論企業合規的性質

作者：陳瑞華，北京大學法學院教授、博士生導師、法學博士、教育部“長江學者獎勵計劃”特聘教授。

來源：《浙江工商大學學報》2021年第1期。微信公衆号“浙江工商大學學報”于2021年2月26日推送。原文責任編輯：張偉、鄭英龍。

摘要：企業合規是企業為實現依法依規經營、防控合規風險所建立的一種治理機制。企業合規隻有在法律确立了行政監管激勵機制和刑法激勵機制的前提下，才能得到有效的實施。在國際經濟法律體系中，一些國際組織也将企業合規作為對違規企業解除制裁的前提條件。從曆史上來看，企業合規是為保護企業利益而設置的風險防控機制，它所要防控的不是企業的經營風險和财務風險，也不是一般意義上的法律風險，而是因可能受到行政處罰或刑事追究而承擔的合規風險。企業合規發展到今天，已經不再僅僅屬于企業所要承擔的道德義務，而變成一個涉及多個法律領域的重要法律問題。

關鍵詞：企業合規；公司治理；風險防控；行政監管合規；刑事合規；反制裁合規

圖 | 陳瑞華教授

一 問題的提出

企業合規首先發端于美國，目前已成為全世界企業的治理方式。對于企業合規的含義，法學界和實務界向來有不同的理解。這反映出企業合規的内涵并不是單一的，而是具有多重含義的。與此同時，對于企業合規的内涵和外延，至今仍然存在一定的争議。例如，有人認為，合規就等于企業合規；但也有人認為，企業合規與企業高管的法律責任具有密切的聯系。又如，有人指出，企業合規就等于企業對其法律風險的防範和規避；但也有人指出，合規并不是一般意義上的風險防控，而主要是對行政處罰風險和刑事法律風險的防控。再如，有人認為，企業合規充其量隻是一種道德問題，還沒有形成一種完善的法律制度；但也有人認為，從早期公司治理的角度來看，企業合規大體屬于企業内部的自我管理問題。然而從20世紀90年代以來，随着行政監管合規和刑事合規制度的發展，企業合規已經成為一種重要的法律制度。

由此看來，我們有必要對企業合規的概念做出準确的解釋，并對相關觀點進行必要的澄清。我們可以通過分析西門子公司建立合規機制的例子，來解釋企業合規的多重含義，然後再對企業合規的内涵和外延做出簡要的解釋。

2006年11月，西門子公司因涉嫌海外商業賄賂而受到德國慕尼黑檢察機關的調查。随後，西門子主動向美國司法部和證券交易委員會報告了其在多個國家的行賄行為，并聘請美國德普律師事務所進行了長達兩年的内部獨立調查。在提交内部調查報告後，西門子與美國司法部達成了不起訴協議。根據這項協議，司法部放棄對西門子提起刑事指控，條件是以西門子違反FCPA有關會計條款和内部管制條款依據，對西門子公司處以4億4850萬美元的罰款。與此同時，針對美國證交會提起的民事起訴，西門子選擇了民事和解，最終西門子對證交會有關西門子違反反賄賂條款的主張既不否認也不予以承認，隻是同意向證交會退還3.5億美元的不正當利益。不僅如此，西門子還與德國檢察機關達成和解協議，繳納了總額達8億美元的罰款。

西門子事件發生後，該公司對管理團隊作出了大幅度調整。監事會主席和首席執行官相繼辭職，約200名經理被開除，100多名高層人員被責令配合調查。西門子還重新組建了合規團隊，任命前财政部長威格爾博士擔任獨立合規監察官，從2009年開始持續監督西門子在合規方面的改進情況。西門子聘請獨立的會計事務所和律師事務所等外部專業機構進駐，開啟了德國曆史上的首次公司獨立調查。這項調查活動評估了5000多個咨詢協議，檢查了4000萬個銀行賬戶報表、1億份文件以及1.27億次交易，進行了無數次内部談話。西門子為此付出了高昂的代價，僅外部專業機構的調查費用就高達數億歐元。

至此西門子建立了獨立而權威的合規組織體系。合規組織由首席合規官擔任負責人，向西門子公司總法律顧問報告工作，并可以直接向西門子公司管理委員會和監事會提交報告，而總法律顧問則直接向西門子公司總裁兼首席執行官彙報工作。在原來反腐敗合規的基礎上，西門子的合規領域已經得到顯著的擴大。目前，西門子的合規工作主要集中在四大領域：一是反腐敗，防止權錢交易行為；二是反壟斷，防止違反公平競争原則；三是數據保護，注重保護相關的隐私數據；四是反洗錢，注重防止西門子被用作洗錢和為恐怖主義融資的工具。

西門子的合規體系由兩個部分組成：一是商業行為準則，二是三大制度保障。前者包括八個部分，分别确立了“基本行為要求”、“如何對待商業夥伴和第三方”、“避免利益沖突”、“公司财産的使用”、“環境、安全與健康”、“投訴與建議”、“合規執行與監督”等方面的規則。這些商業行為準則基本上确立了西門子公司的基本合規制度。後者則包括三大支柱性制度：防範（prevent）、監控（detect）和應對（respond）。所謂防範，是針對可能的合規風險所采取的預防性措施。防範體系主要由六個部分構成：合規風險管理、制定政策和流程、培訓和其他溝通方式、建議與支持、與人事流程相結合、聯合行動和廉潔行動項目等。其中，合規風險管理和培訓是防範體系的核心部分。監控體系包括四項流程：控制管理、審計、投訴處理以及報告責任。而所謂的應對體系，則包括對違規行為的及時調查識别，對存在違規行為的員工進行處罰，并在全球範圍内進行個案的跟蹤。在針對有關員工的紀律處罰作出後，涉案的相關部門必須落實調查報告中提出的建議，對相關的制度漏洞和工作缺陷作出必要的補救，以避免類似的違規行為再次發生。

通過觀察西門子建立合規體系的例子，我們不難産生以下初步的印象：西門子公司實施了海外賄賂行為，違反了美國和德國的反賄賂法律，面臨着德國檢察機關的刑事調查，同時面臨着美國司法部的刑事調查和證監會的監管調查。西門子公司假如不采取任何配合調查、自我披露以及重建合規計劃的行動，就有可能遭受美國檢察機關的刑事起訴和法院的定罪判刑，被美國證交會采取執法行動，并受到行政處罰。當然，在德國刑法沒有确立法人犯罪制度的情況下，西門子在德國也有可能受到嚴厲的行政處罰。可以說，恰恰是為了避免受到嚴厲的行政處罰和刑事追究，西門子才選擇了一條重建合規計劃的道路。

