建设业界一流的合规管理体系

2018年4月16日，美国商务部以中兴通讯对涉及历史出口管制违规行为的某些员工未及时扣减奖金和未发出惩戒信，并在2016年11月30日和2017年7月20日提交给美国政府的两份函件中对此做了虚假陈述为由，作出了激活拒绝令的决定，对中兴通讯施加最严厉的制裁措施。

2018年5月1日，美国证券交易委员会对松下航空电子公司罚款1.43亿美元，和解对后者触犯《海外反腐败法》和会计欺诈有关的诉讼。

2018年5月25日，奥地利欧洲隐私权倡导组织Noyb.eu对Facebook和Google两家公司及其子公司发起了四项投诉，其将分别面临37亿欧元、13亿欧元、13亿欧元、13亿欧元的罚款。

2018年6月，欧盟反垄断监管机构正准备对谷歌母公司Alphabet处以最多110亿美元的罚款，原因是其Android操作系统涉嫌存在反垄断问题。2018年7月5日，瑞士信贷集团及其香港部门向司法部和美国证券交易委员会支付了7670万美元，用于违反“反海外腐败法”的转介招聘计划。

2018年9月4日，赛诺菲向美国证券交易委员会支付了2500万美元，用于解决贿赂中东和哈萨克斯坦官员赢得业务的指控。

2018年10月31日，现已关闭的石油公司Afren的两名高管在伦敦经过为期六周的审讯后，被判犯有欺诈和洗钱罪，这两位高管从与非洲的业务合作伙伴达成的秘密协议中获得了4500万美元。

2018年11月底，万豪国际酒店旗下喜达屋酒店（Starwood Hotel）的一个顾客预订数据库被黑客入侵，可能有约5亿顾客的信息泄露。美国多家律所对万豪国际酒店提起集体诉讼，索赔125亿美元。

2018年12月初，前香港民政事务局局长何志平周三因贿赂非洲官员为一家中国能源企业集团争取石油开采权而被定罪，八项罪名中的七项罪名成立，其中包括违反《反海外腐败法》。

类似于上述案例的事件一直在各国上演着，如果企业面临了合规问题，轻则破皮流血，重则伤筋动骨甚至关门倒闭。遵守各国法律法规及高标准道德应当成为企业开展经营活动的基本行为准则。

一、合规是现代企业的必然选择

合规管理既是企业面临的客观要求，也是企业自身的实际需要。如果把企业比喻成一辆在高速公路上行驶的汽车，合规就是汽车各个关键组件，汽车的正常行驶、企业的正常运营都离不开有效的合规管理。

在上路之前，汽车首先得有牌照，而合规管理就是企业正式开展经营活动或进入相关市场的牌照，比如，设立企业应当取得营业执照及办理税务登记，一家企业进入国家特许经营的行业应当事先获得审批。

汽车在道路上正常行驶必须得有方向盘，合规管理就是企业在制定企业经营策略的方向盘。例如，在开拓市场时，有的企业会坚守合规底线，以技术作为竞争优势、以产品或服务的高质量赢得市场，而有的企业则可能会罔顾合规要求，采取一些不正当的手段如贿赂等来提升业绩；即使在一个企业内部，在不同情境下，企业在面对同类合规问题时也可能会选择不同的策略，如在世界大多数国家都存在的出口管制合规要求上，有的企业可能会有选择性地遵守对自身影响大及执法严格的法律，对影响不大的法律则较为忽略。但无论如何，在企业制定经营策略时，均应当将合规考虑在内，依据风险发生的可能性及影响程度选择合适的应对策略。

汽车行驶中遇到红灯时必须停车，合规管理就是企业在面临风险时的刹车盘。例如，当企业发现外部出现了新的合规要求，而内部尚无相应的管控手段时，则应当立即根据外部要求结合自身业务实际制定内部政策及在业务流程中实施管控措施，否则就会“闯红灯”而必须接受相应的处罚。

当汽车遭遇交通事故时，安全带及安全气囊会保障车上人员的人身安全，合规管理也有同样的功效。当企业遭遇外部调查时，企业内部是否有健全的合规机制、员工是否具备合格的意识和能力、是否能够及时发现和防范风险、是否能够避免再次发生违规事件等都是调查机关关注的重点。如果企业在合规方面做得足够好，调查机构可能会给予企业一定的信用分数从而降低处罚等级或减少罚款金额。

