专业解读

上一篇，我们就“企业合规”是什么和为什么要建设企业合规管理体系进行了讨论，这期，我们将重点关注企业合规管理体系建设的具体措施。（相关阅读：道可特研究丨大合规时代，企业合规管理体系建设的探索之路）

第三部分：企业合规管理体系该怎么样建设？——企业合规管理体系建设的具体措施

根据我国企业合规管理体系建设的政策要求和合规管理的现状，该部分的内容主要围绕国有企业该如何建立有效的合规管理体系进行论述。

一、“企业合规管理体系建设”的主要内容

根据《中央企业合规管理指引（试行）》及各省市的《省属国有企业合规管理指引》等规定，完整的国有企业合规管理体系建设涵盖了合规组织体系、合规制度体系和合规运行和保障机制体系。具体包括不限于以下内容：

① 合规管理的环境扫描及有关风控系的关系界定；

② 企业的业务流程拆解与分析；

③ 合规组织架构与岗位职责的设计；

④ 主要合规风险的识别、分析与评价；

⑤ 合规管理制度及合规管理指引的制定；

⑥ 合规管理运行机制的设计与实施；

⑦ 不合规的举报、调查与处理的设计与实施；

⑧ 合规管理的考核与评价报告制作；

⑨ 合规宣传培训工作；

⑩ 合规文化培育工作。

二、“企业合规管理体系建设”的具体措施

建立健全的合规管理体系，基本原则是全面覆盖，即应确保“合规要求覆盖各业务领域、各部门、各级子企业和分支机构、全体员工，贯穿决策、执行、监督全流程”。因此，合规管理体系建设不能一蹴而就的，需要在确立体系的架构之后循序渐进。对于如何开展“合规管理体系建设”，结合各类《指引》文件的要求，笔者认为，可遵循 “五段九步”法。

1、第一阶段：合规现状诊断

通过问卷调查、人员访谈、资料查阅等方式，实现对企业合规状况的初步调查和摸底，可以初步形成《合规诊断报告》和《合规管理体系建设的实施方案》。

第一步：扫描企业的组织结构（尤其是合规、风险、审计或纪检监察等部门）、合规管理职责、风险管理模式的现状，明确企业内部与合规、风控有关的人员架构、职责分工、流程以及相关的制度和制度执行情况。

合规管理体系建设的第一步，首先就是确定企业是否有人专门、持续、按照制度在负责合规管理工作。也就是说，企业是否存在合规组织体系的前提条件就是看有没有人、有没有制度、它们是怎么运作的。在大部分的现代企业中，合规管理工作通常是由合规部门、风险管理部、内控评估部或者审计部来承担。

但是，笔者认为，对于国有企业的内部运作模式，在组织架构扫描过程中，应特别注意：

企业是否存在是从决策层、管理层到执行层的多层次的合规组织架构，比如董事会是否下设合规管理委员会、合规部、合规岗以及各自的职责是否明确和执行情况如何。并且，还需要扫描企业是否存在其他的管理体系，各部门之间的职能协作情况。这在后期合规组织架构体系的设计和完善中具有很重要的价值。

第二步：拆解企业的业务流程，对企业和员工的经营行为和管理行为进行版块式流程梳理。

根据各类《指引》的内容，企业合规管理的对象是企业及其员工的经营管理行为。这种经营管理行为可以分为两个部分：一是企业直接产生利润和经济价值的“经营行为”，如投资、采购、销售、运营等行为；二是防范经营行为风险的“管理行为”，如人力资源管理、财务管理、风险管理，行政后勤等行为，甚至是内控、监察等风险管理自身的管理行为。因此，此处的“业务”应做广义理解。

目前，大部分现代企业的经营行为和管理行为都已经从职能专项流程。梳理企业的业务就是梳理企业的业务流程，也是诊断过程中必不可少的环节，也为后期识别和管控合规风险提供信息源。

第三步： 收集企业合规义务，结合企业的行业特性，按照“规”的范畴和层级进行地毯式的义务清单检索。

企业合规义务是企业经营行为和管理行为的边界，只有知晓了“应然”的“规”，才能判断企业是否存在合规风险。本阶段的前两步，是为了发现企业在合规管理过程中的“实然状态”，第三步是为了解企业的合规“应然状态”。

