國有企業(yè)合規(guī)管理體系建設指南(2023版)

國有企業(yè)合規(guī)管理體系建設指南（2023版）國有企業(yè)合規(guī)管理體系建設指南（2023年版）指南說明：隨著國務院國資委《中央企業(yè)合規(guī)管理辦法》的頒發(fā)與實施，各省國資委陸續(xù)優(yōu)化、升級本轄區(qū)內的國有企業(yè)合規(guī)管理辦法，地方國有企業(yè)合規(guī)管理體系建設進入強化期，北京德和衡律師事務所合規(guī)與企業(yè)法治業(yè)務中心參照合規(guī)管理最佳實踐模式，根據(jù)國企的業(yè)務及管理一般特點，由陶光輝律師作為執(zhí)筆人，起草和修訂了《國有企業(yè)合規(guī)管理體系建設指南》（2023版），以供各省、市國有企業(yè)參考。1.體系建設概述1.1國有企業(yè)合規(guī)管理體系建設是一個為有效防范合規(guī)風險，將“合規(guī)要求”嵌入到企業(yè)經營管理活動，并為之構建一個有計劃、有組織的特別管理體系的過程。1.2國有企業(yè)合規(guī)管理體系建設的有效路徑，包括評估合規(guī)風險，搭建合規(guī)組織架構，明確合規(guī)管理職責，完善合規(guī)管理制度，運行合規(guī)管控機制，組織合規(guī)能力培訓，優(yōu)化合規(guī)文化意識等。1.3本建設指南（以下簡稱為“指南”）基于企業(yè)角度，參考國際、國內相關的合規(guī)管理辦法或標準，將國有企業(yè)建設合規(guī)管理體系分為十五個操作步驟。參考本指南進行合規(guī)管理體系建設，將有助于國企法務合規(guī)人員提升本企業(yè)合規(guī)管理體系建設工作效能。2.明確建設范圍2.1建設國有企業(yè)合規(guī)管理體系，首先要劃定建設范圍。這是決定向合規(guī)管理體系建設工作投入相關資源的前提。相關資源包括人力資源、財務資源、外部專家資源以及組織文化資源。2.2明確建設范圍應判斷是屬于集團合規(guī)管理體系，還是單個公司合規(guī)管理體系。集團合規(guī)管理體系，可以在集團總部和集團各下屬公司或特定下屬公司內施行。單個公司合規(guī)管理體系，僅在公司及分公司范圍內施行。2.3明確建設范圍還應判斷是建“大合規(guī)“體系，還是建某一項或某幾項的專項合規(guī)體系，如反壟斷合規(guī)體系、反腐敗合規(guī)體系、數(shù)據(jù)保護合規(guī)體系，或者是投資合規(guī)管理專項，研發(fā)合規(guī)管理專項，采購合規(guī)管理專項。2.4本指南中的合規(guī)管理體系建設，主包括所有專項的大合規(guī)體系。鑒于大合規(guī)體系所包含的范圍非常廣，一般分階段實施，因此在新建合規(guī)管理體系時，往往會明確每個階段的重點分別在哪幾個領域展開。2.5在部分先行先試的國有企業(yè)，已經開展了前期的合規(guī)管理體系建設工作，后續(xù)可在實施運行、體系有效性評價、合規(guī)履職評價，合規(guī)審計等領域繼續(xù)展開。2.6選擇在哪些領域展開合規(guī)建設，可參考本企業(yè)當前合規(guī)工作的成熟度、合規(guī)風險發(fā)生的可能性、發(fā)生后的可能后果、過往發(fā)生的案例，同行發(fā)生的案例以及監(jiān)管最新政策提及的合規(guī)重點等因素。3.制定實施方案3.1實施方案是國有企業(yè)內部建立健全合規(guī)管理體系的指導性文件。實施方案由企業(yè)合規(guī)部門制定，也可由外部輔導機構協(xié)助制定。3.2實施方案的內容主要包括合規(guī)管理工作的基本思路、主要原則、工作目標、組織領導、主要任務、實施步驟、績效考核、監(jiān)督實施等。3.3實施方案的制定核心是根據(jù)企業(yè)管理現(xiàn)狀和業(yè)務情況，找到推動本企業(yè)合規(guī)體系建設的適宜抓手，以兩到三個工作抓手來有效貫徹實施方案的重要內容。