疫情后，企业的经营发展或多或少受到了一定的影响，多个基金和项目暴雷，引起立法、执法乃至司法界对企业合规内控制度建设与问责的极大关注，我们需要对企业合规内控制度的问题进行反思，解决现有规范下执行力弱、问责不到位的现状，把握并提升合规内控和问责的地位。为此，笔者尝试重点着眼于律师实务角度的研究与实践，从微观角度提出风险防控方案、促进提升立法整体水平。

中外法律人士都有一种共识,企业内控是企业健康与可持续发展的“奠基石”、预防风险与舞弊的“防火墙”、迈向资本与证券市场的“通行证”以及接受公众检阅的“试金石”。企业内部控制建设与《公司法》设置的董事的经营管理责任紧密，对于董事的内部控制要求伴随着董事信义义务而明朗化，形成以董事会为核心的内部控制模式。在西方,现代内部控制的理论与实践已有百年历史,发展至今,形成了以美国、日本等为代表的西方发达国家，都建立起体现本国特色的企业内部控制规范。其中，2013年美国反虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of the Treadway Commission，英文缩写COSO）发布的最新《内部控制整合框架》（简称“COSO报告”）已增加“反欺诈与反贪腐”的条款。而在我国，2008年颁发《企业内部控制基本规范》（财会〔2008〕7号）自2009年7月1日起在上市公司范围内施行、鼓励非上市的大中型企业执行，2010年制定《企业内部控制配套指引》并自2011年对在境内外同时上市的公司实施，标志着以基本规范为主、配套指引为辅的内部控制规范体系的初步形成。不仅跨国公司重视企业内控,而且政府部门、非营利机构等亦是如此，甚至在推行民主政治、反腐倡廉的进程中，也倡导内部控制的思想与方法。可以发现，内部控制已经成为或将成为社会经济生活中最受关注的焦点问题。

一场突如其来的大型公共卫生事件（新型冠状病毒肺炎疫情）给中国几乎所有的企业都带来或多或少的冲击，企业的各种问题、风险事件层出不穷。其中，因为缺乏有效的内控制度而导致企业关停并转破的案例、更有些是有了内控制度却未有效实施所引发的系列性基金暴雷案例不断发生、还有资本市场暴露出大量企业违规事件——例如控制人违规担保、董事会权力的失衡而让企业内部控制体系不得不面临诘难，众多问题吸引了包括立法、执法乃至司法界对企业合规内控制度建设与问责的极大关注。在疫情这么一个突发事件背景之下，尽管我们已处于后疫情时代这一特殊的背景中，企业经营的法律环境却更加混乱而复杂，企业要持续、健康发展，必须重振和加强对经营风险和法律风险的预防，重新评估企业内控制度的真实作用及其存在价值与执行意义显得尤为重要。

因此，我们需要对企业合规内控制度所暴露出来的问题进行系统反思与分析，评估公司法律风险以及全方位地控制公司经营发展中的潜在风险,是当下《公司法》和《商法》有关现代企业制度的重要课题,也是企业可持续稳定发展的重要保障。实施有效的法律风险管理,建立有效的内控体系,全面、系统、科学地识别、分析、控制法律风险而不让其流于形式,已成为当前企业经营发展中一项十分重要、紧迫的工作。

通常认为，企业合规与内控制度，都是公司治理中的两个不同角度内容。

（一）合规与内控的内涵

合规（Compliance）的概念最早起源于国外，针对金融领域，后来发展成为企业经营管理制度。我国在1992年的《审计署关于对金融机构贷款合规性审计意见》（署审电字(1992)１号文）中首次提及“合规”一词。近几年不断修订发展的《证券公司合规管理实施指引》（中证协发〔2017〕208号）、《证券公司与证券公司投资管理基金公司合规管理办法》（2017年证监会令第133号），以及国有资产监督管理委员会制定的《中央企业合规管理指引》（国资发法规〔2018〕106号）等，重新界定“合规”的内涵。银保监会、证监会、证券交易所还制定了众多对金融机构、上市公司的规则指引与规则要求，重申合规的含义。根据上述规定，笔者归纳了合规在中国法上的相关定义如下：合规，主要是指企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求；合规风险，是指企业及其员工因不合规行为，引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性；而合规管理，则是以有效防控合规风险为目的，以企业和员工经营管理行为为对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。由此可见，合规管理与风险预防具有密切联系，合规管理的目的在于“风险规避”与“风险治理”，具有事先预防的特殊意义。笔者在律师实务中接触的企业合规管理，既要包括反欺诈、反腐败、反贿赂与反垄断等内容，更要结合企业的内部员工管理制度，令企业运行过程中严格遵守各种法律制度、各种规范，从而事先防范和避免相关风险。

