岳亮 何如

【摘要】清晰界定合規(guī)管理之“規(guī)”的內(nèi)涵與外延是企業(yè)合規(guī)管理工作中開展合規(guī)風險識別的前提。文章基于對合規(guī)管理之“規(guī)”內(nèi)涵與外延的辨析，指出“規(guī)”的內(nèi)涵與明確范圍，并在此基礎上提出合規(guī)管理理論與實踐上的探索思路。

【關鍵詞】合規(guī)管理；合規(guī)；內(nèi)涵；外延；辨析

【中圖分類號】F275

2006年10月中國銀監(jiān)會發(fā)布《商業(yè)銀行合規(guī)風險管理指引》，其后保監(jiān)會、證監(jiān)會與國務院國資委陸續(xù)發(fā)布《保險公司合規(guī)管理辦法》《證券公司和證券投資基金管理公司合規(guī)管理辦法》《中央企業(yè)合規(guī)管理指引（試行）》，這些指引（辦法）有力地推動了我國企業(yè)合規(guī)管理體系建設的進程。然而，企業(yè)全面風險管理體系建設、內(nèi)部控制體系建設與合規(guī)管理體系建設的相互關系，特別是內(nèi)部控制體系中的內(nèi)部控制運行有效性與合規(guī)管理的關系問題，不但困擾著合規(guī)管理的實踐，更是影響著企業(yè)合規(guī)管理體系建設的實施效果。導致這一問題存在的根本原因在于對合規(guī)管理或合規(guī)風險概念中所涉及“規(guī)”的定義并不清晰準確，特別是對“規(guī)”是否包括企業(yè)內(nèi)部規(guī)章制度，理論界與實務界均存在認識上的較大差異。為此，本文旨在通過對合規(guī)管理或合規(guī)風險概念所涉及“規(guī)”的內(nèi)涵外延分析，厘清合規(guī)風險的準確范圍邊界，并進而揭示企業(yè)合規(guī)管理體系建設的可行性建議路徑。

一、合規(guī)管理之“規(guī)”內(nèi)涵與外延辨析

目前，業(yè)界對合規(guī)管理之“規(guī)”比較主流的定義，以如下解釋最具代表性，“狹義的合規(guī)，是指企業(yè)遵守反對商業(yè)賄賂方面的規(guī)定；廣義的合規(guī)，有三層含義，第一層是企業(yè)在生產(chǎn)經(jīng)營過程中要遵守法律法規(guī)，即企業(yè)要遵守公司總部所在國和經(jīng)營所在國的法律規(guī)定及監(jiān)管規(guī)定；第二層是企業(yè)經(jīng)營要遵循企業(yè)內(nèi)部規(guī)章制度，包括企業(yè)商業(yè)行為準則的規(guī)章；第三層是企業(yè)員工要遵守良好的職業(yè)操守和道德規(guī)范等”。企業(yè)合規(guī)管理實踐則屬于廣義的合規(guī)管理，業(yè)界主流的觀點是將企業(yè)內(nèi)部規(guī)章制度納入合規(guī)管理“規(guī)”的范疇。

眾所周知，合規(guī)管理之“規(guī)”屬于企業(yè)及其內(nèi)部員工“為”什么或“不為”什么的行為規(guī)范，而企業(yè)內(nèi)部規(guī)章制度既包括對行為規(guī)范內(nèi)容的明確規(guī)定，也包括保障企業(yè)確立的行為規(guī)范得以遵循的制度設計；此外，企業(yè)通過內(nèi)部規(guī)章制度確立的行為規(guī)范，既包括對企業(yè)構成外部承諾與外部責任約束的行為規(guī)范，也包括不構成企業(yè)對外承諾與外部責任約束的內(nèi)部行為規(guī)范。如果將企業(yè)內(nèi)部規(guī)章制度中，屬于保障企業(yè)制定的行為規(guī)范得以遵循的制度設計，以及屬于不構成企業(yè)對外承諾與外部責任約束的內(nèi)部行為規(guī)范，也全部納入合規(guī)管理“規(guī)”的范疇（即合規(guī)管理之“規(guī)”包含企業(yè)全部內(nèi)部規(guī)章制度的主流觀點），則合規(guī)管理遵循的“規(guī)”就與內(nèi)部控制的運行有效性（全面風險管理的控制有效性）目標與措施產(chǎn)生高度重疊，這無疑在邏輯上讓人難以理解，也導致實務領域對在企業(yè)內(nèi)部控制體系建設的同時為何要開展，以及如何開展合規(guī)管理體系建設產(chǎn)生很大的困惑。

