作者：金华俊

       一、关于企业合规的起源

       20世纪90年代，随着金融行业的快速发展，世界范围内许多大型国际金融机构相继爆出洗钱、重大操作风险等违规行为，如纽约银行洗钱70亿美元、英国巴林银行操作不当倒闭等，使得金融机构认识到“合规管理”对于企业发展的重要性，由此，“企业合规”在金融行业被提及并得到逐渐重视。在此基础上，巴塞尔银行监管委员会最早提出了“企业合规”的理念，并于2005年4月29日颁布《合规与银行内部合规部门》，该文件对合规的解释为：“合规所涉及的法律、规则和准则有各种各样的规范来源，主要包括立法机关和监管机构发行的法律、规则和准则、市场惯例、行业协会制定的适用于银行内部工作人员的内部守则和行为准则。合规还包括超越上述具有法律约束力的规范外的，具有广泛意义的诚信标准和道德行为标准。”

       从2007年开始，美国司法部和美国证券交易委员会开始严格执行美国的《反海外贿赂法》，并对一些大型跨国公司的违规行为采取执法行动，企业合规的概念开始被其他行业广泛使用。

       二、企业合规风险的定义

       最早巴塞尔委员会对“企业合规风险”的定义为，因未能遵循法律法规、监管要求、规则、自律性组织制定的有关准则以及适用于自身业务活动的行为准则，而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。

       我国的《商业银行合规风失的风险。

       2018年11月，国务院国资委颁布《中央企业合规管理指引(试行)》（国资发法规〔2018〕106号），将“企业合规风险”定义为：中央企业及其员工因不合规行为引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。

       三、企业合规风险管理坚持的原则

       1、全面性原则。企业合规风险管理贯穿于企业经营管理活动的各个环节，要建立全覆盖、全流程的合规风险管理机制。
       2、独立性原则。企业合规风险管理独立于经营活动，合规管理人员不得承担与其职责可能产生利益冲突的其他工作职责。
       3、持续改进原则。企业合规风险管理是动态的过程，应根据外规及企业经营管理情况的变化不断完善，持续提高合规风险管理的有效性。
       4、全员参与原则。企业合规风险管理是公司全员责任，要树立“合规人人有责”的合规意识，公司各单位、各岗位要各司其职、分工协作。

       四、企业合规风险管理的体系

       一套有效的企业合规风险管理体系应当由三部分组成：合规风险的识别与评估、合规管理行为的开展、合规文化塑造。

       1、合规风险的识别与评估。合规风险识别的前提是确定合规义务，即法律法规、监管政策、企业内部规章制度等。识别合规风险还应注意合规义务的维护，及时跟踪法律法规等合规义务的出台和变更，确保企业持续合规。合规风险识别效果取决于对合规义务的熟悉程度及对企业经营管理行为的熟悉程度。合规风险评估是在合规风险识别的基础上，对合规风险进行分析与评价。合规风险分析是在风险识别的基础上，总结不合规行为的发生原因、后果及可能性等因素，形成合规风险清单。合规风险评价是将风险分析结果与企业能够承受的风险水平相比较，或者将各类风险分析结果互相比较，以确定风险的等级。合规风险评价应形成决策结果，包括某项风险是否需要应对、风险应对的优先顺序、风险应对途径等。

       2、合规管理行为的开展。合规管理行为指将合规管理付诸实践的一切相关行为，包括建立合规管理组织架构、合规管理相关制度流程、合规管理行为运行机制、合规管理相关的反馈与改进行为。一是建立合规管理组织架构，可以从三个层面进行设计：制定合规管理目标、方针和政策，统筹合规管理工作；协调法律、审计、财务等部门，保证企业内部资源协同；日常合规管理工作。二是制定合规管理制度，一般包括合规行为准则、制度规范、合规专项管理办法、合规管理流程、合规管理表单等。三是运行合规管理机制，包括合规培训、考核、检查等。四是进行合规处理和整改。违规行为一旦证实，应当及时处理，查明违规行为根源，必要时对合规管理体系进行重新审视、设计和改进，以形成合规管理闭环。

       3、合规文化的塑造。合规文化塑造是合规管理体系建立的重要组成部分，有助于合规管理的持续、长久实施，降低合规管理体系运行成本，同时也是企业合规风险防范的最后一道防线。塑造合规文化，应确立明确的“合规人人有责、合规创造价值”的合规理念，使全体员工从根本上认同合规的价值；管理层率先垂范，遵守合规制度；对合规理念通过培训、测试等方式进行宣传引导，确保合规价值观在全体员工中得到传达；建立合规表现与绩效挂钩机制。