國有企業合規管理體系建設工作正全面推開，監管部門、企業、中介機構對合規管理體系建設的思想認識、具體方法，尚存在較大差異。和合信諾作為全球領先的專業監管科技、數智化內控合規管理解決方案服務商，指出合規管理有別于內控、法務管理、風險控制，是具有獨立邊界的風險管理機制，其兼顧內規風險控制的基礎上，側重識別并控制外規風險。突出外規風險識別與防范，是合規管理的基本方法。實操中，要科學設定崗位合規職責，正確認識崗位合規職責的含義與具體內容；要緊扣流程，建立流程合規審查管控機制，將合規要求嵌入流程；要充分識別內外規合規風險，綜合采用“崗位職責+X”合規義務識別法，有效識別主要合規義務，并科學設定合規風險等級。

關鍵詞：和合信諾、數智化合規管理體系建設服務、智能合規、風險識別

2018年國務院國資委出臺《中央企業合規管理指引》，對中央企業合規管理提出相對明確的要求，2019年-2022年中央企業陸續開展了合規管理體系搭建。2022年國務院國資委出臺《中央企業合規管理辦法》，在前期合規管理工作總結的基礎上，對央企合規管理工作進行制度細化，各省、地市國資委根據上級主管部門的精神，陸續出臺了省屬、市屬企業合規管理辦法。

國有企業合規管理體系建設工作盡管已經在中央和省屬企業全面推開，并在市屬企業層推進，但對數智化合規管理體系建設的方式方法和轉型，不同的承辦主體采用了幾乎完全不同的方法，工作方法、關注重點、邏輯體系均有較大差別，導致國家層面加強合規的戰略目標出現一定的偏移，導致國有企業不能正確選擇適用何種方法開展合規管理體系建設。

本文綜合了現行國有企業合規管理體系的主要做法，進行深入分析，緊扣中央企業合規管理辦法的精神和戰略目標，并結合和合信諾在服務央國企、銀行、保險、證券、基金公司等金融機構的內控合規管理數字化、智能化轉型項目實踐經驗，詳細分析了國有企業合規管理體系建設的建設要點，以期厘清認識，推進合規管理體系建設能夠貼近國企實際，真正發揮促進企業合規經營，員工行為合規，實現企業經營競爭力持續不斷提升。

合規管理的內涵界定

合規管理、內部控制、法務管理、風險控制是一組常見的企業管理方法，目標是對一定的風險進行管理和控制，實現合規、經營、戰略等各種目標的實現，其含義覆蓋范圍既有重合，亦有明確的區別。

合規管理的緣起

首先要認清的概念是風險。風險，是對可能發生不利企業各類目標實現的一種可能性，發生可能性大，風險高；發生的可能性小，風險低。前述四種管理方法，是從四個不同的角度，對風險發生的一種預防和控制。

合規管理，是從符合性層面，要求企業經營和員工行為符合國家法律法規、監管規定、行業和各類組織的規范、公司章程、公司規章制度，甚至是公司對外的承諾，其以預防重大合規風險為目的。我們最早的合規風險，典型的案例如中興事件，美國對出臺到伊朗的美國生產的軍民兩種零件進行出口管制，并發布了禁令，中興公司可能存在未遵守該禁令的情形，導致被美國商務部調查，并被采取限制出口措施，最終歷時8年并付出了巨額罰金。另有中集集團并購馬士基旗下MCI業務，也因為涉嫌并購交易完成會形成壟斷經營，而受到美國、德國等反壟斷機構審查，導致最終交易失敗，付出巨額和解金。再有，中航油公司因擅自擴大經營范圍，導致被資本圍獵，最終申請破產保護。這些案例對國內企業的合規經營產生了巨大影響，引發對境外投資、出口管制、反壟斷等合規問題的高度關注。國務院國資委率先推動央企開始合規管理探索，出臺專門文件，從合規管理的組織架構、職能職責、重點領域、重點環節、重點人員，到合規管理的審查、檢查、調查，以及合規內審、合規管理評審，作出明確規定，對標GB/T 35770-2022/ISO37301：2021標準。可以看出，我國企業在跨國經營中遇到了重大的風險，導致受到重大的名譽和經濟損失，是合規管理工作受到重視、推進的一個重要因素。

