五、中国企业合规管理现状与问题：内资企业

(一)我国企业合规管理的概况

由于我国关于企业合规的立法集中于金融行业—主要是银行业、保险业，相应的，合规管理发展较快的企业也集中于这些行业。从银行业来看，根据我国银行业监督管理委员会的要求，无论是外资还是内资银行，都设立了合规部门，并且规模较大的银行根据业务条块或者合规监管的重点，分设不同的合规岗位。比如花旗银行(中国)的合规部就根据投资银行和零售银行分为两个大块，又分别在各自大块下设常规合规、反洗钱、银行监管等几个分组，分别针对常规合规审查事务、反洗钱控制和专门负责落实相关监管部门要求和准备监管检查的工作。而在保险业，平安保险公司于2004年年底成立了“法律与合规部”，率先在保险业种开始新型合规管理实践。2006年年初，中国人保控股公司将“法律部”改造为“法律与合规部”，之后，中国人寿保险股份有限公司也成立了单独的“法律合规部”。随后，我国绝大部分保险机构都设置了专门的合规部或法律合规部。随着合规职能部门的产生，合规事务也逐步与其他法律事务分离，是对合规管理制度逐渐完善的体现。

除金融行业外，近年来发展比较迅速的，也是行业监管较多并且较为严厉的企业：如医药与医疗器械行、能源、通信业务与设备等行业。这些行业的合规审查部门和职能产生的原因主要有两个：一是针对行业的法律法规和监管要求，以及带来的法律事件;二是外资企业的集团内部合规要求与企业海外业务发展带来的合规性风险，主要就是针对美国《反海外腐败法》(FCPA) 或其他国家与之类似的相关法律法规。所以通常这些企业的合规职能隶属于法律部门或建立了法律与合规部，与法律部门或法务人员的合作较为紧密。

总的来说，我国企业目前在合规审查的机构设置上存在三种模式：一是设置“法律合规部”，即将法律和合规管理职能合并，在法律部门的内部分设合规部门或合规职能，通常向法律部总负责人汇报;二是单独设立“合规部”，常见于金融行业，尤其是银行业;三是设立“内控合规部”，将内控和合规审查归于一个部门，除常规合规审查职能之外，还承担部分公司治理职能。

(二)金融企业的合规与监管

此外，就上市公司合规监管问题，课题组对上交所、深交所进行了调研，基本情况如下：

第一，就上市公司的监管而言，合规并非强制性要求。这主要是从制度成本的考虑。上市公司，尤其是深交所中小板和创业板上市公司规模不一，合规的制度成本对于上市公司而言比例不一，而上市公司对合规管理的需求也不一，因此并未进行强制性的统一要求。事实上，对于很多上市公司法务部门尚没有独立，或大部分法律实务倾向于外包。

第二，上市公司监管部门对合规的理解。上市公司监管部门认为合规是近年来引入的西方概念，就交易所而言，更多的强调的是规范运作，内部控制。而内部控制对于上市公司而言，仅就国有企业具有强制约束力。规范运作方面，交易所已经出台了规范运作指引，合规可以体现再次，但是没有单独的合规要求。

第三，上市公司监管部门认为即使对于证券类公司存在着合规的要求，但是从近年来的重大案件，如光大乌龙指事件来看，合规监管的目标并没有很好实现。应当认识到合规是手段，是目的，合规的有效性关键在于管理层的态度，而其更深的原因则在于法律体系的完善和相关配套责任体系的健全。

而金融类企业作为国内最早引入合规的行业，其合规也主要显示了其“合规”性，即需要符合证监会、银监会、保监会等的规定。

对于证券公司而言，其合规管理目标包括1，加强内部合规管理，培育合规文化，增强自我约束能力2，建立合规管理机制，定期进行合规管理有效性评估，防范合规风险的行为，实现持续规范发展。

在《证券公司合规管理试行规定》(以下简称《试行规定》)中，明确指出：“本规定所称合规，是指证券公司及其工作人员的经营管理和执业行为符合法律、法规、规章及其他规范性文件、行业规范和自律规则、公司内部规章制度，以及行业公认并普遍遵守的职业道德和行为准则。”并且规定：“对公司合规管理有效性的全面评估，每年不得少于一次。”

