（一）　行政立案大幅上升

本文根据上市公司的公告进行统计，截至２０２３年７月１５日，沪深交易所共有８８家上市公司（含实控人、控股股东、董监高等“关键少数”，下同）收到立案告知书（其中１家上市公司半年内被立案２次，总的立案数量为８９起），整体数量上几乎是去年同期的２倍。（详见图一：２０２３年上半年立案总数）

从月度立案数量来看，平均每月被立案的上市公司超过１０家，尤其４月份以来，几乎每个月都保持１５家左右的立案速度，其中５月份立案总数高达２２家。

从立案类型来看，因行政违法受到证监会立案调查的共计８１起，占比９１％；与此同时，上市公司或其实际控制人、董事长、总经理因涉嫌违法犯罪受到纪检监察机关立案的数量也不少，共计６起，占比６．７％；公安机关刑事立案２起，占比２．２％。其中包括某公司因涉嫌违规披露、不披露重要信息罪被公安机关立案。依照该趋势，部分因信息披露违法受到行政立案的上市公司及个人，接下来不排除再受到刑事立案的可能。

（二）　信息披露违法占比极高

如前所述，上市公司及“关键少数”因证券行政违法被证监会立案的占绝大多数。行政立案事由中，因涉嫌信息披露违法违规被立案的共计６１起，占到行政立案数量的７５．３％，占比极高。毫无疑问，信息披露已经成为上市公司首要防范及应对的合规风险。上半年被立案的３家中介机构，均因参与上市公司项目过程中出具的文件存在虚假记载、误导性陈述或者重大遗漏，同样与信息披露问题相关。

其他较为频发的行政违法案由包括短线交易、操纵市场、借用他人账户等。刑事和纪委监察案件的案由多为涉嫌行贿犯罪、涉嫌侵占上市公司利益罪、涉嫌违规披露信息罪等。总的来看，这些案由的发生频次远不及信息披露违法。

（三）　相当部分上市公司内部未建立有效的信息披露管理制度

经分析，上市公司因涉嫌信息披露违法违规被立案的一个重要原因，是其内部未建立有效的信息披露管理制度。被立案的８８家上市公司中，有２１家从未建立信息披露管理制度，占比达２３．８％；而建立起信息披露制度的６７家上市公司中，仅３７家近三年内制定或修订了信息披露管理制度，其余３０家长期未作更新，其中甚至不乏超过１０年未对该制度进行更新者，此类公司占比达３４％。

应当说，２０２０年３月之后，我国上市公司的信息披露监管要求已经发生了天翻地覆的变化。２０２０年３月新《证券法》实施，其中专设信息披露专章，将信息披露的重要性提升至前所未有的高度。２０２１年５月，修订后的《上市公司信息披露管理办法》正式施行，这是证监会自２００７年发布信息披露管理办法以来的首次修订，新制度对上市公司信息披露提出了更为具体、完善且契合市场实际情况的监管要求，三年来，沪深北交易所也就上市公司信息披露陆续制定及更新了相关规则和指引。

上市公司做好信息披露的首要前提之一，是公司内部有着有效、完善、全面的信息披露管理制度，而被立案的８８家上市公司中，高达５７．８％的公司或未建立相关制度或一直沿用陈旧的制度，可以说，缺乏有效的内部制度约束和内部操作指引是此类公司信披违法的主要原因之一。

（四）　民营、小市值上市公司被立案的数量居多

企业性质上，民营企业被立案的数量为５８家，占比６５．９％。地方国有企业和中央国有企业被立案的为２７家，占比３０．６％。相较于民营企业，国资监管对国有企业（尤其是中央企业）的合规要求较高，此类企业合规管理体系建设起步也较早，但被立案的上市公司中仍有超过３０％为国有企业，该比例还是相当触目惊心的。

企业市值规模上，５０亿以下的被立案的上市公司为５１家，占比５７．９％；５０亿～１００亿的为１３家，占比１４．７％；１００亿～５００亿的为１０家，占比１１．３％；５００亿～１０００亿的为３家，占比３．４％；１０００亿以上的为２家，占比２％。此外，还有９家上市公司现已退市。

