掌握合規管理要點

文 北京理工大學法學院 孟強 江蘇寧滬高速公路股份有限公司 卞傳山 巨杉

企業合規制度建設層級要求

建立合規管理制度體系

建立合規管理制度體系是對企業合規管理制度建設的總體要求，合規管理應當形成一個制度體系，而不能只有一些零散的管理規定。由于企業合規涉及到的風險點非常廣泛，包含從法律到紀律、從國家規定到行業要求，再到企業章程等方方面面，因此必須建立系統、完善的合規制度，才能有效進行企業合規治理，預防合規風險的發生，防止“頭疼醫頭，腳疼醫腳”。具體而言，企業應當全面梳理該系統內有關合規管理的制度文件，并根據各個文件的適用范圍、效力層級等情況，建立以基本制度、重點領域合規指南、操作手冊等為主體的分級分類合規管理制度體系，讓合規管理有章可循、有據可依、綱舉目張。

制定合規管理基本制度

制定合規管理基本制度是整個制度體系的主干，是對企業合規管理中一些基礎性、全局性問題的管理規定。制定合規管理基本制度，關鍵要明確合規管理的總體目標、各個機構的職責、總體管理流程、合規管理的考核監督及獎懲問責等基本事項。此外，一些高速公路企業還承擔了國家“一帶一路”倡議相關境外建設業務。對涉外業務較多的大型企業來說，還可以針對特定業務領域或國別（地區）的合規要求，結合在當地開展業務的實際需要，制定相應的涉外業務合規管理辦法，并將其納入企業合規管理的基本制度之中。

制定重點領域的合規管理制度

在合規管理基本制度的基礎上，企業還應當結合自身情況，針對合規風險較高的業務領域制定專項合規管理指南，強化對重點領域合規風險的防范。例如，企業應當根據自身業務經營的情況，除了在市場交易、安全環保、產品質量、勞動用工、財務稅收、知識產權、商業伙伴等傳統重點領域，制定專項合規管理指南之外，還要對一些新興的合規審查熱點領域，如反壟斷與公平競爭、廣告、消費者權益保護、反腐敗、反欺詐、關聯交易、網絡安全與信息保護、出口管制等，結合企業業務開展的深度和廣度，制定專項合規管理指南。

制定合規管理崗位職責清單

僅有合規制度尚不完備，還必須將責任落實到人，并予以制度化。因此，企業應當全面梳理各部門崗位的合規風險，制定崗位合規職責清單，依據風險水平等開展分級管理，將合規要求納入具體崗位職責。

合規管理制度動態修訂完善

由于合規管理需要應對包括法律風險、政策風險、道德風險、外交風險等在內的全方位、動態化風險，所以合規制度建設切忌僵化滯后、一成不變。對此，企業應當定期修訂完善企業規章制度，并結合法律法規修訂、政策變化和監管動態等，及時將外部合規要求轉化為內部規章制度，實現合規管理制度的與時俱進、動態更新。

企業合規管理制度建設步驟

合規風險防控并非針對某一個局部的風險，而是需要企業管理的各個環節都提前預防、積極參與才能有效控制和消除。因此，企業的合規管理必須首先建立合規管理體系，并在此框架下逐步推進。但有別于傳統的由局部到整體的“點、線、面”的建設步驟，企業應當根據自身的業務范圍、規模大小、人員多少等實際情況，采取由面及點、再從點到面的“面、點、面”的步驟建設合規管理制度。

具體而言，第一步是建立企業合規管理的“面”，先建立企業合規管理制度體系，設立合規管理組織，制定總體合規管理指南。例如大型企業就可以先在總部設立合規組織，制定企業集團總體的合規管理制度體系和總體指南。

第二步是落實企業合規管理的“點”，將一些合規風險較為突出的關鍵職能部門或重點業務部門作為合規試點，先行強化合規管理制度運行，積累合規管理經驗、培養合規管理人才、培育合規意識，通過合規制度的實際運行情況糾偏、修改、補充和完善事先制定的合規制度。大型企業集團也可以選擇個別子公司作為合規管理制度建設的試點來運行合規制度。

