11月5日，国务院国资委发布了《中央企业合规管理指引（试行）》文件。

从去年开始的“中兴事件”引发的合规问题（我将其成为“被合规”）引起了中国企业的极大关注，此举是继2017年底国家标准委发布GB/T 35770《合规管理体系指南》之后，从国家层面启动的又一项推动合规体系建设的动作。这次是国资委发布的一项专门针对央企的合规政策指引。这样看来，“中兴事件”在其中应该起到了很大的推动作用。关于中兴事件，我们曾经做过一篇案例分析，感兴趣的朋友可以再温习一下：痛定思痛：中兴事件暴露了中国企业管理“软实力”的脆弱性

在这篇文章中，我们曾提到了中兴的合规属于“被合规”，不是普通意义上的合规风险。但无论如何，通过此次惨痛的教训，中国企业对于走出去的合规意识比从前是大大提高了。

一、《中央企业合规管理指引》文件概览

初次看到此文件，大致浏览了一下，共6章31条，10页纸的篇幅，逻辑还是比较清晰、内容还是比较连贯，应该说还是一份不错的指导文件，特别是在当下合规被作为一个关注的焦点，为中央企业乃至整个中国企业提供了很好的一个指导纲要。

这是一个典型的政策文件样本，重点内容是其中的2-5章，分别解决了谁来干、干什么、怎么干、如何保障的问题。

二、《中央企业合规管理指引》文件的主要内容

1、明确了合规管理工作职责和组织架构

明确了董事会、监事会、经理层分别担任的合规管理职责，其中规定：

• 董事会决定合规管理负责人的任免以及合规管理牵头部门的设置；

• 监事会监督董事会和高级管理人员的合规管理履职情况；

• 高级经理层负责合规管理组织架构

合规管理组织架构如下图所示：

央企合规管理组织架构

结合职责和架构来看，合规管理委员会可以为治理层（董事会）下设机构，也可以为经理层下设机构（但是董事会对合规负责人和牵头机构拥有决定权）。另外还需要看企业原有的法制建设领导小组和风险控制委员会设立在哪个层面。实践过程中需要结合不同央企的实际情况来看，到底定位到哪个层面比较合适。

2、明确了合规工作的重点内容

文件规定防范合规风险的七大重点领域、三大重点环节、三大类重点人员，重点强调了海外业务的合规运作。

七大重点领域包括：市场交易、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴等；

三大重点环节包括：制度制定环节、经营决策环节、生产运营环节；

三大重点人员包括：管理人员、重要风险岗位人员、海外人员；

其中重点人员中的重要风险岗位人员是指通过合规风险评估确定的承担重要合规风险的职能岗位，是风险导向进行合规管理的明显体现。

三、关于合规和风险管理、内部控制及相关职能的关系

1、合规是基本目标

刚才在展示合规管理架构时，在具体工作层面我引用了三道防线的概念。合规（英文对应是Compliance），从企业整体的经营管理来看，一直都是最基本目标，是企业管理的边界和红线。就合规目标而已，为企业的风险偏好和承受度设定提供了清晰的边界。

在国际上，合规管理不是一个新职能，而是早已被认知和运行多年的一项管理工作。为什么我们国内近几年才开始关注，其实是和三个方面的因素有关系：

1. 与整个社会经济发展阶段有关；

    

2. 与一个国家整体的法治意识和进程有关；

    

3. 与当下面临的外部环境有关。

我们最近几篇文章中都谈到关于规则意识的问题，合规是什么？简单来讲就是要遵守规则。我们过去几十年的高速发展其中一个重要原因是得益于我们不墨守成规、敢于突破规则（当然有时候是一些灰色地带）、没有规则的情况下也可以先“摸着石头过河”。

但是一旦发展跳出了“草莽英雄”阶段，就不一样了，如果作为世界第二大经济体，还没有形成明确、清晰的规则意识，在这个企业经营最基本的目标方面与世界如果不能达成共识的话，那就面临很多问题了。

所以，就企业而言，合规目标是所有职能面对的最基本目标。有人会说，企业最基本的目标是盈利和生存。如果还有此想法的企业家，我建议要尽快转换思维，未来的盈利和生存只能是要建立在合规基础上的目标。当然这里面有一个辩证关系，通过违规而获得的发展肯定是不可持续的短期行为，而为了合规而蚕食掉大部分的盈利同样也肯定不会是最优方案。