其實，分析上述對“規(guī)”解釋的三層含義，不難發(fā)現(xiàn)第一層次是法律法規(guī)、監(jiān)管要求等對企業(yè)構成外部硬約束的行為規(guī)范；第三層次是企業(yè)自愿制定或對外承諾并通過內(nèi)部規(guī)章制度條款加以明確，由企業(yè)內(nèi)部員工遵守的職業(yè)操守和道德規(guī)范等內(nèi)部約束性行為規(guī)范。這實際上是企業(yè)為實現(xiàn)其戰(zhàn)略目標，在外部法律法規(guī)等硬性約束性規(guī)范之上，自我追加確立的約束性行為規(guī)范；對于該解釋“規(guī)”的第二層次的企業(yè)內(nèi)部規(guī)章制度，如果僅指企業(yè)商業(yè)行為與社會行為準則的規(guī)章，則與第二層次的含義接近，只是將企業(yè)自我追加確立的約束性行為規(guī)范的內(nèi)容從針對員工調整為針對企業(yè)，屬于企業(yè)自愿制定或對外承諾并通過內(nèi)部規(guī)章制度條款明確，由企業(yè)遵守的商業(yè)行為與社會行為準則等內(nèi)部約束性行為規(guī)范。如果第二層次的企業(yè)內(nèi)部規(guī)章制度的范圍嚴格限定在構成企業(yè)對外承諾與承擔責任約束的企業(yè)行為規(guī)范的范疇，則合規(guī)管理之“規(guī)”顯然是指對企業(yè)及其內(nèi)部員工具有強制約束力的法律法規(guī)等行為規(guī)范，以及企業(yè)自愿制定或對外承諾并以內(nèi)部規(guī)章制度條款形式確立、需要企業(yè)及其內(nèi)部員工遵守的高于法律法規(guī)要求的行為規(guī)范。然而，業(yè)界主流觀點對合規(guī)管理之“規(guī)”的解釋，顯然超出上述法律法規(guī)等強制性行為規(guī)范與構成企業(yè)對外自愿承諾并承擔責任約束的行為規(guī)范范圍，而是泛化至企業(yè)全部的內(nèi)部規(guī)章制度范圍，這著實令人困惑。

國際與國內(nèi)相關規(guī)范性文件關于合規(guī)管理之“規(guī)”的定義，也存在著顯而易見的較大差異：（1）2005年4月，巴塞爾銀行監(jiān)管委員會在其頒布的《合規(guī)與銀行內(nèi)部合規(guī)部門》中規(guī)定“合規(guī)所涉及的法律、規(guī)則和準則有各種各樣的規(guī)范來源，主要包括立法機關和監(jiān)管機構發(fā)行的法律、規(guī)則和準則、市場慣例、行業(yè)協(xié)會制定的適用于銀行內(nèi)部工作人員的內(nèi)部守則和行為準則。合規(guī)還包括超越上述具有法律約束力的規(guī)范外，具有廣泛意義的誠信標準和道德行為標準”；（2）國際標準組織2014年12月發(fā)布的ISO19600：2014《合規(guī)管理體系——導則》國際標準中，將合規(guī)定義為“對合規(guī)要求和合規(guī)承諾的遵守。其中，合規(guī)要求一般包括法律法規(guī)、許可執(zhí)照或其他形式的授權、監(jiān)管機構發(fā)布的制度條例或指導方針、法院或行政法庭的裁決、條約公約和條款等；合規(guī)承諾一般包括與社區(qū)團體或非政府機構簽訂的協(xié)議、與主管部門和客戶簽訂的協(xié)議、內(nèi)部要求如政策和程序、自愿性原則或行為守則、自愿性標記或環(huán)境承諾、所簽協(xié)議產(chǎn)生的責任、相關組織和行業(yè)標準等”；（3）中國銀監(jiān)會2006年10月頒布的《商業(yè)銀行合規(guī)風險管理指引》中規(guī)定“合規(guī)是指使商業(yè)銀行的經(jīng)營活動與法律、規(guī)則和準則相一致”；（4）中國保監(jiān)會2016年12月頒布的《保險公司合規(guī)管理辦法》中規(guī)定“合規(guī)是指保險公司及其保險從業(yè)人員的保險經(jīng)營管理行為應當符合法律法規(guī)、監(jiān)管規(guī)定、公司內(nèi)部管理制度以及誠實守信的道德準則”；（5）中國證監(jiān)會2017年6月頒布的《證券公司和證券投資基金管理公司合規(guī)管理辦法》中規(guī)定“合規(guī)是指證券基金經(jīng)營機構及其工作人員的經(jīng)營管理和執(zhí)業(yè)行為符合法律、法規(guī)、規(guī)章及規(guī)范性文件、行業(yè)規(guī)范和自律規(guī)則、公司內(nèi)部規(guī)章制度，以及行業(yè)普遍遵守的職業(yè)道德和行為準則”；（6）2018年11月國務院國資委印發(fā)的《中央企業(yè)合規(guī)管理指引（試行）》中規(guī)定“本指引所稱合規(guī)，是指中央企業(yè)及其員工的經(jīng)營管理行為符合法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則和企業(yè)章程、規(guī)章制度以及國際條約、規(guī)則等要求。”

