合规管理与法律风险管理融合初探

        2017年中兴通讯被美国政府制裁引起了国内广泛关注。越来越多的国内企业开始重视合规管理，防范合规风险。2018年11月，国务院国资委颁布了《中央企业合规管理指引（试行）》（简称《合规管理指引》），要求中央企业以有效防控合规风险为目的，按照全面覆盖、强化责任、协同联动、客观独立的原则加快建立健全合规管理体系。2019年10月，国务院国资委颁布《关于加强中央企业内部控制体系建设与监督工作的实施意见》，提出“建立健全以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系，实现强内控、防风险、促合规的管控目标。”合规管理正逐步受到各企业的重视。如何协调合规管理与现行法律风险管理将是企业无法回避的问题，笔者认为企业应将合规管理与法律风险管理融合，将二者协同运转以更好地保障企业合法合规经营。

        一、合规管理与法律风险管理的概念

        （一）合规管理的概念

        “合规”一词是由英文“compliance”翻译而来。“规”具体可以包含哪些方面，我国目前尚没有从法律法规层面对“规”做出法律意义上的界定。《合规管理指引》第二条规定：“本指引所称合规，是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业标准和企业章程、规章制度以及国际条约、规则等要求。”按照陈瑞华教授在《企业合规的基本问题》的观点，“法律规定大体上不外乎四大类：第一，国家法律法规，包括法律、行政法规、行政规章、地方性法规、司法解释等，所有具有法律渊源资格的规范文件都是需要遵守的对象。第二，商业惯例，既包括成文规范，如各行业协会颁布的行为准则等，也包括不成文的商业习惯和伦理。第三，公司内部制定的规章制度，违反自定的规章制度同样会成为企业受到制裁的理由。第四，国际组织条约，如世界银行等国际组织，也设置了合规管理和制裁体系。世界银行可以通过附解除条件的制裁，为企业设置若干年考验期，要求其重建合规计划。”可以看出，合规的“规”不仅仅是法律层面上的法律、法规、规章、司法解释，政策等，还包括企业章程、内部制度规范以及行业标准、商业习惯甚至国际条约和守则。企业在市场运作中，还可能存在单方承诺，这也是合规应遵守的内容。

        《合规管理指引》第二条“合规管理，是指以有效防控合规风险为目的，以企业和员工经营管理行为为对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。”从该定义可以看出：合规管理包括合规风险的识别和评估、合规管理制度的建立、合规管理组织架构的组建以及合规管理机制的实施。合规管理贯穿着企业经营的每一个环节，不是企业经营管理独立存在的一个阶段。合规管理的本质是为了防控合规风险，目的是建立完善的企业管理体系，保障企业长久健康持续发展。

        （二）法律风险管理的概念

        法律风险相对容易理解，按照字面可以理解为由于法律问题可能导致的不利后果。目前，我国法律规范中尚未形成法律风险管理的统一概念，2011年国家标准化委员会发布的《企业法律风险管理指南》中对“法律风险”予以界定。法律风险是指基于法律规定、监管要求或合同约定，由于企业外部环境及其变化，或企业及其利益相关者的作为或不作为，对企业目标产生的影响。从这一概念可以看出，法律风险包括因违反法律、法规产生的风险，因违反合同约定而产生的违约风险，以及其他引起诉讼或仲裁风险等。

        二、合规管理与法律风险管理的关系

        在企业推进合规管理过程中，人们经常会有疑惑，既然企业进行了法律风险管理，现又推出合规管理，二者之间到底是什么关系？实务中，各企业实行合规管理和法律风险管理的经验不完全一致。有人认为法律风险管理包括合规管理，合规管理是法律风险管理的一部分；有人认为合规管理与法律风险管理类似，只是侧重点不同而已；有人认为合规管理包含法律风险管理，合规管理是上层概念。笔者认为：合规管理与法律风险管理都是企业法治建设下的重要内容，合规管理是纯管理方向，强调红线，是一种底线思维，侧重于价值评判，拥有更多的权力；而法律风险管理是有风险管理的特点，也有为企业服务和提供支持的要求，在不违反法律法规的原则下，是一种利益平衡的选择，合规管理与法律风险管理既有交集又有区别。