板块分布上，沪主板上市公司被立案的为３０家，占比为３４％，超过三分之一；其次为中小板，共计２３家，占比２６．１％；创业板和深主板分别为１７家和１３家，占比分别为１９．３％、１４．７％；此外，科创板有５家上市公司被立案，占比５％。

地域分布上，上半年被立案的上市公司遍布全国２３个省份，主要集中于北上广、浙江、福建、江苏等东部沿海城市，这六个省份被立案的公司数量共计５９家，占比６６％，达到总数的三分之二。

强监管、严监管的执法形势下，所有上市公司都同样面临着证券合规风险。从以上特征中可以看出，民营、小市值上市公司需要加强证券合规建设的同时，国有企业和百亿市值以上的上市公司同样应当紧绷证券合规之弦。

信息披露是注册制的灵魂。由核准制向注册制的转变对信息披露的质量、结构及运行逻辑提出更高的要求。信息披露重要性日益凸显的同时，上市公司信息披露违法违规行为却不断发生，而内幕交易、“伪市值管理”、股份违规增减持等常见证券违法类型或多或少与信息披露管理不善相关，信息披露已经成为上市公司合规风险的导火索。

目前我国的信息披露合规体例本质上属于“监管驱动”下的信息披露合规监管。然而，虚增收入、违规关联交易、违规对外担保等导致信披违法的行为，更多因上市公司内部治理、管理和控制失衡所致。若仍然单纯依靠“监管驱动”下的重典重罚，而不激活上市公司内在合规机制的话，信息披露违法违规的风险难以从根本上得到缓解。

（一）　不少上市公司主观上仍未对合规予以足够重视

上市公司董监高等“关键少数”在公司治理、合规文化的培育和形成方面具有举足轻重的作用。证监会主席易会满对上市公司“关键少数”提出了明确的合规要求，“违法违规行为损害市场信心，也最终伤害企业自身发展，得不偿失。希望大股东和上市公司董监高坚持以法律法规为准绳，认真学习遵守证券法、公司法和刑法等法律法规，切实做到敬畏法治、尊法学法、守法用法、诚信合规。”然而，从上半年立案事由和立案对象来看，依然有相当数量上市公司的“关键少数”的合规意识极为淡薄，主观上未对合规管理予以足够重视。

合规意识淡薄的突出表现之一是上市公司的基本治理和内控制度缺失或更新不及时。被立案的上市公司中，有将近三分之二的公司未建立有效的信息披露制度，更勿论有效执行信披程序、履行信披义务。

从立案对象上看，上半年“关键少数”被立案的数量不在少数，共计３５起，占到所有立案数量的３９．３％（部分与上市公司同时被立案，部分系单独被立案）。其中，上市公司董监高因短线交易、违规增减持、限制期交易等权益变动违法被立案的较多，共计９起。还应引起重视的是，上半年有５家上市公司的实控人、控股股东因涉嫌操纵证券市场被立案，这通常属于主观恶意较强的证券违法行为。无论是“无知违法”导致的短线交易，还是故意违法产生的操纵市场，均表明部分上市公司“关键少数”不重视合规，其合规意识和合规能力均亟待加强。

（二）　从监管上看，上市公司证券合规尚未上升为法定义务，约束偏软

我国企业建立合规体系和机制，肇始于银行、保险、证券等金融领域，目前对所有的中央企业提出了合规管理要求。（详见表一：我国现行合规管理相关规定）

效力层级上，仅《证券公司和证券投资基金管理公司合规管理办法》和《中央企业合规管理办法》为部门规章，其他几项均为规范性文件。目前，我国仅对证券公司、证券投资基金管理公司、保险公司及中央企业提出了刚性合规要求，其他企业参照相关合规管理指引执行。

内容上，近年的《企业境外经营合规管理指引》和《中央企业合规管理办法》规定了较为完整的合规管理体系，涵盖合规管理的组织架构、运行机制、合规评价、合规文化等，合规管理的法律内涵得到了丰富和拓展。但总体而言，现有合规管理的规章及规范性文件仍为框架性规定，较为宏观和抽象，专门化和精细程度较低。

