文 北京理工大學法學院 孟強 江蘇寧滬高速公路股份有限公司 卞傳山 巨杉

企業(yè)合規(guī)制度建設層級要求

建立合規(guī)管理制度體系

建立合規(guī)管理制度體系是對企業(yè)合規(guī)管理制度建設的總體要求，合規(guī)管理應當形成一個制度體系，而不能只有一些零散的管理規(guī)定。由于企業(yè)合規(guī)涉及到的風險點非常廣泛，包含從法律到紀律、從國家規(guī)定到行業(yè)要求，再到企業(yè)章程等方方面面，因此必須建立系統(tǒng)、完善的合規(guī)制度，才能有效進行企業(yè)合規(guī)治理，預防合規(guī)風險的發(fā)生，防止“頭疼醫(yī)頭，腳疼醫(yī)腳”。具體而言，企業(yè)應當全面梳理該系統(tǒng)內(nèi)有關合規(guī)管理的制度文件，并根據(jù)各個文件的適用范圍、效力層級等情況，建立以基本制度、重點領域合規(guī)指南、操作手冊等為主體的分級分類合規(guī)管理制度體系，讓合規(guī)管理有章可循、有據(jù)可依、綱舉目張。

制定合規(guī)管理基本制度

制定合規(guī)管理基本制度是整個制度體系的主干，是對企業(yè)合規(guī)管理中一些基礎性、全局性問題的管理規(guī)定。制定合規(guī)管理基本制度，關鍵要明確合規(guī)管理的總體目標、各個機構的職責、總體管理流程、合規(guī)管理的考核監(jiān)督及獎懲問責等基本事項。此外，一些高速公路企業(yè)還承擔了國家“一帶一路”倡議相關境外建設業(yè)務。對涉外業(yè)務較多的大型企業(yè)來說，還可以針對特定業(yè)務領域或國別（地區(qū)）的合規(guī)要求，結合在當?shù)亻_展業(yè)務的實際需要，制定相應的涉外業(yè)務合規(guī)管理辦法，并將其納入企業(yè)合規(guī)管理的基本制度之中。

制定重點領域的合規(guī)管理制度

在合規(guī)管理基本制度的基礎上，企業(yè)還應當結合自身情況，針對合規(guī)風險較高的業(yè)務領域制定專項合規(guī)管理指南，強化對重點領域合規(guī)風險的防范。例如，企業(yè)應當根據(jù)自身業(yè)務經(jīng)營的情況，除了在市場交易、安全環(huán)保、產(chǎn)品質(zhì)量、勞動用工、財務稅收、知識產(chