汇业评论

文 | 郭青红 汇业律师事务所 合伙人

近日，国务院国资委发布备受关注的《中央企业合规管理办法》，国有企业合规“2.0版本”尘埃落定，并将在2022年10月1日施行。

笔者认真学习《中央企业合规管理办法》，感觉尚有诸多难点。仔细研读，知难行易。

本文就合规管理的七个难点谈谈心得体会，供参考。

一、关于全面覆盖

《中央企业合规管理办法》第五条第（二）款保留了《中央企业合规管理指引（试行）》的全面性原则，要求“将合规要求嵌入经营管理各领域各环节，贯穿决策、执行、监督全过程，落实到各部门、各单位和全体员工，实现多方联动、上下贯通。”

难点：全面覆盖的内涵。如何实现？

学习心得：

1. 全面覆盖四维度

第一维度：经营管理各领域各环节。梳理经营管理各领域及其各个管理环节和控制节点，识别评估合规风险，将合规要求、合规风险管控流程嵌入各领域的各个管理环节和控制节点。

第二维度：经营管理全过程，包括决策、执行和监督。

第三维度：各部门、各单位。不能局限于集团总部各部门或者与重点领域相关的部门。

第四维度：全体员工。岗位及员工是合规管理的最基本单元和决定因素。须“定期梳理重点岗位合规风险，将合规要求纳入岗位职责”【《中央企业合规管理办法》第十三条第（二）款】，将合规要求明确到岗、落实到人，建立全员合规责任制度。

2. 全面覆盖长期性

按照国务院国资委2021年10月17日《关于进一步深化法治央企建设的意见》第（七）款，“到2025年中央企业基本建立全面覆盖、有效运行的合规管理体系。”

建立全面覆盖的合规管理体系是长效工程，不能一蹴而就，切忌急于求成。需要从集团总部到各级子公司，从重点领域到各部门领域，从部门职责到各岗位职责，从决策、执行到监督全过程，总体规划，分步推进，持续改进提升。

二、关于权责清晰

《中央企业合规管理办法》第二章对合规管理的组织和职责做了明确界定，包括党委（党组）、董事会、经理层、主要负责人、合规委员会、首席合规官、业务及职能部门、合规管理部门以及纪检监察机构和审计、巡视巡察、监督追责等部门。其中第十三条规定，“中央企业业务及职能部门承担合规管理主体责任，主要履行以下职责：

（一）建立健全本部门业务合规管理制度和流程，开展合规风险识别评估，编制风险清单和应对预案。

（二）定期梳理重点岗位合规风险，将合规要求纳入岗位职责。

（三）负责本部门经营管理行为的合规审查。

（四）及时报告合规风险，组织或者配合开展应对处置。

（五）组织或者配合开展违规问题调查和整改。”

难点：各层级合规管理组织实际有效履职，尤其是业务及职能部门作为第一道防线全面履行合规管理职责、有效防控合规风险。

学习心得：

1. 明确界定各层级合规管理组织的合规管理职责是基础，关键是实际有效履职。

2. 企业是拟制人格。企业依法合规经营，通过各部门、各岗位及员工来具体执行和落实。业务部门是企业合规管理的主战场，是企业能否依法合规经营、有效防控合规风险的关键。

业务及职能部门实际有效履职，取决于以下因素：

（1）业务及职能部门及其各岗位员工“识规”、“知规”、“执规”，包括与本部门、本岗位职责相关的所有外法、内规，尤其是外法、内规规定的强制性合规义务与禁止性合规义务；

（2）业务部门负责人、兼职合规管理员以及各岗位员工，具备与本岗位职责相匹配的合规管理能力，尤其是合规审查以及合规风险识别、评估和应对的能力。

三、关于务实高效

《中央企业合规管理办法》第五条第（四）款规定的坚持务实高效原则，要求“建立健全符合企业实际的合规管理体系，突出对重点领域、关键环节和重要人员的管理，充分利用大数据等信息化手段，切实提高管理效能。”

难点：务实原则的内涵。如何提高管理效能？

学习心得：

1. 务实原则

不同行业领域、业务条线、生产规模、运营模式、发展阶段、公司层级的企业，其合规管理体系的架构、合规管理重点领域、关键环节和重点岗位等存在差别。企业合规管理体系要符合本企业实际，可以对标学习，但不能照搬照抄。

由于建立全面合规管理体系建设的长期性和专业性，需要将有限的资源、时间等优先安排配置到重点领域、关键环节、重要人员的合规管理，然后逐步扩展到其他领域、环节和人员（岗位）。

2. 高效原则

提高合规管理效能的方法很多。例如：

（1）合规管理信息化。2021年3月19日，国务院国资委发布《关于加快推进国有企业数字化转型工作的通知》，要求国有企业“应用两化融合管理体系标准（GB/T 23000系列），加快建立数字化转型闭环管理机制，以两化融合管理体系促进企业形成并完善数字化转型战略架构”，建立系统化管理体系。

（2）法务、合规、内控、风险管理协同运作，以及与纪检监察、审计等进行协作。

四、关于资源保障

四、关于资源保障《中央企业合规管理办法》在总则中，以第五条专门要求中央企业“在机构、人员、经费、技术等方面为合规管理工作提供必要条件，保障相关工作有序开展。”

难点：在精简机构、严控成本和编制的情况下，如何提供资源保障？

学习心得：

1. 合规管理资源保障，是企业做好合规管理、有效防控合规风险的基本保证，是国际标准化组织ISO37301:2021《合规管理体系 要求及使用指南》的基本要求，也是国际合规管理实践所普遍遵从的做法。