合规管理体系类型上，我国目前的合规管理体系属于“全面合规体系”，这是一种“以管理为导向”的合规建设思路，强调遵循“保证企业依法依规经营”的理念。而“专项合规体系”则是一种“以合规风险为基础”的合规理念，强调根据企业规模、行业特点、业务范围、违法违规事件等因素，识别和评估企业发生违法违规的现实可能性，并据此确定企业的具体合规领域，建立有针对性的专门化合规管理体系。大家较为熟知的专项合规计划有反商业贿赂合规计划、出口管制合规计划、反洗钱合规计划、数据保护合规计划等。然而遗憾的是，目前我国尚未建立起上市公司专项证券合规体系。

（三）　信息披露监管规则尚未能有效转化为上市公司内部制度

现行监管规则下的信息披露制度是一项巨大而精细的系统，由一系列基本原则及各式具体规则交织而成。２０２３年２月，全面实行股票发行注册制制度规则发布实施，发布的规则共计１６５部，数量极多。从体例上看，我国已经构建起较为完整的信息披露监管制度，但为什么依旧无法有效抑制上市公司信披违规，甚至还升级为资本市场最严重、最普遍的违法类型？其中一个很重要的原因，是上市公司内部难以及时消化、转化及有效执行密如星辰的信披监管规则。

不少上市内部陆续建立起信息披露管理制度、关联交易管理制度、对外担保管理制度等，但总的来说，上市公司内部制度的文本质量与执行效果不尽如人意。以关联交易信息披露监管体系为例，截至目前，约有２，４８１家上市公司制定并公告了关联交易管理制度，仅占上市公司总数量的４８％，超过一半的上市公司还未制定内部关联交易管理制度；规则体例上，制度设计繁简不一，有的上市公司仅在制度中简略规定关联人和关联交易的范围、关联交易的决策程序与披露、责任追究，未对关联交易的识别、作出规定；执行效果上，一些上市公司即便建立起看似规范的“关联交易管理制度”，但仍因为关联交易而受到监管处罚，公司内部制度形同虚设，而有的上市公司长达十多年未对内部的“关联交易管理办法”进行修订更新，为其实控人利用内部管理漏洞开展违规关联交易敞开便利之门。［注２］

此外，不少上市公司试图通过规范公司治理来落实外部的信息披露监管规则，但该种做法的前提是公司治理是稳定且有效的，一旦控制权滥用或者争夺而导致上市公司治理失序、“三会”运作失灵，信息披露的审议和披露程序也将陷入混乱。监管实践中，上市公司大股东之间争夺控制权引发信息披露“罗生门”情况屡见不鲜，如Ｓ股份控制权之争［注３］；甚至出现违规夺取公司对外信息披露的权利之情形，如Ｗ科技控制权之争。［注４］

（四）　上市公司实控人对信息披露的实质影响尚未得到有效约束

除了前述制度层面的原因之外，外在监管规则难以渗透到上市公司内部的一个重要原因是上市公司实际控制人对信息披露的影响极大。２０２０年１０月，国务院发布了《关于进一步提高上市公司质量的意见》（国发〔２０２０〕１４号），其中将实控人的资金占用、违规担保问题列为急需解决的突出问题，足见我国上市公司信披违规治理需要充分关注实控人的作用。从监管实践来看，实控人往往是上市公司信息披露违法的主导者。

在上市公司内部，控股股东、实控人似乎有着“上帝之手”，通过关系导向型治理安排致使部分公司治理制度失灵。从近年揭露的违法案件看，与控股股东和实际控制人相关的案件往往涉及财务造假、欺诈发行等性质比较严重的违法行为。一些社会影响恶劣的案件甚至由“关键少数”参与、指使甚至主导，如某特钢公司信息披露违法案中，公司连续八年实施财务造假，虚增利润逾１９亿元，最终证监会对公司及４５名高管作出行政处罚；又如某信息公司信息披露违法案中，亦存在多年造假、造假金额巨大等情形；再如某医疗公司操纵市场案中，公司实际控制人与市场掮客、操纵团伙形成利益共同体，内外勾结，借市值管理之名行操纵市场之实，合谋“坐庄”炒作公司股票，社会影响极为恶劣。

单单依靠行政处罚是无法实际解决控股股东、实际控制人控制权滥用问题，更不能从本质上提升信息披露的质量。实控人违法更为深层次的原因，在于缺乏有效的内部合规管理体系对“关键少数”的行为进行约束。针对这些问题，既需要监管直接介入，更需要上市公司内部孕育产生一套与公司实际相适配的证券合规体系，进而将外部的信息披露监管规则转化为可以在上市公司内部顺利运行的合规管理体系。