内部控制(internal control，简称“内控”)则更多的是一个财务会计上的概念，最早是在1912年由R.H.蒙可马利在其出版的《审计——理论与实践》一书中提出。1988年美国注册会计师协会（American Institute of Certified Public Accountants，英文缩写“AICPA”)发布的《审计准则公告第55号》中以“内部控制结构”代替“内部控制”。COSO报告则指出：内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。我国在财会〔2008〕7号文中给出了全面定义与范围：内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。而内部控制按其控制的目的不同，可分为会计控制和管理控制。笔者从律师实务角度的研究侧重于管理控制，以达到保证经营方针、决策的贯彻执行，促进经营活动经济性、效率性、效果性以及经营目标实现有关的控制。

因此，笔者认为，商法制度下的企业合规重点在于事先预防，而内控则更强调运行的过程，现有内控审计制度的存在，则更能说明此点意义。但无论如何，两者都是相互影响、相辅相成的公司治理的核心内容，对金融机构和大中型企业而言，更是如此。

（二）我国商法制度下合规内控制度的起源与价值

1、我国合规内控立法

综合上述对合规、内控定义的研究发现，我国真正对企业合规内控制制度的相关研究和立法可以追溯从20世纪90年代开始的。当时我国经济正随时改革开放而不断发展、并受国外内控制度的理论影响，我国自1993年起先后出台了包括《公司法》在内的诸多法律、法规、规章和规范性法律文件，对金融机构合规、大型企业内控制度的建立、原则、目标等方面都做出了相应的规定。我国的合规内控立法大致分为三个阶段：

（1）第一阶段——起步阶段

众所周知，由于我国的公司治理制度相对于国外发达国家建立发展较晚，第一部《公司法》直到1993年底才诞生、1994年7月正式实施，也使得我国企业合规内控制度的发展也相对晚于西方国家。

而早在1992年1月6日审计署发布的署审电字（1992）１号文《关于对金融机构贷款合规性审计意见》中第一条就已经将合规与内控牢牢结合起来——通过对贷款合规性审计，审查贷款管理与发放过程中存在的漏洞与问题，并提出健全内部控制制度的建议，促进其加强廉政建设，提高队伍素质。1992年底审计署、中国人民银行发布的《对金融机构贷款合规性审计的实施方案》第一条审计的目的则更加明确为：通过对金融机构贷款管理与运用是否合规的审计、揭露在贷款管理与运用中存在的主要漏洞与问题，促进其加强信贷管理，完善内部控制制度，加强廉政建设，提高资金运用效率。

1996年财政部颁布的《独立审计具体准则第9号一内部控制和审计风险》中对内部控制定义为“审计单位为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序”。人民银行、外管局、教委、交通部等部委也从会计审计角度纷纷出台了规范性文件，内部控制主要包括控制环境、会计系统和控制系统。1999年由全国人民代表大会常务委员会修订通过并于2000年7月1日实施的《中华人民共和国会计法》,是我国第一部体现内部控制要求的法律。它明确规定了公司内部会计控制的要求：“会计机构、会计人员依照本法规定进行会计核算,实行会计监督”,“各单位应当建立、健全本单位内部会计监督制度”。2001年财政部颁布的《内部会计控制规范—基本规范》是当时我国内部控制领域内最具权威的内控制度标准，也是上市公司进行内部控制实践的重要依据。但上述标准仍局限在内部会计控制领域，内容范围过于狭窄，体系不够完整，距离涵盖上市公司全面经营战略和管理过程的全方位、高视角的内部控制系统的管理要求还有相当差距。

而在当时国际内控制度已经发展经历了内控制度阶段、内部控制结构阶段以及内部控制整体框架阶段,更从财务控制、财务控制与管理控制相结合,发展到内部控制与风险管理相融合的全面控制阶段,内部控制范围已经范围不断扩大,早已超出了会计控制的范围。因此，当时中国的内控制度与国际内控制度相比存在一定的差距。

（2）第二阶段——逐步发展阶段

21世纪开始由于受到国际社会内控制度的快速发展以及亚洲金融风暴事件的影响，我国更加重视金融机构的内部控制和风险管理。

2001年,中国证监会颁布了《证券公司内部控制指引》（已失效）。2002年9月，中国人民银行颁布了《商业银行内部控制指引》（已失效）,规定了商业银行内部控制的概念、目标、内容,对商业银行的主要业务领域的内部控制提出了具体要求，明确规定内部控制应当包括内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正五大要素。2003年12月15日，中国证券监督管理委员会颁布了修订后的《证券公司内部控制指引》（已失效）,将证券公司内部控制定义为“证券公司为实现经营目标,根据经营环境变化,对证券公司经营与管理过程中的风险进行识别、评价和管理的制度安排、组织体系和控制措施”,并要求证券公司定期评价内部控制的有效性,并根据市场、技术、法律环境的变化适时调整和完善。2004年12月25日，中国银行业监督管理委员会颁布了《商业银行内部控制评价试行办法》（已失效）。这是我国第一个关于内部控制评价的办法,旨在通过加强对商业银行内部控制的评价，督促商业银行进一步完善内部控制体系,从根本上建立风险管理的长效机制，保证商业银行安全稳健运行。

