一、合规”的解释
1.权威解释
合规,是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求。
2.通俗解释
如果把企业比作一个正在行驶的司机:
合:就是“照着做”、“不出格”。
规:就是“路上的线、头顶的灯、手里的说明书以及心里的道德底线”。
通俗解释:合规就是企业既要守“国法”(不闯红灯、不超速),也要守“家规”(遵守公司内部的操作手册),还要讲“公德”(不往车窗外扔垃圾,不噪音扰民)。合规不仅仅是让“交警”(监管机构)不贴罚单,更是为了让“乘客”(投资者)放心、“路人”(社会公众)不指责,确保这辆车能长期平稳地开下去,不会因为一次违规就被吊销驾照或发生事故。
二、“规”的范畴
第一层:法律法规等强制性要求(硬约束)
定义:具有国家强制力,必须遵守,违反即面临行政处罚、刑事责任或民事赔偿。
|
子类别 |
具体内容 |
企业实务案例 |
|
国家法律 |
全国人大及其常委会制定的法律 |
《网络安全法》:要求企业必须落实等级保护制度。如果一家互联网公司未按规定留存网络日志(留存不足6个月),即属违法。 |
|
行政法规 |
国务院制定的条例、规定 |
《保障农民工工资支付条例》:建筑施工企业必须建立农民工工资专用账户。若某建筑公司挪用该账户资金导致拖欠工资,即违反行政法规。 |
|
部门规章/监管要求 |
部委、监管机构发布的命令 |
《金融机构合规管理办法》(国家金融监督管理总局):要求金融机构设立首席合规官。若银行未按要求设置该职位或未赋予其履职保障,即不合规。 |
|
国际/跨境法律 |
数据输出地与输入地的双重法规 |
某跨境电商企业将中国用户的个人信息传输至境外服务器。除了要遵守中国的《个人信息保护法》(满足“单独同意、安全评估”等条件),还必须遵守用户所在国(如欧盟GDPR)的隐私保护法规。 |
第二层:自愿性承诺规范(软约束与内部治理)
定义:虽不完全等同于法律强制,但一旦承诺,就形成了契约义务或行业准入标准,违反可能导致市场禁入、合同解除或声誉受损。
|
子类别 |
具体内容 |
企业实务案例 |
|
行业标准/团体标准 |
行业协会制定的标准、国际标准组织指南 |
世界银行集团诚信合规指引:某工程企业参与世行在非洲的投标。若其在投标过程中存在“围标”行为(虽在中国国内可能仅被视为不正当竞争),但世行可将其列入“不合格公司名单”,禁止其在未来数年内参与所有世行项目。 |
|
国际管理体系认证 |
ISO等国际标准 |
ISO 37301合规管理体系:某央企通过GB/T 35770认证。这不仅是一张证书,更是将合规流程嵌入业务。当该企业在接受反贿赂调查时,符合ISO 37001标准的流程文件可以作为“已建立有效合规体系”的抗辩或减轻处罚的证据。 |
|
公司内部制度/章程 |
企业内部的治理规则、员工手册 |
医药价格与招采信用评价:某药企为了进入某省集中采购目录,签署了《医药企业价格和营销行为信用承诺书》。若该企业事后被查实存在商业贿赂,根据国家医保局制度,其将被评为“严重”或“特别严重”失信,面临产品暂停挂网(禁止在该省销售)的后果。 |
第三层:商业道德与公序良俗(价值导向)
定义:法律强制性相对较弱,但关乎社会认同、品牌信誉与长期生存。失范可能通过舆情发酵演变为法律风险或经营危机。
|
子类别 |
具体内容 |
企业实务案例 |
|
商业伦理/ESG |
环境保护、社会责任、公司治理理念 |
户外品牌烟花秀事件:某号称“守护自然”的户外品牌,在西藏生态敏感区域燃放烟花进行商业宣传。该行为虽未直接违反某一条具体的《环境保护法》罚则(因可能涉及审批手续不全),但违背了“保护自然”的商业道德,引发舆论声讨,导致当地政府多名官员被问责,品牌信誉严重受损。 |
|
公序良俗/透明度 |
信息披露、消费者知情权、诚信原则 |
餐饮“预制菜”风波:某餐厅未明确告知消费者菜品是“现场烹饪”还是“加热预制菜”。虽菜品符合食品安全法,但未满足消费者对“新鲜现制”的合理期待,涉嫌违反《消费者权益保护法》中的“知情权”和“诚信经营”原则(此部分已部分法律化)。这导致公众信任崩塌,证明在民生行业,道德层面的“诚信”是比“合法”更严格的生存底线。 |
总结:
合规不是静态的“不违法”,而是动态的“符合期待”。
对于监管机构,合规是守住法律(第一层)的底线;
对于投资者/合作伙伴,合规是遵守契约与标准(第二层)的确定性;
对于社会公众/消费者,合规是践行道德与ESG(第三层)的诚意。
如果企业只盯着第一层(法律),而忽视第二层(行业标准、世界银行规则)和第三层(ESG、商业伦理),就如同在悬崖边行走——虽然没掉下去(没违法),但一阵舆论的风(舆情风险)就可能将其吹落,并最终摔在法律的岩石上。
卓力公司学术委员会