2. 合规管理资源保障包括：

（1）合规管理组织设置到位并有效履职；

（2）合规管理人员（包括首席合规官以及专、兼职合规管理员）到岗并具备相应的职权与合规管理能力；

（3）有足够的资金预算支持合规管理体系建设各项工作的开展；

（4）提供管理信息化等技术支持。

五、关于合规管理部门的违规管理职责

关于合规管理部门的违规管理职责，《中央企业合规管理办法》第十四条第（四）款延续了《中央企业合规管理指引（试行）》的规定，即“受理职责范围内的违规举报，提出分类处置意见，组织或者参与对违规行为的调查。”

难点：职责边界的确定。

学习心得：

1. 明确职责边界

企业须通过合规管理制度细化合规管理部门的违规管理职责（对象、范围、程序等）以及与纪检监察机构、审计等机构之间的协作机制。

纪检部门负责企业党员员工违法乱纪行为的监督执纪，监察部门负责对国有资产负有监督管理职责的管理人员职务违法行为的监督执纪，审计部门负责违规投资经营追责。那么，上述人员以外的员工，以及以上所列之外的违规行为，当属合规管理部门的违规管理职责范围。

2. 建立统一的违规举报平台

企业纪检监察部门通常已经建立起完善、成熟的举报渠道和程序，可以作为企业统一的违规举报平台。建议合规管理部门不另设违规举报渠道。

3. 违规举报线索的分类处置

纪检监察部门通过违规举报平台收集违规举报线索，进行线索归集和分类处置。纪检监察部门认为属于合规管理部门职责范围的，将有关违规线索转交合规管理部门。合规管理部门收到违规举报以后，应提交纪检监察部门对举报线索进行分类处置。

4. 违规举报的受理和调查

合规管理部门受理属于合规管理部门职责范围内的违规举报。需要开展调查的，合规管理部门可以组织审计、财务、人力资源以及外部专业机构等对违规行为进行调查。

如审计、纪检监察部门组织对违规行为进行联合调查或者需要合规管理部门提供专业支持的，合规管理部门参与违规调查。

六、关于合规风险管理

《中央企业合规管理办法》分别在第二十条（合规风险的识别、评估及预警）、第二十二条（合规风险事件应对、报告）和第二十三条（违规问题整改）对合规风险管理做了规定。

难点：企业不同部门领域的合规风险存在差异。合规风险处于动态变化之中。

学习心得：

1. 合规风险评估须按部门法领域、业务及职能部门领域进行

不同部门法领域（如刑法、反垄断、网络安全和数据保护等）、企业不同业务及职能部门领域（如财务、人力资源、环保安全、研发、生产、采购、销售等）所需遵守的外法内规存在差别，合规风险的识别与评估须按不同的部门法领域、不同的业务及职能部门领域分类进行。

2. 合规风险管理构成完整的闭环管理流程

合规风险是违反合规义务导致法律责任、经济损失和声誉损失的可能性。与其他风险管理一样，合规风险管理构成完整的闭环管理流程，包括内外部环境评审、识别外法内规及合规义务、合规风险评估（识别、分析和评价）、合规风险应对和整改、信息与沟通、监督与改进。

不可忽视企业各业务及职能部门领域所需遵守外法内规的收集及合规义务的识别。

3. 合规风险的初始评估和持续改进

企业各部门领域须首先进行合规风险初始评估，建立初始合规风险清单。

企业内外部环境处于动态变化过程之中（如外法内规不断立改废释），企业合规风险也处于持续变动之中（数量增减、高中低合规风险之间相互转化等），企业须基于初始合规风险清单，不断进行合规风险的识别和评估，持续改进。

4. 合规风险评估由法律专业人员与部门管理人员共同进行

合规风险（尤其是重大合规风险）主要源于对法律义务违反的可能性，并存在于各部门领域的具体经营管理之中。合规风险评估需要专业的法务人员（律师）与部门管理人员共同进行，做到专业、务实，尽可能精准。

5. 内部控制措施是合规风险应对的主要措施

合规风险的应对整改措施（合规风险管理策略）很多，主要是内部控制措施，包括组织措施与制度流程措施。

（1）组织措施：梳理各部门领域及各岗位合规风险，将合规要求嵌入各部门职责与岗位职责。

（2）制度流程措施：识别、评估各部门领域各管理环节和控制节点的合规风险，将合规要求、合规风险管控流程嵌入各部门领域的制度流程。这也是法务管理、合规管理、内部控制与风险管理协同运作的重要路径。

七、关于协同运作

《中央企业合规管理办法》第二十六条要求中央企业结合实际，建立健全合规管理与法务管理、内部控制、风险管理等协同运作机制。目的是加强统筹协调，避免交叉重复，提高管理效能。

难点：四大领域各成体系，有各自的管理组织、制度、运行机制等，协同运作如何融入业务、有效落地？

学习心得：

1. 企业法务管理、合规管理、内部控制、风险管理都是我国中央企业、地方国有企业法治建设的重要内容，在管理组织、运行机制（风险管理、违规追责、管理审查、有效性评价、计划报告等）、文化建设、管理信息化、监督问责等方面具存在交叉重叠（即很强的趋同性），有必要探索研究，分别采取融合、协同等不同方法，建立协同机制，避免交叉重复，提高管理效能。

2. 按照国务院国资委2019年10月19日《关于加强中央企业内部控制体系建设与监督工作的实施意见》，建立以风险为导向、内部控制为基础、法务合规管理为重点的协同运作机制。梳理各部门管理环节与控制节点，开展风险识别评估（尤其是增补法律风险、合规风险识别评估），采取内部控制措施（组织措施与制度流程措施，同上），是实现协同运作的重要路径。