在证券公司之中，证监会对合规总监作为合规的直接负责人进行了更为详尽的规定，《试行规定》要求，合规总监须符合以下条件：(一)取得证券公司高级管理人员任职资格;(二)熟悉证券业务，通晓证券法律、法规和准则，具有胜任合规管理工作需要的专业知识和技能;(三)从事证券工作5年以上，并且通过有关专业考试或具有8年以上法律工作经历;或在证券监管机构的专业监管岗位任职8年以上。

证券公司聘任合规总监，应当向公司住所地证监局报送拟任人简历及有关证明材料。经公司住所地证监局认可后，合规总监方可任职。证券公司解聘合规总监，应当有正当理由，并自解聘之日起3个工作日内，将解聘的事实和理由书面报告公司住所地证监局。

并且为了保证合规总监的独立性，证监会还进一步规定，①合规总监不得兼任与合规管理职责相冲突的职务，不得分管与合规管理职责相冲突的部门。保障合规总监能够充分行使履行职责所必需的知情权和调查权;合规总监独立工作不受干涉和阻挠。《试行规定》明确要求“合规总监有权参加或列席与其履行职责有关的会议，调阅有关文件、资料，要求公司有关人员对有关事项作出说明。证券公司的股东、董事和高级管理人员不得违反规定的职责和程序，直接向合规总监下达指令或者干涉其工作;证券公司的董事、监事、高级管理人员和各部门、分支机构应当支持和配合合规总监的工作，不得以任何理由限制、阻挠合规总监履行职责。”

而对于董事会、监事会及其他高级管理层，《试行规定》则并未作出明确的规定，但通过散落其中的条文规定，可概括：1，依照法律、法规和公司章程的规定，履行与合规管理有关的职责;2，签署合规报告;如对合规报告内容持有异议，表明异议与理由;3，尊重合规负责人及合规部门的独立性，配合合规负责人工作。

对于商业银行而言，其规管理的目标与证券公司大致相同，可以概括为：加强内部控制，防范经营风险。在银监会颁布的《商业银行合规风险管理指引》(以下简称《指引》)第5条明确规定：“商业银行合规风险管理的目标是通过建立健全合规风险管理框架，实现对合规风险的有效识别和管理，促进全面风险管理体系建设，确保依法合规经营。”

商业银行的合规架构，类似的也分为：(一)对于董事会，《指引》第6条中规定董事会应对商业银行经营活动的合规性负最终责任，履行以下合规管理职责：(1)审议批准商业银行的合规政策，并监督合规政策的实施;(2)审议批准高级管理层提交的合规风险管理报告，并对商业银行管理合规风险的有效性作出评价，以使合规缺陷得到及时有效的解决;(3)授权董事会下设的风险管理委员会、审计委员会或专门设立的合规管理委员会对商业银行合规风险管理进行日常监督;(4)商业银行章程规定的其他合规管理职责。(二)对于监事会，《指引》并未对监事会在合规经营中的职责做出明确的规定，但是根据监事会监督机构的性质，可推知其在合规管理中重要履行监督职责，包括监督合规经营管理制度的制定与执行;监督董事会、经营管理层和合规总监是否履行了合规管理职责;监督合规部门的独立性等方面。(三)，对于高级管理层，高级管理层在商业银行合规管理方面负责执行董事会批准的合规管理战略、总体政策及体系，对董事会负最终责任。

《指引》第13条规定：高级管理层应有效管理商业银行的合规风险，履行以下合规管理职责：(1)制定书面的合规政策，并根据合规风险管理状况以及法律、规则和准则的变化情况适时修订合规政策，报经董事会审议批准后传达给全体员工;(2)贯彻执行合规政策，确保发现违规事件时及时采取适当的纠正措施，并追究违规责任人的相应责任;(3)任命合规负责人，并确保合规负责人的独立性;(4)明确合规管理部门及其组织结构，为其履行职责配备充分和适当的合规管理人员，并确保合规管理部门的独立性;(5)识别商业银行所面临的主要合规风险，审核批准合规风险管理计划，确保合规管理部门与风险管理部门、内部审计部门以及其他相关部门之间的工作协调;(6)每年向董事会提交合规风险管理报告，报告应提供充分依据并有助于董事会成员判断高级管理层管理合规风险的有效性;(7)及时向董事会或其下设委员会、监事会报告任何重大违规事件;(8)合规政策规定的其他职责。

