「中国合规网新年致词」让合规回归本源、用合规创造价值

今年，我们做了不少合规管理体系建设的项目，也做了很多培训、同行交流。我们同时也发现一个很有意思的现象，那就是合规这个词的语义没有变得更加清楚，反而变得更加朦胧。很多人还在追问一个也许是合规界的终极问题：什么是合规？合规有什么用？

关于什么是合规，我们也许可以从以下四个维度来解读。在解读完毕之后，我们也许对合规会有什么用会有一个更加清晰的认识。

这是对合规最直白、最本能的理解。

这里所说的法律、法规既包括狭义上的法律，比如立法机构所颁布的法律，行政机关所颁布的强制性的行政法规；也包括广义上的法律，比如党和国家的大政方针，政府机关颁布的指引，甚至是当事人之间的私法——合同与协议。

合规管理是用科学的管理手段和方法降低企业（或其他组织）所面临的合规风险，力争做到不出现重大违规事项且不会引发重大的，乃至恶性的民事、行政及刑事责任。

海恩法则是20世纪30年代美国工业安全的先驱代表海因里希提出的一个经典法则。他认为，每一起造成严重损失的重大事故背后，必然有29次轻微事故和300起先兆以及1000起事故隐患，为了避免重大事故的发生，企业必须事先做好排查工作，从而做到防微杜渐。海恩法则用合规语言来表达就是识别、评价与控制合规风险。具体而言，为了做好合规管理工作，我们要把企业所面临的风险以及引发风险的风险源一一识别出来，并在相应的评价维度下进行评价，从而得出各个风险的风险值，最后按照风险值的大小把风险按轻重缓急进行排序并予以相应地控制。

从第一维度上升到第二维度已经不仅仅是法律人做法律的事，而是要法律人做管理的事；做合规管理的不仅仅是法律人，还包括三道防线上所有的职能岗位或者部门。

做好合规管理要在知识、信息和技能上做到三足鼎立。

如果说知识（比如关于合规管理或标准的相关知识）和信息（比如目标公司所在的行业信息和企业信息）比较容易理解，那么我们这里所说的技能是什么？我们这里所说的技能是全方位的，它既包括我们所重新定义的聴（繁体字的听——想听大王那样，眼睛目不转瞬地看着对方，一心一意地听）、说（字正腔圆地演讲、铿锵有力地培训、苦口婆心地劝说）、读（读心、读懂白纸黑字背后的利益）、写（抽丝剥茧地写、通俗易懂地写、详略得当的写）。

这里所说的技能还包括我们不经常用到的“共情”与“边界”。

“共情”(Empathy)，也称为神入、同理心，也有译作同感、同情等。是人本主义创始人罗杰斯提出的，是指体验别人内心世界的能力。包含三个方面的含义：(1) 借助对方的言行，深入对方内心去体验他的情感、思维；(2)借助于知识和经验，把握对方的体验与他的经历和人格之间的联系，更好地理解问题的实质；(3)运用“共情”技巧，把自己的共情传达给对方，以影响对方并取得反馈。通过共情，你能够迅速地缩小与对方之间的心理距离，从而建立共鸣，是职场人士的基本沟通技能之一。

“边界”（Boundary）, 也称心理边界，就是自我存在所需要的空间、时间、自我意志、自我责任、个人主权、情感距离、物理距离，所以既有物理的需要也有精神的需要，还有责任的问题，自我的存在就意味着心理边界的存在。就象主人修建的一座房子一样，有卧室，有客厅，有进户门，有房子周围的栅栏，有大门，不是任何人都可以在任何时候进入你的领地的。在合规管理的场景下，一个企业（和其他组织）最本源的价值和利益也是不容侵犯的，同时也是划定边界来保护的。

至于“共情”与“边界”如何作为一个技能来使用，我们不妨在这里用这个测试题来考考你，看您是否做得出来。一个朋友，她和她的先生都是职业心理咨询师，不过他的功力要比她的功力强很多。最近，这位朋友带着她们家刚养的一只小狗在小区里散步，碰到一个邻居，是个老太太。这个老太太看见她牵了一条狗，就说: 哎呀，你家养狗了。养了狗家里味道很大，到处都是狗毛，你们怎么受得了的？这位朋友说：不臭啊，还好。老太太说：哎呀，你们养狗的人不觉得，我们不养狗的人一到养狗的人家，就闻到一股浓浓的狗味。这位朋友当时有一种说不出来的尴尬，但也一时想不出话来应对，觉得特别憋屈。回家后和先生交流。她先生说，你只要说两句话就可以了。