（3）第三阶段——全面发展阶段

2005年，全国人大常委会颁布了《中华人民共和国公司法(2005年修订)》,对1997年公司法作了多处修改，完善了现代公司治理结构,其中某些方面的修改内容对公司内部控制的加强也具有重要意义。新公司法引入了独立董事制度,规定上市公司设立独立董事,并规定独立董事是指与其受聘的上市公司及其主要股东不存在可能妨碍其进行独立客观判断的一切关系的特定董事,从而为改善公司治理、提高监控职能的目的,为实现公司价值与股东利益的最大化提供了制度保证，具备积极意义。此外，公司法新增了董事等高级管理人员的责任。例如，新公司法第150条规定：董事、监事、髙级管理人员执行公司职务时违反法律、行政法规或者公司章程的规定，给公司造成损害的,应当承担赔偿责任；第152条规定：董事、高级管理人员有本法第一百五十条规定的情形的,有限责任公司的股东、股份有限公司连续一百八十日以上单独或者合计持有公司百分之一以上股份的股东，可以书面请求监事会或者不设监事会的有限责任公司的监事向人民法院提起诉；监事有本法第一百五十条规定的情形的,前述股东可以书面请求董事会或者不设董事会的有限责任公司的执行董事向人民法院提起诉讼，从而明确了公司高管的勤勉义务。

2007年,中国证监会颁布了《关于开展加强上市公司治理专项活动有关事项的通知》（现行有效）,并于2008年颁布了《深入推进上市公司治理专项活动有关事项公告》（现行有效）。两部法规都对上市公司的内控制度做出了相关要求,并从内部控制的定义、内部控制的原则以及内部控制的目标等方面进行了具体规定。除了加强对上市公司内部控制要求以外,2006年,国务院国有资产监督管理委员会发布了《中央企业全面风险管理指引》（现行有效）。这份指引强调,企业全面风险管理是一项十分重要的工作,关系到国有资产保值增值和企业持续、健康、稳定发展。中央企业应当根据自身实际情况贯彻该项指引,以进一步提高企业管理水平,增强企业竞争力,促进企业稳步发展。因此,在这一阶段,我国的内控制度开始逐步加速,首先加强了对金融机构、上市公司以及中央企业的内部控制要求,但还未将内部控制要求全面铺开。2008年,财政部、证监会、审计署、银监会、保监会联合印发了财会〔2008〕7号文，提出了企业内部控制的五个要素：内部环境、风险评估、控制活动、信息与沟通以及内部监督，开启了我国内控制度建设的篇章。2010年4月，财政部、证监会、审计署、银监会和保监会又联合发布了《企业内部控制配套指引》（财会[2010]11号），包括《企业内部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计指引》在内三个指引文件，标志着融合国际先进经验、结合中国实际的企业内部控制规范体系基本建成。

而与此同时，在《公司法》之后，《商业银行合规风险管理指引》（银监发〔2006〕76号）、《商业银行合规风险管理指引》（银监发〔2006〕76号）、《证券公司合规管理试行规定》（证监会公告[2008]30号》等逐步规范推行，合规管理与内控制度平行发展。

近年来，随着中国企业逐步做大做强,企业本身的运营以及所面临的市场环境都越来越复杂。此外，市场经济的发展和企业环境的变化,越来越多的企业开始意识到全面风险管理的重要性,社会各界对于制定统一的内部控制标准的需求也越来越强烈。属于公司法商法制度中平行发展的合规管理与内控制度该何去何从呢？

2、我国商法制度下合规内控制度对企业的价值

法的价值，是研究我国企业合规内控制度的意义所在，法的价值是以法律制度对人（法人或自然人）所具有的意义。

在社会各界对企业相关配套的公司治理和监督机制的需求日益增加的时代，其对企业合规内控制度体系的要求也越来越高，面对突发的紧急情况也需要企业内控制度的进一步的完善。

新冠疫情对个人的直接致命危害即便已经下降至可控程度，但其作为突发事件，对企业的影响深刻而久远，外因作为矛盾引发的因素，如果内因客观存在，那么，对企业的损害将是巨大的。研究疫情后我国商法制度下合规内控制度、并加以完善，即是法的价值所在，更是历史的必然。

（三）境内外关于企业合规内控制度的比较分析——以中、美、日及国际惯例为蓝本

1、美国的企业合规内控制度

美国的企业合规内控制度主要经历了三个重要的时间节点，即《反海外贿赂法》的颁布、COSO机构的设立、安然事件后《萨班斯法案》的颁布。

（1）《反海外贿赂法》的颁布

上世纪70年代，美国以及世界其他地区曾爆发了大规模的公司会计欺诈和公司内部控制失效的事件，本世纪初也发生了大量类似事件。早期事件直接促使美国1977年出台了《反海外贿赂法》(Foreign Corrupt Practice Act, 英文缩写FCPA)，促进企业更加重视内部控制概念的运用，FCPA虽然第一次规定了管理层有义务在企业内部保持适当的会计控制系统，但是没有要求审计人员证实企业是否遵照相关法案的要求来规范其内部控制。在此之后，FCPA虽然历经1988、1994、1998年三次修改修订，但修订也只限于加强和改善其反腐败条款。

