《中央企业合规管理指引（试行）》解读

▽

伴随着中国企业走出去的浪潮，中央企业及其它国有企业海外经营风险频发，其中合规风险较为突出。中兴合规事件几乎给企业带来灭顶之灾，也给其它企业敲响了合规的警钟。

从2016年开始，国务院国有资产监督管理委员会（以下简称国资委）选择了中石油、中国移动、招商局、东方电气、中国铁工五家央企作为试点单位开展合规管理试点，其它少数央企也同步实施，积累了一定的经验。2018年11月2日，在试点基础上，国资委正式发布《中央企业合规管理指引（试行）》（以下简称《指引》），自发布之日起生效，为由国资委履行出资人职责的国家出资企业（以下简称央企）全面加强合规管理、提高依法合规经营管理水平提出了要求和指导。同时，《指引》规定地方国资监管机构可以参照其内容积极推进地方国企的合规管理工作，意味着其内容将很可能推广适用于地方国企。为此，《指引》将对国有企业的管理经营方式产生重大影响，也值得与国有企业存在投资或业务合作的商业伙伴予以关注。

历史由来

在《指引》出台之前，一些行业监管机构或主管部门针对特定行业或领域出台过一系列规范，例如《商业银行合规风险管理指引》（2006年10月20日生效）、《保险公司合规管理办法》（2017年7月1日生效并取代2007年《保险公司合规管理指引》）、《证券公司和证券投资基金管理公司合规管理办法》（2017年10月1日生效并取代2008年《证券公司合规管理试行规定》）等。此类种种规范侧重于上述高度监管行业的从业机构的内部合规管理职责划分、在相关业务环节中的合规管理要求以及法律责任。

在跨行业维度上，2017年12月，国家质量监督检验检疫总局和国家标准化管理委员会联合发布了《合规管理体系指南》(GB/T35770-2017)。该标准于2018年7月1日起正式实施，为国家推荐性标准，由企业自愿采用，其旨在为所有类型的组织就如何建立有效的合规管理体系、识别和评价合规风险、建立并改进合规管理流程、应对和管控合规风险提供指导和建议做法。该标准侧重于从管理学角度、流程和技术角度为企业提供指导。

十八大以来，为认真贯彻落实党中央“全面依法治国”的战略部署，中央企业主管部门陆续出台了一系列制度和措施，在组织建设、制度流程、海外运营、经营投资等细分领域对央企合规工作提出了更高要求。因此，中央企业依照《指引》完善合规体系建设，是国家制度层面要求的“规定动作”，也是落实党中央“全面依法治国”战略的重要举措。

年度	部门	制度名称
2015	国资委	关于全面推进法治央企建设的意见
2016	国资委	关于在部分中央企业开展合规管理体系建设试点工作的通知
2016	国务院	关于建立国有企业违规经营投资责任追究制度的意见
2017	深改组	关于规范企业海外经营行为的若干意见
2018	国资委	中央企业违规经营投资责任追究实施办法（试行）
2018	发改委	企业海外经营合规管理指引（征求意见稿）
2018	国资委	中央企业合规管理指引（征求意见稿）

主要内容与亮点

《指引》共六章，三十一条，确立了全面覆盖、强化责任、协同联动和客观独立四项合规基本原则，对董/监事会、经理层、法律事务机构的权责进行了明确，并对合规管理主要风险点、管理运行机制和保障措施进行了规范，为央企合规体系搭建、管理和运行提供了较为完善的制度框架。

总则包括四条，对指引颁布的意义、重要定义、合规管理原则做出了规定。其中指引第二条对合规、合规风险、合规管理的涵义进行了说明，强调了“合规”的范围，企业应当合什么规——外法、内规、国际规则，此条与ISO19600中的“合规要求”和“合规承诺”类似，外法、国际规则可视为合规要求，而内规则可视为“合规承诺”。同时，第二条还强调了合规管理是一个独立的全过程管理，包括“制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等”。