而通過重建合規計劃，西門子不僅與美國檢察機關和證交會達成和解協議，被采取了寬大的刑事處理和行政處罰，避免了經濟上、交易資格上以及聲譽上的諸多損失，而且還“意外”地獲得了改革公司治理結構的機會，重建了合規組織體系，實施了新的商業行為準則，确立了以防範、監控和應對為支柱的合規管理體系。假如我們将避免受到嚴厲的行政處罰和刑事追究作為企業建立合規計劃的外部激勵機制的話，那麼，企業合規本身仍然屬于公司為實現自身治理目标所采用的一種自我管理方式。但是，這種企業合規機制與傳統的公司治理方式究竟有什麼本質區别呢？從西門子所标榜的“隻做合規的業務”這一理念來看，企業合規就是企業要依法依規展開經營活動，拒絕并預防那些違法違規的行為，從而形成一種依法依規進行經營活動的習慣，并督促員工、第三方以及其他商業夥伴采取依法依規的經營方式。

鑒于我國政府監管部門剛剛開始引入合規治理方式，學術界對這一問題的研究還并不成熟。因此，我們有必要對企業合規的性質作出認真的讨論。本文拟結合西門子重建合規體系的經驗，揭示企業合規的三層含義，分析企業合規的演變過程，并通過澄清若幹模糊認識來總結企業合規的基本屬性。這種對企業合規基礎問題的研究，既可以确保相關理論研究不偏離正确的軌道，也有助于政府監管部門按照企業合規治理的規律，逐步構建一種行之有效的合規體系。

二 企業合規的三層含義

從西門子公司重建合規計劃的經驗來看，企業合規其實具有三個方面的基本含義：一是從積極的層面來看，企業合規是指企業在經營過程中要遵守法律和遵循規則，并督促員工、第三方以及其他商業合作夥伴依法依規進行經營活動；二是從消極的層面來看，企業合規是指企業為避免或減輕因違法違規經營而可能受到的行政責任、刑事責任，避免受到更大的經濟或其他損失，而采取的一種公司治理方式；三是從外部激勵機制來看，為鼓勵企業積極建立或者改進合規計劃，國家法律需要将企業合規作為寬大行政處理和寬大刑事處理的重要依據，使得企業可以通過建立合規計劃而受到一定程度的法律獎勵。

（一）企業合規的第一層含義

從字面上看，合規（compliance）具有“遵守規則”或“遵循法律規定”的含義。無論是怎樣的合規計劃或合規管理體系，無非要達到督促企業在經營過程中遵守法律法規的效果。那麼，企業究竟應當遵守哪些法律法規呢？

通常說來，根據企業在經營或交易過程中所要遵守的規則類型，我們可以将企業所應遵守的法律法規分為四種：一是國家制定的法律法規，在我國可以包括全國人大及其常委會通過的法律、國務院通過的行政法規、最高司法機關發布的司法解釋、國家部委局辦通過的部門規章、地方立法機關通過的地方性法規等；二是商業慣例和倫理規範，包括各行業協會頒布的成文行為準則以及各種不成文的商業習慣和倫理規範等；三是企業自行頒布的規章制度，包括公司章程、商業行為準則、員工行為守則等；四是相關外國法律法規、國際條約或國際慣例，包括那些公司經營地所在國或地區的法律法規，本國參加或者簽署的國際公約以及相關國際組織所實施的國際規則等。

從本質上看，企業合規就是一種自我監管（selfpolicing）機制。企業建立合規管理體系的根本目的在于督促員工、客戶、合作夥伴、被并購企業等在經營過程中遵守上述法律法規，“隻做合法合規的業務”。但是，要求企業依法依規經營，這僅僅屬于企業合規的淺層含義。從公司治理的角度來看，企業要做到依法依規經營，還需要針對自身存在的違法違規風險，建立一套防範員工、客戶、第三方、被并購企業等出現違法違規行為的管理機制。針對企業内部可能出現的違法違規行為建立管理機制，這是企業合規的根本要義。從這一角度來說，企業合規并不是籠統地要求企業“依法依規經營”，而是要求企業針對可能出現的違法違規情況，建立一套旨在防範、識别和應對合規風險的自我監管機制。

（二）企業合規的第二層含義

企業合規有積極和消極兩個層面的含義。前面所說的依法依規經營，其實是從積極的角度闡釋的合規含義。但從消極的角度來看，企業合規是指企業為避免出現違法違規行為，防止或減輕因違法違規而遭受的各種損失所建立的公司治理體系。要理解這一層含義，我們需要從四個角度來作出簡要的分析。

首先，企業合規是為了防範合規風險而建立起來的管理機制。所謂合規風險，是指企業因沒有遵守法律、規則和準則而可能遭受法律制裁、監管處罰，并遭受重大經濟損失和聲譽損失的風險。每個企業因其所從事的業務不同，會存在各不相同的合規風險領域。例如，銀行的合規風險領域通常是違反國家反洗錢法律，醫療企業的合規風險領域一般是違反國家反商業賄賂法律，大數據公司的合規風險領域經常是違反國家數據安全和信息隐私保護的法律，從事進出口業務的企業則通常存在違反國際出口管制法律的合規風險，等等。為防範這些合規風險的發生，避免企業遭受各種損失，企業需要建立合規體系，并将其作為改進公司治理結構的一種制度安排。

其次，企業合規是針對有關監管部門的調查和處罰所建立的管理體系。企業之所以要建立合規管理體系，并不是為了防範所有的“法律風險”，而主要是為了防範因違法違規而受到行政監管處罰、刑事追究的風險。通常而言，企業在經營過程中會面臨着多方面的風險，也要展開多方面的風險防控工作。但是，企業合規所要防範的不是一般的“經營風險”，也不是一般意義上的“法律風險”，而是因違法違規而受到行政監管處罰和刑事追究的風險。從西門子的經驗來看，避免受到嚴厲的行政監管處罰和刑事追究，是其重建合規計劃的主要目标。

再次，企業合規是為避免遭受重大經濟損失和聲譽損失而建立的管理體系。對于涉嫌違法違規的企業而言，一旦受到監管部門的調查和處罰，或者受到司法機關的定罪量刑，所可能帶來的最嚴重後果并不是一般的罰款或者罰金，而是特定經營資格的限制或者剝奪。例如，一旦受到監管處罰或者刑事定罪，企業可能會失去上市資格，失去與政府部門的交易資格，甚至失去特許經營資格。我國各種行政法規對違規企業所作的最嚴厲處罰是兩種“資格剝奪”，即被取消特許經營資格以及被吊銷營業執照。按照美國司法部的說法，“起訴一個公司，就等于宣告公司死刑。”之所以作出如此斷言，就是因為企業一旦受到監管處罰或者刑事定罪，就有可能被剝奪上述經營或交易資格，其不僅将蒙受重大經濟損失，而且将面臨社會聲譽上的損失。為避免遭受這些經濟損失和聲譽損失，企業需要建立合規管理體系，有效防範企業或員工的違法違規行為，避免受到嚴厲的監管處罰或刑事追究。

