一、案例分享

案例1：張家港市L公司、張某甲等人污染環境案

【案例來源】最高檢發布合規不起訴典型案例

【辦案單位】張家港市檢察院

【案情概要】

張家港市L公司系省級高科技民營企業，張某甲、張某乙、陸某某分別系該公司的總經理、副總經理、行政主管。

2018年下半年，L公司在未取得環評的情況下建設酸洗池，并于2019年2月私設暗管，將含有鎳、鉻等重金屬的酸洗廢水排放至生活污水管，造成嚴重環境污染。張家港生態環境局現場檢測，L公司排放井內積存水樣中總鎳濃度為29.4mg/L、總鉻濃度為29.2mg/L，分別超過《污水綜合排放標準》的29.4倍和19.5倍。2020年6月，張某甲、張某乙、陸某某主動向張家港市公安局投案，如實供述犯罪事實，自愿認罪認罰。

2020年8月，張家港市公安局以L公司及張某甲等人涉嫌污染環境罪向張家港市檢察院移送審查起訴。檢察機關經審查認為，L公司及張某甲等人雖涉嫌污染環境罪，但排放污水量較小，尚未造成實質性危害后果，可以指導該公司開展合規建設，考察監督并參考考察情況依法決定是否適用不起訴。2020年10月，檢察機關向L公司送達《企業刑事合規告知書》，對L公司作出合規考察決定。隨后，L公司聘請律師對合規建設進行初評，全面排查企業合規風險，制定詳細合規計劃。檢察機關委托稅務、生態環境、應急管理等部門對合規計劃進行專業評估。L公司每月向檢察機關書面匯報合規計劃實施情況。2020年12月，檢察機關組建以生態環境部門專業人員為組長的評估小組，對L公司整改情況及合規建設情況進行評估，經評估合格，通過合規考察。同月，檢察機關邀請人民監督員、相關行政主管部門、工商聯等各界代表召開公開聽證會，參會人員一致建議對L公司作不起訴處理。檢察機關經審查認為符合刑事訴訟法相關規定，當場公開宣告對L公司不起訴決定，并依法向生態環境部門提出對該公司給予行政處罰的檢察意見。2021年3月，蘇州市生態環境局根據《水污染防治法》有關規定，對L公司作出行政處罰決定。

案例2 雀巢員工違法收集個人信息案

【案例來源】企業合規講義

【辦案單位】蘭州中院

【案情概要】

2016年10月31日，蘭州中院一審法院判決雀巢公司員工鄭某、楊某、孫某等六人以非法方式獲取公民個人信息，情節嚴重。醫院王某某、丁某某等三人違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息出售或者非法提供給他人，情節嚴重，上述九人的行為均已構成侵犯公民個人信息罪。

一審法院宣判后，各被告提起上訴。其中，鄭某的上訴理由是自己的行為系公司行為；楊某某的辯護人提出本案屬于單位犯罪的辯護意見；李某某上訴的主要理由是自己的行為都是公司下達的任務；杜某某上訴的主要理由是自己的行為是按照公司要求所做的，所獲取的信息都是提供給公司的。

2017年，蘭州中院對雀巢公司員工侵犯公民個人信息一案的終審裁定，在區分單位責任與員工個人責任方面作出了新的探索。雀巢公司通過出具員工手冊等合規文件，證明公司從不允許員工以非法方式收集消費者個人信息，最終法院認定雀巢員工非法收集個人信息的行為屬于個人行為，公司無罪。

案例1屬于通過后期建立合規計劃（合規體系），避免起訴。案例2為已經建立合規體系，有明確的責任切割，降低法律風險，企業不承擔法律責任。從以上兩個案例中可以看出，合規管理能夠幫助企業“逢兇化吉”度過難關，體現了合規創造價值，體現了合規激勵。

二、正視合規

合規，英文為compliance，指合乎規定，遵守法律規則的意思，表現為遵守國際公約、國家法律、法規、規章制度、行業規范、職業倫理以及公司章程等。從字面意思理解，企業合規就是企業遵守法律法規，依法經營和管理。當然，如果只是將企業合規理解為依法經營，那么沒有必要刻意提及企業合規這一概念。