随着２０２２年１０月《中央企业合规管理办法》的正式实施，关于合规、合规风险及合规管理等概念的理解已基本统一。一言蔽之，合规是要求、是制度，也是评价标准。作为要求，合规为企业的经营管理划定了红线和底线；作为制度，合规为企业预防、识别、应对风险提供了运作机制；作为评价标准，合规为监管和执法机构减轻或免除企业的法律责任提供了依据。企业合规建设是全面和专项结合、管理和业务联动、应对和预防同步、当前和未来共通的系统性工程。

基于我国上市公司违法违规的现状、证券监管要求及既有的成功合规案例，本文建议从以下几方面尽快构建以信息披露为核心的上市公司证券合规机制。

（一）　从监管上将证券合规管理明确为上市公司的“规定动作”

上市公司是实体经济的“基本盘”，也是资本市场的基石，提高上市公司质量是资本市场的永恒主题。根据新一轮《推动提高上市公司质量三年行动方案（２０２２—２０２５）》，中国证监会就如何从“治乱”转向更深层次的“提质”作出诸多具体安排，其中一个重要方面，就是要加强上市公司合规经营。

对于上市公司来说，证券合规已成为最普遍、最突出的合规问题。证券合规事项主要包括信息披露、公司治理、股份增减持、内幕交易、操纵市场等，这些合规风险一旦发生或发生后处理不善，则可能造成极为严重的后果，甚至给上市公司带来“灭顶之灾”，其中以信息披露最为典型。

证券行业的合规管理实践可作为上市公司证券合规管理的有益借鉴。２００７年，证监会选取了７家证券公司启动合规管理试点；２０１７年６月，《证券公司和证券投资基金管理公司合规管理办法》和《证券公司合规管理实施指引》发布，标志着证券行业的合规管理体系逐步健全。实行合规管理后的十多年来，尽管证券市场行情起伏，但券商经营总体平稳，再也没有出现过大的系统性合规风险，刚性合规管理为证券行业的长远发展和稳健运行上了一道“保险”。

基于已有的证券合规实践经验，本文认为，应当将证券合规管理明确为上市公司的“规定动作”和法定义务。具体可参考证券公司合规路径，由证券监管部门制定相关合规管理办法，在部门规章层面确立上市公司的法定合规义务；其次，由上市公司协会或者交易所制定专门的合规指引，从证券合规管理的组织、机制、职责、流程等方面为上市公司提供具有操作性的细则。

（二）　建立完善自上而下的证券合规组织架构

上市公司证券合规事项涉及公司各部门、各层级、各环节。以信息披露事项为例，从上市公司各业务部门和子公司的负责人到上市公司董监高，均对信息披露承担合规义务。因此，在证券合规组织架构上，宜在决策、管理、执行三个层级上建立自上而下的证券合规组织架构。

本文建议，为保障上市公司内部信息披露合规工作高效、有序开展，应当在董事会下设合规管理委员会，并设立专门的合规管理部作为合规工作牵头部门，在公司各业务单位／子公司建立专职合规团队，实现穿透式合规管理，保障对风险的及时识别和升级。高管层面应设立首席合规官，该职务亦可由其他高管兼任（如由董秘兼任）。

在职责分工上，公司董事会有义务履行公司合规经营的责任，应当对公司合规治理和合规管理负总体责任。合规管理委员会和合规管理部负责制定证券合规制度并监督执行。各业务部门合规人员实际上是合规管理真正的完成和实施者，识别和排查业务流程中的证券合规风险，发布合规预警；具体落实上级部门的证券合规要求、管理制度和流程；主动开展合规风险识别和隐患排查，组织合规审查；及时向合规管理牵头部门通报风险事项；妥善应对合规风险事件等。

（三）　制定完整精确的证券合规规则体系

由于证券监管规则全面且精细，因此上市公司面临的证券合规风险大多是具体的，是有着明确的监管规则出处的。然而，如前所述，证券监管规则难以转化为上市公司内部制度的原因之一在于规则过于繁杂，以信息披露为例，上市公司的信息披露行为监管规范体系主要包括三个层次：法律与行政法规、部委规章以及沪深证券交易所发布的自律规则。（详见表二：上市公司信息披露规范体系）

