央企合规管理十大抓手

张黎立

加强合规管理是提升企业依法治理能力、防范化解風险、保障高质量发展的必然要求。近年来，国务院国资委通过印发合规管理指引、编制重点领域合规管理指南、统筹推进综合治理专项行动和“合规管理强化年”等专项工作，持续指导中央企业加强合规管理体系建设。2022年10月1日起施行的《中央企业合规管理办法》（下称“办法”），对中央企业深化合规管理工作提出了更加明确的要求、更加全面的标准。

中央企业经营规模大、行业领域多、区域跨度广，精细化管理难度相对高，而合规管理体系搭建涉及自上而下、自内而外，全流程、全领域的协同配合，实现合规管理从“有”到“有效”，须结合企业实际持续稳步推进。

制定合规管理制度不可脱离企业实际

制定合规管理制度是推动合规管理体系建设的首要抓手。办法第三章以专章形式对中央企业合规管理制度体系建设的工作要求进行明确，“根据适用范围、效力层级等，构建分级分类的合规管理制度体系”，包括“合规管理基本制度”“合规管理具体制度或者专项指南”“涉外专项合规制度”等。其中，合规管理基本制度应经过中央企业董事会审议批准。在制定过程中，结合企业实际情况，综合考虑企业经营业务范围、管理层级构架、合规发展阶段，注重制度的鲜明导向性、清晰可执行性、合理可落地性、科学有效性等。

首席合规官不只是一个“头衔”

据不完全统计，办法出台后，98家中央企业中已有30余家完成首席合规官任命。

设立首席合规官，由总法律顾问兼任，既是将中央企业总法律顾问制度效用进一步深化的重要举措，也是推动合规管理体系建设有力执行的一项顶层制度安排。办法第二十一条明确“重大决策事项的合规审查意见应当由首席合规官签字”。因此，设立首席合规官绝不只是“头衔”的落定，更重要的是明确其岗位职责、落实管理职权，保障其全面参与重大经营管理活动、充分发表法律合规意见。

设置合规管理员不能没有任职标准

设置合规管理员是合规队伍建设的重要组成部分。办法规定，合规管理员“由业务骨干担任”。

合规管理员既能作为网络通道，将公司合规管理要求自上而下地部署传达到各个业务单元、经营管理一线；又能作为传感终端，将具象化、多样化的合规风险自下而上地发现、管控和处置在初始状态。在这个过程中，对合规管理员的专业素质和能力提出了较高的要求。

统筹合规管理“三道防线”不能混同

办法第十三条、第十四条、第十五条分别规定了中央企业业务及职能部门、合规管理部门和监督部门（包括纪检监察机构和审计、巡视巡察、监督追责等部门）的合规管理职责。在办法征求意见稿及学术界有关理论中，也将三类管理称为合规管理“三道防线”。

统筹合规管理“三道防线”，实质是处理好部门之间协同配合的关系问题。从具体场景看，例如针对合规风险管理，业务部门结合实际经营管理具体评估合规风险、编制风险清单和应对预案，及时报告合规风险，组织或者配合开展应对处置；合规管理部门在组织层面牵头合规风险识别、预警和应对处置；监督部门则在职权范围内，监督合规风险管理要求落实情况、对可能的违规行为进行调查及开展责任追究等。各道“防线”的主责部门都应该参与其中（不可缺少），各个部门的职责内容又有所区分（不可混同）。

编制“合规风险库”并非条目多多益善

编制合规风险库（合规风险识别清单）是推进合规管理实体工作的重要起点。合规风险识别得全、识别得准、识别得及时，能够为后续风险预防与处置提供有利、有效线索遵循。编制合规风险库涉及大量基础工作，包括全面梳理经营管理活动、全面梳理内外部监管规定、全面梳理历史违规记录等。为展现工作成效，企业可能在编制工作中陷入条目多多益善、内容多多益善的误区。这种误区忽略了风险库利用的工作成本考虑，更忽略了风险库与企业的个性化匹配度。统筹考虑风险库的规模、风险库的颗粒度和风险库的层级性，需要结合企业现阶段的工作实际（包括经营业务规模、风险分析结果及合规管理资源情况）综合评估判定。

开展合规风险排查并非仅做表格填写

在“中央企业合规管理强化年”工作中，国务院国资委要求各中央企业及其各级子企业进行一次全级次、全领域、全方位的经营业务合规风险排查，即查即改。同时明确，要建立长效工作机制，既要明确整改工作取得实效，又要组织“回头看”定期开展排查，推动实现“查改并举”“标本兼治”。