商业银行合规部门的职责与证券公司大致相同，集中在合规评估、风险识别、审查监督和员工培训、对外沟通五个方面。

按照《指引》第18条的规定：合规管理部门应在合规负责人的管理下协助高级管理层有效识别和管理商业银行所面临的合规风险，履行以下基本职责：(1)持续关注法律、规则和准则的最新发展，正确理解法律、规则和准则的规定及其精神，准确把握法律、规则和准则对商业银行经营的影响，及时为高级管理层提供合规建议;(2)制定并执行风险为本的合规管理计划，包括特定政策和程序的实施与评价、合规风险评估、合规性测试、合规培训与教育等;(3)审核评价商业银行各项政策、程序和操作指南的合规性，组织、协调和督促各业务条线和内部控制部门对各项政策、程序和操作指南进行梳理和修订，确保各项政策、程序和操作指南符合法律、规则和准则的要求;(4)协助相关培训和教育部门对员工进行合规培训，包括新员工的合规培训，以及所有员工的定期合规培训，并成为员工咨询有关合规问题的内部联络部门;(5)组织制定合规管理程序以及合规手册、员工行为准则等合规指南，并评估合规管理程序和合规指南的适当性，为员工恰当执行法律、规则和准则提供指导;(6)积极主动地识别和评估与商业银行经营活动相关的合规风险，包括为新产品和新业务的开发提供必要的合规性审核和测试，识别和评估新业务方式的拓展、新客户关系的建立以及客户关系的性质发生重大变化等所产生的合规风险;(7)收集、筛选可能预示潜在合规问题的数据，如消费者投诉的增长数、异常交易等，建立合规风险监测指标，按照风险矩阵衡量合规风险发生的可能性和影响，确定合规风险的优先考虑序列;(8)实施充分且有代表性的合规风险评估和测试，包括通过现场审核对各项政策和程序的合规性进行测试，询问政策和程序存在的缺陷，并进行相应的调查。合规性测试结果应按照商业银行的内部风险管理程序，通过合规风险报告路线向上报告，以确保各项政策和程序符合法律、规则和准则的要求;(9)保持与监管机构日常的工作联系，跟踪和评估监管意见和监管要求的落实情况。

(三)平安集团的合规案例

中国平安保险(集团)股份有限公司(以下简称“中国平安”，“公司”，“集团”)于1988年诞生于深圳蛇口，是中国第一家股份制保险企业，至今已发展成为融保险、银行、投资三大主营业务为一体、传统金融与非传统金融并行发展的个人综合金融服务集团之一，为我国金融业综合经营创新试点之一，是国内金融牌照最齐全、业务范围最广泛、控股关系最紧密的个人综合金融服务集团。综合金融是一项复杂的系统性工程，相较于单业经营的机构，平安的综合金融面临的风险更多，更复杂。此外，截至2013年12月31日，平安集团旗下共有24家子公司，集团总资产达人民币3.36万亿元，管理着65.7万代理人。面对如此庞大的集团规模，其间对风险的防范需要何其强大的控制力。

面对更为复杂的风险，平安坚持综合金融战略，风险管理与内容控制是其重要前提和基础。在坚持综合金融发展的实践中，平安集团在全系统倡导和建立“自觉合规、健康发展”的内控环境与文化，倡导“内控合规使你持续成功”，合规并不是简单的提出问题，还要帮助解决问题。这种自上而下合规理念的渗透、传递和内化，背后彰显着强大企业文化的生命力，“法规+1”则是践行这一文化的行动准则：法规有明确规定的，坚决严格执行;法规未明确规定的，按照更高的道德自律标准确定行为规范。

1. 平安集团合规目标

(1)防范合规风险

平安集团对合规的认识是植根于对平安集团整体组织特性的把握之上的，因此平安集团对合规的基础定位是在综合金融集团中如何建设一个全面风险管理体系。建设这一全面风险管理体系的需求，从基础上来自于公司治理和公司战略发展的要求，而从不同的层面来看，则来自于外部和内部的压力。就内部而言，平安集团的规模庞大，市值3.36万亿，管理着65.7万代理人。而就外部而言，由于平安集团作为全牌照综合金融集团，在我国目前的分业监管体制下，如何在各个业务之间设立防火墙是监管和公司发展的必须。对此，平安集团提出“法规+1”的合规理念，持续完善内部控制运行机制，着力提高抵御风险的能力;确保单一/累积风险低于公司可接受水平，以促进其保险、银行、投资三大支柱业务以及整个集团可持续健康发展。平安集团对合规的认识更植根于集团的运营的复杂性：在此集团治理中，如何规范地协调各公司之间的行为，达到集团的一致行动、达成集团的一致利益，是平安面对一个大的集团公司的必须。对此，平安集团努力通过合规确保集团及下属子公司经营管理合法合规、符合监管要求。平安集团只有实现合规管理才能将风险降到最低，任何单位和部门一旦有重大案件发生，就可能牵连整个集团使之失去业务或机构拓展的机会和资格，从而影响整体发展。

