如何讓央企合規管理機制“長牙齒”？（下）

話題嘉賓

謝獲寶：武漢大學會計系教授，博士研究生導師。曾兼任浙江大學、中山大學嶺南學院、江西財經大學等院校EMBA項目教授。主要從事資本市場會計和財務問題研究。

林江：中山大學嶺南學院經濟學系教授、博士生導師；國家教育部人文社會科學重點研究基地中山大學港澳珠江三角洲研究中心副主任；中國財政學會理事，廣東省財政學會副會長，廣州市規劃委員會委員，廣州市人民政府決策咨詢專家。

湯風琴：天職國際會計師事務所（特殊普通合伙）合伙人，財政部內部控制標準委員會咨詢專家。

楊興龍：重慶市政府績效評價研究中心副主任，重慶工商大學會計學院副教授、碩士生導師。重慶內控科技中心專家委員會主任，重慶市會計領軍人才。

唐大鵬：東北財經大學會計學院審計系教授，中國內部控制研究中心副主任，財政部內部控制標準委員會咨詢專家，入選財政部第六屆全國會計領軍人才（學術類）。

主持人

阮 靜：《財政監督》雜志編輯

背景材料：

近日，國務院國資委印發《中央企業合規管理辦法》(以下簡稱《辦法》)，從制度建設、運營機制、合規文化、監督問責等方面對央企進一步深化合規管理作出細化規定，這是國資委針對合規管理發布的重要部門規章。《辦法》于2022年10月1日起施行。

所謂合規，是指企業經營管理行為和員工履職行為符合國家法律法規、監管規定、行業準則和國際條約、規則，以及公司章程、相關規章制度等要求。在推進全面依法治國的當下，依法合規經營是任何一家企業都必須遵循的原則。作為國有企業，特別是在國民經濟中扮演重要角色的央企，更應當在合規管理上發揮表率作用，這也直接關系到法治央企的建設成效。近些年來，相關部門不斷強化法治央企建設頂層設計，持續指導央企加強合規管理，切實防范風險，央企合規管理工作取得積極進展和明顯成效。

此次《辦法》在此前相關文件的基礎上，對央企進一步深化合規管理提出明確要求，不僅內容更全、要求更高，而且措施更實，更具有剛性。具體來講，一是明確合規管理相關主體職責。按照法人治理結構，規定了企業黨委（黨組）、董事會、經理層、首席合規官等主體的合規管理職責，進一步明確了業務及職能部門、合規管理部門和監督部門合規管理“三道防線”職責。二是建立健全合規管理制度體系。要求中央企業結合實際，制定合規管理基本制度、具體制度或專項指南，構建分級分類的合規管理制度體系，強化對制度執行情況的檢查。三是全面規范合規管理流程。對合規風險識別評估預警、合規審查、風險應對、問題整改、責任追究等提出明確要求，實現合規風險閉環管理。四是積極培育合規文化。要求中央企業通過法治專題學習、業務培訓、加強宣傳教育等，多方式、全方位提升全員合規意識，營造合規文化氛圍。五是加快推進合規管理信息化建設。推動中央企業運用信息化手段將合規要求嵌入業務流程，利用大數據等技術對重點領域、關鍵節點開展實時動態監測，實現合規風險即時預警、快速處置。

習近平總書記強調，守法經營是任何企業都必須遵守的一個大原則，企業只有依法合規經營才能行穩致遠。黨的十九大后，黨中央明確提出習近平法治思想，把全面依法治國提升到前所未有的新高度。《法治中國建設規劃（2020－2025年）》《法治社會建設實施綱要（2020-2025年）》等中央文件對企業依法合規經營提出明確要求。落實黨中央部署要求，國務院國資委高度重視合規管理工作，2018年印發《中央企業合規管理指引（試行）》（以下簡稱《指引》），組織編制一系列重點領域合規指南，并將今年確定為中央企業“合規管理強化年”，進一步加大推動力度。在當前國際競爭越來越體現為規則之爭、法律之爭的大背景下，中央企業面臨的國內外環境和風險挑戰日趨復雜嚴峻，必須加快提升依法合規經營管理水平，確保改革發展各項任務在法治軌道上穩步推進，《中央企業合規管理辦法》出臺正當其時。如何做好“三張清單”？如何充分發揮首席合規官的職能作用？做實央企合規管理體系有效性評估應如何著力？本期監督沙龍繼續聚焦央企合規管理新政，就相關問題展開探討。

扎實做好“三張清單”務實高效健全合規體系

主持人：國務院國資委黨委委員、副主任翁杰明在央企合規管理工作推進會上講話強調扎實做好“三張清單”，根據《辦法》和相關資料整理，第一張“清單”是風險識別清單，這是合規管理工作的基礎，通過各個業務部門和管理部門逐項梳理自己的工作內容，結合各項必須遵循的法律法規和政策文件，確定工作中的合規風險點，把這些風險點按照風險程度和發生概率排列出來，形成風險識別清單；第二張“清單”是崗位合規職責清單。每個崗位都有清晰的崗位職責，對照這些崗位職責，將每個職責中的合規審核、合規管理、合規動作都反映出來，對于本崗的合規職責就能凸顯并匯總為合規職責清單；第三張“清單”是流程管控清單，是指所有企業的業務流程和管理流程中，通過識別合規風險，都要設置關鍵風控點，并增加合規審查環節，每個流程管控環節依次確認，就形成流程管控清單。結合您的研究和實踐，對于企業做好“三張清單”您有何想法建議？

