中国将2018年确定为合规元年。2018年11月2日，国务院国资委发布《中央企业合规管理指引（试行）》，推动中央企业合规管理，打造法治央企。2018年12月26日，国家发改委联合外交部等部门联合制定发布了《企业境外经营合规管理指引》，致力于更好地服务企业开展境外经营，推动企业持续提升合规管理水平。

2018年9月，中国证监会颁布新修订的《上市公司治理准则》，进一步规范上市公司合规运作，提升上市公司治理水平。2020年3月正式开始实施新修订的《中华人民共和国证券法》进一步强化了信息披露、关联交易和风险防控等方面，加大相关违法行为的处罚力度。

为引起企业对于合规的重视与认识，促进上市公司与拟上市公司的合规经营，本文从合规的内涵与价值，企业在重点领域的具体合规要求，以及上市公司和拟上市公司在关联交易与信息披露方面的合规要求等方面进行阐述，点击文末“阅读原文”可查看9大具体合规表单，希望对你有所帮助。

”

文 | 施俊侃 深圳市蓝海大湾区法律服务研究院

合规委员会主任、咨询委员会委员

信达律师事务所合规与监管委员会主任

来源 | 蓝海大湾区研究院

- 1 -

合规的内涵主要体现为合规的义务主体及合规的义务内容两个方面，即谁应合规和合规包括哪些规定？

1. 合规的义务主体

一般而言，合规主要有三类义务主体。[1]第一类是作为法人的企业本身是主要的合规义务主体；第二类是直接控制或参与决策、经营和管理的股东、董事、监事和高级管理人员、普通员工等；第三类是与企业发生业务往来，并对企业产生影响的外部主体，这主要包括客户、供应商、经销商、承包商、中间商等业务合作伙伴。上述三类主体均负有合规义务。[2]

2. 合规的义务内容

从合规的内容方面来看，合规即符合法律规定。此处的法律规定是广义的概念，包括国家法律法规、行业监管规定、商业惯例、企业规章制度、国际组织条例等。《合规管理体系 指南》在引言中提出，“合规意味着组织遵守了适用的法律法规及监管规定，也遵守了相关标准、合同、有效治理原则或道德标准则”。[3]

总体而言，合规的义务内容主要包括以下三类：强制性要求、自愿性承诺、商业道德及公序良俗。

① 强制性要求

指企业应遵守相关法律法规及监管规定，若存在违反规定的情形，企业将会面临行政处罚甚至刑事处罚的风险。例如，具有市场支配地位的企业违反了《反垄断法》的规定，则会面临高额的行政罚款。

② 自愿性承诺

指企业通过主动披露自身的、非法律法规强制性规定的合规行为，自愿承担起法律法规及监管规定等强制性要求之外的合规责任。例如，企业在年报中主动披露自身采取高于行业标准的环保方式实施经营活动。

③ 商业道德及公序良俗

指企业的行为应符合公认的商业行为道德规范，不得扰乱公共秩序与善良风俗。

- 2 -

企业搭建合规体系并合规运营的主要目的在于避免和防控合规风险的发生。所谓合规风险是指企业在其经营管理过程中因未遵守相关的法律和行政法规、监管规章、自律性组织规定的行业准则和行为准则以及基本的商业道德规范，而可能使企业承担刑事处罚、行政处罚、财产损失和声誉损失的风险。[4]

例如，若企业通过员工进行行贿受贿，则可能招致该员工或企业直接责任人承担有期徒刑的刑事责任，并且企业还将面临高额的刑事罚金；此外，这也可能导致企业被列入诚信黑名单，严重影响企业声誉，同时严重影响其上市、发债、并购等重大交易，致使企业各项业务重重受阻。

首先，企业通过建立合规体系并合规经营可以避免企业整体经济利益的损失。企业合规体系不像其他商业行为能为企业直接带来正面的商业利益，但是在触发合规风险时，有效的合规体系却可以有效防止企业经济利益的损失，保障企业经营的平稳运行。[5]

企业在运营过程中可能会通过实施欺诈手段、贿赂官员等其他恶性竞争的方式，获取短暂的经济利益，然而这样的行为却也同时成为企业经营的“定时炸弹”，一旦该违法行为被曝光或查处，企业将面临相应的行政处罚和刑事责任，并且企业还需要花费更多的时间、精力和金钱去修补受损的商誉和失去的商业机会，这对企业的重大经济利益而言将是极大的损害。