這樣的抓手包括但不限于合規(guī)風險庫、合規(guī)職責清單、合規(guī)聯(lián)絡員制度、合規(guī)審查機制、合規(guī)檢查機制、合規(guī)流程管控清單、合規(guī)文化塑造等。3.4實施方法的制定要求是根據(jù)實際情況，將工作任務落實到部門、崗位，工作職責要具體，工作期限要明確，與責任人的績效考核要掛鉤。3.5合規(guī)管理體系實施方案可單獨制定，也可以與內控體系建設方案、全面風險管理體系建設方案等合在一起制定，即法務、合規(guī)、內控與風險管理一體化實施方案。3.6制定合規(guī)、內控、風險一體化實施方案，應注意合規(guī)管理、法務管理、內部控制的不同發(fā)展程度，突出各自不同的價值理念。合規(guī)管理重在監(jiān)督，法務管理重在效率，內部控制重在制衡，風險管理重在權衡。4.體系環(huán)境掃描4.1環(huán)境掃描是出于國企建立合規(guī)體系時往往已有一定基礎而考慮的。國有企業(yè)，包括中央企業(yè)，大多數(shù)在內部已建立了類似的管控機制。如內部控制體系、全面風險管理體系、法律風險管理機制等。如新建合規(guī)管理體系，勢必要與已有的管理體系進行區(qū)分與互動，甚至需要調整與變革。4.2合規(guī)管理體系在現(xiàn)發(fā)展階段，本質上是一種風險管理體系，因此環(huán)境掃描時需要考慮企業(yè)內的業(yè)務發(fā)展與風險管控的關系。在企業(yè)目前整體戰(zhàn)略中，風險體系目前處于何種位置，即風險文化是怎么樣的，是環(huán)境掃描工作需要給出的結論。4.3環(huán)境掃描須關注人的問題。在企業(yè)內支持和驅動合規(guī)管理體系建設的主要領導是什么級別的，企業(yè)現(xiàn)合規(guī)負責人對合規(guī)管理的認知與經驗有哪些，企業(yè)的業(yè)務人員對合規(guī)管理的態(tài)度是怎樣的等。4.4環(huán)境掃描還須關注來自企業(yè)外部的力量。企業(yè)建立合規(guī)管理體系的驅動因素一般是多個的，其中之一便是來自監(jiān)管部門的要求。監(jiān)管部門會提出一些指導意見，這些指導意見必須貫徹到合規(guī)管理體系的建設之中。4.5環(huán)境掃描的結果應當運用到合規(guī)管理具體實施當中，不能光有掃描動作而無后續(xù)實際運用，應形成合規(guī)管理現(xiàn)狀報告，并與管理層溝通，指出下一步合規(guī)管理工作的重點。5.業(yè)務事項梳理5.1深入結合業(yè)務，是所有的管理體系必須解決的問題，否則可能會造成業(yè)務與管控兩張皮。對于風險管控人員，要想快速了解業(yè)務，最好的辦法是與業(yè)務人員一起，對業(yè)務進行事項梳理。5.2業(yè)務事項梳理的目的是建立合規(guī)風險識別的基礎。合規(guī)管理體系之所以是一個管理體系，就在于有計劃、系統(tǒng)地梳理企業(yè)的經營管理活動，并以此為對象進行下一步的風險識別、風險管控等行為。5.3業(yè)務事項梳理的方法，可按類別、按級別進行。類別一般分為業(yè)務實施類、管理支撐類、戰(zhàn)略發(fā)展類等。級別一般分為3-4級。如業(yè)務實施類，可分為采購業(yè)務流程、銷售業(yè)務流程等。采購業(yè)務流程又根據(jù)采購模式，分為招標采購、公開采購、單一采購。招標采購根據(jù)業(yè)務操作步驟，分為項目立項、編制招標文件、發(fā)布招標文件、組成評標小組、開標、評審、定標等。每一個操作步驟，其實都是一個小的業(yè)務流程。5.4基于業(yè)務流程的風險識別，是以單個或單項業(yè)務流程為對象判斷是否會發(fā)生風險，以及會發(fā)生什么風險。如企業(yè)業(yè)務比較簡單，或處于初創(chuàng)階段業(yè)務比較單一，風險比較集中，也可不按流程進行分解，直接以對業(yè)務的描述為基礎進行風險識別。