企业合规是企业为实现依法依规经营、防控合规风险所建立的一种治理机制。企业合规只有在法律确立了行政监管激励机制和刑法激励机制的前提下,才能得到有效的实施。在国际经济法律体系中,一些国际组织也将企业合规作为对违规企业解除制裁的前提条件。从历史上来看,企业合规是为保护企业利益而设置的风险防控机制,它所要防控的不是企业的经营风险和财务风险,也不是一般意义上的法律风险,而是因可能受到行政处罚或刑事追究而承担的合规风险。企业合规发展到今天,已经不再仅仅属于企业所要承担的道德义务,而变成一个涉及多个法律领域的重要法律问题。
一、问题的提出
企业合规首先发端于美国,目前已成为全世界企业的治理方式。对于企业合规的含义,法学界和实务界向来有不同的理解。这反映出企业合规的内涵并不是单一的,而是具有多重含义的。与此同时,对于企业合规的内涵和外延,至今仍然存在一定的争议。例如,有人认为,合规就等于企业合规;但也有人认为,企业合规与企业高管的法律责任具有密切的联系。又如,有人指出,企业合规就等于企业对其法律风险的防范和规避;但也有人指出,合规并不是一般意义上的风险防控,而主要是对行政处罚风险和刑事法律风险的防控。再如,有人认为,企业合规充其量只是一种道德问题,还没有形成一种完善的法律制度;但也有人认为,从早期公司治理的角度来看,企业合规大体属于企业内部的自我管理问题。然而从20世纪90年代以来,随着行政监管合规和刑事合规制度的发展,企业合规已经成为一种重要的法律制度。
由此看来,我们有必要对企业合规的概念做出准确的解释,并对相关观点进行必要的澄清。我们可以通过分析西门子公司建立合规机制的例子,来解释企业合规的多重含义,然后再对企业合规的内涵和外延做出简要的解释。
2006年11月,西门子公司因涉嫌海外商业贿赂而受到德国慕尼黑检察机关的调查。随后,西门子主动向美国司法部和证券交易委员会报告了其在多个国家的行贿行为,并聘请美国德普律师事务所进行了长达两年的内部独立调查。在提交内部调查报告后,西门子与美国司法部达成了不起诉协议。根据这项协议,司法部放弃对西门子提起刑事指控,条件是以西门子违反FCPA有关会计条款和内部管制条款依据,对西门子公司处以4亿4850万美元的罚款。与此同时,针对美国证交会提起的民事起诉,西门子选择了民事和解,最终西门子对证交会有关西门子违反反贿赂条款的主张既不否认也不予以承认,只是同意向证交会退还3.5亿美元的不正当利益。不仅如此,西门子还与德国检察机关达成和解协议,缴纳了总额达8亿美元的罚款。
西门子事件发生后,该公司对管理团队作出了大幅度调整。监事会主席和首席执行官相继辞职,约200名经理被开除,100多名高层人员被责令配合调查。西门子还重新组建了合规团队,任命前财政部长威格尔博士担任独立合规监察官,从2009年开始持续监督西门子在合规方面的改进情况。西门子聘请独立的会计事务所和律师事务所等外部专业机构进驻,开启了德国历史上的首次公司独立调查。这项调查活动评估了5000多个咨询协议,检查了4000万个银行账户报表、1亿份文件以及1.27亿次交易,进行了无数次内部谈话。西门子为此付出了高昂的代价,仅外部专业机构的调查费用就高达数亿欧元。
至此西门子建立了独立而权威的合规组织体系。合规组织由首席合规官担任负责人,向西门子公司总法律顾问报告工作,并可以直接向西门子公司管理委员会和监事会提交报告,而总法律顾问则直接向西门子公司总裁兼首席执行官汇报工作。在原来反腐败合规的基础上,西门子的合规领域已经得到显著的扩大。目前,西门子的合规工作主要集中在四大领域:一是反腐败,防止权钱交易行为;二是反垄断,防止违反公平竞争原则;三是数据保护,注重保护相关的隐私数据;四是反洗钱,注重防止西门子被用作洗钱和为恐怖主义融资的工具。
西门子的合规体系由两个部分组成:一是商业行为准则,二是三大制度保障。前者包括八个部分,分别确立了“基本行为要求”、“如何对待商业伙伴和第三方”、“避免利益冲突”、“公司财产的使用”、“环境、安全与健康”、“投诉与建议”、“合规执行与监督”等方面的规则。这些商业行为准则基本上确立了西门子公司的基本合规制度。后者则包括三大支柱性制度:防范(prevent)、监控(detect)和应对(respond)。所谓防范,是针对可能的合规风险所采取的预防性措施。防范体系主要由六个部分构成:合规风险管理、制定政策和流程、培训和其他沟通方式、建议与支持、与人事流程相结合、联合行动和廉洁行动项目等。其中,合规风险管理和培训是防范体系的核心部分。监控体系包括四项流程:控制管理、审计、投诉处理以及报告责任。而所谓的应对体系,则包括对违规行为的及时调查识别,对存在违规行为的员工进行处罚,并在全球范围内进行个案的跟踪。在针对有关员工的纪律处罚作出后,涉案的相关部门必须落实调查报告中提出的建议,对相关的制度漏洞和工作缺陷作出必要的补救,以避免类似的违规行为再次发生。
通过观察西门子建立合规体系的例子,我们不难产生以下初步的印象:西门子公司实施了海外贿赂行为,违反了美国和德国的反贿赂法律,面临着德国检察机关的刑事调查,同时面临着美国司法部的刑事调查和证监会的监管调查。西门子公司假如不采取任何配合调查、自我披露以及重建合规计划的行动,就有可能遭受美国检察机关的刑事起诉和法院的定罪判刑,被美国证交会采取执法行动,并受到行政处罚。当然,在德国刑法没有确立法人犯罪制度的情况下,西门子在德国也有可能受到严厉的行政处罚。可以说,恰恰是为了避免受到严厉的行政处罚和刑事追究,西门子才选择了一条重建合规计划的道路。