其次，通过建立合规体系，企业可以树立良好的社会形象，维持良好的商业信誉，从而实现企业经营的可持续发展，促进企业的长远健康发展。在现代法治社会中，一个拥有完善的合规体系和执行机制的企业，不仅可以减少多方面的损失，还能为其业务带来长久稳定的商业机会和经济回报。

最后，对于涉嫌犯罪且可能被提起公诉的企业，完善的合规体系和合规政策可以使企业免于刑事起诉，同时还可以使实施相关违法犯罪行为的企业董事、监事、高级管理人员及其他责任人员免于承担有期徒刑等刑事责任。

目前，我国检察机关正在进行合规不起诉的制度探索，旨在为推动企业合规经营提供刑事激励。

所谓企业合规不起诉，是指对于涉嫌轻微犯罪且可能被提起公诉的企业，检察机关若发现该涉案企业具有意愿建立合规体系，矫正其违法犯罪行为的，检察机关可以责令该涉案企业在一定的考验期内，就其违法犯罪事实提出针对性的合规体系搭建计划，推动其企业合规体系的构建与执行，而后检察机关根据对该涉案企业合规计划的验收情况，作出不起诉决定的制度。[6]

通常而言，根据企业运营所涉及的不同领域和不同环节，企业合规的重点领域主要包括反商业贿赂与反腐败合规、网络安全与数据保护合规、出口管制和制裁合规、市场准入合规、反洗钱合规、反不正当竞争合规、反垄断合规等方面。为使企业在上述重点领域合规运营，企业应当首先遵守合规的基本原则，并同时遵守其在各个重点领域的具体合规要求。

一、上市公司和拟上市公司在进入境内外资本市场的时候，应掌握以下合规基本原则：[7]

1. 树立风险意识

企业的管理层及员工应当意识到风险无处不在，尤其是在境外上市中，应当有意识地了解他国规范及处罚措施。此外，为强化合规的风险意识，《中央企业合规管理指引（试行）》第四章要求企业应当建立合规风险识别预警机制，对其经营管理活动中存在的合规风险进行识别与评估，同时对风险发生的可能性、影响程度、潜在后果等进行系统分析。此外，对于典型性、普遍性和可能产生较严重后果的风险，应当及时发布预警，以避免造成更大的损失。

2. 培育合规文化

恪守诚信和商业道德及遵守法律法规是良好合规文化的核心，也是合规风险防范的基础和保证，还是企业与客户、供应商、投资人、渠道合作伙伴以及所在社区的关系基础。根据《企业境外经营合规管理指引》第八章的要求，合规文化应作为企业文化建设的重要内容，这意味合规文化不仅应在企业内部进行传播，企业也应当将合规文化传递至利益相关方。

企业决策层和管理层应确立企业合规理念，注重身体力行，践行合法合规、诚信经营的价值观，不断增强员工的合规意识和行为自觉，营造依规办事、按章操作的文化氛围。

3. 建章立制

企业应当制定一套完整的合规政策和合规制度，包括公司指导方针、员工业务行为准则、客户准则、业务合作伙伴准则、业务指引等，涵盖基本合规风险管理、员工风险管理、客户风险管理、商业伙伴风险管理、广告／公关风险管理、反垄断／反不正当竞争行为风险管理、出口管制风险管理、反腐败／反商业贿赂风险管理等方面。并辅助建立文件审批流程、进出口筛查流程、数据记录及管理流程等。

4. 专员负责

企业应当设立由公司“第一把手”直属的专门合规管理机构，如合规委员会，或指定相关部门如法律部、审计部、财务部等专员负责合规管理。由公司首席诚信和合规官领导各级合规官统筹规划安排合规工作，并负责合规培训、合规行为准则制定、投诉与举报热线、合规调查以及奖惩和纠错的执行。

5. 保持合规制度的开放性和弹性

合规制度依赖于各国合规政策的调整，因此合规管理机构应当定期跟踪各国合规政策，及时更新相关数据及合规准则。

二、对上述重点领域的不同合规要求，分述如下：[8]