謝獲寶：三張“清單”管合規是基于合規管理的目標和內在運營規律，并提煉合規管理實踐經驗總結出的中國企業合規管理智慧。企業合規管理的基本目標是有效防控合規風險，提升依法合規經營管理水平。因此，合規管理的首要工作是弄清合規風險在哪里，這是有效開展合規管理的工作基礎，風險識別清單是明確合規風險點、弄清合規風險源頭的有效工具。風險主要來源于企業經營環境的不確定性，合規問題和合規風險更多發生于企業業務部門和管理部門的具體工作中。崗位合規職責清單是將合規管理納入崗位工作、實現合規管理全覆蓋的有效工具。企業中紛繁復雜的經濟業務及其管理活動基本都是按照業務流程展開的，在業務流程中設置關鍵風控點，將合規審查嵌入流程管控，形成合規風險管控的一道道防線，能夠有效解決合規管理中存在的問題，實現合規管理目標。流程管控清單是為違規行為設置的巨大壕溝，讓不合規行為難以逾越。合規管理要從思想上重視三張“清單”的工具作用，有效的工具能夠降低工作難度和工作失誤、并促成令人滿意的合規管理工作成效。

近年來，財務和會計實踐中通過“業財融合”的活動，不僅促進了資源有效配置及運用，還促進了業務工作的合法合規開展，取得了較好的管理成效。在深刻理解《辦法》規定的合規管理目標和合規管理基本內容基礎上，提煉合規管理的內在規律，借鑒“業財融合”的實踐，堅持合規管理“管業務必須管合規”的原則，按照“合規管理融于公司業務、合規管理融入公司職能部門工作、合規管理嵌入公司流程”的思想，形成有效的合規管理風險識別清單、崗位合規職責清單和流程管控清單，找到合規風險點、明確崗位合規職責、設置合規關鍵風險控制點，在業務和流程層面支撐合規管理工作。

湯風琴：筆者認為，風險識別清單、崗位合規職責清單、流程管控清單三者之間的關系是總分的關系，要在企業層面形成風險識別清單，然后按照崗位分解到人、按照流程分解到環節，是合規風險能否做實做深的關鍵。做好“三張清單”，需要聚焦企業面臨的監管要求，做大量的收集、分析、梳理、論證、優化、固化等工作：一是需要企業主要負責人站在全局視角做好企業層面合規風險的識別和把握，做好風險管理輕重緩急的把控，做好風險應對策略、措施的統一與責任分解；二是需要各個專業部門負責人基于自身的部門職責做好專業，做好部門內部合規職責的梳理，基于管控模式和管理授權做好專業管理縱向到底的合規職責層層落實，強化一道線把控；三是需要各個專業部門基于流程流轉做好橫向協同制衡等管控職責的梳理；四是需要各個專業部門和監督部門共同做好“關口前移”工作，針對風險清單、職責分工、崗位配置、流程覆蓋、風控點設置是否能夠真正避免違規問題的發生進行全面評估論證。

楊興龍：清單管理是國家、政府和社會治理領域很常用的管控機制，也是企業、家庭及個人管理流行的有效工具。“清單讓事情變得簡單，而不是復雜”。清單之所以廣泛應用，主要是簡單、清爽，便于理解和認知，不容易有所疏漏，便于對照執行，能夠有效增強執行力。對于企業做好“三張清單”的第一個重要建議是，各項清單都要回歸簡單的實質，不要試圖面面俱到、事無巨細；如果企業層面總的清單內容很多、難以精簡，可考慮分層、分級、分類管理，比如風險清單，對于黨委、董事會和經理層，僅列示風險程度最高、影響最大的前10位風險，提示給予重點關注；對于業務及職能部門和具體崗位，僅列示與本部門及與本部門業務高度相關的風險即可，確保清單內容簡潔，一目了然。

同時，“三張清單”之間有內在關聯，是相互聯系、相輔相成的。風險清單是導向，決定了合規管理的對象及主要內容；崗位職責清單是保障，影響甚至決定員工的效用函數及行為偏好，決定著合規要求能否轉化為員工自覺行動；流程管控清單是載體，決定各項業務及管理的辦理方式，決定著合規要求能否有效嵌入經營管理過程。同時，三張清單是相互勾稽、關聯互動的，風險清單定義了實施合規管理的事項及范圍，進入風險清單的事項，相對應的流程就需要考慮嵌入合規審查及關鍵風險管控的環節，同時需要對相對應崗位的崗位職責做出調整或補充，明確該崗位履行合規管理職責的業務場景、具體環節、觸發條件、控制標準及信息傳遞要素等；同樣的，當某個事件被移出風險清單時，相對應的管控流程及崗位，也要及時調整。

總體上，三張清單仍然屬于“制度規定”的范疇。徒法不足以自行。在建立并不斷完善清單內容，充分保證清單適應性、有效性及科學性的基礎上，還應不斷健全執行機制及配套措施，對各項清單的具體執行情況實施有效監督評價，實現閉環管控。

林江：三張清單清晰地從風險識別、崗位合規職責、流程管控三個主要流程，規范了相關的合規管理人員、部門所需要承擔的職責，落實到位將對央企有效開展合規管理活動具有重要的現實意義；三張清單梳理了合規工作的風險點，以及按照風險程度把其發生的概率排列出來，相關工作相當細致，有助于合規工作部門和人員按照風控點的設置情況加以重點關注，最大限度避免合規風險事件的發生；在大數據的背景下，企業有能力充分使用數字化工具來輔助合規管理部門與人員進行合規風險管理和分析；合規管理是一項系統工程，需要業務職能部門、風險控制部門、監督部門的多方協同。是否有效協同并產生效果，遠遠超出了三張清單能夠彰顯的信息。從合規管理的實踐看，用大數據手段進行企業的合規管理數年前就開始了，用清單管控合規流程也不是始于今天，然而，企業發生的合規風險事件依然層出不窮，顯然這就不是技術手段或者規程設置的問題，而是人的問題。央企在合規管理上率先垂范，其核心并非比拼三張清單有多么精細，管控流程多么細致，而是要彰顯央企的首席合規官乃至全體員工如何把合規管理的意識深入自己的腦海之中，貫穿整個企業經營管理的全流程之中。