(2)强化内部控制

平安集团认为所谓风险就是“实现预期目标可能出现的偏差”，而风险管理就是“内部控制与偏好选择的加总”，而内部控制则是合规管理与其他控制措施的加总。其中合规管理是标准化和制度化的处理，而其他控制措施则是没有或无法制度化的控制手段。因此，对于平安集团而言，合规管理是内部控制的制度化手段。通过合规管理，集团可以强化内部控制。

2. 平安集团合规架构

基于平安集团综合金融集团的性质，全面风险管理既是平安集团所面临的监管需求，也是平安集团的市场策略。对此，平安集团建立了由董事会负最终责任、监事会实施监督、管理层直接领导，以相关专业委员会为依托，各职能部门密切配合，覆盖各子公司及业务线的内控及风险管理体系，并通过公司内部的《合规管理办法》明确了各层级员工，尤其是董事和高级管理人员的合规管理职责。

治理层面，平安公司董事会负责内控及风险管理体系的建立健全和有效实施;董事会下设审计与风险管理委员会，负责监督、审查、评价公司内控及风险管理的实施情况，协调内部控制审计及其他相关事宜;监事会负责对公司管理层的履职情况进行检查监督。

管理层面，平安集团执行委员会(管理层)下设风险监控委员会，负责制订风险管理总体目标、基本政策和工作制度，监控公司风险暴露和可用资本的情况，指导各子公司风险管理机构的设置及监督其履职情况，监督各子公司或业务线的风险管理体系的运行，推动公司全面风险管理的文化建设等。

执行层面，平安集团执行委员会(管理层)下设内控管理中心，内控管理中心下设合规部、稽核监察部、G-SII办公室，具体负责合规风控管理;集团合规部是集团层面的合规管理机构，通过加强综合金融服务集团合规管理与风险防范工作，开展合规文化建设，将信赖建立在机制和流程上，提升系统性效率，控制系统性风险，强化合规管理功能、凸显合规管理的价值。其中，合规部门负责人负责全面统筹、协调合规管理工作，其他合规专职管理人员负责具体识别、评估合规风险，对员工就合规事务给予指导、培训，履行监控和报告职能，同时与法律部协作执行咨询职能。与此同时，为确保合规管理工作的顺利开展，平安建立合规协调人机制，集团及各子公司的各职能部门均指定了合规协调人，统筹协调涉及本部门的相关合规事务，协同合规部门(代表部门负责人)组织开展合规管理各项工作，建立了良好的日常沟通与协作机制，保证了合规管理政策、制度与措施的贯彻和执行。 

图 平安集团合规内控与风险管理架构

平安集团实行矩阵式负责模式，集团合规部门向集团公司“审计与风险管理委员会”负责，子公司合规部门向子公司分管执行官负责，而与集团合规部门之间存在专业上的合作、指导关系。集团合规部门与子公司合规部门在业务上存在着分工协同的关系。

集团合规部主要负责集团合规方面事务的管理，履行社会责任，积极落实五部委发布的内控基本规范。集团的合规管理采取工作小组的模式，就核心的合规问题进行专项负责，其中较为突出的是关联交易的合规管理，其外还包括反洗钱、互联网与创新等的合规管理。合规部门与其他部门之间也存在协作，合规部门就内外的程序化制度化建设负责，并通过合规周报及时披露新法律法规的变化，使员工能够及时接触到最新的政策法规、合规理念和实际案例;以及提示其他部门如何处理。在执行上则自下而上地就合规进行履职举证，由下级部门向上级部门提供合规运行的证据，并报告负责。

平安产险公司(平安集团子公司)合规部除了日常工作以外，还有一个重要职责是开展合规培训教育，提高全员合规意识。平安产险公司管理层非常强调合规从高层做起、从干部做起，每年都组织合规知识竞赛等活动。为此，公司搭建了相应的学习及考试平台，每人必须用自己的账号登录学习参加考试。考试结束张榜公布成绩，优异者的“奖励”是一摞法规书籍。平安产险的全员合规意识和法规知识得到提升，是平安产险提高合规管理水平的重要手段。