第三步是回歸到制度體系全部運行的“面”。由于經過試點經驗總結的合規制度體系更加符合企業的實際情況，此時全面推行的時機已經成熟，要將企業制定的合規制度體系擴展到其他部門或其他子公司，最后實現企業各部門、各控股公司的合規管理全覆蓋、全運行，真正實現企業的全面合規管理。

企業合規管理運行機制

在企業合規管理制度建立之后，即會進入企業合規管理的正式運行階段。從合規風險識別到有效應對，再到事后整改，企業合規管理一般遵循如下運行機制。

合規風險的識別

當企業經營行為未符合合規要求、未履行合規義務，就會引發合規風險。合規義務來源于企業合規規范，包括企業所面臨的來自國際法與國內法、法律和紀律、商業慣例和道德規范等各種層面的合規要求，以及企業自主做出的合規承諾。

企業應當定期修訂完善企業規章制度，實現合規管理制度的與時俱進。供圖 湖南省高速公路集團有限公司

根據企業業務領域、經營范圍、發展過程的不同，可以將各類企業合規義務大致分為三類。第一類是基礎性的合規義務，幾乎所有企業都要面臨來自國內法律法規和規章的強制性要求，例如資格資質合規、勞動用工合規、安全生產合規、消防安全合規、財務合規、稅務合規、審計合規等。第二類是企業在生產經營環節中產生的合規義務。從采購、生產到銷售，在企業生產經營的鏈條形成過程中，不同環節都可能涉及相應的合規問題，例如采購合規、產品質量合規、倉儲物流合規、銷售合規、消費者權益保護合規等。第三類是專業前沿合規義務，即一些具有較強研發能力或者形成規模效應的企業所面臨的特別合規義務，主要是知識產權合規、反壟斷合規、反不正當競爭合規、信息與數據安全合規等。

合規風險清單的制定

為了有效識別合規風險，合規管理部門應當根據企業自身情況，提前制定企業合規義務清單，建立合規風險庫。要根據合規風險管理的目標領域和范圍，收集適用于企業所在領域的所有合規規范，全面系統梳理經營管理活動中存在的合規風險，并根據行業監管重點和企業經營情況對其分類，系統分析風險發生的可能性、影響程度、潛在后果等，制定細化到企業內部各部門的合規義務清單，尤其要留意查找合規風險事件，收集違規案例。例如通過關注和搜集本企業、同類企業或同行業曾經發生過的合規問題和違規案例，以及相關的司法裁判案例，發掘企業可能存在的合規風險。

合規風險的監測和預警

制定了合規風險清單，就需要日常監測識別出合規風險。實施合規風險監測，要根據監測的目標合規風險來制定監測計劃，設計監測指標，組成監測小組并明確職責分工，制作監測報告。在監測中，一般將合規風險監測的級別劃分為正常、關注、特別關注、風險預警與風險形成5個級別，對于典型性、普遍性和可能引發了較嚴重后果的風險，或經監測發現可能會發展為合規風險的事件，要及時發布風險預警。

企業應當定期完善應急預案，不斷提升合規風險處置能力。

合規風險的應對

針對預警的合規風險，要采取有效措施及時應對處置。對此，要事先擬定并完善合規風險應對機制，針對發現的風險制定預案，采取有效措施，予以及時處置。如果發生了重大合規風險事件，合規委員會應當統籌領導，由首席合規官牽頭，相關部門加強協同配合，采取妥善應對措施，力爭最大限度化解風險、降低企業損失。為了保持風險應對能力，企業應當定期完善應急預案，強化日常演練，不斷提升對重大合規風險對應對處置能力。

合法合規性審查

除合規風險的發現及應對外，企業還需要建立健全合法合規性審查機制，并將其作為日常經營管理行為的必經前置程序。對此，業務部門要加強對領域內日常經營管理行為的審核把關，合規管理部門要加大對規章制度制定、重大決策事項、重要合同簽訂、重大項目運營等合法合規性的審查力度，必要時可對業務部門審核結果復審，對嚴重違反法律法規或企業規章制度的行為予以一票否決，并將相關情況報告公司管理層。