而通过重建合规计划,西门子不仅与美国检察机关和证交会达成和解协议,被采取了宽大的刑事处理和行政处罚,避免了经济上、交易资格上以及声誉上的诸多损失,而且还“意外”地获得了改革公司治理结构的机会,重建了合规组织体系,实施了新的商业行为准则,确立了以防范、监控和应对为支柱的合规管理体系。假如我们将避免受到严厉的行政处罚和刑事追究作为企业建立合规计划的外部激励机制的话,那么,企业合规本身仍然属于公司为实现自身治理目标所采用的一种自我管理方式。但是,这种企业合规机制与传统的公司治理方式究竟有什么本质区别呢?从西门子所标榜的“只做合规的业务”这一理念来看,企业合规就是企业要依法依规展开经营活动,拒绝并预防那些违法违规的行为,从而形成一种依法依规进行经营活动的习惯,并督促员工、第三方以及其他商业伙伴采取依法依规的经营方式。
鉴于我国政府监管部门刚刚开始引入合规治理方式,学术界对这一问题的研究还并不成熟。因此,我们有必要对企业合规的性质作出认真的讨论。本文拟结合西门子重建合规体系的经验,揭示企业合规的三层含义,分析企业合规的演变过程,并通过澄清若干模糊认识来总结企业合规的基本属性。这种对企业合规基础问题的研究,既可以确保相关理论研究不偏离正确的轨道,也有助于政府监管部门按照企业合规治理的规律,逐步构建一种行之有效的合规体系。
二、企业合规的三层含义
从西门子公司重建合规计划的经验来看,企业合规其实具有三个方面的基本含义:一是从积极的层面来看,企业合规是指企业在经营过程中要遵守法律和遵循规则,并督促员工、第三方以及其他商业合作伙伴依法依规进行经营活动;二是从消极的层面来看,企业合规是指企业为避免或减轻因违法违规经营而可能受到的行政责任、刑事责任,避免受到更大的经济或其他损失,而采取的一种公司治理方式;三是从外部激励机制来看,为鼓励企业积极建立或者改进合规计划,国家法律需要将企业合规作为宽大行政处理和宽大刑事处理的重要依据,使得企业可以通过建立合规计划而受到一定程度的法律奖励。
(一)企业合规的第一层含义
从字面上看,合规(compliance)具有“遵守规则”或“遵循法律规定”的含义。无论是怎样的合规计划或合规管理体系,无非要达到督促企业在经营过程中遵守法律法规的效果。那么,企业究竟应当遵守哪些法律法规呢?
通常说来,根据企业在经营或交易过程中所要遵守的规则类型,我们可以将企业所应遵守的法律法规分为四种:一是国家制定的法律法规,在我国可以包括全国人大及其常委会通过的法律、国务院通过的行政法规、最高司法机关发布的司法解释、国家部委局办通过的部门规章、地方立法机关通过的地方性法规等;二是商业惯例和伦理规范,包括各行业协会颁布的成文行为准则以及各种不成文的商业习惯和伦理规范等;三是企业自行颁布的规章制度,包括公司章程、商业行为准则、员工行为守则等;四是相关外国法律法规、国际条约或国际惯例,包括那些公司经营地所在国或地区的法律法规,本国参加或者签署的国际公约以及相关国际组织所实施的国际规则等。
从本质上看,企业合规就是一种自我监管(selfpolicing)机制。企业建立合规管理体系的根本目的在于督促员工、客户、合作伙伴、被并购企业等在经营过程中遵守上述法律法规,“只做合法合规的业务”。但是,要求企业依法依规经营,这仅仅属于企业合规的浅层含义。从公司治理的角度来看,企业要做到依法依规经营,还需要针对自身存在的违法违规风险,建立一套防范员工、客户、第三方、被并购企业等出现违法违规行为的管理机制。针对企业内部可能出现的违法违规行为建立管理机制,这是企业合规的根本要义。从这一角度来说,企业合规并不是笼统地要求企业“依法依规经营”,而是要求企业针对可能出现的违法违规情况,建立一套旨在防范、识别和应对合规风险的自我监管机制。
(二)企业合规的第二层含义
企业合规有积极和消极两个层面的含义。前面所说的依法依规经营,其实是从积极的角度阐释的合规含义。但从消极的角度来看,企业合规是指企业为避免出现违法违规行为,防止或减轻因违法违规而遭受的各种损失所建立的公司治理体系。要理解这一层含义,我们需要从四个角度来作出简要的分析。
首先,企业合规是为了防范合规风险而建立起来的管理机制。所谓合规风险,是指企业因没有遵守法律、规则和准则而可能遭受法律制裁、监管处罚,并遭受重大经济损失和声誉损失的风险。每个企业因其所从事的业务不同,会存在各不相同的合规风险领域。例如,银行的合规风险领域通常是违反国家反洗钱法律,医疗企业的合规风险领域一般是违反国家反商业贿赂法律,大数据公司的合规风险领域经常是违反国家数据安全和信息隐私保护的法律,从事进出口业务的企业则通常存在违反国际出口管制法律的合规风险,等等。为防范这些合规风险的发生,避免企业遭受各种损失,企业需要建立合规体系,并将其作为改进公司治理结构的一种制度安排。
其次,企业合规是针对有关监管部门的调查和处罚所建立的管理体系。企业之所以要建立合规管理体系,并不是为了防范所有的“法律风险”,而主要是为了防范因违法违规而受到行政监管处罚、刑事追究的风险。通常而言,企业在经营过程中会面临着多方面的风险,也要展开多方面的风险防控工作。但是,企业合规所要防范的不是一般的“经营风险”,也不是一般意义上的“法律风险”,而是因违法违规而受到行政监管处罚和刑事追究的风险。从西门子的经验来看,避免受到严厉的行政监管处罚和刑事追究,是其重建合规计划的主要目标。
