风险管理之中。此处对其定义不做赘述。

影响力与可能性这两个对合规风险程度的衡量指标直接将合规工作前置到了违规行为发生之前，突出了合规管理的预防性属性。虽然预警信号可能出现在各个管理的模块和流程之中，但是这并不意味着要对全部预警信号进行合规防控。这时，就需要用“影响力与可能性”在已知的全部预警信号中进行筛选，筛选出紧急且必要的预警信号进行管理。

同样地，对预警信号的影响力与可能性的判定也可以说明合规管理如何与其他部门进行协同。比如，以财务风险为例，虽然发现了相关的预警信号，但是由于企业本身对财务管理已经非常成熟，那么预警信号造成违规后果的可能性很小，合规人员就不再需要对相关财务风险进行过多管控。但是如果企业内部对财务风险的管控弱，那么发生违规的可能性很高，一旦酿成损失对企业的影响重大，合规人员就需要对此进行介入。

我们可以利用九宫格的模型，对预警信号进行分类。将影响力作为横轴，可能性作为纵轴，从这两个维度对预警信号进行判定，之后在九宫格中标记出来就可以得到清晰的结果。对那些可能性和影响力均为“高”的预警信号，合规人员需要进行重点管控；对可能性和影响力均为“低”的预警信号，合规人员尽到日常的监督职责即可。较难处理的可能是处于中间位置的预警信号。其中，如果可能性和影响力有一项是“高”的，那么合规人员应当保持对该预警信号的密切关注和工作上的大力支持。如果预警信号处于“中间位置”，那么合规人员需要与责任部门进行协作，商讨分工与职责，合并管理。比如，“投标中出现滥用他人资质”这一预警信号对企业的影响力大但是发生的可能性小，合规人员可以与投标部门商议如何对该预警信号进行管理及其管理深度，例如：是否需要在每次投标前增设合规人员对资质的审核；是否使用抽查的方式就足够；是否补充对相应人员的培训就可以。具体要配合企业内部的管理职责及制度流程设置来进行。图1-2所示为预警信号判定九宫格模型。

由此看来，要对预警信号的影响力和可能性进行深入的理解和熟练运用，才能在合规管理中厘清思路与抓住重点。

练习

请区分以下描述是预警信号还是违规行为。[1]

（1）某员工被发现侵占企业资产20万元。

（2）某员工宴请客户，人均1000元。

（3）某员工在外部网站发布企业的机密信息。

（4）在行业协会上，市场经理与同行聊起企业今年的产品产量。

1.1.2 合规管理的目标

合规管理是一种通过体系化操作方式管控主体运行中违规风险的综合管理方法。合规管理以最大限度平衡企业经营与违规风险为目标。合规管理的目标可以从三个层次进行拆解：①培育根基——培养道德与合规价值观；②树立主干——打造合规管理体系；③延伸枝杈——符合法律规范等具体条款。

一、培育根基——培养道德与合规价值观

主体的道德与合规价值观的树立，是合规管理的基本目标。主体成员是否与高层的引导目标相一致，主体是否持续对价值观进行完善与更新，等等，都是影响主体的道德与合规价值观能否正向树立的关键。没有正确和坚定的文化土壤，合规管理极难展开。即使采取了一系列看似完善的管理措施，也根基不稳，极易出现问题。

二、树立主干——打造合规管理体系

合规管理体系基于价值观的土壤，是支撑主体合规管理的主干，是合规管理目标的第二个层次。

合规管理体系的搭建更专注于可操作性，从合规风险的评估、合规专业人员的选用、制度与流程的搭建、监督与审计的操作、案件举报与处理等方面进行。依据主体的不同需求，对不同程度的风险点采取对应程度的管控。体系建设不宜过度或不足，即作为合规管理的树干不宜过粗或过细。过粗，吸取根基养分过多，导致根基不稳，企业员工产生对价值观的怀疑；过细，导致枝杈无法延伸生长，脱离实际，使合规管理变得虚无缥缈、纸上谈兵。主体在进行合规管理体系的建设时，应以适用性为标准，找到恰当的建设方式。

三、延伸枝杈——符合法律规范等具体条款

在培育根基、树立主干的基础上，合规管理延伸出各个由专业法律规范内容构成的枝杈，对主体的合规义务进行保障。

依照企业管理的习惯，各枝杈可延伸出对“规”的细分，如国内管辖内容、国际管辖内容、行业规范、主体内部规范、合同履行、党风党纪等。按主体适用性勾画出符合合规要求的轮廓，在轮廓内采取专业手段进行具体操作和指导。同样，要在各枝杈中继续延伸出不同内容和数量的叶片，可就单独的法律法规，乃至个别条款的适用性对主体进行具体操作的调整和管理。图1-3所示为合规管理体系示意图。