唐大鵬：風險識別清單是合規管理工作的基礎，也是企業及時識別、系統分析經營活動中的合規風險，合理確定風險應對策略的依據。企業應當以建立健全合規風險識別評估預警機制為目標，確保風險識別清單覆蓋風險識別、風險評估、風險預警等各個階段。首先，在風險識別階段，企業應當全面收集上位法律法規、政策文件、內部規章制度，以及企業自身或其他企業發生的重大法律糾紛案件、重大行政處罰、刑事案件、被國際組織制裁等重大合規風險事件，結合本企業各部門的工作內容和合規審查、風險排查中發現的相關風險，確定工作中的合規風險點。其次，在風險評估階段，應當根據此次部署的“五個關鍵”以及《指引》提出的重點領域、重點環節、重點人員等對合規風險點進行歸納、分類。同時在相關合規風險點中，將外法內規明令禁止的事項，設置為禁止逾越的“紅線”；將未明確規定的事項，通過事件樹分析法等確定風險較低但需要警戒的“黃線”；將政策文件中鼓勵的事項，設置為以形式審查為主且需要提升審查效率的“綠線”，進而將合規風險點升級為合規大數據并納入數據庫管理。最后，在風險預警階段，應當系統分析風險發生的可能性、影響程度、潛在后果等，繪制風險矩陣并對風險進行排序和評級。其中，低風險以監測為主，中等風險應當向業務及職能部門發出預警并采取控制措施應對，對于典型性、普遍性和可能產生較嚴重后果的風險則應當向領導班子預警，達到上報要求的還需向國資委報告。

崗位合規職責清單是合規管理工作的組織保障，可以分為合規職責和合規權限兩方面。在合規職責方面，企業應當構建“主要負責人—合規委員會—首席合規官—合規管理部門”的合規管理組織架構，確保合規管理職責到位；也要筑牢業務及職能部門、監督部門的另外兩道防線，確保業務管理職責和監督職責不越位、不缺位。在合規權限方面，可依據經濟學“七二一法則”，實現科學合理的分級授權。具體地，企業應當統計合規審查筆數和金額，其中，約70%的審查集中于小金額，可由合規管理部門負責人審批；約20%的審查為中等金額，可由首席合規官審批；約10%的審查為較大金額，可由董事長審批；涉及“三重一大”的還應當按照“三重一大”決策制度進行集體決策。

流程管控清單是合規管理工作的落腳點，可以分為合規流程和合規表單兩方面。在合規流程方面，首先，根據風險識別清單和合規職責，將合規風險點匹配到決策機構和“三道防線”，并進一步分解到具體崗位，如經辦人、部門負責人、分管領導。其次，根據高、中、低三種風險等級和合規權限，自上而下地設定授權審批的金額標準或比例標準，并將高風險和金額較大的中等風險設置為關鍵風控點，進行重點管控和動態監測。最后，將合規風險點、合規職責、合規權限串聯在一起，形成明晰的權力邊界和規范的合規管理工作流程，并繪制為標準流程圖形式。在合規表單方面，不僅要將合規流程固化為合規審查表單，設列申請事項、審查意見、審查附件等區域，確保合規審查也要合規；還要生成合規排查表單，充分融合合規風險描述、風險評估（含發生的可能性、影響程度、潛在后果等）、風險評級等風險識別清單中的要素，并設列業務及職能部門的解釋說明與整改方案、合規管理部門審查意見、監督部門監督評價等區域，真正做到關鍵風控點在崗位合規職責和流程管控中落實、落細。

主持人：《辦法》指出中央企業合規管理工作應當遵循堅持黨的領導、堅持全面覆蓋、堅持權責清晰、堅持務實高效等原則，其中“全面覆蓋”要求將合規嵌入經營管理各領域各環節，貫穿決策、執行、監督全過程；“務實高效”要求建立健全符合企業實際的合規管理體系，突出對重點領域、關鍵環節和重要人員的管理。在您看來，央企合規管理體系建設如何平衡全面覆蓋與務實高效等原則？

謝獲寶：《辦法》中提出了合規管理的四個原則。全面覆蓋原則要求合規管理不留死角，充分發揮黨委（黨組）、董事會、經理層、業務及職能部門、合規管理部門和監督部門在合規管理中的主動性，做到合規管理活動全員參與，多方聯動，上下貫通，決策、執行、監督全過程覆蓋，實現合規管理目標。然而，任何一項合規管理工作都有成本發生，合規管理要求越高、措施越細，合規管理成本越大，如果合規管理要求過高，甚至會形成宏觀到微觀層面合規管理得不償失的結局。因此，央企合規管理需要從長期視野出發，動態尋求全面覆蓋與務實高效之間的平衡點，堅持有效防范合規風險、提高合規經營管理水平的合規管理目標，守住合規管理底線，按照“五個關鍵”“五個到位”確立工作重點，使用“三張清單”確保合規工作成效，既要強調合規管理目標，又要講究合規管理效率，努力提高合規管理成效。

湯風琴：筆者認為，合規管理覆蓋經營管理的各個主體、各個環節、各個崗位，但是企業經營管理的資源畢竟是有限的，也面臨著現實的客觀實際條件或歷史成因等限制，需要每個企業結合當前的發展階段、監管最新動態、現實管理技術和手段等，在做到全面識別合規風險、覆蓋所有合規風險點的基礎上，評估重大重要合規風險點，結合實際情況，做好合規風險管理的輕重緩急管理，確保體系有用、有效，避免眉毛胡子一把抓分散管理資源，最后撿了芝麻丟了西瓜，反而發生重大風險又扛不住甚至此種情況屢屢發生。

