構建合規管理體系 防控合規風險

□ 范 輝

（作者單位：集團公司法律部）

企業要將合規管理與公司內控制度融合，增強合規管理的權威性和可操作性。

中原油田工會舉辦“喜迎十九大”企業依法合規意識教育暨勞動法律知識競賽。圖為競賽現場。仝江 攝

合規管理發展于商業賄賂防控領域和商業銀行監管領域，普及于跨國公司，全球500強公司大都建立了完整的合規管理體系，成為企業可持續發展的戰略基石之一。近期，中興通訊因不合規導致嚴厲制裁，使得合規管理再次引起廣泛關注和重視。合規管理的主要內容是什么，如何構建合規管理體系，國內企業需要重點關注哪些方面，值得深入研究。

合規管理的目的和主要內容

合規管理體系的根本目的在于確保加強合規管理，有效防控合規風險，確保企業行為依法合規，為公司穩健可持續發展提供保障。合規管理一般包含三個層面：遵守外部法律法規規章及各項監管規則，遵守企業內部規章和商業行為準則，遵守職業操守和道德規范。西方公司傳統的合規管理專注于反壟斷、反不正當競爭、反腐敗及不當對外支付、進出口管制、政府關系等方面。在國內，合規管理除了上述內容，還擴展到全面合規，對公司生產經營各方面涉及的合規工作進行管理。合規管理的表象是合規，內核是誠信（Integrity），合規管理體系只能用于促進合規，而不能用于規避合規義務。

就合規管理的適用范圍而言，可分為兩個層次：一是企業集團及其全資子公司和控股子公司，以及實際行使控制權的子公司；二是公司的承包商、代理商、經銷商等利益相關的商業伙伴。如中國石化、通用電氣均規定商業伙伴在與公司開展相關業務時，應接受和適用公司起草的廉潔合同（條款）。

構建合規管理體系的關鍵因素

明確合規管理框架。公司首先要明確合規管理的最高領導，承擔合規管理的最終責任，下面依次設置合規總監、合規部門，以及合規部門和業務部門的專兼職合規崗位。合規總監應向公司董事會、主要領導直接匯報工作，確保公司最高層能夠持續直接獲得合規管理的全面信息。合規總監一般不宜兼管或兼任公司的業務、財務、審計等，以免發生利益沖突。例如保監會制定的《保險公司合規管理辦法》明確禁止合規負責人不得兼管業務、財務、資金運用等存在職責沖突的部門。

識別和維護合規義務。公司應根據業務特點、復雜性、運營特點來系統識別合規義務。合規義務的來源既包括被動合規要求，如法律和法規，許可、執照或授權，監管機構的命令、條例，法院判決和行政決定，條約，協議，行業慣例或行業協會準則等，也包括主動的合規承諾，如企業主動承諾的更高的自我要求或自我規定的標準或義務等。常用的識別方法包括調查問卷法、訪談調研法、案例分析法、流程梳理法、因素分析法、法規梳理法等。合規義務需與時俱進，持續更新，以確保持續合規。

識別、分析和評價合規風險。合規風險指的是因不合規的行為引發的法律責任、財務損失或聲譽受損的風險。要結合公司的活動、產品、服務、日常運營特點，對合規風險進行識別、分析，從“嚴重性”和“概率”兩個維度進行合規風險評價，設定風險的優先級，為后續的合規風險防控提供數據支撐。

制定合規制度。面向全體員工，企業應統一制定發布全員合規手冊。針對具體業務，應制定業務性合規制度。合規部門和相關業務部門應在全面梳理涉及的主動和被動合規要求后，制定詳盡而完善的內部合規規章，并根據外部環境和管理實際的變化及時修訂完善。針對新業務、高風險業務，或者監管機關新出臺的監管政策，可以編制專項合規指引，或者禁止性風險提示，表現形式應盡量表格化、流程化、可視化，并附上可予借鑒的案例。

