自我国监管部门引入合规监管方式以来，有效合规管理大体形成了两种相对独立的制度模式。其中，日常性合规管理是企业在行政监管部门的指导和监督下，以预防相关合规风险为主要出发点，建立常态化的合规管理体系；合规整改则是企业在行政机关、司法机关的执法压力下，或在国际组织采取制裁措施的情况下，以减轻处罚或者取消制裁为目标，针对业已暴露的违法、违规或犯罪行为，采取有针对性的合规整改措施。在确保企业有效防控合规风险方面，这两种合规管理模式各有其制度结构和公司治理功能，也存在着各自的优劣得失。在企业合规管理体系的建构方面，这两种模式既可以相互转化，也可以相互补充和完善。

 

关键词：有效合规管理；日常性合规管理体系；合规整改；制度纠错；体系化犯罪预防

引 言

 

从本质上说，企业合规是指一种基于风险防控的公司治理方式。然而，若没有行政机关、司法机关以及国际组织的外部推动，就没有任何企业会自生自发地建立合规管理体系；若不从行政监管、刑事执法或国际组织制裁等方面建立强有力的压力机制和激励机制，企业就不会产生建立合规管理体系的足够动力。自2005年以来，我国企业通常沿着两条道路推进合规管理体系的建设：其一，在行政监管部门的指导和监督下，企业以预防相关合规风险为主要出发点，建立常态化的合规管理体系；其二，在行政机关、司法机关的执法压力下，或者在国际组织采取制裁措施的情况下，涉案企业以追求减轻处罚或者取消制裁为目标，针对业已暴露的违法、违规或者犯罪行为，采取有针对性的合规整改措施。由此，我国初步形成了两种合规管理模式：一是日常性合规管理模式，二是合规整改模式。

 

所谓“日常性合规管理模式”，又被称为“面向市场的合规计划”，是指企业在没有违法、违规或者犯罪的情况下，根据常态化的合规风险评估结果，为防范企业潜在的合规风险，开展合规管理体系建设。迄今为止，我国金融监管部门已发布了金融领域的合规指引，国有资产管理部门已发布了中央国有企业合规管理指引，国家发展和改革委员会也会同其他监管部门发布了中国企业海外经营合规指引。这些合规指引为相关企业建立日常性合规管理体系提供了参考、标准和依据。但是，在建设日常性合规管理体系的过程中，很多企业并不具有真正的“合规风险意识”，并不是根据风险评估结果来建立有针对性的合规管理体系，而是将合规理解为“依法依规经营”，将几乎所有可能的合规风险均作为防范对象，倾向于建立一种同时覆盖多种甚至数十种专项合规管理领域的“一揽子合规计划”。这种“大而全”的合规管理体系，可能只是一种纸面上的合规计划，难以切实有效地发挥预防合规风险的作用。

 

所谓“合规整改模式”，又被称为“应对危机的合规计划”，是指这样一种治理方式，即企业在面临行政执法调查、刑事追诉或者国际组织制裁的情况下，针对自身在经营模式、管理方式、决策机制等方面存在的漏洞和隐患，进行有针对性的制度修复和错误纠正。目前，我国市场监管部门已对多家网络平台企业展开“反垄断执法行动”，责令这些企业提交反垄断合规整改方案，或要求其作出反垄断合规整改承诺。我国各级检察机关正在进行企业合规不起诉改革探索，对那些符合条件的涉案企业，或责令其提交合规整改方案，或要求其作出合规整改承诺，并设置合规考察期，指派合规监管人，督促企业限期进行合规整改，而且在考察期结束前要进行合规验收，根据验收结果作出是否提起公诉的决定。不仅如此，在世界银行以及其他国际金融机构的监督指导下，那些因违反相关规则而接受国际金融机构制裁的企业，一旦承诺根据世界银行的“诚信合规指南”作出合规整改，就可以重建合规管理体系，若通过了国际金融机构的合规整改验收，企业就有机会被解除制裁，重新获得参与招投标的资格。总之，企业在行政机关、司法机关或国际组织的监督指导下所开展的合规整改活动，最终也促成了合规管理体系的建立。

 

