企業合規風險評估及構建合規管理體系的路徑

劉非凡

（中海油建設咨詢（山東）有限公司，山東 濟南 250014）

一、企業合規管理體系建設的意義

（一）有效的合規管理是實現企業高質量發展的重要保障

2022年8月23日，國資委正式印發《中央企業合規管理辦法》，對深化中央企業合規管理工作提出了新的明確要求，對中央企業合規管理工作開展具有重要指導作用，對于推動中央企業切實加強合規管理，實現高質量發展意義重大。當前，中央企業正處在改革深化的過程中，如何避免國有資產流失、如何做到國企資本的真實估值、如何解決國有資本運營公司的監管效力問題、避免權力尋租與企業的短視行為等，都是經濟市場進一步深化背景下對于企業合規管理落地的切實要求。建立健全風險、內控、合規、法律一體化管理體系，構建資源整合、有效協同、良性循環的風險長效機制，利用大數據、人工智能等先進技術、手段開展工作，是企業實現高質量發展的重要保障。

（二）有效的合規管理能夠保護企業“合規不起訴”

“企業合規不起訴制度”是指檢察機關對于那些涉嫌犯罪的企業，發現其有建立或完善合規體系意愿的，可以責令其針對違法犯罪事實提出專項合規計劃，督促其推進企業合規管理體系建設，然后做出不起訴的制定。2021年最高檢聯合其他各部門下發《關于建立涉案企業合規第三方監督評估機制的指導意見（試行）》，將涉嫌犯罪企業的合規考察書面報告、涉案企業的合規計劃、定期書面報告等合規資料，作為依法做出批準或者不批準逮捕、起訴或者不起訴等決定的重要參考。企業通過研究“合規不起訴制定”及相關指引，事前對合規體系查漏補缺，可以有效改進企業涉罪風險識別機制，優化內部合規運作，健全外部合作合規，可有效保護企業。

（三）有效的合規管理是企業應對各類風險挑戰的壁壘

企業涉及的合作方合規水平參差不齊，存在合規意識薄弱、鉆法律空子等情形，有效的合規管理體系能夠幫助企業守住底線，不碰紅線，奠定了企業合規管理的環境基調，是企業合規工作高效有序開展的重要保障，利于企業長遠發展。

二、企業合規管理體系建設的難點

（一）合規風險評估難度較大

企業員工合規風險意識較弱，對合規管理的概念了解較少，各類型企業涉及的法律法規體系龐雜，同時對合規風險評估工作的開展缺少系統的方法，市場上各合規管理體系建設的服務商參差不齊，而且在評估過程中需要面臨大量的信息收集及問題。

（二）合規管理體系搭建難度較大

《中央企業合規管理辦法》雖然明確了合規管理相關的主體職責、合規文化建設、合規審查等一系列要求，但在實際的執行過程中缺少經驗參考，經常出現內控嚴重、審批復雜、制度繁多、執行僵化等問題。由于各企業需求及人員配置不同，需要結合企業實際情況搭建適合企業發展和正常運行的合規管理體系。

三、合規風險評估工作要點

（一）合規風險評估工作方案編制

根據企業的組織機構、業務領域、法律法規要求等相關信息，制定具體的合規風險評估計劃和方法，確保企業合規風險得到充分控制，具體的方案包括評估目標和范圍、評估資料的收集、工作重點、人員配備及分工、評估方法和程序、時間安排等。

（二）資料清單及收集

結合合規風險評估工作方案編制資料清單，清單內容要盡可能的全面，包括但不限于企業內控制度體系、各類日常業務文件、企業涉及的法律法規，若企業存在上級公司則還需要收集上級公司內控制度體系。可以提前通讀內控制度體系文件，摘錄文件中對各業務環節的具體要求，尤其對于需要形成存檔文件的資料，為后續審查做好準備工作。

（三）審查組織機構設置

收集企業關于組織機構和崗位職責的相關文件，結合內控制度及不相容職務分離的相關要求來進行審查。主要審查組織機構是否健全、是否能全覆蓋企業各業務領域、崗位職責是否清晰、一崗多責或一人多崗情況是否滿足不相容職務分離要求、是否設置合規管理崗位并根據實際情況配備專職或兼職合規人員、各業務及職能部門是否設置合規管理員，負責各業務領域的合規管理工作、是否將合規管理的具體職責嵌入到崗位職責中去等。