《反海外贿赂法》主要的两大类条款——反贿赂条款（Anti-bribery provisions）和会计条款对跨国公司的合规管理影响深远。反贿赂部分规定了向外国官员支”付贿赂的违法性，会计部分强化了对帐簿制作及内部会计的要求。“反贿赂准则”明确规定：第一，禁止向外国官员提供现金或其他贵重物品以获得或保留业务；第二，禁止向外国官员提供现金或其他贵重物品以求在法律或法规制订方面获得额外利益，或其他优惠待遇；第三，禁止向第三方提供现金或其他贵重物品，并且明知其中部分或全部将提供给外国官员以获得不公平或非法的优惠待遇。FCPA禁止提供款项给第三人，如代理人、分销商或契约伙伴，并且明知其中部分或全部将提供给外国官员，以对决策产生影响力，帮助美国公司或美国上市公司获得或保留业务。“明知”是指意识到某种结果的发生是“确定的”，或某种情况的存在或者存在具有“高度可能性”。FCPA并不要求确切知道公司代理人或合伙人的具体行为。有目的地忽视将不能保护公司或个人免遭追诉。因此，员工不能对违反FCPA的活动视而不见。“会计准则”则明确要求公司要建立会计和帐簿控制制度，以防止“贿赂基金”和“帐外帐”的出现。FCPA要求公司制作并完整保存帐簿、帐户、档案等准确，以便真实地反映出公司的交易往来和资产处置情况。上述材料应该包括任何直接和间接同外国官员相关联交易的信息。严厉禁止建立任何未披露、未记录或其他秘密的公司资金或资产，及在公司帐簿和记录中录入虚假帐目等行为，以掩盖用公司的资金或资产进行任何不道德、不适当或不合法的交易。当然，公司其他制度规定的交易和支出需获得批准的，及遵循其他会计控制和程序的除外。[1]银行金融机构同样需要建立此会计和帐簿控制制度，并保存全部会计资料。

而无论是反贿赂条款还是会计条款，均对具有涉美连接点和分支机构的跨国公司年度合规审计工作产生直接影响。

因此，在笔者看来，虽然FCPA属于内控制度的范畴，但内容与企业合规的研究范畴存在交叉重合。

（2）COSO内部控制框架

1985年，美国反虚假财务报告委员会National Commission of Fraudulent Financial Reporting成立了发起人委员会（COSO），专门研究内部控制问题。1992年，COSO发布内部控制框架，公司可根据该框架审核其内部控制的有效性。最初的COSO内部控制框架定义内部控制为：“内部控制是一个流程，受到一个组织的董事会、管理层以及其他人员的影响，为达成以下战略目标提供强有力的保障包括运营的效率和效果、财务报告的可靠性、遵守使用法规的法律法规”，认为内部控制的五要素为控制环境、风险评估、控制活动、信息与沟通、监控活动。1992年后，COSO内部控制框架不断被完善，并且其所提出的内部控制理念也被美国大量公司所采用。

不难看出，COSO将内部控制的最终目的表述为合规——即遵守法律法规。

（3）《萨班斯法案》(Sarbanes-Oxley Act,英文缩写“SOX”)

安然公司（Enron）原是世界上最大的综合性天然气和电力公司之一，在2001年宣告破产之前、2000年披露的营业额高达1010亿美元。由于持续多年地精心策划制度化、系统化的财务造假丑闻被曝光，这个千亿资产的公司在2002年破产了。安然事件给美国乃至全世界的资本市场造成了持续深远的影响，曾经享负盛名的安达信会计师事务所也因牵涉其中而被迫解体倒闭。“安然事件”从此成为了上市公司财务造假和企业欺诈的代名词。[2]同时，安然事件直接导致了《萨班斯法案》(Sarbanes-Oxley Act,英文缩写“SOX”)的诞生——美国第一部与内部控制有关的法规。其目的在于增强财务报告审计的规范程度，并且纠正董事会、会计师事务所以及其他实践活动中出现的问题。

萨班斯法案全称为《2002年公众公司会计改革和投资者保护法案》，由参议院银行委员会主席萨班斯（Paul Sarbanes）和众议院金融服务委员会（Committee on Financial Services）主席奥克斯利（Mike Oxley）联合提出，又被称作《2002年萨班斯-奥克斯利法案》。该法案对美国《1933年证券法》、《1934年证券交易法》做出大幅修订，在公司治理、会计职业监管、证券市场监管等方面作出了许多新的规定。法案的第一句话就是“遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。”法案对在美国上市的公司提供了合规性要求，使上市公司不得不考虑控制IT风险在内的各种风险。