5.5業(yè)務事項梳理的結果，是為合規(guī)風險評估、合規(guī)職責明確以及合規(guī)管控流程做準備的，應當將該階段成果與后續(xù)工作緊密結合起來，同時也要注意與內控體系中的事項梳理進行融合，盡量合并進行。6.管理架構優(yōu)化6.1合規(guī)管理架構是有關合規(guī)管理過程中需要涉及的人力資源統(tǒng)一安排。大多數(shù)情況下，新建合規(guī)管理體系的國有企業(yè)已有履行合規(guī)職責的人員，但這些職員往往是兼職的，合規(guī)管理架構優(yōu)化首先是需要將企業(yè)內負責合規(guī)職責的人員或部門用書面形式固定下來，并將其與其他人員和部門盡量分開，保持合規(guī)獨立性。6.2合規(guī)是自上而下的。在公司董事會或高層管理層，應當有負責支持、指導、監(jiān)督合規(guī)工作的人員或機構。一般的，在董事會設置一個合規(guī)管理委員會，可與其他風險管理委員會合署，或者保障合規(guī)負責人可進入企業(yè)最高決策團隊。6.3在各業(yè)務部門或職能部門內部，也應當配置相關的合規(guī)對接人員（可兼職）。這部分人在履行合規(guī)職責時，須保持一定獨立性，同時向合規(guī)負責人報告。6.4合規(guī)管理涉及的各層級機構或人員，其合規(guī)職責須書面化、制度化、明確化。尤其要區(qū)分合規(guī)職責的牽頭部門和主責部門。牽頭部門是合規(guī)管理的直接歸口管理部門，各業(yè)務部門是合規(guī)管理的責任部門。審計部門應將合規(guī)工作開展情況納入審計范圍。6.5明確合規(guī)風險管理三道防線，是絕大多數(shù)國企合規(guī)管理建設的“必須”動作。對于業(yè)務部門的合規(guī)職責，應明確其作為第一道防線；牽頭部門是合規(guī)管理的第二道防線，在大型國企里，包括但不限于合規(guī)部門、法務部門、內控部門、風控部門等；審計監(jiān)察部門是合規(guī)管理的第三道防線。在實踐中，對于各部門的合規(guī)職責，往往以“合規(guī)職責清單”或“合規(guī)職責卡片”的方式體現(xiàn)。7.公布合規(guī)準則7.1合規(guī)管理不僅是企業(yè)內部的風險管控機制的體現(xiàn)，也是企業(yè)向外界宣傳主動守法理念，弘揚法治文明的體現(xiàn)。因此，合規(guī)管理體系建設過程中需要對外表達企業(yè)的合規(guī)意識，需要對外公布企業(yè)所推行的合規(guī)文化。7.2合規(guī)準則，主要是面向企業(yè)外界的，同時也是面向全體員工的?？梢允蔷C合的宣傳，也可以是專項的，如誠信與反腐敗準則；可以是面向所有相關人員的，也可以是面向特定人群的，如商業(yè)伙伴合規(guī)準則。常見的合規(guī)準則表現(xiàn)形式，是誠信合規(guī)手冊、企業(yè)合規(guī)行為手冊等。7.3商業(yè)行為準則，是最常見的合規(guī)準則。其內容條款，須結合企業(yè)文化，主要包括基本原則、工作場所、商業(yè)競爭、貿易規(guī)范、廉潔合作、利益沖突、財務稅務、隱私保護、對外披露、社會責任等方面。7.4對外公布的合規(guī)準則，一般需要企業(yè)最高領導人，即公司董事長或總經理的親筆簽字。在形式上，也可就此專門進行一個新聞發(fā)布會。實踐中，與合規(guī)管理體系建設項目啟動會、合規(guī)管理培訓會等結合。8.合規(guī)風險評估8.1合規(guī)管理的目的是要防范和管控合規(guī)風險，防范和管控風險的前提是認識和評價風險。合規(guī)風險評估是合規(guī)管理體系建設過程中最為重要的工作之一。按照風險管理的基本原理，企業(yè)主體只能管理“有能力管理”的風險。因此，辨識風險是前提。有能力，包括認知、意識、技能等能力。8.2合規(guī)風險評估分為風險識別、風險分析、風險評價三個環(huán)節(jié)。風險識別系形成合規(guī)風險信息庫的過程，可采用業(yè)務事項假設法、案例檢索法、合規(guī)要求倒推法等，借助訪談、問卷、研討會等形式，需要業(yè)務專家與法律專家的共同努力。