2022年8月23日，国务院国有资产监督管理委员会令第 42 号公布《中央企业合规管理办法》（以下简称《央企合规办法》），并于2022年10月1日起正式施行，这标志着中央企业的合规管理工作进入新的发展时期。笔者基于多年为央企国企客户提供法律服务的经验，就国有企业合规管理及《央企合规办法》的要点做简要分析，以供参考。

　　一、国有企业合规管理制度演进

　　在《央企合规办法》颁布之前，国务院国有资产监督管理委员会（以下简称“国资委”）即已颁布了一系列与国企合规相关的制度。2014年12月8日，国资委发布《关于推动落实中央企业法制工作新五年规划有关事项的通知》，指出“在未来五年，各中央企业应‘大力加强企业合规管理体系建设’”。2015年12月5日，国资委发布《关于全面推进法治央企建设的意见》，强调“进一步加强依法规范管理”，并要求“加快提升合规管理能力，建立由总法律顾问领导，法律事务机构作为牵头部门，相关部门共同参与、齐抓共管的合规管理工作体系，研究制定统一有效、全面覆盖、内容明确的合规制度准则，加强合规教育培训，努力形成全员合规的良性机制。探索建立法律、合规、风险、内控一体化管理平台”。2016年4月18日，国资委发布《关于在部分中央企业开展合规管理体系建设试点工作的通知》，将中国石油、中国移动、东方电气集团、招商局集团、中国中铁五家央企列为合规管理体系建设试点单位。2018年11月2日，国资委发布《中央企业合规管理指引（试行）》（以下简称《央企合规指引》），引导中央企业依法建立合规管理体系。虽然《央企合规指引》系针对中央企业而印发，但是在《央企合规指引》第29条中明确指出，“地方国有资产监督管理机构可以参照本指引，积极推进所出资企业合规管理工作”。随后，多个地方国有资产监督管理委员会也就国有企业合规体系建设及搭建问题颁行了各项文件。例如北京市国资委发布的《市管企业合规管理工作实施方案》，上海市国资委发布的《市国资委监管企业合规管理指引（试行）》。因此，2019年可以称为国有企业合规元年。2022年颁布的《央企合规办法》同样规定：“地方国有资产监督管理机构参照本办法，指导所出资企业加强合规管理工作。”这标志着国资委对国有企业合规管理的要求进一步提升，国有企业合规管理体系建设进入攻坚期。

　　二、国有企业合规概念认知 

　　合规，是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则，以及公司章程、相关规章制度等要求。对合规的理解应分为三个梯度：第一层是法律、法规，即国有企业应当遵守中国和海外业务经营所在国的法律、法规及监管规定，还要遵守双方或一方已加入的国际条约的具体规定。第二层是规章，规章包括企业内部规章，如公司章程、企业各项具体的制度等，也包括国有企业涉及的组织章程。在各组织章程中，结合国有企业的自身性质，需要注重《中国共产党章程》等文件在国有企业合规中的重要性。国有企业公司在章程的修订工作中，已着重明确党组织在国有企业中的职权并深化党章影响。对于其他国有企业，加强党章合规也已成为大势所趋。第三层是规范，规范的表现形式可能是具体的，如行业行为准则；也可能是概括的，如基本的道德规范、职业操守等。

　　合规分为“小合规”与“大合规”，着眼于防范企业商业贿赂犯罪的合规机制，一般称为狭义的合规管理或“小合规”。除商业贿赂外，包括反洗钱、反垄断、数据保护、反金融欺诈、商业秘密、跨国投资并购、商业伙伴、出口管制等，通常称为“大合规”，或广义的合规管理。“合规”与“合法”的范畴不同，“合规”中包含了“合法”，“合规”概念的范畴相较于“合法”有所外延。法律的强制性规定是一个企业的最低行为标准，在当前国有企业合规的语境下，合规范围扩大到了国企经营的方方面面。另外，合规管理与风险管理也不是等同的概念，全面风险管理的范围为各类风险，包括战略风险、市场风险、操作（运营）风险、流动性风险、声誉风险、合规风险；合规管理的范围是运营风险中的合规风险。

　　三、国有企业合规管理体系框架 

　　合规管理体系框架，大致可以分为组织体系、制度体系、合规风险管控机制和保障机制四个模块。[ [1] 参见EY安永《国有企业合规管理体系建设实践》。]

