混改风云公众号第1446篇原创文章

作者|知本咨询国企改革数据中心 白佳馨

责编|亿亿 编辑|阿苓

先前，我们在《央企合规管理，为什么走来？向哪里前进？8个预测》一文中沿时间脉络探讨了合规管理的来源与走向，包括制度建设的重点所在。

本篇我们将继续从企业合规管理建设出发，通过体系构建、组织架构两方面，联合前文的制度建设，试图帮助企业搭建起责任明确、层次清晰、管控严密、上下联动的一体化合规管理体系。

01

合规管理知多少之体系建构

目前，中央企业合规管理建设已有一定成果。从年初会议披露信息可知，中央企业合规管理已经进入到深化发展阶段，合规制度更完善，运行机制更顺畅，责任体系更健全，工作基础更扎实。

那么，在这样的背景下，是否还有需要探讨合规管理体系建构呢？

笔者认为，有必要，且必须要。

我们知道，合规管理既是一项大工程，也是一项常态化工作。所谓“博学之，审问之，慎思之，明辨之，笃行之”，无论是中央企业或是地方国企，均需不断建立健全自身合规管理体制机制，查漏补缺，方能深化合规，行稳致远。

因此，我们先从合规管理体系建构入手，探讨其流程落实与细节把控。

审问慎思：明确四个问题

建设合规管理的重要性，早已不言便明。无论是2008年西门子海外腐败案，还是同期辉瑞违反销售监管要求案，一桩桩一件件，无不在为我们敲响合规警钟。

及至国内，中央企业也早已开始了自己的合规建设。近年来，无论是上市要求，还是政策规定，亦或是企业自身需求，愈来愈多的地方国企也开始建立起自己的合规体系。

然而，体系易建，形式合规也易做。可是，能否真正将合规管理落在实处，成为了众多企业所面临的难题。

这里，大家可根据自身企业情况，随笔者一同思考以下四点问题。这也是企业建设合规管理体系前，必须审问慎思，明确答案的四个关键问题：

• Q1：体系建设是什么？

国企合规管理体系建设是一个为防范各种合规风险，将“对合规义务的主动遵守”融入到企业全部经营管理活动的管理体系构建过程。其基本路径包括识别合规风险、搭建合规组织架构、制定合规管理制度、运行合规管控机制、提高合规文化意识。

• Q2：建设范围在哪？

建设范围的思考既要明确是属于集团合规管理体系还是单个公司合规管理体系，也要思考所建体系是属于“大合规”体系或是专项合规体系？

这里说的大合规体系，可能会包括合规管理、内控、风险管理、法务管理，甚至包括审计、追责等。

而专项合规体系可参考《中央企业合规管理办法》（以下简称《办法》）中的七大重点领域，或企业自身合规风险较高领域以及涉外业务领域，例如反垄断合规体系、反腐败合规体系、数据保护合规体系等。

• Q3：体系环境如何？

体系环境需要企业考虑自身业务发展与风险管控的关系；其次，目前大多数国有企业，尤其是央企，已经在内部建立了类似的管控机制，如果要新建合规管理体系，应当如何调整这几大管控机制间的关系，如何与之区分、互动，甚至调整和变革。

• Q4：业务流程如何？

业务流程需要依托“第一道防线”，即业务部门与职能部门，深入结合业务，有计划、系统性地梳理总结企业的经营管理活动，并以此为对象进行下一步的风险识别、风险管控等行为，形成管控清单，这也是所有的管理体系必须解决的问题。

明辨笃行：实施四个步骤

审问慎思，方能明辨笃行。在思考过以上四个基础问题后，如何搭建合规管理体系成为重点所在。

图：合规管理体系建构“445”之四个步骤

首先，在明确上文四个问题的基础上，制定一份合适的实施方案成为合规管理体系构建的第一步。

企业需要明确，实施方案是国企内部建立健全合规管理体系的指导性文件，其内容包括合规管理工作基本思路、主要原则、工作目标、组织领导、主要任务、实施步骤、绩效考核、监督实施等。

