劉非凡

（中海油建設咨詢（山東）有限公司，山東 濟南 250014）

一、企業(yè)合規(guī)管理體系建設的意義

（一）有效的合規(guī)管理是實現(xiàn)企業(yè)高質量發(fā)展的重要保障

2022年8月23日，國資委正式印發(fā)《中央企業(yè)合規(guī)管理辦法》，對深化中央企業(yè)合規(guī)管理工作提出了新的明確要求，對中央企業(yè)合規(guī)管理工作開展具有重要指導作用，對于推動中央企業(yè)切實加強合規(guī)管理，實現(xiàn)高質量發(fā)展意義重大。當前，中央企業(yè)正處在改革深化的過程中，如何避免國有資產(chǎn)流失、如何做到國企資本的真實估值、如何解決國有資本運營公司的監(jiān)管效力問題、避免權力尋租與企業(yè)的短視行為等，都是經(jīng)濟市場進一步深化背景下對于企業(yè)合規(guī)管理落地的切實要求。建立健全風險、內控、合規(guī)、法律一體化管理體系，構建資源整合、有效協(xié)同、良性循環(huán)的風險長效機制，利用大數(shù)據(jù)、人工智能等先進技術、手段開展工作，是企業(yè)實現(xiàn)高質量發(fā)展的重要保障。

（二）有效的合規(guī)管理能夠保護企業(yè)“合規(guī)不起訴”

“企業(yè)合規(guī)不起訴制度”是指檢察機關對于那些涉嫌犯罪的企業(yè)，發(fā)現(xiàn)其有建立或完善合規(guī)體系意愿的，可以責令其針對違法犯罪事實提出專項合規(guī)計劃，督促其推進企業(yè)合規(guī)管理體系建設，然后做出不起訴的制定。2021年最高檢聯(lián)合其他各部門下發(fā)《關于建立涉案企業(yè)合規(guī)第三方監(jiān)督評估機制的指導意見（試行）》，將涉嫌犯罪企業(yè)的合規(guī)考察書面報告、涉案企業(yè)的合規(guī)計劃、定期書面報告等合規(guī)資料，作為依法做出批準或者不批準逮捕、起訴或者不起訴等決定的重要參考。企業(yè)通過研究“合規(guī)不起訴制定”及相關指引，事前對合規(guī)體系查漏補缺，可以有效改進企業(yè)涉罪風險識別機制，優(yōu)化內部合規(guī)運作，健全外部合作合規(guī)，可有效保護企業(yè)。

（三）有效的合規(guī)管理是企業(yè)應對各類風險挑戰(zhàn)的壁壘

企業(yè)涉及的合作方合規(guī)水平參差不齊，存在合規(guī)意識薄弱、鉆法律空子等情形，有效的合規(guī)管理體系能夠幫助企業(yè)守住底線，不碰紅線，奠定了企業(yè)合規(guī)管理的環(huán)境基調，是企業(yè)合規(guī)工作高效有序開展的重要保障，利于企業(yè)長遠發(fā)展。

二、企業(yè)合規(guī)管理體系建設的難點

（一）合規(guī)風險評估難度較大

企業(yè)員工合規(guī)風險意識較弱，對合規(guī)管理的概念了解較少，各類型企業(yè)涉及的法律法規(guī)體系龐雜，同時對合規(guī)風險評估工作的開展缺少系統(tǒng)的方法，市場上各合規(guī)管理體系建設的服務商參差不齊，而且在評估過程中需要面臨大量的信息收集及問題。

（二）合規(guī)管理體系搭建難度較大

《中央企業(yè)合規(guī)管理辦法》雖然明確了合規(guī)管理相關的主體職責、合規(guī)文化建設、合規(guī)審查等一系列要求，但在實際的執(zhí)行過程中缺少經(jīng)驗參考，經(jīng)常出現(xiàn)內控嚴重、審批復雜、制度繁多、執(zhí)行僵化等問題。由于各企業(yè)需求及人員配置不同，需要結合企業(yè)實際情況搭建適合企業(yè)發(fā)展和正常運行的合規(guī)管理體系。

三、合規(guī)風險評估工作要點

（一）合規(guī)風險評估工作方案編制

根據(jù)企業(yè)的組織機構、業(yè)務領域、法律法規(guī)要求等相關信息，制定具體的合規(guī)風險評估計劃和方法，確保企業(yè)合規(guī)風險得到充分控制，具體的方案包括評估目標和范圍、評估資料的收集、工作重點、人員配備及分工、評估方法和程序、時間安排等。