楊興龍：對《辦法》的學習領會不能孤立進行，需要置身于國企改革進程，結合2015年以來國務院和國資委制定出臺的一系列強化風險管理、責任追究、法治建設及內部控制等的政策文件綜合理解；企業貫徹落實《辦法》有關要求、實施合規管理也不能另起爐灶，而要充分沿襲和繼承黨的十八大以來國資委和中央企業在法治建設及合規管理方面所開展探索實踐、構建的體制機制及所積累的寶貴經驗，充分利用目前已形成的法務管理、風險管理、責任追究及內部控制等各類管理體系。全面覆蓋與務實高效兩個原則并不矛盾，恰恰是相互成就的：沒有務實高效原則聚焦重點，進而為合規管理做減法，全面覆蓋原則將難以為繼；沒有全面覆蓋原則作保障，針對經營管理各個領域及各個環節開展全面風險評估、針對共性風險開展全面風險排查，確保合規管理無盲區、無死角，務實及高效的目標就無法真正實現。

唐大鵬：關于如何平衡全面覆蓋與務實高效等原則，企業需要對合規風險實現精細化管理，在風險識別清單中，將合規風險點匹配為外法內規明令禁止且不能逾越的“紅線”，風險較低但是需要警戒的“黃線”、以形式審查為主且需要提升審查效率的“綠線”，并以此為根據，在合規審查中實行分級審批，確保企業能夠實現把控合規底線、管控合規風險、掌控市場機遇的三者兼顧。

主持人：結合《辦法》，談談不同行業領域的央企，合規管理建設重點難點有何共性和差別？對于合規管理建設處于不同階段的央企應如何找準自身進一步強化合規管理的抓手（如合規文化建設、信息化建設等），更好落實《辦法》部署要求？

謝獲寶：央企分屬不同行業、不同領域，不少央企還進行跨行業、跨領域開展經營活動，因此，所有央企都需遵循合規管理辦法的規定，同時，各個央企又需要結合自身的行業屬性和特征、經營規模、業務范圍、風險水平設置相應的合規管理機構、配置合適的合規管理人員、投入恰當的合規管理經費、形成相稱的合規管理技術。不同央企開展合規管理工作具有很多共性特征：比如合規管理目標相同，合規管理原則一致，合規管理組織和職責設定基本相同、合規管理制度建設和合規管理運營機制基本相通，合規管理文化建設、信息化建設和監督問責的基本要求相同。因此，央企在推進合規管理工作中可以經常交流、互相學習、共同提升。

各個央企的經營業務和活動各具特色，央企的合規管理工作在共性特征基礎上也有其多樣性的一面。各個央企合規管理的主要差異體現在合規管理的具體工作中，企業結合業務及職能部門工作梳理和形成的“風險識別清單”的內容、結合崗位工作職責形成的“崗位合規職責清單”的內容、結合業務流程形成的“流程管控清單”的內容都有較大的差異。另外，企業規模不同、行業屬性和業務特征不同、合規風險不同，其合規機構、人員、經費投入、信息化水平也有差異。不同企業的合規文化、合規制度建設、合規運營機制和合規信息化建設在達到《辦法》規定要求的條件下也會體現出各自的適應性和獨特性。

為更好落實《辦法》部署要求，對于合規管理建設處于不同階段的央企可以結合自身特點和目前合規管理工作的重點，分別找到自身進一步強化合規管理的抓手。對于合規管理基礎扎實的企業，可以對照新出臺的《辦法》逐條比對，查漏補缺，進一步提煉合規管理目標，優化合規管理組織和職責，改善合規管理制度、優化合規管理運營機制，完善合規管理監督問責制度。對于上述基礎工作做得好的企業，可以著眼長期加強合規管理的軟實力建設，尤其強化合規管理文化建設和信息系統建設。對于合規管理基礎較差的企業，首先要強化合規人才隊伍建設和合規制度建設，認真對照“五個關鍵”“五個到位”的要求，使用“三個清單”的工具提升合規管理的基礎工作體系。對可能存在重大合規風險的部分重要領域、合規問題頻發的部分業務領域，比如對反壟斷、反商業賄賂、生態環保、安全生產、勞動用工、稅務管理、數據保護等領域的合規問題開展專項內部審計工作，對規章制度、經濟合同、投融資等重大決策和海外業務開展專項合規評價工作。合規管理抓手可以多樣化，但是工作開展應該注重成效。

林江：結合前述探討，央企合規管理體系建設要平衡全面覆蓋與務實高效等原則，因此需要明確央企的主要類別以及相應的合規管理的最佳模式。事實上，人們對于營利性央企和以公用事業作為主要業務范圍的央企的理解和期待是不同的，例如，對于類似國家鐵路集團這樣的企業，與保利集團這樣的企業，期待值是不太一樣的。公眾期待值越高，企業的合規要求也就更加嚴格。央企的主要監管部門是國資委，且不同業務性質的央企歸屬不同的部委或者由相關行業總公司進行業務指導，那么一家央企某些做法是否合規其判別主體為誰成為央企強化合規管理過程中的一個難點。與此同時，當前我們非常依賴信息化、大數據手段來輔助企業對是否合規做出判斷，新形勢下如何把人的要素與數字化轉型要素結合起來，共同推動央企的合規管理工作，是落實《辦法》部署的關鍵所在。央企所屬行業種類繁多，合規的行業表現形式各有不同，這對于企業首席合規官的素質要求也越來越高。如何選擇適當的人擔任首席合規官，以確保合規管理系統得以順利運行，也是強化企業合規管理的挑戰。

湯風琴：不同行業領域央企在合規管理工作上既有共性也有個性。共性體現在都是企業、都是國有企業、都是中央企業或者都在某個資本市場上市，都需要遵循共同的公司治理、國有資產管理、勞動關系管理、財稅管理、交易管理等通用合規要求，這些是可以互相進行較大程度共享或借鑒的。個性體現在每個行業由于各自的商業模式面臨著行業監管差異化的監管要求，比如金融行業企業面臨銀保監會的特殊行業合規要求，比如電力行業企業面臨發改委、國家能源局的特殊行業監管要求，比如跨國經營面臨國際合規監管要求。因此，中央企業要結合共性和個性特征，從集團層面進行頂層論證和設計合規管理的框架和思路，確保合規管理范圍精準務實高效。