随着合规工作的深入开展，越来越多的企业也意识到合规管理并不仅仅是费用中心，在价值创造中也发挥着不可替代的作用。一个合规的企业会在社会公众心目中树立良好的品牌形象，这是企业的无形资产；当客户将合规作为商业合作的必备条件之一时，建立了有效合规管理体系的企业将具有更强的竞争力；在办理行政许可等事项时，合规企业甚至可以获取优惠待遇。

二、建设一流的合规管理体系

01 合规管理的基本内涵

合规，就是企业的经营、管理和员工的行为符合各项可适用的行为规则，这些规则不仅包括具有法律约束力的法律法规，还包括更广义的诚实守信和道德行为准则。合规管理，就是为了达成合规目的而实施的一系列活动，主要解决这些问题：

谁在什么样的情况下按照怎样的规则做哪些事？

如何确保所有人都按照及都能按照规则做事？

如何尽快发现不按照规则做事的人？

违反规则的人应当承担怎样的后果？

如何降低违反规则的影响？

很多企业也在按照COSO等组织发布的相关标准开展内部控制工作，但内部控制与合规管理在内涵和外延中存在着比较大的区别。内部控制是从企业自身的实际状况出发，依据经营需要和企业文化而确立相应的内部规则，更多的是围绕业绩实现而关注企业的经营管理及与之相关的事项，尤其关注财务事项，比如说如何保护企业财产、如何避免业务流程中的缺漏、企业运营状况如何等等。合规管理更多的是关注外部的行为规则，将外部的法律法规和道德标注转化为企业内部的行为规范并加以贯彻执行，目标是为了确保不发生违规事件或行为而导致公司遭受损失，范围覆盖了企业经营活动的方方面面，尤其是可能对外产生影响的不同主体之间的行为。

依据合规管理的方式和效果不同，一般将企业的合规管理分为四个阶段：传统、新兴、领先、一流：

在传统阶段，企业解决合规问题往往是亡羊补牢式的，没有或只有形式意义上的合规工作，工作方式比较随意；

在新兴阶段，企业开始以对症下药的方式来解决合规问题，并逐步形成了针对具体问题的合规标准，但在业务认同及合规意识上尚存在较大的不足；

在领先阶段，企业能够积极主动地发现合规问题，并建立了全球性的流程及系统来防范合规风险，有专业的人员来保证合规要求得到一致执行；

在一流阶段，企业的合规实践成为行业标杆，合规管理以高效并有组织的方式进行，合规流程与关键业务流程及岗位职责完全整合，采用先进的工具进行数据层面的统计、分析和应用，并有充足的资源支持合规工作开展。

基于工作实践，结合其它跨国公司的经验教训以及ISO19600等规范性文件，我们认为一个一流的合规管理体系，首要的是建立高效的一体化合规组织，围绕文化、能力、机制、流程、工具等五大举措开展工作。

02 构建一体化的合规组织
合规并不仅仅是专业合规人员的职责，而是企业管理干部及全体员工的责任。这就要求企业内部建立相应的合规组织，调动各方面的资源参与到合规工作中来。相当多的企业都建立了合规委员会，由来自不同业务单位的最高领导作为委员，就企业合规管理中的重大问题进行讨论和决策，是合规管理的最高专门机构。而合规管理部门则作为合规委员会的执行机构，落实合规策略，发布合规要求并指导业务人员开展工作。在合规管理部门中，通常会设立不同业务及区域的合规官，分别负责相应业务领域或地理区域内的合规工作，同时会设立专门负责检查、调查、处罚及整体合规策略的合规官。

与合规委员会模式相对应的则是一种比较分散的模式，专业的合规职能由企业内部多个部门来承担，比如法务部、监察部或审计部等。不过在这些部门之上仍应当设立协调委员会来协调各部门之间的工作，并统一整体的合规策略。

合规委员会是战略层面的组织，在执行层面，当前比较通行的是采取“三道防线”的模式来构建组织。

业务部门履行第一道防线的职责，对其职责范围内的合规管理负有直接和第一位的责任。业务单位应当定期评估影响企业战略目标实现的合规风险，并采取恰当的风险应对策略，如消除、承受、降低或转移相关合规风险；根据合规要求在业务流程中嵌入相关管控点，确保合规风险能够得到及时发现和有效处理；应当定期进行自查，并向合规管理部门提供合规风险信息，参与并完成相关风险治理活动。