3. 平安集团合规管理流程及体系

相较于单业经营的金融机构，综合金融面临的风险更多、更复杂，且要面临潜在的风险传递，因此对风险管理技术和系统的要求更高、更全面。

(1)合规管理体系

平安集团的合规管理分成三个层次，第一个层次是“合法规”的管理，维护基本秩序，重点是遵循各项法律法规的要求，避免触犯强制性底线要求;第二个层次是“合规则”的管理，协调利益关系，重点是信守合同、行业自律规则和其他社会公约、道德规范，恪守企业道德诚信准则，在制度与规则的设计下，让企业能够很好地处理与他人的关系，尽可能避免各种纠纷;第三个层次是“合规律”管理，按规律办事，是在前两者基础上，不断探寻最佳实践、创建标准，追求最佳效果，促进持续发展。

(2)合规管理流程

平安强调业务部门、合规管理部门、稽核监察部门三道防线的分工与协作，强化工作衔接与信息共享机制，强化事前、事中、事后三位一体风险管控。 “业务与职能部门直接承担管理”，是风险管控的第一道防线：中国平安通过建立内控评价与考核问责，将内部控制与日常经营管理融合，嵌入业务和流程，将授权分责与绩效考核挂钩作为内部控制的核心驱动力，将风险管控尽可能前置。“合规管理部门统筹推动支持”，是第二道防线，主要履行“风险事前策划应对”：通过“四新一重”(“四新”即新产品、新业务、新制度、新流程，“一重”即重大项目)合规评审、操作风险与内控自评、反洗钱管理、关联交易管理等一系列重要合规管理工作的开展，帮助公司和业务部门尽早识别和化解风险;合规也会参与到一些重要业务项目的策划过程中，尽量在方案或计划设计之初就对风险进行识别与评估，以尽早解决和防范。“稽核监察部门监督检查审计”，是第三道防线，主要履行“风险事后监督报告”。

4. 平安集团合规的具体措施

(1)建立完善的防火墙机制

作为集团公司，平安在合规方面的特色之一就是在集团与子公司、子公司与子公司之间建立完善的防火墙机制。

这主要包括三个方面：一是法人防火墙，集团和子公司治理结构完善，集团定位明确，与子公司的公司治理边界清晰，集团不经营具体业务，不参与、不干预任何子公司日常经营管理;各子公司专业化独立经营，分别接受对口监管部门的监管。二是财务防火墙，集团和各子公司分别设有独立的财务部门，高级财务管理人员不得兼职;各公司科目清楚、核算独立，资产、负债严格独立。三是交易防火墙，集团和子公司制订严密的关联交易管理制度，建立完善的审批决策程序，集团及各子公司依照法规及监管规定对关联交易的规定从严执行;关联方交易按照独立交易的原则，公允定价，公平交易。四是信息防火墙，集团建立完善的信息安全管理体系，统一信息安全及保护标准与要求;各公司及员工严格管理未公开信息，严格保护自身的经营信息、商业秘密及知识产权，如员工必须签署未公开信息保密承诺书，保证不泄露或违规利用未公开信息;集团强调客户信息保护，集团和子公司建立严密的客户信息保护制度，制订规范统一的客户授权条款，只有客户同意的情况下并经严格的审批，才能进行客户信息共享。

(2)建设自主的合规管理文化

制度的生命在于执行，风险管理关键在于人。平安始终坚持以人为中心，自上而下，塑造自主的合规管理文化，在开展合规管理宣导培训的同时，重点做好两件事情。

一是推行合规内控考核，将合规管理责任进行分解，将合规指标与各级管理层和员工绩效挂钩，实施风险考核问责和动态监测，促使合规管理成为各级管理层和员工的行为指引和驱动力。二是统一全集团合规管理语言，为业务和管理部门提供简单、易理解、易操作的风险管理工具，如机构风险评级、风险仪表盘等，并提供风险管理方法培训，让各级管理层和员工感受到风险管理其实并不难，大家都可以做到并且可以做好，逐渐就会形成风险管理的自觉性和自主性。