合規管理在外規風險識別方面比內控更具有優勢

內部控制，是一套具有成熟經驗、標準規范的控制企業風險的體系，其是以實現企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略為目標。其與合規管理目標相比，內控體系建設亦涉及合規，同時還涉及資產安全、經營管理效率效果等。自2010年財務部、證監會、審計署、銀保監會出臺的18個企業內部控制應用指引，前述指引率先成為上市公司加強內控體系建設的基礎性規范，涉及內控的組織設計、風險識別、體系運行等內容。目前從事傳統企業內控合規管理體系建設的主體，集中在會計師事務所和部分咨詢公司，而從事創新型、數智化內控合規管理體系建設服務的主體，集中在和合信諾公司這一類專業的監管科技、合規科技服務廠商。不相職務分離控制、授權審批控制、預算控制等內部控制措施，能夠有效發揮內部風險控制作用，能夠及時控制、減少內部違規風險。內控體系與合規管理體系，在遵守公司內部規章制度層面，具有一定的重合性，但對于涉及法規、監管規定等外規層面，內控體系難以關注，尤其對專項領域的合規管理，因主要涉及的合規義務均為外部法律法規、司法解釋等，會計師事務所和咨詢機構不具有專業優勢。在是否涉及外部違規，則難以發現。如我們常見的增加交易環節實施職務侵占、違法實施勞務外包、壟斷經營、甚至違反出口管制政策，則是內控無法解決的問題。

合規管理在嵌入業務流程方面覆蓋法務管理

法務管理，亦是最為常見的經營風險的一種防范措施。嚴格而言，法務管理主要是涉及法律事務的合法性審查，最為常見的是公司所涉各類合同的審查，各類爭議發生后的法律處置。法務管理，相當于內部的法律顧問，主要是解決法律層面的民事違約、侵權，以及涉及行政違法、刑事違法的咨詢處理，其并不是從體系層面解決合規問題，其應對的主要是法律風險。合規風險與法律風險的區別是明顯的，合規風險簡言之系符合性風險，是否系不符合法律法規、監管規定、制度等而導致受監管或刑事處罰；法律風險，常見的如違約風險。例如公司出租資產，整個出租流程均按規定程序開展項目盡調、價格評估、合同簽訂、違約催告，但最終承租人因經營困難，無法繳納租金。前述行為，如果考察合規風險，則主要關注的企業及行為人是否按照規定程序履行出租資產的管理，只要符合規定流程，則合規。對于發生承租人無法繳納租金，則屬于違約風險，即法律風險。可以說，法務管理與合規管理是兩個具有比較明確界限的領域，合規管理已經明確介入企業決策、審批、執行、監督的整個流程，將法務管理所涉主要合同領域的風險已做到提前預防和覆蓋。按照現行的各層級的國資監管部門發布的企業合規管理辦法，均將合同管理作為重點領域，將合同風險納入合規管理。

合規管理是實現全面風險控制的重要內容

全面風險控制，系戰略風險、財務風險、市場風險、運營風險、法律風險的綜合性風險的統稱，涵蓋了社會政策變動、經濟形勢變化、違法違規經營、合同違約等各類風險。例如，產業投資、私募基金投資、收購與并購、業務連鎖經營等各類業務活動，既涉及是否符合反壟斷法、環保法等規定的合法風險，也涉及是否符合企業內部財務目標實現風險，還涉及是否會有社會政策變化導致經營行為出現虧損等外部無法控制的風險。全面風險控制，一方面是在政策、法律層面可預期進行控制，另一方面是預測經濟走勢、預測政策走向、預測國內國際形勢變化而作出的風險控制，其包含了合規風險、內部控制、法務管理等多領域風險的綜合控制。可見，全面風險控制，在實現難度上較大，實現路徑上依賴合規管理、內部控制和法務管理、經濟社會形勢預測判斷等。合規管理遵循帕累托原則，在關注企業內規、控制內部常見風險基礎上，增加了對外規的關注，并將內規外規要求嵌入合規審查流程，是實現企業風險管理的重要內容。

