内部干货 | CEO必备的10条合规修养

今天讲的可能跟各位理解的合规有不一样的地方，这些内容站在创业者或CEO角度写的，可能会有启发和帮助。

一、三点观察视角：游戏规则变了

（一）割裂的世界

有投资人问我，假如政府换开始放松监管，合规生意还能不能搞？当时讲的逻辑是在强监管环境和提出“高质量发展”的新思路的背景下，必然会搞合规，高质量发展非常重要的背景是全球游戏规则在重建。

中国如果商业领域，在全球需要有自己的新的位置，面临新的发展阶段，必须要过的坎。国内去年才成立反垄断局，开始细化反垄断相关的法律，但是美国是在1912年，中间大概差一百多年，在制度建设，游戏规则方面的很多领域里面跟对方差的距离是比较大的。数据合规，欧盟是17年搞的数据合规GDPR，迟了一点。

今年10月7日的时候，美国发文，实体清单和制裁领域里面有很大变化。以前是正面清单，在里面的事情管，现在出负面清单，就在里面之外的都要管。还有以前针对实体，针对企业还有企业经营行为的部分，但现在开始针对人，打击面一下子从原来10可能变成1000，国内半导体芯片行业最近有很多美籍高管，受了很大影响。之前很多科技企业跟投资机构讲的时候会说born to global 生而全球，现在全球就有点困难了，逻辑讲不通，合规成本有可能是以前的10倍或或则100倍，甚至直接不让你干了。这是非常关键的点。

中国的很多企业在出去的时候经常被别人打，那它打的武器不是经济层面的，不是军事层面的是吧，也不是品牌层面、宣传层面，它打的是什么层面呢？它打的是游戏规则层面。

整个国家都要开始新游戏规则。那么游戏规则，以前的话在大部分情况，美国在整个全球商业体系里面，是主导的核心。美国10月7日号出制裁的事情，说白了耍流氓（维持自己竞争力的手段），不服吗？就搞你。

生意的逻辑要把握宏观，从宏观角度来讲，在遥远的大西洋那边发生的事情，关系是非常大的。而且这是个长周期，不是短周期的事情，可能至少 30 年起。

（二）涉政的红线

第二个站在国内比较特殊的政经生态角度，法律比较小的维度，在政治尺度里面，它不是按照既定的规则和商业逻辑来处理事情的。

左边图里的致歉和反思是张一鸣写的。当时查为什么要把这些不好、三俗的内容推给用户，他们反馈说，这是算法，是这些人喜欢看这些东西，算法自动会推荐这写内容。提出“技术中立，算法无罪”，很信这一套东西，估计很多搞技术背景的CEO，是很信他这一套的。当时看来也没有问题，没返犯什么法但是对不起，必须打脸，张一鸣也要出来公开道歉。还很非常典型的案例，快播，创始人直接被抓进去了。

再讲个案例，去年是2021年，建党100周年。某行业媒体公司推出先进集体的评选，国家当时是有不大的文，要求市场上的企业不要蹭热点，结果事情后来被市场监督局查了还罚款，罚钱是小事，最重要的影响是什么？在公开的数据平台上会留下行政处罚的记录，行政处罚的记录导致找国资融资非常费劲。国资在中国投资市场里面是非常重要的资金方，有行政处罚会明显拉长决策流程，以及很多机构可能就产生一些看法，所谓的政治不正确，国资投资机构的多一事不如少一事，对国资来讲，风控和安全是第一位，宁愿不投。当时仅仅是非常简单的初心，造成了一些更深层次的影响。

（三）行业的团灭

这些案例，大家可能都还记忆犹新。教培行业从去年开始，还有文化影视行业是吧，就税务合规的问题，就直接给摁住了。几年前，当时互联网金融特别火，大家都在提金融科技，特别热，后来了，可能在座各位身边或多或少有朋友被关进去或跑路了，行业从被热捧到最后基本被团灭，就用了三五年时间。

