前言

国无法不昌，法因人而贵。可当今时代，在企业的治理、管理、经营活动中，并不是所有经营管理者都能发自内心地敬畏法律、主动合规。依法合规“说起来重要，忙起来忘掉，碍起事来就扔掉”。合规必须从企业高层做起，企业主要负责人要把加强合规管理作为履行法治建设第一责任人的重要职责扛起来，始终把尊法、学法、守法、用法作为一种习惯、一种素养来培育，坚持“违法违规的事一件不做，违法违规的钱一分不挣”。

一

不能否认，还有一些企业高级管理人员和一线生产经营人员法律合规意识淡薄。从发生的众多法律合规事件、案件来看，除了综合管理经验不够、法规政策把握不准、法律合规能力不足等原因外，究其根本，是在思想深层、潜意识中轻视法律、蔑视规则，在行动中轻则规避规则、信奉潜规则，重则抛弃规则，乃至破坏规则。如此心态，导致对法律合规的模糊认识。比如，企业生产经营事情日不暇给，又搞什么合规管理，“纯属没事找事，多此一举”；既然是合规管理，那就是“法律合规部门的事情，业务部门就不用参与了”；合规也没那么邪乎，“只要不犯法，自然就合规了”；搞好合规很简单，“看好自家门，管好自家人就可以了”；合规主要是“管好员工、管好下面的人就可以”；等等，不一而足。这些对法律合规的模糊认识，恰恰也是企业合规管理工作要重点解决的几个思想认识问题：合规到底有什么价值？合规与企业生产经营到底是什么关系？合规的边界到底在哪里？合规管理到底该如何抓？

法律合规对于企业，就如同刹车对于汽车一样不可缺少。一辆汽车，没有刹车、没有安全带就不是一辆合格的汽车。一个没有合规管理的企业也不能称为合格的企业。发展是硬道理，发展、经营、盈利自然是企业的中心工作。经营管理者作为企业这辆汽车的驾驶员，在踩油门不断加速的同时，必须注意交通规则，避免车辆失控的危险。发展固然是第一要务，但稳定也是第一责任。汽车开得快，前提必须开得稳、不违章，更不能发生事故。一个成熟、理性的企业经营管理者，不会不知道合规的价值和意义。但是，在利益驱动、业绩导向作用下，加上侥幸心理、盲目自信，发展与稳定、业务与合规的平衡可能被打破，倾向于选择发展和业务，结果是欲速则不达，事倍功半，甚至前功尽弃。所以，企业法律合规能不能做、做得好不好，关键在领导。各级领导干部带头尊法、学法、守法，明确法律边界，执行合规要求，防止出现“盲人骑瞎马，夜半临深池”的问题，处险境而不自知。

合规既不是新生事物，也不是新增加的管理职能。自从有了企业这种组织形式并开展生产经营活动以来，合规就存在了。企业的产品质量符不符合标准、要不要交税、排污合不合法等，都涉及合规问题。只不过以前的合规活动是零散的、临时的、随意的，而合规活动发展到现在，更加显现、更加系统、更加规范。企业管理者不能把合规当作负担而无可奈何地消极抵触，更不能以排斥的心态拒绝合规。企业合规管理已是一种客观存在，你爱不爱、要不要、来不来，合规都在那里。企业管理者只有以积极、主动、开放的心态接纳合规，才会把很有意义的合规管理做成很有意思的事情，也才会把很有意思的合规管理做得更有意义。

企业的生产经营活动从来不是单纯的生产经营，而是包含了复杂的生产关系、社会关系的活动。在产品制造、形成过程中，必须要有安全措施保障；在产品销售、价值实现过程中，必须要处理好与竞争者、消费者的关系。伴随着生产经营的安全保障措施、保护消费者权益，不就是合规吗？所以，企业生产经营和法律合规从来就是一体两面的，没有游离于生产经营之外的法律合规，也没有置身于法律合规之外的生产经营。企业的生产经营和法律合规具有天然的融合性，不能人为割裂生产经营和法律合规，造成“两张皮”的困境。对于诸如企业中安全环保、财经税务等职能部门的专业管理活动本身，无论是管理目标、管理标准，还是管理依据、管理内容、管理方式，都是合规管理。这就是为什么要树立“管业务必须管合规，管业务必须管风险”理念，为什么要把合规风险的第一道防线设在生产、经营、采购、销售、工程等生产经营单位和职能部门，为什么说合规不仅仅是法律合规部门的职责而是企业所有人的职责。

