刘非凡

（中海油建设咨询（山东）有限公司，山东 济南 250014）

一、企业合规管理体系建设的意义

（一）有效的合规管理是实现企业高质量发展的重要保障

2022年8月23日，国资委正式印发《中央企业合规管理办法》，对深化中央企业合规管理工作提出了新的明确要求，对中央企业合规管理工作开展具有重要指导作用，对于推动中央企业切实加强合规管理，实现高质量发展意义重大。当前，中央企业正处在改革深化的过程中，如何避免国有资产流失、如何做到国企资本的真实估值、如何解决国有资本运营公司的监管效力问题、避免权力寻租与企业的短视行为等，都是经济市场进一步深化背景下对于企业合规管理落地的切实要求。建立健全风险、内控、合规、法律一体化管理体系，构建资源整合、有效协同、良性循环的风险长效机制，利用大数据、人工智能等先进技术、手段开展工作，是企业实现高质量发展的重要保障。

（二）有效的合规管理能够保护企业“合规不起诉”

“企业合规不起诉制度”是指检察机关对于那些涉嫌犯罪的企业，发现其有建立或完善合规体系意愿的，可以责令其针对违法犯罪事实提出专项合规计划，督促其推进企业合规管理体系建设，然后做出不起诉的制定。2021年最高检联合其他各部门下发《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》，将涉嫌犯罪企业的合规考察书面报告、涉案企业的合规计划、定期书面报告等合规资料，作为依法做出批准或者不批准逮捕、起诉或者不起诉等决定的重要参考。企业通过研究“合规不起诉制定”及相关指引，事前对合规体系查漏补缺，可以有效改进企业涉罪风险识别机制，优化内部合规运作，健全外部合作合规，可有效保护企业。

（三）有效的合规管理是企业应对各类风险挑战的壁垒

企业涉及的合作方合规水平参差不齐，存在合规意识薄弱、钻法律空子等情形，有效的合规管理体系能够帮助企业守住底线，不碰红线，奠定了企业合规管理的环境基调，是企业合规工作高效有序开展的重要保障，利于企业长远发展。

二、企业合规管理体系建设的难点

（一）合规风险评估难度较大

企业员工合规风险意识较弱，对合规管理的概念了解较少，各类型企业涉及的法律法规体系庞杂，同时对合规风险评估工作的开展缺少系统的方法，市场上各合规管理体系建设的服务商参差不齐，而且在评估过程中需要面临大量的信息收集及问题。

（二）合规管理体系搭建难度较大

《中央企业合规管理办法》虽然明确了合规管理相关的主体职责、合规文化建设、合规审查等一系列要求，但在实际的执行过程中缺少经验参考，经常出现内控严重、审批复杂、制度繁多、执行僵化等问题。由于各企业需求及人员配置不同，需要结合企业实际情况搭建适合企业发展和正常运行的合规管理体系。

三、合规风险评估工作要点

（一）合规风险评估工作方案编制

根据企业的组织机构、业务领域、法律法规要求等相关信息，制定具体的合规风险评估计划和方法，确保企业合规风险得到充分控制，具体的方案包括评估目标和范围、评估资料的收集、工作重点、人员配备及分工、评估方法和程序、时间安排等。

（二）资料清单及收集

结合合规风险评估工作方案编制资料清单，清单内容要尽可能的全面，包括但不限于企业内控制度体系、各类日常业务文件、企业涉及的法律法规，若企业存在上级公司则还需要收集上级公司内控制度体系。可以提前通读内控制度体系文件，摘录文件中对各业务环节的具体要求，尤其对于需要形成存档文件的资料，为后续审查做好准备工作。

（三）审查组织机构设置

收集企业关于组织机构和岗位职责的相关文件，结合内控制度及不相容职务分离的相关要求来进行审查。主要审查组织机构是否健全、是否能全覆盖企业各业务领域、岗位职责是否清晰、一岗多责或一人多岗情况是否满足不相容职务分离要求、是否设置合规管理岗位并根据实际情况配备专职或兼职合规人员、各业务及职能部门是否设置合规管理员，负责各业务领域的合规管理工作、是否将合规管理的具体职责嵌入到岗位职责中去等。