大家少碰一些红线，不知道哪里出点事情，就把自己搞没了，真的不是好和坏的问题，是有和无的问题。基于前面讲的那些现象观察和判断，然后希望给各位提供三个新的认知。

二、三个认知升级：守规矩才能稳事业

（三）合规是在战略之上，有所为有所不为

怎么说合规是在战略之上的？在定战略的时候，选择做这件事情的时候，做的是”有所为“的部分，但在选有所为的时候，背后考虑了很大一块“有所不为”的部分，干不了的事。战略选择中非常关键的。

举个例子，某投资机构投了某汽车大数据的公司，给很多汽车金融公司提供数据和基于数据的营销业务支持，清洗相关数据（很多都是个人的），卖给那些做汽车保险和汽车金融的公司，来作为它的核心商业模式的，当时挺挣钱。当时大家普遍认可的商业逻辑说AI驱动，数据驱动，这逻辑在《数据安全法》《个人信息保护法》出台之后，就不讲不通了，大部分以数据驱动为商业模式的公司现在可能是非法的，但合法与非法，可为不可为也就在一两年时间内转变。后来投资人就撤资了。

事情发生了之后，公司基本上就挂掉了或战略要推倒重来。所以这是有所为，有所不为的部分，有所为的部分是战略和商业模式，有所不为的部分是合规。

（五）合规是一种长期主义和竞争策略

过去的一二十年，互联网确实是野蛮发展，非常快，大家好像已经习惯，一年没个几倍增长，就不好意思出来打招呼。但这一两年一年几倍就比较少。最近接触到身边的CEO基本上都是说先蹲着，活下来再说。

为什么习惯了这么快，包括政府，过去的几十年时间里面，都习惯了GDP必须要过两位数，但这几年都开始提新常态，这是核心问题。

为什么以前不重视合规？就觉得往前冲，搞快一点，10倍增长 ，20倍增长，然后搞钱，上市。这是以前的思维方式，和快相比，去做合规的时候，底层逻辑就觉得事情不重要，在比较短的时间里面达到增长的速度，增长最重要。事实呢，大部分很快地搞出来公司最后昙花一现，长期看死掉概率高。

如果好好扎实做合规，就换了一种心态。

什么叫不可胜在己，可胜在敌？什么叫立于不败之地？立于不败之地。大部分情况下，都不是指说比别人是否跑快了 10% ，市场份额比别人多 2000 万。你的合规做得挺好，挺扎实的，底兜得特别好，然后等待自己的竞争对手或行业里面都被搞死掉，有各种方式，可能在这一波政策出来之后，你活着，他们挂掉了。

我比你更能立得住，不被牌桌踢下去，可能是创业者要考虑的，为什么京东科技（以前叫京东金融）首席风控官可以去做 CEO ，他们还是比较有魄力的，求生欲非常强的，说白了在金融这块业务上，不想下牌桌。你只要不下牌桌，你就还有机会，不在了那还谈什么呢？

另外，这是一种竞争的策略，合规有可能会变成一种竞争的手段。国家去年搞反垄断局，专门在反垄断方面加强监管，除了针对国内企业以外，也会针对国际企业。国内某知名的咖啡品牌，以反垄断的名义起诉国外某咖啡品牌。之前国家很多企业，出海的过程中，经常会被对手用相关规则来钳制。

关键在于这种竞争是合法的。即使是干扰对方，也是有价值的，对手需要有很多的精力来去应对相关事情。没有CEO不想竞争对手消失，或被打折了。你必须要成为胜出的人，商业竞争是很残酷的。前面讲的那个某咖啡，想的很清楚，现在又不在全球做生意，在中国把你打掉，市场份额就出来了。同样，国内的咖啡品牌可能出国的时候也被他们打。前面讲到，站在国家层面里面在博弈，站在商业层面也是一种博弈。