因此，美国作为判例法国家，已通过三个重要的时间节点和不同的法案演进史，将企业合规与内控制度融为一体，共同推进对公众公司的公司治理法则。

2、日本的企业合规内控制度

日本的内控制度是成文法国家的典型，其以国家的法律法规为基础——直接依据《公司法》和《金融商品交易法》的授权而制定。

二战之后日本效仿美国的政治体制和经济制度,于20世纪40年代末颁布了《证券交易法》，要求上市公司在上市申请时和每个会计年度末提供经注册会计师审计后的财务报告，同时还颁布了《注册会计师法》明确规定注册会计师应有的权利与义务。

美国安然事件之后，2001年日本也对当时采用的会计、审计制度进行了研究，修订了原有相关的法律和会计、审计准则，并从2002年起接受了美国的《萨班斯法案》,加强对内部控制理论和实践的研究。随着经济活动的实践与论证，金融商品交易的扩大，日本国会于2006年通过了日本版“萨班斯法案”——《金融商品交易法》，以此取代原《证券交易法》规范的会计和审计行为，并将对企业内部控制评价及审计的要求列入法律。该法律为实施内部控制报告准则提供了直接的法律依据。与此同时，为适应现代企业经营管理的需要，2005年6月日本法务省将原《商法》中有限责任公司部分和原《商法特例法》内容合并，颁布并实施了《公司法》。《公司法》直接规范上市公司和非上市公司以及大、中、小公司型企业的会计和审计制度。

3、有关国际惯例

提到FCPA与合规，必须提及“行贿黑名单”体系。自上个世纪80年代以来，越来越多的西方国家通过了类似美国的FCPA法规，以打击本国海外跨国企业的海外贿赂行为。越来越多的国际组织也先后通过各种方式，打击海外贿赂行为并强调该行为的巨大危害。“行贿黑名单”体系已经被纳入到全球的信用管理体系之中，如今己经作为国际上日益重要的合规管理手段。“行贿黑名单”已作为对全球跨国企业以及对各个国家的信用实施评价的标准。

不论是世界银行的“黑名单”、还是我国最高检的“国家级行贿人黑名单”，一旦有金融机构上了“黑名单”，都面临着处罚和业务受限。因此，越来越多的银行、金融机构从自身发展的角度出发，更加注意在国际业务中的合规与内控管理制度的全面合理性，同时遵守属地法、与本国法，这也是国际惯例对跨国公司公司治理与经营规则的直接影响和体现。

4、小结

从美国和日本的合规内控制度的修改与发展史可以看出,在2006年之前，中美日在内部控制的概念、目标和要素上还存在巨大差异；而当前,我国内部控制的法规制度和职业标准形成一个较为完整的体系，并逐步从传统的财务会计领域朝着公司治理、风险防范等企业发展的方向迈进。与国外的立法层级相比，调整我国企业合规内控制度的规范文件在法律效力层级上基本属于部门规章和规范性文件，这也是我国审计署未将该等立法权整合的结果。

尽管2008年的《企业内部基本规范》及2010年《企业内部控制配套指引》已将我国的内部控制目标概括为：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整；提高经营效率和效果；促进企业实现发展战略，并为我国企业进行内部控制建设提供了操作性较强的实务标准、指南和框架。这体现了我国内部控制与国际准则、国际惯例接轨的良好态势，也充分说明了内部控制是为实现企业经营目标而设计执行的政策和程序，反映了实施内部控制的利益驱动力所在。[3]但是，内控是手段、是为了治理，合规是目的、是为了防范，两者又怎能严格区分拆解呢？

如前文所述，在我国由于企业合规与内控制度是分平行立法与修改发展，被撕裂，因此，在内容、手段、与最终执行层面无法起到良好的效果。尤其是在发生风险事件后，问责与追究效果极其无力。疫情后的种种事件表明，合规的预防效果基本经不起经济形式下滑的考验，风险事件发生后，问责不严、处置无力，令合规内控表现为一纸空文！

（一）管理层违规经营

疫情后，大量企业因疫情面临经济损失，也打乱了其原有的工作节奏，企业面临着营业收入下降、租金工资等综合成本压力，随之而来的裁员压力等等。在此种情形下，少数上市公司违反其披露的公司内控制度，进行违规操作——内幕交易、市场操纵、信息披露违规以及高管违规等，层出不穷。

首先是内幕交易违规。内幕交易主要阐述的是泄露内幕信息的行为，在证券市场上各种信息均具有价值，当市场参与者中的某个个体打破市场秩序时，则会出现交易某方利用内部信息从而谋取暴利的情形，这是一种违背公平交易、机会均等规则的交易形式，通常泄露内幕信息会带来不可估量的利益流失，严重违规者应承担刑事责任。因此无论是利用他人泄露的信息进行交易，还是依靠自己获得内幕信息进行交易，均应当受到监管部门的处罚。