（二）資料清單及收集

結合合規(guī)風險評估工作方案編制資料清單，清單內容要盡可能的全面，包括但不限于企業(yè)內控制度體系、各類日常業(yè)務文件、企業(yè)涉及的法律法規(guī)，若企業(yè)存在上級公司則還需要收集上級公司內控制度體系?？梢蕴崆巴ㄗx內控制度體系文件，摘錄文件中對各業(yè)務環(huán)節(jié)的具體要求，尤其對于需要形成存檔文件的資料，為后續(xù)審查做好準備工作。

（三）審查組織機構設置

收集企業(yè)關于組織機構和崗位職責的相關文件，結合內控制度及不相容職務分離的相關要求來進行審查。主要審查組織機構是否健全、是否能全覆蓋企業(yè)各業(yè)務領域、崗位職責是否清晰、一崗多責或一人多崗情況是否滿足不相容職務分離要求、是否設置合規(guī)管理崗位并根據(jù)實際情況配備專職或兼職合規(guī)人員、各業(yè)務及職能部門是否設置合規(guī)管理員，負責各業(yè)務領域的合規(guī)管理工作、是否將合規(guī)管理的具體職責嵌入到崗位職責中去等。

（四）審查日常合規(guī)管理工作

對企業(yè)日常合規(guī)管理工作進行審查。主要審查是否建立合規(guī)管理體系，體系內容是否完整有效、是否建立健全合規(guī)審查、合規(guī)評價、合規(guī)投訴等方面的管理制度及流程；制度及流程能否滿足企業(yè)業(yè)務發(fā)展、是否結合企業(yè)發(fā)展目標及發(fā)展需要，持續(xù)更新和新增各類內控制度及合規(guī)工作指引、合同、重大決策、規(guī)章制度的合規(guī)咨詢與審查是否全覆蓋、是否有相應部門或崗位參與具體的咨詢與審查事項、是否將合規(guī)審查作為必須的前置程序嵌入相應流程中去、是否編制年度合規(guī)管理工作報告、是否開展合規(guī)檢查與考核，考核結果是否匯入年終考核、是否對內控制度體系和流程進行合規(guī)評價，評價結果是否及時整改、是否按照權限對違規(guī)事件進行調查處理等。

（五）審查全面、有效的合規(guī)管理運行機制建立情況

結合企業(yè)合規(guī)管理制度的具體要求，對合規(guī)管理運行機制進行審查。主要審查是否建立有效的合規(guī)風險識別預警機制、是否建立有效的合規(guī)事件處置機制、是否明確有效的合規(guī)投訴管理機制等。

（六）審查內控制度體系建立健全情況

收集企業(yè)全部的內控制度文件，結合企業(yè)實際業(yè)務情況，上級企業(yè)制度體系文件對內控制度體系建立健全情況進行審查。主要審查內控制度體系缺失情況，包括基本制度、管理辦法、操作細則等；內控制度體系是否及時組織修訂、是否存在超期或者法律法規(guī)更新后未及時更新情況、內控制度體系文件編制是否存在問題，包括但不限于編碼、生效日期、文號、適用范圍、格式等，內控制度文件是否存在問題或有缺失，與國家法律法規(guī)，上級制度對比是否存在條款缺失，條款要求相悖，內容更新滯后等問題。

（七）審查內控制度文件執(zhí)行情況

根據(jù)企業(yè)的內控制度文件要求，收集各流程、各環(huán)節(jié)相關文件，判斷工作是否按照內控制度文件要求執(zhí)行。利用問卷調查與現(xiàn)場審查相結合的方式，審查各業(yè)務流程是否嚴格按照內控制度文件要求執(zhí)行，落實內控制度文件的有效性和業(yè)務開展的合規(guī)性。將內控制度文件中的具體要求編制成問卷，問卷調查主要以回答是或者否定方式，要求各業(yè)務人員及各部門負責人真實作答。此外，可以運用穿行測試的方法，模擬各環(huán)節(jié)運行，檢查流程及節(jié)點是否與內控制度體系文件一致。

（八）審查企業(yè)運行過程中存在的其他問題

主要是依據(jù)鑒紀檢監(jiān)察、巡視巡查和審計的相關方式方法，發(fā)揮“第三道防線”的作用。一方面，收集企業(yè)歷史巡視巡查及審計等報告，檢查問題的整改情況是否落實、是否從根源上杜絕同樣問題再次發(fā)生；另一方面，對全公司進行系統(tǒng)審查，除企業(yè)的日常工作之外，重點檢查企業(yè)參與的項目，包括項目需履行的各項程序、采辦、合同、付款結算、財務管理等，對發(fā)現(xiàn)的問題剖析源頭，從根本上確定企業(yè)合法合規(guī)運營。