1. 反商业贿赂规则

在反商业贿赂与反腐败领域，合规的核心要求包括企业内部设立反商业贿赂规则和会计制度。反商业贿赂规则禁止个人或企业为了获取不正当优势以取得或保留商业机会，向公职人员行贿。而会计规则则要求企业保存准确的账簿和记录，并设立完善的财务内控制度。

结合反腐败和反商业贿赂合规国际实践，企业反商业贿赂合规制度的关键环节包括：风险识别和风险评估、管理层参与和承诺、合规部门或合规人员设置、反腐败政策制定、一般行为准则和程序制定、第三方调查、内部调查、培训、奖惩和举报、改进等，针对上述内容的分析如下：

① 风险识别和风险评估

企业的合规管理制度应当与企业的风险相匹配，因此需要企业对自身面临的风险进行充分识别和排序。

根据英国政府的建议，有关腐败和贿赂的风险识别和评估需要从多方面进行评估，包括国家风险（如企业或客户是否处于腐败高发领域等）、行业风险（如企业或客户所处行业是否涉及自然资源生产行业、大规模基础设施建设行业等高风险行业）、交易风险（如交易是否涉及政府官员、政府采购等）、合作伙伴风险（如合作伙伴是否使用中间商）及企业内部风险（如企业是否提供反腐败培训）等。

如果企业经过评估，发现贿赂和腐败的风险较高，则该企业需要针对风险集中领域采取相应的防控措施。

② 管理层参与和承诺

管理层的参与首先体现在对反商业贿赂的承诺，并且该承诺应当发布在公开渠道供员工了解和查询（比如发布于公司内网、员工行为手册之上）。管理层应在不同的重要场合（如公司年会、年度业绩报告会等）声明反商业贿赂的重要性，以此传达管理层对反商业贿赂的重视、塑造企业合规文化。

③ 合规部门或合规人员设置

合规团队的设置大体上有两种安排，一种是在法律团队中设置，名称多为法律合规部，也有风险管理部、风险控制部/委员会、内部控制部/委员会。另一种是与法律团队并列，为独立的团队，但最终都向主管法律事务的副总裁汇报。合规部门的设置可以有多种方式，但需要保证合规部门或负责人的独立以及充分的资源支持。

④ 公司反腐败与反商业贿赂政策的制定

公司制定的反腐败与反商业贿赂政策，需说明政策制定的目的，声明对腐败和贿赂的零容忍态度，并纳入具体的行为准则、反商业贿赂和反腐败的主要制度。例如，疏通费，礼品，商务宴请和招待，政治献金，社区参与、赞助和慈善事业，使用第三方等，这些是反商业贿赂的关键内容。建议企业可以参照境内外法律法规（如刑法规范、反不正当竞争法及相关规定等）的规定，结合自身实际情况加以制定。

⑤ 第三方调查

完整的第三方调查应遵循以下四个步骤，即风险评估、第三方调查、采取措施和监督保障。具体而言，风险评估的内容主要包括第三方是否为公职人员以及是否可能与公职人员打交道。

而第三方调查主要的关注点在于第三方的股权结构、能力、公共记录资源（腐败记录或不利新闻报道）、商誉（商务引荐）、道德和合规制度等。调查结束后，企业需要对所识别的风险进行标记，并采取相应的应对措施，例如对第三方进行监督以及在合同中加入反腐败条款等。

2. 网络安全与数据保护合规

网络安全与数据保护合规主要涉及个人信息保护方面，即企业在收集个人信息时，应有正当目的，且仅收集一切与数据处理目的相关的必要数据；将收集到的数据进行存储，采用合理技术保证数据的完整性和保密性；同时，企业应当以合法合理和透明的方式来处理个人数据。具体来说，网络安全与数据保护合规的具体实操要求主要包括以下两点。[9]

① 一般而言，企业在收集个人信息时应遵循知情同意原则、最小收集原则、合法性原则、公开透明原则以及完整性和保密性原则。这就要求，企业在收集个人信息的过程中，应当获得信息主体的明示同意，并在最小范围内合法地收集所需信息；同时企业还应当确保所收集信息对于信息主体的公开性和透明性，并将所收集信息保存并予以保密。

② 信息收集者收集信息时，应履行的义务包括说明与提示义务、合理使用信息的义务、对所收集信息使用进行合理注意的义务以及侵权发生后的补救义务。具体而言，企业在收集个人信息时，应首先进行说明与提示，以合理的方式使用所收集信息并对所收集信息进行对应的监管等。