其次是市场操纵。市场操纵是指操纵股价，使得证券市场中流通股票的价值与实际具有的真实价值不符，导致投资者被蒙蔽了双眼，依然遵循市场上行业情况判断是否要购入或售出，因此可能存在低价卖出高价买入的亏损行为。相比较之下，市场操纵者则能够预先看到市场走向，按照预期计划进行投资决策，从而谋取暴利。市场操纵会导致证券市场无秩序可言，也违背了公平交易、机会均等的原则，从某种程度上来说，少数人控制了整个证券市场，经济市场形同虚设，流于形式，所以应严厉制止市场操纵的行为。

最后是信息披露违规，是指企业对外披露的信息不真实、不完整。这些违规经营操作若能在完善的企业合规内控制度下，能够获得一定程度的避免。

现有痛点是，管理层的这类违约行为，真的只能由受害人主张维权、由监管部门处罚吗？为何不能在立法层面直接引入企业内部合规管理中的问责机制呢？

（二）公司治理架构出现漏洞

疫情之下，大量企业面对严峻的经济形势之下，也暴露出公司治理的漏洞。

1、股权结构不合理

在我国，很多企业都是股权高度集中，并且大都达到绝对控股的层面，即“一股独大”。这一现象严重影响了全体股东表决的意义。全体股东决定的出发点是实现全体股东利益最大化，而大股东则会从自身利益出发进行表决，从而影响决策的正确性，也增加了中小股东参与公司治理的成本，打击了中小股东对公司治理的积极性。企业合规的依据但是大股东的一言堂，人治盖过了合规，内控控制的是大股东以外的外人。一旦大股东“失联”，公司陷入僵局或死局。

2、董事经理职权不清

董事兼任经理有了两种身份，使得大股东身兼决策权、经营权于一身，在监督机制很薄弱的情况下为大股东提供了控制公司的契机，使总经理和部门经理负责公司经营成为了理论上的可能、实质上的空谈。而当董事授权无度，使总经理和部门经理负责公司完成经营而不受限制时，经理层将逐渐架空董事会而实际控制公司，经理与公司所追求的价值目标不一致将成为董事成员与经理的最终矛盾。近年来上海家化、雷氏照明的争议困局，也展示了收购后董事会与经理层职权不清、价值观相左后的结果。

3、监事不能真正履行其监督义务

《公司法》通过列举的形式表述监事的职权，使其在履行其它监督时没有法律上的依据，而不能有效制止董事和经理的不良行为。监事在知情权上未能给予充分的权利，不足有效的对公司的情况及时有效的了解，其信息是断续、不完整的，加大了监事成员履行其义务的成本。

因此，《公司法》之后的公司治理制度中，内部监管职权与外部独立董事权限与履职考核，必须借鉴与引入合规管理中的问责机制，强化考核与监督、落实退出机制与惩罚措施。

4、经理层缺乏激励和约束机制

公司治理结构中，公司股东大会对公司重大事项行使表决权，企业董事会对股东大会负责行使监督企业的经理层依法履行职责，经理层对企业具体工作实施决议、开展经营和管理企业的生产活动。[4]由于公司经理处于一个奇特的地位，他们既不是公司所有者，也不是利益的最大受益者，在某种层面上，他们就是一个高级打工者。因此，经理通常会在其绩效得不到有效反馈时选择不合作或损害公司的行为。疫情之下，经理层更是很难在没有动力和压力的环境下，积极的履行其勤勉和忠诚义务，有些甚至面临被裁员。此时，对公司治理结构不够健全、尤其是对经理层缺乏激励和约束机制的公司而言，如果不能有效的控制所有的经营管理行为，将为核心经营人员违背内控制度、逆向选择、侵犯公司利益提供机会。

（三）现有的企业合规内控制度流于形式，缺少执行力

完善内控制度是企业管理的必然产物，也是企业合规管理的内部依据（相较于企业外部的法律、法规、规范性文件和国际惯例等）。目前，大多数企业的内控制度存在着严重的不完善、不严密、不合理，许多内控制度是为了应付一些部门的要求和检查而敷衍设计的。一些企业虽然制定很多内控制度，但在实际生产经营活动执行的过程中，由于操作人员素质不高、管理层不够重视等很多方面的原因，使内控制度的执行力大大削减，导致企业一些内控制度形同虚设，不能充分发挥其控制作用。还有一些企业为了应付上级主管部门或监管机构要求或者是满足企业对外信息披露的需求，表面上制定了一些内控制度，但在生产经营与管理中根本没有落到实处。

目前,我国合规与内控制度通常以《指引》等规范性文件的形式出台,其中内部控制虽然规定了企业内控“应该”如何做,但并未明确不这么做的后果。因此,我国目前内控制度的强制力和执行力都不强,相关规定中也并未明确相应的罚则,企业若不执行,也不会受到相应的惩罚,因此,对企业的经营管理并没有明显的强制力。笔者认为，合规管理为何会有教育、警示和预防作用，就是由其明确了问责与后果而产生了威摄力。