再次,企业合规是为避免遭受重大经济损失和声誉损失而建立的管理体系。对于涉嫌违法违规的企业而言,一旦受到监管部门的调查和处罚,或者受到司法机关的定罪量刑,所可能带来的最严重后果并不是一般的罚款或者罚金,而是特定经营资格的限制或者剥夺。例如,一旦受到监管处罚或者刑事定罪,企业可能会失去上市资格,失去与政府部门的交易资格,甚至失去特许经营资格。我国各种行政法规对违规企业所作的最严厉处罚是两种“资格剥夺”,即被取消特许经营资格以及被吊销营业执照。按照美国司法部的说法,“起诉一个公司,就等于宣告公司死刑。”之所以作出如此断言,就是因为企业一旦受到监管处罚或者刑事定罪,就有可能被剥夺上述经营或交易资格,其不仅将蒙受重大经济损失,而且将面临社会声誉上的损失。为避免遭受这些经济损失和声誉损失,企业需要建立合规管理体系,有效防范企业或员工的违法违规行为,避免受到严厉的监管处罚或刑事追究。
最后,企业合规是一种特有的公司治理方式。传统的公司治理,无非是通过调整企业所有权和经营权的之间关系所建立的治理制度安排。其中,由全体股东选举产生的董事会,主要行使企业的决策权和监督权;由董事会遴选产生的高级管理层,主要行使企业经营权和执行权。企业为强化对财务工作的监管,还有可能设立具有相对独立地位的审计部门,甚至设立直接隶属于董事会的审计委员会。但总体而言,这种传统的公司治理结构缺乏一种独立的法律风险防控机制的存在。而企业合规机制的建立,在传统公司治理结构中引入了一种专门的风险防控机制。通过在董事会之下设立合规委员会,在管理层面设立首席合规官(CCO),在公司总部设置专门的合规管理部门,并在公司各个部门以及分支机构设立合规分支部门或合规人员,实现了至上而下的合规管理体系。
通过建立合规管理体系,企业建立了商业行为规范,为员工确立了行为准则,并建立了合规风险防范体系、风险识别体系和违规行为应对体系。通过对企业和员工经营行为的及时监控和处置,企业实现了自我监管、自我报告、自我披露和自我整改,可以实现对违法违规行为的有效预防、及时监控,对于制度上的漏洞和缺陷进行及时的堵塞和修补。在一定程度上,企业合规发挥了替代政府监管、防范企业及其员工出现违法行为的效果。
(三)企业合规的三大激励机制
企业合规作为一种公司治理方式,本身并不会自动地发挥作用,唯有建立外部的激励机制,这种公司治理方式才会得到激活。这些激励机制主要是来自行政法和刑法上的奖励制度,也就是企业建立了合规管理体系,就可以得到行政监管部门的宽大行政处理,或者受到较为宽大的刑事处理。有关国际组织也可以对那些建立合规计划的企业,予以较为宽大的制裁处罚。正因为如此,企业合规的就具有了三个方面的法律保障:一是行政监管合规机制;二是刑事合规机制;三是反制裁合规机制。这三个方面的合规激励机制的建立,意味着合规不单纯属于企业内部的治理方式问题,更不单纯属于企业承担道德责任问题,而成为行政法、刑事法乃至国家经济法的有机组组成部分。
所谓行政监管合规,是指行政监管机构针对那些违反行政法律的企业,所确立的以企业合规换取宽大行政处理的法律制度。在那些建立了行政监管合规机制的国家,对于已经建立合规管理体系的违法企业,监管部门可以与其达成行政和解协议,违法企业可以因此减轻或者免除行政处罚。而对于签署行政和解协议的违规企业,监管部门还有可能设置考验期,督促其在配合调查和自我披露的前提下,采取进一步改进合规计划的措施。在考验期结束后,企业满足了和解协议所要求的改进合规计划方案的,监管部门就可以不再对其采取进一步的行政执法行动。因此,行政监管合规已经替代了传统的“严刑峻罚”式的行政执法方式,成为行政监管部门督促违法企业自我监管、自我整改、自行堵塞管理漏洞的一种执法方式。
所谓刑事合规,是指对于那些已经构成犯罪的企业,刑事执法机关以企业建立合规机制为依据,对其做出宽大刑事处理的法律制度。传统上,对于构成犯罪的企业,检察机关要么向法院提起公诉,要么作出不起诉的决定。即便检察机关与涉案企业达成某种辩诉交易或者量刑协议,企业最终也会被追究刑事责任。但在那些确立了刑事合规制度的国家,检察机关对于已经建立合规计划的犯罪企业,可以根据企业建立合规计划的情况,来做出是否提起公诉的决定;对于已经起诉到法院的案件,涉案企业能够以建立合规计划为根据,作出无罪的抗辩,说服司法机关作出无罪决定;对于已经被定罪的企业,法院还可以将企业建立合规机制作为减轻刑事处罚的根据。不仅如此,检察机关对于已经建立合规计划的企业,还可以根据其犯罪的情况以及合规计划的有效程度,与其达成暂缓起诉协议或者不起诉协议,通过设置考验期,督促其在缴纳改革罚款的前提下,重建合规计划,并对其重建合规计划的进程进行持续不断的监管。在考验期结束后,检察机关根据企业履行上述协议的情况,可以作出撤销起诉的决定,案件最终以企业被宣告无罪而告终。可以看出,这种刑事合规机制将企业合规作为提起公诉、定罪和量刑的重要根据,也作为与企业达成和解协议的重要根据和内容,已经成为刑法确定企业刑事责任的根据,也成为刑事诉讼法所确立的一种替代性的、非正式的刑事诉讼程序。
所谓反制裁合规,是指那些建立合规管理机制的国际组织,对于那些违反该组织所确立的交易规则的企业,通过责令其建立有效合规计划,来换取撤销制裁和处罚的国际法律制度。在这一方面,最为典型的是以世界银行为代表的国际金融机构。对于申请贷款合作和参加项目招投标的企业,假如存在腐败或者欺诈等违反规则的情形的,世界银行等国际金融机构可以作出一系列程度不等的制裁。其中,对于大多数存在违反规则情形的企业而言,世界银行的制裁都是附解除条件的取消资格。这些企业要申请解除这类制裁,就要按照世界银行的要求,在考验期之内重建诚信合规计划并接受世界银行的监督和检验。在考验期结束后,企业建立了有效合规计划,并经审查验收合格的,世界银行就可以解除上述附条件的制裁。可见,这里所说的制裁合规,将企业建立合规计划作为解除国际制裁的条件,是国家组织对有关企业加强监管的重要方式,属于国家经济法律制度的重要组成部分。
三、企业合规是如何发生的?