不同的方法，可能適用不同的風險識別場景。8.3風險分析是對合規(guī)風險發(fā)生的原因、來源、發(fā)生可能性、發(fā)生影響后果等四個方面進行定性或定量的分析，形成合規(guī)風險分析表。風險評價是對經過定性或定量分析過的風險進行排序、分級，形成合規(guī)風險矩陣及底線合規(guī)風險清單。8.4合規(guī)風險評估的成果，是形成一套完整的企業(yè)合規(guī)風險清單（合規(guī)風險庫）。這是下一步采取針對性合規(guī)管控措施的基礎。合規(guī)風險庫是一個不斷完善，不斷修正的過程，同時也必須定期的維護、更新。8.5合規(guī)風險評估還需要注意風險評估工作由誰或哪個部門負責。一般認為應當由業(yè)務部門或風險產生部門先自行識別各自合規(guī)風險，然后由合規(guī)管理部門進行鑒定、歸納和總結。此處，需要合規(guī)管理部門進行解釋和鑒別的是，合規(guī)風險與其他風險，例如內控風險、外部環(huán)境變化引起的市場風險、戰(zhàn)略風險等的區(qū)別。8.6合規(guī)風險評估在合規(guī)管理體系建設中，可作為一項專門的工作來執(zhí)行，也可與其他合規(guī)管理體系建設階段工作同步進行，如業(yè)務事項梳理、合規(guī)制度制定等。9.合規(guī)制度擬定9.1合規(guī)管理體系是一種管控型管理體系，必須依賴于企業(yè)內的規(guī)章制度才得以落地實施。合規(guī)管理制度體系是合規(guī)管理體系中最為關鍵的子體系，也是合規(guī)管理工作中最為“有形化”的部分。9.2合規(guī)管理制度包括合規(guī)管理的一般性規(guī)定，即合規(guī)管理辦法或合規(guī)管理實施細則等；也包括為推動合規(guī)運行的專項規(guī)定，如合規(guī)風險評估辦法、合規(guī)審查辦法、合規(guī)檢查辦法、合規(guī)考核辦法、合規(guī)有效性評價辦法、舉報與調查管理辦法；還包括落實合規(guī)管控的專項制度，如反賄賂反腐敗合規(guī)管理辦法、數(shù)據(jù)保護與網絡安全合規(guī)管理辦法、勞動用工合規(guī)管理辦法等。這些用于專項合規(guī)管控的制度，與專項的合規(guī)管理指南可以合并，也可以單獨制定。9.3合規(guī)管理制度的內容，一般由本制度的目標和適用范圍、相關的組織架構和崗位職責、合規(guī)工作程序、合規(guī)工作評價、考核與監(jiān)督問責等模塊組成。9.4合規(guī)管理制度及其實施細則，可視企業(yè)需要，需要一個制定一個，成熟一個頒布一個，不是所有的都要一次全部制定齊全。10.專項指南擬定10.1專項合規(guī)指南本質上是合規(guī)管理制度的一種。之所以把合規(guī)指南與合規(guī)制度區(qū)別出來，并更為強調合規(guī)指南的擬定，主要因為合規(guī)指南是關于業(yè)務如何遵守合規(guī)義務的規(guī)章制度，而合規(guī)制度是關于合規(guī)工作如何開展的規(guī)章制度。前者強調以圖文表達為主，后者當然是文字表達為主。10.2專項合規(guī)指南包括按業(yè)務條線進行擬定的規(guī)定和按部門法域進行擬定的規(guī)定。前者如采購專項合規(guī)指南、銷售專項合規(guī)指南、投資專項合規(guī)指南、市場宣傳專項合規(guī)指南，后者如反壟斷合規(guī)管理指南、商業(yè)伙伴合規(guī)管理指南、數(shù)據(jù)保護與網絡安全合規(guī)管理指南、環(huán)境保護專項合規(guī)管理指南等。10.3專項合規(guī)指南的內容，包括指南的目的和適用范圍、合規(guī)義務概述、不合規(guī)后果、典型的不合規(guī)行為舉例說明、合規(guī)應對操作說明、合規(guī)義務來源等。10.4專項合規(guī)指南最為需要結合企業(yè)的業(yè)務流程情況，如果不熟悉業(yè)務風險或不熟悉合規(guī)義務，合規(guī)指南的擬定將成為一個難題。