合规相关知识点介绍

【第一部分】有关概念的理解与认识

一、合规(compliance)

定义：企业的活动必须与所适用的法律、监管规定、规则、自律性组织制定的有关准则，以及适用于企业自身业务活动的行为准则相一致。

理解：

1、合规并不是一个项目，有一个起始日，过一段时间项目就完结了，对企业来说，合规是企业经营的一部分。

2、合规包括两个方面的含义：一是企业的内部管理制度和业务规则符合法律法规、监管规定和行业准则；二是内部管理制度得到实际执行。

二、合规风险（Compliance Risks）

定义：是指企业因未能遵循法律、监管规定、规则、自律性组织制定的有关准则，以及适用于企业自身业务活动的行为准则而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。

理解：

1、从内涵上看，合规风险主要是强调企业因为各种自身原因主导性地违反法律法规和监管规则等而遭受的经济或声誉的损失。

2、合规风险为一种需要独特管理技术和专业人员管理的风险。

三、合规管理

定义：是指企业制定和执行合规管理制度，建立合规管理机制，培育合规文化，防范合规风险的行为，是构建企业有效的内部控制机制的基础和核心。

理解：

1、合规管理究其实质是一种风险管理，是企业“内部的一项核心风险管理活动”：第一，是基于企业合规风险的事前管理活动，既有监管层监管活动在企业的功能性延伸，也是企业管理的内生性要求；第二，接受监督当局的指导，并与监管当局的监管目标保持高度一致性；第三，是全员性参与、全环节跟踪、全过程覆盖的管理活动。

2、合规管理内容包括：合规管理制度建设、合规咨询、合规审查、合规检查、合规监测、法律法规追踪、合规报告、投诉举报处理、监管配合、信息隔离墙（监视清单与限制清单）、合规文化建设、合规信息系统建设、合规考核、合规问责等。

3、合规管理工作具有以下几个特点：

一是独立性。企业的合规工作应当独立于经营活动，包括独立的报告路线、独立的调查权力、独立于经营业绩的绩效考核以及应避免合规人员的合规管理职责与其承担的任何其他职责之间可能产生的利益冲突。

二是预警性。合规部门要及时判定、评估和监测企业所面临的合规风险，并就合规风险向高级管理层和董事会提出咨询建议和报告。同时，通过执行系统的合规措施或程序，在事前识别合规风险和发现违规行为，从而最大限度地减少违规行为实际发生的可能性。

三是全面性。即企业合规管理的规章制度应覆盖从高级管理层到基层全部员工。

四是建设性。通过建立有效的合规工作机制，制定和完善内部规章制度并使之系统化，使其符合外部法律法规要求，实现企业内部规章制度体系的合规、完善，并与外部法律法规不发生抵触。

五是动态性。合规工作是一个有起点但没有终点的动态过程，因为外部法律法规环境在不断变化，企业业务产品在不断创新，企业员工也在流动更新，合规工作需要适时作出反应和调整，定期检查合规机制能否管理最新的合规风险，保证企业始终处于合规守法、稳健安全经营的状态。

六是协调性。合规负责人应具有较高的业务素质和较强的协调能力，既要善于处理好与外部监管部门或外聘律师的关系，也要妥善处理好本行内部与其他部门、分支机构的关系。

4、合规管理的目的就是通过建立一套机制，使公司能够有效识别、评估、监测合规风险，主动避免违法违规行为发生，从而免受法律制裁或财务、声誉等方面的损失，防范操作风险。

四、合规部门

定义：合规部门是指企业内部设立的专门负责识别、评估、咨询、监测和报告企业合规风险的一个独立的职能部门。

理解：

合规部职责：1、协助领导构建公司合规管理体系，制订、修订公司的合规手册和其他合规风险管理规章制度；2、起草年度合规管理计划；3、主动识别、评估、监测和报告合规风险；4、负责各项具体合规工作方案的拟定，使合规工作顺利展开；5、起草合规报告；6、参与新产品的开发，识别、评估合规风险，提供合规支持；7、违规事件的调查处理，起草违规处理决定；8、梳理公司内控流程，提出相关改进建议；9、审查公司内部管理制度、业务规程，提供合规改进建议；10、组织合规培训并向公司员工提供合规咨询；11、跟踪法律法规、监管规定和行业自律规则的变动、发展，并根据其有关要求提出制订或者修改公司内部规章制度的建议。12、领导指派的其他工作及其他相关辅助。