合規管理體系建設的方法論

科學的方法是建設合規管理體系建設的基礎。當前，國有企業合規體系建設，由不同領域的專家、專業人士從各自的角度去構建合規管理體系，以自認為準確、正確的方法去設計管理體系，導致做法不一、體系建設成果的千差萬別，難以真正實現國有企業合規管理體系的真實目標。

以內控體系建設視角構建合規體系，導致合規體系建設等同于內控體系，無法實現合規管理初衷

企業合規管理體系有一套明確的國家標準，等同適用國際標準。但實務中，以會計師事務所為代表的中介機構以18個內控指引作為指導，建立了一套完整的內控體系，冠以合規管理體系之名，完全不能實現合規管理目標。應當認為，內控體系與合規管理體系有一定交叉，即是在合規經營方面的交叉，內控體系也是完全被合規管理體系所覆蓋。內控體系所涉合規經營，系以企業內部規章制度為基礎，主要是采用不相容職責分離、授權審批等措施，避免出現權力濫用、行為過失導致舞弊、錯弊等風險的發生，進而導致公司出現損失或財務報告失真。而合規風險，是全面的符合性風險，即違反了法律法規、監管規定、公司規章制度導致企業出現聲譽、財產損失的風險。除了前述的覆蓋范圍的短缺外，合規管理體系有一套完整的運行機制，主要表現為“三查”，即審查、檢查、調查。對企業的業務和職能部門開展的經營管理和業務活動，進行合規審查、對業務和經營管理活動進行文件化信息的檢查，發現舉報線索開展調查。同時，還可以開展合規內審和管理評審、合規績效評價等方式進行管控。由于合規管理體系，在考量企業內部規章制度的基礎上，還需要審視、分析大量外規（包括但不限于法律法規、部門規章、監管部門文件），以內控體系建設的方式去做合規管理體系，具有先天性不足。

以法務管理視角構建企業合規管理體系，導致合規管理基本等同法律顧問服務，不能滿足合規管理需要

法律風險防控是企業防控的一個重要方面，也是當前預防企業經營風險的主要方式。無論是外聘律師顧問，還是內部設立法務部門，加強對合約的管理，避免投資經營、并購、各類交易的法律風險，已是一項成熟的法律服務市場。絕大部分律師的主要工作，就是從事法律風險的防范，通過對交易合同的審查、糾紛案件的仲裁訴訟代理，維護企業的合法權益。但我們應當認識到，法務管理與合規管理是兩個具有明確界限的風險管理方式。合規管理體系涉及組織體系、制度體系、運行體系、文化體系、考核與評價體系的多重整合，還涉及組織環境的分析，即對相關的合規需求、合規義務的梳理與甄別、合規風險的識別、崗位合規職責的設定、流程管控措施的制定等，遠遠超過了法務管理的范疇。法務管理的重要工作內容是制度的修訂和完善，基于現有合規義務違反所致的法律風險，進行制度的修改。但制度是沉睡的，如果制度不能夠有效運行，則導致無法發揮有效的作用。只有將制度運行起來，形成體系的運作，才能實現制度的根本作用。可以說，法務管理活動無法滿足合規管理的基本要求。

突出外規風險識別與防范是合規管理的基本方法

合規風險是企業經營管理行為和員工行為出現不合規的可能性，而導致的重大聲譽、財產損失，以及企業、員工承擔民事、行政、刑事責任的風險。建設企業合規管理體系，要充分依據企業現有經營管理流程、現有風險控制（如審計、監察監督、內控機制）方法的基礎上，強化突出外規的風險。