“规”的范畴已经在本文第一部分中被详细解释和明确了，但是，不同的企业所应遵守的“规”是不尽相同的。结合我国的法治体系，这些“规”的数量非常庞大，而且错综复杂，我们在收集“规”的过程中应关注与企业的关联度，尽可能地按照“横到边，纵到底”的方式开展地毯式的合规义务检索工作。检索一开始，可以优先从八个领域着重在市场交易（含反贿赂反腐败，反洗钱，反垄断反不正当竞争）、安全环保（数据与网络安全）、产品质量、劳动用工、财务税收、知识产权、商业伙伴和其他的法律法规、行业监管规则和交易习惯等方面入手进行交叉收集。

2、第二阶段：合规风险评估

第四步：确定合规风险原则，是“零容忍”还是“可选择”。

我们在完成了第一阶段的三个步骤之后，已对企业合规的“应然”和“实然”情况有了清晰的认识。不过，合规风险不是必然地就显现出来，它取决于信息的收集和经验的判断。而且，合规风险是企业经营行为和管理行为可能违反合规义务的情形，不同的人有不同的判断标准。所以，在合规风险评估开展之前，考虑合规风险原则的争议性以及律师服务的效果等因素，需要根据企业的经营状况和行事风格，先行确认合规风险评估的原则，是属于“合规无偏好，违规零容忍”还是“合规风险偏好可选择”。这对工作成果也会产生影响。

第五步：开展合规风险识别、分析和评价。

本阶段的合规风险评估工作，包括了合规风险的识别、合规风险的分析以及合规风险的评价等环节。其中，重要的是合规风险识别环节。我们常用的合规风险识别方法有，流程推演法、法规倒推法、案例整理法等。

对合规风险的分析和评价，主要是对其发生原因、发生来源和发生后的影响程度进行分析，依照重要性进行排序和可视化表达，最后确定合规风险级别，得出合规风险因素汇总表。整个合规风险的分析和评价，可分为三个不同的级别：一个是红色级别，属于严重违规；一个是黄色级别，属于中度违规；另一个是绿色级别，属于轻度违规或可接受违规的。这个阶段，可能存在根据企业的要求，出具“企业合规红线清单”。

3、第三阶段：合规管理制度和机制的设计、制定和实施

第六步：明确合规管理制度体系的层级，开展合规管理制度的设计和制定工作。

合规管理体系作为一种管理体系，最终还是要归于静态的制度文件。这个阶段所设计和制定的合规管理制度，所需要解决的主要问题是企业的合规管理工作该怎么做。因此，在开始本步骤的工作之前，需要先行明确企业合规管理制度体系的层级。企业可以根据合规管理制度的审批主体、目的、适用范围和内容等差异将其分为不同层级，构建多层次的合规制度体系，确保合规要求全面覆盖、与业务流程相融合，同时具有可操作性、可落地性。

通常来说，适用最多的是“1+N”体系，即有一个指导性文件和N个具体领域的具体细则。比如：

• 指导性文件类似于工作总则，明确企业合规管理工作的基本规定，包含合规工作的基本原则、组织架构和职责、重点领域以及合规管理体系的运行和保障等内容。

• 企业不同领域合规管理工作落实的具体实施细则，包含合规检查、合规审查、合规人员管理、风险预警、绩效考核等方面。

第七步：合规管理机制的设计和实施。

合规管理机制是对企业合规管理系列制度的实际做法，其设计目的在于把静态的合规管理制度的内容落地，规避相关的合规风险，建立事前、事中和事后多层级的合规风险防范机制。其属于管理控制学范畴，需要结合企业的文化和管理机制予以实效化。

通常而言，合规管理机制在制定合规管理制度的时候就已经提及并明确在相关的制度中。在企业实施过程中，合规管理机制可以通过书面的管理制度形式体现，也可以直接用实际的管理行动来实践，还可以通过一些工作表单、函件等形式完成。