最後，企業合規是一種特有的公司治理方式。傳統的公司治理，無非是通過調整企業所有權和經營權的之間關系所建立的治理制度安排。其中，由全體股東選舉産生的董事會，主要行使企業的決策權和監督權；由董事會遴選産生的高級管理層，主要行使企業經營權和執行權。企業為強化對财務工作的監管，還有可能設立具有相對獨立地位的審計部門，甚至設立直接隸屬于董事會的審計委員會。但總體而言，這種傳統的公司治理結構缺乏一種獨立的法律風險防控機制的存在。而企業合規機制的建立，在傳統公司治理結構中引入了一種專門的風險防控機制。通過在董事會之下設立合規委員會，在管理層面設立首席合規官（CCO），在公司總部設置專門的合規管理部門，并在公司各個部門以及分支機構設立合規分支部門或合規人員，實現了至上而下的合規管理體系。

通過建立合規管理體系，企業建立了商業行為規範，為員工确立了行為準則，并建立了合規風險防範體系、風險識别體系和違規行為應對體系。通過對企業和員工經營行為的及時監控和處置，企業實現了自我監管、自我報告、自我披露和自我整改，可以實現對違法違規行為的有效預防、及時監控，對于制度上的漏洞和缺陷進行及時的堵塞和修補。在一定程度上，企業合規發揮了替代政府監管、防範企業及其員工出現違法行為的效果。

（三）企業合規的三大激勵機制

企業合規作為一種公司治理方式，本身并不會自動地發揮作用，唯有建立外部的激勵機制，這種公司治理方式才會得到激活。這些激勵機制主要是來自行政法和刑法上的獎勵制度，也就是企業建立了合規管理體系，就可以得到行政監管部門的寬大行政處理，或者受到較為寬大的刑事處理。有關國際組織也可以對那些建立合規計劃的企業，予以較為寬大的制裁處罰。正因為如此，企業合規的就具有了三個方面的法律保障：一是行政監管合規機制；二是刑事合規機制；三是反制裁合規機制。這三個方面的合規激勵機制的建立，意味着合規不單純屬于企業内部的治理方式問題，更不單純屬于企業承擔道德責任問題，而成為行政法、刑事法乃至國家經濟法的有機組組成部分。

所謂行政監管合規，是指行政監管機構針對那些違反行政法律的企業，所确立的以企業合規換取寬大行政處理的法律制度。在那些建立了行政監管合規機制的國家，對于已經建立合規管理體系的違法企業，監管部門可以與其達成行政和解協議，違法企業可以因此減輕或者免除行政處罰。而對于簽署行政和解協議的違規企業，監管部門還有可能設置考驗期，督促其在配合調查和自我披露的前提下，采取進一步改進合規計劃的措施。在考驗期結束後，企業滿足了和解協議所要求的改進合規計劃方案的，監管部門就可以不再對其采取進一步的行政執法行動。因此，行政監管合規已經替代了傳統的“嚴刑峻罰”式的行政執法方式，成為行政監管部門督促違法企業自我監管、自我整改、自行堵塞管理漏洞的一種執法方式。

所謂刑事合規，是指對于那些已經構成犯罪的企業，刑事執法機關以企業建立合規機制為依據，對其做出寬大刑事處理的法律制度。傳統上，對于構成犯罪的企業，檢察機關要麼向法院提起公訴，要麼作出不起訴的決定。即便檢察機關與涉案企業達成某種辯訴交易或者量刑協議，企業最終也會被追究刑事責任。但在那些确立了刑事合規制度的國家，檢察機關對于已經建立合規計劃的犯罪企業，可以根據企業建立合規計劃的情況，來做出是否提起公訴的決定；對于已經起訴到法院的案件，涉案企業能夠以建立合規計劃為根據，作出無罪的抗辯，說服司法機關作出無罪決定；對于已經被定罪的企業，法院還可以将企業建立合規機制作為減輕刑事處罰的根據。不僅如此，檢察機關對于已經建立合規計劃的企業，還可以根據其犯罪的情況以及合規計劃的有效程度，與其達成暫緩起訴協議或者不起訴協議，通過設置考驗期，督促其在繳納改革罰款的前提下，重建合規計劃，并對其重建合規計劃的進程進行持續不斷的監管。在考驗期結束後，檢察機關根據企業履行上述協議的情況，可以作出撤銷起訴的決定，案件最終以企業被宣告無罪而告終。可以看出，這種刑事合規機制将企業合規作為提起公訴、定罪和量刑的重要根據，也作為與企業達成和解協議的重要根據和内容，已經成為刑法确定企業刑事責任的根據，也成為刑事訴訟法所确立的一種替代性的、非正式的刑事訴訟程序。

所謂反制裁合規，是指那些建立合規管理機制的國際組織，對于那些違反該組織所确立的交易規則的企業，通過責令其建立有效合規計劃，來換取撤銷制裁和處罰的國際法律制度。在這一方面，最為典型的是以世界銀行為代表的國際金融機構。對于申請貸款合作和參加項目招投标的企業，假如存在腐敗或者欺詐等違反規則的情形的，世界銀行等國際金融機構可以作出一系列程度不等的制裁。其中，對于大多數存在違反規則情形的企業而言，世界銀行的制裁都是附解除條件的取消資格。這些企業要申請解除這類制裁，就要按照世界銀行的要求，在考驗期之内重建誠信合規計劃并接受世界銀行的監督和檢驗。在考驗期結束後，企業建立了有效合規計劃，并經審查驗收合格的，世界銀行就可以解除上述附條件的制裁。可見，這裡所說的制裁合規，将企業建立合規計劃作為解除國際制裁的條件，是國家組織對有關企業加強監管的重要方式，屬于國家經濟法律制度的重要組成部分。

三 企業合規是如何發生的？

企業合規最早出現在美國。早在20世紀60年代以前，合規就出現在美國的商業監管實踐之中。當時，一些企業針對社會對公司不信任的情況，試圖通過規範員工的行為來加強自我監管，督促員工依法依規行事。同時，一些行業協會也嘗試制定合規指南，督促企業依法依規進行經營活動。當然，無論是企業還是行業協議，建立合規體系的目的并不僅僅在于依法依規經營，還在于有效地劃分市場和控制價格。尤其是在政府部門逐步加強監管的情況下，企業和行業協會加強合規管理，還有助于防止政府部門過度加強企業監管。總體上說，這一階段的企業合規基本上屬于企業“自我監管階段”。

