自2018年11月中央企业合规管理指引(试行)颁布以来，各国资央企陆续开展合规管理体系建设。目前，总部级的企业，可以说已基本完成。

　　但纵观其效果，存在不同的说法。

　　根据笔者接触到的一些央国企法务合规人员和公司管理层的反馈，以"三张清单"等成果文件为内容的央国企合规体系建设，大多没有达到预期。

　　或者说，一开始的时候，就没有明确的预期。所以，后面也没有所谓达不达到预期的问题了。

　　但不管怎样，企业业务人员和管理人员在这波推进合规体系建设的过程中，其合规意识得到大大加强，合规审查机制得以建立等。

　　这些"改进"，是有目共睹，也是不容否认的。

　　其实，我们的合规体系建设，其目的不就是要强化意识，防控风险吗?企业不重视不认可合规的土壤，得到了松动。这也正是建设体系取得效果的体现吗?

　　很多企业管理层，已开始将"合规"挂在嘴边，虽然他们对很律所和咨询机构给出的合规体系建设成果并没有很大的感知或认同，但企业整个合规氛围得到了很大的改进。这也是值得表扬的。

　　但如进一步看，这个"改进"，可能只是浅层的、暂时的。

　　企业不会认为合规建设就只限于"大家都认识了合规，都知道了合规"这样的程度。如果实际行动，却依然和以前一样，那就没有必要建设合规体系。

　　一定的"行动改变"，一定的"业务价值"，一定是绝大多数企业管理层投入人力财力后所会要求的。

　　也就是说，合规要长久的搞下去，必须找到对企业的长久真实价值。这正是我再反思合规管理建设的出发点。

　　一、合规管理的价值变迁

　　1. 众所周知，合规价值的最初系源于合规激励机制，包括合规计划承诺减轻处罚、合规暂缓起诉、合规不起诉等。

　　这个角度的合规计划(往往是专项合规体系建设，如反商业贿赂)，基于已发生的"违法法规"行为，在监管机构和司法机构的要求下进行整改和承诺，监管机构和司法机构依约给予较轻处罚。

　　从企业方面来说，这个合规建设是事后的，其价值是以一种较小投入和未来合规承诺，换取更大的"被罚损失"。

　　在这之后，合规激励机制被扩大到更多的司法和行政处罚场合。当然，目前关于刑事合规不起诉等政策，因某种原因被停止。

　　但合规激励机制，在企业内部可能称之为"尽职合规免责"，这种合规建设价值仍然是存在的。

　　2. 随后，我们推动了央国企合规管理体系建设，这种合规管理价值，非常明显，是事前的，以一种风险管理的方法论，基于风险预防角度的。

　　通过合规风险评估、合规管理指引、三张清单等建设内容，我们认为合规管理可达到防控合规风险的目。

　　关于这个事前防控风险的价值，与ISO 37301合规管理体系国际标准的“主定位”基本是一致的。

　　虽然ISO 37301提出的合规体系建设方法，与ISO其他管理体系建设方法几乎没有任何区别，但鉴于ISO管理体系方法本身经典性，37031合规建设是有一定借鉴意义的。

　　然而，个人认为，ISO3701所给出的合规建设方法，仅是一种最基础的方法，根据这个标准所构建的合规体系，其能提供的价值也是最基本的。

　　3. 在合规管理体系建设试图实现防控合规风险的目的的同时，我们还提出了央国企合规管理建设的第三种价值，即基于管理提升的治理式合规(详见本人拙作：企业合规管理的三重价值及其对应形态)。

　　这种维度下的合规管理，其着眼点不仅在于风险，而是公司内部治理与管理控制。很显然，这种合规管理，其已跨到公司治理、内部控制等领域了。

　　基于本价值理念下的合规管理，其主要建设内容从风险防控，转向或同时要兼顾内部法治环境优化、规章制度完善、效率与制约的平衡、管理权限与管理责任的分配等。

　　这是对风险预防价值的自然延伸，也是企业内任何管理加强的自然导向。

　　二、合规管理的价值反思

　　前述合规管理包含的三重价值，就是企业合规建设的全部价值吗?

　　个人认为，随着DeepSeek-R1等AI大模型对企业管理的触动和加持，任何企业管理行为都可以借助人工智能得到“智能增强”，任何管理行为所依赖的数据和所产生的数据，都可进行更加深入的挖掘和利用，形成人工智能时代下的数据资产。

　　企业合规管理，一方面必须反思当前价值观导向(如风险防控)下的做法(如三张清单)的有用性。这方面，很遗憾，是缺乏成绩的。

　　另一方面，则必须将人工智能、大数据运用等技术纳入到合规管理建设当中，以实现更实际、更有用，也更长久的建设成效。

　　对于风险防控价值体系下的合规建设，不是说不再需要，而是需要反思和改变之前的一些做法。

　　例如，现行制作三张清单的做法，真的有用吗?真的是体系建设就要制作三张清单?