企业合规最早出现在美国。早在20世纪60年代以前,合规就出现在美国的商业监管实践之中。当时,一些企业针对社会对公司不信任的情况,试图通过规范员工的行为来加强自我监管,督促员工依法依规行事。同时,一些行业协会也尝试制定合规指南,督促企业依法依规进行经营活动。当然,无论是企业还是行业协议,建立合规体系的目的并不仅仅在于依法依规经营,还在于有效地划分市场和控制价格。尤其是在政府部门逐步加强监管的情况下,企业和行业协会加强合规管理,还有助于防止政府部门过度加强企业监管。总体上说,这一阶段的企业合规基本上属于企业“自我监管阶段”。
20世纪60年代以后,随着一系列企业垄断丑闻的出现,包括通用电气、西屋电气在内的十几家公司通过划分市场、操纵价格和控制招标等方式来确保其市场垄断地位,这些公司先后受到美国刑事反垄断部门的调查。随后,先后有30余家被调查企业和40多人与检察机关达成认罪协议。除了这些公司被法院判处数百万美元的罚金以外,还有7名公司高管被判处有期徒刑。这些针对公司及其高管的刑事处罚,震惊了美国社会各界,也促使众多企业开始制定反垄断合规计划。在此过程中,监管部门对于企业合规的发展起到了较大推动作用。这是因为,只要企业建立了合规计划,并保证该计划得到严格的监督和诚实的执行,监管部门就可以据此认定企业没有主管过错,不对员工的违法违规行为承担法律责任。因此,自1970年以后,合规管理体系的建设在美国特定领域逐渐受到重视。这一阶段持续了近30年,可以被称为“企业合规的政府监管时代”。
在这一阶段,企业合规逐渐在企业反商业贿赂领域的得到高度重视。1977年,为严厉惩治日趋严重的美国公司海外贿赂行为,美国颁布了《反海外腐败法》。该法确立的反腐败条款和会计条款不仅对在海外运营的美国公司产生了较大的法律约束力,还可以适用于外国公司在美国的贿赂行为以及在美国设立分支机构的外国公司的海外贿赂行为。美国联邦司法部对违反该法的行为拥有刑事管辖权,而美国证券交易委员会则可以对此行使民事管辖权。
进入20世纪90年代以来,美国司法部和证交会对海外贿赂行为的查处力度显著加强,大批跨国企业因为存在各种商业贿赂行为而被定罪判刑。由于定罪给公司所带来的不仅是承担刑事责任,而且还严重损害了公司声誉,使公司失去商业机会和交易资格。因此,为避免如此严重的后果,很多公司开始重视内部的法律风险防范问题,避免海外贿赂行为的发生。
自此,美国企业合规制度迎来了新的发展阶段。这一阶段的主要特征是,企业合规从特定行业的管理机制,发展成为美国企业界普遍的公司治理方式。与此同时,从刑事执法部门加强合规监管开始,企业合规监管逐渐为几乎所有政府部门所接受,形成了刑事合规和行政监管合规并存的局面。
1991年,美国联邦量刑委员会制定了《组织量刑指南》,并将其编入《联邦量刑指南》的第八章,以此作为法院对构成犯罪的企业进行量刑的依据。该项指南确立了有效合规计划的一般标准。经过后来的修订,该项组织量刑指南所确立的有效合规计划包含以下几项要素:合规标准和程序,监管,与有效道德和合规计划一致的组织机构,教育与培训,审查与监控,激励与纪律处分机制,违规应对与预防,等等。
《组织量刑指南》的实施,对企业合规的发展带来了多方面的促进作用。一方面,为预防企业的违反违规乃至犯罪行为,执法机关在对企业施以罚金处罚的同时,还对那些建立合规计划的企业给予适当的奖励。另一方面,该项指南明确鼓励企业配合执法机关的调查工作,主动披露违法行为,及时惩处负有责任的员工,并根据公司的配合度来降低对企业的罚金幅度。这种刑事合规机制的发展,第一次对企业在加强合规管理方面产生了积极的激励作用,它们逐渐从员工遵纪守法的“被动观察者”,转变为督促员工依法依规经营的“积极倡导者”。可以说,《组织量刑指南》的实施,成为美国企业合规制度发展的“分水岭”。自此以后,美国企业普遍开始按照该项指南的标准来建立有效的合规计划,这被视为企业有效治理的重要标志。同时,美国联邦检察机关在推动企业合规发展方面发挥了越来越大的作用。它们不仅根据该项指南所设定的标准来作出是否提起公诉的决定,而且在与企业达成暂缓起诉协议或不起诉协议时,也会将企业是否按照指南要求确立合规计划作为重要的考量因素,并在达成协议后作为企业改进合规计划的标准模版。
美国企业合规的第四个发展阶段是“普遍监管阶段”。在2000年以后,美国爆发了大规模的企业欺诈丑闻,包括安然、世通、雷曼兄弟等在内的多个美国公司,因卷入欺诈案件而最终宣告破产。而作为当时全球第一大会计师事务所的安达信公司,也因为向监管部门提供伪造文件而受到刑事起诉,并随即陷入分崩离析的困境,不仅失去了从事证劵审计业务的资格,也失去了绝大多数客户,员工纷纷离职或者失业,造成了美国经济的严重动荡。
为应对这场危机,加强对企业的内部控制,美国2002年通过了《萨班斯—奥克斯法案》,这是自1930年以来对联邦证劵法所作的最大修改。在推动企业合规方面,该项法案的实施代表了美国治理上市公司基本理念的转变,也就是从简单的信息披露走向实质性的监管。其中,最主要的监管方式就是督促公司建立内部控制体系,要求公司管理层承担其建立、运行、评估、披露内部控制体系的责任。在该法案的影响下,美国上市公司会计监管委员会确立了企业内部控制体系的基本标准。这些标准要求管理层对内部控制体系的有效性进行评估,并对评估进行记录和报告。管理层的责任主要包括:记录与所有财务报表会计科目和披露事项认定有关的内控设计;测试相关的内控体系,须涵盖内部控制的全部要素;执行适当程序以获得充分的证据并保留相关记录,以便支持对内控体系有效性的评估;内部控制体系评估应由公司管理层负责实施,可向内部审计师、公司其他人员和第三方请求协助,但不可直接委派给外部审计师或其他任何第三方;遇有一个或多个严重不合格的情况,管理层就不应认定内控体系的有效性;管理层报告应披露所有严重不合格的情况。
2010年通过的《多德—弗兰克法案》,针对金融危机的发生,推动了企业合规制度的进一步发展。根据美国学者的分析,该项法案“更加重视公司内部的举报和合规程序”,督促企业不断改进合规计划,以便有效预防企业内部的违法违规问题。
随着美国企业合规制度的普遍实施,一些国际组织逐步接受了“通过合规进行公司治理”的理念,开始在相关领域发布有关企业合规的基本标准,以便指导企业建立合规体系。2005年4月,巴塞尔银行监管委员会发布了《合规与银行内部合规部门》,对金融企业构建合规部门确立了一般性的原则。该项文件对于合规风险作出了明确界定,要求合规应从银行高层做起,并确立了基本的合规原则。2010年3月,经济合作与发展组织(OECD)发布了《内部控制、企业道德及合规最佳实践指南》,对成员国和跨国企业提出了预防腐败行为的要求,并确立了有效合规的十二项准则。2014年,国际标准化组织(IOS)发布了《合规管理体系指南》,以国际法律文件的形式确立了有效合规的基本标准。该项合规文件的发布,标志着国际组织建立有效合规计划步入成熟阶段。
