前言

2017年是中国企业强化合规管理的一个重要起点。我们发现，今年以来人们对于企业建立合规管理体系和防范合规风险的重视程度大大加强。强化合规和防范合规风险，过去只是少数企业的行为，如今则越来越多地成为企业的联合行动；过去只是一些政府部门的行为，如今已经成为政府部门的普遍行为。

中国企业所面临的现实的合规风险是人们关注合规的重要推动力。

在促进中国企业关注合规风险并强化合规管理的过程中，中兴通讯的案例具有重要意义。2017年3月，中兴通讯发布公告称，公司已经与美国政府就出口管制调查案件达成和解，中兴通讯将支付约8.9亿美元的刑事和民事罚金，此外，美国商务部工业与安全局对中兴通讯的3亿美元罚金被暂缓，是否支付将依据未来七年公司对协议的遵守，并继续接受独立的合规监管和审计的结果而确定。此次事件让中兴通讯成为因违反美国出口管制规定而支付罚款金额最大的中国公司，这张罚单也是中国企业收到的来自美国政府处罚金额最高的一张罚单。

中兴通讯的案例极大地震动了中国企业和我国政府有关部门。人们意识到，合规风险不仅存在于外国企业，也存在于中国本土企业；强化合规管理不仅是外国企业的任务，也是中国本土企业目前面临的挑战。中兴通讯案例事实上成为中国企业强化合规的里程碑。

高层领导的关注是推动企业强化合规、防范合规风险的另一个推动力。

2017年5月23日，习近平主持召开中央全面深化改革领导小组第三十五次会议。会议指出，规范企业海外经营行为，要围绕体制机制建设，突出问题导向，落实企业责任，严格依法执纪，补足制度短板，加强企业海外经营行为合规制度建设，逐步形成权责明确、放管结合、规范有序、风险控制有力的监管体制机制，更好地服务对外开放大局。中央最高领导明确要求企业强化合规管理，建立合规制度。中国企业开展海外经营的根基在国内，要求企业海外经营行为合规必然连带要求企业国内经营合规。中央对于企业海外经营行为合规的要求必然转化为对企业全方位，包括国内外经营的全面合规要求。

我们认为，从2017年开始，中国企业面临的问题已经不再是“要不要合规”，而是“如何合规”“如何加强企业合规制度建设”。

如何强化合规，如何建立合规管理体系？建立合规管理体系是一个管理体系的再造过程，也是一个组织文化的重构过程。我们联合西门子、微软、戴姆勒、BP、中石油、中建等一批著名跨国公司的合规管理人员在2016年合作撰写了《合规Ⅴ：建立有效的合规管理体系》一书，在书中提出了建立合规管理体系的六个步骤。

这六个步骤是：调查研究，识别合规风险；风险导向，健全合规制度；管理协调，强化合规职责；保障运行，完善合规机制；效果评审，推进持续合规；持之以恒，形成合规文化。

其中，“调查研究，识别合规风险”是建立合规管理体系的第一步。识别合规风险既是建立合规管理体系的起点，也是运行合规管理体系的前提。对于从事合规管理的执业人员来讲，识别合规风险则是其从事合规工作的入门通道。

《合规管理体系指南》（ISO 19600）中专门论述了识别合规风险在建立合规管理体系中的作用。该指南指出：“组织应识别并评估自身的合规风险。评估可基于正式的合规风险评估或通过其他替代方法实施。合规风险评估构成实施合规管理体系、有计划地分配合适而充足的资源与流程的基础，也可用以管理已经确认的合规风险。”“组织应将其合规义务与活动、产品、服务及运营方面联系起来，确认可能发生不合规的情况，从而识别合规风险。组织应查明不合规的原因并明确其后果。”按照这个指南建立合规管理体系，显然也需要从识别合规风险入手。

鉴于识别合规风险在建立合规管理体系中起基础和先导作用，我们认为，把识别合规风险用一本书的篇幅进行单独论述十分必要。为此，我们组织有关专家进行了讨论和撰写。

樊光中先生曾经在中国建筑公司从事合规管理工作，对于宏观管理，包括企业如何识别合规风险进行过深入思考，积累了丰富的经验。他承担了本书主体论述的部分。另外，一批曾经或正在中外大型跨国公司中从事合规管理工作的作者根据自己的经验撰写了有关合规风险识别的各篇案例。一汽－大众公司则贡献了他们从事合规风险管理的系列工具。我们感谢本书的作者与大家分享建立合规管理体系的经验。

不同的企业从事的业务领域千差万别，企业经营环境不断发生变化，监管部门也在不断强化合规监管。在这种情况下，合规风险的存在和显现方式也千差万别，因此，识别合规风险的路径和方法也不尽相同。本书作者提供的理论说明以及分享的经验不可能适用于所有丰富多彩的企业实践。但是，我们希望本书提供的识别合规风险的思路和经验能够为大家提供借鉴，在促进各个企业建立合规管理体系中发挥一点积极作用。

我们也希望更多的合规从业人员、企业合规管理人员就强化合规职责、完善合规机制、推进持续合规、构建合规文化等各方面与大家分享经验，在此基础上撰写出有关合规管理体系的系列丛书。

王志乐

2017年8月1日