请问：你觉得应当说哪两句话？（要求：用一句话“共情”让对方从感情上放弃“攻击”；用另一句话划定“边界”让对方从理智上放弃“攻击”）

合规管理是一个系统工程。对此，合规管理应当是成体系地做，而不是一鳞半爪，头痛医头、脚痛医脚。至于如何成体系地建立合规管理，或者如何建立合规管理体系，我们可以参照ISO国际标准ISO 19600:2014 Compliance management systems -- Guidelines以及相应的国家标准《合规管理体系指南》。

不成系统地搞合规管理不仅是不科学的，而且会出纰漏，甚至不堪一击。风险有多大，纰漏就有多大，严重的会导致重大危机！我们以新冠疫情为例，它给我们的教训不谓不深刻——不成体系地管控风险，即使建立了“全国常规疫情报告系统”，这个系统在新冠肺疫面前最终还是一个聋子的耳朵摆设。

“全国常规疫情报告系统”早在2003年5月10日就见诸报道：“中新社北京五月九日电(记者孙丽霞)记者今天从中国疾病预防控制中心了解到……‘全国常规疫情报告系统’的建立方案已经纳入国家疾病一级反应体系的整体构架中。在这个系统建立后，中心对全国常规性疫情的监控将可以从实时监控过渡到主动监控，中心将可以掌握全国各医院的病人入院、出院状况，并进行监控、分析”。

从2003年起经过近6年的建设，该系统已经基本成型。据中国疾病预防控制中心（CDC）于2009年5月2日在其网站上披露：“2003年SARS爆发以后，中国政府加强了公共卫生信息系统的建设。利用现代通信手段，在全国建立统一、高效、快速、准确的疫情报告系统;形成纵横贯通的信息报告网络。覆盖37种法定传染病(目前已增至39种)、全面实现了以互联网为基础的实时疫情报告工作模式。”但遗憾的是，该信息报告网络的学术价值似乎大于其应当具有的“疾病预防控制”价值。

据新华社北京2020年1月31日电（记者王秉阳、屈婷），中国疾病预防控制中心于31日发布了题为《中国疾病预防控制中心关于在新英格兰医学杂志发表文章的说明》的文章。文章提到，题为《新型冠状病毒感染的肺炎在中国武汉的初期传播动力学》的论文在新英格兰医学杂志的发表时间为1月29日。论文是根据截至2020年1月23日上报的425例确诊病例（包括15名医务人员）所做的回顾性分析，所有病例在论文撰写前已向社会公布。论文中提及的15名医务人员感染病例，分别由国家卫健委高级别专家组组长钟南山院士于1月20日晚、武汉市卫健委于1月21日凌晨向社会公布……论文提出的“2019年12月份即在密切接触者中发生了人际传播”的观点，是基于425例病例流行病学调查资料做出的回顾性推论。

“回顾性”推论对于一般的学术论文来说是可以接受的，但由中国疾病预防控制中心这个本应当对流行疾病作出预防与控制的政府机构来说仅有“回顾性”的结论是不够的，其应当在对风险予以识别、评价的基础之上，作出“前瞻性”的分析，并提出切实有效的控制措施来管控风险。按照上面的《合规管理体系指南》所提供的流程图，CDC在“3.5与3.6”这两个环节出了问题。

如果说CDC做了风险的识别与评价并及时地做出了前瞻性的分析并上报，但相关机构没有采纳该分析，那说明CDC虽建立了“全国常规疫情报告系统”，但缺失实施这个独立系统的权威性和独立性，对照上图，在“4.1”这个环节出了问题。应当给予CDC相应的权威性和独立性，但没有，对照上图，在“3.4”治理环节出了问题。

我们从上面的初步分析中可以看出，新冠肺疫不是CDC一家能够预防与控制，它涉及到与流行病的预防与控制相关的方方面面，从这个角度来说，“流行病的预防与控制”合规体系的地域范围和组织范围在最初设定的时候范围太窄，那么，对照上图，体系在“3.3”环节出了问题。

“流行病的预防与控制”合规体系在其他方面也存在问题。当然，我们对问题的剖析并不是抹杀我们在抗击新冠肺疫中所取得的成绩——发现和解决问题（见上图环节“9”）、总结经验与教训（见上图环节“8”）恰恰也是合规管理体系所必须解决的问题——一个好的合规管理体系的建设不可能一蹴而就，它一定是一个迭代更新的结果。如果没有先知先觉，亡羊补牢未为晚矣。在这一点上，美国的国土安全部的故事就非常值得我们借鉴。

美国之所以成立这个国土安全部是因为911袭击事件发生之前，美国相关政府部门各自为战，相互扯皮，导致与国土安全相关的风险识别、评价与控制各环节漏洞百出。911袭击事件发生之后，小布什总统痛定思痛提出并设立了这样一个综合性的机构并赋予其相当高的职权——美国国土安全部部长是美国总统内阁的成员之一。这个新成立部门的辖下机构主要转移自其他原有的部门，其中包括海岸防卫队、联邦保护局、海关及边境保卫局（包括边境巡逻）、特勤局以及紧急事务管理署。与该部相关的《国土安全法》第507条特别对联邦紧急事务管理总署委以重任来执行“借着带领并支托国家执行其以全面性风险管理基础的紧急应变管理计划来减少生命及财产丧失并且保护国家免于所有的危险威胁的任务”。

