央企合規管理十大抓手

張黎立

加強合規管理是提升企業依法治理能力、防范化解風險、保障高質量發展的必然要求。近年來，國務院國資委通過印發合規管理指引、編制重點領域合規管理指南、統籌推進綜合治理專項行動和“合規管理強化年”等專項工作，持續指導中央企業加強合規管理體系建設。2022年10月1日起施行的《中央企業合規管理辦法》（下稱“辦法”），對中央企業深化合規管理工作提出了更加明確的要求、更加全面的標準。

中央企業經營規模大、行業領域多、區域跨度廣，精細化管理難度相對高，而合規管理體系搭建涉及自上而下、自內而外，全流程、全領域的協同配合，實現合規管理從“有”到“有效”，須結合企業實際持續穩步推進。

制定合規管理制度不可脫離企業實際

制定合規管理制度是推動合規管理體系建設的首要抓手。辦法第三章以專章形式對中央企業合規管理制度體系建設的工作要求進行明確，“根據適用范圍、效力層級等，構建分級分類的合規管理制度體系”，包括“合規管理基本制度”“合規管理具體制度或者專項指南”“涉外專項合規制度”等。其中，合規管理基本制度應經過中央企業董事會審議批準。在制定過程中，結合企業實際情況，綜合考慮企業經營業務范圍、管理層級構架、合規發展階段，注重制度的鮮明導向性、清晰可執行性、合理可落地性、科學有效性等。

首席合規官不只是一個“頭銜”

據不完全統計，辦法出臺后，98家中央企業中已有30余家完成首席合規官任命。

設立首席合規官，由總法律顧問兼任，既是將中央企業總法律顧問制度效用進一步深化的重要舉措，也是推動合規管理體系建設有力執行的一項頂層制度安排。辦法第二十一條明確“重大決策事項的合規審查意見應當由首席合規官簽字”。因此，設立首席合規官絕不只是“頭銜”的落定，更重要的是明確其崗位職責、落實管理職權，保障其全面參與重大經營管理活動、充分發表法律合規意見。

設置合規管理員不能沒有任職標準

設置合規管理員是合規隊伍建設的重要組成部分。辦法規定，合規管理員“由業務骨干擔任”。

合規管理員既能作為網絡通道，將公司合規管理要求自上而下地部署傳達到各個業務單元、經營管理一線；又能作為傳感終端，將具象化、多樣化的合規風險自下而上地發現、管控和處置在初始狀態。在這個過程中，對合規管理員的專業素質和能力提出了較高的要求。

統籌合規管理“三道防線”不能混同

辦法第十三條、第十四條、第十五條分別規定了中央企業業務及職能部門、合規管理部門和監督部門（包括紀檢監察機構和審計、巡視巡察、監督追責等部門）的合規管理職責。在辦法征求意見稿及學術界有關理論中，也將三類管理稱為合規管理“三道防線”。

統籌合規管理“三道防線”，實質是處理好部門之間協同配合的關系問題。從具體場景看，例如針對合規風險管理，業務部門結合實際經營管理具體評估合規風險、編制風險清單和應對預案，及時報告合規風險，組織或者配合開展應對處置；合規管理部門在組織層面牽頭合規風險識別、預警和應對處置；監督部門則在職權范圍內，監督合規風險管理要求落實情況、對可能的違規行為進行調查及開展責任追究等。各道“防線”的主責部門都應該參與其中（不可缺少），各個部門的職責內容又有所區分（不可混同）。

編制“合規風險庫”并非條目多多益善

編制合規風險庫（合規風險識別清單）是推進合規管理實體工作的重要起點。合規風險識別得全、識別得準、識別得及時，能夠為后續風險預防與處置提供有利、有效線索遵循。編制合規風險庫涉及大量基礎工作，包括全面梳理經營管理活動、全面梳理內外部監管規定、全面梳理歷史違規記錄等。為展現工作成效，企業可能在編制工作中陷入條目多多益善、內容多多益善的誤區。這種誤區忽略了風險庫利用的工作成本考慮，更忽略了風險庫與企業的個性化匹配度。統籌考慮風險庫的規模、風險庫的顆粒度和風險庫的層級性，需要結合企業現階段的工作實際（包括經營業務規模、風險分析結果及合規管理資源情況）綜合評估判定。

開展合規風險排查并非僅做表格填寫

在“中央企業合規管理強化年”工作中，國務院國資委要求各中央企業及其各級子企業進行一次全級次、全領域、全方位的經營業務合規風險排查，即查即改。同時明確，要建立長效工作機制，既要明確整改工作取得實效，又要組織“回頭看”定期開展排查，推動實現“查改并舉”“標本兼治”。

