沈大力等：国企合规内控体系构建的流程设计——基于合规法律服务实践的创新思考

“合规”最基本的概念是指对具体规则的遵循、遵守。而这些具体的规则主要来源于法律法规的规定、监管部门的规定、私人组织内部的规章制度、行为守则和社会道德等。[1]“企业合规”从文义解释的角度理解是指企业的行为要遵循、遵守上述规则。而企业合规治理的过程是围绕企业存在的合规风险展开的，因此从体系解释的角度理解“企业合规治理”的概念是指企业以有效防范、识别、应对可能发生的合规风险为目的，建立一整套涵盖企业全流程、全人员的企业合规内控体系。[2]

企业合规对于国内法律市场而言，更多像是一种舶来品，最初主要是外企，尤其是跨国企业存在合规需求。对于外企而言，由于业务跨越不同国家、不同法域，则客观上存在了解所在地国家法律的现实需求，在企业进入新市场时，需要调研所在地的政策法规及营商环境，识别可能存在的法律风险，保障经营的稳定。

随后，在国内的资本市场领域，证监会等监管部门通过首发上市规则、窗口指导意见等文件，对拟上市公司和上市后主体的规范经营也提出了具体要求，涵盖三会运行、关联交易、重大债权债务、劳动用工、环保等方方面面，在这一背景下，基于满足上市要求的现实考虑，不少拟上市和已上市公司，也会关注企业的合规要求。随着我国经济和社会的迅速发展，很多国企也开始意识到了合规的重要性，并且已经将合规管理体系建设纳入企业的发展计划之中。[3]

对于国企层面的企业合规而言，目前总体呈现出“知易行难”的特点。“知易”体现在，其一，在实践方面，国企合规可以借鉴来自于外企和资本市场领域关于企业合规的丰富素材和实践经验。其二，在具体规范方面，国企合规可直接参考国家层面的相关指引文件和国家标准，如《中央企业合规管理办法》、GB/T35770-2022《合规管理体系要求及使用指南》等，及许多地方国资委甚至央企内部，出台的比较具体的合规管理文件，如《北京市管企业合规管理指引（试行）》、湖北省《省出资企业合规管理指引（试行）》等。

“行难”则体现在，尽管规范性文件是易得的，但是，国企合规如何依据规范进行具体操作和实践在当下有一定难度。央企在2022年“合规管理强化年”的背景下开始深入开展合规改革，至今许多工作仍处于探究摸索阶段，有不少细节问题需要进一步地落实与完善。同时，跨部门的统筹，国企和外部律所的协调，也为国企合规带来一定难度。

国务院国资委于2022年8月23日出台了《中央企业合规管理办法》，并于2022年10月1日起正式施行。《中央企业合规管理办法》的颁布，使我国中央企业在合规管理上取得突破性进展，在合规管理职责、合规管理重点、合规管理运行和合规管理保障等方面，为我国中央企业合规管理体系的建设提供了指导与理论依据。《中央企业合规管理办法》明确要求地方国资委予以参照，故在一定程度上，对各种类型的国企均具有普遍的指导意义。各个层级的国有企业都需要密切关注《中央企业合规管理办法》和地方性要求，开展企业合规管理体系建设。

第一，明确领导责任。《中央企业合规管理办法》第七条至第十条，强调国有企业合规建设要明确党组织、董事会及管理层领导的管理职责。党委（党组）要充分发挥“把方向、管大局、促落实”的领导职能。董事会要充分发挥“定战略、作决策、防风险”的职能。经理层充分发挥“谋经营、抓落实、强管理”的职能。这些主要负责人是推动央企法治建设的第一责任人，要积极主动推动各项合规管理工作。[4]

第二，明确具体岗位职责。《中央企业合规管理办法》第十条至第十五条，明确合规委员会、首席合规官等具体岗位的职责，形成业务及职能部门、合规管理部门和监督部门共同推进合规管理的“三道防线”。第一道防线是中央企业业务及职能部门，承担合规管理主体责任。第二道防线是中央企业合规管理部门，牵头负责本企业合规管理工作。第三道防线是中央企业纪检监察机构和审计、巡视巡察、监督追责等部门依据有关规定，在职权范围内对合规要求落实情况进行监督，对违规行为进行调查，按照规定开展责任追究。[5]《办法》也要求合规与监察、审计、法律、内控、风险管理等相关部门形成协同联动机制，强调企业所有员工参与合规管理建设。