合規風險伴隨企業設立、發展、衰退的全過程，合規管理是促進企業長期穩定可持續發展的重要抓手之一，不是一蹴而就或者權宜之計，不同發展階段的企業應加強合規管理工作的評估與規劃，結合自身的發展階段面臨的合規風險管理需求，結合自身的管理基礎、管理手段以及最新技術、最佳實踐等進行長期規劃并分步實施、因情施策。

楊興龍：在建設實施尤其是方法論的層面，合規管理與內部控制具有很強的關聯性及同質性，內部控制建設實施中所積累的有益經驗和教訓，推動合規管理可以充分學習、吸收和借鑒，甚至直接納入內控體系統一建設實施。不同行業領域企業，合規管理建設的重點任務、制度體系、運行流程、標準規范、組織設置及文化、信息化建設等，具有共性特征，這是方法論層面的問題，不同類型企業以至不同所有制、不同規模企業，都可以參考借鑒。從需求側和供給側考察，不同行業領域合規管理建設的差別主要在于合規風險類型及合規管理能力：從需求側看，不同行業企業所面臨合規風險的領域、類型、影響程度、具體內容等都具有很大差異，因而對待合規管理的重視程度及資源投入必然有所差異，否則就違背了成本效益的基本原則；從供給側看，合規管理能力從根本上決定企業合規管理的組織實施，不同企業合規管理能力差異主要取決于企業里法律尤其是特定領域專精法律知識的人員配備情況，也取決于企業內控、風險管理及信息化建設情況，專業人員多、法務管理能力強、內控機制健全、信息系統完備，企業實施合規管理的“工具箱”就更加豐富，反之亦然。

唐大鵬：關于如何處理合規管理建設的重點難點，各行業領域的央企均需要通過制度建設強化合規風險控制措施的硬約束，既要對上位法律法規進行精準解讀，也要將相關要求落實于內部規章制度之中。這就要求央企逐一分解上位法律法規中的法條，轉化為企業經營必須遵循的目標、原則、職責、流程、標準、表單、信息化、監督等具體要求，結合企業實際在內部規章制度中予以細化，并配套相應的流程圖和表單。對于不同行業領域的央企，還需要掌握業務主管部門發布相關文件以及行業標準等，例如從事貨物和服務貿易的央企，應當全面掌握關于貿易、質量安全與技術標準、知識產權保護等方面的要求，從事對外貿易的還需要關注業務所涉國家開展的反傾銷、反補貼、保障措施調查等。此外，還應當關注風險較高或對自身發展較為重要的共性業務，例如投資風險較高或者涉及較多投資業務的央企，應當掌握當地關于市場準入、行業監管等方面的法律法規，開展境外投資的還需要了解國家安全審查、外匯管理、反壟斷、反洗錢、反恐怖融資等方面的具體要求。

關于不同階段的央企應當如何找準強化合規管理的抓手，首先，各階段央企的合規建設均需要遵循管理制度化、制度流程化、流程標準化、標準表單化、表單信息化、信息智能化的步驟。其次，合規管理起步較晚的央企應當在制度建設的基礎上，將重點放在制度流程化、流程標準化、標準表單化，降低由于流程、標準、表單缺失導致的合規管理的隨意性；取得初步成果的央企應當以流程圖和表單為“圖紙”，通過信息化建設進一步降低合規管理中的人為因素；成效較好的央企則需要探索利用大數據、云計算、人工智能等技術，實現合規風險實時監測、自動預警、監督評價等在線監管功能，進一步向合規管理智能化邁進。

充分發揮“首席合規官”的職能作用

主持人：《辦法》出臺后，在央企設立“首席合規官”成為各方關注的焦點之一。根據《辦法》，中央企業主要負責人為企業推進法治建設第一責任人，首席合規官對企業主要負責人負責，全面參與重大決策。對于“首席合規官”，結合《辦法》要求，應如何準確定位、保障其獨立性、專業性，讓其真正為企業合規制度的有效運行發揮關鍵作用？

謝獲寶：在合規管理制度設計、責任配置和管理實踐中設立“首席合規官”是國內外合規管理的趨勢。從部分央企實踐效果看，設立首席合規官體現了企業及其管理層對合規工作的重視，能夠有效地將合規管理工作納入公司治理體系；設立首席合規官，并對企業主要負責人負責，明確了合規管理職責，其全面參與重大決策，以權力和影響力為基礎，能夠有效推動合規管理工作的統籌安排，推動合規工作的有效開展。設立首席合規官也是國際一流企業實施合規管理的普遍做法，而且取得較好成效。世界銀行等重要國際組織也鼓勵企業設立首席合規官，以期提高企業的合規經營管理水平。《辦法》規定設立首席合規官順應了時代潮流和合規管理的需要。

《辦法》第十二條規定：“中央企業應當結合實際設立首席合規官，不新增領導崗位和職數，由總法律顧問兼任，對企業主要負責人負責，領導合規管理部門組織開展相關工作，指導所屬單位加強合規管理”。從定位上看，首席合規官是合規管理工作的第一分管領導，直接對企業主要負責人負責，要負責推動合規管理工作有機融入公司治理體系；與企業主要負責人一起統籌整個企業的合規管理工作，對企業合規管理的整體成效承擔領導責任；直接領導合規管理部門組織開展相關工作，指導所屬單位開展合規管理。首席合規官在權責明確、權責對等的企業組織體系中負責任的領導和統籌合規管理工作是實現合規管理目標的重要條件。

首席合規官由總法律顧問兼任，從形式上保證了其身份的獨立性，但是基于合規管理的目標和職能賦予其相應的權力、責任和資源才能使其擁有合規管理上的應有影響力，明晰其在合規管理和其他決策及業務活動的界限是實現首席合規官在實踐中保持獨立性的重要條件。企業黨委（黨組）和董事會對首席合規官身份獨立性和工作獨立性的持續評價、優化和監督是保障其獨立性的有效機制。