（四）審查日常合規管理工作

對企業日常合規管理工作進行審查。主要審查是否建立合規管理體系，體系內容是否完整有效、是否建立健全合規審查、合規評價、合規投訴等方面的管理制度及流程；制度及流程能否滿足企業業務發展、是否結合企業發展目標及發展需要，持續更新和新增各類內控制度及合規工作指引、合同、重大決策、規章制度的合規咨詢與審查是否全覆蓋、是否有相應部門或崗位參與具體的咨詢與審查事項、是否將合規審查作為必須的前置程序嵌入相應流程中去、是否編制年度合規管理工作報告、是否開展合規檢查與考核，考核結果是否匯入年終考核、是否對內控制度體系和流程進行合規評價，評價結果是否及時整改、是否按照權限對違規事件進行調查處理等。

（五）審查全面、有效的合規管理運行機制建立情況

結合企業合規管理制度的具體要求，對合規管理運行機制進行審查。主要審查是否建立有效的合規風險識別預警機制、是否建立有效的合規事件處置機制、是否明確有效的合規投訴管理機制等。

（六）審查內控制度體系建立健全情況

收集企業全部的內控制度文件，結合企業實際業務情況，上級企業制度體系文件對內控制度體系建立健全情況進行審查。主要審查內控制度體系缺失情況，包括基本制度、管理辦法、操作細則等；內控制度體系是否及時組織修訂、是否存在超期或者法律法規更新后未及時更新情況、內控制度體系文件編制是否存在問題，包括但不限于編碼、生效日期、文號、適用范圍、格式等，內控制度文件是否存在問題或有缺失，與國家法律法規，上級制度對比是否存在條款缺失，條款要求相悖，內容更新滯后等問題。

（七）審查內控制度文件執行情況

根據企業的內控制度文件要求，收集各流程、各環節相關文件，判斷工作是否按照內控制度文件要求執行。利用問卷調查與現場審查相結合的方式，審查各業務流程是否嚴格按照內控制度文件要求執行，落實內控制度文件的有效性和業務開展的合規性。將內控制度文件中的具體要求編制成問卷，問卷調查主要以回答是或者否定方式，要求各業務人員及各部門負責人真實作答。此外，可以運用穿行測試的方法，模擬各環節運行，檢查流程及節點是否與內控制度體系文件一致。

（八）審查企業運行過程中存在的其他問題

主要是依據鑒紀檢監察、巡視巡查和審計的相關方式方法，發揮“第三道防線”的作用。一方面，收集企業歷史巡視巡查及審計等報告，檢查問題的整改情況是否落實、是否從根源上杜絕同樣問題再次發生；另一方面，對全公司進行系統審查，除企業的日常工作之外，重點檢查企業參與的項目，包括項目需履行的各項程序、采辦、合同、付款結算、財務管理等，對發現的問題剖析源頭，從根本上確定企業合法合規運營。

（九）合規風險評估報告編制

根據合規風險評估的檢查結果，編制合規風險評估報告并提出整改意見。報告包括但不限于合規風險檢查工作背景、合規風險檢查范圍、合規風險檢查依據、合規風險檢查結果、合規建議等。為保證合規管理工作的連續性，可以持續跟蹤問題整改情況，也可以在合規風險評估后的第二年針對報告中體現的問題進行再次檢查，確保檢查的有效性。

四、合規管理體系搭建路徑分析

（一）加強制度建設

根據合規風險評估報告提出的問題、國家法律法規變化、上級企業修訂計劃、企業業務需要等制定第二年度內控制度修訂計劃。結合被審查單位實際情況編制內控制度文件，完善企業內控制度體系，此過程需要專業人員對企業內控制度體系進行整體規劃，也需要企業各業務領域人員參與配合，確保內控制度體系的完整性和有效性。

（二）對重點領域進行法律法規義務辨識清單編制

運用專業的法律法規數據庫，例如威科先行·法律信息庫及北大法寶法律數據庫等，結合企業整體的業務需求，梳理相應的法律法規適用清單。對企業重點領域業務開展所需的法律法規進行內容辨識，整理法律法規中的必要性、禁止性、法律責任處罰條款，編制法律法規義務辨識清單。必要時可印發成冊，發放到企業重點領域業務人員手中，時刻督促其保持底線，勿碰法律紅線。

（三）加強合規風險清單編制

在建立健全企業內部控制體系后，按照人力資源、行政管理、財務管理等業務類型進行分類，分別梳理其各項業務中涉及的各個合規環節。結合法律法規義務辨識清單及內控制度體系中的合規要求梳理關鍵控制點，對控制點進行合規義務辨識，編制合規風險清單。合規風險清單的內容包括但不限于三級業務行為描述、引發合規風險的行為描述、不合規行為引發后果、法律法規依據、制度依據、風險應對措施等。