20世紀60年代以後，随着一系列企業壟斷醜聞的出現，包括通用電氣、西屋電氣在内的十幾家公司通過劃分市場、操縱價格和控制招标等方式來确保其市場壟斷地位，這些公司先後受到美國刑事反壟斷部門的調查。随後，先後有30餘家被調查企業和40多人與檢察機關達成認罪協議。除了這些公司被法院判處數百萬美元的罰金以外，還有7名公司高管被判處有期徒刑。這些針對公司及其高管的刑事處罰，震驚了美國社會各界，也促使衆多企業開始制定反壟斷合規計劃。在此過程中，監管部門對于企業合規的發展起到了較大推動作用。這是因為，隻要企業建立了合規計劃，并保證該計劃得到嚴格的監督和誠實的執行，監管部門就可以據此認定企業沒有主管過錯，不對員工的違法違規行為承擔法律責任。因此，自1970年以後，合規管理體系的建設在美國特定領域逐漸受到重視。這一階段持續了近30年，可以被稱為“企業合規的政府監管時代”。

在這一階段，企業合規逐漸在企業反商業賄賂領域的得到高度重視。1977年，為嚴厲懲治日趨嚴重的美國公司海外賄賂行為，美國頒布了《反海外腐敗法》。該法确立的反腐敗條款和會計條款不僅對在海外運營的美國公司産生了較大的法律約束力，還可以适用于外國公司在美國的賄賂行為以及在美國設立分支機構的外國公司的海外賄賂行為。美國聯邦司法部對違反該法的行為擁有刑事管轄權，而美國證券交易委員會則可以對此行使民事管轄權。

進入20世紀90年代以來，美國司法部和證交會對海外賄賂行為的查處力度顯著加強，大批跨國企業因為存在各種商業賄賂行為而被定罪判刑。由于定罪給公司所帶來的不僅是承擔刑事責任，而且還嚴重損害了公司聲譽，使公司失去商業機會和交易資格。因此，為避免如此嚴重的後果，很多公司開始重視内部的法律風險防範問題，避免海外賄賂行為的發生。

自此，美國企業合規制度迎來了新的發展階段。這一階段的主要特征是，企業合規從特定行業的管理機制，發展成為美國企業界普遍的公司治理方式。與此同時，從刑事執法部門加強合規監管開始，企業合規監管逐漸為幾乎所有政府部門所接受，形成了刑事合規和行政監管合規并存的局面。

1991年，美國聯邦量刑委員會制定了《組織量刑指南》，并将其編入《聯邦量刑指南》的第八章，以此作為法院對構成犯罪的企業進行量刑的依據。該項指南确立了有效合規計劃的一般标準。經過後來的修訂，該項組織量刑指南所确立的有效合規計劃包含以下幾項要素：合規标準和程序，監管，與有效道德和合規計劃一緻的組織機構，教育與培訓，審查與監控，激勵與紀律處分機制，違規應對與預防，等等。

《組織量刑指南》的實施，對企業合規的發展帶來了多方面的促進作用。一方面，為預防企業的違反違規乃至犯罪行為，執法機關在對企業施以罰金處罰的同時，還對那些建立合規計劃的企業給予适當的獎勵。另一方面，該項指南明确鼓勵企業配合執法機關的調查工作，主動披露違法行為，及時懲處負有責任的員工，并根據公司的配合度來降低對企業的罰金幅度。這種刑事合規機制的發展，第一次對企業在加強合規管理方面産生了積極的激勵作用，它們逐漸從員工遵紀守法的“被動觀察者”，轉變為督促員工依法依規經營的“積極倡導者”。可以說，《組織量刑指南》的實施，成為美國企業合規制度發展的“分水嶺”。自此以後，美國企業普遍開始按照該項指南的标準來建立有效的合規計劃，這被視為企業有效治理的重要标志。同時，美國聯邦檢察機關在推動企業合規發展方面發揮了越來越大的作用。它們不僅根據該項指南所設定的标準來作出是否提起公訴的決定，而且在與企業達成暫緩起訴協議或不起訴協議時，也會将企業是否按照指南要求确立合規計劃作為重要的考量因素，并在達成協議後作為企業改進合規計劃的标準模版。

美國企業合規的第四個發展階段是“普遍監管階段”。在2000年以後，美國爆發了大規模的企業欺詐醜聞，包括安然、世通、雷曼兄弟等在内的多個美國公司，因卷入欺詐案件而最終宣告破産。而作為當時全球第一大會計師事務所的安達信公司，也因為向監管部門提供僞造文件而受到刑事起訴，并随即陷入分崩離析的困境，不僅失去了從事證劵審計業務的資格，也失去了絕大多數客戶，員工紛紛離職或者失業，造成了美國經濟的嚴重動蕩。

為應對這場危機，加強對企業的内部控制，美國2002年通過了《薩班斯—奧克斯法案》，這是自1930年以來對聯邦證劵法所作的最大修改。在推動企業合規方面，該項法案的實施代表了美國治理上市公司基本理念的轉變，也就是從簡單的信息披露走向實質性的監管。其中，最主要的監管方式就是督促公司建立内部控制體系，要求公司管理層承擔其建立、運行、評估、披露内部控制體系的責任。在該法案的影響下，美國上市公司會計監管委員會确立了企業内部控制體系的基本标準。這些标準要求管理層對内部控制體系的有效性進行評估，并對評估進行記錄和報告。管理層的責任主要包括：記錄與所有财務報表會計科目和披露事項認定有關的内控設計；測試相關的内控體系，須涵蓋内部控制的全部要素；執行适當程序以獲得充分的證據并保留相關記錄，以便支持對内控體系有效性的評估；内部控制體系評估應由公司管理層負責實施，可向内部審計師、公司其他人員和第三方請求協助，但不可直接委派給外部審計師或其他任何第三方；遇有一個或多個嚴重不合格的情況，管理層就不應認定内控體系的有效性；管理層報告應披露所有嚴重不合格的情況。

2010年通過的《多德—弗蘭克法案》，針對金融危機的發生，推動了企業合規制度的進一步發展。根據美國學者的分析，該項法案“更加重視公司内部的舉報和合規程序”，督促企業不斷改進合規計劃，以便有效預防企業内部的違法違規問題。

随着美國企業合規制度的普遍實施，一些國際組織逐步接受了“通過合規進行公司治理”的理念，開始在相關領域發布有關企業合規的基本标準，以便指導企業建立合規體系。2005年4月，巴塞爾銀行監管委員會發布了《合規與銀行内部合規部門》，對金融企業構建合規部門确立了一般性的原則。該項文件對于合規風險作出了明确界定，要求合規應從銀行高層做起，并确立了基本的合規原則。2010年3月，經濟合作與發展組織（OECD）發布了《内部控制、企業道德及合規最佳實踐指南》，對成員國和跨國企業提出了預防腐敗行為的要求，并确立了有效合規的十二項準則。2014年，國際标準化組織（IOS）發布了《合規管理體系指南》，以國際法律文件的形式确立了有效合規的基本标準。該項合規文件的發布，标志着國際組織建立有效合規計劃步入成熟階段。