第三，强调全面制度建设和重点领域专项指引并举。《中央企业合规管理办法》第十六条至十九条规定，国有企业应当要根据自身情况，制定相应的合规管理基本制度、具体制度或专项指南，建立分级分类的合规管理制度体系。其中第十八条明确国企合规在进行合规管理时，应当将反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等领域，以及合规风险较高的业务作为合规重点。这意味着国企合规要实现全面制度建设和重点领域专项指引并举。

第四，明确合规管理运行机制。《中央企业合规管理办法》中第二十条至第二十七条要求明晰中央企业各部门合规审查的职责和范围，强调了合规审查的必要性，并指出各中央企业应完善合规审查闭环管理，强化合规管理有效性评价工作的展开和结果的运用。合规管理运行机制具体包含九项内容：设立风险识别预警机制；将合规审查嵌入经营管理流程；开展整体考核；重点业务合规专项考核；定期开展合规管理体系有效性评价；发挥协同运作机制；建立违规问题整改机制；明确责任范围，细化问责标准；设立举报平台；及时采取应对措施并向合规管理部门报告。

第五，重视国企合规文化建设。《中央企业合规管理办法》中第二十九条至第三十二条从学习、培训、教育、践行四大维度对合规文化建设提出了具体要求并强调了企业领导人员的带头作用。其一，合规管理的核心是发挥领导作用。其二，完善培训机制，促进合规意识的渗透。将对管理人员、重点岗位人员及新入职人员的合规培训作为规定性动作，旨在培育合规意识和合规价值观，为创建良好的合规文化夯实基础。[6]其三，建立健全全员风险防控机制。通过加强对员工的合规教育，制定合规手册，签署合规承诺书，以及强化员工的诚信和合规意识，引导全员合规，加强合规文化建设。

第六，加强信息化建设。《中央企业合规管理办法》中第三十三条至第三十六条强调要求中央企加强建设合规管理信息系统。其一，中央企业应当加强合规管理信息化建设，将合规制度、典型案例、合规培训、违规行为记录等内容，与实际情况相结合，纳入信息系统。其二，中央企业要定期对业务流程进行梳理。其三，中央企业要加强合规管理信息系统与财务、投资、采购等其他信息系统的互联互通，实现数据资源共享。其四，中央企业应当利用大数据等技术，加强对重点领域、关键环节的实时动态监测，实现对合规风险即时预警、快速处置。

企业在经营过程中通常会面临诸如资金、技术、市场、经营等方面的风险，这些风险属于企业的商业风险。商业风险的防控更多是经济学研究的范畴，是需要通过研究投资经营决策而进行防控，但是合规风险，与商业风险不同，是指企业由于运营过程中出现了违法违规的行为，甚至是犯罪行为，从而可能受到行政监管部门或司法机关刑事追究的风险。[7]合规风险的防控更多是企业要对面临的法律风险进行防范。

合规风险识别，是企业合规管理建设中的关键因素，是指对企业内部合规风险存在或者发生的可能性以及合规风险产生的原因等进行分析判断，并通过收集和整理企业所有合规风险点形成合规风险清单，以便进一步对合规风险进行监测和控制等系统性活动。

国有企业识别合规风险的前提是梳理其必须遵守的规章制度、规范性文件及社会道德规范，以明确企业合规义务范围。合规义务不仅包含强制性的要求，即合规要求，例如法律规定和合同约定的义务，还包括企业自愿承担的合规义务，即合规承诺。[8]合规要求具体包含（1）国家及地方层面的法律法规、国企所在主管部门层面的部门规章；（2）国企所在行业的监管规则、行业强制标准、通行的自律性规则以及商业惯例；（3）企业及员工需遵守的各项规定，包含公司章程规定、内部规章制度等。合规承诺包括道德规范，例如社会道德、职业道德、商业伦理等，以及企业自愿作出的业务技术承诺。

在整理上述合规文件的基础之上，进一步梳理出企业违反之后可能造成合规风险的规范性条款，主要可能涉及刑事处罚、严厉行政处罚、国际组织制裁的强制性规定和禁止性规定。此外，企业还需要持续关注并更新其需要遵循的新的合规要求与新的承诺，将其纳入合规义务的范围。并且要时刻关注内外环境的变化，跟踪法律法规、监管政策等其他规定的变化，及时调整更新和维护合规义务清单文件。

在明确国企的合规义务范围后，企业开展合规风险识别。从宏观层面识别企业的整体风险可以采取调研访谈、问卷调查等方式；从微观层面识别企业的具体风险可以围绕不同岗位的具体职责内容识别评估分布在岗位职责中的合规风险，或者围绕业务经营流程识别评估具体环节中可能存在的合规风险，进而将所识别的风险整理成风险清单，以便进行风险分析与防控。

