海外投资安全信息2023年第十四期（总第一百五十四期）

中兴通讯对合规风控的认知和管理进阶之路

【2023028】

【预警保护伞】

作为现代企业治理的重要组成部分，合规已经成为企业防范经营所在国市场法律风险、提升综合竞争力的重要手段，而长期陪伴企业成长的内部法律顾问以其在更有针对性的具象性风险控制方面的不可替代作用，业已被企业所认可和重视。

回顾中兴通讯自2018年以来的合规体系建设和实践的探索过程，作为内部法律顾问，我们对于合规风险管理的认知也在这个过程中逐步升级。在合规建设初期，我们形成了“以管理为导向”的合规体系建设思路。如2019年我在面向公司内外部的公开信中所说，公司开始从合规文化建设、合规资源投入、流程制度建设和专业能力提升四个维度进行了变革或加强，多项措施并驾齐驱助力出口合规项目提升。在此基础上，通过对放之管理领域而皆准的出口合规项目（ECP）体系化建设理念的深入探索，围绕着八要素所揭示的完整体系建设所需覆盖的关键模块，公司投入了巨量资源助力自上而下快速地建立建成合规管理体系。随着内部法律顾问对合规底层思维的深入理解和掌握，我也在不断思考不同时期所应采用的风险治理策略。2020年9月我在一封信中提到，随着合规治理进入“深水区”，我们需要将对风险的关注前置以避免不分场景的僵化遵从规则，逐步形成“以风险为导向”的合规管理体系。在上述合规体系建设的历程之中，我们的专业能力也在逐步实现进阶，能力深化就是我们实现“固本强身”的不二法门，通过对知察、尽调、筹划和闭环四级能力的不断深化打磨，企业法务也在逐步参与企业治理并帮助企业走得更加长远。

可以说，合规风控的进阶之路不仅指征着从业人员认知的升级更是指明了合规治理理念的迭代。有了业已建设完工的合规体系框架、专业的从业人员能力作为基础，接下来的治理精细化乃至定制化、产品化也成了顺理成章的事情。

谈及合规的风险控制思路，离不开“风险-管控-流程-工具”。在我看来，这四个词语表征着企业合规体系建设从无到有、从有到优的不同阶段，以几何学里的“点、团、面、体”基本元素做比喻或许会更加形象。结合中兴通讯现有的合规实践和成果，如何理解企业合规风控的进阶路径，是我想与诸位探讨和分享的内容。

“合规风险”本质为一种不确定性。在此基础上，我想进一步引入“抽象性合规风险”和“具象性合规风险”两个概念，前者主要是是宏观的、概括的、潜在的合规风险，后者则是微观的、纯粹的、现实的合规风险。以出口管制合规为例，尚未建立或未完全建立企业合规体系的公司仍存在因购买美国物项会产生被处罚甚至制裁的风险、基于美国《出口管制条例》（EAR）的域外效力应尽量减少购买美国物项等认知，此类对于“风险”的模糊性认知属于抽象性合规风险理解层面；而是否存在出口管制合规的具象性风险是需要结合业务开展实际对主体、国家、物项和最终用途的四要素所进行的综合判断。以营销场景为例，客户关系管理包含客户数据管理和客户拓展活动，并不涉及具体的物项销售及明确的最终用途，因此不存在物项、最终用途相关的出口管制风险；但在发起签约评审时，合同信息已经清晰，确定该项目是否涉及“受制裁国家/地区”、“受限制主体”或受EAR管辖的销售物项，对应受EAR管辖物项是否获得适当的出口授权以及合作的最终用户与最终用途信息与原先合同信息是否一致等活动都会帮助我们判断出口管制合规风险，相应的合规管控嵌入节点也更加明确。

作为企业内部法律顾问，识别具象性业务合规风险是基础性能力。随着近两年内部“能力内化”工作的持续推动，对外，面对域外性的法律解读和行业风向捕捉问题上，中兴通讯各合规域均已基本实现对外部法律法规的机制化的动态追踪及政策解读。对内，三大合规域均建立了以风险评估为基础的规则体系。举例说明，我们在《中兴通讯出口管制和经济制裁全球合规手册》中已针对不同业务领域内的各个业务流程所涉及的主要出口管制合规风险建立了相应的合规风险矩阵表，确保对所有业务活动潜在出口管制合规风险的“应识尽识”，进一步凸显了企业内部法律顾问的独立价值。

在具备具象性风险识别能力的基础上，明确合规规则的出处与遵从基线，是建立以风险为导向的合规管控的依据和载体。正如我在此前分享中提到的，需要结合企业当前的风险偏好和治理实践，深入了解业务范围内的合规风险，在内部规则中明确哪些是外部法律法规要求、哪些是企业风险偏好选择、哪些是企业基于模糊的法律法规所做的进一步细化管理。

同样以美国出口管制法律为例，EAR并没有绝对禁止与受制裁国家或地区的合作。但在《中兴通讯出口管制和经济制裁全球合规手册》中，我们仍然规定中兴通讯不得与来自受制裁国家/地区的主体开展任何业务。此项企业内部政策比EAR要求更加严格，就是企业基于全球业务布局平衡和自身风险偏好下对合规管理要求的进一步明确。

在中兴通讯的金字塔形三级合规规则架构中，董事会确定公司经营政策，即公司当前经营的风险偏好和经营红线，此作为规则金字塔的第一级；法律合规COE基于外部法律法规和内部公司政策确定本合规领域下的合规手册总册，形成规则金字塔的第二级；BU合规结合具体实际业务开展情况，完善合规分册中不同领域的合规指引和要求，形成金字塔结构的第三级。

“由点及线”，流程嵌入是合规管控的具体落地。为响应“本土化”需求，企业需要基于合规规则制定情况在业务流程中融入关键管控点（KCP），以避免产生合规与业务“两张皮”的现象。

如在出口管制合规领域，为有效地实现出口管制合规风险管控，2016年我们就开始梳理端到端的关键业务流程，并进一步与外部咨询公司合作完成了母公司及部分子公司业务系统与出口管制合规管控自动化系统的集成对接，目前已实现筛查工具在关键业务流程中的嵌入，确保出口管制合规规则在业务流程中的最终落地。我们通过数字化、IT化将合规管控点嵌入到流程中落地执行，使得合规风险在整体业务流中处于可收敛状态。

类似“先把书读厚，再把书读薄”，中兴通讯在合规管控全面嵌入业务流程的基础上，通过工具“产品化”促进合规“低感”、“无感”，提高业务效率、改善用户体验，确保规则得到有效执行的基础上进一步实现降本增效。

通过不断地复盘和优化，公司特定合规领域正在确保充分理解公司业务规律、准确识别公司业务风险和明晰公司运营战略方针的基础上，经历着从使用线下模板、线上工具到自主设计合规风控自动化系统工具的演变阶段。

以出口管制合规实践为例，2016年开始我们尝试探索与某外部咨询公司合作完成公司业务系统与出口管制合规管控自动化系统的集成对接，基本覆盖受制裁国家或地区、受限制主体扫描以及对产品受控程度分析和占比计算等功能。在此基础之上，基于中兴通讯下辖子公司多法域法规遵从、信息安全保障、资源投入控制等需求以及使用多重企业管理系统等特性的综合考量，公司法律合规联合数字化团队自主研发设计了全球首款轻量级SaaS数字化合规商业系统——出口合规扫描系统（Export Compliance Screening System，ECSS）。