在美国合规制度的影响下,其他西方国家先后接受并采纳了合规治理机制。最初,企业合规是为了配合国际反商业贿赂的开展和合作而得到传播的。在美国《反海外腐败法》实施二十余年后,英国于2011年通过了《反贿赂法》,法国2016年通过了《萨宾第二法案》。这两个国家都在反腐败领域将企业合规确立为重要的刑事激励机制,并确立了有效合规计划的最低标准。在此前后的时间里,西班牙、意大利等国将合规机制写入刑法,使其成为对企业犯罪案件进行无罪抗辩的法定事由,也成为法院对涉案企业作出宽大刑事处理的法定量刑情节。这些法律都属于反海外腐败的法律,所确立的合规机制也都属于“反腐败合规”。这种着眼于防范企业商业贿赂犯罪的合规机制,一般被称为“小合规”,或者“狭义的合规”。不仅如此,发端于反腐败领域的企业合规,逐渐被扩展到反洗钱、反垄断、数据保护、出口管制等诸多领域,实现了企业合规适用范围的普及化。而最初作为刑法激励机制的企业合规,也逐渐为各国政府监管部门所接受,成为对涉案企业进行宽大行政处理的重要依据。其中,行政监管部门与涉案企业通过达成行政和解协议,督促并激励企业建立合规计划,这已经成为西方国家普遍采纳的新型监管方式。
一些国际组织在接受合规理念并发布有效合规计划的同时,还充当了“国际执法者”的角色,对参与该组织招投标项目的企业进行了合规治理,并将合规作为一种“国际执法激励机制”。在这一方面,最为典型的是以世界银行为代表的国际金融机构。作为一家国际金融组织,世界银行对于参加投标竞标的企业存在腐败、欺诈、串通、施加压力、阻碍等不当行为的,可以实施连带制裁和联合制裁。但是,涉案企业只要没有实施特别严重的违规行为,就有机会通过重建诚信合规体系来解除制裁。《世界银行集团诚信合规指引》是一部由世界银行发布的有效合规标准。被制裁企业唯有按照这一合规指引的要求,建立或者完善了企业的合规体系,才有可能获得解除制裁的机会。迄今为止,我国共有44家企业受到世界银行的制裁,其中大多数为实施了欺诈行为的国有企业。其中,湖南建工集团就曾因在参加世界银行的招投标项目时存在虚报业绩的行为,而受到“附解除条件的取消资格”的制裁。在为期三年的考验期内,该公司在世界银行的指导和监督下,按照这份《诚信合规指引》的要求,重新建立了企业合规体系,满足了世界银行的合规管理要求,最终于2017年被世界银行移出了“被制裁企业名单”。
四、企业合规还是企业高管合规?
在西方国家,企业合规机制已经有了半个多世纪的发展历史,如今已经成为一种越来越重要的企业治理方式。而在我国,企业合规机制作为一种舶来品,其引入的时间仅有十年左右的时间。直至2018年以来,我国行政监管部门才开始尝试在企业中全面推动合规管理体系的建设。正因为如此,对于企业合规的概念和性质,我们经常存在着一些认识上的争议,也存在着一些不准确的判断和界定。本着正本清源的考虑,我们有必要对企业合规的性质作出进一步的揭示,并对有关的分歧和争议作出简要的澄清。
一些研究者认为,合规不仅仅是指企业合规,而且还包括企业高级管理人员的合规。有人甚至直接将企业合规与“企业家的风险防控”划等号。尤其是在刑法领域,鉴于我国刑法确立了单位犯罪制度,并设定了近两百个单位犯罪的罪名,而刑法对这些犯罪均实行“双罚制”,也就是确立一个犯罪主体,但要对单位和直接责任人员同时科以刑事处罚。因此,一些学者直接指出,企业合规机制的建立,既要达到防控企业法律风险的效果,也要避免公司高管承担刑事责任。
这种将企业合规混同于企业家风险防控的观点,是不能成立的。这是因为,企业合规的本质在于通过建立一种防范、识别和应对违法违规行为的机制,在企业内部形成依法依规经营的惯例和文化。通过建立合规机制,企业为高级管理人员、普通员工和第三方的行为划定了行为边界,依据各自法律法规设定了权利、义务和责任,并督促高管、员工和第三方遵守法律法规,避免从事违法违规的行为,对违法违规行为承担各自的责任和后果。很显然,企业合规是企业对高管、员工和第三方等合作伙伴所展开的一种自我管理、自我防范和自我约束机制,属于企业内部治理的重要方式。企业合规所防范的当然是企业风险,而不是企业家的风险,更不是一般公司高管的风险。这是其一。
其二,企业合规机制的实施,可以有效地分割企业责任与员工、高管、第三方甚至被投资并购方的责任,最大限度地保护企业的利益。随着企业的发展,企业内部的治理结构变得越来越复杂,一些企业动辄拥有数以万计的员工,或者数以百计的分支机构。企业不仅面临着管理成本增加的问题,而且面临着企业因其高管、员工、第三方的行为而承担法律责任的问题。而在投资并购等经营领域,那些作为投资并购对象的其他企业,一旦存在着违法违规行为,也有可能使负责投资并购的母公司受到连累,使其承担不应有的法律风险。而企业一旦建立合规机制,就意味着企业要对员工、高管进行必要的合规培训,将其合规政策和程序向高管和员工进行持续不断的传达和沟通,必要时还要向高管和员工发放员工行为手册,与高管和员工签署合规承诺书。这样,一旦发生高管或员工的违法违规行为,企业就可以将上述合规管理行为作为免除企业责任的重要依据,从而将企业责任与高管和员工责任进行了有效切割。
与此同时,在发展诸如供货商、经销商、代理商等第三方合作伙伴的过程中,企业一旦建立合规机制,就要进行必要的合规风险评估,对潜在的第三方进行合规尽职调查,对存在违法违规风险的第三方进行必要的合规管理。这些第三方一旦出现违反违规行为,企业的这些合规管理行为,也可以成为其免除法律责任的重要依据。不仅如此,在开展投资并购等经营活动过程中,作为被投资并购方的企业,一旦存在违法违规行为,根据所谓的“继承责任原则”,就有可能使得负责投资并购的母公司承担相应的法律责任。为避免承担如此大的法律风险,作为母公司的企业在投资并购之前,就应按照企业合规的机制,对被投资并购的企业进行合规风险评估,展开合规尽职调查,进行必要的合规风险管理。由此,被并购企业一旦出现违法违规行为,母公司就可以合规管理行为为依据,为自己进行必要的合规免责抗辩了。
从上述合规风险防控的角度来看,企业合规的本质是通过将企业责任与高管责任、员工责任、第三方责任和被投资并购方的责任进行有效的切割,最大限度地保证企业不因上述各方的违法违规行为而承担法律责任,从而有效地避免法律风险。这种企业合规不仅不等于企业家的风险防控,而且还将企业责任与企业家的责任进行了必要的区分。
其三,从企业应对合规风险的角度来看,企业合规包含了自我披露和自我内部调查的因素,而这种应对经常包含了对从事违法违规行为的高管和员工进行惩戒的内容。既然如此,企业合规机制的实施,就不仅不会加强企业家的风险防控,反而有可能带来追究企业家法律责任的后果。
企业一旦出现违法违规行为,就有可能面临着监管部门的调查和处罚。为避免受到更大的损失,那些建立合规机制的企业,通常都会在配合监管部门的基础上,展开独立的内部调查,不仅要查明企业违法违规的事实和企业合规机制的缺陷,而且还要查明造成企业违法行为的直接责任人员,并对这些责任人员作出纪律惩戒,必要时还要将那些负有责任的高管送交司法机关,使其被追究法律责任。甚至在有些情况下,为获得更大的奖励,企业还有可能对监管部门根本没有掌握和违法违规情况进行主动披露,由此可能牵连出更多的员工和高管受到惩戒。因此,企业合规机制的实施,不仅不会减免企业家的法律风险,反而可能会带来惩戒负有责任的高管,甚至追究企业家法律责任的后果。
五、企业合规是否等于“内部控制”?