但是，相对于国际组织的制裁压力所促成的合规整改而言，我国行政机关和司法机关督导下的合规整改尚处于刚刚起步的阶段，既缺乏具有可操作性的合规指南，也不具备行之有效的验收标准。在合规整改方案的设置上，一些涉案企业要么针对违法犯罪发生的制度原因确立非常具体的纠正措施，没有将这些措施纳入合规管理体系，要么制定空洞宽泛的合规计划，不去顾及排查违法犯罪原因和修复相关制度。行政机关和司法机关一旦接受了这些不合理的合规整改方案，就很容易使合规监管和合规考察流于形式，难以发挥实质性的预防效果。可以说，如何在行政监管领域和刑事执法领域确保合规整改的有效性，已经成为一个亟待解决的实践难题。

 

从合规理论发展的角度来看，诸多研究者已对合规管理体系的有效性进行了初步研究，大多重视“合规计划应在预防违法犯罪方面发挥有效作用”，强调不能只建立“纸面上的合规计划”。但是，由于对企业合规管理的规律缺乏深刻认识，且对合规管理的有效性问题缺乏科学的实证研究，因此，很多相关研究都着眼于介绍、分析和评价欧美国家乃至国际组织的合规标准，重点关注我国如何引进这些合规标准。尤其是在日常性合规管理模式和合规整改模式齐头并进的情况下，研究者更缺乏对“两种合规管理模式如何衔接”这一问题的研究，这造成了理论上的混乱，使企业无论是在建构日常性合规管理体系方面，还是在合规整改方面，均缺乏基本的理论指引。

 

有鉴于此，本文拟对企业合规管理的两种模式作出初步理论分析。笔者将对日常性合规管理模式和合规整改模式的适用对象、基本功能和制度构造作出比较考察。在综合评估两种模式之优劣得失的基础上，笔者将对两种模式的制度衔接问题作出简要讨论。本文所要论证的基本结论是，日常性合规管理模式和合规整改模式各有其适用范围与制度构造，可以各自发挥独立的功能，但在企业合规管理体系的建构方面，这两种模式既可以相互转化，也可以相互补充和完善。

 

一、日常性合规管理模式

 

企业之所以要建立日常性合规管理体系，通常出于两方面动机：一是出于增强企业市场竞争能力的考虑，将企业合规治理作为降低企业经营风险、提高企业声誉、获得更多商业交易机会的手段；二是出于应对监管部门的监督、考核和行政指导的考虑，将建立日常性合规管理体系作为达到监管要求和通过监管验收的手段。然而，无论出于何种动机，企业一旦着手建立日常性合规管理体系，就要遵循日常性合规管理模式的规律，按照监管部门的合规指引或合规指南，建立体系化的合规计划。与危机发生后的合规整改相比，日常性合规管理既具有一些特殊的性质、功能和制度结构，也具有一些显而易见的局限性。

 

（一）日常性合规管理的性质

 

企业对合规管理体系的建立，一般存在两种情况：一是从无到有地搭建一套合规计划；二是在已经初步建立合规管理体系的情况下，基于有效合规的理念，对该体系进行适当的完善和调整。但无论是哪一种情况，企业在没有遭遇行政调查、刑事追诉或国际组织制裁的情况下，所要建立的都是日常性合规管理体系。与危机发生后的合规整改不同，日常性合规管理体系的建立具有以下基本特征：其一，日常性合规管理体系的建立所针对的是潜在的合规风险；其二，不应建立“大而全”的通用合规计划，而应制定针对特定风险领域的专项合规计划；其三，日常性合规管理应覆盖企业决策、经营、财务、人事等管理的诸多环节，形成一种完整的合规治理体系；其四，日常性合规管理体系在预防合规风险、监控违规行为和应对违规事件等方面，应当行之有效，而非流于形式。下文对这四个特征依次作出简要分析。

 

首先，日常性合规管理体系是以防控合规风险为目的的公司治理体系。企业在建立这种合规管理体系时，一般既没有面临迫在眉睫的受到惩罚或制裁的现实危险，也没有陷入违法行为被调查、违规行为被查处、犯罪行为被追诉的困境。但是，由于在决策、经营、财务、人事等各个管理环节存在着制度漏洞，所以，企业内部时而会发生一些不合法或不合规的情况，这尽管没有形成现实的危机，却带来了潜在的合规风险。假如企业不建立日常性合规管理体系，那么，这些潜在风险就有可能转化为一些显在的违法事件，企业被行政机关调查、被司法机关立案乃至被国际组织制裁的可能性将大大增加。不仅如此，无论是行政执法调查、刑事追诉，还是国际组织制裁，最终给企业带来的均不仅是被行政处罚、追究刑事责任的结局，更会导致各种市场准入资格的被剥夺和商业交易资格的丧失，以及由此带来的商业声誉的降低。

