数字经济背景下企业合规工作提升的几点思考

合规，英文称Compliance，核心要旨指来源于国外银行业监管，最早可追溯到20世纪30年代的金融危机，1929年的美国股灾引发了全球经济大萧条。为确保银行系统的稳定，美国政府对银行业实行了严格的监管，核心内容主要集中在银行合规监管方面。但合规真正从金融机构风险管理中独立出来成为专门的一项管理活动也只是近30年的事。

巴塞尔委员会关于银行业的合规管理规定同样适用于其他金融行业，而金融行业的合规要求一般认为总体上在各行业中是最高的。

越来越多的企业认识到合规创造价值。虽然合规工作需要较高的成本，但是能够降低公司的风险，创造声誉。实践中目前合规不起诉、行政和解等很多案例中，已经证明良好的合规工作可能降低违法后果，合规工作的价值不断彰显，将被更加重视。

（一）合规管理的主要内容与变化

笔者认为，合规管理工作从形式上一般包括：合规管理制度建设、合规咨询、合规审查、合规检查、合规监测、法律法规追踪、合规报告、投诉举报处理、监管配合、信息隔离墙（监视清单与限制清单）、合规文化建设、合规信息系统建设、合规考核、合规问责等。

从实质上，可以包括法律风险防控、财税合规管理、劳动用工、环境保护合规、知识产权保护、廉洁从业、产品与服务质量、安全生产、商业伙伴管理、反垄断、反洗钱与反恐怖融资、公司治理、网络与数据安全、个人信息保护、人工智能等。其中最后三者就是合规工作在数字经济时代范围变化的代表，也对企业合规工作提出了新的要求。

（二）合规与法律、风控的关系

一般来说，企业的内控体系包括多个部门：合规部门+法律部门+风控部门（市场风险、流动性风险、操作性风险）。很多企业合规部门与法律部门是一个部门，亦有很多互相独立，这源于对合规风险和法律风险的理解。

而风控部门一般存在于金融等强监管行业，负责风险控制工作，例如金融行业风险包括信用风险、市场风险和操作风险，信用风险和市场风险较容易理解，操作风险从学术和专业的视角来看，一般是指由于内部流程不完善、人为错误、系统故障或外部事件导致的直接或间接损失的风险。合规风险管理是这三大风险管理的基础与底线，合规风险是其他风险特别是操作风险的诱因。同时，笔者认为不少操作风险也可以归入合规风险。 

2021年11月，国务院国资委颁布的《关于进一步深化法治央企建设的意见》再次强调：探索构建法律、合规、内控、风险管理协同运作机制，加强统筹协调，提高管理效能。因此，法律、合规、风险、内控“四位一体”协同机制，既是国资监管的要求，也逐渐成为现代企业管理体制建设的必然趋势，是合规管理体系有效运行的保障。

（一）从国资、外资、民资的合规内控比较来看

外资和国资对合规的重视程度相对较高，外资的合规文化主要来源于境外监管体系的完善和法律严厉的惩罚性赔偿；但是外资的合规部门的独立性明显高于国资，其对合规的重视笔者认为也并非天然形成，而是主要来自于海外监管对违规行为的严厉处罚逐步形成。

国资企业也很强调合规，其原因则既来源于对法律的遵守之基本要义，也来源于国企管理的体制所决定，并有党委三重一大、纪委监督等决策和监督机制制约，尤其体现为对决策程序的极度严格，例如目前招投标流程实践中普遍的价低者得方式某种程度上造成采购质量不能满足实际需求。

民营企业对合规的认识在三种性质企业中总体上相对不到位，合规工作受企业老板个人的思维影响很大。部分企业认为合规工作束缚企业发展手脚，是成本中心，对合规底线往往不够尊重；一些企业往往将违规后果的成本与违规的收益进行比较，在收益大于成本的情况下选择违规，承受违规成本，在理念上与国企、外企的理念差距较大。相应地，合规法律部门的压力较大。

（二）从行业比较来看

不同行业合规重视程度和合规水平差别很大，一般根据受监管的强度而定。金融行业最为严格，持牌金融机构远远优于非持牌金融机构，而持牌金融机构中的合规水平一般呈现出证券公司优于银行，银行优于保险机构的特点。互联网行业的合规文化相对更加激进，强调极度的目标导向，对法律的遵守程度较弱，当然这与行业的立法和监管滞后导致太多灰色区域也有很大关系。 

（一）需要法律法规的完善与监管要求的明确。企业合规离不开法律环境的完善和法律规定的明确。例如，过去多年互联网行业的二选一乱象、个人信息保护法之前的个人信息泄露乱象、证券行业的大股东减持普遍违规等很多不合规问题的出现，均与法律本身滞后或缺乏操作性有一定关系。

（二）法律执行与配套的罚则需要更加完善或严厉，否则不利于促进企业合规文化的形成。例如，电商法的执法落地情况与立法本身目标的差距较大、上市公司财务造假的处罚长期较轻不足以威慑实控人和大股东等。

（三）监管部门和社会层面需要加强力度支持和弘扬企业提升合规管理和合规文化，弘扬企业合规的正能量。2022年9月13日国务院国资委召开中央企业合规管理工作推进会，强调中央企业要深入贯彻落实《中央企业合规管理办法》，该文件将于2022年10月1日起施行，这种部门规章对国企有较强的约束力。

（四）企业应主动拥抱合规，有抱负的企业也一定会主动拥抱合规，以行稳致远。外企的良好合规文化也不是天然形成的，同样历经野蛮生长和严厉法律监管规制后的形成过程。同时，也要根据行业不同差异化看待企业合规文化的培养。

（五）数字经济时代，企业需加强数据驱动背景下的数据合规工作，并通过数字手段提升传统的合规工作。一方面，数字经济时代企业合规工作的内容将有时代的变化，例如个人信息保护、数据安全、人工智能合规，另外一方面，传统的合规工作需要引入大数据、人工智能手段提升工作效率。

（一）企业内部合规岗位是做好合规工作的主要力量，但是外部律师可以是很好的助力。律师在企业合规工作的介入主要是提供非诉法律服务，例如法律更新的分析、合规培训、合规咨询、出具法律意见书等专项合规项目等。

（二）外部律师的劣势和优势：律师对法律的研究通常比企业内部合规要投入的时间更多，是企业内部合规人员的助手，能够协助企业研究清楚规则，协助企业开展合规培训。但多数律师缺乏企业工作经验，对企业运行的操作流程不熟悉，给出的合规咨询容易出现难以落地的情况，以及较难实现对于操作性风险的把控。

（三）企业合规工作对企业内部合规人员和律师的挑战：

1. 需要奉行长期主义，在服务的特定领域需要加强研究，持续专业，需要具有超过内部合规人员的专业能力；

2. 需要不断迎接新的数字经济时代的挑战：例如需要在AI、数据合规领域等跟上时代的发展，具备相应的服务能力或以数字理念提升传统服务；

3. 需要注重了解企业的实际运行流程，避免生硬套用法律条文，有企业工作经验的律师能够为企业合规工作提供更好的服务。