第二，合规制度方面，由于上文中已有较为详细论述，此处不再赘述，拟定可参考该文。

第三，合规机制方面要注重合规风险全流程的机制设计，确保形成“事前监督、事中控制、事后问责”的闭环管理。

若以合规风险发生前中后来进行划分，事前应紧抓监督，建立起风险识别评估预警机制、合规审查嵌入经营管理流程机制以及合规、法务、内控、风险管理全面协同的运作机制。

例如合规联席会议机制、强制咨询机制等。

而事中作为应对合规风险的控制期间，则应建立起合规风险报告机制、违规举报机制。

例如双线有效的合规管理汇报机制、岗位履职监控机制等。

最后，事后阶段更加注重整改与问责，因此需要建立起追责问责机制与违规问题整改机制，具体可参考风险跟踪机制、第三方尽职调查机制等。同时，有效性评价机制与考核评价机制。

前者应针对重点业务合规管理情况适时开展专项评价，后者则是将合规管理作为法治建设重要内容，纳入对所属单位的考核评价。

第四，在风险指标设定方面，前文我们已经提过，合规管理的规是“外法内规”，依据的是不断更新迭代着的法律法规与企业规章，因此，在设定指标时需要注重动态关注，保证合规持续有效。

具体可以考虑关注三方变化：

一是合规义务的变化，即外部法律法规的更新；

二是业务流程的变化，企业具体业务可能会因多种因素发生流程或形式上的改变，因此相应的合规流程管控清单也需随之变化；

三是外部环境或第三方带来的对企业经营管理的影响而产生的合规风险变化。

行稳致远：完善五个举措

审问慎思、明辨笃行，加以机制的完善健全，方能使企业深入合规、行稳致远。

图：合规管理体系建构“445”之五个举措

所谓合规架构优化，是指有关合规管理过程中需要涉及的人力资源安排。在完善过程中，需要将企业内负责合规职责的人员或部门以书面形式固定，保持合规独立性。

公布合规准则是将合规管理从纸面“立”起来的重要举措，既包括对外表达企业合规意识及合规文化，也包括对内面向全体员工进行合规宣传以及签署合规承诺、发放合规手册等；

同时，还包括面向商业伙伴发布合规准则，促进企业全面合规。

合规风险评估是合规管理建构的重中之重，防范和管控合规风险的前提是认识和评价风险。合规风险经过识别、分析、评价三个环节，形成企业合规风险清单，也可以是合规风险库。

合规管理体系可以发现、惩治不合规的行为，这也是其重要功能，因此需要设置举报途径，配套对应的调查程序和调查方法。

这里需要注意的是对举报人的保护，政策明确规定应对举报人相关事项进行保密，避免遭受报复，同时还可给予一定奖励。

合规培训是宣传合规文化，是强化合规意识，保留合规有效性证据等工作的必要基础，可以通过合规文化活动、合规培训课程以及签署合规协议等方式。

一方面，集团如何让员工意识到合规文化的价值创造性成为关键之钥；其次，全员主动、诚实守信也成为了企业合规管理的文化之根。

简单来说，合规文化的价值创造性可以从经济价值与社会价值两方面衡量。一来，企业的合规形象可能会为其带来积极的社会形象；另一方面，合规管理的落实也可以为企业避免可能存在的违规惩罚。

02

合规管理知多少之组织架构

从组织架构的顶层设计来看，很多国有企业还未建立合规管理委员会来统筹领导和规划合规管理工作，同时在实际管理中也尚未设立统筹合规管理工作的独立部门或牵头部门，合规职能分散于法务、内审、财务、纪检、人事等不同部门，造成合规管理职能界限不清晰，工作机制不顺畅，组织建设重复和职能真空并存。

尤其是一些国有企业下设的分支机构，限于资源和人员的局限性以及对合规管理认识的偏差，合规管理组织建设层层衰减现象严重，合规管理的执行力得不到有效保障。

把握组织架构建设三原则

合规组织是企业开展有效合规管理的人事基础与基本保障。开展合规管理，防范合规风险，首先要建立科学的合规组织体系，从而保障合规管理的有效进行。

企业应搭建垂直领导、职责明确、层次清晰、上下联动、协同高效、管控严密的一体化合规管理组织架构，以分层管理、全面覆盖为基本要求，精准分配合规管理职能到不同的管理部门，并建立协同配合的合规管理工作机制，保障合规各部门有效开展合规管理工作，积极推进合规管理工作的实施。