（六）合规是利润之上的追求

“利润之上的追求”说法，是段永平提出的，以前步步高的创始人，现在投资也很厉害。他觉得伟大的公司，都会有利润之上的追求。我对利润之上的追求的理解是公司它不仅追求的是原来商业领域里面的利润指标，市场份额指标等，还有更高层面的东西，文化价值观的部分。

合规牵涉面是很广的，个人觉得合规它是分为三个层面。

第一层监管和法律法规，你触犯之后，做不了生意了，被处罚，关进去了，或触犯之后，上不了市。

第二层是公司的价值观和公司准则，也是合规的规的一部分。比较典型的是企业治理，内部立法，谷歌价值观的不作恶，巴菲特的 stop doing list（不为清单），合规是有所为和有所不为。我们公司内部有一条，不论竞争对手怎么黑我们，都不去黑他们，很多同事都跟我说，以其人之道还之其人之身。所有的一线销售里面，跟几万多个学员，不准去说竞争对手的不好，如果你出现，就开掉。那这是不是公司里面的规定？要不要合规？不是法律规定的要求，不要把自己搞这么低low 。有所不为，公司才会变成那个样子。这也是合规的部分。

第三层，类似ESG（环境、社会责任、治理），它是社会更高的准则，保护环境，承担社会责任，优化企业治理。ESG已经变成全球普遍接受的准则和框架了，香港已经搞了二十年了，美国已经搞了好几十年了。今年1月份的时候，国资委发文，倡议所有的央国企要搞ESG。然后今年8月份的时候，深交所推出了中国第一个上市公司ESG指引。在深交所的上市企业也需要披露和重视ESG。那么ESG指引代表的是更普世的价值认同，代表的更高层的，合乎的是道德尺度的规定，法律并没有强制要求去做。ESG做得比较好的企业，一般来说是更可持续、更稳健的，在资本市场里面，对ESG做得好的企业是有资本溢价的。他可以拿到更低成本的钱，融资成本更低。

前面三个观察视角之后，提出的三个新认知，下面要讲一下怎么来落地。

三、四条落地建议：在奔跑中调整姿态

（七）合规事项清单
具体落地的过程中需要怎么做，起步其实很简单，请公司的外部律师或公司法务，做一份“合规事项的清单”，把所有产品的，反腐败，采购，劳动用工（最近劳动用工特别多），品牌广告（前面提到只想去蹭个热点是吧，结果就引发一大串的连锁反应）等等各个维度，然后清单 list 可能会很长，先列出来之后需要干的事情，至于怎么干，要有策略。

一是全面体检和分级。把所有涉及到的维度都列出来，然后对它进行评级，标注红色、黄色和绿色，有些问题它没有这么重要，紧急的时候就先放一放，合规是需要成本的，包括有些合规举动也会影响企业一定的发展的速度。另外公司还没到一定阶段，还顾不上。分级之后就会清晰很多。

二是逐步地完善。举拿牌照、许可证的例子，是不是不拿的话可能就做不了相关业务。有些事情可能会轻一点，往后放，这里面需要投入时间，钱，人力等等，这都是成本。公司发展早期资源都是很有限的，分清楚轻重缓急之后，就知道怎么放在时间线上去处理。如果梳理出来200条，马上让去干这200条，公司就没了，但可以先干这200条里面的20条。目前看来最紧急的事，判断一下级别，先处理掉，然后再过一段时间之后，，再处理50条。

三是定期关注和复盘。必须要成为CEO的OKR 。对于早期企业的时候，可能CEO一年梳理一次就行了。如果规模大一些的话，最好是一年两次或每季度一次，召集相关的部门来过清单。有些更大的公司，可能每周要开，后面会讲到。