合規管理體系，是一項綜合組織設計與權責設計、制度配套、運行機制、運行反饋、運行結果評價與運用的綜合體系，是一套管理方式，而不是簡單的制度的修訂。在商業秘密保護合規領域，從合規角度是一個專項合規計劃，需要從商業秘密保護的組織環節入手，分析當前商業秘密保護的物理、信息、文件管理的現狀，開發存在阻礙商業秘密保護目的實現、發生商業秘密漏洞的各類風險，進行從組織架構（商業秘密保護的責任主體）、制度體系（商業秘密保護的制度）、運行機制（商業秘密保護的檢查、監督）、文化體系（宣傳保密法和保密要求）考核與評價（商業秘密保護情況的評價）等多重角度，在物理保護措施、信息化保護措施、文件化保護措施，以及員工預防違反商業秘密保護措施的勞動合同、競業限制協議的簽訂、保密協議的約定等多層面，構建完整體的商業秘密保護合規體系。而從內控或法務管理層面，囿于會所、律師的專業領域，對同一個企業的商業秘密保護體系的構建，不同專業的領域會呈現完全不同的成果。勞動法專業領域的律師，會以員工勞動合同設計、競業限制與商業秘密保護協議條款設定等角度，去規范員工行為，以期實現員工維護企業商業秘密；而從專利法專業律師的角度，重點從技術秘密和經營信息秘密的秘點梳理，去查找可能泄密的風險點。無論勞動領域或是專利保護領域，其在整體的體系化構建方面，稍顯能力不足，不能夠實現商業秘密保護這項管理活動的目標實現。故，應當從體系化層面去分析合規風險，主要是識別外規合規風險，并形成組織、制度、運行、監控、評價等一整套管理機制，實現對專業領域或企業整體的合規風險管理。

合規管理體系建設的實操要點

GB/T 35770-2022/ISO37301：2021標準，聚集了國內、國外關于企業合規管理的大量專家、學者的智慧，也集中體現了國內一線在合規管理方面具有豐富經驗的理論專家、企業法務專家和精英律師的智慧，應當作為我們開展企業合規管理工作的基準。

國有企業合規管理體系建設的要點，在于組織環境的考核與診斷，核心是企業內部（尤其是主要負責人）對企業合規管理認識、關聯方（包括客戶、供應商、監管部門、社會組織）對企業合規管理的要求、企業目前的合規管理現狀、企業現有合規管理的措施以及企業目前的合規管理風險敞口。制度體系、文化體系、運行體系、績效與評價體系，也是企業合規管理的重要組成部分，但組織環境的考量，是企業合規管理體系建設的重中之重。現僅就該要點作出論述，并提供方法步驟。

（1） 抓住核心，科學設定崗位合規職責

1、正確認識崗位合規職責的含義

當前存在一個極為嚴重的誤區是崗位合規職責清單的真實含義認識偏差，崗位合規職責清單與崗位職責清單有何區別，認識不清。崗位職責的認定，可以來源于“三定方案”（定人、定崗、定編），也可以企業根據“三定方案”，制作具體的崗位職責清單。崗位職責清單是基于企業現有經營管理業務，明確各領導崗位（主要是決策層、經理層）、各職能部門（主要是辦公室、財務部、人力資源部、審計監管等）、各業務部門（主要是生產部、銷售部、采購部、研發部、投資部等）的組成人員的崗位職責。

而崗位合規職責清單，是就合規管理的職責，要列名前述人員相應的合規管理職責。職能部門和業務部門是合規管理“三道防線”中的第一道防線，承擔主體責任，概言之，控制合規風險的第一道關口就是職能部門和業務部門，即對本部門開展的經營管理活動，首先要承擔合規管理責任。

2、崗位合規職責的具體內容

根據中央企業合規管理辦法和省市屬企業合規管理辦法的規定，合規管理職責主要表現為構建本部門的業務合規管理流程與制度，開展本部所涉合規風險的識別并實時更新合規義務和風險庫，負責本部的經營管理行為的合規審查，對于出現合規風險事件要求開展或配合開展調查處置并整改。可以看出，崗位合規職責集中表現為合規風險控制的一項管理工作，通過制度合規管理制度、識別本部門的合規風險、開展本部門所涉業務的合規審查、開展或配合開展合規調查，實現對合規工作的管理。那么，崗位合規職責清單包括的內容就必然包括崗位職責、崗位合規管理職責。但如果僅僅是呈現崗位合規管理職責，必然會出現部門崗位人員仍然無法充分了解崗位合規職責具體含義的尷尬局面。企業部門如何去行使崗位合規管理職責，如何履行合規管理職責，亦是不可或缺的問題。如何解決前述問題？我們要繼續呈現合規管理的對象，即企業經營行為和員工行為的合規義務，要呈現到崗位合規職責中。