在美國合規制度的影響下，其他西方國家先後接受并采納了合規治理機制。最初，企業合規是為了配合國際反商業賄賂的開展和合作而得到傳播的。在美國《反海外腐敗法》實施二十餘年後，英國于2011年通過了《反賄賂法》，法國2016年通過了《薩賓第二法案》。這兩個國家都在反腐敗領域将企業合規确立為重要的刑事激勵機制，并确立了有效合規計劃的最低标準。在此前後的時間裡，西班牙、意大利等國将合規機制寫入刑法，使其成為對企業犯罪案件進行無罪抗辯的法定事由，也成為法院對涉案企業作出寬大刑事處理的法定量刑情節。這些法律都屬于反海外腐敗的法律，所确立的合規機制也都屬于“反腐敗合規”。這種着眼于防範企業商業賄賂犯罪的合規機制，一般被稱為“小合規”，或者“狹義的合規”。不僅如此，發端于反腐敗領域的企業合規，逐漸被擴展到反洗錢、反壟斷、數據保護、出口管制等諸多領域，實現了企業合規适用範圍的普及化。而最初作為刑法激勵機制的企業合規，也逐漸為各國政府監管部門所接受，成為對涉案企業進行寬大行政處理的重要依據。其中，行政監管部門與涉案企業通過達成行政和解協議，督促并激勵企業建立合規計劃，這已經成為西方國家普遍采納的新型監管方式。

一些國際組織在接受合規理念并發布有效合規計劃的同時，還充當了“國際執法者”的角色，對參與該組織招投标項目的企業進行了合規治理，并将合規作為一種“國際執法激勵機制”。在這一方面，最為典型的是以世界銀行為代表的國際金融機構。作為一家國際金融組織，世界銀行對于參加投标競标的企業存在腐敗、欺詐、串通、施加壓力、阻礙等不當行為的，可以實施連帶制裁和聯合制裁。但是，涉案企業隻要沒有實施特别嚴重的違規行為，就有機會通過重建誠信合規體系來解除制裁。《世界銀行集團誠信合規指引》是一部由世界銀行發布的有效合規标準。被制裁企業唯有按照這一合規指引的要求，建立或者完善了企業的合規體系，才有可能獲得解除制裁的機會。迄今為止，我國共有44家企業受到世界銀行的制裁，其中大多數為實施了欺詐行為的國有企業。其中，湖南建工集團就曾因在參加世界銀行的招投标項目時存在虛報業績的行為，而受到“附解除條件的取消資格”的制裁。在為期三年的考驗期内，該公司在世界銀行的指導和監督下，按照這份《誠信合規指引》的要求，重新建立了企業合規體系，滿足了世界銀行的合規管理要求，最終于2017年被世界銀行移出了“被制裁企業名單”。

四 企業合規還是企業高管合規？

在西方國家，企業合規機制已經有了半個多世紀的發展曆史，如今已經成為一種越來越重要的企業治理方式。而在我國，企業合規機制作為一種舶來品，其引入的時間僅有十年左右的時間。直至2018年以來，我國行政監管部門才開始嘗試在企業中全面推動合規管理體系的建設。正因為如此，對于企業合規的概念和性質，我們經常存在着一些認識上的争議，也存在着一些不準确的判斷和界定。本着正本清源的考慮，我們有必要對企業合規的性質作出進一步的揭示，并對有關的分歧和争議作出簡要的澄清。

一些研究者認為，合規不僅僅是指企業合規，而且還包括企業高級管理人員的合規。有人甚至直接将企業合規與“企業家的風險防控”劃等号。尤其是在刑法領域，鑒于我國刑法确立了單位犯罪制度，并設定了近兩百個單位犯罪的罪名，而刑法對這些犯罪均實行“雙罰制”，也就是确立一個犯罪主體，但要對單位和直接責任人員同時科以刑事處罰。因此，一些學者直接指出，企業合規機制的建立，既要達到防控企業法律風險的效果，也要避免公司高管承擔刑事責任。

這種将企業合規混同于企業家風險防控的觀點，是不能成立的。這是因為，企業合規的本質在于通過建立一種防範、識别和應對違法違規行為的機制，在企業内部形成依法依規經營的慣例和文化。通過建立合規機制，企業為高級管理人員、普通員工和第三方的行為劃定了行為邊界，依據各自法律法規設定了權利、義務和責任，并督促高管、員工和第三方遵守法律法規，避免從事違法違規的行為，對違法違規行為承擔各自的責任和後果。很顯然，企業合規是企業對高管、員工和第三方等合作夥伴所展開的一種自我管理、自我防範和自我約束機制，屬于企業内部治理的重要方式。企業合規所防範的當然是企業風險，而不是企業家的風險，更不是一般公司高管的風險。這是其一。

其二，企業合規機制的實施，可以有效地分割企業責任與員工、高管、第三方甚至被投資并購方的責任，最大限度地保護企業的利益。随着企業的發展，企業内部的治理結構變得越來越複雜，一些企業動辄擁有數以萬計的員工，或者數以百計的分支機構。企業不僅面臨着管理成本增加的問題，而且面臨着企業因其高管、員工、第三方的行為而承擔法律責任的問題。而在投資并購等經營領域，那些作為投資并購對象的其他企業，一旦存在着違法違規行為，也有可能使負責投資并購的母公司受到連累，使其承擔不應有的法律風險。而企業一旦建立合規機制，就意味着企業要對員工、高管進行必要的合規培訓，将其合規政策和程序向高管和員工進行持續不斷的傳達和溝通，必要時還要向高管和員工發放員工行為手冊，與高管和員工簽署合規承諾書。這樣，一旦發生高管或員工的違法違規行為，企業就可以将上述合規管理行為作為免除企業責任的重要依據，從而将企業責任與高管和員工責任進行了有效切割。

與此同時，在發展諸如供貨商、經銷商、代理商等第三方合作夥伴的過程中，企業一旦建立合規機制，就要進行必要的合規風險評估，對潛在的第三方進行合規盡職調查，對存在違法違規風險的第三方進行必要的合規管理。這些第三方一旦出現違反違規行為，企業的這些合規管理行為，也可以成為其免除法律責任的重要依據。不僅如此，在開展投資并購等經營活動過程中，作為被投資并購方的企業，一旦存在違法違規行為，根據所謂的“繼承責任原則”，就有可能使得負責投資并購的母公司承擔相應的法律責任。為避免承擔如此大的法律風險，作為母公司的企業在投資并購之前，就應按照企業合規的機制，對被投資并購的企業進行合規風險評估，展開合規盡職調查，進行必要的合規風險管理。由此，被并購企業一旦出現違法違規行為，母公司就可以合規管理行為為依據，為自己進行必要的合規免責抗辯了。