（九）合規(guī)風險評估報告編制

根據(jù)合規(guī)風險評估的檢查結果，編制合規(guī)風險評估報告并提出整改意見。報告包括但不限于合規(guī)風險檢查工作背景、合規(guī)風險檢查范圍、合規(guī)風險檢查依據(jù)、合規(guī)風險檢查結果、合規(guī)建議等。為保證合規(guī)管理工作的連續(xù)性，可以持續(xù)跟蹤問題整改情況，也可以在合規(guī)風險評估后的第二年針對報告中體現(xiàn)的問題進行再次檢查，確保檢查的有效性。

四、合規(guī)管理體系搭建路徑分析

（一）加強制度建設

根據(jù)合規(guī)風險評估報告提出的問題、國家法律法規(guī)變化、上級企業(yè)修訂計劃、企業(yè)業(yè)務需要等制定第二年度內控制度修訂計劃。結合被審查單位實際情況編制內控制度文件，完善企業(yè)內控制度體系，此過程需要專業(yè)人員對企業(yè)內控制度體系進行整體規(guī)劃，也需要企業(yè)各業(yè)務領域人員參與配合，確保內控制度體系的完整性和有效性。

（二）對重點領域進行法律法規(guī)義務辨識清單編制

運用專業(yè)的法律法規(guī)數(shù)據(jù)庫，例如威科先行·法律信息庫及北大法寶法律數(shù)據(jù)庫等，結合企業(yè)整體的業(yè)務需求，梳理相應的法律法規(guī)適用清單。對企業(yè)重點領域業(yè)務開展所需的法律法規(guī)進行內容辨識，整理法律法規(guī)中的必要性、禁止性、法律責任處罰條款，編制法律法規(guī)義務辨識清單。必要時可印發(fā)成冊，發(fā)放到企業(yè)重點領域業(yè)務人員手中，時刻督促其保持底線，勿碰法律紅線。

（三）加強合規(guī)風險清單編制

在建立健全企業(yè)內部控制體系后，按照人力資源、行政管理、財務管理等業(yè)務類型進行分類，分別梳理其各項業(yè)務中涉及的各個合規(guī)環(huán)節(jié)。結合法律法規(guī)義務辨識清單及內控制度體系中的合規(guī)要求梳理關鍵控制點，對控制點進行合規(guī)義務辨識，編制合規(guī)風險清單。合規(guī)風險清單的內容包括但不限于三級業(yè)務行為描述、引發(fā)合規(guī)風險的行為描述、不合規(guī)行為引發(fā)后果、法律法規(guī)依據(jù)、制度依據(jù)、風險應對措施等。

（四）建立崗位職責清單

內部合規(guī)部門需要與企業(yè)人力資源部門配合，結合合規(guī)風險清單，充分分析各崗位職責，梳理各崗位應遵守的合規(guī)義務，完善崗位職責清單。確保將合規(guī)要求納入員工崗位職責，使各崗位員工深入了解和掌握本崗位的工作職責及合規(guī)要求。

（五）建立健全各種運行機制

第一，建立合規(guī)風險識別與預警機制。持續(xù)跟蹤國家法律法規(guī)和監(jiān)管動態(tài)，準確識別與企業(yè)相關的合規(guī)義務，及時進行合規(guī)風險提示。梳理企業(yè)以往審計、巡視巡查發(fā)現(xiàn)的問題以及發(fā)生的行政處罰、司法判例等，分類匯總，總結經(jīng)驗，建立風險案例庫。案例庫內容包括但不限于案例來源、形成時間、風險類別、責任部門、問題描述、引發(fā)后果、整改措施、案例啟發(fā)等。為確保及時了解和掌握業(yè)務開展過程中出現(xiàn)的各類合規(guī)風險以及各業(yè)務部門開展合規(guī)管理工作的情況，建立合規(guī)管理工作月報及季報機制。各業(yè)務部門合規(guī)人員每月/季向合規(guī)管理部門報送合規(guī)工作月/季報，如遇到或發(fā)現(xiàn)重大合規(guī)風險應及時報送，并發(fā)布預警信息。