開展合規論證。主要有決策合規論證、產品合規論證、行為合規論證和制度合規論證。公司在進行對外投資、合資合作、并購、資產處置、重大改革重組、重大工程建設項目等決策時，應保障合規部門提前介入、全程參與，就是否合法合規發表意見。產品在設計和推向市場過程中，合規部門應組織對產品的設計標準、質量標準、消費者適格、產品宣傳等環節的合法性進行審查。行為合規論證主要體現在與政府部門的交往行為、對外支付行為的合規論證方面，合規部門為這些行為提出合規建議，列出禁止性的規范，避免腐敗行為。公司起草和修訂制度，應審核制度是否符合上位規范性文件，未經審查不得頒布施行。

舉辦合規培訓。合規管理部門要針對需求對員工進行相應的合規培訓。通過培訓，讓員工、管理人員尤其是決策層真正認識到并相信合規的重要性，認識到誠信、守法對公司持續健康經營的基石作用，愿意為公司的合規管理提供支持和保障。通過培訓，告訴管理層在遇到不能確定是否合規時，應本著誠信的原則進行處理，思考是否愿意為自己將作出的決定負責，并應及時咨詢公司的合規部門。

進行合規評價。企業應將合規納入績效考核體系，將機構和人員因違反外部合規要求而導致發生行政、司法處罰等情況，作為約束性考核指標，納入考核指標體系。對管理層，還應將在公司營造和維護合規環境和文化、率先垂范學習和遵守合規要求納入評價內容。

華北油氣分公司采油一廠采油管理二區開展法律知識普及活動。圖為員工在法制安全宣傳欄前討論。劉剛 攝

編制合規報告。合規管理綜合部門每年應形成綜合性的公司合規管理報告，主要內容包括：合規管理狀況概述，合規政策的制定、評估和修訂，最高管理層對合規管理的重視和支持情況，重要業務活動的合規情況，合規評估和監測機制的運行，存在的主要和重大合規風險、應對措施、原因分析和補救措施，重大違規事件及其處理，合規培訓情況，合規管理存在的問題和改進措施。

建立合規管理體系的建議

國內企業建立合規管理體系除了要關注上述的關鍵因素，還要處理好以下幾個關系。

強化合規組織領導，構建合規文化。構建合規管理體系，在起步階段，領導重視是關鍵。建議由公司董事會或一把手直接負責合規工作，首席合規官或合規部門負責人能夠直接向最高領導直接匯報工作。“法律力量的最終在于被信仰”，合規同樣如此。公司最高領導對合規文化的信仰和認可程度至關重要，要將倡導和建立合規經營的價值導向和合規文化作為公司領導層的主要職責，為公司合規管理體系的建立和運行提供保障、創造條件。

合規管理要與內控融合。“法律的生命在于施行”這一理念同樣適用于合規。合規管理的目的在于防控合規風險，要想更加接地氣、發揮更大的作用，建議合規管理與公司內控制度融合，增強合規管理的權威性和可操作性。合規管理與內控制度相結合可以避免對現有管理體系做大的變更，更加易于施行。在具體操作中，合規要求可融入內控的業務流程，在內控手冊具體業務流程表格中，增加《合規要求》欄，或者在“控制目標描述”中增加合規要求的內容，在“風險描述”中增加“合規風險點表現”，并在“對應制度條款”列出合規要求所依據的法律法規和監管要求等。

強化監督和問責。監督和問責是合規管理有效發揮作用的重要保障。企業應設立專門的違規舉報平臺，包括提供接收信函地址、電子郵箱等，還包括建立“神秘顧客”制度，聘請專、兼職的社會監督員，定期或不定期與有關業務主管部門、審計監察部門一起開展合規專項檢查。違規行為發生后，根據情節輕重、后果的嚴重程度，按制度給予相應的處罰，或移交司法部門。員工發生嚴重違規行為，相關負責人也要承擔相應責任，如果相關負責人已經履行了對員工進行合規培訓的職責，可以作為抗辯理由減輕對負責人的處罰。

（作者單位：集團公司法律部）