企業合規最初是為配合國際反商業賄賂的開展和合作產生的，如1977年美國《反海外腐敗法》。21世紀開始，企業合規從刑事領域擴大到行政監管領域，如2005年巴塞爾銀行監督管理委員會發布的《合規與銀行內部合規部門》，2014年國際標準化組織發布的《合規管理體系指南》，今年國際標準化組織又發布了修訂版《合規管理體系要求及使用指南》。這些法律文件旨在指導企業建立起自上而下完整、有效的合規組織體系，從而對風險進行有效的應對和管控。

因此，企業合規體現的是一種義務，是企業按照國家監督部門和執法部門的要求，建立防控刑事犯罪風險和行政處罰風險的治理結構和治理體系?？紤]企業是否建立有效合規計劃或管理體系，是作為給予寬大行政處理或刑事處理的依據。

三、合規管理發展

從2006年開始，銀監會、保監會、證監會陸續頒布《商業銀行合規風險管理指引》《保險公司合規管理辦法》《證券公司和證券投資基金管理公司合規管理辦法》，到2017年國家標準委員會頒布的《合規管理體系指南》；2018年國資委頒布的《中央企業合規管理指引（試行）》，再到2018年國家發改委、外交部、商務部、人民銀行、國資委、外匯局、全國工商聯聯合頒布的《企業境外經營合規管理指引》?？梢钥闯?，我國適用合規制度的企業有從金融機構擴展到央企，再擴展到全體企業的趨勢。規范性文件的頒布主體從個別部門擴展到幾大部門聯合。內容上從建立合規組織架構到全面建立合規體系的擴展。故2018年也被稱為中國的“合規元年”。

為進一步開展行政和解工作征求意見，最高人民檢察院于2020年3月在6個基層檢察院率先部署了企業刑事合規不起訴改革的試點工作，取得了良好效果后，于2021年發布《關于開展企業合規改革試點工作的方案》，啟動了第二期企業刑事合規不起訴改革試點，涉及北京、遼寧、上海、江蘇、浙江、福建、山東、湖北、湖南、廣東等十個?。ㄖ陛犑校?。同年6月，最高人民檢察院會同司法部、財政部、生態環境部、國資委、國家稅務總局、國家市場監管總局等行政監管部門，發布《關于建立涉案企業合規第三方監督評估機制的指導意見（試行）》，首次將行政監管部門引入到企業合規不起訴的改革試點工作之中。這一系列行為標志著我國已經進入“合規時代”，以實現十四五規劃中提出的“法治中國”建設目標要求。

四、企業合規內容

《中央企業合規管理指引（試行）》第十二條規定：中央企業應當根據外部環境變化，結合自身實際，在全面推進合規管理的基礎上，突出重點領域（市場交易、安全環保、產品質量、勞動用工、財務稅收、知識產權、商業伙伴、其他需要重點關注的領域）、重點環節（制度制定環節、經營決策環節、生產運營環節、其他需要重點關注的環節）和重點人員（管理人員、重要風險崗位人員、海外人員、其他需要重點關注的人員），切實防范合規風險。

五、企業合規建設

截止2019年12月，我國共有44家企業受到世界銀行的制裁，涉及關聯企業941家，大多數為國有企業，主要集中在招投標領域的欺詐行為，還有少數腐敗現象。中興公司、湖南建工等單位受處罰后，建立合規管理體系，并成為中國合規標桿企業。

按照我國刑法的規定，企業觸犯刑法，對企業只有一種懲戒機制就是判處罰金。但在行政法領域，企業違法可能被警告、罰款，沒收違法所得，沒收非法財務，責令關閉，責令停產停業，甚至被吊銷營業執照。在法律層面，行政處罰比刑事犯罪適用的法律維度更廣，處罰標準更低。因此，對于企業而言，面臨的行政處罰風險更大。

中國證監會正在開展企業行政和解制度的試點，最高人民檢察院正在開展企業經營活動中的經濟犯罪、職務犯罪“不捕”“不起訴”“不判實刑”的試點。今后除了這兩個部門，市場監督部門、稅務部門、環境保護部門、銀行保險監督部、商務部門等政府監管部門也會逐步建立行政和解協議制度，上述案例1就是改革試點的結果。

六、如何建立合規管理體系

（一）合規組織架構設計

首先是保證“有人能夠持續的、負責任的來做這件事”。設計合規管理的組織架構以及明確各個組織層級的合規職責，是搭建合規管理體系的第一步。

（二）梳理業務流程

合規管理的對象是企業及其員工的經營管理行為。經營是通過業務活動而進行，業務包括直接幫助企業創造利潤的“經營行為”，如投資、采購、銷售、運營等行為，也包括致力于提高前述創造利潤行為的效率以及防范其風險的“管控行為”，如人力資源管理、財務管理、風險管理等。管理完善的企業逐步轉向以流程為基礎的管理，因而梳理企業業務，其實就是分析企業的業務流程。成熟企業已經建立和自己的業務流程框架。