合規要求企業經營管理行為和員工履職行為符合國家法律法規、監管規定、行業準則和國際條約、規則，以及公司章程、相關規章制度等要求。合規管理具有很強的專業性特征。由總法律顧問兼任首席合規官就是為了保證合規工作的專業性和有效性。然而，合規工作只有融入業務及職能部門的工作、融入流程管控過程中才會取得應有成效，因此，首席合規官圍繞合規目標開展工作，緊扣合規管理職能強化合規文化、合規能力、合規運營機制、合規信息系統建設，并培育具有勝任能力的合規管理人才隊伍；自身做好合規管理工作，還要指導各個業務部門和下屬單位做好合規管理工作，才能較好地在實踐中體現合規管理的專業性。

湯風琴：集團式企業設立“首席合規官”，即（ChiefComplianceOfficer，CCO），在國際跨國公司尋常可見。在企業主要負責人下設立首席合規官，其定位就是一個相對中立的第三方角色，是協助企業主要負責人站在企業整體角度專門負責公司合規事務，確保公司依法運行，因此其定位既是狹義的也是廣義的，狹義上來說要做好合規管理這個專業工作，廣義上來說要推動集團內部各個主體、各個行業、各個專業做好合規，做好籌劃、組織、建制、指導、落地、監督、改進等全面工作，因此需要有充足的獨立性保障和充分的專業性保障。從獨立性來說，要從隸屬關系、專崗專人配置、獨立合規審查、合規監督、合規報告、違規處罰等全過程予以獨立性的資源和機制保障；從專業性來說，要從合規人員的專業配置、經驗配置、行業配置、數量配置等方面予以充分保障，避免合規管理流于形式。

楊興龍：對于設立“首席合規官”的做法，不宜過分解讀，梳理相關文件，可以說這是水到渠成、實至名歸。國有企業設置總法律顧問的做法已經成為慣例：2002年，原國家經貿委、中組部等七部委共同成立國家重點企業總法律顧問制度試點工作小組，聯合印發了《關于在國家重點企業開展企業總法律顧問制度試點工作的指導意見》；2004年，以國資委令第六號頒布的《國有企業法律顧問管理辦法》對總法律顧問的任職條件及職責做了專章規范；2015年，中共中央、國務院聯合印發《關于深化國有企業改革的指導意見》提出“進一步發揮企業總法律顧問在經營管理中的法律審核把關作用”，此后，這項表述頻繁出現于相關的黨內法規制度及部門規章中。《國有企業法律顧問管理辦法》規定，總法律顧問“統一協調處理企業決策、經營和管理中的法律事務；參與企業重大經營決策，保證決策的合法性，并對相關法律風險提出防范意見”；中共中央辦公廳、國務院辦公廳聯合印發的《關于推行法律顧問制度和公職律師公司律師制度的意見》提出，通過設置總法律顧問“推進企業依法經營、合規管理”；《指引》也對總法律顧問在合規管理中的職責做了規范。由此對照《辦法》所規范首席合規官職責，仍集中于對“重大決策事項”開展合規性審查，其主要變化在于：確立了“名分”，要求在審查意見簽字，進一步夯實了主體責任，顯著加大了直接責任（之前是主管責任或領導責任）。

設置“首席合規官”的重要意義在于，實現了合規管理組織體系的完備性，將合規管理與法務管理（總法律顧問）、財務管理（總會計師）、內部審計（總審計師）等工作一樣，確立為一項企業層級的管理機制，實現了合規管理的“提質增效”，保障了業務及職能部門合規管理崗的正當性及權威性，也為合規管理職業化等一系列配套工作的開展拉開了帷幕。

林江：首先是首席合規官的來源。包括什么樣的人才有資格擔任央企的首席合規官，擔任央企的首席合規官需要具備什么樣的學歷、對于專業出身有沒有特別的要求，對于本人從事與企業合規相關的工作有沒有年限要求等；其次，對于首席合規官應該怎樣開展工作，也是相當關鍵。為了執行國資委關于《辦法》的要求，讓首席合規官進入公司領導班子成員，是否就一定確保首席合規官能夠獨立專業地開展工作？如果要確保其獨立性，要求其平常需要與企業的業務職能部門保持一定的距離，因為只有距離才會產生“美”，才能讓首席合規官更加客觀地判斷某項業務是否合規。然而，問題在于，一定的距離是多少為好？如果距離太遠，首席合規官也未必看得清楚，距離太近則有可能受到業務目標視角的影響；再者，誰去評價首席合規官的表現？是企業的負責人嗎？如果相關的評價是公允的，就需要企業負責人具備能夠評價首席合規官的專業能力，對央企負責人的專業素質要求就更高。以上三個問題如果能夠回答好，就能夠讓首席合規官真正為企業合規制度的有效運行發揮關鍵作用。

唐大鵬：從定位上看，首席合規官與總會計師、總審計師十分類似，均為對企業主要負責人負責的核心管理層成員。同時，《辦法》還要求“不新增領導崗位和職數”“全面參與重大決策”，那么首席合規官既可以由現有班子會成員兼任，也可以由具有合規管理、法律等背景的其他管理人員兼任，但需要其能夠列席班子會議，切實履行全面領導合規管理體系建設與運行的相關職責。

從獨立性上看，首席合規官應當保持精神上的獨立和實質上的獨立。精神上獨立是指首席合規官在執行合規管理工作中，保持獨立的姿態，從客觀公正的立場出發，按照外法內規的標準和原則，謹慎合理地對決策進行合規審查，恪守職業道德，不屈從于來自任何方面的壓力。實質上的獨立是指首席合規官與被審查的決策不存在經濟聯系和有損于獨立性的其他聯系，且合規審查環節獨立，不會受到其他審批環節的影響。