（四）企业合规与内控部门定位不准确

在实务中，企业往往偏重生产和销售工作，以及直接影响利润的工作，不够重视中后台的内部控制管理工作。企业的合规部门和内部控制管理与企业的各项业务息息相关，涉及管理层面的各个领域及各项经营活动，大体上与公司业务有关的各项活动和行为都属于内部控制的范畴。很多企业在经营管理过程中把内部控制与内部牵制划等号；一些企业把内部控制的重点大多放在内部监督上；还有一些企业认为内部控制就是加强内部各种制度规范的落实，企业完善内部制度后就相当于加强了内部控制等，并没有对内部控制有一个正确的认识，可见，我国企业在对内部控制管理的认识还不够，定位不准确。

笔者认为，合规的定位应当是要求企业在新产品、新业务诞生之前，先进行闭合测试，预测风险并加以提前防范，同时对企业和人员进行行为管理及风险事件的防控。而内控，则更讲求在现有公司治理制度的运行中，不断修正与完善制度中有关风险防范水平，在实践中执行包括问责和追责制度，处治不利后果。

不少企业在疫情中遇到经营困难，很自然会把疫情看作“祸首”，但其实疫情不过是一味“催化剂”、能够让企业早已存在的“病”显露出来的外因而已。市场经济的规律告诉我们，如果企业有完善的治理机制和内控制度，就会有足够的抗风险能力、疫情只会造成短期流动性困难、盈利能力下降，疫情过后优胜劣汰后一定会快递反弹体现成长性；反之，企业则应反思其自身存在的短板与漏洞，有针对性地找到解决方案，加以补齐。然而，近期金融与资本市场上某些上市公司的表现，又受笔者感悟到，疫情后中国商法制度中合规内控体系完善的几个方向。

（一）完善企业合规内控制度中的问责机制

问责机制（Accountability System）起源于西方民主政治制度，当行政官员被选民选举出来后，作为行政力量的一部分，其在行政特殊权力的同时，也承担着被追责的风险。其内在逻辑是“权、责、利相一致”。目前被西方企业广泛实施在人事管理制度中。

在我国的企业经营管理中，管理层在决策时握有较大的话语权，甚至有时会出现“独断专行”的情况，损害企业的利益。实质上形成了企业的管理者们做出的决策由企业全体投资人共同承担风险和后果的情形。尤其是疫情爆发以来，企业日常经营遇到风险和挑战，一旦出现违规决策，造成的后果将会十分恶劣，甚至影响到企业的存亡。因此，在企业推行问责机制、划分责任的同时，亦明确了每个人在企业内部的角色定位，使得企业的内控管理更加科学化、规范化、透明化，极大调动员工的工作积极性。同时也使各级管理人员备感肩负责任的重大，从而更加兢兢业业地努力工作，无论是厂长经理负责制，还是职业经理人都会努力避免失误的发生、损失的发生、亏损的发生，谋求最大利益。

推行企业问责机制时，可从以下两方面着手：

第一，企业问责机制的制定。在制定问责机制时，企业应当优先明确工作分工和工作责任，对各岗位作出尽可能完备、细致的规定，要明不同治理层级之间、正副职之间的责任，以便在实施责任追究时能够确定相应的责任主体，也让员工真正领悟自己岗位所负责任的内涵，认识到履行责任的重要性和必要性。与此同时，应当明确企业问责机制的实行机构以及主要负责人，在企业发生需要进行问责的事项后，由企业问责机构及时开始问责程序，尽最大可能挽救企业可能发生的损失。在制定流程方面，应当遵循公开透明原则，鼓励企业员工参与到问责机制的建设工作中来，积极听取企业不同岗位、层级员工的建议和意见。在制定完成后，企业应当本着公开透明原则，及时将制定完毕的问责机制进行公示，并邀请员工提出各自的看法，确保企业制定的问责机制真正落实到企业的现实基础之上，真正为企业健康发展做出贡献。

第二，企业问责机制的实施。高效实施是制度发挥作用的重要保障。问责机制建立后，企业应当在内控制度框架下，开展相关工作。当发现问责事项后，企业问责机构依照问责机制启动问责程序，确定问责对象。在问责事件发生后不仅对人进行问责，还要进行制度层面的问责，进而进行制度的改进。企业在推进问责程序时，应当根据重要性原则，确定问责事项。问责的目的在于发现企业合规和内部控制中存在的问题，从而帮助企业更好地发展、保障中小投资者利益。因此，不能不分轻重大小把企业所有问题统统拿出来问责。企业问责机构应当将时间和精力集中在影响企业发展的重大问题之上，诸如重大決策程序执行不力，个人独断专行，导致重大決策失误的，工作失职导致企业重大损失，可能导致安全事故、人员伤亡的重大风险事项等。与此同时，企业问责机构在进行问责时，应当坚持“结果和过程并重”原则。当出现问责事项后，不能仅仅依据结果就对相关员工进行问责。在问责事项发生后，不能仅看事情的后果，还要看员工处理事情过程中的态度和补救措施是否及时、努力和负责，要把这些因素在核定责任时考虑进去。若出现问责事项后，员工积极采取措施，仅最大可能挽救企业损失，那么其责任自然需要轻一些。若“不分青红皂白”对员工进行问责，既无法挽救企业损失，亦不利于员工的成长。