3、有效識別合規義務的方法

合規義務的梳理，有不同的方法。會計師事務所或咨詢機構會從企業制度去挖掘企業內部合規義務，即按照企業制度規定，部門對某項業務活動，應當承擔何義務，但顯然難以兼顧外規，前述已論述，不再贅述。律師事務所從專業角度，去開發合規義務，從國家法律、行政法規、部門規章、國際組織條約、上級行政機關的文件、監管部門的文件、企業章程與規章制度中挖掘。按前述方法，很快發現不具有可行性，因為僅僅國家現有有效法律300余件，行政法規600余件，地方性法規13000余件。從如此浩瀚的文件中去探尋合規義務，如大海撈針。尤其是各個企業千差萬別，業務類型、人員結構等各類因素千差萬別。那么，我們要尋找一種貼近企業實際的方法去開發合規義務。根據帕累托原則，我們要去尋找重點合規義務，去發掘最接近企業風險的合規義務。要綜合采用經驗判斷法、領導決策法、集體討論分析法、案件檢索法、審計監察建議法等方法，從場景出發，在浩瀚如煙的義務中開發核心的合規義務。例如，人力資源管理領域涉及勞動法、勞動合同法、社會保險法以及各類法律法規和司法解釋、判例等，要根據企業實際情況進行識別，如果企業人數較少（如50人以下），則該領域的風險總體可控，那么就要從招聘合規、勞動合同簽訂與履行合同、勞動合同解除等角度去篩選，員工權利保護、社會保險、童工禁用、婦女權益保護等均不需要特別細化；相反，如果企業屬于大型生產企業，則要考慮勞務派遣、員工休假、調崗、調薪、特殊資質許可等全方面識別合規義務。在崗位合規職責清單制定的基礎上，要深入到流程。

（2）緊扣流程，建立流程合規審查管控機制

1、企業經營管理活動均具有相應流程

流程是所有業務的過程的記錄，任何一項業務，無論是采購、招聘、經理辦公會議的召開、投資項目的啟動與執行均涉及流程的審查審批。從企業決策層面到管理層，以及到各個部門及其工作人員，綜合形成企業的人力架構。所有經營管理活動和員工行為，均是在相應經管活動的流轉與權力（審查、審核、監督等）的運行，均可以對應相應的流程。而發生合規風險，往往都可以在流程中發現相應的問題。對于流程的管控，是實現合規風險管理的重要方法。

2、合規要求嵌入流程的方法

合規管理，就是要將合規審查嵌入到流程中。如何梳理流程并制作流程管控清單，要根據企業具體崗位的職責逐一開展。任何一個崗位，都有相應的崗責，在梳理崗位合規職責清單的基礎上，以每個崗位職責的履行作為基礎，制作流程清單，在流程節點中加入合規審查要求，形成流程管控清單。例如，人力資源部基于新招錄兩名工作人員，需要為員工配備兩臺電腦，按公司的流程，由人資部門提起需求，提交至負責辦公設備采購的綜合部，綜合部要提交分管領導審批，審批通過后由綜合部負責采購，并完成安裝。在此流程中，人資部門發起該采購事項時，應當提供合規審查意見，明確采購需求的原因，由人力資源部門承擔該業務的合規管理職責，綜合部負責對合規性進一步審查后，提交分管領導審批決策。流程管控的核心是增加一個環節，或者與同一個審查環節合并但增加合規審查內容，對某一項業務活動的合規性進行審查。

