合规体系建设:为深化国企改革与高质量发展提供有力支撑保障

我国企业内部控制基本规范明确了内部控制的五目标，其中就有合规目标。但在很长一段时间内，企业内控建设中的合规意识并不非常强烈。

2013~2015年大量企业走出去后，发现合规意识的薄弱很可能企业带来严重的后果。有鉴于此，2016年国资委在中国移动等央企层面开始试点合规管理工作，并在2018年发布了《中央企业合规管理指引》（国资发法规〔2018〕106号），企业合规管理驶入了快车道。

2022年，国资委印发《中央企业合规管理办法》（国资委令第42号），把合规管理由指引/指南性质的指导性意见，上升为部门规章，进一步提高了合规管理工作的定位和要求。

在实务中，合规管理工作看似简单，只要把企业适用的外规进行内化就可以了，但是，真的要把合规管理工作做深、做细、做透却也面临不小的挑战。

合规管理具有几个特点：

1、法律法规数量庞大：需要有效识别特定企业适用的法律法规及其条款。

2、法律法规经常变动：需要持续跟踪法律法规，动态评估合规风险及风险控制措施。

3、法律法规原则导向：需要结合企业的实际情况，将原则性的法规提炼为规则性的合规风险。

现阶段，很多企业的合规管理大多采用抓大放小的方式，就是针对某个合规管理主题，大量分析外部监管法律法规，提炼总结出合规风险并制定合规管理的具体措施。

这种方式是性价比比较高的合规管理方式，但也存在一些弊端，比如，合规风险点与法律法规之间的联系不够显性化；抓大放小导致“漏网之鱼”；跟踪法律法规的变动并将其内化的成本比较高等。

另外，也有些企业采用EXCEL台账的方式来梳理合规风险，但面对大量的数据及其交叉逻辑关系，往往也陷入形式管理的困境。

为了提高合规管理项目的执行效率以及为企业合规管理提供有效的工具，我们基于过往的项目经验设计了企业合规管理系统。

系统总体逻辑如下图所示，分为合规体系设计模块和合规体系运营模块两部分。

（注：感谢宋子瑛April同学的协助，优化了本图。）

一、合规管理设计模块

合规管理设计模块面向合规管理体系建设者，主要分为外部法规库、合规风险库和合规管理体系库三部分内容。（一）外部法规库外部法律法规库包括法律法规的基本信息（如发文单位、发文文号、有效性等）和法规条文。外部法律法规的来源包括：国际协定、国家法律法规/部门规章/规范性文件等、国家标准/行业标准、上级单位管理规定等。法律法规纳入法规库后，首先要做的就是通过技术手段将法律法规条文拆解为条款，并给每一条款的法规一个编号，作为后续识别合规风险的索引。

（二）合规风险库

合规风险库由合规风险清单、合规风险评估应对和合规风险预警规则三部分构成。

合规风险清单

基于对新纳入法律法规库的每个法律条款进行合规风险识别，提炼风险编号、风险名称和风险描述等，形成合规风险清单，推动合规风险评估工作。

合规风险评估应对

风险评估可以采用不同模型，比如风险矩阵分析法（简称LS法）、风险系数评价法（SOD法）等。

风险评估完成后，需要确定风险应对策略，并进行策略的细化，以指导后续的风险控制措施的设计。

对于合规风险管理要求较高的企业，我们还考虑了风险评估权重、风险组合评估、剩余风险评估等运用场景，为企业合规风险评估提供了更多的视角。

合规风险预警规则

对于重大或重要的合规风险，应当建立预警规则，并嵌入到前端业务系统中，以实现实时监控和预警的功能，使企业能够在出现风险迹象前就及时介入管理。

（三）合规管理体系库

合规管理体系库首先要构建两个基础库，即企业流程库和岗位库。

流程库

我们通过搭建L0-L5级流程图的方式，自动生成流程库，并且后续所有的体系设计工作都是基于流程图上的流程环节开展的。如下图下半部为设计思路；上半部为系统中呈现的实例效果。

岗位库

岗位库除了按照企业的行政组织架构设置各部门和岗位外，还需要根据需求设置角色/虚拟岗位，以简化体系设计时的逻辑，也便于未来在业务系统中落地合规管理规则。

合规风险控制措施

完成流程库和岗位库后，还需要先将合规风险分解关联至业务流程环节中，即每个合规风险应当在哪个业务流程被管理，合规风险对应的预警规则也自动关联至该业务流程。

完成风险、流程和指标的关联后，就可以开展合规风险控制措施的设计工作了。

在这个过程中，需要注意：

一是所有的风险控制措施必须满足5W1H的要求（即规则化），具有可操作性；

二是所有控制措施必须分解至具体的岗位；

三是基于三道防线原则，合理评估和确定业务/职能、合规和监督部门的合规审查职责。

合规审查手册/合规管理职责清单

合规审查手册/合规管理职责清单是合规风险控制措施的一体两面，从流程角度看，形成流程合规审查手册，确定了合规风险的控制流程、流程环节、规则化的控制措施和责任岗位；从岗位角度看，按一级流程、二级流程等汇总各流程中某个岗位合规审查职责，为编制岗位职责手册提供基础资料。

内部制度流程库

内部制度流程库将企业内部的制度和管理文件纳入，按照法律法规库的类似逻辑拆分至不同制度条文，并给予编码，以实现合规管理措施与企业管理制度的融合。

合规管理知识库

可以把企业内部的各项合规管理培训材料、违规事件案例等材料与合规风险点关联，并在流程图上进行标识，方便为岗位人员提供更形象化、生动化的合规管理材料。

（四）审核审批机制

在合规体系设计模块中，我们保留了审核审批机制，可以按照企业内部的职责权限对体系设计的成果进行各阶段的审核审批，保障体系设计成果的科学性和合理性。

二、合规管理运用模块

合规管理运用模块主要面向各部门关键岗位人员和合规管理人员，目前有合规手册使用、合规预警和合规风险事件管理三大功能。

（一）合规手册使用

合规手册的浏览

关键岗位人员进入运用模块后将可以查看本岗位相关的合规管理信息，包括合规管理风险、合规管理指标及预警规则、业务流程、合规管理职责、对应外部法规条文、内部制度条文、相关培训资料等。

如果是管理岗位，除了查看本岗位的合规管理职责外，还可以查看所有下属岗位的合规管理职责；当然，根据企业内部授权管理后，也可以查看所有授权查看的岗位合规管理职责。

合规管理信息化

合规管理信息化包括将合规规则嵌入前端业务系统以及将合规预警规则的埋点设计到业务系统中去。

（二）合规预警

如果在体系设计环节针对重大/重要的合规风险设计了预警规则，则可以使用系统中的合规预警功能。

合规预警有两种方式：

一是通过系统接口，取得业务系统数据，可以较为实时地进行预警；

二是定期导入业务系统台账，实现风险预警，但是这种方式的预警较为滞后。

（三）合规风险事件管理

合规风险整改有两个发起来源，一是合规风险预警；二是基于上报的合规风险事件。合规风险整改事项可以关联抄送至所有关系人，并通过上下多个来回，完成整改工作。

合规风险整改流程中形成的信息，可以自动生产按事项、按责任人的风险事件管理台账，作为后续风险管理追责的依据。

对于集团企业而言，重大的合规风险，也可以通过系统进行实时上报或自动上报。

合规风险体系的运用场景不止前述三项，后续，我们将进一步推出合规审计等功能模块来丰富运用场景。