企业合规体系探析

李修齐

【摘  要】随着我国依法治国建设的不断推进与商业形势的不断变化，企业合规近年来逐渐成为了各企业密切关注的话题。为了使企业的运行更为规范，规避法律风险，在企业内部构筑一套科学而实用的合规体系尤为重要。本文试从企业合规的源起、企业合规体系的构筑方法、建立企业合规体系的效用与意义三个维度对企业合规体系进行探讨，以求对企业合规实践有所帮助。

【关键词】企业;合规;体系;探析

1.企业合规的源起

1.1企业合规的概念

根据2018年11月2日国务院国资委发布的《中央企业合规管理指引（试行）》的定义，企业合规即指企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。根据指引的定义，企业合规包括三层含义：一是企业在运营过程中要遵守法律法规;二是企业要遵守自身制定的规章制度;三是企业对外交往要遵守国际商业行为守则和规范。

1.2企业合规的渊源

“合规（compliance）”作为一个舶来词，即指合乎规定、遵守法律规则，约定俗成地翻译成“合规”。合规本质上是一个公司为防控合规风险所采取的治理结构和治理体系。合规的主要功能是为企业防控法律风险，保持企业健康持续发展。但仅仅依靠企业自发性地建立类似制度，并不能很好地起到防控法律风险的效果。20世纪90年代，美国在立法中确立了企业合规的内容，此后英国以及欧洲大陆各国也逐步在立法中确立了企业合规。

就我国而言，在企业合规概念确立之前，《公司法》就对公司组织机构的设置、人员构成、职权和议事规则做出了一些强制性规定。对于上市公司，监管机构出台了大量的与上市公司治理相关的规范性文件。这些规定和文件为公司治理中的合规管理提供了政策和法律依据。2014年12月，国际标准化组织发布了《ISO19600： 2014合规管理体系指南》，该标准适用于各种类型的组织，为在组织内部建立、发展、实施、评估、保持和提升有效的合规管理体系提供指引。2017年12月，我国国家标准化管理委员会发布了GB/T 35770-2017《合规管理体系指南》国家标准，这部国家标准同样采用了ISO19600标准，为中国企业建立合规管理体系提供了指南。2018年11月2日国务院国资委发布的《中央企业合规管理指引（试行）》中明确了董事会、监事会、经理层等不同层级主体合规管理职责，并要求中央企业设立合规管理委员会，与企业法治建设领导小组或风险控制委员会等合署，承担合规管理的组织领导和统筹协调工作。

2.企业合规体系的构筑方法

2.1企业合规分类

从宏观角度来看，企业合规在实践中有“大合规”与“小合规”两种。“小合规”一般指企业具体合规制度的建设、修订、审核、实施及监管，企业内部规范性政策的起草、修订、审核、实施、监管等;“大合规”一般指与企业运营相关的所有行为均纳入合规管理中，具体涉及生产、营销、财务管理、人力资源管理等全部业务、管理方面，以及全体员工对所有适用的法律规范、制度规定、行业准则、执业操守的普遍遵从。我们拟建立的全面企业合规体系，就是建立在“大合规”基础上的，覆盖公司治理、制度制定、决策运营等各个方面的全方位、系统性工程。①

从合规内容具体方向来看，企业全面合规体系包括民事合规、行政合规、刑事合规三方面内容，覆盖了企业管理的所有领域，贯穿了企业业务的全部流程，三者相互依托，各有侧重，以人为本，重视一线，共同组成全面合规的有机整体。

民事合规的内容主要包括：提供口头、书面的法律咨询，针对企业日常工作和经营管理中遇到的各类法律问题，及时以电话、传真、电子邮件、约见、会议等形式提供咨询意见;审查、修改、制定合同标准文本、采购文件，对企业签订的各类合同文本、采购文件进行审查并提供修改意见，协助制作标准文本，及时对企业各部门日常工作中的各类法律文件进行起草、审查、修改并关注后续的履行动态，审核、修改企业的规章制度及其他法律文书，提出修改意见及法律依据，协助企业做好公司规章制度建设，协助企业做好法律风险防控工作，协助企业构建法律风险防控体系，出具法律意见书、见证书、律师函、有关民事合规的尽职调查报告，参与企业各类谈判及决策论证，做好企业与第三方纠纷矛盾协调解释工作，协助劳动人事管理，完善劳动用工规章制度、劳动合同。民事合规法律服务是日常法律顾问服务的升级版。传统法律顾问服务是就事论事，没有指向性。民事合规法律服务除了传统日常法律顧问服务以外，还承担着搜集全面合规管理体系的信息来源工作，是有目的的日常法律顾问服务，是行政合规、刑事合规法律服务的基础。