（四）审查日常合规管理工作

对企业日常合规管理工作进行审查。主要审查是否建立合规管理体系，体系内容是否完整有效、是否建立健全合规审查、合规评价、合规投诉等方面的管理制度及流程；制度及流程能否满足企业业务发展、是否结合企业发展目标及发展需要，持续更新和新增各类内控制度及合规工作指引、合同、重大决策、规章制度的合规咨询与审查是否全覆盖、是否有相应部门或岗位参与具体的咨询与审查事项、是否将合规审查作为必须的前置程序嵌入相应流程中去、是否编制年度合规管理工作报告、是否开展合规检查与考核，考核结果是否汇入年终考核、是否对内控制度体系和流程进行合规评价，评价结果是否及时整改、是否按照权限对违规事件进行调查处理等。

（五）审查全面、有效的合规管理运行机制建立情况

结合企业合规管理制度的具体要求，对合规管理运行机制进行审查。主要审查是否建立有效的合规风险识别预警机制、是否建立有效的合规事件处置机制、是否明确有效的合规投诉管理机制等。

（六）审查内控制度体系建立健全情况

收集企业全部的内控制度文件，结合企业实际业务情况，上级企业制度体系文件对内控制度体系建立健全情况进行审查。主要审查内控制度体系缺失情况，包括基本制度、管理办法、操作细则等；内控制度体系是否及时组织修订、是否存在超期或者法律法规更新后未及时更新情况、内控制度体系文件编制是否存在问题，包括但不限于编码、生效日期、文号、适用范围、格式等，内控制度文件是否存在问题或有缺失，与国家法律法规，上级制度对比是否存在条款缺失，条款要求相悖，内容更新滞后等问题。

（七）审查内控制度文件执行情况

根据企业的内控制度文件要求，收集各流程、各环节相关文件，判断工作是否按照内控制度文件要求执行。利用问卷调查与现场审查相结合的方式，审查各业务流程是否严格按照内控制度文件要求执行，落实内控制度文件的有效性和业务开展的合规性。将内控制度文件中的具体要求编制成问卷，问卷调查主要以回答是或者否定方式，要求各业务人员及各部门负责人真实作答。此外，可以运用穿行测试的方法，模拟各环节运行，检查流程及节点是否与内控制度体系文件一致。

（八）审查企业运行过程中存在的其他问题

主要是依据鉴纪检监察、巡视巡查和审计的相关方式方法，发挥“第三道防线”的作用。一方面，收集企业历史巡视巡查及审计等报告，检查问题的整改情况是否落实、是否从根源上杜绝同样问题再次发生；另一方面，对全公司进行系统审查，除企业的日常工作之外，重点检查企业参与的项目，包括项目需履行的各项程序、采办、合同、付款结算、财务管理等，对发现的问题剖析源头，从根本上确定企业合法合规运营。

（九）合规风险评估报告编制

根据合规风险评估的检查结果，编制合规风险评估报告并提出整改意见。报告包括但不限于合规风险检查工作背景、合规风险检查范围、合规风险检查依据、合规风险检查结果、合规建议等。为保证合规管理工作的连续性，可以持续跟踪问题整改情况，也可以在合规风险评估后的第二年针对报告中体现的问题进行再次检查，确保检查的有效性。

四、合规管理体系搭建路径分析

（一）加强制度建设

根据合规风险评估报告提出的问题、国家法律法规变化、上级企业修订计划、企业业务需要等制定第二年度内控制度修订计划。结合被审查单位实际情况编制内控制度文件，完善企业内控制度体系，此过程需要专业人员对企业内控制度体系进行整体规划，也需要企业各业务领域人员参与配合，确保内控制度体系的完整性和有效性。

（二）对重点领域进行法律法规义务辨识清单编制

运用专业的法律法规数据库，例如威科先行·法律信息库及北大法宝法律数据库等，结合企业整体的业务需求，梳理相应的法律法规适用清单。对企业重点领域业务开展所需的法律法规进行内容辨识，整理法律法规中的必要性、禁止性、法律责任处罚条款，编制法律法规义务辨识清单。必要时可印发成册，发放到企业重点领域业务人员手中，时刻督促其保持底线，勿碰法律红线。

（三）加强合规风险清单编制

在建立健全企业内部控制体系后，按照人力资源、行政管理、财务管理等业务类型进行分类，分别梳理其各项业务中涉及的各个合规环节。结合法律法规义务辨识清单及内控制度体系中的合规要求梳理关键控制点，对控制点进行合规义务辨识，编制合规风险清单。合规风险清单的内容包括但不限于三级业务行为描述、引发合规风险的行为描述、不合规行为引发后果、法律法规依据、制度依据、风险应对措施等。