（八）合规的运营体系

大家知道亚马逊有个 Day One ，但他们的CEO提出了一Job Zero，是很好的框架，适合每个企业参考。

框架包含哪些内容呢？

第一，每个员工都要负有安全责任，把安全换成合规就行了；
第二，前面也提到了，CEO每周都要召开安全会议，如果公司很小的话，可能每个季度或每半年要开一次合规会议，来过一下，至少在CEO的层面里面，要重视起来；
第三，每个级别的员工都要有安全目标，定期举行安全合规的培训跟考试；
第四，每个服务在设计阶段就要考虑到安全问题，考虑到合规问题；
第五，亚马逊云科技还高度重视安全的自动化。GGV投资的Drata ，一年就做到 10 亿美金成为独角兽，他们做合规自动化的，增长非常快。当然也希望国内越来越多的注重合规自动化，但现在目前的整个产业基础刚起步；
第六，要组成一级响应团队和二级响应团队，怎么去处理，一般来说合规是三道防线，但它说的是二级响应团队，当出现这种事情之后，怎么去处理。记得处理某举报问题，跑市场监督部门至少跑了 10 次以上，递材料什么的，有些情况还必须得亲自去。

这是个框架，在公司里面想要去重视合规或安全事情的话，去套体系，当然要根据自己的情况来去调整和适应。

（九）组织架构，人先行

前面提到过京东科技把首席合规官变成 CEO 本身就很有趣，然后各个大厂都在招首席合规官。全球某头部投资机构，他们成立几十年以来，第一次招了首席合规官。央企出来合规管理办法，由法律总顾问来去担任首席合规官。这也是首席合规官岗位第一次这么多媒体报道的形式出现在公众面前。

央企设首席合规官，释放出两个信号：有位置之后，这些法总都会去思考，给我帽子，我要做什么？倒逼动起来，搞培训，采购合规数字化工具等等。第二个，一般公司里面有什么 CEO、CMO、CFO、 CTO 等等各种CXO，但没有 CCO首席合规官，按照央企或体制内的说法，首席合规官成了班子成员，高管集体开会，CFO 肯定会来，那现在首席合规官也都每次在场，“盯”着这帮人不要乱搞，合规很重要了，不能忽视这个人的存在了，同时也不能忽视人背后代表的合规职能的存在。这是设计组织架构的价值之一。

完整的组织架构是比较多维度的，从合规专业委员会，到首席合规官，到下面的业务部门第一道防线，合规管理牵头部门第二道防线，审计监督部门第三道防线等，再是全员合规，分了好几层。

所以说在合规落地，不是去研究法律法条，先要找合适的人去牵头负责。对一般企业来讲，可能不需要有这么多层。如果说公司里面有人要统筹合规的事，是谁，先把人定出来。定好人之后，给TA位置，TA自然会想：既然给我这么职务 ，我要干嘛，在合规这件事情要有组织上的思考，公司有一定规模的话，一定要找到人，后面可能就多个人，这是走出比较关键的一步。

（十）服务商的体系

除了传统的合规、安全这些事情以外，合规还包括需要律师服务，有管理咨询提供体系搭建，最近四大这块业务特别多，有人才的部分，我们就有做培训业务，招聘合适的人才等等，数据合规领域人才就很缺乏。

说到培训，很多央企都考我们的“企业合规师”职业能力水平认证，其中有某医药国企，他们公司大概有 30多个人考，对考过的同事，公司内部还专门发喜报，恭喜同事获得了企业合规师的资格考试。同时做了激励：一是所有的考试费用去人力资源部门去报销。二是可以去申请职称补贴。对企业来讲，怎么去向相关部门证明合规培训做到不错，人员的合规专业认证特是特别好的维度， 500个里面有50人是有证，容易被量化。

数据安全领域的产品供给是非常多的，但是在合规的赛道里面的产品服务供给是相对比较少的，所以我们去年开始在合规科技赛道里面创业，推出了内容风控产品-谛听（文章后面有简介）。

CEO们不要抱侥幸心理，并且建议行动起来，大家要去重视合规，对企业会有很大帮助。

内容根据2022年10月25日在GGV OMEGA 内部分享整理，有删减

来源：合规相对论 作者：陈能杰