2、与内部控制和风险管理的关系

了解COSO内部控制和风险管理体系的同仁都知道，对于合规而言，一直都是两个体系的工作目标之一。既然是目标，那内部控制也好、风险管理也罢，都应该是实现合规目标的手段和工具。包括上面架构中提到的三道防线的各个职能，就合规目标而已，都是手段和工具。

COSO1992和2004发布的内控和风险管理框架

只不过需要强调的是，这些职能需要实现的目标并不止一个，而合规目标只是所有这些职能的基本目标，所以在框架中合规目标都是放在所有目标的最后面展示。不应理解为其最不重要，而要理解为其最基本。只有设立了专门的合规管理部门的企业，合规目标才会成为此职能部门的主要目标。

所以，合规管理与所有的管理体系都相关，但都是这些管理体系其中的一部分。如果要以合规管理体系作为一个结点来拎的话，那其实是在所有体系中将与其有关联的管理活动拎了出来，这就是为什么大家觉得他们之间都有关系，但又都扯不清的原因。因为着眼的、侧重点、抓取点的不同，容易导致这种理解不清晰。

就具体工作而言，是在各体系中对合规部分和相关内容的巩固和强化，也可以将其相关的内容镜像一份，给合规管理负责机构进一步梳理完善形成合规管理体系，双方是相互促进的良性互动过程。

切不可因此将企业现有的管理体系中的合规管理部分推倒重来，亦或是从零开始建立企业合规体系，要以实质内容和效果为根本出发点。

四、对合规文件的两点建议

1、合规风险的定义

《合规指引》文件的第二条对合规风险进行了定义：中央企业及其员工因不合规行为，引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。

这里首先要向大家解释一下，我们前期和大家普及了很久关于风险的概念。首先风险的提出需要有目标作为载体，对于有些风险而言，自身是携带目标描述的，比如我们这里谈到的合规风险，什么是合规风险？其实这里指的是“不合规所导致的风险”，合规就是目标本身，所以合规风险就是指代那些不合规的情形。自带目标的风险还包括安全风险，都是自带目标的风险描述。

这个定义前半部分的描述，其实是对合规这个目标产生了负面影响的典型表现形式的表述，最后落在了可能性上。这和我在前期风险本质论战第一篇和最后一篇提出的对风险的严格定义：对目标产生负面影响的不确定性 只是最后落脚点差了一个词。为什么我支持落在不确定性而不是可能性，因为产生负面影响的可能性只强调了发生的不确定性，没有强调影响的不确定性，而风险是两者不确定性兼具的。

2、合规内容的准确界定

《合规指引》文件中提到的合规是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。

这就是合规所有涉及的各方面内容，我对其中的大部分描述都表示认同，只是对其中关于规章制度的内容持保留意见。按照这样的描述，对企业规章制度的遵循性也属于合规管理的范畴。

• “外规”与“内规”

常规的合规管理工作强调的是对外部的法律法规和监管、条约、规则的遵循性，因为“规”已经被立好了，所以叫合规！对于这些“外规”而言，单个企业一般没有对如何“立规”的影响力，能做的只是遵守。

但是如果要将企业对内部的规章制度的“内规”也纳入合规管理的范畴，那会极大扩展合规管理工作的边界，在企业操作层面也会形成一定的理解误差。

• “内规”到底属不属于合规的内容？

如果“内规”也属于合规内容的话，就是说如果企业或员工违反的公司的制度规定也属于合规管理的内容，那就面临一个问题，这些规是谁来“立”的？因为只有立了规才有合规一说。如果企业自己立的规有问题怎么办？算不算不合规？

所以，我觉得还是需要区分一下，对企业内规的遵循性很容易和内部控制体系的执行有效性关联在一起，但同时不要忘了还有设计有效性的要求。从COSO的内部控制体系要求来看，对企业内部规章制度的遵循性问题不属于合规目标的内容，而是放在了运营目标下。

那应该如何表述？

我画了一个图方便大家理解，我认为合规的合理范畴应该如下所示，对于外规，企业可以直接采用其相关要求进行直接合规，也可以转化为企业的规章制度来执行。有的企业可能会制定比外部合规要求更严格和谨慎的企业规定，比如追求卓越的公司可能对环保、劳动用工等方面不会止步于外部监管要求的标准。

如果文件的本意确实就是要推行“大合规”做法，将企业自行制定的内规也划入合规管理的范畴，那就需要和企业内部控制体系的制度执行结合在一起，而且要记住不仅有“合规”，还有“立规”！