《指引》第三条第三款规定，央企要“推动合规管理与法律风险防范、监察、审计、内控、风险管理等工作相统筹、相衔接，确保合规管理体系有效运行”。根据我们的实操经验，央企在建立合规组织框架时，遇到的首要问题往往不是填补管理空白，而是面对分散的既有合规职能，如何理顺内部组织框架，划清合规部门与相关职能部门的职能边界和协作关系。

在合规体系建设过程中，央企经常遇到的问题就是如何搭建合规组织框架。央企的内部组织架构中，审计、风险、内控、法律等部门均可能承担部分合规职能，纪检、党建巡视等部门在执纪问责和反腐败中更是起到不可或缺的作用。同时，许多央企还可能存在总部部门独立，事业部或子公司合署办公，管理条线上下不垂直的现实情况，需要在合规组织体系搭建中予以通盘考虑。

我们理解，《指引》也可能有意识地回避了这一问题。《指引》征求意见稿第二十条对风险管理、纪检监察、审计等部门的职责分工进行了详细规定；而正式发布的《指引》则仅规定“监察、审计、法律、内控、风险管理、安全生产、质量环保等相关部门，在职权范围内履行合规管理职责”，具体分工交由企业根据自身情况确定。

在实践中，合规体系建设和运行容易和党建巡视、纪检监察、审计监督等职能交叉覆盖。为了便于读者理清相关部门权责，我们初步整理了以上四种管理体系的工作职责、工作方法和相互关系。

工作体系	工作职责	工作方法	相互关系
合规管理	促使、保障企业及员工遵守适用的法律、法规、规范和标准，避免因不合规的行为引发法律责任、经济或声誉损失。	建立合规组织；制度制定实施；合规风险识别、评价、应对和报告；合规培训、违规调查和处置。	1、合规管理侧重于制度层面，核心是“符合规定”。 2、合规管理贯穿在日常工作中，不同于事后、专项监督检查。 3、合规管理的执纪问责需要依托纪检监察开展。 4、合规管理的运行实效需要审计监督进行评价。
党建巡视	党内监督的战略性制度安排；对政治、思想、组织、作风、纪律和反腐败建设开展监督检查。	常规巡视、专项巡视、机机动式、回头看。
纪检监察	党内监督的专责机构：维护党章、党纪、党风，执纪问责，推进全面治党和组织协调反腐败工作。	纪律审查、调查处置、专项治理、专项检查、执纪问责、纪律教育。
审计监督	对战略执行、运营质量及效率进行综合评价：根据需要对战略执行过程中的重要数据进行真实性鉴证。	经济责任审计、项目审计、运营审计、审计调查。

《指引》第四条则明确了企业主要负责人进合规管理第一责任人，重申了合规管理在法制建设中的重要地位，要求企业建立全员合规责任制，明确各层级、各岗位的合规责任并有效落实。在“协同联动”这一原则下，指引强调“风险导向”的各类职能的协同联动，尤其是法律、合规、内控、风险管理职能，着力解决两类问题：“风险导向”职能的资源分散，无法力出一孔；各类风险信息沟通不畅，无法协同实施风险应对。鉴于监察、审计的职能定位，德勤建议宜保持其相对独立性，并与上述具有“风险导向性”的职能合理衔接。德勤认为“风险导向”职能的两条生命线分别是专业、独立，合规职能亦不例外，即应当符合“客观独立”原则，在权限赋予、汇报路线、人员任命及考核方面按照“独立性”原则进行设置。

《指引》第二章构建了由七个层级构成的合规管理组织架构，即董事会、监事会、经理层、合规委员会、合规管理负责人（即合规总监）、合规管理牵头部门（即合规部）以及业务部门。

在合规组织方面，《指引》体现了三大特点：

第一大特点是，要求中央企业设立合规委员会，与企业法治建设领导小组或风险控制委员会等合署，承担合规管理的组织领导和统筹协调工作，定期召开会议，研究决定合规管理重大事项或提出意见建议，指导、监督和评价合规管理工作。