（三）收集企業合規義務

梳理企業的業務流程，最終目的是為了發現企業潛在的合規風險。必須熟悉企業業務流程進行過程中所應遵守的法律、法規及其變化，同時還必須收集企業的合規義務，并隨時關注其變化。企業合規義務是企業業務行為的邊界，包括法律、法規、監管規定、道德規范、國際規則及他國域外法等。

（四）合規風險評估

基于業務流程進行風險評估，一般包括風險識別、風險分析與風險評價三個環節。合規風險評估的最終成果，應當是形成合規風險信息庫、案例庫。風險評估是合規管理的關鍵。也可以通過信息化手段將責任、流程、法規、風險、控制措施、制度和經驗等有機關聯。

（五）發布合規管理文件

基于風險分析，策劃、編制、修訂和發布合規管理文件，包括《合規行為準則》《合規管理系列制度》《業務合規系列指引》等。制度修訂應以現有管理文件為基礎，盡量減少文件數量，實現文件融合。

（六）合規管理機制設計

合規管理機制設計的目的是在于文件要求落地，將合規風險的發現、預防和控制等責任落實到相關責任人員，建立起事前、事中、事后多層級的合規風險防范機制。合規管理機制包括：合規強制咨詢機制、合規聯席會議機制、合規檢查機制、合規盡職調查機制、合規風險監測與預警機制、合規報告機制、合規問責機制、合規有效性評估機制，以及合規審計機制等。

（七）進行合規培訓

合規培訓的目標在于強化員工的合規意識，提高員工的合規能力。員工了解了企業的合規理念、合規價值觀、合規目標，才能按照企業的對外承諾，遵守企業制定的合規行為準則、制度流程文件，逐步實現從“要我合規”轉向“我要合規”。

七、管理體系融合

（一）小范圍融合

央企可以按照國資委發布的《中央企業合規管理指引（試行）》要求建立單獨的合規管理體系。

2021年10月17日國資委發布《關于進一步深化法治央企建設的意見》，其中（七）規定：著力健全合規管理體系提出探索構建法律、合規、內控、風險管理協同運作機制，加強統籌協調，提高管理效能。某大型央企提出錨定打造法律、合規、風控、內控一體法治工作格局，高質量全方位推進合規管理體系建設?？傮w思路：以全面風險管理為導向，落實重大風險的防控要求；以內部控制為手段，支撐流程控制的有效運行；以合規管理為底線，保障經營行為依法合規。

合規管理體系的運行機制以融入體系、融入業務、融入流程、融入崗位為主線，推進合規管理體系與現有體系、制度的統籌和銜接，實現合規管理工作的常態化、規范化。建立和運行好合規風險識別、預警和應對機制，建立健全合規審查機制，建立健全合規檢查、評估和考核機制，建立健全違規舉報、調查和問責機制，建立健全合規管理報告機制。

合規管理體系的重點是“合規”，且應融入到整個管理體系中，否則容易產生合規與業務“兩張皮”現象。如何融入業務管理體系，成為合規管理發揮價值的出發點，也是合規管理體系建設的難點。這不僅要熟悉合規相關理論和操作，還要認識企業業務相關運轉和特點。但目前一些服務機構往往對法規了解，但對企業業務不了解，這就給合規體系有效性建設帶來了一定的難度。

（二）一體化融合

有條件的企業應實現管理體系一體化，因為企業的體系只有一個，各子體系應融于大體系之中，而不僅僅限于四合一或五合一。但是多體系整合需要企業綜合管理能力的提升，需要有一個管理多體系的部門承擔，否則無法實施。企業可基于流程進行整合，實現一套文件管理企業的所有活動和風險，讓“毛”附在“皮”上，避免“多層皮”現象產生。打破部門壁壘，提高管理效率和效果，這是企業管理的最高境界。