（四）建立岗位职责清单

内部合规部门需要与企业人力资源部门配合，结合合规风险清单，充分分析各岗位职责，梳理各岗位应遵守的合规义务，完善岗位职责清单。确保将合规要求纳入员工岗位职责，使各岗位员工深入了解和掌握本岗位的工作职责及合规要求。

（五）建立健全各种运行机制

第一，建立合规风险识别与预警机制。持续跟踪国家法律法规和监管动态，准确识别与企业相关的合规义务，及时进行合规风险提示。梳理企业以往审计、巡视巡查发现的问题以及发生的行政处罚、司法判例等，分类汇总，总结经验，建立风险案例库。案例库内容包括但不限于案例来源、形成时间、风险类别、责任部门、问题描述、引发后果、整改措施、案例启发等。为确保及时了解和掌握业务开展过程中出现的各类合规风险以及各业务部门开展合规管理工作的情况，建立合规管理工作月报及季报机制。各业务部门合规人员每月/季向合规管理部门报送合规工作月/季报，如遇到或发现重大合规风险应及时报送，并发布预警信息。

第二，提升合规风险处置与应对能力。各业务部门严格按照风险管理制度或已有制度规定的权限和程序，就识别出的合规风险进行及时报告。并结合风险发生概率及可能造成的损失预估风险等级，根据风险等级采取积极稳妥的处置措施，力争将负面影响降到最低。

第三，做好合规投诉事件处理。建立专门的合规投诉邮箱或电话，做好保密工作，及时收集各业务部门报送的合规投诉案件，建立企业合规投诉管理办法，建立企业合规投诉登记台账，做好案件受理及报送，妥善开展合规投诉调查工作，切记避免信息泄露出现投诉人被打击报复情况。

（六）加强日常合法合规性审查

建立企业合法合规性审查相关制度或标准化工作流程，明确审查范围、审查要点，建立审核台账。强化对规章制度、经济合同、重大决策的合法合规性审查，做到“应审必审”，及时反馈审核意见，并就重要审核事项出具法律风险提示或法律意见。

（七）加强合规文化建设

持续开展合规培训，制定年度培训计划，组织合规管理体系建设与合规风险防控培训，将合规管理纳入企业党委专题学习，邀请专业机构进行典型合规案例分享；邀请外聘律所就业务所涉重要法律事项进行专题培训等常态化合规培训。深入开展合规宣传，通过合规宣传片、答题、宣传画、展板、警示教育等方式，进行合规宣传、普法教育，提高全员合规意识。

（八）加大合规信息化建设力度

企业信息数据庞杂，人工审查及关键点控制易出现错误，在大数据时代，合规信息化建设非常重要。利用数智化管理系统将合规审查和风险防控措施等融入工作流程中，针对重要节点加强把控，提前预警。利用大数据，标准化，表单化，持续跟踪监测，动静结合，实现合规信息化建设。

（九）实施合规专项检查

开展合规专项检查。例如，企业的生产用车专项检查、采办专项检查、财务资金管理专项检查、重点项目专项检查等，通过专项检查以点带面揭露问题，促进公司全面合规。

五、对策与建议

（一）坚持党的领导，贯彻落实合规管理的各项制度

要紧紧围绕习近平法治思想，落实全面依法治国的战略部署，深化法制企业建设，推动企业合规管理。充分发挥党在企业的领导作用，把党的领导贯穿于合规管理的全过程，提高政治站位，企业负责人要积极推动，明确分工，让企业员工意识到合规管理的重要性。

（二）借助专业力量，切实推进合规管理的有效性

我国合规管理的发展目前处于上升阶段，各企业合规管理的意识及专业性参差不齐，仅仅根据《中央企业合规管理办法》等内容推动不现实，企业的合规管理工作难以保障其完整性和有效性。建议企业充分利用外部资源，在引入外部协助的同时嵌入内部员工边学边干，为后续企业合规管理夯实基础。

（三）紧跟时代发展，加强合规管理信息化建设

合规管理一方面要保证企业内部合规管理体系的完整性和有效性，另一方面要保证企业员工的合规意识及实际执行的准确性。员工非本意的出错也会导致企业不合规事件的偶然发生，建议加强合规管理信息化建设，运用数智化手段将企业的合规管理体系、内控制度体系等流程和关键点嵌入信息系统，保证非人为主观错误发生。此外，信息化大数据技术也能实现合规风险的实时预警，以便于企业快速处置。