3. 出口管制和制裁合规

即要求企业所有涉及世界上任何国家和地区、其他企业、产品和原材料、终端用途的出口活动，都应当遵守所有适用的有关出口管制的法律、法规和其他规定等要求。

中国企业在进行出口管制与制裁合规的建设时，首先应当开展出口管制与制裁合规体检。出口管制与制裁合规体检可以为企业的制裁合规现状精准画像，从而定制适合自己的制裁合规体系。出口管制与制裁合规体检主要包括企业基本情况摸底、风险评估、企业出口管制与制裁合规体系的有效性评估、制裁合规历史等方面。

此外，在完成出口管制与制裁合规体检后，企业应当对其业务运营中的进行识别、预防与治疗。出口管制与制裁合规体检的目的是为了掌握企业的合规现状，找出薄弱环节对症下药。对于出口管制与制裁风险较高的，宜早搭建或完善自己的制裁合规体系。出口管制与制裁合规体系所应具备的最基本的五要素，即管理层承诺、风险评估、内部控制、测试与审计、培训。

4. 市场准入合规

随着“一带一路”倡议的稳步推进，中资企业对外投资的力度不断加大，市场准入合规将成为企业走出去所应关注的重要内容。

市场准入合规要求企业在对外国进行投资前，应首先深入了解和遵守目标国关于市场准入和国家安全审查的法律法规和相关政策等要求，例如目标国对于不同行业设置的外资准入门槛等，以免遭受主管机构的处罚并导致巨额损失。

其次，企业在对外国投资前，还应了解该外国对外资进入投资行业的规定或相关指南，以对自己的投资有初步的了解与认知。

最后，在了解市场准入法律法规以及投资行业的相关合规要求之后，企业在进行投资前，还应明确其具体的投资方式，例如企业可以选择通过直接投资（例如设立公司、合伙企业等）、跨国并购、股权并购的方式进行投资，也可以通过建设-经营-转让 (Build-Operate-Transfer, BOT)、政府和社会资本合作（Public-Private Partnership, PPP）的方式在外国进行投资。[10]

5. 反不正当竞争合规

反不正当竞争合规要求企业在处理与竞争对手、供应商、经销商和客户的关系时应当谨慎，不能限制或排除竞争、不能采取诸如固定价格、分割市场、分配客户、联合抵制交易、协议限制产量、串通投标等行为。同时对于已经处于市场主导地位的企业，禁止滥用市场支配地位限制竞争。[11]

应当指出的是，上述内容仅是我们针对关键合规领域所总结的实操要求，除此之外，相关企业仍需要关注反洗钱合规、反垄断合规、知识产权与商业秘密合规等相关合规领域的具体合规要求。

- 4 -

上市公司与拟上市公司是我国经济发展中的关键主体，因此两者的合规经营对于促进我国经济的健康发展至关重要。本部分主要介绍上市公司与拟上市公司在关联交易方面的具体合规要求，以及上市公司的信息披露合规要求。

1. 上市公司的关联交易方面

在上市公司的关联交易方面，合规的核心要求为公司的控股股东、实际控制人、董事、监事、高级管理人员等关联人不得利用其关联关系损害公司利益。通常而言，关联人主要包括关联法人和关联自然人，而关联交易主要是指上市公司或者其控股子公司与上市公司关联人之间发生的可能导致转移资源或者义务的事项。

此外，为确保上市公司关联交易合规，上市公司的关联交易应当依照《中华人民共和国证券法》《中华人民共和国公司法》《上市公司信息披露管理办法》《上市公司治理准则》等法律法规及证券交易所发布的规则、指引等规范性文件的有关规定，合法合规进行关联交易、严格履行决策程序和信息披露义务。

而对于拟上市公司而言，其进行关联交易时的合规要求主要是指拟上市公司应完整披露关联方关系并按重要性原则恰当披露关联交易，关联交易价格应公允，不得存在通过关联交易操纵利润的情形，也不得存在严重影响独立性或者显失公平的关联交易。拟上市公司应参照上市公司相关规定及《企业会计准则——关联方关系及其交易的披露》的规定认定关联方及关联交易。