第二，提升合規(guī)風險處置與應對能力。各業(yè)務部門嚴格按照風險管理制度或已有制度規(guī)定的權限和程序，就識別出的合規(guī)風險進行及時報告。并結合風險發(fā)生概率及可能造成的損失預估風險等級，根據(jù)風險等級采取積極穩(wěn)妥的處置措施，力爭將負面影響降到最低。

第三，做好合規(guī)投訴事件處理。建立專門的合規(guī)投訴郵箱或電話，做好保密工作，及時收集各業(yè)務部門報送的合規(guī)投訴案件，建立企業(yè)合規(guī)投訴管理辦法，建立企業(yè)合規(guī)投訴登記臺賬，做好案件受理及報送，妥善開展合規(guī)投訴調查工作，切記避免信息泄露出現(xiàn)投訴人被打擊報復情況。

（六）加強日常合法合規(guī)性審查

建立企業(yè)合法合規(guī)性審查相關制度或標準化工作流程，明確審查范圍、審查要點，建立審核臺賬。強化對規(guī)章制度、經(jīng)濟合同、重大決策的合法合規(guī)性審查，做到“應審必審”，及時反饋審核意見，并就重要審核事項出具法律風險提示或法律意見。

（七）加強合規(guī)文化建設

持續(xù)開展合規(guī)培訓，制定年度培訓計劃，組織合規(guī)管理體系建設與合規(guī)風險防控培訓，將合規(guī)管理納入企業(yè)黨委專題學習，邀請專業(yè)機構進行典型合規(guī)案例分享；邀請外聘律所就業(yè)務所涉重要法律事項進行專題培訓等常態(tài)化合規(guī)培訓。深入開展合規(guī)宣傳，通過合規(guī)宣傳片、答題、宣傳畫、展板、警示教育等方式，進行合規(guī)宣傳、普法教育，提高全員合規(guī)意識。

（八）加大合規(guī)信息化建設力度

企業(yè)信息數(shù)據(jù)龐雜，人工審查及關鍵點控制易出現(xiàn)錯誤，在大數(shù)據(jù)時代，合規(guī)信息化建設非常重要。利用數(shù)智化管理系統(tǒng)將合規(guī)審查和風險防控措施等融入工作流程中，針對重要節(jié)點加強把控，提前預警。利用大數(shù)據(jù)，標準化，表單化，持續(xù)跟蹤監(jiān)測，動靜結合，實現(xiàn)合規(guī)信息化建設。

（九）實施合規(guī)專項檢查

開展合規(guī)專項檢查。例如，企業(yè)的生產(chǎn)用車專項檢查、采辦專項檢查、財務資金管理專項檢查、重點項目專項檢查等，通過專項檢查以點帶面揭露問題，促進公司全面合規(guī)。

五、對策與建議

（一）堅持黨的領導，貫徹落實合規(guī)管理的各項制度

要緊緊圍繞習近平法治思想，落實全面依法治國的戰(zhàn)略部署，深化法制企業(yè)建設，推動企業(yè)合規(guī)管理。充分發(fā)揮黨在企業(yè)的領導作用，把黨的領導貫穿于合規(guī)管理的全過程，提高政治站位，企業(yè)負責人要積極推動，明確分工，讓企業(yè)員工意識到合規(guī)管理的重要性。

（二）借助專業(yè)力量，切實推進合規(guī)管理的有效性

我國合規(guī)管理的發(fā)展目前處于上升階段，各企業(yè)合規(guī)管理的意識及專業(yè)性參差不齊，僅僅根據(jù)《中央企業(yè)合規(guī)管理辦法》等內容推動不現(xiàn)實，企業(yè)的合規(guī)管理工作難以保障其完整性和有效性。建議企業(yè)充分利用外部資源，在引入外部協(xié)助的同時嵌入內部員工邊學邊干，為后續(xù)企業(yè)合規(guī)管理夯實基礎。

（三）緊跟時代發(fā)展，加強合規(guī)管理信息化建設

合規(guī)管理一方面要保證企業(yè)內部合規(guī)管理體系的完整性和有效性，另一方面要保證企業(yè)員工的合規(guī)意識及實際執(zhí)行的準確性。員工非本意的出錯也會導致企業(yè)不合規(guī)事件的偶然發(fā)生，建議加強合規(guī)管理信息化建設，運用數(shù)智化手段將企業(yè)的合規(guī)管理體系、內控制度體系等流程和關鍵點嵌入信息系統(tǒng)，保證非人為主觀錯誤發(fā)生。此外，信息化大數(shù)據(jù)技術也能實現(xiàn)合規(guī)風險的實時預警，以便于企業(yè)快速處置。