根基、主干和枝杈完整勾勒出了合规管理的目标。只有明确了其中的层级关系，在管理中才能有的放矢，抓住核心。依照此目标进行合规建设的优势为，即使在采用个别规范条款的管理中出现问题，只要根基和主干稳固，对主体来讲就仅仅是枝叶的损失而非根基的动摇，只要稍加培育，个别枝杈仍会再次长出新芽；但倘若舍本逐末，过分追逐对枝杈中个别规范条款的管理而忽略根基和主干，一旦出现问题，根基不稳导致主体无法承受。故在合规管理的目标中，对于基础——道德与合规价值观的培养是重中之重，是根本。合规管理好比栽培树木，强壮根基才能强壮树干继而枝繁叶茂。

1.1.3 合规管理工作的分类

合规管理工作如何分类是合规管理工作中的难点。

通常，可以根据合规管理的重点主题进行分类，如反贿赂、反腐败、反垄断、信息安全、商业伙伴、境外合规等。此种分类方式的好处是明确了企业当下的合规管理重点，便于企业有针对性地进行合规管理。

由于合规与管理密切连接的属性，推荐采用“1+2”的合规管理工作分类方式，即一个合规管理框架加合规主题领域与经营管理领域的双向分类方式，如图1-4所示。这样做的目的是在尽可能大的范围内对合规管理的工作内容进行穷举，不放过任何一个合规管理中的风险。

我们可以将合规管理看成“1+2”的结构，即一个框架+两个纵深。

一个框架指的是合规管理的顶层架构及关于合规管理的方法，如合规义务识别、合规风险梳理、合规文化建设、合规制度建设、合规监督、合规举报及合规报告等。

两个纵深指的是合规主题领域的纵深与经营管理领域的纵深。其中合规主题领域的纵深是合规管理的核心，即使从经营管理领域的角度出发进行合规管理，其管控要点也是由合规主题构成的，如市场营销中的反贿赂、反腐败、信息安全等。当然，纵深中也可以分出区域、子公司、控股公司等领域，其也由合规主题与经营管理组成，本书不再单独列示。

框架覆盖两个纵深，两个纵深的建设依托于框架。

一、合规主题领域的分类（纵向分类）

合规主题领域聚焦于某一类合规风险，是依照不同的风险内容对合规工作进行的分类，其基本是对某一类违规行为的管控的体现，名称也是对某一类主题描述的集合。

表1-2所示为合规主题领域的分类。

合规主题的运用方法是：当企业确定了对某一重点合规主题进行管控后，以该主题为出发点，排查企业在各个经营环节和操作环节中涉及该主题的风险点，从而进行以该合规主题为目标的管控。

二、经营管理领域的分类（横向分类）

经营管理领域的分类遵循企业的通常分类标准，可按照企业已有的各业务部门来进行。表1-3所示为经营管理领域的分类。

既然企业的日常经营管理都离不开规定、规范，那么就从已有的管理操作中提取与规定、规范相关的流程和环节，汇总至合规管理工作处，进行统一管控。

合规主题领域的分类与经营管理领域的分类相互作用，相辅相成，勾勒出在合规管理框架下的本企业合规管理的完整范围，二者缺一不可。

三、对合规管理工作分类的运用

将合规管理工作的分类用三维图像来进行说明，以经营管理领域为横轴，合规主题领域为纵轴，合规管理框架为竖轴，如图1-5所示。图中的每个点均有关联，可互相联系。

可以看到，无论从合规管理框架、合规主题领域还是经营管理领域中的哪一点，都可以发起相对于另外两轴的合规管理工作。比如，某企业经过梳理，认为对市场交易的合规管理较弱，则可以以市场交易为起点，建设市场运营合规管理框架，同时将与市场交易有关的合规领域进行梳理，将市场交易的具体环节与流程嵌套至各合规管理领域，之后得到市场交易合规管理工作结构，如图1-6所示。

又比如，某企业经过梳理，发现当前与反贿赂相关的合规管理较弱，存在着较大的风险，则可以以反贿赂为起点，对相关合规管理工作进行拆解。首先企业要构建反贿赂合规管理框架，其次将反贿赂管理的要求嵌套至各经营管理领域，之后得到反贿赂合规管理工作结构，如图1-7所示。