另外值得一提的是，国资委在2015年12月8日发布了《关于全面推进法治央企建设的意见》，鼓励企业探索建立法律、合规、风险、内控的一体化联动平台。由于法律、合规、风险和内控作为企业平行的职能管理部门，都具有规定范围内的合规管理职责。因此，在企业合规管理机制建立的过程中，可考虑一体化管理平台与协调联动执行的问题。

4、第四阶段：合规管理跟踪监督

第八步：合规风险预警和跟踪监督。

企业完成前面七个步骤之后，其合规管理体系已经基本完成。但是，合规管理是一个持续不断的过程。我们可以协助企业建立合规风险预警监控制度等，跟踪监督合规管理体系的有效运行。

5、第五阶段：合规培训

第九步：多元化的合规培训和合规文化的培育。

合规管理体系持续良好运行，离不开全体员工的合规意识。合规培训有助于将合规嵌入自身的一切经营管理行为当中，帮助员工“自觉”遵守各项合规义务。因此，可为企业全员制定合规培训计划，通过培育合规的理念，导入合规价值；解读合规文件；传授合规义务知识、提升合规管理技能等方式开展。

三、律师开展企业合规管理体系建设业务的难点

1、合规管理与法律风险防控

近年来，“合规业务”已成为律师新兴的业务领域。在开展合规业务的过程中存在一种情况，就是借用合规的概念介绍具体部门法的实操要点和法律风险点，却对大合规或合规管理体系建设的要求与方法一带而过。比如，很多人会通过介绍公司法的实务操作来解决公司法人治理在合法合规层面的问题；通过介绍劳动法的法律风险点来解决企业人力资源管理层面的问题；通过介绍合同法和担保法的操作指引来解决企业日常业务经营和投融资层面的问题。

其实，具体部门法领域的合规与合规管理体系建设是两个完全不同的问题。简单来说，具体部门法领域的合规只是从微观层面解决企业特定领域的法律风险防控问题，合规管理体系建设是从宏观层面多层级解决企业全领域的规范运作问题。

因此，企业在确立合规管理体系建设方案之初应该站在更高的层级和更宏观的角度对本企业合规管理体系形成全面和系统性的认识与布局。如果只见树木不见森林，必然导致合规管理出现方向性错误和无效的后果。

2、合规管理与内控评估

在企业多种管理体系重合的情况下，经常会混淆“合规管理”和“内控评估”，错误地认为合规是内部控制的一部分，合规管理的范畴属于内控管理范畴。但是，即使合规与内控工作有一定交叉，内控部分工作方法和工具也可以为合规管理工作所借鉴，两者也是有着本质区别的。具体分析来看：

1. 关注点不同。根据《企业内部控制基本规范》第三条和第二十八条规定，内部控制的核心是财务报告相关的内部控制，并不主要关注企业的合规问题。

2. 性质不同。内控管理更侧重程序性控制，但是合规管理既包括程序性控制，也包括实质性控制。合规实质性控制需要对企业或员工某项业务和经营活动是否符合企业应遵守的规范要求做出实质性判断。

3. 机构/人员属性不同。合规管理主要依据法律法规、监管要求和内部规章制度展开，因此《中央指引》中提出应由中央企业相关负责人或总法律顾问担任合规管理负责人，法律事务机构或其他相关机构为合规管理牵头部门，合规管理人员一般具有法律专业背景，外部顾问主要是律师事务所。而内控工作主要由企业内控部门及具备财务背景的内控专业人员从事，例如《企业内部控制基本规范》要求企业应当在董事会下设立审计委员会，审计委员会负责审查企业内部控制，提供企业内控管理咨询的外部顾问主要是会计师事务所。

综上所述，如果遵循上述认知开展合规管理体系建设，可能会导致由不适格的主体按照错误的方法开展工作，最终形成不准确、无实效的工作成果。

四、结语

在全球合规监管愈发严格的背景下，以及国家政策的引领，我国国有企业全面、系统的合规管理工作与合规管理体系建设方兴未艾，合规管理与合规业务正当时。后续，我们将研发系列的培训课程、服务方案和工作文本，进一步推进合规业务的专业化。