合规组织的设置和职责配置应当保持适当性、独立性和权威性原则。

所谓适当性，是指合规组织的管理架构与职责配置需要做到与企业的业务、规模、行业特点与经营模式相协调，与企业的实际需求成比例。

所谓独立性，是指为确保合规管理工作的独立性与客观性，合规组织体系需要财务管理体系与经营治理体系相分离，在管理职能上独立出来，从而实现管理资源与权限的集中。

保障合规人员在履行职责时，不受任何部门和人员的干预，这就要求企业建立合规人员向合规领导机构汇报的路径。

所谓权威性，是指合规部门与合规人员必须要在企业内部具备一定的权威。

这就要保障合规部门及相关人员在信息知情、决策参与等方面开展合规审查，出具合规审查意见，其意见应得到应有的尊重；或是对具有重大风险的重要决策进行合规评估，必要时可建议合规领导机构予以否决；以及定期对所有业务领域进行监督检查，及时处置潜在的法律风险。

把握合规组织中的三角色

在公司治理层面，合规组织的构建还体现在其重要的角色定位上。关于这一点，大家相对比较熟悉，此处仅以常见的“领导层-管理层-实践层”结构作简要分析。

按照国务院国资委“由董事会中负责推进法治建设工作的委员会领导合规管理体系建设”的要求，国有企业董事会是合规管理的最高领导机构。因此，董事长需要履行推进合规管理第一责任人职责，这也是领导层的主要定位。

再往下走，领导层下为管理层，即在董事会下设由企业主要负责人和各部门负责人组成的合规管理委员会统筹推进企业合规管理工作。

在合规管理委员会下设首席合规官，即企业总法律顾问任主任，由相关部门负责人和业务骨干组成的办公室具体负责委员会日常管理工作。

最后，则是作为实践层的各业务部门与职能部门，此处不再细说。

严守合规管理里的三防线

在合规执行层面，我们知道，合规管理绝不是某一部门或某一条线的职责，而是整个企业和全体员工共同的责任，它覆盖“全员、全流程、全领域”，必须充分调动企业各部门、各条线的资源和积极性做好合规管理。

在此，根据《中央企业合规管理办法（征求意见稿）》（以下简称《办法（征求意见稿）》）中提出的“三道防线”以及正式文件中的定位，我们可以根据企业各条线不同的职责分工和角色定位，搭建由合规管理委员会牵头的多层次合规管理组织架构体系，具体可看下图。

图：合规管理组织架构体系

第一道防线为各业务部门，在日常生产经营中业务部门既可能是规则的忠实践行者，也可能是违规的重灾区，对合规管理负有首要责任。

需要注意的是，由于业绩导向等原因，合规管理在第一道防线上一直存在落实不力的情况，因此业务部门需要在合规管理上“苦练内功”。

第二道防线为法律部门等对合规管理负主体责任的部门，为企业各业务活动提供合规支撑。

第三道防线为内审、纪检等独立性较强的部门，通过定期审计和巡视巡察做好相关业务合规管理的后评估，加强对风险隐患的监督检查和推进发现问题的整改落实，对相关责任人进行处理，及时弥补合规管理的漏洞，倒逼合规管理能力提升。

三道防线的合规管理组织架构是业界普遍较为认可的风险管控框架，适用于大部分国有企业组织架构形式，其充分发挥了企业既有的组织架构优势，根据各部门的特点和职能明确了差异化的合规管理职责，将合规管理职能嵌入到各部门、各条线管理和运营中，推进合规管理深度融入生产经营，有效避免了与业务发展的“两张皮”问题，有利于提升合规管理的效能，确保合规管理有效管用，充分彰显合规管理的价值。

以上，通过合规管理制度、体系、组织建构，形成一套闭环合规管理机制，保障合规管理的落地实施。

在具体实施中，企业还应当搭建与流程运转相匹配的合规管理信息化系统，通过大数据、信息化支撑在线固化各流程节点要求，实现全过程动态合规管理，真正发挥流程管事的作用。