 

但是，不同企业所面临的具体合规风险存在差异。基于业务类型、公司治理结构、商业模式乃至企业文化的不同，不同的企业可能会在不同领域具有违规、违法乃至犯罪的可能性。例如，那些在海外从事经营业务的企业，更可能在违反出口管制法、实施海外贿赂、违反数据保护法乃至从事洗钱活动等方面具有合规风险。又如，那些在国内从事生产、经营、贸易、投资等活动的民营企业，更有可能在虚开发票、走私、侵犯商业秘密、污染环境、非法经营、串通投标、侵犯个人信息等方面从事违法犯罪活动，并由此具有受到国内监管部门调查或者刑事追诉的风险。再如，那些参与世界银行以及其他国际金融机构的项目招标的国有企业，更有可能实施商业贿赂、欺诈等违规行为，由此受到国际组织作出暂停投标资格的制裁，甚至在不建立诚信合规管理体系的情况下，有可能受到被永久取消投标资格这种最严厉的制裁。

 

其次，日常性合规管理体系是为预防特定合规风险而建立起来的，其必须是一种专项合规管理体系。通过风险评估和识别，企业能够发现最容易出现危机的若干风险领域，而后针对在这些领域中可能出现的违规、违法乃至犯罪问题，建立专门化的合规治理体系。“专项合规计划”是指，企业针对特定领域的合规风险，为避免因违反相关法律法规而遭受行政处罚、刑事追究以及其他方面的损失所建立起来的专门性合规管理体系。对于那些从事国际贸易或进出口业务的企业而言，常见的专项合规计划包括反商业贿赂合规计划、诚信合规计划、出口管制合规计划、反洗钱合规计划、数据保护合规计划等。而对于那些单纯从事国内业务的企业而言，常见的专项合规计划主要包括反垄断合规计划、反不正当竞争合规计划、反商业贿赂合规计划、知识产权保护合规计划、反洗钱合规计划、大数据保护合规计划、税收合规计划、证券合规计划、环境保护合规计划等。

 

在建立专项合规管理体系方面，企业往往会陷入一种误区：以为“合规就等于依法依规经营”，以为监管部门的合规指引所列举的合规风险都是企业通过合规管理所要防范的对象，并由此建立“大而全”的合规管理体系。其实，监管部门的合规指引作为规范性文件，只是指出企业“可能”会面临的合规风险，而不意味着每个企业“实际”均面临着这些风险。企业通过建立合规管理体系，所要防范的不是一般性的合规风险，而是那些与自身商业模式和经营方式密切相关的结构性合规风险。只有针对这些风险，企业才需要建立特定的专项合规计划。例如，金融机构最需要防范的是洗钱风险，故需要建立反洗钱合规计划；医药企业最需要建立的通常是反商业贿赂合规管理体系；化工企业所要建立的往往是环境保护合规管理体系；网络平台企业所要建立的通常是数据保护合规管理体系。在建立专项合规管理体系时，假如不从防范特定的合规风险入手，那么，企业所建立的可能就是覆盖十几项乃至数十项风险领域的合规计划。这样的合规计划看似十分全面，其针对的是多种企业违法、违规或者犯罪问题，但由于缺乏应有的针对性和可操作性，故往往成为一种流于形式的“规范”，难以有效发挥防范合规风险的作用。

 

再次，日常性合规管理应融入公司治理体系之中，成为公司治理结构的有机组成部分。在通常情况下，一个企业针对自身所面临的结构性风险，通常会形成以董事会为核心的决策治理体系、以首席执行官团队为中心的业务治理体系以及以首席财务官团队为首的财务管理体系。相比之下，合规管理是独立于决策治理、业务治理和财务管理的管理活动。合规管理由首席合规官团队负主要责任，其以最大限度降低企业合规风险、避免企业遭受损失为主要目标，最终旨在确保企业依法依规经营。为保证合规管理的有效性，企业最高层要作出合规承诺，并承担最终的责任；董事会要成立合规管理委员会，董事长和首席执行官都应成为委员会成员，使合规管理委员会成为最具权威的合规决策机构和监督机构；企业要设立首席合规官，并赋予其与合规管理职务相称的地位和资源；企业要设立合规管理部门，为其配备足够的人员和预算，并确保其具有独立性和权威性；企业要在其分支机构和各部门设立合规执行部门或合规专员，使合规管理能够渗透到企业的生产、经营、财务以及其他业务的流程之中；企业还要确立合规审查制度，使合规部门、首席合规官乃至合规管理委员会拥有否决不合规业务的权威；另外，合规管理应成为企业人事管理的内容，成为对员工进行考核和奖惩的依据。通过这种制度设计，合规管理就不再仅仅是一种针对企业依法依规经营的“外部监督力量”，还会内化为公司治理结构的有机组成部分。