在此三维分类中，合规管理框架是基础、是指引，指导合规主题领域与经营管理领域的具体工作，同时也是方法论。方法论要作用在具体的工作主题中，合规主题便是承接方法论的载体，所以对合规主题的管控是合规管理工作的核心。通常，经营管理领域应当聚焦重点的合规主题进行管控。换言之，若企业在经营管理领域中已有成熟的管理模式，则合规人员的工作仅仅起到监督的作用；若经营管理领域中缺失相关合规工作的内容，则合规人员要积极主动地与管理人员进行共同管理，甚至要起到主要的管理作用。

企业运用此三维分类方式可以达到部门互相协同的作用，将合规工作独立于企业的其他经营管理活动之外，更有针对性地进行合规管控。同时，企业运用此三维分类方式，使合规管理更贴合日常运营，保证合规与经营的相互协作。

练习

请区分以下领域是属于合规主题领域、经营管理领域还是合规管理框架。[2]

（1）贸易管制。

（2）市场交易。

（3）合规制度与流程。

（4）信息管理。

1.1.4 合规管理工作的闭环

合规属于风险管控的一部分，合规管理工作的方法同样遵循风险管理的模式，即发现问题、解决问题。合规管理工作的闭环可以细分为三大模块——预防、监控、应对，如图1-8所示。

这三大模块与PDCA管理方法是一致的，即计划（Plan）、实施（Do）、检查（Check）、行动（Action）。

我们以预防、监控、应对为管理闭环对合规管理的工作进行拆解，当风险点出现后，首先要对其采取预防措施，其次在商业活动中针对此风险点进行监察，最后一旦发现执行中的问题要及时纠错，进行进一步的应对。预防、监控与应对三者无缝连接，形成有机的合规管理体系，保证企业在商业活动中对相应的风险无管控盲点。

一、预防阶段

企业应在预防阶段即违规风险发生前采取一系列防范措施。采取措施的目的在于及时发现预警信号，并提前防控。通常，预防的行为可以发生在业务决策前。常见的在预防阶段所进行的合规管理框架类工作有：合规义务的识别、合规风险的梳理、合规制度和流程的制定、合规文化的建设和合规培训等。进行此类工作的目的在于防患于未然。预防阶段的合规管理工作是合规工作中十分重要的部分，合规人员应当多花精力和时间。若在预防阶段做好防范工作，所达到的效果是不错的，企业可以花最少的成本获取最大的收益。

二、监控阶段

预防阶段之后是监控阶段。监控行为发生在临近决策和决策后。通常，在做出正确的决策前需要对支持决策的信息进行收集，同时分析其中相应的预警信号并做出处理。决策后，在执行阶段，要对执行的过程进行监控，监控执行是否依照决策做出，以及若执行发生变化，则需要及时进行重新或额外决策。在监控阶段，常见的合规工作有：合规举报、合规监督、合规审查、合规调查等。

三、应对阶段

最后一个阶段是应对阶段。在应对阶段，应对前两步（预防与监控）所遗漏的问题进行处理。常见的应对阶段的合规工作有：合规问题处理、合规的持续改进等。

练习

1.以下工作分别属于合规管理工作的哪个阶段？[3]

（1）合规培训。

（2）合规调查。

（3）合规问题处理。

（4）合规制度和流程的制定。

2.试着画出你所管辖领域的合规工作地图。

1.1.5 中国企业合规管理与国外企业的合规管理

中国企业的运营有别于国外企业，中国企业有自己的行为特点和管理模式，中国社会也有独特的社会政策、经济政策等。合规管理作为中国企业的新课题，需要扎根于中国本土进行实践与应用。

一、使用本地语言进行管理

合规管理中有效性的一个判定指标就是：企业内部制度、文件是否以当地的语言呈现，合规的政策能否让当地的员工读得懂、看得明白。中国企业的合规管理切忌照搬国外企业的相关内容，如照搬国外企业的《商业行为守则》《管理制度》等文件；不可把外来文件直接翻译成中文，不可直接照搬其他企业的合规文件，更不可从网上下载模板直接使用。中国企业应该形成以本国语言文字和文化背景为基础的个性化文件和制度，保证员工能够理解。