合规管理部门履行第二道防线的职责。合规管理部门为企业各业务活动提供合规支持，组织、协调、监督各单位开展合规管理各项工作。合规管理部应当制定并更新合规政策，提请确定风险偏好，确定风险识别及评价方法；厘定关键风险指标，建立合规管理系统及风险报告系统；处理合规风险，提升合规水平；组织培训宣贯，提升全员的合规意识及能力；开展对外沟通及交流，树立合规形象。

合规稽查或审计部门履行第三道防线的职责，定期对合规管理情况进行检查及调查。稽查或审计部门应当以系统的方法评价和改进企业的风险管理、控制和治理流程，开展业务检查并对违规事件及行为开展调查，对违规责任人进行处罚。

03 落实合规管理的关键举措
（1）培育合规文化

合规应当成为企业内部文化的核心价值观。只有合规文化成为全体员工的基本意识、落实为每个员工的自觉行动，整个企业的组织架构、业务流程、运作机制、人员能力才能与合规工作开展的要求相匹配，才能与合规政策及要求融为一体。

合规文化并非是空泛意义上的宣教，而是体现在每一个实实在在的行动中。在培育和塑造文化中，首要的就是高层领导的重视及参与。试想，如果高管对合规工作不认同甚至阳奉阴违，合规工作怎么可能做好呢？无论是政府部门或行业组织发布的指导文件，还是众多企业的最佳实践，都将高层重视及参与作为合规管理体系及合规工作方法论的第一个要素。比如，CEO需签署并发布适用于整个企业的商业行为准则作为员工的基本行为规范，针对特定重大合规事项发布专门的合规承诺，表明公司态度。同时，CEO要亲自参与合规工作，组织合规会议，讨论和决策合规问题。

全员的参与也是合规文化的应有之义。每位员工作为实际处理具体业务的行为人，也应当是业务中合规工作的负责人。很多企业会要求员工定期签署合规承诺书，将合规要求作为劳动合同的一部分，并且将合规评价纳入到员工的绩效考核中。同时，员工应当参加企业组织的在线或现场的合规培训并完成相应的考试，考试成绩也会成为员工任职能力测评及资格认证的关键内容。

另外，违规事件或行为的调查和处罚以及相应的案例警示，也是培育合规文化不可缺少的手段。企业应当建立7×24小时的举报热线及设立举报邮箱、IT举报平台，并提供当地语言支持，甚至聘请第三方来对举报热线提供服务，保护员工匿名举报的权利。

通过切实有效的合规文化建设，将合规价值观内化到每个员工的认知、能力及行为中，成为约束企业经营管理及员工业务活动的内心道德，只有这样才能确保企业最终实现合规，达成远景及使命。

（2）推进能力提升

合规就是以正确的方式做正确的事。如何判断什么是正确的事以及正确的做事方式，就涉及到了能力问题。只有不断提高合规专业人员及普通员工的能力，才能确保合规要求能被正确地理解和执行，才能确保合规工作落到实处。

合规培训及宣贯是提升员工能力的重要方式。当发布合规政策之后，应当组织专门的会议或者发布书面的宣贯文件，对合规政策中的关键内容进行讲解，对于大家关注的问题则应当发布Q&A；对于重要的合规领域，应当开展在线或者现场的合规培训，要求全体员工每年至少学习一次。完成培训的员工可以获得证书，而如果不完成相应的培训，员工则应当承担不利的后果。除了通用性的意识或基础技能培训之外，企业还应当基于业务类型、基于岗位性质分别开发针对性的课程或合规手册，将不同领域的合规要求整合成一体，为具体业务活动提供明确的指引。

值得注意的是，合规能力提升的责任主体并不仅仅是合规管理部门，业务单位也应当承担起相应的职责来。业务单位最为熟悉自身的业务流程，合规要求如何以最有利于接受和执行的方式为员工所理解和接受、在执行过程中应当着重关注什么和避免哪些方面的问题，都离不开业务单位的贡献。所以，认证兼职的规讲师、输出基于业务的合规文档也是颇受欢迎的能力提升方式。

（3）健全运作机制

合规工作必须以有组织、有效率的方式运行，能够集中各方面的资源、协调各方面的关系实现共同的目标。一流的合规管理体系，离不开稳定、有效的运作机制，包括沟通机制、考核机制、激励机制及重大事项决策机制等。

