2022年10月，國務院國資委發布的《中央企業合規管理辦法》、國家市場監督管理總局和國家標準化管理委員會聯合發布的《合規管理體系要求及使用指南》正式施行，意味著企業合規管理正式進入規范化階段。截至目前，最高人民檢察院已發布4批20例企業合規典型案例。

隨著企業合規進入規范化管理階段，也意味著過去作為企業管理底線的合規管理，其必要性越來越強，一旦違規或不合規，則可能觸發紅線警報。

合規，不等同于內控和風控

合規、內控和風控是企業運營中非常重要的三個概念，三者相互區別，又相互聯系：

部分企業未完全厘清合規、內控和風控的差異，加上三者功能、目的雷同，導致企業未及時整合資源，造成組織重疊、政出多門、編制冗余、運行乏力等不利局面。

因此，企業必須準確把握合規、內控與風控的管理內涵與整體邏輯，以便精準把握和實施。

建立合規管理體系的6要素

在中央和地方國資委的大力推動下，多數國有企業在合規管理方面都有一定的基礎，大多建立了內控體系、風控體系和法務管理體系，但合規管理的內容大多還只限于某些職能領域或個別業務層面，缺少系統化、體系化的整體規劃，流于為經營管理打補丁的尷尬境地，甚至造成合規與經營“兩張皮”的現象。

因此，合規管理體系的建設必須全面深入了解企業的實際經營管理情況，因企業而異，設計不同的合規管理體系建設方案。

對于體系相對完善的企業，合規管理需要考慮各體系間的融合；

對于一些新設的企業或者業務領域有特別監管要求的企業，如金融和類金融企業，可以考慮建立完全獨立的合規管理體系，單獨運行。

企業合規管理體系由合規組織、制度建設、運行機制、合規文化、信息化建設和監督問責六個要素構成。

1.合規組織：搭建基于“三道防線”的合規組織

目前，企業合規工作主要由法務、審計、財務、人事等部門承擔，存在管理層級不明確、職責界面不清晰等問題，同時由于人員配置和認知偏差，合規管理效果層層衰減。

《中央企業合規管理辦法》明確了合規組織的構成并細化了各層級的工作職責，包括黨委(黨組)、董事會、企業主要負責人、合規委員會、經理層、業務及職能部門、首席合規官、合規管理部門、紀檢監察機構及審計等部門。

同時，應基于合規風險建立“三道防線”，如下所示：

合規組織不僅需要自成體系，而且和企業組織體系緊密相連，將合規管理要求全面滲透到企業的領導機構、管理團隊、部門、崗位直至全體員工中。

合規管理主要有三種組織模式：集中化模式、分散化模式和簡單模式。

采取哪一種組織模式取決于企業的公司結構、經營規模及業務和產品線的運營管理模式等。無論采取何種模式，都需要充分考慮：

第一，確保合規部門有效、實際地管理合規風險，順利履行合規職責；

第二，確保合規部門獨立地、嚴肅地開展合規管理；

第三，合規部門與其他相關部門之間的職責分工明確，又相互協調合作；

第四，適當的成本管理，但絕不能因此忽視或者犧牲合規管理。

以中國鐵建為例，其合規管理的組織模式采用分散化模式。目前，中國鐵建所屬46家主要二級單位全部設立合規委員會，任命首席合規官，全系統（含項目部）已任命合規官10650人。首席合規官的變動、專兼職合規官的增減均需報上級單位審批，最大限度地保證隊伍的穩定性和人員的專業性。

2.制度建設：構筑“基本制度+專項制度”相結合的合規管理制度體系

合規管理制度體系不是獨立于業務管理制度體系之外的，兩者要融為一體，在業務管理制度中實現外規內化。

外規內化通常有直接內化法和間接內化法兩種方式。

直接內化法指直接將引入外規的部分條款或全部條款作為業務管理制度的內容，對于一些法律條例、部委規章或地方監管規定等外規，當其內容較為詳細且指導性較強時，可采用直接內化法完成外規內化，如招投標領域涉及的一些法律條款。

間接內化法指將外規中的一些強制性條款通過適合于自身業務的管理語言體現到制度流程中，同樣可以實現合規經營的目的。

為了統籌合規管理工作，合規管理部門也要建立一些必要的合規管理制度，包括企業全員普遍遵守的合規管理基本制度、合規管理具體制度或者專項指南。

一是合規管理基本制度。企業首先應制定全員普遍遵守的《合規行為規范》，作為企業最重要、最基本的合規制度以及其他合規制度的基礎和依據，適用于所有部門和員工。其次要制定合規管理的基本制度，明確總體目標、機構職責、運行機制、考核評價、監督問責等內容。在我國企業的實踐中，大多通過制定《合規管理辦法》或《合規管理手冊》作為企業的合規管理基本制度。

二是合規管理專項制度。根據《中央企業合規管理辦法》，合規管理部門負責組織起草合規管理具體制度。合規管理具體制度中一個重點就是各領域的專項合規管理制度，企業應針對重點領域（包括但不限于反壟斷、反商業賄賂、生態環保、安全生產、勞動用工、稅務管理、數據保護等）、合規風險較高的業務以及涉外業務重點領域，制定專項合規管理制度。

3.運行機制：強化“九位一體”的合規管理運行機制

一是合規風險識別評估預警機制。企業應建立合規風險數據庫、制定合規風險識別流程和評估標準，同時優化合規風險預警系統、建立合規應急響應機制，以有效預防和控制合規風險的發生，保障企業穩定發展。

二是合規審查機制。合規審查是一種事前審查活動，主要事項包括重大決策事項（如重大項目立項、新業務開發、重大投資項目等）、組織章程及重要規章制度的制定或變更、重要合同及協議的簽訂或變更等。