让合规风险排查真正发挥应有作用，需要注意实际工作中可能存在的误区：一是组织单位搞形式主义走过场，以发通知、填表格、写说明作为任务完成和责任分配的依据；二是落实单位有抵触情绪，认为写出了风险就是给自己添麻烦还可能涉及责任追究，进行零填报或者避重就轻；三是排查工作没有重点，从排查方法和结果上导致数据失真、无法实现排查效果。对此，在设计合规风险排查工作方案时，可通过丰富排查方法（自查、访谈、抽检等）、明确排查标准（范围、重点、要求等）、加强宣贯督导（培训、督导、通报等）予以避免。

强化合规审查务必嵌入管理流程

从制度规定可以看出，合规审查的主体既包括业务及职能部门，又包括合规管理部门，并非将管业务与管合规对立起来；合规审查嵌入经营管理流程是必须事项，并非可选事项；合规审查应有审查标准、流程和重点，审查效果还要受到评估工作的监督。

在实际工作中，合规审查是合规管理工作中最日常的一项，涉及合同、规章制度、经营决策的日常审核，几乎每天都会发生；其工作量也占据了合规管理工作中很大一部分。因此，合规审查的质量和效率直接影响合规管理工作效能。可能存在的工作误区包括：合规审查程序未作为必备流程纳入管控、将合规审查等同于合法性审查、合规审查标准不明确或者不统一（审查的主体是谁？审查的对象是哪些？审查的原则是什么？）等。合法合规性审查在大部分企业都会同步实施，这样做的好处在于无需增加新审核程序。但是，审核人员通过原有审核流程在被赋予了新管理职能之后，如何做到真正将合规审核要求“嵌入”，需要企业合规管理部门从标准制定、人员培训和评估迭代等环节推动落实。

突出合规评价务必形成工作闭环

根据办法规定，合规管理体系有效性评价（下称“合规评价”）工作的职责在于中央企业董事会，合规管理部门应根据董事会授权开展合规评价。由于合规评价职责定位层级高、评价结果具有较强导向性，在实际工作中（特别是集团型企业的管理中）具有很强的指挥棒作用。

合规评价的全面、客观、有效，能帮助企业清晰识别现有合规管理体系的整体运行情况与实现预期目标的符合程度。强调结果及结果运用的终极目的，事实上是帮助企业实现“持续改进”。因此，合规评价工作无论由企业自我自评、上级单位评价还是通过外部机构评价，只通报评价结果或只肯定工作成绩的方法是不可取的。应将整改或改进举措和目标纳入整体工作，对落实情况进行跟踪监督，确保形成工作闭环。

建设合规信息系统不应成为数据孤岛

信息系统建设既是独立的工作目标又是实现管理提升的工作路径。办法第六章以專章的形式，对合规管理信息化建设的相关工作要求进行了明确。在内容上，合规制度、典型案例、合规培训、违规行为记录等都是合规信息系统的组成部分；在流程上，强调信息化手段对合规要求和防控措施落地的保障作用；在管理上，明确合规管理信息系统与财务、投资、采购等其他信息系统的互通互联要求；在技术上，鼓励利用大数据等加强对重点领域、关键节点的实时动态监测。

信息系统切实发挥作用需要较多的统筹协调工作，合规信息系统绝不能成为公司管理的数据孤岛。一方面，合规管理信息系统的数据应来源于业务运营（如投资决策情况、采购管理情况应与实际相吻合）；另一方面，通过信息系统监测发现的风险点（例如企业受到行政处罚、引发法律纠纷案件等）应能够得到及时处置，在后续管理流程中实现有效风险控制。

组织合规培训不应脱离业务经营

办法第三十条规定：“中央企业应当建立常态化合规培训机制，制定年度培训计划，将合规管理作为管理人员、重点岗位人员和新入职人员培训必修内容。”事实上，合规培训的目的不仅是在文化层面让员工充分知晓企业合规管理的原则和理念，更是在落实层面让员工学会如何履行合规职责、执行合规流程。

如果合规培训的内容仅局限在一般化普法宣传（如宪法、民法典等），则陷入脱离业务经营的误区。合规培训还应涵盖与业务经营密切相关的合规风险管理、岗位合规职责履行、合规审核流程等。针对不同合规培训对象，应设置不尽相同的合规培训内容、采用灵活多样的合规培训形式。

（作者系中国国际技术智力合作集团有限公司法务合规与审计部副部长）

（责编 惠宁宁）