此外，合规管理应当由当地人员负责，即自己的人做自己的事情，保证文化背景、认知水平的统一。作为一个依托于人文社会科学的工种，合规管理极大地考验了合规人员对企业、当地风土人情、国家文化等的理解和运用程度。此处的“合规管理应当由当地人员负责”既指境外企业在境内应当雇佣熟悉中国情况的人员进行合规管理，也指境内企业在境外应当雇佣熟悉当地情况的人员进行合规管理。

二、将合规与反腐倡廉进行有效区分

国外企业的合规管理工作内容近半数甚至超过半数都聚焦于反贿赂、反腐败工作上，尤其是一些外资医药行业企业，其合规管理的工作以反贿赂、反腐败为主。中国企业则不同，中国很多企业内部都设有纪检、党群、监察等部门，更有一系列党内专属的规制指导企业进行专门的反腐工作。

所以，一般中国企业的合规与廉洁工作是分别进行的。当提到中国企业的合规工作时，一般指的是以外法内规与商业道德和承诺为出发点进行的相关合规管理工作，而不一定包含反贿赂、反腐败的内容。在中国企业，举报的管理工作也多由纪检等部门承担，只是纪检部门多聚焦于与贪污腐败相关的举报上。

合规与廉洁虽然管控的角度不同，但是工作中采用的方式方法均可相互借鉴。在一些高度重合的管控领域，如商业伙伴管理、高管责任管控等，可以综合运用二者，使之互相配合形成完整的管控链条，增强防控。

三、与内控管理进行结合

中国的大型企业一般已经拥有比较完整的内部控制体系，而合规管理的具体管控方式需要借鉴内部控制的方式方法。要考虑企业内部控制的已有模型，参考相关流程链条，避免独立进行合规管理流程设计，这样可以给企业减少额外的管理成本。对于合规管理流程设计的工作应当做加法，即在企业已有的、已运营的内部控制流程中直接增设合规管控的模块，既方便又省时省力。

例如，企业内部已经有了对于供应商的审核流程，此时就不要再另设一个供应商合规审核流程的分支了，而是应当对已有的内控流程查漏补缺，增加合规控制的模块，以及增加合规审核的责任人。

1.1.6 境内合规管理与境外合规管理

中国企业在境内和境外开展业务有较大的不同，合规管理工作在进行相关设定时也有较大的差异。

在境内业务的合规管理工作中，企业应当密切关注境内的执法趋势、行业案例及自身的管理薄弱环节，与企业本身的情况相结合，进行有针对性的合规管理工作。境内的合规政策发展速度快，近几年多次颁布相关指导和指引文件，随着合规不起诉政策的出台，企业更需要及时学习外部政策，了解合规管理的大方向，制定出更有针对性的合规管理方针。除国资委颁布的《中央企业合规管理办法》外，各省市也颁布了合规管理指引。表1-4所示为相关合规管理指引文件。

境外业务与境内业务在合规管理上差异较大，国外的合规管理有地域性的特点，这给中国企业带来了较大的管理难度。

一、他国因素

当前，制裁是一种常见的国家或地区间相互制衡的手段。企业进行境外业务时，不得不将他国对企业的制裁行为考虑在内，以免因不知情或管控不到位而发生相应的违规风险。

以美国为例，美国以其“长臂管辖”策略对全球许多经济活动进行触及，利用其“最小联系原则”尽可能对所有触及美国的元素进行管控，即美国合作方、美国金融支付体系等。企业在境外进行业务活动时，要对其管控方式有所了解，并且进行相应的规划。譬如，在业务流程中梳理与“美国”有关的元素，一旦发现连接点，可将其视为预警信号，对其进行管控甚至消除。

除美国外，欧洲相关国家及全球范围内的其他国家也有类似的制裁措施。若有企业在进行境外业务时对相关国家有较强的业务依赖性，则要加强对此类合规风险的管理工作。

二、地域因素

企业进行境外业务时，要对当地的风俗文化、法律环境等进行深入了解与分析。由于各地区的情况差异巨大，由此可能产生具有地区特色的预警信号，该预警信号可能与当地政治环境、人文地理息息相关。所以企业进行境外业务时，除了考虑一些通行的因素外，势必要有定制化的、符合当地特色的合规义务产生。

练习

请判断以下合规义务属于境内合规义务还是境外合规义务。[4]

（1）上海市出台了《上海市国资委监管企业合规管理指引（试行）》文件。

（2）国家对互联网行业的反垄断行为进行管控。

（3）马来西亚当地的文化风俗。

（4）美国的出口管制与经济制裁。