企业合规的灵魂在于针对“合规风险点”的专项合规计划

例如，有些企业的合规管理手册动辄将十余个问题确立为“合规重点领域”，范围涵盖公司治理和经营、安全、员工健康和公共安全、反商业贿赂和反腐败、消费者权益保护、反垄断、反不正当竞争、拆碎和资产、社会责任和员工权益、知识产权、数据信息、国际贸易和投资、商业伙伴等多方面的合规管理问题。

企业将如此众多的事项确立为合规重点领域，必然导致忽略那些“迫在眉睫”的合规风险，无法根据企业的性质、业务、规模和主要合规风险点，来“量身打造”一套有针对性的合规计划。

其实，企业合规的灵魂并不是大而全的合规管理体系，而在于针对企业的“合规风险点”确立专项合规计划。从那些接受过美国政府监管调查或者国际组织制裁的企业重建合规计划的经验来看，一项有效的合规计划必须是专项合规计划。例如，西门子的合规计划之所以被作为企业合规的样本，就在于它是一种针对反海外贿赂问题所建立的专项合规计划，又被称为“反海外贿赂合规计划”。

又如，中国湖南建工集团所打造的诚信合规计划之所以被视为一种成功的合规计划，原因就在于它是针对企业参与国际银行招投标中的欺诈、腐败等问题所建立的专项合规计划，又被称为“诚信合规计划”。

再如，中国中兴通讯股份有限公司建立的出口管制合规计划，是针对企业从事进出口业务过程中违反有关国家出口管制法律的问题所建立起来的，又被称为“出口管制合规计划”。目前，中兴公司在初步建立出口管制合规计划的基础上，又在反商业贿赂领域和数据保护领域开始建立相应的合规计划，对于这两种合规计划，我们分别称之为“反商业贿赂合规计划”和“数据保护合规计划”。

所谓“专项合规计划”，是指企业针对特定领域的合规风险，为避免企业因为违反相关法律法规而遭受行政处罚、刑事追究以及其他相应的损失所建立起来的专门性合规管理体系。对于那些从事国际贸易或进出口业务的企业而言，常见的专项合规计划有：反商业贿赂合规计划、诚信合规计划、出口管制合规计划、反洗钱合规计划、数据保护合规计划，等等。而对于那些单纯从事国内业务的企业而言，常见的专项合规计划则主要有：反垄断合规计划、反不正当竞争合规计划、反商业贿赂合规计划、知识产权保护合规计划、反洗钱合规计划、大数据保护合规计划、税收合规计划、证券合规计划、环境保护合规计划，等等。

与大而全的合规管理体系不同的是，专项合规计划是企业针对特定的合规风险所建立的专门性合规管理体系，这些专项合规计划除了要受到企业一般性的合规政策和程序约束以外，还要分别确立专门性的合规组织、专门性的合规政策和管理手册、专门性的预防体系、专门性的识别体系以及专门性的应对机制。由此，在企业统一的合规管理框架之下，存在着若干个相互联系而又相对独立的分支型合规管理体系，从而使得企业合规真正走向专业化，发挥有效地预防、识别和应对合规风险与违规事件的效果。

我们可以中兴公司2018年以后重建合规管理体系的经验为范例，对专项合规计划做初步的分析和评价。

中兴将诚信为本，按照道德标准开展业务奉为公司在全球范围内从事经营活动的基本原则。该公司所发布的《商业行为准则》，确立了诚信和遵守道德标准的基本准则，对公司、员工、客户、商业合作伙伴和投资者提出了遵守法律法规的要求，将“以合乎道德的方式代表公司从事业务”确立为每一位员工的义务。根据《商业行为准则》，中兴公司致力于形成高效而有组织的合规运作，将合规制度嵌入公司全部业务流程，创立合规与业务的融合，从而实现业界一流合规管理体系，使合规成为该公司的竞争优势。