從上述合規風險防控的角度來看，企業合規的本質是通過将企業責任與高管責任、員工責任、第三方責任和被投資并購方的責任進行有效的切割，最大限度地保證企業不因上述各方的違法違規行為而承擔法律責任，從而有效地避免法律風險。這種企業合規不僅不等于企業家的風險防控，而且還将企業責任與企業家的責任進行了必要的區分。

其三，從企業應對合規風險的角度來看，企業合規包含了自我披露和自我内部調查的因素，而這種應對經常包含了對從事違法違規行為的高管和員工進行懲戒的内容。既然如此，企業合規機制的實施，就不僅不會加強企業家的風險防控，反而有可能帶來追究企業家法律責任的後果。

企業一旦出現違法違規行為，就有可能面臨着監管部門的調查和處罰。為避免受到更大的損失，那些建立合規機制的企業，通常都會在配合監管部門的基礎上，展開獨立的内部調查，不僅要查明企業違法違規的事實和企業合規機制的缺陷，而且還要查明造成企業違法行為的直接責任人員，并對這些責任人員作出紀律懲戒，必要時還要将那些負有責任的高管送交司法機關，使其被追究法律責任。甚至在有些情況下，為獲得更大的獎勵，企業還有可能對監管部門根本沒有掌握和違法違規情況進行主動披露，由此可能牽連出更多的員工和高管受到懲戒。因此，企業合規機制的實施，不僅不會減免企業家的法律風險，反而可能會帶來懲戒負有責任的高管，甚至追究企業家法律責任的後果。

五 企業合規是否等于“内部控制”？

很多企業都設有内部“内控部門”，專門從事風險防控工作。在推進合規體系建設過程中，一些國有企業将企業合規等同于風險防控或者内部控制，甚至主張将合規部門設置在“風控部門”之下。那麼，企業合規是否等于“内部控制”呢？

其實，企業合規本質上是對合規風險的防控體系。研究合規的性質，需要厘清合規風險的性質，也需要清晰界定合規風險與其他公司風險的關系。一般而言，公司治理結構的基本目标是要解決兩個關系：一是股東和經營者的關系，亦即所有權和經營權的關系；二是大股東和中小股東的關系，經濟學中的“隧道效應理論”，探讨的就是控股股東侵害中小股東利益的現象。而如何保護中小股東權益，屬于現代公司治理的一大難題。

那麼，在公司治理層面上，企業究竟要防範什麼樣的風險呢？在企業所面臨的諸多風險之中，合規風險究竟處于什麼樣的地位呢？其實，很多企業負責人由于沒有正确認識公司治理風險的概念和種類，因而也就難以意識到合規風險的重要性。例如，有人把公司治理風險分為投資風險、并購風險、融資風險、銷售風險、市場風險、産品質量風險、技術風險、知識産權風險、用工風險等數十種。有人甚至将合規風險視為上述諸多風險的一種。這種觀點顯然沒有抓住重點，也沒有認識到合規風險的本質。一般而言，企業會面臨三個方面的風險：一是經營風險；二是财務風險；三是合規風險。下面簡要分析一下這三種風險的關系。

第一種經營風險也被稱為“業務風險”。企業在開展投資并購、市場銷售、質量保障等各種業務活動過程中，所面臨的投資得不到回報、企業無法營利、面臨生存困難的風險，都可以被稱為經營風險。經營風險需要依靠公司治理結構中的業務治理來進行有效的防控、識别和應對。公司首席執行官（CEO）是經營風險治理的第一責任人，由其所率領的執行團隊是為企業創造業務收益的骨幹力量。但是，經營風險屬于經濟學研究的範疇，企業要規避經營風險，就需要通過研究投資經營全過程，按照市場和經濟規律，尋找解決問題的對策。

第二種風險是财務管理風險。這主要是指由于在财務管理上存在混亂、舞弊、貪腐等行為，企業遭受經濟損失，無法實現營利目的，甚至瀕臨破産的風險。一個良好的現代财務管理制度包含非常複雜的環節，公司除了配置首席财務官以及專門财務管理部門以外，還要設立審計機構對企業财務管理進行必要的監督。有些企業甚至在董事會之下設立相對獨立的審計委員會，以提升審計部門的權威性和獨立性。可以說，财務管理是獨立與經營管理活動的獨立治理體系。

第三種風險就是合規風險。合規風險既不同于經營風險，也不同于财務風險，是指企業因為在經營中因為存在違法違規乃至犯罪行為，而可能遭受行政監管部門處罰和司法機關刑事追究的風險。根據前面的分析，合規風險可以分為監管處罰風險、刑事風險和國際組織制裁風險等三種。合規風險一旦得不到控制，企業除了被追究法律責任以外，還有可能被剝奪特許經營資格，甚至被吊銷營業執照，從而使企業遭受經濟損失乃至聲譽損失，由此引發的“雪崩效應”會使企業承受災難性的代價。

由此可見，企業建立合規機制，并不是防控一般意義上的“風險”，而主要是因違法違規行為而受到監管處罰和刑事處罰的風險。這種合規風險不僅不同于企業的經營風險，也與企業的财務管理風險具有實質性的區别。正因為如此，在那些建立有效合規計劃的企業中，在董事會領導之下，同時并存着業務經營、财務管理和監督以及合規管理等三大公司治理體系，三者分别防控相應的經營風險、财務管理風險以及合規風險，它們相互獨立，相互制衡，各自具有較高的權威，在公司治理中發揮着不同的作用。正因為如此，企業合規并不是一般的“風險控制”，而是一種具有“合規風險控制”職能的治理體系。企業合規也不等于一般意義上的“内部控制”，而屬于針對企業合規風險所建立的内部治理體系。

六 合規是否等于“法律事務”？

在建立合規管理體系過程中，很多企業都将合規管理部門設置在“公司法律部門”之下，甚至安排公司法務總監或總法律顧問擔任首席合規官（CCO）。據此，有人認為，所謂企業合規，就等于公司的法律事務，要對企業所遇到的全部法律風險承擔防範、識别和應對責任。有人甚至指出，企業建立合規機制，除了要防範行政監管風險、刑事風險和國際組織制裁風險以外，還要承擔民事法律風險。據此，有人還提出了所謂“民事合規”的概念。還有人認為，企業因别人實施違反或者犯罪行為而遭受經濟損失或其他損失的風險，也屬于企業合規所要防範的“法律風險”。因此，企業合規機制的實施，還要注意防範受到犯罪行為侵害的風險。