(3)持续优化制度管理机制，完善内部管理制度体系

内规的优化也是平安合规管理体系中的一大特色。所谓“内规”——即企业内部制度和规范性文件，是现代管理的核心工具，是规范企业经营和管理行为的最重要的依据。统一而高质量的“内规”不仅决定着企业经营管理的水平、效率和效果，也是“外规”得以落实和持续执行的最好保证。

平安一贯倡导合规先行、制度先行，持续完善高标准的内部管理制度体系，建立健全制度管理机制。目前，平安已建成上至集团下至专业公司、各分支(行)机构的内部制度及业务流程管理体系，明确了“实现集中管理、进行系统管理、完善更新管理”的制度及流程管理目标，并根据“存量制度整理完善、增量制度严格规范”的原则，对制度及流程体系予以持续更新维护和改进优化;同时，公司持续优化升级制度系统平台，从外规内化、内规优化、立项、草拟、征求意见、修订、发布、更新等进行全流程控制，实现制度全生命周期管理。探索建立“内规优化以自动形成内控手册”的制度管理工作机制，“外规内化以自动形成合规手册”的风险分析预警工作机制，逐步形成标准化岗位合规手册，有效提升集团与专业公司制度标准化建设水平，夯实合规管理的基础，同时通过对外规信息的及时传递与解读，动态化实现外规推动内规、内规匹配外规的合规管理制度机制。

(4)不断规范关联交易管理，树立关联交易合规典范

为保证综合金融集团协同过程中发生的大量关联交易公平、公允，防范风险传递，平安建立了完善的综合金融集团关联交易管理体系和机制，持续提高关联交易透明度。

其具体做法包括：一是在严格遵守境内外上市规则、行业监管规定以及公司章程关于关联交易规定的基础上，建立了层级清晰，分工明确，覆盖全集团的关联交易管理架构，集团在执行委员会下设立关联交易管理委员会，总体负责指导关联交易管理和风险管控，其下设立关联交易管理办公室，负责具体统筹协调关联交易管理，完善关联交易管理体系和管理机制，指导监督子公司关联交易管理;子公司搭建专门的关联交易管理架构，建立完善的关联交易授权管理体系;各层级定位清晰，授权明确，管理任务分层级分解，逐级汇报。二是从管理机制与流程、系统平台建设、监督执行等方面入手，确定标准化的管理流程和统一的制度标准，建立培训宣导机制，健全日常管理和报告机制，搭建关联交易管理平台，提升关联交易管理流程化、标准化水平及效率，营造“关联交易人人有责”的管理文化。

(5)充分利用现代科技，实现风险管理系统化

此外，平安合规管理中较有特色的还包括其对现代科技的利用。平安综合金融集团业务和客户众多，数据海量，因此其认为必须利用现代科技和IT技术作为风险管理的臂膀。平安非常重视IT技术的运用，在业务和系统规划初始，就努力将风险管理意图和模式固化在IT系统，搭建完善的风险管理系统平台，涵盖制度管理、合规管理、内控评价、反洗钱、关联交易等风险管理各个层面，通过系统规范行为、提供指引、预警风险，通过系统保持内部管理和对外服务标准的高度一致，实现风险管控与支持效率的最佳平衡。

5. 结语

“合规管理及内部控制发展至今已不仅仅是风险控制手段，它更是一种做事的模式，探寻最佳实践的途径，获得他人信赖的方法，持续成功的秘诀。我们这样理解，也在往这方面努力。”张云平说。对平安集团而言，通过合规管理有效控制风险仅是基础，树立最高道德标准和企业典范，提升客户、股东、员工与社会的信赖是平安风险管控工作更远的目标。

六、问题与展望

如上所述，“企业合规”这一概念在我国尚属新鲜事物，合规管理尚处于需要完善的阶段，合规的理念和制度在一些行业并未普及，而即使是在已经存在合规体系的行业，企业合规管理也存在着各种问题，这些问题直接影响到企业合规风险的承担。具体而言：