讓合規風險排查真正發揮應有作用，需要注意實際工作中可能存在的誤區：一是組織單位搞形式主義走過場，以發通知、填表格、寫說明作為任務完成和責任分配的依據；二是落實單位有抵觸情緒，認為寫出了風險就是給自己添麻煩還可能涉及責任追究，進行零填報或者避重就輕；三是排查工作沒有重點，從排查方法和結果上導致數據失真、無法實現排查效果。對此，在設計合規風險排查工作方案時，可通過豐富排查方法（自查、訪談、抽檢等）、明確排查標準（范圍、重點、要求等）、加強宣貫督導（培訓、督導、通報等）予以避免。

強化合規審查務必嵌入管理流程

從制度規定可以看出，合規審查的主體既包括業務及職能部門，又包括合規管理部門，并非將管業務與管合規對立起來；合規審查嵌入經營管理流程是必須事項，并非可選事項；合規審查應有審查標準、流程和重點，審查效果還要受到評估工作的監督。

在實際工作中，合規審查是合規管理工作中最日常的一項，涉及合同、規章制度、經營決策的日常審核，幾乎每天都會發生；其工作量也占據了合規管理工作中很大一部分。因此，合規審查的質量和效率直接影響合規管理工作效能。可能存在的工作誤區包括：合規審查程序未作為必備流程納入管控、將合規審查等同于合法性審查、合規審查標準不明確或者不統一（審查的主體是誰？審查的對象是哪些？審查的原則是什么？）等。合法合規性審查在大部分企業都會同步實施，這樣做的好處在于無需增加新審核程序。但是，審核人員通過原有審核流程在被賦予了新管理職能之后，如何做到真正將合規審核要求“嵌入”，需要企業合規管理部門從標準制定、人員培訓和評估迭代等環節推動落實。

突出合規評價務必形成工作閉環

根據辦法規定，合規管理體系有效性評價（下稱“合規評價”）工作的職責在于中央企業董事會，合規管理部門應根據董事會授權開展合規評價。由于合規評價職責定位層級高、評價結果具有較強導向性，在實際工作中（特別是集團型企業的管理中）具有很強的指揮棒作用。

合規評價的全面、客觀、有效，能幫助企業清晰識別現有合規管理體系的整體運行情況與實現預期目標的符合程度。強調結果及結果運用的終極目的，事實上是幫助企業實現“持續改進”。因此，合規評價工作無論由企業自我自評、上級單位評價還是通過外部機構評價，只通報評價結果或只肯定工作成績的方法是不可取的。應將整改或改進舉措和目標納入整體工作，對落實情況進行跟蹤監督，確保形成工作閉環。

建設合規信息系統不應成為數據孤島

信息系統建設既是獨立的工作目標又是實現管理提升的工作路徑。辦法第六章以專章的形式，對合規管理信息化建設的相關工作要求進行了明確。在內容上，合規制度、典型案例、合規培訓、違規行為記錄等都是合規信息系統的組成部分；在流程上，強調信息化手段對合規要求和防控措施落地的保障作用；在管理上，明確合規管理信息系統與財務、投資、采購等其他信息系統的互通互聯要求；在技術上，鼓勵利用大數據等加強對重點領域、關鍵節點的實時動態監測。

信息系統切實發揮作用需要較多的統籌協調工作，合規信息系統絕不能成為公司管理的數據孤島。一方面，合規管理信息系統的數據應來源于業務運營（如投資決策情況、采購管理情況應與實際相吻合）；另一方面，通過信息系統監測發現的風險點（例如企業受到行政處罰、引發法律糾紛案件等）應能夠得到及時處置，在后續管理流程中實現有效風險控制。

組織合規培訓不應脫離業務經營

辦法第三十條規定：“中央企業應當建立常態化合規培訓機制，制定年度培訓計劃，將合規管理作為管理人員、重點崗位人員和新入職人員培訓必修內容。”事實上，合規培訓的目的不僅是在文化層面讓員工充分知曉企業合規管理的原則和理念，更是在落實層面讓員工學會如何履行合規職責、執行合規流程。

如果合規培訓的內容僅局限在一般化普法宣傳（如憲法、民法典等），則陷入脫離業務經營的誤區。合規培訓還應涵蓋與業務經營密切相關的合規風險管理、崗位合規職責履行、合規審核流程等。針對不同合規培訓對象，應設置不盡相同的合規培訓內容、采用靈活多樣的合規培訓形式。

（作者系中國國際技術智力合作集團有限公司法務合規與審計部副部長）

（責編 惠寧寧）