3、合規審查嵌入流程是流程管控的關鍵

根據前述所述的崗位合規職責清單，相應崗位的人員在履行職責時，負有相應的合規審查職責，避免合規審查的風險并依法履職。如前述案例中，綜合部負責人負責依法履行采購職能的職責，在收到人力資源部的采購申請后，要按照企業和法律規定的采購規則，進行采購并完成交付安裝。按此流程，人力資部門和綜合部門的行為所有流程均嵌入了合規審查要求，均符合合規要求。

（3）綜合開發，充分識別內外規合規風險

1、識別合規風險常見方法評析

識別合規風險的前提，是識別合規義務，兩者相互關聯、密不可分。應當從企業的實際出發，從企業的崗位出發識別合規風險。常見的方法有重點領域識別法、關鍵環節識別法、關鍵人員識別法等。中央及省市合規管理辦法均有明確規定，合規管理可以從重點領域、關鍵環節、關鍵人員三個層面展開，那么合規義務亦可從領域、環節、人員去開發。這種觀點不具有可操作性，領域具有獨立性，但落實時涉及的人員遍布各部門，無法形成統一的合規義務；環節是從流程出發，如果僅從流程去識別合規風險，而每個企業的經營管理活動有大量的流程，則會出現大量流程涉及每個流程有多個風險，導致從流程中去找相應的人員來確定合規風險，難以操作；如果從人員角度去識別，也脫離了經營管理實際，難以確定執行主體。

2、“崗位職責+X”識別法

風險識別清單制作的核心目的，是明示企業行為、員工在履職活動中，可能會存在的風險類型、風險后果，并關注相應的風險防控措施。如果我們在構建合規管理體系時，直接進行合規風險識別，則寸步難行。首先遇到的第一個困難就是從浩瀚如煙的法律法規中去尋找合規義務，而這些合規義務可能與企業經營管理行為關聯度極低。而從前述分析的多個分析法，均具有相應的局限性。從崗位合規職責出發，識別了典型、重點的合規義務，以崗位職責清單的合規義務去映射全面的合規義務，則非常可靠、貼近企業合規實際。同時，要注重關鍵領域、關鍵環節、關鍵人員，即“崗位職責+X”識別法，該處“X”即為其他方法，要在崗位職責識別法的基礎，綜合關鍵領域、流程、高風險人員，綜合運用經驗判斷、頭腦風暴、往年風險事件庫等，全面、正確識別企業主要合規義務。

3、合規風險等級設定

在識別出合規義務后，再去評價合規風險，可以采用集體討論法、案例分析法，也可以采用SOD分析法（severity，風險嚴重性；occurence，風險發生可能性；detection,風險可能發生的后果）等其他風險評估方法，確認風險的高、中、低等級，并確定相應的防控措施。合規風險等級設定，是整個合規體系建設的一項基礎性工作、過程性文件，不屬于體系運行機制，其主要目的是提示企業、各崗位人員可能存在的合規風險，為下步完成相關合規管理文件制作、機制運行提供基礎。同時，合規風險等級設定后，亦仍然遵循PDCA方法進行更新維護；出現新的風險場景時，可以及時修正完善。

和合信諾作為全球領先的專業監管科技公司，長期專注于為央國企、金融機構和重點行業客戶的合規與監管部門提供專業的內控合規管理軟件和數智化解決方案產品服務，其產品專注于數據分析、人工智能和自動化，旨在幫助企業加強數字化、智能化合規管理體系建設和轉型，主動合規管理和適應監管變化，其創新方法使企業能夠有效地實現和保持合規性。

和合信諾新一代智能合規管理平臺，在業內率先引入了領先的大語言模型、大數據、自然語言處理（NLP）、深度學習模型、知識圖譜等人工智能技術，搭載了全球領先的智能合規Copilot AI助手、集成了智能外規內化管理、智能制度管理、智能員工行為管理、內部監督檢查管理、智能法律事務管理、監管信息跟蹤管理、機構合規動態分析等核心功能模塊，全面賦能企業從傳統內控合規管理體系建設向數字化、智能化轉型升級。

*免責聲明*部分字體及圖文內容來源于網絡或合作伙伴，版權歸原作者所有，如涉及版權問題請立即與我司聯系，謝謝。