　　合规风险识别清单，通过列出某合规义务，然后对应的就是某合规风险?

　　事实上，这种做法，不仅工作量极大，而且根本不被应当掌握的部门或岗位人员所掌握。

　　这种模式所形成的合规风险清单，不仅风险真实性存疑，而且因缺乏风险应对措施，并不能用于实际的风险防控工作。

　　如此，如果反思这些做法，我们会发现基于风险防控的合规管理体系建设，似乎又落于早些年全面风险管理体系建设的"窠臼"。企业不仅花了钱，换来的一堆成果文件，根本没人会看，更没人会用。

　　相反，对于另一个维度的合规建设，即基于技术(人工智能、数据集成与治理)的合规管理活动，我们关注太少了。

　　除了提出一个要求“企业建立合规管理信息系统，并与财务、人力信息系统打通共联”以外，几乎没有实质的推动和深入的关注。

　　这与DeepSeek-R1等AI技术所能用做的事，是不匹配的。

　　三、合规管理的价值重构

　　基于上述对合规管理价值的反思，个人认为有必要对合规管理价值进行重构。

　　鉴于此，总结本人带领的龙龘合规团队多个项目经验和本人"法律+管理"原创方法，在原有合规管理价值探讨的基础上，我提出如下四种类型的合规管理，供各企业、各同行参考。

　　1. 风险防控型合规管理。这种价值理念下的合规，正是传统企业合规建设所采取的方式。它比较适合在已发生个别违规风险事件，在一些领域合规风险较为突出的企业，如金融机构、建筑施工行业、高科技创新行业等。

　　这种类型的合规管理模式，正是以风险为导向。其建设路径是风险识别——风险分析——风险应对。个人认为，需要加强的是风险分析部分。

　　这个方式，也是当前国央企合规的主要方式，但不是所有的国央企都应采取该建设模式。很遗憾的是，当前几乎所有的国央企合规管理建设，都是采用这种模式。个人认为，这其实是有很大提升空间的。

　　2. 管理安全型合规管理。这种价值理念的提法，是我本人的原创。它是基于对国央企的管理模式、治理要求等总结而提出的。"管理安全"，不同于生产安全，环境安全、声誉安全等说法。

　　管理安全，是针对管理者在面对政府监管、外部舆论监督等高压力场景下，所期望的心理状态。在违规追责，纪检监察，外部审计等多重机制实施时，寻求"管理安全"，可以说是很多管理者的自然想法。合规管理建设，正是落实这些想法的主要路径。

　　这种类型的合规管理模式，以职责为基础。其建设路径是职责明确——职责落实——落实留痕。可以看出来，当前的国央企合规建设以及一些上市公司合规建设，反而应当大量采取该建设模式。至于具体如何开展本类型的合规管理建设，后文再述。

　　3. 战略赋能型合规管理。这种价值定位，是很多法务、合规人员愿意提及的说法。它是将合规视为一种工具，考虑如何更好地为业务提供服务。在业务有需要时，想到的不是合规控制，而是如何绕开合规控制，提出解决方案。

　　这种类型的合规管理模式，其出发点是好的。但如果是想突破一种硬性的合规要求，可能并不是很多人认为的"可想想办法"。因为，绝大多数违规的经营管理行为，是没有解决方案的，是没有办法可想的。除非改变这种经营管理行为，那些有的所谓“解决方案”，只是掩耳盗铃，自以为是。

　　对业务进行赋能，并不是合规的使命。也就是说，这种模式下的合规管理，不是说让合规人员去帮助企业如何更好的躲避监管，突破法律限制，而是说合规人员在提出合规要求时，要考虑业务需要。在一些时候，要与业务人员一起去调整业务，以适应合规规范。这才是我们所说的赋能。

　　4. 能力资产型合规管理。这可能是更高一级的合规管理价值定位了。所谓能力资产，是说企业的合规管理已达到可以帮助企业取得竞争优势，成为企业的一项无形资产。

　　这种资产，是基于合规能力的资产，区别于同行业的其他企业。很显然，这种合规管理价值，是任何企业都希望的。但是，它也不是任何企业都能做到的。

　　这种类型的合规管理模式，适用于有大量的合规数据，完整的合规技术，成熟的合规管理体系，包括制度体系和流程体系等场景下，这些机制和规范，在企业内已运行起来，时刻在为企业提供合规保障。

　　这种能力资产，似乎在成熟的金融企业和互联网企业以及垂直领域的制造企业可能更容易实现，借助合规管理，形成公司的一种能力，并在必要时可对外输出。