五合规文化

定义：合规文化是根据合规风险衍生出来的关于企业如何规避此类风险的管理方式的一种界定。

理解：

1、高效的合规文化的主要特征是员工对企业所适用的法律、监管规定、规则、行业协会制定的有关部门准则，以及适用于企业自身业务活动的行为准则的掌握和对违规的高度敏感，它要求合规意识贯穿在企业所有员工的行为中，成为一种自觉和必然的行为准则。

2、合规文化是合规风险管理的最高境界。企业应倡导和培育自身的合规文化，并将合规文化作为企业文化的一个重要组成部分。

3、合规文化内涵：态度：人人主动合规；理念：诚信、正直；内涵：合规创造价值；方式：有效沟通互动。

4、合规文化建设的要点：合规从高层做起；加强合规制度培训；制定合规检查计划；将合规纳入考评体系。

六、合规风险管理机制

定义：企业有效识别合规风险，主动避免违规事件发生，主动采取各项纠正措施和适当的惩戒措施，持续修订相关制度流程及详尽描述具体做法的岗位手册，以有效管理合规风险，确保企业合规稳健运行的周而复始的循环过程。

理解：有效的合规风险管理机制是企业构建全面风险管理体系的基础，是构建有效内控机制的核心，是确保企业安全稳健运行的重要保障，同时为企业创造价值。一部好“规”的形成过程，本身就是对企业业务和管理流程的整合和优化，它使企业能够将日积月累的各种良好做法积淀下来并形成一整套具有较强约束力和执行力的程序和规范，有助于企业提升管理各类风险的有效性，提升企业的核心竞争力，从而给企业带来直接的经济效益。

七、合规的原则

1：企业董事会负责监督企业的合规风险管理。

2：企业高级管理层负责企业合规风险的有效管理。

3：企业高级管理层负责制定和传达合规政策，确保该合规政策得以遵守，并向董事会报告企业合规风险管理。

4：企业合规政策要求高级管理层负责组建一个常设和有效的企业内部合规部门。

5：独立性

6：资源

7：合规部门职责

8：与内部审计的关系

9：跨境问题

10：外包

【第二部分】 合规相邻关系的理解与认识

一、公司治理、风险管理及合规审查的关系

公司治理、风险管理及合规审查（Governance, Risk Management, and Compliance，縮寫GRC）三个领域属于综合的整体。

公司治理是高级管理团队的责任，它关注创建组织内部的透明度，采用某种机制来保证组织内所有成员都遵守确定的流程和方针。恰当的治理策略能够监测和记录当前的商业活动，采取措施和步骤来保证符合确定的方针，并且能够在误解、曲解或未遵守原则时提供矫正措施。

风险管理是组织识别潜在的风险、根据组织的商业目标区分风险的优先级、判断其抗风险度的一个流程。风险管理通过组织的内部控制来管理和减轻风险。

合规审查通过记录和检测控制项，来确认其符合法律规定、行业规范以及组织的内部政策。

在GRC的领域中，如果不具备第一个(公司治理),则后面两个(风险管理、合规审查)就毫无用处并且很有可能无法真正达到。类似地，如果不具备第二个(风险管理)，那么合规审查也变得毫无用处并且很有可能无法真正达到。这就是为什么这个词的缩写为G+R+C，而并非其它的顺序。

二、合规风险与企业三大传统风险的关系

传统的企业风险包括信用风险、市场风险、操作风险三大风险。

合规风险是基于传统风险之上的更基本的风险。两者既有不同，又紧密联系。

不同之处：合规风险简单地说是企业做了不该做的事（违法、违规、违德等）而招致的风险或损失，企业自身行为的主导性比较明显。传统风险主要是基于客户信用、市场变化、员工操作等内外环境而形成的风险或损失，外部环境因素的偶然性、刺激性比较大。

联系之处：合规风险是传统风险特别是操作风险存在和表现的重要诱因，而传统风险的存在使得合规风险更趋复杂多变而难于禁控，且它们的结果基本相同，即都会给企业带来经济或名誉的损失。

只有以有效的合规风险管理为基础，操作风险、市场风险、信用风险等其他相关风险的管理才会更加有效。

三、合规部门与企业内部其他部门的关系

合规部门特别要处理好与与企业其他内设部门如内审、业务、法律事务、风险管理、纪检监察、财务控制等部门的关系。他们之间既有区别，也有联系：

1、合规部门与内审部门的关系。合规部门是负责合规风险识别、量化、评估、监测、测试和报告的专职部门，合规检查则是内审部门的一项职责；合规部门履职情况应受到内审部门定期的独立评价；合规部门与内审部门之间应建立明确的合作机制，合规部门的工作可以为内审部门的检查提供方向；内审部门的合规检查结果是合规部门识别、收集和跟踪合规风险信息和合规风险点的重要来源和依据。