现行的证券监管规则是上市公司建立以风险为导向的证券合规管控的依据和载体，对于上市公司来说，证券合规体系建设中的首要工作就是将外部监管规则中的义务性条款分门别类汇集成库，并将如“关联交易管理”“对外担保管理”“股份权益变动管理”高频、易发的证券合规事项的监管规则及时转化为上市公司的内部制度，即“外规内化”工作。

同时，结合上市自身的经营、发展需求，构建相适配的三层级规则架构。董事会确定公司经营政策，即公司当前经营的风险偏好和经营红线，此作为规则第一层级；证券合规管理委员会基于外部证券监管规则确定证券合规总手册，形成规则的第二层级；各专项证券合规结合具体实际业务开展情况，完善合规分册中不同领域的合规内部指引和要求，形成第三层级。（详见图九：上市公司内部三层级证券合规规则体系）

（四）　设计有效顺畅的证券合规运行流程

将证券合规管控嵌入业务流程和公司治理是实现风险控制的必由之路。不同的证券合规事项，其识别及应对的方式有所不同。如内幕信息管理、股份增减持合规事项，相关信息的产生、报送、披露过程主要集中于董事会层面，合规管理流程也较为单一，因此，此类证券合规事项尚不构成上市公司的主要合规风险点。

信息披露则不同，信息披露的合规管理则复杂很多，信息披露的类型分为强制性披露和自愿性披露，其中强制性披露又细分为定期报告和临时报告；信息披露的主体包含董监高、实控人、收购方、重大交易相关方在内的各类义务主体；信息披露的事项散见在《证券法》《上市公司信息披露管理办法》及证券交易所的上市规则；信息披露的节点又根据重大事件的发生过程而有所不同。

监管要求的复杂性和特殊性使得信息披露成为最为高发的证券合规风险。因此，必须将信息披露所涉事项事无巨细地列明，并且逐一嵌入到业务流程之中，自信息产生之时便纳入合规管理体系，如此方能有效开展以信息披露为核心的证券合规管理。

（五）　定期开展证券合规风险评估与改进

上市公司证券合规管理原则上以风险为导向。证券合规委员会下设的各专项证券合规部门及各业务单位应当每年定期开展证券合规风险评估，不断更新公司的证券合规风险库。在风险评估过程中，建议聘请具有证券合规经验的第三方中介机构参与其中，采取审阅文档、逐一访谈、问卷调查、数据分析、穿行测试等方式，综合评估上市公司所处的行业、区域、业务规模、交易类型、交易主体等相关因素，尽可能全面、准确地评估实际的证券合规风险，最终形成风险评估报告，提交至董事会。上市公司应当及时、准确地根据外部监管政策变化、实际业务变化和风险变化调整合规管理策略和措施。

同时，上市公司需要对证券合规管理体系设计和执行的有效性开展持续监督，对缺陷和不足项进行自我整改，建立合规绩效考核制度，将合规考核指标作为对负责人、经营管理人员、关键技术人员和员工进行考核的依据。

上市公司合规尚未全面推行，上市公司证券合规更是较新的概念。为实现由“监管驱动”向“内在驱动”的合规理念转变，除了上市公司设立及完善内部制度体系之外，还需要监管部门引入适当的合规激励机制。本文建议，可借鉴检察机关正在推行的“企业合规不起诉”制度，尝试在证券监管领域实行上市公司合规不处罚、从轻处罚制度。具体来说，对于涉嫌证券违法违规的上市公司，在符合一定条件的前提下，若其承诺建立、健全合规制度的，证券监管机构可以责令其提出合规改进计划，在律师事务所等独立第三方合规监管人的辅导、督促下，推进上市公司合规管理体系的建设，监管部门根据上市公司实际合规效果，酌情作出不予行政处罚或者从轻处罚的决定。事后合规的激励范围毕竟有限，要真正激发上市公司的“内在驱动”、形成“我要合规”的合规文化，则需要对做好事前合规的上市公司给予一定激励。

（本文载于《中国金融》杂志２０２３年第１６期，发布时内容有所调整。）