行政合规的内容主要包括：协助企业办理设立登记手续及相关法律事务，梳理企业经营过程中的行政监管风险并结合高发、多发风险进行制度设计，针对隐形行政监管风险出具法律意见书进行事前防范应对，委派专业律师针对行政风险事件进行陈述申辩、复议，参与行政诉讼案件的司法应对措施，开展定期培训，开展不定期重点业务领域风险培训、行政监管风险培训，帮助企业各部门及员工树立合规意识、协助合规业务顺利展开。对于有行政监管职责的单位而言，行政合规法律服务是帮助单位和员工依法履职;对于行政被监管单位而言，行政合规法律服务是帮助单位和员工在业务开展过程中符合行政法规的要求，避免行政处罚的发生。

刑事合规的主要内容主要包括：针对国有资产监管、环境保护、土地监管、土地建设、安全生产、劳动用工、公共卫生、知识产权与信息安全等可能存在的刑事风险进行分门别类的梳理，总结高发多发刑事风险领域并进行制度设计，针对公司经营过程中的重要环节、重点岗位、重点人员制定刑事风险防范的关键措施，针对企业主营业务中可能涉嫌的高发犯罪及隐性刑事风险进行审查，与相关部门进行专项评估并出具法律意见书，委派专业律师参与刑事案件的全过程，防止个人犯罪被认定为单位犯罪、防止企业合法财产被违法扣押、帮助企业依法处理涉案财产。刑事合规法律服务是从培养员工识别刑事风险能力和提高合规应对措施的能力入手，在员工操作层面上把合规管理和业务流程融为一体，持续对职务类及业务类风险点进行识别和合规应对，使杜绝刑事犯罪成为可能。②

2.2企业合规体系建设的具体方式

（1）公司治理中的合规管理。公司治理解决的问题是如何把股东、董事、监事、高级管理人员、普通员工、监管机构和社会公众等利益相关方的诉求有效地转化为公司的决定和行动，并在这一过程中实现各方利益的平衡。

合规管理是企业稳健运营、发展壮大的基石。良好的公司治理可以促进企业的股权结构合理化，加强企业的内部控制，降低企业的代理成本，增强企业的核心竞争力，提高企业的经营业绩，实现企业的可持续发展。缺失规范优良的治理规范，企业就将面临效率低、内部控制失效、重大风险持续、发展速度受限等困境。因此，完善治理结构、健全规章制度、加强制度执行力、规避企业面临的法律风险都是企业合规管理的重要内容。

完善公司法人治理结构要求在实行所有权与经营权两权分离的制度安排上，建立起科学的激励和监督机制。只有公司的所有者、经营者、管理者、监督者恪尽职守，又不越位，才能形成良好的运行机制，使企业持续保持活力。为此，需要科学地配置公司的控制权，保证股东会的最终控制权，保证董事会的独立决策权，保证监事会的有效监督权，保证经理自主经营管理的权力。“法人治理结构”是现代企业制度中最重要的组织架构，是企业经营过程中降低经营风险、提高内控水平的组织保障。建立各自独立、责权分明、相互制衡、相互协调的公司治理机制是现代企业改革之路上一个必经的步骤，且刻不容缓。

（2）股东会对合规风险的防控。其一便是实体防范和控制。就股东之间而言，股东和股东会层面风险防范和控制的目标是公允地对待所有股东的股东权利，确保股东按照其对公司的贡献和承担的责任相适应的程度行使权利和履行义务，并且原则上按照出资比例行使表决权和受益权等可以量化的股东权益，同时以确保公司利益和股东整体利益为目标，公允行使知情权、质询权、检查权等非量化权益。股东会层面合规风险防控重点是防范和控制控股股东及实际控制人滥用控制权损害公司及公司其他股东利益，尤其是落实公司对重大关联交易的回避表决机制。就股东与管理层之间而言，股东和股东会层面风险防范和控制的目标是防范公司出现内部人控制，即防范和控制经营管理层滥用运营控制权，损害股东的利益。合规风险防控重点是落实股东（大）会和董事会的职能，尤其在董事和监事的委派或选举方面，在公司发展战略、经营计划和投资策略方面，在公司经营目标、财务预决算和利润分配方案审批方面，在公司重大事项批准方面，落实股东（大）会的批准权。其二是程序防范和控制。实体权利的享有和行使以及实体义务的承担和履行都依赖程序保障股东和股东会层面的风险防范和控制的程序措施就是完善和严格履行股东（大）会会议制度，通过会议的提议、召集、通知、举行、审议和表决、做出决议、下发等程序安排，将所有股东的权益和权利落实在每一项具体的行为流程中，以控制公司运营中的合规风险。③

（3）董事会、监事会对合规风险的防控。企业会计准则将控制董事会视为控制公司的标志。因此，董事会层面的风险防范和控制是公司战略意义上的风险防范和控制。董事会是企业的经营决策机构，对企业的合规管理承担最终责任。