我國根據ISO37301：2021標準修訂了《合規管理體系要求及使用指南》（征求意見稿），附件中根據目前我國貫標的實際情況，提出了企業所有體系一體化的思路，以便有效提升管理效率，將體系融于業務之中，其核心方法為制度對標，宜識別所需融合的各個管理體系及其規則、標準、要求，以整合后的要求為基準，對企業內部職能、制度進行對標梳理，查漏補缺，形成統一的體系文件并確保其嵌入管理職責、制度及內部業務流程。進行體系融合，一般遵循以下程序。

a）內部診斷及體系策劃

企業宜根據自身地域、行業以及主營業務運行特點，識別現行管理模式的優缺點，盤點所需融合的管理內容及體系要求，確定納入融合范圍的管理模塊及各項管理體系，制定相應的體系融合方案和計劃。

b）構建一體化管理體系要求

企業確定體系融合范圍及內容后，宜針對融合內容，收集、整理、匯總各項標準、規則，形成統一的管理體系要求，以便在后續進行制度對標梳理時有據可依。

在標準、規則深度融合過程中，還應注重體現本地化表述，結合企業自身管理實踐，對整合后的要求提出實施指南及本地化應用指引，從而有效指導后續對標工作。

c）進行流程、職能雙向對標

企業宜對現行流程、職能進行雙向對標。正向對標指基于一體化管理體系要求，根據各項管理流程節點及涉及到的職能部門進行對標，以確保流程、職能已覆蓋所有體系要求；逆向對標指基于組織架構，對各個職能部門及現行流程涉及到的一體化管理體系要求進行對標拆解，以確保體系的每項要求均能對應到企業內相應的部門及崗位。通過流程、職能雙向對標，確保構建的一體化管理體系要求能夠準確落實。

d）制度文件查漏補缺

制度文件的編制與更新是落實管理要求及確保管理留痕的重要手段之一，企業宜在流程、職能雙向對標的基礎上，結合一體化管理體系要求，對現行各項管理制度文件進行對標梳理，重點關注融合后制度文件內容是否滿足一體化管理體系要求。

e）形成一體化管理體系

一體化管理體系文件一般包括三個層級，第一層級為綱領性文件（如管理手冊），第二層級為規章制度（如各層級管理制度、辦法），第三層級為操作規范（如作業指導書）。

f）運行一體化管理體系

在運行一體化管理體系過程中，應關注體系運行的有效性，關注各流程、職能的銜接順暢性。通過建立日常監督、控制手段，實時反饋體系運行情況，以確保體系運行結果滿足預期目標。

八、百花齊放話合規

法治中國是我們發展的方向，合規管理建設在我國目前尚處于起步階段，從合規義務到風險辨識、評價和控制措施、機制建立、具體操作等均沒有明確的標準，都處于探索之中，由此也出現了爭奇斗艷的狀態。

大型央企在全面合規的基礎上，逐步建立和完善專項合規。有專家提出企業不需要做全面合規，企業主要是建立完整的專項合規計劃。因為完整的合規制度涵蓋公司治理、經營、員工健康和公共安全、反商業賄賂和腐敗、消費者權益保護、反壟斷、反不當競爭、環境保護等眾多領域，北京大學法學院博士生導師陳瑞華教授提出企業打造大而全的合規管理體系無疑不切合實際，也不具有可行性。故企業應當結合企業性質、業務、規模等因素“量身打造”一套有針對性的合規計劃。如德國西門子針對反海外賄賂問題建立反海外賄賂合規計劃；中國湖南建工集團針對企業參與國際銀行招投標中的欺詐、腐敗等問題打造的誠信合規計劃；中國中興通訊股份有限公司針對企業從事進出口業務過程違反有關國家出口管制法律的問題建立出口管制合規計劃等。

合規作為主體自覺履行義務的管理方式，已經成為各類主體可持續發展的基石，越來越受到各界關注和重視。作為國際大都市的深圳，經濟外向度高，企業除了要站穩國內市場，也需要走出去，積極開拓國際市場。近年來，隨著國際經貿摩擦升溫加劇和國際貿易監管環境日趨嚴格，深圳企業在“走出去”過程中，因對合規風險預判和應對不足而遭受經濟損失的事件時有發生。合規問題，已成為中國企業境外投資經營的“頭等風險”。深圳本次開啟“合規時代”，政府建立了圍繞政府合規、企業合規、社會組織合規、公民合規以及重點領域區域的先行示范區，為全國開創了先河，走在了中國改革的最前沿。

參考文獻： 陳瑞華著《企業合規基本理論》，2021年4月第2版。

                  華東師范大學企業合規研究中心編《企業合規講義》，2018年7月第1版