在这个社会化大分工、全球化大经济时代，亚马孙森林里的一只蝴蝶偶尔扇动一下翅膀，可能会引发美国得克萨斯州的龙卷风。蝴蝶效应虽然是混沌理论的概念，但它充分反映出世界的复杂性和普遍联系。企业生产经营活动的复杂性在成倍增长，企业生产经营涉及的法律法规也在迅猛增长。法律是包含了国家法律、行政法规、部门规章、监管规则、标准规范的体系。对法律的认识不能还停留在朴素的不犯法、不坐牢的基础层面上。企业生产经营和个人行为，虽不违反法律最底线，但也许已经违规。正是因为法律法规、监管规则、标准规范的复杂性、多变性，规避法律法规及违法违规的风险才成为合规管理的一个重要职责。因为法律合规的复杂性，“管好自家人，看好自家门”已远远不够。对合作伙伴、交易对手的合规性失察，也许会把企业自身拖进违法违规的泥沼。法律合规已经不仅是企业生产经营管理的底线和红线，也是一个企业追求、担当社会责任的境界。

二

在企业合规管理体系建设过程中，有一个绕不开的问题，即大合规和小合规的关系问题，或者说法律合规牵头部门与专业管理部门的关系问题。

成熟企业和大型企业在专业管理方面都建立了计划、投资、招投标、设备、生产、HSE、财务、资金、营销、法务、信息等诸多的管理门类和管理体系，也都包含合规管理的职责和内容，表现的公文载体叫要求、规定、办法，形成的固定做法叫体制、机制、制度。这些不同线条和专业领域的合规管理，就是所谓的小合规或专项合规。小合规或专项合规可能表现为单独的制度，但更多地存在于、散见于具体的业务制度、业务流程之中。小合规和专项合规上接国家法律法规和监管规则的“天线”，下搭企业内部规章制度和操作规范的“地线”，是一线的、操作性强的、最直接的合规管控措施。

小合规和专项合规是企业合规管理体系的基本单元，是大合规建设与运行的根基。小合规和专项合规虽然“头痛医头，脚痛医脚”，难以做到企业合规管理的全盘考虑，但其形成的时间多数先于大合规，与业务结合更紧密，发挥作用更直接、针对性更强。对规模小、业务单一、产业链短的企业，小合规和某几项专业合规的合理性、效率性是显而易见的。在企业合规管理体系建设过程中，不必面面俱到，企业可以根据自己的行业特点、现实问题、实际需要，从小合规和专项合规做起。

当然，一个企业不论有多少个小合规和专项合规体系，如果没有一套基于组织架构和制度流程构建的全面系统、切实可行并持续改进的大合规管理机制，就视同没有建立真正意义上的合规管理体系。这要求企业在确立合规管理体系建设方案之初，必须站在更高的层级，具备更宏观的视野，对合规管理体系形成全面和系统性的认识与布局，避免只见树木不见森林。

对于大型企业来说，要在现有小合规和专项合规基础上，建立完善合规管理的组织体系，明确合规管理委员会、合规管理负责人、合规管理部门，并由合规管理部门承担大合规管理的主体责任、管理责任。企业的业务部门、职能部门则负责专业合规。合规管理部门负责整体合规制度、体系、组织、运行，以及新型、跨部门、无明确主管部门的合规风险，如制裁、反腐败、数据安全和个人信息安全等，起到“兜底”作用。

抓好大合规与专项合规的统筹谋划和有机结合等措施，既要将原有“散”的合规管理要求集成化、系统化、体系化，又要修正、补齐现有专项合规体系的缺陷与不足，推动“管业务必须管合规”“管业务必须管风险”责任制落实落地，消除小合规和专项合规死角、盲点，实现合规管理全覆盖。

三

在大型企业的企业管理中，制度管理、合规管理、内控管理、风险管理、法律管理同时存在，有的还建立了信息系统，实行流程化、网络化、数字化管理。这些管理体系之间，在合规管理上既存在职能交叉、重叠现象，也可相互融通、相互支撑。

国务院国资委印发的《关于进一步深化法治央企建设的意见》提出，着力健全合规管理体系，持续完善合规管理工作机制，健全总法律顾问领导、法务管理机构牵头、相关部门协同联动的合规管理体系。发挥法务管理机构统筹协调、组织推动、督促落实作用，加强制度建设，开展合规审查与考核，保障体系有效运行。强化业务部门和项目一线主体责任，将合规要求嵌入岗位职责、业务流程，抓好重点领域合规管理，有效防范、及时处置合规风险。推动法务、合规、风控一体化运行，加强统筹协调，切实管理效能。这里指出了处理制度管理、合规管理、内控管理、风险管理、法律管理五者关系的办法，明晰了合规管理体系建设的路径。