中兴公司成立了由总裁直接领导的合规管理委员会，在其领导下，各业务单位、合规专业部门与合规稽查部各司其职，协调配合，构成中兴公司合规风险管理的三道防线。其中，合规专业部门分为出口管制合规部、反商业贿赂合规部、数据保护合规部以及合规组织管理部四个部分，主要从事出口管制、反商业贿赂、数据保护等专项合规管理工作。在合规组织管理上，中兴公司建立了合规管理委员会领导下的“穿透式合规管理制度”。简要说来，在各合规专业部门设立法律法规专家中心（COE），针对重要风险领域设立专业化合规团队；设立专职BU合规团队，以此作为COE部门与业务部门的桥梁；在各业务部门设立合规联系人（POC），实现子公司穿透式合规管理，将合规政策传达到业务第一线。

自2018年中兴公司与美国商务部工业与安全局达成替代和解协议之后，中兴公司在重建合规体系方面做出了一系列努力。首先，在合规文化建设方面，中兴公司董事长和总裁发表全员声明，表达合规建设的决心；公司高管作为各自领域第一合规责任人签署合规责任状，作出合规承诺，传达公司建立合规体系的决心和信心；中兴公司持续开展全员合规培训，倡导全员监督、内部举报文化以及多方位的外部合作。其次，在合规资源投入方面，公司加大合规管理资金投入，支持监察团队需求，加强与外部律所咨询机构的合作，优化了全球贸易系统（GTS）、商业伙伴扫描系统（BPS）、法律及合规管理系统（LCM）等IT工具。加大合规风险评估，推进公司合规治理。再次，在流程制度建设方面，公司加强了合规管理委员会的作用，将公司合规管理制度的制定、合规事项审议和决策权纳入合规管理委员会；将合规检查点嵌入具体业务流程之中；通过IT系统的设置，将合规检查点进行上线IT处理，减少或消除线下人工检查。最后，在专业能力提升方面，公司与顶级律所和会计师事务所进行合作，协同处理合规领域的专业问题。

中兴公司建立了业内一流的出口管制合规计划。该公司设立了专门的出口管制合规部，包括一名首席出口合规官，数名区域出口管制合规总监（分别任职于中国、欧洲、美洲和中东）以及工作于中国和其他国家的总监、经理、主管和支持人员。中兴公司发布并定期更新出口合规政策和出口合规手册，使之适用于总公司以及所有子公司。中兴公司及其子公司发布了受美国出口管制限制的中兴公司产品的“出口管制分类编码”（ECCN）,以确保公司供应链和分销渠道的出口合规。中兴公司及其子公司还开展了覆盖全体员工的出口合规培训，包括全员出口合规意识培训以及根据职能进行的有针对性的培训。

中兴公司与美国政府委派的特别合规协调员和合规监察官展开积极合作，其出口管制合规计划是在与美国商务部达成替代和解协议的基础上建立起来的。美国政府向中兴公司派驻了特别合规协调员和合规监察官，对中兴公司出口合规计划的重建和运行要进行为期十年的监控。可以说，出口管制合规计划是中兴公司合规管理体系的重中之重。根据美国商务部的公告，派驻中兴公司特别合规协调员团队的职责是，实时监控中兴公司遵守美国出口管制法规的情况，既包括全过程监测和个别事项的调查，也包括定期性合规评估。这个团队向美国商务部负责，具有完全的独立性。而在中兴公司内部，董事会下设一个由不少于三名非执行董事组成的特别审计/合规委员会，董事长属于该委员会成员，但不得担任主席。与此同时，中兴公司还聘请了一名独立特别合规协调员，承担协调、监察、评估和汇报职能。由此，在出口管制合规计划的打造方面，中兴公司就形成了合规委员会、独立特别合规协调员以及美国派驻的特别合规协调员团队这三道合规防线。

在建立出口管制合规计划的同时，中兴公司初步建立了反商业贿赂合规计划。该计划所要遵循的法律法规既包括中国的反腐败和反贿赂法律法规，也包括美国的FCPA、英国的UKBA以及其他业务所在国的反腐败和反贿赂法律法规。

