2017年中兴通讯被美国政府制裁引起了国内广泛关注。越来越多的国内企业开始重视合规管理,防范合规风险。2018年11月,国务院国资委颁布了《中央企业合规管理指引(试行)》(简称《合规管理指引》),要求中央企业以有效防控合规风险为目的,按照全面覆盖、强化责任、协同联动、客观独立的原则加快建立健全合规管理体系。2019年10月,国务院国资委颁布《关于加强中央企业内部控制体系建设与监督工作的实施意见》,提出“建立健全以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效的内控体系,实现强内控、防风险、促合规的管控目标。”合规管理正逐步受到各企业的重视。如何协调合规管理与现行法律风险管理将是企业无法回避的问题,笔者认为企业应将合规管理与法律风险管理融合,将二者协同运转以更好地保障企业合法合规经营。

        一、合规管理与法律风险管理的概念

        (一)合规管理的概念

        “合规”一词是由英文“compliance”翻译而来。“规”具体可以包含哪些方面,我国目前尚没有从法律法规层面对“规”做出法律意义上的界定。《合规管理指引》第二条规定:“本指引所称合规,是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业标准和企业章程、规章制度以及国际条约、规则等要求。”按照陈瑞华教授在《企业合规的基本问题》的观点,“法律规定大体上不外乎四大类:第一,国家法律法规,包括法律、行政法规、行政规章、地方性法规、司法解释等,所有具有法律渊源资格的规范文件都是需要遵守的对象。第二,商业惯例,既包括成文规范,如各行业协会颁布的行为准则等,也包括不成文的商业习惯和伦理。第三,公司内部制定的规章制度,违反自定的规章制度同样会成为企业受到制裁的理由。第四,国际组织条约,如世界银行等国际组织,也设置了合规管理和制裁体系。世界银行可以通过附解除条件的制裁,为企业设置若干年考验期,要求其重建合规计划。”可以看出,合规的“规”不仅仅是法律层面上的法律、法规、规章、司法解释,政策等,还包括企业章程、内部制度规范以及行业标准、商业习惯甚至国际条约和守则。企业在市场运作中,还可能存在单方承诺,这也是合规应遵守的内容。

        《合规管理指引》第二条“合规管理,是指以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。”从该定义可以看出:合规管理包括合规风险的识别和评估、合规管理制度的建立、合规管理组织架构的组建以及合规管理机制的实施。合规管理贯穿着企业经营的每一个环节,不是企业经营管理独立存在的一个阶段。合规管理的本质是为了防控合规风险,目的是建立完善的企业管理体系,保障企业长久健康持续发展。

        (二)法律风险管理的概念

        法律风险相对容易理解,按照字面可以理解为由于法律问题可能导致的不利后果。目前,我国法律规范中尚未形成法律风险管理的统一概念,2011年国家标准化委员会发布的《企业法律风险管理指南》中对“法律风险”予以界定。法律风险是指基于法律规定、监管要求或合同约定,由于企业外部环境及其变化,或企业及其利益相关者的作为或不作为,对企业目标产生的影响。从这一概念可以看出,法律风险包括因违反法律、法规产生的风险,因违反合同约定而产生的违约风险,以及其他引起诉讼或仲裁风险等。

        二、合规管理与法律风险管理的关系

        在企业推进合规管理过程中,人们经常会有疑惑,既然企业进行了法律风险管理,现又推出合规管理,二者之间到底是什么关系?实务中,各企业实行合规管理和法律风险管理的经验不完全一致。有人认为法律风险管理包括合规管理,合规管理是法律风险管理的一部分;有人认为合规管理与法律风险管理类似,只是侧重点不同而已;有人认为合规管理包含法律风险管理,合规管理是上层概念。笔者认为:合规管理与法律风险管理都是企业法治建设下的重要内容,合规管理是纯管理方向,强调红线,是一种底线思维,侧重于价值评判,拥有更多的权力;而法律风险管理是有风险管理的特点,也有为企业服务和提供支持的要求,在不违反法律法规的原则下,是一种利益平衡的选择,合规管理与法律风险管理既有交集又有区别。