很多企业都设有内部“内控部门”,专门从事风险防控工作。在推进合规体系建设过程中,一些国有企业将企业合规等同于风险防控或者内部控制,甚至主张将合规部门设置在“风控部门”之下。那么,企业合规是否等于“内部控制”呢?
其实,企业合规本质上是对合规风险的防控体系。研究合规的性质,需要厘清合规风险的性质,也需要清晰界定合规风险与其他公司风险的关系。一般而言,公司治理结构的基本目标是要解决两个关系:一是股东和经营者的关系,亦即所有权和经营权的关系;二是大股东和中小股东的关系,经济学中的“隧道效应理论”,探讨的就是控股股东侵害中小股东利益的现象。而如何保护中小股东权益,属于现代公司治理的一大难题。
那么,在公司治理层面上,企业究竟要防范什么样的风险呢?在企业所面临的诸多风险之中,合规风险究竟处于什么样的地位呢?其实,很多企业负责人由于没有正确认识公司治理风险的概念和种类,因而也就难以意识到合规风险的重要性。例如,有人把公司治理风险分为投资风险、并购风险、融资风险、销售风险、市场风险、产品质量风险、技术风险、知识产权风险、用工风险等数十种。有人甚至将合规风险视为上述诸多风险的一种。这种观点显然没有抓住重点,也没有认识到合规风险的本质。一般而言,企业会面临三个方面的风险:一是经营风险;二是财务风险;三是合规风险。下面简要分析一下这三种风险的关系。
第一种经营风险也被称为“业务风险”。企业在开展投资并购、市场销售、质量保障等各种业务活动过程中,所面临的投资得不到回报、企业无法营利、面临生存困难的风险,都可以被称为经营风险。经营风险需要依靠公司治理结构中的业务治理来进行有效的防控、识别和应对。公司首席执行官(CEO)是经营风险治理的第一责任人,由其所率领的执行团队是为企业创造业务收益的骨干力量。但是,经营风险属于经济学研究的范畴,企业要规避经营风险,就需要通过研究投资经营全过程,按照市场和经济规律,寻找解决问题的对策。
第二种风险是财务管理风险。这主要是指由于在财务管理上存在混乱、舞弊、贪腐等行为,企业遭受经济损失,无法实现营利目的,甚至濒临破产的风险。一个良好的现代财务管理制度包含非常复杂的环节,公司除了配置首席财务官以及专门财务管理部门以外,还要设立审计机构对企业财务管理进行必要的监督。有些企业甚至在董事会之下设立相对独立的审计委员会,以提升审计部门的权威性和独立性。可以说,财务管理是独立与经营管理活动的独立治理体系。
第三种风险就是合规风险。合规风险既不同于经营风险,也不同于财务风险,是指企业因为在经营中因为存在违法违规乃至犯罪行为,而可能遭受行政监管部门处罚和司法机关刑事追究的风险。根据前面的分析,合规风险可以分为监管处罚风险、刑事风险和国际组织制裁风险等三种。合规风险一旦得不到控制,企业除了被追究法律责任以外,还有可能被剥夺特许经营资格,甚至被吊销营业执照,从而使企业遭受经济损失乃至声誉损失,由此引发的“雪崩效应”会使企业承受灾难性的代价。
由此可见,企业建立合规机制,并不是防控一般意义上的“风险”,而主要是因违法违规行为而受到监管处罚和刑事处罚的风险。这种合规风险不仅不同于企业的经营风险,也与企业的财务管理风险具有实质性的区别。正因为如此,在那些建立有效合规计划的企业中,在董事会领导之下,同时并存着业务经营、财务管理和监督以及合规管理等三大公司治理体系,三者分别防控相应的经营风险、财务管理风险以及合规风险,它们相互独立,相互制衡,各自具有较高的权威,在公司治理中发挥着不同的作用。正因为如此,企业合规并不是一般的“风险控制”,而是一种具有“合规风险控制”职能的治理体系。企业合规也不等于一般意义上的“内部控制”,而属于针对企业合规风险所建立的内部治理体系。
六、合规是否等于“法律事务”?
在建立合规管理体系过程中,很多企业都将合规管理部门设置在“公司法律部门”之下,甚至安排公司法务总监或总法律顾问担任首席合规官(CCO)。据此,有人认为,所谓企业合规,就等于公司的法律事务,要对企业所遇到的全部法律风险承担防范、识别和应对责任。有人甚至指出,企业建立合规机制,除了要防范行政监管风险、刑事风险和国际组织制裁风险以外,还要承担民事法律风险。据此,有人还提出了所谓“民事合规”的概念。还有人认为,企业因别人实施违反或者犯罪行为而遭受经济损失或其他损失的风险,也属于企业合规所要防范的“法律风险”。因此,企业合规机制的实施,还要注意防范受到犯罪行为侵害的风险。
假如企业合规就等于所谓的“法律事务”,或者等同于“法律风险防控”,那么,企业普遍设立的法律事务部门就足以担当这种防控法律风险的责任了,何必还要设置专门的合规管理部门呢?更何况,从西门子重建反贿赂合规计划的经验来看,该公司原本就设立了法律部门,为什么还要重建合规组织体系和合规管理机制呢?而从中国中兴通讯公司重建出口管制合规体系的经验来看,该公司早就设立了法律事务部门,为什么在接受美国司法部、商务部和财政部的出口监管调查之后,还要重建出口管制合规体系呢?