2. 上市公司的信息披露方面

上市公司在信息披露方面的合规要求主要是指信息披露义务人应当及时依法履行信息披露义务，且其所披露的信息应当真实、准确、完整，简明清晰，通俗易懂，不得有虚假记载、误导性陈述或者重大遗漏。近几年，我国资本市场正在进行的注册制改革，更加强调信息披露的重要性。关于上市公司信息披露的合规要求，应主要把握以下几点：

① 信息披露义务人，包括上市公司及其董事、监事、高级管理人员、股东、实际控制人等重大交易相关人员。

② 信息披露文件，包括定期报告、临时报告、招股说明书、募集说明书、上市公告书、收购报告书等。

③ 上市公司应制定信息披露事务管理制度，明确应披露的信息，董事、监事和高级管理人员的披露职责等内容。

- 5 -

1. 企业应制定合理的制度和程序

其作为企业合规体系的核心，是企业所有员工履行职责的基本要求，主要分为以下四方面：

① 企业行为准则，这是企业经营管理和文化建设的纲领性文件，包括企业愿景、使命、核心价值观、合规方针、社会责任等方面；

② 企业合规管理制度，这是企业合规部门进行合规管理的程序性规章制度，包括合规组织制度、合规风险管理流程、合规审查流程、违规举报、调查与处置流程、合规报告程序等方面；

③ 职能部门管理规章，企业不同的职能部门涉及到不同的合规规范的执行与遵守，例如，管理、财务、人事行政、法务、内控等部门均有相对应的合规规范；

④ 业务合规流程，企业各业务领域涉及不同的合规规范，例如传统的业务合规流程、网络安全合规流程、产品合规流程、跨境电商领域合规等，具备较强的专业性，往往需要企业合规部门与业务部门合作制定和修改相关的业务合规流程。

2. 企业合规运作应有高层的参与，形成较为成熟的合规组织体系[13]

高层参与能够使企业形成上下连贯的合规组织结构，如公司自上而下设立合规委员会、分支机构和职能部门中的合规部门，合规部门直接向公司合规委员会和首席合规官汇报。这样能够确保企业管理层及时识别合规风险并采取应对措施。

3. 企业应建立合规的防范体系

合规的防范体系包括风险评估、尽职调查以及培训与沟通。[14]防范体系针对可能存在的合规风险采取预防性措施，具体而言：

① 风险评估，即定期或不定期地对企业活动中存在的合规风险进行识别与评估。例如，在投融资或收购项目中，企业需要对该项目进行合规风险评估，评估结果作为决策参考，降低企业风险；

② 尽职调查，即合规部门针对已存在的合规风险进行调查和研究，形成合规风险报告，并研究制定和实施降低风险的措施；

③ 培训与沟通，企业需要定期组织培训和沟通，一方面能够确保员工了解最新的法律法规、监管规定、企业内部规章制度等方面内容；另一方面也能够保证企业高层管理者与其它层级员工维持一种稳定的沟通，使企业高层管理者的合规理念与态度能够顺畅传达至企业各层级员工，形成合规文化。

4. 企业应建立合规监控体系，包括监督与审核[15]

监督是指企业的高层管理者或员工在进行业务活动时，都应在其职责范围内进行可持续的管理与监督，检查每一项业务活动是否存在违规行为。审核是指企业的合规部门与审计部门相互独立地对企业活动中的违规行为进行审查，确保企业的合规体系在全球各地得到了良好的贯彻执行。

在全球化背景下，企业之间的竞争已进入到全球价值链竞争的时代，企业合规在国内和国际环境下的重要性日益突出。随着中国经济的快速发展，企业竞争日益激烈，为创建有序运作的市场环境，中国政府对于企业合规性的审查与监管愈加严格。与此同时，欧美及亚洲等多个国家与地区对企业合规提出更加严格的要求，合规已成为跨国企业、国有企业以及大中小型民营企业运作管理中的核心议题。

前期的合规投入以及合规体系的建立能够使企业在以后的运营中降低潜在的合规风险，并有效处理和应对那些可能对企业造成重大损失的风险事件，助力企业业务的稳步增长及业务运营的行稳致远。

上市公司和拟上市公司应留意合规不起诉的发展并搭建一个与其业务性质和经营管理相适应的合规体系。我们希望本文能够引起上市公司与拟上市公司建立合规制度的重视，为公司建立相应的合规体系提供指引。