從專業性上看，在合規管理、風險管理、內部控制“三合一”的背景下，首席合規官應當綜合掌握法務、財務、業務相關專業技能，既要對法律法規的變化保持敏感性，充分貫徹上位法律法規，還要掌握風險管理技術和內部控制措施以應對合規風險。

此外，由于第三方機構的專業團隊同時具備獨立性和專業性的條件，首席合規官也可以通過購買服務的方式，委托第三方機構開展合規管理工作，但仍要負有合規管理的領導責任。

做實央企合規管理體系有效性評估

主持人：央企合規管理體系有效性評估，是《辦法》的一個亮點和重點。從國資委對中央企業合規管理體系有效性評估進行考核評價，董事會對合規管理體系進行有效性評價，到授權下的合規管理部門對合規管理體系進行有效性評價，再到合規管理體系有效性評價成為運行機制的組成部分，都反映了有效合規管理是央企合規管理的重點工作。應從哪些方面衡量央企合規管理體系的有效性？對于做實央企合規管理體系有效性評估您有何想法建議？

謝獲寶：合規管理重在成效，合規管理成效評價是個難題，又是個必須解決和不斷完善的問題。結合《辦法》規定，基于合規管理工作目標和合規管理體系內在運營規律，借鑒其他領域的成效評價經驗，建議從以下方面解決和完善央企合規管理體系有效性評價工作：

首先，合規管理體系有效性評價應該基于合規管理的目標和原則展開，考察合規管理體系及其活動是否有效促進了合規風險防控，提升了合規經營管理水平，促進了企業管控風險、創造價值、高質量發展和可持續發展能力的提升，是否為深化法治央企建設、全面依法治國做出了微觀企業的貢獻；同時還要考察合規管理體系及其活動是否遵循了合規管理的基本原則。

其次，合規管理體系有效性評價需要兼顧體系建設、運行和效果評價。一是要評價央企合規管理組織是否到位，合規管理責任主體的合規職責是否清晰明確；合規管理制度建設是否完整科學；合規管理運營機制是否有效；合規管理文化和信息化建設是否與企業合規管理的需要相匹配；合規管理監督問責制度是否健全。二是要評價這些法律和規則是否在企業各項業務活動中得以有效實施。三是要評價合規管理體系的運行效果，即是否實質上防范了合規風險，控制了直接和間接的合規損失。

第三，合規管理體系有效性評價需要注意系統性。國資委需要對央企合規管理體系建設情況及其運行的有效性進行考核評價，國資委從外部進行考核評價能夠給央企合規管理體系建設及其成效提升形成強大的助推力，而且外部考核評價更加客觀公正。企業董事會要從公司治理的角度考核本企業合規管理體系及其工作成效，使合規管理體系建設和實施具有戰略性、長期性和整體性。合規管理部門要對合規管理體系運營的有效性進行評價，發現問題，及時糾偏，以便合規管理體系得以持續改善。監督部門可以結合自身工作職責參與和促進合規管理體系有效性評價工作；業務和職能部門結合自身工作應該對合規管理體系建設和實施有效性做出反饋，提出改善性建議，促進企業合規管理體系有效性的評價工作。中央企業作為一個整體，應當定期開展合規管理體系有效性評價，針對重點業務合規管理情況適時開展專項評價，強化評價結果運用。央企不僅要開展總部及其相關部門合規管理體系的有效性評價，更要推動所屬子公司開展合規管理體系的有效性評價，尤其關注境外機構合規管理體系及其運行的有效性評價工作，實現合規管理體系有效性評價工作的全覆蓋。

第四，合規管理體系評價需要和監督問責相結合。沒有嚴格監督問責工作的有效性評價是假評價。為了將合規管理體系有效性評價工作落到實處，對于評價中發現的問題需要依據相關法律法規追究相關單位、部門和員工的責任。在合規管理體系有效性評價中需要注意的是，企業目前沒有合規問題發生，不等于不存在合規風險，評價既要看目前的實際結果，更要關注合規風險的事前和事中防控。因此，對合規管理體系要從體系建設、體系運行、運行結果考核、評價結果運用和監督問責等方面進行全過程有效性評價。

林江：合規管理是貫穿央企整個企業管理體系之中的，是企業治理結構的重要組成部分，是確保央企是否處于有效治理狀態的重要一環。在此背景下，就要關注企業的公司治理制度是否存在合規要素，公司的財務管理制度是否存在合規要素，公司的戰略管理體系是否存在合規要素等等。因此，盡管每一家央企都會建立自身的合規管理體系，然而，文字上的合規管理體系固然重要，更重要的是把合規的要求和元素貫穿于整個企業管理進程之中的每一個環節里，甚至是企業每一位員工的腦海之中。從此視角出發，著手央企合規管理體系的有效性，從建章立制的角度出發，當然是要參考其他合規方面運作非常成功的央企的經驗，從合規的內涵和外延上結合企業的具體業務實際，編制一個切實可行的合規管理的體系方案，并且反復征求企業員工的意見，在征求意見過程中，其實也是把合規的理念貫穿于整個企業管理全流程的一個重要環節；在此基礎上，就是要理順合規管理部門與企業風險控制、法律事務部等部門的工作關系和工作程序，更要理順企業的首席合規官與企業的其他部門負責人，包括首席風險官、首席技術官的工作關系，避免互相扯皮和推諉；最后，央企的合規體系有效性的評估，取決于該合規體系是否擁有對企業各部門，下屬子公司的協調、整合能力，這種能力既體現在對于是否合規的專業性評估，也體現在對于合規體系整合央企相關資源能力的一般性評估。換言之，有效的央企合規管理體系就是一個能夠把專業性評估和一般性評估有機結合起來的管理體系。