第二大特点是，《指引》强调了业务部门作为合规的责任主体及合规风险防范第一道防线的地位和作用。《指引》第十一条规定，业务部门负责本领域的日常合规管理工作，按照合规要求完善业务管理制度和流程，主动开展合规风险识别和隐患排查，发布合规预警，组织合规审查，及时向合规管理牵头部门通报风险事项，妥善应对合规风险事件，做好本领域合规培训和商业伙伴合规调查等工作，组织或配合进行违规问题调查并及时整改。

第三大特点是，《指引》还规定监察、审计、法律、内控、风险管理、安全生产、质量环保等相关部门，在各自职权范围内履行合规管理职责。我国在不同时期颁布了《中央企业内部审计管理暂行办法》（国资委2004）、《中央企业全面风险管理指引》（国资委2006年）、《企业内部控制指引》（财政部、审计署、保监会、银监会、证监会2010年）、《企业法律风险管理指南》（国家标准化管理委员会2012年）、《监察法》（2018）等。中央企业需要根据这些法律、法规的规定，按照合规管理协同性原则，协调好企业内部各部门与合规部门在合规管理方面的职责及其履行。

《指引》第三章则主要对合规管理的重点领域进行了规定，要求中央企业在全面推进的基础上，“突出领域、重点环节和重点人员”。指引所述重点领域包括市场交易、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴等领域。重点环节包括制度制定环节、决策环节、运营环节等。重点人员包括管理人员、高风险岗位人员、境外人员等。

《指引》第十六条特别强调了海外投资经营行为的合规管理，要求企业研究和掌握投资所在国的合规要求，明确负面清单行为，完善海外投资经营管控体系，定期排查、梳理海外投资经营业务的风险，有效进行监控、检查。

《指引》第四章明确了六项合规管理运行建设的重要工作：建立健全合规管理制度；建立合规风险识别预警机制；加强合规风险应对；建立健全合规审查机制；强化违规问责，畅通举报渠道；开展定期合规管理评估。其中，指引第二十条指出企业应“建立健全合规审查机制，将合规审查作为规章制度制定、重大事项决策、重要合同签订、重大项目运营等经营管理行为的必经程序，及时对不合规的内容提出修改建议，未经合规审查不得实施”，这是一项重要的机制创新，能够使企业及时将外部有关合规要求内化为内部规章制度，避免管理要求自始存在合规瑕疵的问题。

《指引》第五章要求企业加强合规考核评价，强化合规管理信息化建设，建立专业化、高素质的合规管理队伍，重视合规培训，培育合规文化，建立合规报告制度，为合规管理体系的有效运行提供机能保障与支持。其中，指引第二十四条要求企业使用信息化的手段优化管理流程，记录和保存相关信息，运用大数据等信息工具，开展实时在线监控和风险分析，实现信息集成与共享。德勤认为，除上述信息工具外，制度化、常态化的培训机制也可利用信息化的手段达成，尤其是海外业务丰富、分支机构复杂、管理团队多样的中央企业，利用在线培训系统/平台能够达成培训内容统一、培训参与度可跟踪、培训效果可考核、培训成本较低的目标。

符合《指引》要求的

中央企业合规组织基本框架

结语

《指引》不仅为中央企业开展合规管理体系建设明确了工作要求与标准，更为广大中国企业，尤其是那些志在开拓全球业务版图的企业提供了如何开展合规管理工作的政策指导。《指引》中的重点领域，也往往是企业在国内外业务经营和发展中承受最大监管压力、潜在风险最高，甚至出现过较大损失案例的业务环节，企业应当在开展合规体系建设过程中予以充分的重视。

同时，作为一部规范性文件，《指引》只能就大的方面作出统一的规定，具体的合规制度建设要参考已有的文件标准，如《合规管理体系指南》中的合规风险评估；结合行业要求，如化工企业的环境法律标准；还需要结合已有的案例经验，如同行业合规体系，合规危机教训。

：北京市盈科（南京）律师事务所合伙人，英国曼彻斯特大学知识产权法法律硕士，擅长跨境投融资、知识产权、公司法、合同法等领域法律事务，多次为外资、中资企业涉公司、合同等各类纠纷提供有效的争端解决法律服务，多次参与一带一路非诉讼法律服务项目，具备丰富的诉讼和谈判经验，为企业做好法律风险把控和指引。