企业内部的沟通机制，可以使员工及时地了解到与之相关的外部法律要求及内部合规政策、业务流程及能够使用的工具和获取指导的方式，可以使员工毫无顾虑地发表疑虑并得到回应。这些沟通机制，可以通过企业内网、设立的咨询热线以及指派的合规专家来实现。对外而言，沟通机制也是非常重要的，企业可以定期发布合规报告，展现公司在一段时间内的合规投入、举措和成效，并与客户、供应商等进行沟通，树立负责任的公司形象。此外，企业的合规委员会及其他合规组织也应当定期召开会议，讨论合规工作，统一合规认知，并作出工作安排。

考核机制分为对组织的考核及对人员的考核。从组织层面来讲，企业可以开展内部的评估，对各业务单位的合规工作，如合规培训、合规项目进展、业务检查情况、违规事件及合规风险大小等进行综合评判；对于人员而言，应当将合规纳入到所有管理干部及普通员工的绩效考核中，合规评价的结果将直接影响到个人的切身利益，影响到职业发展。依据考核结果，企业应当实施相关的奖惩激励，对于做得好的给予相应的物质激励或精神激励，对于做得不好的则应当扣减相应的业绩、组织专门会议听取其改进方案等等。

部分外部法律要求极为严苛且需要企业将之作为时刻遵守的行为底线，或者部分合规风险会对企业产生极为重要的影响，这些构成了企业合规工作中的重大合规事项，需要企业有相应的决策机制。有的企业将这些事项纳入到了合规委员会的职责范围内，有些则下放给了专业的合规部门，当出现影响公司的重大事项时，相关机构可以行使一票否决权，任何业务单位或人员的行为都不得凌驾于合规要求之上。

（4）落实流程管控

合规并不是一项可以自我孤立存在的业务，它是与企业的具体业务密不可分的。合规管控真正要有效，必须要与企业的业务流程结合起来。做好流程管控，最为核心的就是确定合规所要约束的事项，因为合规也是在执行法律要求及道德标准，作为法律及道德调整对象的各种社会关系中的主体、客体和内容就是合规关注的业务流程中的关键事项。其中最为重要的是客体，只要抓住了客体，则相应的主体和内容就可以随之抓住。

例如，出口管制合规有四个关键要素——主体、国家、产品和用途，做好出口管制合规的前提条件，就是确定产品的范围，判断公司所采购及对外销售的硬件、软件、服务或者技术是否为相关国家所管控。如果受控，则需要从产品开始进入公司开始确定相关的管控手段，如收集信息、做好标记，到产品离开公司之前，判断是否将产品卖给不合适的人、卖往不合适的国家或者做不合适的用途。数据保护合规中，最为关注的就是个人隐私。所以企业首先需要确定的就是是否在收集个人隐私，是来自于员工，还是来自于消费者，或者是来自于客户传递的其它个人信息，只有明确了这些内容才能准确定位业务流程，如是在入职或销售环节限制信息收集，还是在存储环节做好信息安全管控手段？还是规范企业经营管理行为中的使用目的等等。

（5）完善IT工具

合规工作的高效开展也离不开先进工具的使用。当前越来越多的公司引入IT系统以提高合规管理的效率，对来自于不同业务系统的数据进行统计和分析以形象化的方式展现企业合规风险状况及合规工作成效，支撑业务部门及合规管理部门进行决策。同时，使用IT系统进行合规管理，也有助于做好文档保存，将各种信息资产固化在系统中，便于实现经验分享及知识沉淀。

依据功能不同，合规IT工具可分为综合性的合规管理平台及专门的合规风险管理系统。合规管理平台一般作为合规管理部门业务的主要操作平台，比如合规咨询、合规举报、合规检查、合规评估及合规资源等均在合规管理平台上进行；专门的合规风险管理系统则聚焦某一方面的合规风险，如在海关遵从及出口管制合规管理、黑名单扫描及尽职调查方面，业界均有较为先进的信息化管控系统。

三、结语

随着中国经济的发展，越来越多的企业走出国门，面临着前所未有及空前严峻的监管形势，这就需要合规管理来为国际化的中国企业保驾护航、实现价值创造。只有不断强化合规管理、熟悉和运用合规游戏规则才能在国际化道路上获得可持续发展。

（文：谢国辉/阿里巴巴集团合规总监）

小编微信：Crocso  如欲就法务与合规管理进行交流、培训、咨询等，可与我联系，将为您推荐大咖老师、资深专家和律师。