　　1.组织体系

　　在组织体系建设方面，企业应当从治理层、管理层和执行层三个层级入手搭建合规管理组织架构。在治理层明确董事会及相关专业委员会在合规管理方面的职责，建立合规委员会或将合规管理的职责纳入现有审计委员会、风险管理委员会等类似机构的职责。在管理层，国有企业通常会成立由班子成员组成的合规管理领导小组，并由总法律顾问担任合规管理负责人，承担合规管理的组织领导和统筹协调工作。在执行层，需要建立合规管理的“三道防线”，通常业务部门作为“第一道防线”，负责相关领域的日常合规风险管理。“第二道防线”则多由法务部门作为合规管理的专责部门，主要负责合规管理体系的建设，协同企业其他部门负责日常合规工作的开展；内部审计部门和纪检部门通常作为“第三道防线”，对企业合规管理体系进行监督及评估。

　　2.制度体系

　　在制度体系建设方面，企业应当建立、健全合规管理制度，完善公司“1+1+N”合规制度体系框架，建立“1”项合规管理的顶层政策，“1”项合规管理的基本制度，“N”项合规管理的具体制度或文件。顶层的合规政策通常以《商业行为准则》或《合规手册》的形式制定，除了具体的行为准则，还包含企业的合规管理目标、愿景、企业合规管理体系概述等内容。合规管理的基本制度，核心内容一般包括合规管理的定义、方针、原则、目标、组织架构、权责分配、工作要求、运行机制、保障机制等内容。合规管理的具体制度，则是根据企业实际需求（不同领域不同行业不同业务）制定的更为细化的管理制度或文件，主要涵盖合规重点领域的管理制度，以及部分细化的合规工作制度，例如合规考核、合规培训等。

　　3.管控机制

　　在合规风险管理机制建设方面，企业应当建立以风险闭环管理流程为核心的合规风险管控机制，形成包含合规风险识别、合规风险评估、合规风险应对、合规监控检查、合规体系评估五个环节的风险防控机制。在合规风险管控的落地方面，国有企业通常选择合规重点领域进行合规风险的管理。首先，需要做全领域的合规风险识别，通过合规风险评估，根据风险重要程度选取合规重点领域。其次，针对重点领域合规风险进行分析，针对合规重点领域的具体场景，针对性地对各个场景所可能引发的风险设计具体的风险管控措施，并通过制度修订落实到日常业务执行中。

　　4.保障机制

　　在保障机制建设方面，核心的内容主要包括合规考核评价、合规培训及合规文化建设。企业应当加强合规考核评价，把合规经营管理情况纳入对各部门和员工的年度综合考核，集团型的企业，还可将下属企业合规管理体系建设及运行情况纳入下属企业的业绩考核，合规考核的内容一般还会包括激励约束机制部分。企业应重视合规培训，确保员工理解、遵守企业合规目标和要求，针对重点岗位人员及合规重点领域，设计相应的合规培训课程体系。另外，企业应积极培育合规文化，树立依法合规、守法诚信的价值观，筑牢合规经营的思想基础。

　　四、《央企合规办法》要点解读

　　新颁布的《央企合规办法》具有三大特点：首先，其把企业经营管理过程中所有可能遇到的合规风险，都纳入了合规建设之中，属于“大合规”。其次，其将企业所有员工的行为都纳入了合规管控范围，最后，《央企合规办法》要求合规与监察、审计、法律、内控、风险管理等相关部门形成协同联动机制。与之前颁布的合规制度相比，《央企合规办法》有如下要点需要关注：

　　1.合规管理体系框架的治理层中强调党组织的重要性

　　《央企合规办法》要求中央企业党委（党组）发挥把方向、管大局、促落实的领导作用，推动合规要求在本企业得到严格遵循和落实，不断提升依法合规经营管理水平。中央企业应当严格遵守党内法规制度，企业党建工作机构在党委（党组）领导下，按照有关规定履行相应职责，推动相关党内法规制度有效贯彻落实。

　　2.合规管理体系框架的治理层中强调董事会的作用

　　中央企业董事会发挥定战略、作决策、防风险作用，主要履行以下职责：（1）审议批准合规管理基本制度、体系建设方案和年度报告等。（2）研究决定合规管理重大事项。（3）推动完善合规管理体系并对其有效性进行评价。（4）决定合规管理部门设置及职责。

　　3.合规管理体系框架的管理层中强调经理层的作用

　　中央企业经理层发挥谋经营、抓落实、强管理作用，主要履行以下职责：（1）拟订合规管理体系建设方案，经董事会批准后组织实施。（2）拟订合规管理基本制度，批准年度计划等，组织制定合规管理具体制度。（3）组织应对重大合规风险事件。（4）指导监督各部门和所属单位合规管理工作。