针对上述已识别确定的风险进行梳理，综合考虑合规风险发生的原因、后果严重程度、发生的可能性大小等因素后可将合规风险分为三个层次——重大合规风险、中等合规风险和较低合规风险，形成风险等级表，并明确出需要重点关注的工作领域和首先需要解决的合规风险，进而形成风险评估清单。

在进行风险评估时，为保证评估结果的准确性，企业应当对于风险评估的参与人员按照其工作岗位的不同进行适当的划分，如业务、财务、合规团队对于风险实际发生的情况较为了解，则这一类人员对于风险发生的可能性认识更为客观和真实。而法务、合规、财务团队对于风险可能给企业造成的不良影响则更为了解。

除风险评估清单以外，通过系统分析评估，可以形成合规风险评估报告。评估报告一般包含六个要素：合规风险评估实施概况；合规风险基本评价；存在的合规风险；合规风险发生的不良影响；合规风险发生的原因；处置建议和应对措施。

1、国企合规管理的组织架构设计

在国有企业的合规管理体系建设过程中，组织体系的搭建是其中的一个重要环节。一个完备的组织体系是实现合规管理工作的根本保证，对实现国有企业合规管理体系有着重要的意义。在组织体系搭建方面，企业应当从治理层、管理层和执行层三个层级入手搭建合规管理组织架构。

在治理层，党组织要重点发挥领导核心和政治核心作用，把方向、管大局、保落实。在“三重一大”决策事项上应事先与党组织进行沟通，听取党组织的意见，明确党组织在决策、执行、监督各环节的权责和工作方式，发挥党组织的领导职责。明确董事会及相关专业委员会在合规管理方面的职责，设立合规委员会，或者在现有审计委员会、风险管理委员会等类似机构中纳入合规管理的职责。

在管理层，国有企业可根据实际情况成立合规管理委员会及其他专门委员会，并由总法律顾问担任合规管理负责人，承担合规管理的组织领导和统筹协调工作。

在执行层，建立合规管理的“三道防线”。“第一道防线”通常由业务部门组成，负责有关业务的日常合规风险管理；“第二道防线”则多是法务部门，专门负责合规管理体系的建设，协同企业其他部门进行日常合规工作的开展；“第三道防线”通常由内部审计部门和纪检部门构成，对企业合规管理体系进行监督及评估。

（国企合规管理组织架构）

2、合规管理的制度完善

健全的合规管理制度是国有企业组织体系功能实现的重要保障，是国有企业组织人员开展合规管理的主要准则。关于合规管理制度的建设，企业应当建立健全合规管理制度，完善合规制度体系框架，制定出合规管理的顶层政策，合规管理的基本制度，以及合规管理的具体制度或专项指南。

首先，顶层的合规政策通常以相关法律法规、行业规范为依据，除了具体的行为准则，还包含企业的合规管理目标、愿景、企业合规管理体系概述等内容。

其次，合规管理基本制度的核心内容一般包括合规管理的定义、方针、原则、目标、组织架构、权责分配、工作要求、运行机制、保障机制等内容。

最后，合规管理的具体制度或专项指南，则是结合企业实际需求，以及所涉及的领域、行业及业务所制定的更为细化的管理制度，主要涵盖合规重点领域的管理制度，以及部分细化的合规工作制度，例如合规考核、合规培训等。

3、合规管理体系的保障机制和评价机制建设

国企合规管理在保障机制建设方面，核心的内容主要包括合规考核评价、合规培训、合规文化建设以及合规管理监督问责。企业应当加强合规考核评价，把合规经营管理情况纳入对各部门和员工的年度综合考核中。对于集团型企业，可以将下属企业合规管理体系建设及运行情况，作为下属企业业绩考核的参考。企业应加强对员工的合规培训，使其了解并遵守企业合规宗旨和要求。并根据重点岗位及重点领域，设计相应的合规培训课程体系。企业还应积极培育合规文化，树立合法合规、诚实守信的价值观，为合规经营奠定坚实的思想基础。

此外，根据《中央企业合规管理办法》的要求，企业需要强化合规管理监督。对于集团型企业可以搭建两级监督机制，明确各方的监督职责。一方面，集团企业可以定期检查和监督下属企业内控及合规工作情况，并提出指导意见，持续地从顶层优化内控及合规体系。另一方面，企业内部各治理主体与纪检监察、巡察、法律、财务、审计、内控、风控等部门建立联合监督工作体系，对企业各部门业务合规运行工作开展内控及合规评价与不定期监督检查，督促合规管理体系的有效运行。[9]