第三，特别情况从严问责。重大风险事件或刑事案件发生后，需要严格落实责任追究，坚持“双线”问责，有责必追、追责必严。发现涉嫌违法犯罪的，及时移送监察机关、司法机关处理，积极配合有关部门查清犯罪事实，不得以纪律处分或者解除劳动合同代替刑事责任追究。应建立健全案件整改跟踪督办机制，通过实时跟踪、定期督办、适时通报等管理督办措施，有效督促业务部门和案发机构做好案件整改工作。审计部门对案件整改的有效性开展独立验证。现实中，案后整改与问责往往被刻意忽视，毕竟兔死狗烹的心理影响着大多数金融从业人员。因此，就企业合规内控制度而言，可以结合监管机构最近两年从严问责的要求，对特别情况从严问责，作为内控制度新内容发布。

（二）“预防”+“执行”的双向企业合规管理措施

目前，企业所制定的合规内控制度普遍流于形式，其实际的执行力存在较大的问题，没有做到“违法必究，执法必严”。因此，企业应当完善内控制度，预防内部可能出现的风险事件，增强内控制度的执行力，以企业内部守则、规范或制度的形式明确内部各层级的合规责任，使责任具体化。

一方面应当建立合规的防范体系。所谓防范，是指针对可能的合规风险所采取的预防性措施。防范体系通常由以下四个要素构成：一是及时有效的风险评估，定期和不定期地对公司运营过程中存在的合规风险进行识别和评估；二是基于合规风险的尽职调查，由合规部门针对合规风险，进行调查和研究，提交合规风险报告，并研究制定和实施降低风险的措施；三是合规培训和教育，针对敏感位置的员工进行有针对性的合规培训和教育，针对全体员工则进行全员性的合规培训，以帮助员工了解法律法规和内部规章制度的最新变化，传达高层关于合规的最新政策和措施；四是持续的沟通和指导，合规部门应与管理层和员工进行持续不断的沟通，帮助其了解处理合规风险的方法和经验，解答有关合规管理的疑问和难题，将诚信和合规理念融于员工的思维之中，形成一种合规文化。

另一方面，建立合规监控体系，明确管理层及员工的职责，加强监管执行力。一是合规控制管理，企业的每个高管和每个员工在其职责范围内，应对每一项业务活动是否存在违规行为，进行可持续的控制管理；二是审计与内部控制，公司审计部门应与合规部门分离，从而对公司运营过程是否存在违规行为进行双重审查；三是投诉机制，全体员工应有机会并能便利地向合规部门进行投诉，以便反映公司运营中存在的违规行为，这种投诉应得到及时高效的处理，并使投诉者受到保护；四是报告机制，公司合规部门应定期和不定期地就公司合规体系的实施状况以及相关的合规风险，向高级管理层乃至董事会进行报告，以便使后者能迅速及时地了解合规体系的实施状况。

（三）明确企业合规与内控制度的定位

目前,仍然有许多人对内控制度存在错误理解,认为内控制度仅仅与企业中某些人的工作相关,或将内控制度的实施与日常工作完全分离。事实上,内部控制体系的建设不仅是内部控制体系建设人员的职能,更是内部控制体系所涉及的每一岗位、每位员工均应明确的职责。因此,建立对内控制度的正确认识,明确企业合规内部控制的定位，理解内部控制体系的实质涵义并掌握必要的风险控制知识,树立正确的内部控制企业文化对内控制度的有效实施是非常重要的。只有当公司全体员工都正确理解合规与内部控制的含义,增强合规与内部控制意识,才能保证内部控制相关立法的贯彻实施,从而达到内控制度有效实施的最终目的。

面对疫情这一突发事件，企业合规内控制度不断受到挑战，在此背景下，暴露出现有的企业合规与内控制度的“痛点”及问题。虽然建立、完善内控制度需要投入成本，但随着企业规模的不断扩大,面对的内部、外部环境也日益复杂,建议完善我国现有公司法商法制度中有关企业合规内控的制度研究则显得必不可少,特别是对于金融机构、上市公司和大型国企而言，合规管理与内控制度是相互依存、密切影响的，将两者撕裂、分别研究立法的现状亟需改变。因此,要求建立完善企业内控制度和法人治理结构、将企业的合规与内控责任明确到管理层中的具体成员，同时，有权的立法机关通过修订和完善相关法律强制性规定、突出违法必究，执法必严的原则，明确企业管理层的内部控制责任以及具体罚则,以立法的形式加强和提升问责机制的法律位阶和效力，才能最终推动有效加强合规与内控的执行，避免出现违规操作、治理结构漏洞等问题，提高企业的综合发展水平和抗风险能力，防止发生系统性风险。