在合法合規性審查中要處理好法律審查與合規審查的關系，前者是后者的重要組成部分與核心內容，兩者存在重疊、交叉，但前者并不等同于后者，后者審查的范圍要比前者更廣。因此，要妥善處理好法律審查與合規審查的關系，厘清各自的職責邊界，避免機構的重疊和人員的重復勞動。此外，企業的審計、監察、內控、法律、安全生產、風險管理、質量環保等相關部門，也都需要在各自職權范圍內對各部門的經營管理行為進行合法合規性審查，履行合規管理職責。

事后問題整改

對合規風險應對及合法合規性審查中暴露的問題，要在事后及時整改，通過健全制度機制、優化業務流程等方式，堵塞管理漏洞，形成長效機制。合規管理部門持續關注和跟蹤對事后問題的整改情況，指導并監督相關部門完成全面、及時整改，并及時向公司管理層報告整改進展情況。對于企業集團來說，集團總部應當定期檢查合規整改情況，根據需要將其納入對各業務部門、分支機構、子公司及工作人員的績效考核范圍。

合規舉報

合規舉報也是合規管理運行中的重要環節，便于及早發現企業及員工存在的違法行為，及時處理合規風險。對此，要健全合規舉報制度，設立違規舉報平臺，對外公布首席合規官及職責、舉報電話、郵箱和信箱。合規管理部門應按照職責受理違規舉報，并就舉報問題做出調查和處理，涉嫌違紀違法的，要與紀檢監察協調合作，及時將案件線索移交相關紀檢監察機構處理。進行調查的部門和相關人員應當對舉報人的身份和舉報事項嚴格保密，任何單位和個人不得采取任何形式對舉報人進行打擊報復。

合規報告與總結

此外，企業應當完善合規報告與總結制度，企業合規報告包括年度合規報告、合規監管報告和專項合規報告。企業運營中，一旦發生合規風險事件，合規管理牽頭部門和相關部門應當第一時間向企業管理層和董事會報告報告，國企重大合規風險事件后還應當及時向國資委和有關部門報告。合規管理牽頭部門應當在每年年底全面總結合規管理工作情況，年度報告應當經董事會審議，國企還應當將年度報告及時報送國資委。

企業合規管理評估

企業合規管理評估是企業合規管理體系的重要構成要素，是合規管理運行的重要內容。企業有必要結合自身實際情況，制定企業合規管理評估工作的具體合規管理制度，對評估組織形式、評估范圍、評估內容、評估程序和方法、評估報告、評估問責等作出明確規定。企業的合規管理評估是企業合規部門對企業合規管理有效性的自我審查、評價、監督和持續改進，也是對企業各部門、負責人和員工進行評價、考核與追責的依據。

建立合規管理評價機制后，合規管理牽頭部門應當定期對合規管理體系運行情況進行全面評價，針對重點業務合規情況可以適時開展專項評價，對合規風險和違規問題組織整改，將合規管理情況作為法治建設重要內容，納入對各部門和子企業負責人的年度綜合考核，細化評價指標，并對員工建立個人違規行為記錄制度，作為個人年度考評、評優評先的依據。此外，企業還要完善違規行為追責問責機制，明確違規責任范圍，細化懲處標準，針對反映的問題和線索，及時開展調查，按照有關規定嚴肅追究違規人員責任。

企業合規文化建設

企業文化對企業全體員工的影響是潤物無聲而又影響深遠的，因此，企業合規管理的最終目的是建立企業合規文化，確保企業安全持續經營，達成企業經營目標。建立企業合規文化，首先要求從領導做起，加強管理層合規培訓學習，不斷提升企業領導人員合規意識，帶頭依法依規開展經營管理活動；其次，要通過制定合規手冊、簽訂合規承諾、開展合規宣誓等方式確保全體員工樹立守法誠信、合規經營的合規理念；最后，還要建立制度化、常態化的合規培訓機制，加大對企業員工的培訓力度，進一步提升干部職工合規意識。

要建立制度化、常態化的合規培訓，提升干部職工合規意識。胡光銀 攝