對比上述6個國際、國內(nèi)的相關文件，中國銀監(jiān)會對“規(guī)”做了最為狹義的定義，僅指法律、規(guī)則和準則；巴塞爾銀行監(jiān)管委員會與國際標準組織對“規(guī)”所做的定義，除包括法律、規(guī)則和準則外，還包括企業(yè)自愿制定或對外承諾并由此產(chǎn)生外部責任約束，以內(nèi)部規(guī)章制度條款形式確立，要求企業(yè)及其內(nèi)部員工遵守的高于法律法規(guī)要求的行為規(guī)范（即，企業(yè)內(nèi)部規(guī)章制度中特定的、涉及外部責任約束并屬于行為規(guī)范的部分條款）；中國保監(jiān)會、證監(jiān)會與國務院國資委陸續(xù)印發(fā)的三個合規(guī)管理辦法（或指引）則均將內(nèi)部規(guī)章制度的全部納入合規(guī)之“規(guī)”。毫無疑問，這些規(guī)范性文件的較大差異又進一步模糊了業(yè)界本就不夠清晰的對合規(guī)管理之“規(guī)”范圍邊界的認識。

分析認為，合規(guī)管理之“規(guī)”涉及內(nèi)部規(guī)章制度，但內(nèi)部規(guī)章制度條款中只有屬于企業(yè)自愿遵循并構成對外責任約束的行為規(guī)范條款才是“規(guī)”的組成部分，其他的大量內(nèi)部規(guī)章制度及其條款屬于保障“規(guī)”得以遵循的手段與措施，我們不能因為合規(guī)管理涉及內(nèi)部規(guī)章制度就將其全部等同于“規(guī)”本身；這種將合規(guī)管理之“規(guī)”泛化至企業(yè)全部內(nèi)部規(guī)章制度范圍的不嚴謹觀點，導致了作為保障合規(guī)管理之“規(guī)”得以有效遵循手段與措施的內(nèi)部規(guī)章制度條款，被誤認成了合規(guī)管理的對象（“規(guī)”本身），由此造成的后果是嚴重混淆了合規(guī)管理對象與手段的關系，使得企業(yè)合規(guī)風險的識別工作出現(xiàn)混亂，當然必須予以澄清。顯然，巴塞爾銀行監(jiān)管委員會與國際標準化組織對合規(guī)的定義是清晰準確的，應當成為業(yè)界的共識，并指導合規(guī)管理的實踐。

二、合規(guī)管理體系建設的可行建議實施路徑

明確合規(guī)管理與合規(guī)風險之“規(guī)”的內(nèi)涵，將合規(guī)所需遵循的“規(guī)”清晰地界定在具有外部責任約束的企業(yè)及其內(nèi)部員工必須遵循的行為規(guī)范的范疇，對合規(guī)風險的識別這一合規(guī)管理極為重要環(huán)節(jié)而言，意義不言自明。以此為立足點，在展開合規(guī)風險分析、確定合規(guī)風險應對策略的基礎上，采取適當?shù)暮弦?guī)風險控制措施就顯得尤為重要。

由于合規(guī)風險是企業(yè)及其員工因不合規(guī)行為，引發(fā)法律責任、受到相關處罰、造成經(jīng)濟或聲譽損失以及其他負面影響的可能性，在企業(yè)經(jīng)營管理各環(huán)節(jié)中，能夠有效避免企業(yè)及其員工因不合規(guī)行為的發(fā)生而導致合規(guī)風險發(fā)生的控制措施必然是合規(guī)管理體系的重點，這其中合規(guī)審查無疑是重中之重，企業(yè)只有有效地將經(jīng)營管理環(huán)節(jié)中的合規(guī)風險逐一審查識別出來，才有機會去采取進一步的控制措施。為此，從控制措施是否具有長效機制、重要程度、運用頻率角度的不同，可以分析歸納為三大主要類別：一是制度制定環(huán)節(jié)。企業(yè)內(nèi)部規(guī)章制度是企業(yè)建立有效合規(guī)管理體系的基礎性、根本性保障，雖然內(nèi)部規(guī)章制度制定工作的頻率較低，但內(nèi)部規(guī)章制度中出現(xiàn)不合規(guī)條款將對企業(yè)合規(guī)管理體系的有效性產(chǎn)生持續(xù)、重大的負面影響。為此，企業(yè)需要強化對規(guī)章制度等重要內(nèi)部規(guī)范性文件的合規(guī)審查，確保符合法律法規(guī)、監(jiān)管規(guī)定等內(nèi)外部約束性責任的要求，這是合規(guī)管理長效機制的必然要求。二是經(jīng)營決策環(huán)節(jié)。經(jīng)營決策的工作頻率遠遠低于日常經(jīng)營管理行為卻高于內(nèi)部規(guī)章制度制定的工作頻率，由于經(jīng)營決策，特別是“三重一大”決策實施后果非常重大且影響較日常經(jīng)營管理行為深遠，加強對決策事項的合規(guī)論證把關，保障決策依法合規(guī)就成為守住合規(guī)管理底線的必然要求。三是生產(chǎn)經(jīng)營管理環(huán)節(jié)。企業(yè)日常生產(chǎn)經(jīng)營環(huán)節(jié)無時不刻地發(fā)生著各種各樣的經(jīng)營管理行為，雖然從重要程度與影響力上遠不及制度制定環(huán)節(jié)與經(jīng)營決策環(huán)節(jié)，但由于其發(fā)生頻率極高，同樣只有確保生產(chǎn)經(jīng)營過程中依規(guī)辦事、按章操作，企業(yè)才能全面把住合規(guī)管理有效性的大門。