在合规管理有效性评价工作方面，从合规充分性、合规管理效率、不合规整改效果、风险防控效益、合规宣传与文化建设等多个角度考察现行合规管理体系的有效性，杜绝形式主义的合规管理。内外部团队可对合规整改的效果进行评估。具体的评估指标的设计依据企业实际情况和项目量身定制，可以将评价指标体系划分为纵向和横向两个维度，纵向上主要包括“组织架构、制度体系、运行机制、合规保障、其他”等要素，横向上主要包括“设计、执行、效果”等要素。进行有效性评价的具体流程是作出评估决定；成立评估项目工作组；文档的收集与审查；现场检查与评价；评估信息的分析；完成评估报告；提出改进方案。

不同类型的企业具有不同的合规需求。对于国企、央企而言，国有资产监督管理委员会（简称“国资委”）的考核至关重要，因此需要深入把握国资委对合规管理体系的规定和具体要求，结合企业实际情况搭建一套合规体系。企业所在行业的不同影响其合规管理建设的重点。对于传统的制造业，需要重点关注知识产权合规和环境合规；对于服务业，需要重点关注劳动用工合规；对于互联网新业态业务，则需要重点关注反垄断合规，数据安全合规以及互联网用工合规。

因此在为国企提供合规服务时，律师需综合考虑企业的背景，对企业的经营业务范围、特点、开展方式、监管法律及部门；企业所属的经营行业分类、特殊性、行业特别法；社会和文化环境；经济形势；企业内部方针、决策程序以及企业日常运营中可能涉及的资源等企业背景进行了解以确定该企业在日常的经营及运营的过程中可能面临或发生的内部及外部问题，进而针对性地构建合规管理体系。

在为国企客户进行法律合规风险排查时，有必要协同企业“三道防线”开展风险排查。各业务部门作为“第一道防线”，按实施方案分解任务、细化措施、明确进度，切实履行职责，全方位开展法律合规风险和已发现问题的排查。合规管理部门作为“第二道防线”，对各部门上报的材料进行整理汇总，逐项核查报送内容真实性与准确性，明确风险控制措施。审计、纪检、安监部门作为“第三道防线”，对排查情况进行全面核查，确保排查彻底。合规风险防控是一项系统性工作，贯穿于经营活动的全过程，需要企业各部门共同参与，相互协作。律师在向国企提供合规服务时，要调动企业各部门之间的积极性，识别不同部门存在的风险以及对合规管理建设的建议。

律师应当以风险为导向、以内控为手段、以合规为目标，自上而下进行系统性规划，协助企业建立完整的合规风险管控体系，构筑由业务部门、合规管理部门、监督部门组成的合规管理“三道防线”，从而提升决策效率，明确职责界限，提升管理效能，降低合规风险管控的成本。具体而言，其一，加强统一部署，打破业务部门与其他部门的壁垒，增强业务各环节的融入感。其二，推动法律合规、内控风险嵌入业务流程。如在采购实施、合同签署与执行、结算报销等环节实现全过程合规风险管控。其三，实施分层管控与全覆盖一体化的管理模式。通过全面分析业务类型和业务流程，使责任分层落实、业务全面覆盖、体系没有漏洞。[10]

律师在为国企提供合规服务的过程中，可以协助企业搭建“以案促管”长效机制。通过收集本企业历史发生的典型案例信息，结合案件基础材料及检索发现的法律规则、类似裁判案例，就案件所体现的法律风险和相关裁判倾向进行梳理和分析，分析本企业可能面临的诉讼、行政处罚风险及其产生原因，据此形成专项分析报告，强化对类似诉讼案件风险的管控，防范企业经营管理中的薄弱环节和存在的风险。针对典型案例举一反三，补齐制度短板，推动依规治企，将管控措施与内控要求、制度管理流程优化相结合，实现“以案促管”目标。此外，如有涉及代理诉讼案件，也要注意确保每一个案件过程信息完整、及时跟踪案件情况。

律师要关注国企特色服务要求，针对企业经营管理发展中的重点情况提前进行合规风险防范研究，从而为客户提供高品质、务实的法律服务。律师要关注新兴行业的合规风险需求，诸如数据保护、反垄断、内部反舞弊、境外投资等；主动参与企业的内部合规管理，重大事项法律意见审查工作，列席不同业务部门经营决策讨论会，提出专业律师意见；深入关注企业正开展的及即将推进新兴业务领域的相关研究，并同步反馈给客户；关注业内部规章制度及审批流程，在服务时限和流程上要和企业内部保持一致。