上述企业重建合规计划的经验显示,企业合规并不等于一般意义上的法律风险防控。一个企业从其成立之日起,经过时间不等的经营过程,直到被吊销营业执照、宣告破产或者自行解散之日为止,要受到多种法律和法规的规范和约束,也面临着难以计数的法律风险。假如我们将“法律风险”界定为因违反法律法规而受到处罚或遵守损失的风险,那么,企业几乎在每时每刻以及在每个经营管理环节,都会面临着这样的“法律风险”的。例如,企业一旦违反民事合同法,存在违约行为或者合同欺诈现象,就有可能被别人提起民事诉讼,并进而承担民事责任。又如,企业一旦违反劳动法,侵犯了员工的合法权益,也有可能被诉诸司法程序,承担民事赔偿责任。再如,企业受到其他企业或者个人的违反犯罪行为的侵害,如被采取诈骗行为,被严重侵害权益,被内外勾结的人采取了贪腐或者舞弊行为,等等,因此受到严重的经济损失。
那么,企业所遇到的上述“法律风险”究竟是不是“合规风险”呢?企业合规是不是要防范所有这些法律风险呢?答案是否定的。其实,在各种法律风险之中,对企业具有致命影响的还是企业因为违反法律法规而受到监管处罚和刑事追究的风险。例如,企业因为实施商业贿赂行为,受到了反不正当竞争部门的调查,或者受到刑事执法机关的立案侦查;企业因为接受腐败分子或恐怖分子的融资,违反了有关反洗钱的法律,因此受到金融监管部门的调查,或者受到检察机关的起诉;企业因为违反有关网络安全管理法律,或者存在侵犯个人信息的行为,受到有关监管部门的调查,或者受到法院的刑事审判;企业因为违反有关出口管制的法律,而受到监管部门的行政处罚,或者被追究刑事责任;企业因为排放危险废物,造成污染环境的法定后果,因此被环境保护部门采取行政处罚,或者被法院予以定罪……
这种由监管部门启动的行政执法程序一旦启动,企业有可能被作出严厉的行政处罚;这种由刑事执法机关启动的刑事诉讼程序一旦启动,企业就可能被宣告有罪,并被追究刑事责任。甚至在由世界银行等国际组织所发动的制裁程序中,这种制裁一旦实施,那么,企业将会遭受重大损失。而上述行政处罚、刑事追究以及国际组织制裁所带来的最严厉后果,莫过于企业“被剥夺特定资格的后果”。根据前面的分析,这种资格剥夺可以是企业失去特定经营许可资格,也可以是丧失贷款和参加投标的资格,还可以是被吊销营业执照,从而被依法宣告为“企业死亡”。
正因为上述监管制裁、刑事追究和国际组织制裁会给企业带来如此严重的后果,因此,我们才将受到这些特定处罚视为一种特殊的“合规风险”,并将其与一般的法律风险区别开来。也正是为了防范这种合规风险,企业才需要设立合规委员会、首席合规官、合规部门等合规组织,并在发布商业行为准则和员工行为手册的前提下,建立专门的合规风险防范、识别和应对体系。由此可见,企业合规并不是一般意义上的“法律风险防范”,而是专门针对行政监管处罚风险、刑事法律风险以及国际组织制裁风险,所建立的自我监管、自我报告、自我预防和自我整改的公司治理体系。
当然,无论是中国企业还是西方企业,大都没有将合规组织与原有的法律事务部门完全分离开来,而是由公司总法律顾问或法律总裁兼任首席合规官,或者将合规部门设置在法律事务部之下。但这并不意味着合规部门所承担的是一般意义上的法律风险防控工作,而恰恰显示出合规部门所承担的“合规风险防控”,既是整个“法律风险防控”工作的组成部分,也与一般的“法律风险防控”具有实质性的区别。对于一个将合规部门设置在法律部门之中的企业而言,合规部门所承担的主要是防范合规风险的工作。至于代表企业以原告或者被告的身份,参与民事诉讼,出席法庭或者仲裁庭,或者以受害单位的名义,启动行政执法程序,或者提起刑事控告,这些法律事务应当由合规部门以外的其他法律事务人员来加以承担。
七、企业合规究竟是道德问题,还是法律问题?