為此，企業(yè)合規(guī)管理體系建設的可行建議實施路徑應該緊緊圍繞上述三個經(jīng)營管理的關鍵環(huán)節(jié)入手。一是比照《立法法》，制定《制定規(guī)章制度的制度》，讓企業(yè)新制定或修訂的規(guī)章制度無一例外地經(jīng)受嚴格規(guī)范的合規(guī)審查，對企業(yè)已經(jīng)印發(fā)執(zhí)行中的規(guī)章制度也要補上合規(guī)審查這一環(huán)節(jié)，確保企業(yè)的內(nèi)部規(guī)章制度不存在不合規(guī)的條款；二是制定或修訂企業(yè)的《經(jīng)營決策管理辦法》，在經(jīng)營決策通過前經(jīng)受嚴格的合規(guī)論證把關。特別是對董事會、經(jīng)理層等“三重一大”決策制度，要將律師或專職法務人員的合規(guī)審查納入決策批準實施的必經(jīng)前置環(huán)節(jié)，保障決策依法合規(guī)；三是依托企業(yè)已經(jīng)建立的全面風險管理體系與內(nèi)部控制體系，特別是內(nèi)部控制運行有效性系統(tǒng)，重點針對識別出的合規(guī)風險，全面嚴格執(zhí)行經(jīng)過合規(guī)審查的企業(yè)各項內(nèi)部規(guī)章制度，加強對重點流程的監(jiān)督檢查，確保企業(yè)在日常生產(chǎn)經(jīng)營過程中依規(guī)辦事、按章操作。如此有針對性地去建設與強化合規(guī)管理體系，而不是拋開企業(yè)已有的全面風險管理體系與內(nèi)部控制體系去另建一套所謂的合規(guī)管理體系，才是企業(yè)合規(guī)管理體系建設的可行實施路徑。其實，上述建議實施路徑完全契合《中央企業(yè)合規(guī)管理指引（試行）》第十四條“加強對以下重點環(huán)節(jié)的合規(guī)管理”的四條規(guī)定，可以理解為是對該條款的深度解讀與應用。

總之，厘清合規(guī)管理之“規(guī)”的內(nèi)涵與外延，避免將“規(guī)”泛化到企業(yè)全部內(nèi)部規(guī)章制度而嚴重混淆合規(guī)管理對象與手段的關系，企業(yè)合規(guī)管理體系建設的可行實施路徑就不難展現(xiàn)在我們面前。

主要參考文獻：

[1]巴塞爾銀行監(jiān)管委員會，合規(guī)與銀行內(nèi)部合規(guī)部門[S]，2005.4.

[2]國際標準組織，合規(guī)管理體系——導則[S]， 2014.12.

[3]中國銀行業(yè)監(jiān)督管理委員會，商業(yè)銀行合規(guī)風險管理指引[S]，2006.10.

[4]中國保險監(jiān)督管理委員會，保險公司合規(guī)管理辦法[S]，2016.12.

[5]中國證券監(jiān)督管理委員會，證券公司和證券投資基金管理公司合規(guī)管理辦法[S]，2017.6.

[6]國務院國有資產(chǎn)監(jiān)督管理委員，中央企業(yè)合規(guī)管理指引（試行）[S]，2018.11.

[7]華兵，鄢青，巴塞爾委員會“合規(guī)”文件解讀與我國商業(yè)銀行合規(guī)管理[J]，福建金融，2005.12.

[8]宋加強，論企業(yè)合規(guī)管理[J]，經(jīng)濟師. 2017.8.