企业合规风险管控机制建设运行之探究

张 童

（安徽大学 法学院，安徽 合肥 230000）

一、引言

合规建设越来越受到诸多企业尤其是国企的重视，多数国企已经充分认识到合规管理对于其可持续发展的重要性。党的十八届四中全会后，国务院国资委已将加强合规管理体系建设作为未来一段时期内国企法治工作之重点，合规管理也成为国资国企改革从“管资产”向以“管资本”为主转变的重要环节。多数国企已将国企合规管理体系的搭建作为其应对日益复杂多变的内外部发展环境、稳健行远的必经途径，并且已依《中央企业合规管理指引（试行）》初步建立了合规管理体系，开展了全面风险管理、内控体系建设、合规培训等相关工作，但在具体任务推进落实中仍缺乏有机联动合规管理实施机制及配套管理措施。经多年理论探索与实践攻坚，中央深改委立足于改革共性经验印发了《国企改革三年行动方案（2020—2022）》，明确将“管资本”为主、国资监管体制下、中国特色现代企业制度建设作为国企改革“1+N”政策体系和顶层设计实现的具体路径。此外，国务院国资委为解决国企合规管理运行机制不规范等问题，印发《中央企业董事会工作规则（试行）》，以强化董事会在国企合规管理体系中的规范化运行程度。由此可见，在国企改革步入深水区的新形势下，企业避免合规管理制度“符号化”趋势，力争建立完善且执行有效、良性运行的合规管理体系，促进企业市场活力持续焕发及国有资产保值增值。

二、建立有效合规管理制度

（一）以可持续为原则促进制度优化

合规管理制度作为整合必要组织结构、政策导向、流程和程序的框架，其目标是促进预期合规结果实现，并针对不合规行为采取预防、发现和应对处置措施。合规管理制度框架搭建是一个建设合规管理体系所需基础设施与执行政策、流程相结合，并不断改进体系缺陷的过程。合规管理“基础设施”构建过程中应就不同功能效用做出差异化环节设计：针对真正合法合规行为的支持、对不合规行为的预防与识别、对受不合规行为影响的各利益相关方所受损失之应对补救等均应纳入考虑范畴。合规管理制度应坚持可持续原则，以促进合规管理制度优化和体系完善。

（二）结合立法监管动态实时跟进外规内化

企业应开展外法、内规全面梳理，即按照全面覆盖原则，在各业务部门开展法律法规、规章、行业监管准则的整理，将其融入企业自身章程、制度中，确保“内规”无缝承接“外法外规”标准及要求。同时，企业应从与其重点业务领域最紧密内部部门开始，根据部门职能及工作任务差异确定合规义务，以定位合规义务履行主体。此后再一并将剩余其他所有业务领域及所涉部门合规义务以类似方法进行定位，做到“抓重点”与“全覆盖”结合，以有序推进合规义务识别工作。此外，企业宜将公序良俗、诚实信用等社会公德和商业道德义务等自愿遵守的承诺纳入合规义务中，并与上述外规内制的合规要求一并以成文化信息文件形式予以呈现，即列入合规准则名录中进行编制，为后续合规风险源的识别、合规风险点的具体定义打下坚实基础。

企业还应“与时俱进”，实时跟进、动态维护合规义务。促使企业内部运营管理相关的各项制度始终符合我国法律法规及行业监管准则内容与要求，并保持持续合规。与此同时，建立好各合规发布来源方信息维护渠道，企业应制定《合规管理义务动态维护流程表》：以上一轮已识别完成的合规义务清单为基础，以合规义务的修订内容、对企业生产经营及产品服务的影响、是否保留在合规义务范围内、合规管理工作是否需要采取相应变更措施这四个关键项完成表格内容填写。

三、构建合规风险识别预警及处置机制

（一）匹配合规义务识别合规风险源和具体风险

合规义务识别构成合规管理体系建立之基础，只有合规义务被准确识别、得到动态维护，才得以在找出合规风险源后以相应的“规”与“源”匹配。合规风险识别过程，以识别对合规目标实现存在重大影响的合规风险源为起点。权力往往成为招致合规风险的主要源头，故整理出易产生不合规行为的行权内容清单，能够为合规风险点具体定义、及时应对做好铺垫。有学者根据1999—2014 年一百多个企业违规腐败案例进行检索统计，整理归纳出八项导致企业内部高频不合规发生的行为，并将以此八项权力为参照分析企业合规风险源的框架称为企业八项权力模型，同时根据八项权力进一步识别合规风险源分布情况。但该风险源识别模型仅是大体框架，本着精准指引原则仍应基于企业各部门职责、业务流程进行合规风险源的细化。具体来说，首先列明各部门工作职责及业务流程，并辅以流程图形式进行清晰呈现；其次，针对重点业务流程进行特别标注、高亮展示，并明确重点业务流程中对应工作要求，编制行权内容清单。该清单即为“八项权力”在企业各部门业务流程中的具体对应。