2、合规部门与业务部门的关系。各业务部门应主动寻求合规部门的支持和帮助，主动提供合规风险信息或风险点，并配合合规部门的风险监测和评估；合规部门要为各业务部门和企业员工提供合规咨询和帮助，通过提供建设性意见，帮助业务部门管理好合规风险，为企业业务与产品创新提供合规支持，而不是对业务部门说YES或NO，而是说YES，YES，BUT，帮业务管理部门指出一条道路，而不是照搬教条的形势。合规部门最重要的一项职能就是统一组织、统筹协调或参与企业业务政策、行为手册和操作程序的修订，有时甚至组织人员代为起草相关的规章制度。

3、合规部门与监察部门的关系。有前后之分，合规部门在违规事件发生前有提醒的职责，也有事件发生后的监督检查职责，而监察部门主要是事件发生后的监察处理、责任追究等；合规部门的工作也需要接受本行内部审计部门的审计检查，以确保其自身履行职责的公正性和合规性。

4、合规部门与其他风险管理部门的关系。它们都是管理企业风险的职能部门，分别侧重于某一特定风险的管理，彼此需要充分的沟通与合作。

四、合规管理与法务管理的关系

合规管理和法务管理的职责内容有明显界限。

1、从历史渊源上看，法务管理是公司乃至企业的传统内部职能，从公司诞生之日起，法务管理部门或法务人员就已经成为了公司的一份子。合规管理则主要源起于监管机构的要求。

2、从管理依据上看，法务管理的依据是法律法规、监管机构规定、行业惯例，尤其是前二者，法务管理基本上不存在将法律法规内部化的过程。对于合规管理而言，其管理依据则相当广泛，包括法律法规、监管机构规定、行业自律规则、公司内部管理制度以及诚实守信的道德准则，其更强调的是对内部规章制度的遵循。作为内控的手段之一，合规在很大程度上是先把外部规则（法律法规）内部化为公司的规章制度，而后再依据内部规章制度进行控制。

3、从风险类型上看，法务关注的风险为法律风险，“法律风险”是指企业因不能强制执行的合同、法律纠纷或不利判决而面临的经营、财务干扰或其它负面影响。包括法律责任（具体可分为民事责任、行政责任、刑事责任），以及一类不能称之为责任，但会使公司丧失法律保障的风险或不利后果。而合规关注的风险则是违规风险，合规风险不会必然引起法律风险，合规风险与法律风险在法律责任中的刑事责任与行政责任方面是重合的，其他则不同。

4、从部门定位和管理模式上看，传统的企业法律部门往往被定位为服务部门、支持部门，负责公司的诉讼管理、合同审核、产品条款审核、风险资产追偿、劳动纠纷、法律咨询、知识产权管理等工作，传统的法务管理首先是个案的，并未形成流程化、标准化的管理；传统的法务管理还是被动的，他们往往不是主动去调查、发现法律事件，而是在相关部门或分支机构向其提交请求后，再介入。而合规管理则被定位为内控部门、监督部门，负责监测、识别、评估、报告公司各部门及分支机构对合规规则的遵循情况和合规风险的发生及整改情况，是一种常规化、流程化、标准化的管理模式，有一种主动的姿态。

5、在专业性上，合规管理需要管理人员更加了解公司的业务；法务管理则要求管理人员对法律更加熟悉。而且，由于合规管理相对程式化，而法务管理比如合同谈判、诉讼仲裁则相对个性化，因此法务管理对有关人员的主观能动性和个人职业素质要求更高一些。

五、注意避免陷入合规风险的认知误区

把合规风险视同于操作风险，多注重于在业务操作环节和操作人员上去设关卡。结果：操作风险在企业内部人员中不断变换手法。解析：虽然大量的操作风险主要表现在操作环节和操作人员身上，但其背后往往潜藏着操作环节的不合理和操作人员缺乏合规守法意识。而企业合规风险在绝大多数情况下发端于制度决策层面和各级管理人员身上，带有制度缺陷和上层色彩。因此，企业即使防范了基层机构人员操作风险的发生也未必能防范制度或管理上合规风险的发生。所以，合规风险它有时造成的危害和损失比一般操作风险要大很多。

作者：华浩席庆超