        合规管理和法律风险管理相同或相交之处:(1)管理目标相同:合规管理目标是保证企业合规经营,防控合规风险,法律风险管理目标是防范企业法律风险。终极本质都是法治企业的具体要求,都是围绕企业经营目标保障企业正常持续运营。(2)遵守的“规”有交集:合规管理的“规”要求企业行为要符合“法律、法规、内部制度、行业准则、市场承诺、国际条约等”,法律风险管理重在要求企业的行为遵守法律法规的规定。二者需要遵守的法律法规是一致的,合规管理的“合规”与法律风险管理的依据有相同部分但又不完全一致,合规的规则更广泛。(3)管理的对象有相同之处:合规管理的对象是企业及其员工,法律风险管理的对象主要是企业行为。二者的管理对象有相同之处。(4)操作流程较为相似:合规管理和法律风险管理流程在制度制定、风险评估、风险识别、风险审查、风险应对方面较为相似。

        二者在实务中也存在很大的不同:(1)法律风险管理相对具有“柔性”,强调根据法律风险等级,寻求商业利益需求与风险管理要求的平衡,并根据管理需求提供解决方案;而合规管理相对具有“刚性”,强调红线意识和高度严格的执行力,合规风险管理则是底线,是监督,是零容忍。(2)合规管理不仅规范企业对外行为,亦侧重于内部员工行为,合规管理对个人的职业道德等都有要求。法律风险管理侧重于规范企业行为,即使是因员工的行为产生的法律风险一般也被视为代理行为,由企业来承担法律后果。(3)合规管理的责任后果主要是行政法律责任和刑事法律责任;而法律风险管理的责任后果一般是以民事责任为主,最终风险的解决方案要视企业内外部利益具体情况而选择。所以,不是所有的法律风险管理都是合规管理,也不是所有的合规风险都是法律风险,二者不是包含与被包含的关系。

        三、合规管理与法律风险管理融合的构建

        2019年12月,国务院国资委发布《关于做好2020年中央企业内部控制体系建设与监督工作有关事项的通知》,明确要求整合优化内控、风险管理和合规管理监督工作,意在将内控、风险、合规管理纳入同一体系。作为一名法务人员,借鉴一些企业的实际做法,笔者尝试将合规管理与法律风险管理从以下方面融合:

        (一)二者的组织架构融合

        当前,有的企业是将合规管理与法律风险管理分别设置不同的部门,合规管理由合规部门执行,法律风险管理由法律事务部门执行。有的企业是将合规管理和法律风险管理设置同一部门。有的企业(例如中国中铁)合规管理是建立“三防一查”(或“三位一体”)体系,其中合规参与管理部门是合规管理的第一道防线;法律合约部、董事会办公室等合规综合、专项管理部门是合规管理的第二道防线;最后公司党委会、董事会、监事会、总裁办公会、职代会是合规管理的第三道防线;过程中纪委、审计部门是合规管理的保障,通过查处违规行为保障合规管理体系的有效运行。《合规管理指引》第9条和第10条分别规定,中央企业相关负责人或总法律顾问担任合规管理负责人,法律事务机构或其他相关机构为合规管理牵头部门,组织、协调和监督合规管理工作,为其他部门提供合规支持。笔者认为合规管理以法务部为牵头部门,将合规和法律事务融合为一个部门,二者有相通之处,并且法务人员具有专业优势,更有利于合规管理和法律风险管理的协同合作。

        (二)二者相关制度的融合

        合规管理需要建立专门的合规管理制度,从合规管理制度出发,重新梳理企业各项规章制度,积极探索合规管理与法律风险管理制度等其他公司制度的一体化,对企业现有各个管理制度进行检查、分析,对现有管理制度与流程进行修改、补充或废止。厘清各项管理制度界限、确保各项管理制度达到无缝连接、避免相互交叉和冲突。

        (三)借助大数据与信息化融合二者

        运用大数据信息化手段,从流程上将合规管理和法律风险管理嵌入企业运营的每个环节。强化信息化系统应用,利用信息化规范流程,提高信息采集的准确性、完整性、及时性,防控不合规行为,规避法律风险,保障企业运营管理。

        综上所述,合规管理与法律风险管理不能互相代替,也不能在法律风险管理基础上简单的增加合规管理,笔者建议,企业可以以合规管理为红线,以法律风险管理为基础,提高合规管理的地位,整合企业风险管理资源、规范企业内部制度、有效推动合规管理这一舶来品的有效落地。