湯風琴：從當前的管理學理論和實踐來看，衡量一個管理體系有效性，一般指的是一個管理體系的建立和實施對實現管理目標提供的合理保證程度。因此，衡量央企合規管理體系的有效性，也應該是聚焦央企建立和實施合規管理體系是否為實現央企合規管理目標提供了合理保證。其最低要求就是央企建立和實施合規管理體系是否能在合理范圍內有效防范重大違法違規風險，包括但不限于作為一個企業的重大違法違規風險，作為一家中央企業的重大違法違規風險，作為一家行業企業的重大違法違規風險，以及作為一家上市公司的重大違法違規風險。需要注意的是，一個央企合規管理體系是否有效，要從整個集團匯總合并層面來看是否存在重大違規風險，要確保“橫向到邊、縱向到底”。

結合多年的管理體系有效性評估經驗，要做實央企合規管理體系有效性評估工作，有幾條建議供參考：

一是進一步推動“明機制”。通過配套的解釋性文件，進一步明確“定期開展”的周期，考慮是否與當前國資委要求央企年度內部控制工作報告中的合規年度評價要求保持同步；進一步明確“針對重點業務合規管理情況適時開展專項評估”的范圍與示例。

二是進一步推動“建規范”。長期來看，通過配套的操作指南或者規范，進一步明確評價范圍、評價程序、評價方法、評價底稿、評價結果、評價報告、評價人員配置等全過程的管理要求，特別是進一步明確缺陷評估和認定標準，以便央企對體系有效性發表客觀結論，也便于國資委進行橫向管理和比較；短期來看，鑒于企業經營合法合規本身就是內部控制體系要合理保證的目標之一，可以充分借鑒內部控制體系有效性評價的思路和做法。

三是進一步落實“嚴考核”。將相關的工作要求和體系建設與實施情況納入國資委對中央企業的考核指標中，并督促中央企業將相關要求層層分解落實到具體單位、具體部門、具體崗位的考核中，切實通過考核推動各級、各方重視合規管理、履行合規職責。

楊興龍：做實有效性評價不僅在于評價指標設計，評價結果能否得到切實應用更為關鍵。一旦推動開展有效評價工作，且嚴格按照《辦法》規定運用評價結果對相關部門及人員實施獎懲，評價工作的效力就能真正發揮，有效性評價才能按照自身的邏輯發揮其引領及推動作用：一方面，只有當評價結果能夠影響到有關部門和人員的切身利益時，評價工作才會被重視，評價指標的科學與否才會被關注，評價指標存在的不科學、不合理及不公平等問題才能被發現和解決；另一方面，評價的實質在于推動工作，只有評價結果得到很好應用，有關部門和人員才能按照評價指標所引導的方向行動及做出改進，以評促建、以評促改的最終目標才能達成。

關于評價指標的具體設計，內部控制有效性評價的經驗可以充分吸收借鑒，甚至將其納入內控評價體系。大致包括三個方面：一是組織、制度及機制的建立情況，有關工作的落實情況，重點評價“有沒有”，解決“動起來”的問題；二是考察組織履職、制度執行和機制運行等具體情況，既可進行符合性測試，也可從合規管理機制的產出和效益（比如挽回經濟損失等）等維度設置量化指標；三是設置反向指標，將實際發生違規行為以及各類監督發現及反饋發現的違規問題作為扣分項，納入評價指標。中國中小企業協會今年發布的《中小企業合規管理體系有效性評價》團體標準，為合規管理體系提供了具有針對性的評價標準，可參考借鑒。

企業開展合規管理有效評價還應注意：

一是構建多層次、系統化的評價體系。將評價指標設定、評價指標監控、實施評價及評價溝通、評價結果應用等機制手段作為推動合規管理體系持續完善優化的抓手。尤其推動注重業務及職能部門自評價，進一步發揮評價指標對業務及職能部門合規管理行為的引導、促進及規范作用。

二是評價工作應注重與法務、風險管理、責任追究及內部控制有關工作要求的協同，形成合力，避免重復評價，增加部門負擔；同時要充分吸收應用紀檢監察機構和審計、巡視巡察、監督追責等部門的監督評價結果，注重對上述監督發現的違規問題整改情況的跟蹤性評價。

三是充分依托信息系統和數字技術，逐步實現評價指標自動在系統生成或提取，既能保障獲取數據的及時性、精準性及客觀性，也能減少評價工作對部門履職的干擾。在合規系統構建及其他系統升級改造工作中，應注意通盤考慮合規管理有效性評價的需要，針對評價指標研究設計并在系統預置數據采集和運算規則，實現自動評價。

四是建立以評價結果為導向的培訓和宣傳體系，在合規文化建設的各個環節及各項機制中充分應用評價工作所發現的經驗及問題，進一步提高評價工作的效能及影響力，也有助于提升合規宣傳培訓的針對性和指向性。

唐大鵬：央企合規管理體系的有效性可以從設計有效性和執行有效性兩方面衡量。在評價合規管理體系設計的有效性時，應以《辦法》《指引》《合規管理體系指南》等相關要求為標準，評價相關標準在企業內部的合規管理制度中“有沒有”“全不全”“好不好”，是否形成了風險識別清單、崗位合規職責清單、流程管控清單。在評價合規管理體系執行的有效性時，應當以企業內部的合規管理制度為標準，重點關注表單和信息系統的合規審查流程，如是否存在漏簽、倒簽等現象并執行控制測試；最后，根據測試證據對合規管理體系有效性缺陷進行認定。

央企合規管理體系有效性評價，除了按照國資委101號文《關于加強中央企業內部控制體系建設與監督工作的實施意見》要求，從全面實施企業自評、加強集團評價、強化第三方機構評價、充分運用評價結果等方面加大監督評價力度外，還可以從強化組織領導和歸口審核力度的角度做實。首先，做實“三道防線”的歸口審核職責。業務及職能部門應當對職責范圍內的合規管理體系缺陷（或“零缺陷”）審核把關并對報告結論負直接責任。其次，合規管理部門、監督部門負歸口管理或監督責任。再次，評價報告應當由董事會審議通過，凡是參與審批的班子會成員均負有領導責任。最后，董事長在報告上簽字并加蓋公章，應當作為報告的第一責任人。