中兴公司的反商业贿赂合规管理工作则由合规管理委员会领导下的反商业贿赂合规部负责。公司专门发布了《反贿赂合规政策》和《反贿赂合规手册》，由此构建了中兴公司反贿赂管理体系的八大基本要素。具体而言，第一，高层重视合规管理。中兴公司高层参与反商业贿赂合规的规划、决策和建议，直接对所管辖业务的合规性进行负责，参与合规培训和沟通，确保内部合规报告和沟通渠道的畅通性。第二，健全合规组织。各业务部门是预防、监测和应对贿赂的第一道防线，专门的反贿赂合规部门是第二道防线，合规稽查部则是独立的第三道防线。在开展合规管理工作时，公司将计划-执行-检查-处理 （PDCA）转化为合理的规则-有效的贯彻-坚决的落地-有力的稽查这一闭环管理，形成合规业务和管理的双循环。第三，充分的资源投入。在专家中心、BU合规团队以及业务单位合规联系人三个层面上加强合规组织建设，引入并优化一系列IT系统和工具，提升合规管理的效率和水平。第四，系统的风险评估。公司反商业贿赂合规部和BU合规团队每年定期展开相关领域的风险评估，形成风险评估报告，根据业务和风险变化情况及时调整合规管理措施。第五，反贿赂合规政策体系。对于《反贿赂合规政策》《反贿赂合规手册》以及各项管理规范及其工作指引进行定期修订，其中有关反商业贿赂的管理规范覆盖到礼品及款待、外部差旅、商业伙伴、采购交易、商业赞助、公益捐赠、客户培训、并购及合资、雇佣等多项领域。第六，有效的流程管控。通过LCM和TS（团队协作管理系统）设立合规审批流程，将合规审批流程嵌入公司的销售、采购、财务、雇佣和投资等业务流程之中，确保合规管控贯穿于业务活动的主要节点之中，合规审批流程不通过，相关业务不得继续进行。第七，全方位的培训和沟通。包括定期向全部员工开展反贿赂合规培训，并向新员工、管理层、合规团队、营销、财务、采购等重要岗位人员以及外部商业伙伴提供专项培训。公司还要求全体员工签署《反贿赂合规承诺函》。第八，持续的监督与改进。反商业贿赂合规部于BU合规团队对反商业贿赂合规计划的执行情况进行持续监督，对缺陷和不足进行整改。与此同时，合规稽查部定期开展合规审计，以发现合规体系的缺陷和不足，并督促完成整改。对于通过举报线索或审计发现的潜在违规行为，合规稽查部将按照有关流程进行调查，并提出是否采取纪律处分措施的建议。

数据保护合规计划是中兴公司新近建立的专项合规计划。中兴公司遵从全球适用的数据保护法律法规，尤其是欧盟通用数据保护条例（GDPR）的规定，将数据保护的要求嵌入公司各项业务流程之中。合规管理委员会是公司数据保护合规的最高管理机构，与其他两项专项合规计划一样，数据保护合规也有三道管控防线：一是业务单位的合规联系人；二是数据保护合规部；三是合规稽查部。根据GDPR的要求，中兴公司陆续在欧盟重点国家任命欧盟数据保护官，负责数据保护的管理工作。

中兴公司确立了数据保护方面的主要合规政策，根据这一政策，公司在GDPR管辖的业务中，初步设立了“个人数据字典”，在供应商管理中嵌入数据保护合规要求，逐步推进数据保护合规要求IT系统嵌入于优化流程。公司建立了个人数据泄露应急响应机制，一旦发生个人数据泄露，组建应急团队，减少个人数据泄露可能导致的损失，确保受数据泄露影响的数据主体及时收到通知。此外，公司定期向员工提供保护合规培训，确保每一位适用GDPR管辖的员工和合作伙伴准确理解数据保护合规的要求，严格执行数据保护的制度和流程。