我们也经常被问及这个问题：我们平常所说的合规管理是企业的合规管理，但本文所说的中国疾病预防控制中心（CDC）和美国的国土安全部是政府权力机构，难道它们也要做合规管理？也可以参照《合规管理体系指南》来管控风险？答案是对的。

《合规管理体系指南》是围绕风险的识别、评价与控制来建立合规管理体系，这一点无论是对企业还是对政府权力机构而言都没有什么两样。对此，《合规管理体系指南》里所提及的标准适用主体“组织”是“为实现目标，由职责、权限和相互关系构成自身功能的一个人或一组人”，其“包括，但不限于个体经营者、公司、集团、商行、企事业单位、权力机构、合伙企业、慈善机构或研究机构，或上述组织的部分或组合，无论是否为法人组织，公有的或私有的”——“权力机构”赫然在目。从这个角度来说，合规不仅仅是合规端的事情，也是监管端的事情——监管端也得合规，否则会出现合法未必合规的现象！

合规讲的是底限——不能触碰红线、不能踩地雷！《指南》指出合规是“履行组织的全部合规义务”。从这个角度来说，合规是对法律、组织的规章制度等所规定的义务的履行，违反义务的后果就是责任和惩罚。所以合规之“规”是我们行为规范的底限。我们做一个形象的比喻：当兵不能当逃兵，这是士兵职责的底限，突破了这个底限就要被处罚。

但合规文化没有上限！对于一个组织和企业来说，光规定行为规范的底限是不够的，同样拿“当兵不能当逃兵”来做比喻，一个好的军队不能光有不当逃兵的士兵，还必需有士兵勇敢作战——诚所谓保家卫国，唯有牺牲多壮志！一个军队除了要有“当兵不能当逃兵”的合规底限之外，还必须拥有“敢教日月换新天”的伟大情怀，才能战无不胜，而这些无论怎么崇高都不过分的伟大情怀，既是合规文化的一部分，也是一个好的合规管理体系所应当拥有的全息影像。

所以合规有底限，但合规文化却灿若繁星、没有上限！合规要解决底限问题、扎牢篱笆、少出问题，甚至不出问题，但以诚信为本的合规文化还应当彻底解放并充分发挥诚信的洪荒之力，让合规文化成为生产力。当然，要做到这一点是一个系统工程（这个系统工程不仅仅是合规的问题，还有其他问题比如公司治理），但是，如果我们的合规着力点永远停留在“当兵不能当逃兵”的状态，进而忘记了弘扬合规文化，更为糟糕的是我们可能都不再相信诚信与道德的力量时，要想做好合规工作无疑是一个不可能完成的任务。

那些过去在合规上栽了跟头的企业，往往就是在合规的这四个维度上出了大问题:

-我们有企业早就上了“美帝”所发布的“中国行动计划”的黑名单，但该企业没有能够识别出中国企业相关个人在美帝被抓捕或在与美帝有引渡条约的国家被抓捕的风险，贸然让公司高管飞经加拿大;

-我们有巨无霸公司的实际控制人因为出言不当而导致公司上市不能（或者延缓）;

-我们有公司在上市前被曝光有员工行贿、数据治理不当而导致公司上市被拒；

-我们有公司在一带一路投资项目上，错把外国当中国，搞强拆还涉嫌权钱交易被美帝纳入SDN List;

-我们还有银行在境外的机构不重视合规管理，接到洗钱举报时置若罔闻，导致公司被重罚，还有的银行因为涉嫌洗钱导致其境外员工锒铛入狱；

-我们很多民营企业明明知道自己的业务模式有很多避不开的风险，但还心存侥幸心里，根本没有风险筹划的意识和举措。

如果这些公司能够静下心来把那些前车之鉴所实证了的风险（包括政治和政策风险，而不仅仅是法律风险甚至刑事风险）识别出来， 实实在在地 做好合规管理工作 ，它们 很多的合规风险也许是可以避免的。

从今天开始，如果还有人问你什么是合规时，你也许就可以告知他：合规有“四个维度”：

-合规是合乎法律、法规的规定；

-合规是一门管理科学；

-合规是合规管理体系；

-合规是合规文化 。

如果还有人问你合规有什么用，你也许就可以用上面的那些例子来做诠释！

2020年即将过去，2021年就在转角处，但愿我们在新的一年积极努力，在“合规”四个维度的基础之上把合规做好，让合规回归本源、用合规创造价值！让我们共勉！