1.3 如何定位企业合规管理

企业在开展合规管理工作时，会不可避免地遇到以下问题。

1. 合规管理与风险管理是什么关系？

2. 合规管理与内部控制是什么关系？

3. 合规管理与法务管理是什么关系？

4. 合规管理体系与其他管理体系是什么关系？

针对上述问题，理论界和实务界的专家和同人们一直各持己见，争论不休。risk-doctor认为：在谈关系时，一定要明确前提和基准，离开前提和基准谈关系是没有意义的。这一点就像物理学中的速度，离开参照物谈速度，那与盲人摸象没什么区别。

下面risk-doctor将针对上述问题谈谈自己的观点，供读者朋友参考。

1.3.1 合规管理与其他方面的管理之间的关系

一、合规管理与风险管理之间的关系

中央企业从2006年开始启动风险管理工作，以《中央企业全面风险管理指引》的发布为标志；合规管理工作则启动于2015年，正式推广于2018年，以《中央企业合规管理指引（试行）》为标志。在国内，与风险管理和合规管理相关的知名度较高的标准和指引如表1-5所示。在实践中，国务院国资委的指引更具影响力。

关于二者之间的关系，risk-doctor的观点如下。

1. 从不确定性角度来讲，合规风险管理是全面风险管理的一个子集，但不能由此得出风险管理包含合规管理，因为合规风险管理不等于合规管理。

2. 从确定性角度来讲，因为“规”是确定的、明确的，先有“规”，才能“合规”；而风险与目标相关，是关乎未来的、不确定的，目标因风险的存在而不一定能够达成。所以从这个角度来看，二者是没有直接关系的。如果说有一点关系，那就是“合”的过程因操作而产生的不确定性，即合规操作风险管理。

二、合规管理与内部控制之间的关系

现在谈论的和采用的内部控制（简称“内控”）概念源于1992年美国科索委员会（COSO）发布的《内部控制——整合框架》，该框架于2013年被COSO修订完善。我国企业的内部控制始于2002年美国《萨班斯法案》的发布（注：金融机构，尤其是商业银行，则主要参考巴塞尔委员会的相关协议和规则），因为部分企业在美国上市。大部分企业是在2008年财政部等五部委联合发布《企业内部控制基本规范》后才陆续着手进行内部控制建设的。中央企业则在2012年才正式启动内控体系建设。

与内部控制相关的知名度较高的标准和规范如表1-6所示。

在我国，主要是国有企业和上市公司关注内部控制，它们大都是为了满足监管要求才做的。国有企业是为了满足国资委的监管要求，上市公司是为了满足证监会和交易所的监管要求。按照监管要求，上市公司每年必须披露《内部控制评价报告》《内部控制审计报告》；国有企业则每年向国资委提交《企业内部控制工作报告》（2019年之后，该报告已整合为《企业全面风险管理报告》）。

我国的内部控制规范基于COSO的《内部控制——整合框架》，也把报告的真实性、完整性，以及对法律法规的遵循性作为内部控制的主要目标。所以，一部分专家就认为：内部控制包含合规。

而另一部分专家认为：合规除了“符合”内部的规章制度，还要遵从外部的法律法规，以及商业合同、社会责任、道德规范、宗教习俗等要求，所以合规包含内部控制。

risk-doctor的观点如下。

1. 合规强调企业和员工的行为，关注自然人和法人；内部控制强调制度和流程，关注事和活动。

2. 内部控制以流程为载体，以制度为形式，强调的是企业为达成内部控制目标所采用的内部控制措施，内部控制的目的之一是合规。

3. 合规需要内控。对企业而言，合规通常通过内部控制实现。企业只有把规则变成制度和控制措施，并把它们融入业务活动过程之中，它们才能被执行。

4. 内部控制制度也必须合规，不合规的制度没有法律效力。

三、合规管理与法务管理之间的关系

在企业里，传统的法务工作通常包括法律诉讼和合同管理，对企业业务和企业内部管理较少涉及。现在国务院国资委希望企业的总法律顾问牵头合规管理工作，企业的法律部或法务部顺理成章地成为合规管理的牵头部门。这对法务人员来说是一个不小的挑战。

企业合规除了涉及法律诉讼和合同管理外，还涉及很多工作，比如，比较成熟的劳动用工、反商业贿赂、知识产权保护等方面的管理，还有反不正当竞争、环境保护、产品质量、信息安全等级保护、个人信息保护等方面的管理。为了较好地完成这些工作，人力资源社会保障部于2021年3月发布了企业合规师这个新职业。企业合规师不仅要懂法务，还要懂风险管理、内部控制等专业知识，否则将无法有效地开展工作。关于企业合规师的能力及认证，详见本书第12章。

1.3.2 企业各种管理体系及其之间的关系

企业建立合规管理体系，除了上面介绍的几种关系外，还需要清楚合规管理体系与质量管理（ISO 9001：2015）、环境管理（ISO 14001：2015）、职业健康安全管理（ISO 45001：2018）等体系之间的关系。

其实，各种管理体系都只是企业管理的一部分，都是从不同角度去看待和描述企业管理；各种管理为了凸显自己的重要性，把自己的职能扩大，于是出现了全面质量管理、全面风险管理、全面合规管理等概念。细想一下，企业做什么没有风险？理论上，企业无论做什么都有风险（包括什么都不做），那能因此让风险管理部负责管理企业的所有不确定性事项吗？显然不能。一名员工到底该不该晋升？一份销售合同到底该不该签订？一个投资项目到底该不该立项、该不该投资？风险管理部能完全说了算吗？合规管理部能完全说了算吗？质量管理部能完全说了算吗？显然，都不能。但是如果没有这些部门（或职能）的参与或建议，企业领导者的决策可能就会有遗憾或失误。这就是各管理体系之间协同关系的一种具体表现。

对企业来说，业务永远都是第一位的。做业务需要一系列的活动，需要显性或隐性的流程。其中，显性的流程指有明确清晰的流程图（或制度要求）的流程，隐性的流程则指约定俗成的或者自己想当然的做事流程。上面所说的各种管理体系都是从不同角度为这些显性或隐性的流程服务的。业务流程是各种管理体系的载体，离开业务流程（或业务活动）谈管理是没有意义的。

正因为各种管理体系都是企业管理的一部分，都以流程为载体，所以各种管理体系是可以整合的。在大数据、云计算等技术被广泛使用的信息化和数字化时代，这种整合在技术上已没有难度，难的是复合型人才太少。随着AI等智能技术的发展，将来或许可以整合各领域专家的特长于企业综合管理体系之中，打造真正的统一的企业标准管理体系（或者叫作企业综合管理平台）。

1.3.3 合规管理与企业发展之间的关系

发展业务、创造利润是企业的根本使命。也就是说，发展是硬道理，发展具有不可替代的优先权。在实践中，合规管理会对业务开展形成一定的制约，就像内部控制、风险管理、质量管理、环保管理工作一样。但是，合规管理也好，其他管理也好，它们是为业务发展服务的，而不是为了制约发展。如果合规、内控严重制约业务的发展，那么其将失去生命力。

risk-doctor认为，合规、内控与业务发展之间是辩证的关系，业务发展需要管控，合规、内控为业务发展提供基本保障。企业在经营管理过程中坚持合规优先的原则，就是为了保证业务的合规性和可持续性。当合规管理目标与其他管理目标冲突时，合规优先。通过合规管理，保障和维护国有资本安全，保障企业运营安全和员工履职从业安全。