 

与危机来临后的合规整改不同，企业在建立日常性合规管理体系时，通常拥有较为宽裕的时间，可以根据企业合规风险的现状，在公司治理结构之中完成对合规管理体系的搭建，实现对合规管理与决策治理、业务治理、财务管理的有机整合。一个企业的合规管理的体系化程度越高，与公司治理结构的结合越紧密，该企业防范合规风险的成功率也就越大。

 

最后，在防范合规风险方面，日常性合规管理体系应当发挥有效作用。几乎所有监管部门都强调合规管理的有效性。假如合规管理只是一种纸面上的合规计划，无法起到防范、识别、监控、应对违规事件的作用，那么，这种合规管理将是毫无价值的。日常性合规管理体系的有效性主要体现在事前、事中和事后三个方面：一是在违规行为发生之前，企业合规管理体系可以发挥评估合规风险、预防违规行为的作用；二是对企业经营的每一环节进行实时的合规监控，以便及时发现、识别和报告已经发生的违规事件；三是在违规事件发生后，及时对违规行为加以调查，发现并查处责任人，报告违规事实，以利于企业对合规管理体系作出持续的改进和完善。

 

（二）日常性合规管理的制度构造

 

相对于传统的外部监管手段而言，合规是企业实行“自我监管”（self-policing）的内部治理体系。合规管理体系的有效运行，意味着企业要将法律、法规、行业规范、规章制度、国际条约所确立的规则内化为规范公司决策、经营、财务、人事等的行为准则。若要有效发挥防控合规风险的作用，日常性合规管理就需要具备一系列基本制度要素，并使之形成完整的制度体系。我们可以通过总结一个国有企业建立日常性合规管理体系的经验，概括出有效的日常性合规管理的制度构造。

 

自2014年起，北汽股份有限公司就在国务院国有资产监督管理委员会、北汽集团的指引和德国戴姆勒公司的帮助下，探索既适合本土也符合国际趋势的企业管理体系建设之路。2018年12月，北京市人民政府国有资产监督管理委员会实施《市管企业合规管理工作实施方案》，选定北汽集团等五家企业开展首批合规管理工作试点。经过两年多的探索和建设，北汽股份有限公司初步形成了一套合规管理体系。

 

在组织体系上，北汽股份有限公司设立“诚信合规委员会”，下设诚信合规办公室，办公室成员由合规部人员兼任，负责牵头处理公司的全部合规业务。在公司下设的各中心，则设立“专业诚信合规委员会”，在公司诚信合规委员会指导下开展合规工作。该公司保证合规部门的权威性和独立性，及时将合规风险和相关事项回报给最高决策者。

 

在制度体系上，北汽股份有限公司密切关注反商业贿赂、反垄断、反不正当竞争、规范资产交易、招投标、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴等重点领域的合规问题，并根据公司业务发展对合规重点领域及时进行更新。针对上述合规重点领域，北汽股份有限公司编制并发布了《北京汽车合规手册》，向全体员工介绍合规要求，提示合规风险，并对手册内容定期作出更新，开发了合规筛查系统，以便及时识别和规范重点领域的合规风险。同时，公司还制定了《北京汽车股份有限公司行为准则》，确立了管理人员、员工、派出人员、商业伙伴一体遵守的纲领性文件。

 

在合规运行机制上，北汽股份有限公司建立了合规风险识别和评估、合规风险控制、合规监控、合规宣传及培训、合规监督与改进五大运行体系。该公司每年进行综合性合规风险评估和专项风险评估，结合评估结果制定合规指引，指导业务部门开展合规工作。合规风险控制包括合规制度制定完善、合规筛查、重大项目和合同合规审核、合规强制咨询、经营决策合规支持等内容。法律与合规部门对各单位进行合规审查，开展合规审计，通过合规举报管理开展合规监控。合规宣传和培训既包括对内部员工、商业伙伴、第三方开展定期或者专项合规培训，也包括对合规人员的业务培训。公司每年对合规管理情况进行总结，提交年度合规评估报告，实行合规奖励和惩戒制度。总体上，合规风险的识别与评估、审查、监督、培训、持续改进等措施形成了相对封闭的完整体系，这种体系化运行机制既是企业主动预防、识别合规风险的关键制度安排，也是企业不断完善合规制度体系、有效应对和处理合规危机、实现企业自治管理的重要保证。