面对日趋严峻复杂的国际环境、更加严格规范的国内监管新形势新变化，以“强内控、促合规、防风险”为目标，高起点定位、高标准谋划、高质量推进，建立以制度建设为基础、以风险管控为导向、以内部控制为平台、以合规管理为抓手、以法律支撑为保障的制度、风控、内控、合规、法律“五位一体”合规管理体系，是最优化、最有效的选择。

以制度建设为基础，是因为制度是企业治理、管理、经营的平台和保证。企业所有治理、管理、经营活动规则、规范必须建立在制度基础上，都要通过制度来体现。制度建设是合规管理体系建设的基础性工程，合规管理体系的运行又要靠制度来保障。合规管理制度体系本身就是企业制度体系的一项重要内容。合规管理通过对法律法规、监管规则、标准规范进行识别，外规内化，再把法律法规、监管规则、标准规范转化为企业的规章制度，执行企业规章制度的同时，就是执行国家法律法规、监管规则和标准规范。没有制度做基础和保障，合规管理就是一座沙雕，好看但不长久。

以风险管理为导向，是因为合规管理本质上就是一种风险管理活动。识别、防控、化解合规风险，保证企业健康稳健发展，就是合规管理的价值和意义所在。合规风险管理是全面风险管理中以合规风险为对象和内容的专项风险管理，其管理方式、方法与全面风险管理方式、方法基本相同，其中差别主要体现在风险偏好和风险策略方面。其他风险管理会根据风险偏好和容忍度，采取激进、稳健、保守、转移等风险管理策略。但合规管理多数涉及的是企业重大经营管理行为和行为的根本性质问题，违法违规的行为可能会导致颠覆性后果。合规管理对违法违规风险必须采取“零容忍”态度。因此，在全面风险管理的同时，应一体化推进合规管理体系建设。没有合规风险管理，全面风险管理就缺失了最为重要的一部分。

以内部控制为平台，是因为内部控制是企业规章制度结构化、流程化的运行方式和控制方式。内部控制是上市公司基于萨班斯法案和会计信息披露的要求建立的以财务报表、财务管理、信息披露为主的管理制度，具有结构化、流程化的特点和优势，日益与生产经营、业务管理流程融为一体，在业务流程运行过程中，通过权限配置和控制点设置实施控制，从而实现对合规风险的管控。所以，内控体系可以成为一种平台，搭载风险管理、合规管理的识别、控制、改正、提升功能。不论是遵守来自外部法律法规、监管规则的外部合规，还是执行内部规章制度、规范标准的内部合规，都可成为内部控制的内容、要求和目标。

以法律支撑为保障，是因为合规风险主要是基于行政和刑事法律关系产生的行政和刑事法律责任风险。企业法律人员具有专业法律知识和技能，在合规管理中能更好发挥咨询服务作用和处理合规事件、案件作用。合规管理与法律管理在指导思想和理念上相通，在工作范围和内容上相交，在工作方法和程序上相似，部分工作职责从传统法律工作职责转变而来。合规管理赋予依法治企更深的内涵，是企业法律工作转型发展的新方向和业务拓展的新领域。

制度、风控、内控、合规、法律彼此之间功能相近，职能相交。在推进合规管理体系建设过程中，要正确处理好这五者的关系，以发挥合规管理实际效果为目标，不能简单追求形式上的合规。在大型企业中，各种管理体系较多，有些在向信息化发展和运行。制度、风控、内控、合规、法律五个管理体系，必须相互融合、相互支撑，防止功能相近的体系“叠床架屋、另起炉灶”，既要避免重复投资建设，也要避免管理人员、业务人员在不同系统之间频繁登录、重复录入、来回切换、体验烦琐。在企业的制度、风控、内控、合规、法律五个体系和信息系统建设中，本着“后建让先建”“平台功能优先”的原则，哪个体系和信息系统先建成、哪个体系和信息系统具有平台功能，就依托在先建成的体系，搭载在信息平台上，实现系统之间数据集成、有机融合、一体化运行。

企业合规管理是一个庞大的体系，本书依托大型工业企业的实际和场景，梳理了企业合规管理的主要领域，如安全生产、生态环境保护、税务、反不正当竞争、反垄断及涉外合规等。另外，诸如数质量合规、劳动合规、消费者权益保护合规、证券市场监管合规、知识产权合规、信息与数据合规、企业信用自律管理等很多方面，因为专业水平不够和受篇幅限制没有涉猎，作为遗憾留待日后弥补。

本书不周不妥之处，敬请读者批评指正。

杜江波

2022年10月9日