根据合规风险源内容清单（行权内容清单）匹配合规风险源对应的“规”，就是将合规风险源清单内容与“外法外规”（与企业主要业务领域相关的我国法律法规及规章、行业监管规定、行业准则）等合规义务一对一或一对多进行匹配，确保每一个合规风险源都被纳入合规义务“管控”中。如前所述，编制企业合规准则名录是其准确识别合规义务的结果体现，合规准则名录表中包含以下几项内容：一是与企业生产经营管理相关、有强制约束力的法律法规、规章及相关监管规定；二是企业所在行业制定的行业准则、条例；三是企业合规管理工作应遵循的公序良俗、道德规范、商业公德及社会道德；四是自愿遵守的合规承诺，如企业对客户、商业伙伴等就产品质量与服务等主动做出的承诺。风险源与动态更新的合规准则名录中各项内容匹配对应，可以使得企业及员工，知晓其所涉及的业务流程中某项权力之正确行使将受到哪些合规义务约束与规范，起到明确指导作用。

合规风险源已根据业务流程、工作要求得以确定，合规义务也已准确识别并保持动态维护，重点业务流程对应权力会被所涉相关人员频繁行使，合规风险源便有被触发之可能，作为“源头”源源不断地向整个企业合规管理体系“输送”不合规行为，此时应对不合规行为进行分析评价并及时发布预警。

（二）分析合规风险并及时发布预警

在具体操作层面，首先应开展企业合规风险分析评估标准本地化辨识。即以企业内部部门合规风险源及具体合规风险点为标准，分析不合规行为后果及影响程度。合规风险后果分析可通过假设特定事件与情形已出现，以确定风险影响的性质和类型。某合规风险可能产生一系列不同程度、波及不同利益相关者、影响若干具体合规管理目标实现的影响。具体来说，后果分析应将风险后果和最初合规管理目标相结合，考虑现有风险后果控制措施，并关注可能影响后果的相关因素，同时对于即时后果和延时后果同等重视，且不得忽视次要后果。业务目标及合规目标需结合企业自身业务领域、价值观、合规管理制度宗旨等加以确定。

风险等级评价方法可在定性、半定量及定量方法中进行选择：定性分析以“高、中、低”表述来界定合规风险等级，即通过将合规风险后果和发生可能性有机结合之结果与已制定的合规准则作比较的方式，确定最终风险等级。高风险指无论合规风险对应行为带来何种程度利益，该风险均无法容忍，必须进行风险应对；中风险需要考虑风险应对措施实施成本与收益的关系；低风险则因风险轻微而无需采取应对措施或采取与之匹配的应对措施。定量分析则能够得出合规风险后果及发生可能性的实际数值，在考虑到现实具体情况的前提下产生合规风险等级数值。企业应立足自身情况选择合适方法进行合规风险分析评价，并根据风险等级酌情采取预警措施。同时根据风险分析过程中对风险的认知进行下一步行动决策，即根据风险等级确定该风险是否需要采取、如何采取应对措施以及应对措施优先次序。

（三）规划合规风险事件应对处置流程

针对具体风险制定与选择合规风险处置应对的措施。选择最优应对方案时，应有机平衡合规目标潜在利益与实现成本。采取风险应对措施不仅出于经济原因，还应考虑到组织承担的合规要求、自愿承诺和所涉利益相关方的观点。即利益相关方价值观、“感知与参与能力”及与其沟通协商的最恰当方式均应纳入应对方案选择考虑中，虽然这对于风险应对措施实际效果并无太大影响，但相比较之下更能为利益相关方所接受且能够兼顾多方利益。

风险应对措施可从以下几个类型中进行选择：不启动或停止实施有合规风险的企业行为以避免风险；消除风险源、改变合规风险发生后将产生的不良后果、通过购买保险等方式分担风险。需注意的是，即使经过精心制定与选择，风险应对措施也可能无法达到预期效果，甚至会发生意料之外的结果、引入需要应对处置的新合规风险。宜就合规风险应对方案进行监督以保证不同类型应对方案持续有效。其次做好合规风险应对方案的实施和执行，在此过程中应落实方案执行期限、负责实施计划的人员选择、方案预采取的行动、所需资源、应对措施结果的报告等环节。此外，对合规风险应对方案执行完成后的剩余风险做好记录、进行持续监测、酌情决定是否要采取下一步处理措施，企业合规管理职能部门及所涉利益相关方亦宜对剩余风险特征及等级进行充分了解。风险应对措施执行完毕后建立合规事件案例数据库，促进合规信息沟通与共享，避免类似风险反复发生。将视野转向国企的合规风险应对举措：相较于上述具化考量，实践情况下国企合规风险应对流程更具有统筹概括性。