 

这是一个兼顾了我国监管部门的要求和国际惯例的日常性合规管理体系建设的案例。通过观察这一案例，分析监管部门的合规管理指引，并参考有效合规管理的国际标准，我们可以提炼出日常性合规管理体系的基本制度要素。在一定程度上，与国家治理的法律结构相似，企业合规的治理结构通常也包含四项要素：一是作为企业宪章的“合规章程”；二是作为实体规范的合规政策和员工手册；三是作为企业组织规范的合规组织体系；四是作为企业管理程序规范的合规流程。上述四项合规制度要素，在各自发挥其独立功能的基础上，相互结合和补充，形成了一个完整的日常性合规管理体系。

 

1. 合规章程

 

合规章程又被称为企业的“商业行为准则”，是企业对其合规管理体系加以宣示的规范，是具有最高效力的合规文件。一个合格的合规章程至少应当包括合规理念、合规基本原则以及合规管理体系的基本框架。从功能来看，合规章程既是企业建立合规管理体系的规范依据，也可以在危机爆发时发挥风险防控的作用，及时切割企业与管理人员的法律责任。2015年，雀巢公司就以合规章程为重要证据，阻止了五名员工将刑事责任归于企业的企图，成功地完成了无罪抗辩。

 

2. 合规政策与员工手册

 

之所以将合规政策与员工手册视为企业合规的“实体规范”，是因为在任何一个专门性合规管理体系中，企业都要将几乎所有的禁止性法律规则写入这两份文件之中，使之成为企业进行自我监管的主要法律依据。在一定程度上，无论是企业员工、管理人员，还是子公司人员，只要遵守了企业发布的员工手册，就等于遵守了企业的合规义务，在遵守员工手册的情况下，假如其行为仍违法、违规，那么，由此产生的法律责任一般应归于企业。同样，无论是客户、第三方商业伙伴，还是被并购的企业，只要遵守了企业的合规政策，那么，由此形成的法律责任也应由企业承担。在一定程度上，员工手册是一种“面向内部”的实体规范，既是对企业员工、管理人员和子公司加以内部监管的依据，也可以在危机发生后成为分割企业责任与内部人员责任的依据。与此同时，合规政策则属于一种“面向外部”的实体规范，既是对客户、第三方商业伙伴和被并购的企业进行合规管理的依据，也可以成为切割企业责任与客户责任、第三方责任和被并购方责任的重要证据。

 

在构建日常性合规管理体系的过程中，企业要针对不同的合规领域确立专门性的合规政策和员工手册，并将相关领域的行政法规、部门规章和刑事法律规范加以详尽列举和排列，使之成为内部人员和外部人员一体遵守的行为准则。例如，在出口管制领域，企业要发布出口管制合规政策和员工手册；在反商业贿赂领域，企业要发布反商业贿赂合规政策和员工手册；在数据保护领域，企业要发布数据保护合规政策和员工手册；在反洗钱领域，企业要发布反洗钱合规政策和员工手册。在专门性合规政策中，企业要将相关法律法规所确立的禁止性规则整合进来，使之成为规范外部人员和企业行为的准则；在专门性员工手册中，企业要将法律法规所禁止的事项加以重新阐述，使之成为内部人员从事职务活动时所要遵守的准则。企业在进行合规培训、合规风险评估、合规尽职调查、合规审计、合规奖惩等活动时，都要将对合规政策和员工手册的遵守情况作为基本的评判依据。

 

3. 合规组织体系

 

建立一个运作良好的合规组织体系，是确保日常性合规管理体系有效发挥作用的必要保障。在一个建立了现代公司治理结构的企业中，合规组织通常包括四个层级：一是董事会下设的合规管理委员会，二是首席合规官，三是企业合规部门，四是企业下属部门或分支机构的合规部门或合规专员。其中，合规管理委员会要由董事长、执行团队负责人担任其成员，对合规管理负有最高责任；首席合规官应具有较高的行政层级；企业应根据专项合规计划的要求，设置对应的合规部门，如出口管制合规部、反商业贿赂合规部、数据保护合规部、反洗钱合规部等；企业在各部门和分支机构中至少要设置专项合规专员，有条件的企业还可以成立专项合规分支机构。