鑒于各企業(yè)存在不相同的業(yè)務，建議參考一些行業(yè)專家對合規(guī)風險案例的總結。10.5專項合規(guī)指南的制作，需要與業(yè)務流程及規(guī)章制度的適用結合起來，忌脫離業(yè)務操作的指南或與業(yè)務運行不關聯(lián)，那樣的指南只是合規(guī)部門的學習資料，而非業(yè)務部門的操作指引。11.管控機制設計11.1合規(guī)管控機制是貫穿于企業(yè)合規(guī)管理過程中的一些管理控制手冊。可以說，合規(guī)機制是動態(tài)的、局部的合規(guī)制度。11.2合規(guī)管控機制包括合規(guī)聯(lián)席會議機制、合規(guī)咨詢機制、合規(guī)審查機制、合規(guī)檢查機制、舉報與調查機制、合規(guī)報告機制、合規(guī)風險跟蹤機制、合規(guī)崗位履職監(jiān)控機制、合規(guī)第三方盡職調查機制等。11.3對于合規(guī)管控機制的表現(xiàn)形態(tài)，可以專門擬定系列規(guī)章制度或體現(xiàn)在某一合規(guī)管理基本制度內，也可體現(xiàn)為日常的合規(guī)工作或合規(guī)表單及流程。在實踐中，可將多個管控機制進行聯(lián)合，形成合規(guī)管控流程清單。11.4合規(guī)管控機制是合規(guī)制度或合規(guī)指引在企業(yè)內實施的動態(tài)貫徹，應靈活設計，并按管理控制理論的基本辦法，保障其在企業(yè)內能得到真正實施。11.5管控機制的設計應當與后續(xù)的實施相對應，關鍵在于機制的實施，因此設計時應考慮企業(yè)當前的管理手段和管理文化。12.舉報途徑設置12.1舉報與調查是合規(guī)管控機制中的重要一環(huán)。合規(guī)管理體系的一個重要功能是可以發(fā)現(xiàn)、懲治不合規(guī)的行為，否則就是一個不完整的合規(guī)體系。如何發(fā)現(xiàn)不合規(guī)行為，通過關系人的舉報，是一個重要的線索來源。這是那些運行良好的合規(guī)管理體系所必不可少的安排。12.2常見的舉報途徑包括熱線電話、電子郵箱、信件等。對于舉報，應制定專門的舉報管理辦法，保護舉報人的利益，包括鼓勵舉報。12.3對于舉報，應配套對應的調查程序和調查方法。對舉報的受理和處理，都應該要有透明或公正的機制。對于調查人員自身的調查、約談和證據(jù)收集等行為，自身要在合法、合理的范圍內進行。13.風險指標設定13.1風險永遠是動態(tài)的，現(xiàn)狀被認為是風險，未來不一定仍是風險；關鍵是現(xiàn)在被認為是安全的，未來很可能會發(fā)生實際的風險。為保障合規(guī)管理體系對風險變化的適應性，有必要設定一些指標，保持對風險的動態(tài)關注，這是保證合規(guī)管理體系持續(xù)有效的重要手段。13.2合規(guī)風險指標的設定要考慮三方面的變化。一是合規(guī)義務，主要是法律、法規(guī)的變化帶來的合規(guī)風險變化；第二個是業(yè)務流程發(fā)生變化帶來的合規(guī)風險變化；三是外部環(huán)境或第三方帶來的對企業(yè)經營管理的影響而產生的合規(guī)風險變化。13.3合規(guī)風險指標，可以是定性的，也可以是定量的，同時要按所監(jiān)控的合規(guī)領域進行設定。如反腐敗合規(guī)風險指標設定時，可判斷企業(yè)發(fā)生的招待費、公關費、宣傳費等在相同時期內是否發(fā)生了明顯的異常為監(jiān)測對象。13.4合規(guī)風險指標設定不以追求數(shù)量為目的，關鍵是要有能真實反映情況的數(shù)據(jù)來源和渠道，不管是經由人工收集的，還是經由信息系統(tǒng)收集的。13.5合規(guī)風險指標的設定，是為合規(guī)風險預警服務的。在合規(guī)管理信息建設過程中，應圍繞合規(guī)風險指標進行風險信息采集，并在系統(tǒng)上設定警報機制。14.合規(guī)管理手冊14.1合規(guī)管理手