        合规管理和法律风险管理相同或相交之处：（1）管理目标相同：合规管理目标是保证企业合规经营，防控合规风险，法律风险管理目标是防范企业法律风险。终极本质都是法治企业的具体要求，都是围绕企业经营目标保障企业正常持续运营。（2）遵守的“规”有交集：合规管理的“规”要求企业行为要符合“法律、法规、内部制度、行业准则、市场承诺、国际条约等”，法律风险管理重在要求企业的行为遵守法律法规的规定。二者需要遵守的法律法规是一致的，合规管理的“合规”与法律风险管理的依据有相同部分但又不完全一致，合规的规则更广泛。（3）管理的对象有相同之处：合规管理的对象是企业及其员工，法律风险管理的对象主要是企业行为。二者的管理对象有相同之处。（4）操作流程较为相似：合规管理和法律风险管理流程在制度制定、风险评估、风险识别、风险审查、风险应对方面较为相似。

        二者在实务中也存在很大的不同：（1）法律风险管理相对具有“柔性”，强调根据法律风险等级，寻求商业利益需求与风险管理要求的平衡，并根据管理需求提供解决方案；而合规管理相对具有“刚性”，强调红线意识和高度严格的执行力，合规风险管理则是底线，是监督，是零容忍。（2）合规管理不仅规范企业对外行为，亦侧重于内部员工行为，合规管理对个人的职业道德等都有要求。法律风险管理侧重于规范企业行为，即使是因员工的行为产生的法律风险一般也被视为代理行为，由企业来承担法律后果。（3）合规管理的责任后果主要是行政法律责任和刑事法律责任；而法律风险管理的责任后果一般是以民事责任为主，最终风险的解决方案要视企业内外部利益具体情况而选择。所以，不是所有的法律风险管理都是合规管理，也不是所有的合规风险都是法律风险，二者不是包含与被包含的关系。

        三、合规管理与法律风险管理融合的构建

        2019年12月，国务院国资委发布《关于做好2020年中央企业内部控制体系建设与监督工作有关事项的通知》，明确要求整合优化内控、风险管理和合规管理监督工作，意在将内控、风险、合规管理纳入同一体系。作为一名法务人员，借鉴一些企业的实际做法，笔者尝试将合规管理与法律风险管理从以下方面融合：

        （一）二者的组织架构融合

        当前，有的企业是将合规管理与法律风险管理分别设置不同的部门，合规管理由合规部门执行，法律风险管理由法律事务部门执行。有的企业是将合规管理和法律风险管理设置同一部门。有的企业（例如中国中铁）合规管理是建立“三防一查”（或“三位一体”）体系，其中合规参与管理部门是合规管理的第一道防线；法律合约部、董事会办公室等合规综合、专项管理部门是合规管理的第二道防线；最后公司党委会、董事会、监事会、总裁办公会、职代会是合规管理的第三道防线；过程中纪委、审计部门是合规管理的保障，通过查处违规行为保障合规管理体系的有效运行。《合规管理指引》第9条和第10条分别规定，中央企业相关负责人或总法律顾问担任合规管理负责人，法律事务机构或其他相关机构为合规管理牵头部门，组织、协调和监督合规管理工作，为其他部门提供合规支持。笔者认为合规管理以法务部为牵头部门，将合规和法律事务融合为一个部门，二者有相通之处，并且法务人员具有专业优势，更有利于合规管理和法律风险管理的协同合作。

        （二）二者相关制度的融合

        合规管理需要建立专门的合规管理制度，从合规管理制度出发，重新梳理企业各项规章制度，积极探索合规管理与法律风险管理制度等其他公司制度的一体化，对企业现有各个管理制度进行检查、分析，对现有管理制度与流程进行修改、补充或废止。厘清各项管理制度界限、确保各项管理制度达到无缝连接、避免相互交叉和冲突。

        （三）借助大数据与信息化融合二者

        运用大数据信息化手段，从流程上将合规管理和法律风险管理嵌入企业运营的每个环节。强化信息化系统应用，利用信息化规范流程，提高信息采集的准确性、完整性、及时性，防控不合规行为，规避法律风险，保障企业运营管理。

        综上所述，合规管理与法律风险管理不能互相代替，也不能在法律风险管理基础上简单的增加合规管理，笔者建议，企业可以以合规管理为红线，以法律风险管理为基础，提高合规管理的地位，整合企业风险管理资源、规范企业内部制度、有效推动合规管理这一舶来品的有效落地。