合规管理体系建设的难点和解决——合规长期性、阶段性

现在很多企业经过了国资委、涉案企业评估之后，会有迷茫感，我已经合规了，我已经合规了吗？那我还要做什么，我还需要投入合规吗？这就是对合规的长期性、阶段性认识不足。

合规的长期性的典型表现在银行系统经过这么多年合规建设——2006年，中国银行业监督管理委员会发布了《商业银行合规风险管理指引》——且专业化合规部的监管下，依然会有很多违规事件发生。这说明了合规管理绝不是一蹴而就的事情，普遍国有企业一两年，甚至涉案企业几个月简单的合规管理体系建设就更加难言有效。

一方面，规则是持续发生变化的，有些废除了、有些新增了，有些调整了。企业等组织应该去跟进规则，例如现在剧烈变化的数据合规领域。

另一方面企业等组织本身会不断发生变化，例如员工变多，供应商增多，非熟人领导增多，这些会导致合规风险变化。

进一步来说还有企业等组织业务的变化，例如新开展涉外业务、不同地方业务、房地产、金融等不同行业业务，就会有很多合规风险变化。

最后，即使企业等组织什么都不变，环境也在发生变化，之前的业务模式会产生新合规风险。例如好评返现、请客送礼、收受回扣等老一套的做法很难维持，合规风险日益增大。所以合规必定是长期持续不间断地改进过程。

明白合规管理长期性特点之后，就知道合规管理没有尽头，只要组织存在一天，就需要进行合规管理一天。

合规也必定是阶段性的工程。合规要花钱、花人、花时间，没有企业等组织的资源是无穷无尽的，都需要花在刀刃上。例如可以先解决最为紧急合规危机应对问题，然后是合规管理体系基础完善问题，再逐步进行合规体系的逐步细化问题，合规信息化的改进问题，高风险专项合规问题，一个个阶段来解决。

如果企业可以不计成本、不计代价，全面合规，勇气可嘉，但就以合规义务的跟踪问题，每天这么多新出的规则，领导层天天开会也解决不了。有人会说研究一套完善的规则信息化跟踪系统，但这套系统投入的成本就可以压垮很多小微企业。结合合规长期性理解，就明白合规建设必然是有阶段的。例如第一年度，先建立合规管理体系基础，第二年解决2-3个重点问题，然后持续循环之，对原有体系也不断改进，才是切合实际的做法。

强大如中兴、华为、西门子合规，也只能有重点的进行合规建设，其他一般的企业就不要轻易打合规包票，一方面牛皮容易吹破，另一方面会导致无效，钱白花了，人白干了。除合规危机应对情形，不鼓励合规大干快上，要细水长流，久久为攻。

根据PDCA循环，在Plan（计划）阶段（包括合规制度手册制定仍然属于P阶段），建议让第三方共同参与。在Do（执行）阶段，企业等组织落实合规执行。在Check（检查）阶段，再次让第三方共同参与，从内外视角，一起总结提高。在Act（处理）阶段，再次由组织跟进。直到新的PDCA循环启动。这样就可以形成Tick（P\C）-Tock（D\A）（嘀嗒）模式，一方面高效利用第三方智力资源，另一方面让合规真正落到组织实处。一个PDCA循环，按照工作量，以2年左右为佳，合规危机应对时加速。通过以上方式，可以有效解决合规管理体系建设的长期性和阶段性问题。

作者／华商律师事务所合伙人、华商合规研究院副院长  钟志伟