（四）健全风险防控协同责任机制

为预防合规风险再发生，企业应建立合规风险长效防控协同责任机制。各业务部门对于本部门发生的风险事件要及时报告并整改，合规风险管理部门要定期对业务部门合规风险防控工作的推进进行监督检查，督促风险管控缺陷整改。公司管理层统筹规划、维护合规风险识别分析预警、应对处置机制正常运转。各层级间各司其职且密切配合，健全合规风险防控责任制，高度重视风险管理意识、能力及责任，完善权责清单，对合规风险防控责任制落实开展定期检查监督，最终实现全面合规风险管理工作长期有效运行。

四、设置合规审查机制

（一）开展重点领域业务部门自我审查

企业重点业务部门应围绕本部门重点业务环节首先进行自我审查，审查内容包括：其一，本部门业务领域工作流程的完备性、规范性，审查工作事项权限及履行程序是否符合其应遵守的合规义务，即是否符合法律法规、监管要求、行业准则、公司章程制度、社会公德及商业道德、其自行选择做出的合规承诺等。同时注意以非冲突性、可执行性原则审查工作流程事项内容与企业已有工作流程是否冲突。其二，对本部门经手的重要文件、重要决策、重要合同等重点业务环节进行重点性自我审查，并在自我审查完成移交合规管理部门审查时一并提交其书面自我审查报告。

（二）规划合规管理部门前置性合规审查流程

企业应将合规前置性审查置于其经营决策、业务管理的必经环节和重要依据地位，同时审查重点业务领域部门重点环节业务推进工作与其有限职责权限、特定执行程序是否相符，识别的合规义务是否准确、有无及时维护更新，其业务工作流程是否符合其合规义务要求，以及自我审查是否具有规范性。合规管理审查工作团队完成涉及制度制定、重大决策、合同签订的业务工作流程前置性审查工作后，出具合规前置性审查意见书并促进相关部门及时查漏补缺。

五、开展合规管理评估工作

（一）制定合规管理体系有效性定期检查计划

合规管理评估工作的有序开展是衡量合规管理运行机制有效性的重要考量因素，企业应以制定有效性定期检查计划、强化过程监管、促进合规管理体系持续优化为手段，达成促进合规管理体系良性运行的最终目标。

企业合规管理人员及管理层应制定周期性合规管理体系有效性审查计划，以确保该体系持续促进合规管理目标宗旨的实现。定期检查计划应包括如下内容：先前合规有效性定期检查计划执行情况、与合规管理体系相关的外部环境、内部问题变化情况、合规管理体系所涉相关方需求和期望变化情况、合规管理工作执行情况信息（包括不合规行为及其应对措施等）、合规管理体系持续提升之可能性程度。其中，持续改进的可能性大小应从企业内部合规管理指导文件规范的充分性、合规职能的独立性、合规目标的实现程度、为实现合规目标所配备的资源的充足性、合规风险识别分析评价的准确性、现有合规管理监督检查手段的有效性等方面予以考虑。计划的执行应以定期检查建议的提出作为结果，如是否需要改变内部合规政策、目标、专项制度及合规管理组织架构及其人员构成，是否需要对检查中发现的不合规行为进行纠正，应对哪些领域潜在不合规情况采取监督手段，现行合规管理制度与长期持续有效合规管理体系间存在的差距等。

（二）促进合规管理体系持续提升优化

企业合规管理体系的有效性依赖于其持续改进与提升，并定期评估体系的科学性、充分性、可行性。合规管理体系持续优化信息来源于客户调查、过程监督及定期检查结果，根据获取的信息进行持续性定期审查，以确保该体系各项制度机制与企业最新合规目标相匹配，同时依审查评估结果决定是否有必要、有机会改变现行合规管理制度。此外，在对合规管理制度进行改进时，应将该修改置于企业外部环境、经济因素中予以考虑，并斟酌其对企业合规管理体系、业务、合规义务、合规风险评估的影响，以确定持续改进的时间与行动范围。

六、结语

新形势下企业合规管理体系的科学搭建及良性有效运行关系到企业市场化经营机制的灵活运转、国内国际竞争力的持续提高。因此企业既要进一步推动自身高质量发展，又要“拧紧合规风险防控链条”，建立风险长效化防控协同责任机制，健全合规管理体系并持续保持其有效性运行，以促进自身在行稳致远的基础上获得新发展、新跨越。

[注释]

①ISO37301:2021《合规管理体系要求及使用指南》A.4.5 提供了八种沟通渠道:通过相关监管机构邮寄名单、专业团体成员得知,通过订阅相关信息服务、参加行业论坛和研讨会、关注监管机构的网站、与监管机构会面交流、听从法律顾问的安排、关注合规义务的来源（如司法裁判）。

②“八项权力”即审批权、市场客服与销售权、人事权、采购权、放行权（利用某个尺度标准进行判断、对比、衡量的权力）、计量权、财务资金权、拥有关键信息权。

③参见ISO 31000:2018《风险管理指南》6.5.2。

④参见ISO37301:2021《合规管理体系要求及使用指南》9.3.2。