（四）建立崗位職責清單

內部合規部門需要與企業人力資源部門配合，結合合規風險清單，充分分析各崗位職責，梳理各崗位應遵守的合規義務，完善崗位職責清單。確保將合規要求納入員工崗位職責，使各崗位員工深入了解和掌握本崗位的工作職責及合規要求。

（五）建立健全各種運行機制

第一，建立合規風險識別與預警機制。持續跟蹤國家法律法規和監管動態，準確識別與企業相關的合規義務，及時進行合規風險提示。梳理企業以往審計、巡視巡查發現的問題以及發生的行政處罰、司法判例等，分類匯總，總結經驗，建立風險案例庫。案例庫內容包括但不限于案例來源、形成時間、風險類別、責任部門、問題描述、引發后果、整改措施、案例啟發等。為確保及時了解和掌握業務開展過程中出現的各類合規風險以及各業務部門開展合規管理工作的情況，建立合規管理工作月報及季報機制。各業務部門合規人員每月/季向合規管理部門報送合規工作月/季報，如遇到或發現重大合規風險應及時報送，并發布預警信息。

第二，提升合規風險處置與應對能力。各業務部門嚴格按照風險管理制度或已有制度規定的權限和程序，就識別出的合規風險進行及時報告。并結合風險發生概率及可能造成的損失預估風險等級，根據風險等級采取積極穩妥的處置措施，力爭將負面影響降到最低。

第三，做好合規投訴事件處理。建立專門的合規投訴郵箱或電話，做好保密工作，及時收集各業務部門報送的合規投訴案件，建立企業合規投訴管理辦法，建立企業合規投訴登記臺賬，做好案件受理及報送，妥善開展合規投訴調查工作，切記避免信息泄露出現投訴人被打擊報復情況。

（六）加強日常合法合規性審查

建立企業合法合規性審查相關制度或標準化工作流程，明確審查范圍、審查要點，建立審核臺賬。強化對規章制度、經濟合同、重大決策的合法合規性審查，做到“應審必審”，及時反饋審核意見，并就重要審核事項出具法律風險提示或法律意見。

（七）加強合規文化建設

持續開展合規培訓，制定年度培訓計劃，組織合規管理體系建設與合規風險防控培訓，將合規管理納入企業黨委專題學習，邀請專業機構進行典型合規案例分享；邀請外聘律所就業務所涉重要法律事項進行專題培訓等常態化合規培訓。深入開展合規宣傳，通過合規宣傳片、答題、宣傳畫、展板、警示教育等方式，進行合規宣傳、普法教育，提高全員合規意識。

（八）加大合規信息化建設力度

企業信息數據龐雜，人工審查及關鍵點控制易出現錯誤，在大數據時代，合規信息化建設非常重要。利用數智化管理系統將合規審查和風險防控措施等融入工作流程中，針對重要節點加強把控，提前預警。利用大數據，標準化，表單化，持續跟蹤監測，動靜結合，實現合規信息化建設。

（九）實施合規專項檢查

開展合規專項檢查。例如，企業的生產用車專項檢查、采辦專項檢查、財務資金管理專項檢查、重點項目專項檢查等，通過專項檢查以點帶面揭露問題，促進公司全面合規。

五、對策與建議

（一）堅持黨的領導，貫徹落實合規管理的各項制度

要緊緊圍繞習近平法治思想，落實全面依法治國的戰略部署，深化法制企業建設，推動企業合規管理。充分發揮黨在企業的領導作用，把黨的領導貫穿于合規管理的全過程，提高政治站位，企業負責人要積極推動，明確分工，讓企業員工意識到合規管理的重要性。

（二）借助專業力量，切實推進合規管理的有效性

我國合規管理的發展目前處于上升階段，各企業合規管理的意識及專業性參差不齊，僅僅根據《中央企業合規管理辦法》等內容推動不現實，企業的合規管理工作難以保障其完整性和有效性。建議企業充分利用外部資源，在引入外部協助的同時嵌入內部員工邊學邊干，為后續企業合規管理夯實基礎。

（三）緊跟時代發展，加強合規管理信息化建設

合規管理一方面要保證企業內部合規管理體系的完整性和有效性，另一方面要保證企業員工的合規意識及實際執行的準確性。員工非本意的出錯也會導致企業不合規事件的偶然發生，建議加強合規管理信息化建設，運用數智化手段將企業的合規管理體系、內控制度體系等流程和關鍵點嵌入信息系統，保證非人為主觀錯誤發生。此外，信息化大數據技術也能實現合規風險的實時預警，以便于企業快速處置。