假如企業合規就等于所謂的“法律事務”，或者等同于“法律風險防控”，那麼，企業普遍設立的法律事務部門就足以擔當這種防控法律風險的責任了，何必還要設置專門的合規管理部門呢？更何況，從西門子重建反賄賂合規計劃的經驗來看，該公司原本就設立了法律部門，為什麼還要重建合規組織體系和合規管理機制呢？而從中國中興通訊公司重建出口管制合規體系的經驗來看，該公司早就設立了法律事務部門，為什麼在接受美國司法部、商務部和财政部的出口監管調查之後，還要重建出口管制合規體系呢？

上述企業重建合規計劃的經驗顯示，企業合規并不等于一般意義上的法律風險防控。一個企業從其成立之日起，經過時間不等的經營過程，直到被吊銷營業執照、宣告破産或者自行解散之日為止，要受到多種法律和法規的規範和約束，也面臨着難以計數的法律風險。假如我們将“法律風險”界定為因違反法律法規而受到處罰或遵守損失的風險，那麼，企業幾乎在每時每刻以及在每個經營管理環節，都會面臨着這樣的“法律風險”的。例如，企業一旦違反民事合同法，存在違約行為或者合同欺詐現象，就有可能被别人提起民事訴訟，并進而承擔民事責任。又如，企業一旦違反勞動法，侵犯了員工的合法權益，也有可能被訴諸司法程序，承擔民事賠償責任。再如，企業受到其他企業或者個人的違反犯罪行為的侵害，如被采取詐騙行為，被嚴重侵害權益，被内外勾結的人采取了貪腐或者舞弊行為，等等，因此受到嚴重的經濟損失。

那麼，企業所遇到的上述“法律風險”究竟是不是“合規風險”呢？企業合規是不是要防範所有這些法律風險呢？答案是否定的。其實，在各種法律風險之中，對企業具有緻命影響的還是企業因為違反法律法規而受到監管處罰和刑事追究的風險。例如，企業因為實施商業賄賂行為，受到了反不正當競争部門的調查，或者受到刑事執法機關的立案偵查；企業因為接受腐敗分子或恐怖分子的融資，違反了有關反洗錢的法律，因此受到金融監管部門的調查，或者受到檢察機關的起訴；企業因為違反有關網絡安全管理法律，或者存在侵犯個人信息的行為，受到有關監管部門的調查，或者受到法院的刑事審判；企業因為違反有關出口管制的法律，而受到監管部門的行政處罰，或者被追究刑事責任；企業因為排放危險廢物，造成污染環境的法定後果，因此被環境保護部門采取行政處罰，或者被法院予以定罪……

這種由監管部門啟動的行政執法程序一旦啟動，企業有可能被作出嚴厲的行政處罰；這種由刑事執法機關啟動的刑事訴訟程序一旦啟動，企業就可能被宣告有罪，并被追究刑事責任。甚至在由世界銀行等國際組織所發動的制裁程序中，這種制裁一旦實施，那麼，企業将會遭受重大損失。而上述行政處罰、刑事追究以及國際組織制裁所帶來的最嚴厲後果，莫過于企業“被剝奪特定資格的後果”。根據前面的分析，這種資格剝奪可以是企業失去特定經營許可資格，也可以是喪失貸款和參加投标的資格，還可以是被吊銷營業執照，從而被依法宣告為“企業死亡”。

正因為上述監管制裁、刑事追究和國際組織制裁會給企業帶來如此嚴重的後果，因此，我們才将受到這些特定處罰視為一種特殊的“合規風險”，并将其與一般的法律風險區别開來。也正是為了防範這種合規風險，企業才需要設立合規委員會、首席合規官、合規部門等合規組織，并在發布商業行為準則和員工行為手冊的前提下，建立專門的合規風險防範、識别和應對體系。由此可見，企業合規并不是一般意義上的“法律風險防範”，而是專門針對行政監管處罰風險、刑事法律風險以及國際組織制裁風險，所建立的自我監管、自我報告、自我預防和自我整改的公司治理體系。

當然，無論是中國企業還是西方企業，大都沒有将合規組織與原有的法律事務部門完全分離開來，而是由公司總法律顧問或法律總裁兼任首席合規官，或者将合規部門設置在法律事務部之下。但這并不意味着合規部門所承擔的是一般意義上的法律風險防控工作，而恰恰顯示出合規部門所承擔的“合規風險防控”，既是整個“法律風險防控”工作的組成部分，也與一般的“法律風險防控”具有實質性的區别。對于一個将合規部門設置在法律部門之中的企業而言，合規部門所承擔的主要是防範合規風險的工作。至于代表企業以原告或者被告的身份，參與民事訴訟，出席法庭或者仲裁庭，或者以受害單位的名義，啟動行政執法程序，或者提起刑事控告，這些法律事務應當由合規部門以外的其他法律事務人員來加以承擔。

七 企業合規究竟是道德問題，還是法律問題？

企業合規作為一種公司治理方式，究竟是道德問題，還是法律問題呢？之所以要提出這一問題，是因為不少研究者對此存在着分歧和争議：有人認為，企業合規本質上是道德問題，因為它無非是企業進行自我管理和自我建章立制的問題，迄今為止也沒有任何國家在基本法律中确立合規機制。與此同時，企業合規機制的實施，最終還是依賴于企業形成一種依法依規經營的文化。而這種文化本身就屬于道德問題或者企業倫理問題，沒有上升為法律層面的問題。但是，也有人認為，企業合規不是道德層面的問題，而僅僅屬于屬于法律問題。這是因為，無論是西方國家還是中國，在行政法中都确立了以合規換取寬大行政處理的激勵機制，尤其是确立了以合規為基礎的行政和解協議制度。而西方國家還在刑法中确立了以合規換取寬大刑事處理的刑事合規機制，并在刑事訴訟法中确立了對合規企業的暫緩起訴協議或不起訴協議制度。這顯然說明，企業合規已經被納入行政法律和刑事法律之中，成為國家法律體系的組成部門。

這兩種觀點貌似各有道理，但都有失偏頗。從根本上說，這種争論反映出研究者對于企業合規的概念沒有進行全面的了解和掌握。按照前面的分析，企業合規是一種非常複雜的公司治理方式，具有多重的含義。從其積極含義來看，企業合規似乎就是企業“遵紀守法”的代名詞，與自然人一樣，被賦予依法依規進行經營活動的義務。這種企業合規似乎難以被歸入“法律制度”的範疇。與此同時，從其消極含義來看，企業合規屬于企業為避免因違法違規行為而遭受監管處罰或者刑事處罰所建立的公司治理方式。為避免遭受經濟損失以及其他損失，企業在内部建立了旨在防控、識别和應對合規風險的管理機制。這似乎也不屬于典型的法律問題，而帶有“道德問題”的色彩。更何況，在企業合規制度發展的早期，衆多西方企業一度将企業合規管理部門直接稱為“道德與合規部”，甚至将企業合規的負責人命名為“首席道德與合規官”。而企業合規機制的實施，确實也要形成一種依法依規經營的文化，由此還提出了所謂“合規文化”的概念。這些都顯示出，企業合規的确有其道德問題的性質，那種将企業合規僅僅視為法律問題的觀點，是有失偏頗的。