第一，中国社会的合规外部环境对合规管理带来一定困难。合规的外部环境主要包括法制背景和社会文化两方面：从法制背景来看，我国对合规的相关立法明显存在不足。立法数量较少，仅存在行政法规的形式，且限于金融行业。此外，具体内容上也有待完善。比如，我国签署的《联合国反腐败公约》规定各缔约国应当对贿赂外国公职人员或者国际公共组织官员的行为定罪，但我国对商业贿赂制裁的力度就明显不足，很多灰色行为屡禁不止。这种外部法律环境的欠缺会对企业进行合规管理产生很大的负面影响。一在市场机制的作用下，一部分企业会意识到合规管理的重要性，并在一定程度上加强自身的合规风险防范。但是，由于在相关法律法规不完善的情况下，很多违规行为无法得到根本的治理，方面，开展合规管理的企业对有关内部合规政策的制定缺少法律的指导而不能一步到位;另一方面，由于不合规的企业仍然可以在灰色地带经营且不会受到制裁，这就在事实上造成了对合规企业的不公平，从而让企业开展合规管理变得尴尬。另一方面看，由于中国传统文化重视“人情来往”，很多不合规的行为即使不被法律所允许，也可能在情理上得到认同，从而产生了知法犯法的“潜规则”。这种对传统文化的错误理解和滥用也在很大程度上不利于企业开展合规管理。

第二，合规理念与文化的缺失。这体现为高级管理人员和公司员工合规意识淡薄，对合规风险管理认识不清之上。企业不是主动合规，即便设立了合规管理部门，也不能清除认识到其地位和作用，甚至以为是为了应付监管机构检查的要求。2011年初，安永公司曾选择一些跨国企业征求对企业免领的十大风险的看法，得出结论，在全球企业风险认知排序中名列第一的事“监管与合规”，而我国企业对此的认知排序是位列第七，可见，目前，我国企业对于“合规”重要性认识明显不足。究其原因，一方面，儒家文化“礼治”思想的影响下，人们对法治重要性的忽视。于是认为“合规文化”只是要求企业消极被动地遵守法律，从而与现代企业积极创造合法价值的经营理念要求相去甚远。另一方面，我国历史上“重农抑商”对商业文化的负面影响以及以及曾经的计划经济体制对企业法人独立性的限制，都阻碍了企业合规文化的形成，合规文化根基单薄，在我国现已确立的社会主义市场经济体制之下，仍处于培育、成长的过程之中。与此同时，受到利益的驱使，许多企业宁愿冒着违规的风险，或采用打“擦边球”的方式，做出背离合规文化的行为，从而使合规文化的建立更为艰难。然而，合规文化是合规管理体系构建的基础，若无合规文化作为支撑，构建完善的合规管理体系就会困难重重，即便已经存在完备的合规管理体系，也只流于形式，无法得到积极落实。

第三，制度体系不成熟。由于合规文化的缺失，合规管理的制度构建上也出现了诸多问题。首先，就管理组织而言，很多企业都并没有统一的合规管理部门，合规职能由业务、法律、审计、财务等部门分担，不成体系，职责界限不明，配合协调不得力。身兼数职的管理人员自身也缺乏合规意识，如业务人员往往会出于部门私利，而忽略了合规的重要性。即使是存在专门的合规管理部门，其地位也很可能被边缘化—由于其隶属于地位更高的管理层，且又缺乏保障机制和科学的运行程序，其职能很难独立发挥而不受牵制，从而合规管理的有效性难以保证。其次，规章制度方面，一些企业内部并没有完善的合规管理规定，其中很多缺乏可操作性。如仅以戒律口吻加以禁止，而并无追责机制。也可能存在制度系统性不够, 有时还存在前后制度矛盾的现象, 以致难以实际操作。面对新出台的法律规范，由于没有自己的管理经验、管理文化作为支撑，往往采取“拿来主义”和“摸着石头过河”的方法,一些制度的出台也仅是为了应付经营的需要(非管理的需要)而闭门造制度。这样的行为守则不仅不能实现合规管理的效果，还会由于不能与本企业实际运营相协调，使执行者无所适从。最后，合规教育培训、合规监督等机制不够完善，管理人员素质的提高、合规文化的宣传和合规管理政策的执行力都得不到保障。

第四，风险管理技术落后。这一点主要体现在金融行业。合规风险对预测与防范对当下日新月异的金融行业，地位重要且难度不小。由于宏观经济变化引发的系统性风险。周期性风险逐步加大，表外业务和金融衍生产品导致的合规风险时有发生，这些新的风险对风险管理技术提出了更高的要求。但同国外先进的风险管理技术相比，我国风险管理技术和工具较为落后。如风险评级、风险预控、资产组合分析和各类风险缓释技术至今都尚未在我国的风险管理工作中得以普及。这些管理技术上的不足，使有些合规风险不能得到有效规避，合规管理不能发挥其应有的作用。

【完】

本文来源于网络，版权归原作者所有，如有侵权请联系删除。