董事会层面风险防范和控制的目标有两个方面，一是延续股东和股东会权利，防范公司出现内部人控制，即防范和控制经营管理层滥用运营控制权，损害股权的利益;二是防范决策失误。防范内部人控制的重点是明确董事会与经营层的分工，落实董事会的职能，尤其在高级管理人员的聘任、职能设置、薪酬待遇、考核、奖惩方面，在公司发展战略和经营计划方面，在公司财务预决算和利润分配方案制订方面，在公司重大事项审批方面，落实董事会的决策权。

为了加强合规在公司治理中的作用，董事会之下可以设置合规委员会，作为董事会下设的专门工作机构，主要负责推进和指导公司合规管理工作。委员会负责人通常由董事会的一名主要成员担任;在首席执行官之下设立首席合规官，由后者领导起一个自上而下的合规管理团队;一旦发现公司存在合规风险，合规部门将会承担报告责任，不仅要向高级管理层进行报告，而且还要向董事会直接报告。公司在各项业务运行、财务管理乃至审计监督等环节，都要接受合规部门的独立审查。

作为公司内部的监督机构，监事会的角色定位就是防止董事会、管理层滥用职权，损害公司和股东利益。监事会的合规管理职能，就是监督董事会和高级管理层合规管理职责的履行情况。

董事会、监事会层面的风险防范和控制的程序措施就是完善和严格履行董事会会议制度和监事会会议制度，通过会议的提议、召集、通知、举行、审议和表决、做出决议、下发等程序安排，将董事和监事的职责落实在每一项具体的行为流程当中。

（4）经营层对合规风险的防控。企业日常经营层面的风险防范和控制是企业发展战略执行环节的重要组成部分，经营层面的风险防范和控制措施是完善企业的内部风险控制体系，又称内部控制或内控制度、内控体系。

公司经营层即以总经理为首的高级管理团队，统一领导各个层次的经营管理活动。其主要的职能是制定经营目标、方针、战略，制定利润的使用、分配方案，制定、修改和废止重大规章制度，指挥和协调各组织机构的工作和相互关系，确定它们的职责和权限。作为公司经营管理的执行者，经营层根据岗位分工对公司合规管理负相应管理责任，对公司违规或员工违规给股東造成损失的应承担具体的管理责任。经营层应明确合规管理部门及其组织机构，为其履行职责配备充分和适当的合规管理人员，将责任和权利分配给相关角色，并确保合规管理部门的独立性。

企业合规审计是企业内部审计部门对作为企业内部控制核心内容的企业合规管理的适当性和有效性进行的内部审计。企业合规审计既属于企业内部控制范畴，也是企业合规管理体系的重要的、基本的构成要素。这一点已被有关企业合规管理的国际组织的标准、指南以及我国国家标准、指引和办法所确认。定期对公司的合规管理情况进行独立审计也是企业合规风险管理的最后一道防线。

生产经营活动的井然有序依赖管理流程，每一项具体的经营管理活动都必须有明确的作业流程，最简单的如公司印鉴使用流程、公司投资立项流程，等等。企业应建立有效的内部控制评价机制。评价机制的参考标准不仅可为企业自我评估和改进其内部控制提供依据，还可以通过评价机制对整个体系的运作状况进行综合评估，使公司高层管理层找到内部控制的薄弱环节，以采取相应的改进措施，促进体系的不断完善。

3.建立企业合规体系的效用与意义

全面合规法律服务方案的实施，可以为企业建立一套自下而上的全面合规体系。这个过程从外部律师的帮助开始，逐步可以由企业管理者及员工随着日常的工作自动完成。无论外部监管措施及相关法律法规发生什么变化，由于企业及员工在不停的进行着合规操作，合规体系也在不断的生长进化，他的生命力会使他与外部环境始终相适应，并最终与公司的管理体系融为一体。

随着我国市场经济的不断发展，企业逐渐在日常业务中遇到越来越多的法律问题与法律风险。企业合规既是企业治理体系和治理能力现代化的一个重要标志，也是国家治理体系和治理能力现代化的一个重要组成部分。企业合规既是企业经营发展的内在保障机制，也是经济秩序和社会秩序的基础性保障机制。企业合规的有效性实质上就是企业回应国家和社会要求的能力，因而构成企业至关重要的管理方式。随着我国市场经济的发展和经济的国际化，建立健全企业合规体系是一种必然要求，无论监管本国企业，还是本土的外资企业，无论企业在国内经营，还是在国外、境外经营，都需要合规管理。因此，合规是企业管理现代化的需要，是市场经济发展的要求。④

注释

①参见丁为民、仝洋：《探析企业全面合规体系建设》，法务人俱乐部微信公众号2021年3月25日推送。

②参见杨力：《中国企业合规的风险点、变化曲线与挑战应对》，《政法论丛》2017年第02期。

③参见邢娟：《论企业合规管理》，《企业经济》2010年第04期。

④参见关仕新、陈章、张宁：《“三人谈”|以检察履职助力构建企业合规制度》，正义网2021年3月1日新闻，新闻网址：http：//news.jcrb.com/jsxw/2021/202103/t20210301_2255793.html

華东政法大学    上海    200042