企业合规作为一种公司治理方式,究竟是道德问题,还是法律问题呢?之所以要提出这一问题,是因为不少研究者对此存在着分歧和争议:有人认为,企业合规本质上是道德问题,因为它无非是企业进行自我管理和自我建章立制的问题,迄今为止也没有任何国家在基本法律中确立合规机制。与此同时,企业合规机制的实施,最终还是依赖于企业形成一种依法依规经营的文化。而这种文化本身就属于道德问题或者企业伦理问题,没有上升为法律层面的问题。但是,也有人认为,企业合规不是道德层面的问题,而仅仅属于属于法律问题。这是因为,无论是西方国家还是中国,在行政法中都确立了以合规换取宽大行政处理的激励机制,尤其是确立了以合规为基础的行政和解协议制度。而西方国家还在刑法中确立了以合规换取宽大刑事处理的刑事合规机制,并在刑事诉讼法中确立了对合规企业的暂缓起诉协议或不起诉协议制度。这显然说明,企业合规已经被纳入行政法律和刑事法律之中,成为国家法律体系的组成部门。
这两种观点貌似各有道理,但都有失偏颇。从根本上说,这种争论反映出研究者对于企业合规的概念没有进行全面的了解和掌握。按照前面的分析,企业合规是一种非常复杂的公司治理方式,具有多重的含义。从其积极含义来看,企业合规似乎就是企业“遵纪守法”的代名词,与自然人一样,被赋予依法依规进行经营活动的义务。这种企业合规似乎难以被归入“法律制度”的范畴。与此同时,从其消极含义来看,企业合规属于企业为避免因违法违规行为而遭受监管处罚或者刑事处罚所建立的公司治理方式。为避免遭受经济损失以及其他损失,企业在内部建立了旨在防控、识别和应对合规风险的管理机制。这似乎也不属于典型的法律问题,而带有“道德问题”的色彩。更何况,在企业合规制度发展的早期,众多西方企业一度将企业合规管理部门直接称为“道德与合规部”,甚至将企业合规的负责人命名为“首席道德与合规官”。而企业合规机制的实施,确实也要形成一种依法依规经营的文化,由此还提出了所谓“合规文化”的概念。这些都显示出,企业合规的确有其道德问题的性质,那种将企业合规仅仅视为法律问题的观点,是有失偏颇的。
但是,企业合规是否属于单纯的道德问题呢?答案也是否定的。常识告诉我们,假如企业合规仅仅属于道德问题,那么,为什么在行政法中要确立行政监管合规机制和行政和解协议制度?为什么在刑法中要确立刑事合规机制?为什么在刑事诉讼法中要确立暂缓起诉协议或者不起诉协议制度?即便在我国,随着企业合规机制逐步被确立在企业管理过程之中,行政法律开始确立行政执法和解制度,使得企业建立合规机制可以成为达成行政和解的依据,同时开始确立合规抗辩制度,使得企业可以建立合规计划为根据,将企业责任与员工责任加以分离。这也足以说明,我国在行政法律中已经引入了合规激励机制,初步形成了行政监管合规的制度框架。至于刑法和刑事诉讼法,目前的确尚未将合规纳入激励机制中,暂时无法使合规成为司法机关对企业作出宽大刑事处理的依据。但根据西方国家建立企业合规制度的经验,这种刑事合规迟早会被引入我国刑事法律之中。
而从西方国家行政监管和刑事执法的经验来看,对于那些没有建立合规计划或者合规计划存在漏洞的企业,监管部门和刑事执法部门会作出严厉的处罚,追究其法律责任。而对于建立有效合规计划的企业,监管部门则有可能与其达成行政和解协议,刑事执法机关也有可能与其达成暂缓起诉协议或者不起诉协议,责令其重建合规计划。即便对涉案企业作出行政处罚或者刑事处罚,有关部门对建立合规计划的企业,也会予以宽大处理。这显然说明,企业合规已经被行政法律和刑事法律所吸收,成为有关部门对企业作出行政处理和刑事处理的重要依据。很显然,在西方国家,企业合规早就属于行政法律和刑事法律所共同确立的法律制度,成为监管部门对企业作出宽大行政处理的依据,也成为刑事执法机关对企业作出宽大刑事处理的理由。
不仅如此,企业合规的发展经历了从道德治理走向法律治理的过程。在20世纪六十年代,直至90年代,西方企业已经开始展开了合规管理体系的建设。这一阶段的企业合规机制,基本属于企业内部自我管理、自我建章立制的问题,无论是行政监管部门还是刑事执法机关,对于企业合规没有作出法律规定。可以说,这一阶段的合规制度基本上不属于法律问题,而带有道德问题的性质。但自20世纪90年代以来,随着企业违法违规情况的愈加普遍和严重,对于企业加强监管和治理成为西方国家普遍关注的问题。特别是20世纪初期,随着安然、世通和安达信等企业欺诈丑闻的爆发,加强对企业(特别是上市公司)的监管,尤其是通过督促企业建立内部控制体系来督促其依法依规经营,已经引起整个西方社会的普遍重视。自此以后,企业合规作为一种公司治理方式,再也不是企业自由选择的道德治理问题,而成为企业为避免最严重损失而不得不采取的危机应对方式。而为避免监管部门和刑事执法机关滥用自由裁量权,西方国家在行政法和刑事法中确立了有效合规的标准,企业与有关执法机关达成和解协议的条件,甚至确立了对于合规企业予以宽大处罚的标准和幅度。合规制度的发展历史也足以证明,随着行政法和刑事法的发展,企业合规早就从最初的道德治理方式,转化为当下的法律治理方式,成为监管部门从外部督促企业自我监管、自我整改的法律依据,也成为刑事执法机关从外部督促企业建立防范合规风险、识别违规行为以及应对监管调查的法律依据。
因此,企业合规既包含着依法依规经营、避免遭受损失的道德意义,同时也成为行政监管部门作出宽大监管处罚的依据,以及刑事执法机关作出宽大刑事处理的理由。这当然意味着企业合规既具有道德问题的属性,也属于一种重要的法律制度。
八、结论
从历史的角度看,企业合规是针对企业出现的违法违规行为而确立的一种公司治理方式。最初,企业合规属于一种由企业和行业协会推行的内部治理方式。后来,随着政府监管力度的加强,企业合规从原来的依法依规经营,变成了在行政监管激励和刑事激励下的企业治理方式。在诸多国际组织的推动下,企业合规还逐渐成为一种新的国际公司治理方式,不仅为一些国际公约所确立,而且还成为国际组织督促企业改变经营方式的执法激励机制。因此,企业合规不仅仅具有企业依法依规经营的含义,还是企业自我治理、自我监管和自我整改的治理方式,更是一种在企业陷入执法调查时获得宽大处理的激励机制。
迄今为止,企业合规刚刚被引入我国行政监管体系,一些企业开始了建立合规体系的努力,一些法律服务机构也尝试为企业提供合规服务。但是,假如不对企业合规的含义和性质作出准确的定位和认识,那么,无论是监管部门还是企业、法律服务机构,都有可能偏离企业合规的发展方向,甚至因为无法建立有效合规计划,而给企业造成更大的合规风险和经济损失。
原则上,企业合规视为避免企业自身合规风险而建立起来的治理体系,它尽管有时会使企业高管获得收益,但从本质上不是“保护企业高管”的管理机制。有时为维护企业的最大利益,实现企业责任与员工责任的有效切割,企业甚至还要对直接实施违法违规行为的高级管理人员进行纪律惩戒,交给执法部门和司法机关予以处理。与此同时,企业合规也不是一般意义上的“风险防控”,甚至也不等于笼统的“法律风险防控”。企业合规对于经营领域的业务风险和内部管理中的财务风险没有防范效果,也不同于一般意义上的“法律风险防控”,而是针对行政处罚风险和刑事法律风险所建立的专门公司治理机制。对于那些参与国家组织招投标项目的企业而言,企业合规还有助于防止那种国际执法处罚的风险。不仅如此,对于那些存在违法违规行为的企业而言,建立合规机制,不仅仅属于一种道德义务,更属于一种法律义务,因为国家法律和行政监管法规中确立了强制合规的制度,行政法和刑法开始将企业合规确立为一种执法激励机制,不履行合规管理义务,企业就有可能受到行政处罚或者被追究刑事责任,并因此承担诸多方面的损失。从道德问题变成法律问题,这恰恰是企业合规得到普遍确立的制度保障。