但是，企業合規是否屬于單純的道德問題呢？答案也是否定的。常識告訴我們，假如企業合規僅僅屬于道德問題，那麼，為什麼在行政法中要确立行政監管合規機制和行政和解協議制度？為什麼在刑法中要确立刑事合規機制？為什麼在刑事訴訟法中要确立暫緩起訴協議或者不起訴協議制度？即便在我國，随着企業合規機制逐步被确立在企業管理過程之中，行政法律開始确立行政執法和解制度，使得企業建立合規機制可以成為達成行政和解的依據，同時開始确立合規抗辯制度，使得企業可以建立合規計劃為根據，将企業責任與員工責任加以分離。這也足以說明，我國在行政法律中已經引入了合規激勵機制，初步形成了行政監管合規的制度框架。至于刑法和刑事訴訟法，目前的确尚未将合規納入激勵機制中，暫時無法使合規成為司法機關對企業作出寬大刑事處理的依據。但根據西方國家建立企業合規制度的經驗，這種刑事合規遲早會被引入我國刑事法律之中。

而從西方國家行政監管和刑事執法的經驗來看，對于那些沒有建立合規計劃或者合規計劃存在漏洞的企業，監管部門和刑事執法部門會作出嚴厲的處罰，追究其法律責任。而對于建立有效合規計劃的企業，監管部門則有可能與其達成行政和解協議，刑事執法機關也有可能與其達成暫緩起訴協議或者不起訴協議，責令其重建合規計劃。即便對涉案企業作出行政處罰或者刑事處罰，有關部門對建立合規計劃的企業，也會予以寬大處理。這顯然說明，企業合規已經被行政法律和刑事法律所吸收，成為有關部門對企業作出行政處理和刑事處理的重要依據。很顯然，在西方國家，企業合規早就屬于行政法律和刑事法律所共同确立的法律制度，成為監管部門對企業作出寬大行政處理的依據，也成為刑事執法機關對企業作出寬大刑事處理的理由。

不僅如此，企業合規的發展經曆了從道德治理走向法律治理的過程。在20世紀六十年代，直至90年代，西方企業已經開始展開了合規管理體系的建設。這一階段的企業合規機制，基本屬于企業内部自我管理、自我建章立制的問題，無論是行政監管部門還是刑事執法機關，對于企業合規沒有作出法律規定。可以說，這一階段的合規制度基本上不屬于法律問題，而帶有道德問題的性質。但自20世紀90年代以來，随着企業違法違規情況的愈加普遍和嚴重，對于企業加強監管和治理成為西方國家普遍關注的問題。特别是20世紀初期，随着安然、世通和安達信等企業欺詐醜聞的爆發，加強對企業（特别是上市公司）的監管，尤其是通過督促企業建立内部控制體系來督促其依法依規經營，已經引起整個西方社會的普遍重視。自此以後，企業合規作為一種公司治理方式，再也不是企業自由選擇的道德治理問題，而成為企業為避免最嚴重損失而不得不采取的危機應對方式。而為避免監管部門和刑事執法機關濫用自由裁量權，西方國家在行政法和刑事法中确立了有效合規的标準，企業與有關執法機關達成和解協議的條件，甚至确立了對于合規企業予以寬大處罰的标準和幅度。合規制度的發展曆史也足以證明，随着行政法和刑事法的發展，企業合規早就從最初的道德治理方式，轉化為當下的法律治理方式，成為監管部門從外部督促企業自我監管、自我整改的法律依據，也成為刑事執法機關從外部督促企業建立防範合規風險、識别違規行為以及應對監管調查的法律依據。

因此，企業合規既包含着依法依規經營、避免遭受損失的道德意義，同時也成為行政監管部門作出寬大監管處罰的依據，以及刑事執法機關作出寬大刑事處理的理由。這當然意味着企業合規既具有道德問題的屬性，也屬于一種重要的法律制度。

八 結論

從曆史的角度看，企業合規是針對企業出現的違法違規行為而确立的一種公司治理方式。最初，企業合規屬于一種由企業和行業協會推行的内部治理方式。後來，随着政府監管力度的加強，企業合規從原來的依法依規經營，變成了在行政監管激勵和刑事激勵下的企業治理方式。在諸多國際組織的推動下，企業合規還逐漸成為一種新的國際公司治理方式，不僅為一些國際公約所确立，而且還成為國際組織督促企業改變經營方式的執法激勵機制。因此，企業合規不僅僅具有企業依法依規經營的含義，還是企業自我治理、自我監管和自我整改的治理方式，更是一種在企業陷入執法調查時獲得寬大處理的激勵機制。

迄今為止，企業合規剛剛被引入我國行政監管體系，一些企業開始了建立合規體系的努力，一些法律服務機構也嘗試為企業提供合規服務。但是，假如不對企業合規的含義和性質作出準确的定位和認識，那麼，無論是監管部門還是企業、法律服務機構，都有可能偏離企業合規的發展方向，甚至因為無法建立有效合規計劃，而給企業造成更大的合規風險和經濟損失。

原則上，企業合規視為避免企業自身合規風險而建立起來的治理體系，它盡管有時會使企業高管獲得收益，但從本質上不是“保護企業高管”的管理機制。有時為維護企業的最大利益，實現企業責任與員工責任的有效切割，企業甚至還要對直接實施違法違規行為的高級管理人員進行紀律懲戒，交給執法部門和司法機關予以處理。與此同時，企業合規也不是一般意義上的“風險防控”，甚至也不等于籠統的“法律風險防控”。企業合規對于經營領域的業務風險和内部管理中的财務風險沒有防範效果，也不同于一般意義上的“法律風險防控”，而是針對行政處罰風險和刑事法律風險所建立的專門公司治理機制。對于那些參與國家組織招投标項目的企業而言，企業合規還有助于防止那種國際執法處罰的風險。不僅如此，對于那些存在違法違規行為的企業而言，建立合規機制，不僅僅屬于一種道德義務，更屬于一種法律義務，因為國家法律和行政監管法規中确立了強制合規的制度，行政法和刑法開始将企業合規确立為一種執法激勵機制，不履行合規管理義務，企業就有可能受到行政處罰或者被追究刑事責任，并因此承擔諸多方面的損失。從道德問題變成法律問題，這恰恰是企業合規得到普遍确立的制度保障。

來源：法學學術前沿

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!