企業可以根據審查事項的具體情況及復雜程度，指派內部人員對送審事項展開審查，也可委托外部專家或機構出具獨立審查意見。

合規審查可以采取多種方式，例如會議表決、公文流轉會簽或現場審查等。

三是合規風險應對機制。應遵循如下原則：

第一，目標導向原則，在合規風險應對中應充分考慮合規風險與戰略目標之間的相互關系、影響等因素；

第二，融入管理原則，合規風險應對的結果需要反溯管理漏洞，補強管理短板；

第三，審慎應對原則，風險應對的策略和方法不應違反法律的強制性規定以及企業誠信道德規范；

第四，持續改進原則，合規風險應對應根據公司內外部法律環境的變化動態調整。

四是違規問題整改機制。根據檢查環節發現的合規問題，合規管理部門要按照公司合規管理要求，組織對管理制度進行修訂，健全規章制度、優化業務流程、堵塞管理漏洞，實現合規管理真正意義上的閉環。

五是舉報管理機制。明確舉報組織設置、舉報事項受理范圍和舉報調查程序等。同時，設立舉報平臺,公布首席合規官及職責、舉報電話、郵箱和信箱等。企業在收到受理職責權限內的舉報后，應按照舉報調查相關規定開展違規調查，做到有舉報必查。

六是違規行為追責問責機制。追責問責應堅持以下原則：客觀獨立原則、問責與整改相結合原則和分級分層追責原則。

七是合規、法律、內控、風控等協同運作機制。協同管理的實施步驟包括：統一目標、協同組織、風險統一評估、流程協同設計、制度合并匯編、統一考核等。

八是有效性評價機制。主要包括如下環節：組建核驗工作小組、制定核驗實施方案、設計有效性核驗指標、收集審閱文檔資料、現場調研與驗證、對標與分析、編制有效性核驗報告等。

九是考核與評價機制。程序包括：建立合規管理績效指標、收集合規管理績效信息、開展合規管理績效分析和評價、編制合規考核評價報告、考核評價溝通與考核評價結果執行等。

4.合規文化：培育具有企業特色的合規文化

企業合規文化的基本內容包括：

合規理念，如合規從領導做起、全員主動合規、合規創造價值等；

合規價值觀，如誠信與正直、誠實守信、依法合規等；

合規行為，如與外部監管部門有效互動、合規培訓、制定和發放合規手冊、簽訂合規承諾、合規激勵與違規懲處等。

企業如何開展合規文化建設呢？

一是抓住“人”這一核心，牢固樹立“人人合規”理念；

二是踐行合規行動，領導率先垂范，層層落實“事事合規”；

三是合規教育培訓和文化活動要持續強化，促進“時時合規”；

四是加強制度落實和監督檢查，實現“處處合規”。

5.信息化建設：建設合規管理信息系統

企業合規管理信息系統與企業運營管理信息系統、內控管理信息系統、財稅管理信息系統、采購管理信息系統等一道成為企業管理信息系統的重要組成部分。

企業通過合規管理體系信息化建設，包括合規制度、典型案例、合規培訓、違規行為記錄等納入信息系統，合規要求和防控措施嵌入流程，合規管理信息系統與其他信息系統的互聯互通、數據共享應用，重點領域、關鍵節點的實時動態監測等，推動企業管理的全面信息化變革。

6.監督問責：建立企業內部合規問責制

合規管理的監督問責主要分為兩類：

一是合規管理不到位引發違規行為，責任主體是企業合規管理主責部門；

二是因故意或者重大過失應當發現而未發現違規問題，或者發現違規問題存在失職瀆職行為，責任主體是企業經營管理業務部門。

企業建立有效的內部合規問責制，必須貫徹“合規從高層做起”和“合規人人有責”的合規基本理念，堅持違規必究、獎懲分明，并且注重追究過錯與責任相適應、教育與懲戒相結合。

合規問責的主要方式包括：通報批評、誡勉警告、書面檢查、停職檢查、調離崗位、降級減薪、引咎辭職、免職以及解雇除名等。

合規問責應當以責任體系搭建為起點，以合規事件總結分析進而修正合規管理體系為終點。

做好合規管理的3張清單

企業合規管理要扎實做好“三張清單”，即重點崗位職責清單、關鍵流程管控清單和合規風險清單。

清單一：重點崗位職責清單

不僅要包含首席合規官的具體職責、承擔合規管理主體責任的業務部門和職能部門的具體合規職責、合規管理部門所有工作人員的具體職責、企業其他相關部門（如法務、風控、審計等）及工作人員的具體合規職責，也包括企業主要負責人（法治建設第一責任人）合規崗位職責。如下示例：

 

只有所有崗位的合規職責清晰明確，全面無縫對接，合規管理工作才能高效推進。

清單二：關鍵流程管控清單

需要根據企業的具體業務和實際運營情況，有針對性地量身定制。

因多數業務人員和一線管理人員制定流程的能力較弱，加之對合規的理解尚不夠深入，企業可通過指派專業合規人員或委托第三方機構，支持業務部門及職能部門制定“關鍵流程管控清單”。如下示例：

 

清單三：合規風險清單

合規風險清單即“合規風險數據庫”。

不僅需要對企業已發生的各項風險及案例進行梳理和總結，對企業所涉及的所有“規”的義務和對應的合規風險進行梳理和總結，還要對企業所在的行業風險進行梳理和歸納。

不僅要對與企業有關的民事風險進行梳理，還要對企業有關的行政風險、刑事風險進行梳理。

不僅要對企業在國內經營的各項風險進行梳理，還要對涉外業務需要關注的風險進行梳理等。

企業可通過建立相關長期工作機制或委托外部專業機構共同制定合規風險清單。如下示例：