　　4.合规管理体系框架的管理层中首次明确设立首席合规官

　　中央企业应当结合实际设立首席合规官，不新增领导岗位和职数，由总法律顾问兼任，对企业主要负责人负责，领导合规管理部门组织开展相关工作，指导所属单位加强合规管理。中央企业应当将合规审查作为必经程序嵌入经营管理流程，重大决策事项的合规审查意见应当由首席合规官签字，对决策事项的合规性提出明确意见。中央企业因违规行为引发重大法律纠纷案件、重大行政处罚、刑事案件，或者被国际组织制裁等重大合规风险事件，造成或者可能造成企业重大资产损失或者严重不良影响的，应当由首席合规官牵头，合规管理部门统筹协调，相关部门协同配合，及时采取措施妥善应对。

　　5.合规管理体系框架的执行层中“三道防线”明确各岗位职责

　　第一道防线是中央企业业务及职能部门，承担合规管理主体责任，主要履行以下职责：（1）建立健全本部门业务合规管理制度和流程，开展合规风险识别评估，编制风险清单和应对预案。（2）定期梳理重点岗位合规风险，将合规要求纳入岗位职责。（3）负责本部门经营管理行为的合规审查。（4）及时报告合规风险，组织或者配合开展应对处置。（5）组织或者配合开展违规问题调查和整改。

　　第二道防线是中央企业合规管理部门，牵头负责本企业合规管理工作，主要履行以下职责：（1）组织起草合规管理基本制度、具体制度、年度计划和工作报告等。（2）负责规章制度、经济合同、重大决策合规审查。（3）组织开展合规风险识别、预警和应对处置，根据董事会授权开展合规管理体系有效性评价。（4）受理职责范围内的违规举报，提出分类处置意见，组织或者参与对违规行为的调查。（5）组织或者协助业务及职能部门开展合规培训，受理合规咨询，推进合规管理信息化建设。

　　第三道防线是中央企业纪检监察机构和审计、巡视巡察、监督追责等部门，依据有关规定，在职权范围内对合规要求落实情况进行监督，对违规行为进行调查，按照规定开展责任追究。

　　6.合规管理体系框架的合规风险管控机制更加健全

　　（1）预警机制。中央企业应当建立合规风险识别评估预警机制，全面梳理经营管理活动中的合规风险，建立并定期更新合规风险数据库，对风险发生的可能性、影响程度、潜在后果等进行分析，对典型性、普遍性或者可能产生严重后果的风险及时预警。

　　（2）整改机制。中央企业应当设立违规举报平台，公布举报电话、邮箱或者信箱，相关部门按照职责权限受理违规举报，并就举报问题进行调查和处理，对造成资产损失或者严重不良后果的，移交责任追究部门；对涉嫌违纪违法的，按照规定移交纪检监察等相关部门或者机构。中央企业应当建立违规问题整改机制，通过健全规章制度、优化业务流程等，堵塞管理漏洞，提升依法合规经营管理水平。

　　（3）追责机制。中央企业应当完善违规行为追责问责机制，明确责任范围，细化问责标准，针对问题和线索及时开展调查，按照有关规定严肃追究违规人员责任。中央企业应当建立所属单位经营管理和员工履职违规行为记录制度，将违规行为性质、发生次数、危害程度等作为考核评价、职级评定等工作的重要依据。

　　（4）考核机制。中央企业应当定期开展合规管理体系有效性评价，针对重点业务合规管理情况适时开展专项评价，强化评价结果运用。中央企业应当将合规管理作为法治建设重要内容，纳入对所属单位的考核评价。

　　（5）培训机制。中央企业应当建立常态化合规培训机制，制定年度培训计划，将合规管理作为管理人员、重点岗位人员和新入职人员培训的必修内容。

　　7.合规管理体系框架应建立合规管理信息系统

　　中央企业应当加强合规管理信息化建设，结合实际将合规制度、典型案例、合规培训、违规行为记录等纳入信息系统。中央企业应当定期梳理业务流程，查找合规风险点，运用信息化手段将合规要求和防控措施嵌入流程，针对关键节点加强合规审查，强化过程管控。中央企业应当加强合规管理信息系统与财务、投资、采购等其他信息系统的互联互通，实现数据共用共享。中央企业应当利用大数据等技术，加强对重点领域、关键节点的实时动态监测，实现合规风险即时预警、快速处置。

　　结语

　　合规管理是企业可持续发展的基石，是企业防控合规风险、提升核心竞争力的重要保障。随着经济活动的全球化，营造开放透明和公平有序的营商环境、强化对企业的合规监管已成各国共识。国有企业是我国市场的中坚力量，也是合规管理的主力军，应当在强化合规管理、遵循国际规则标准方面发挥引领示范作用。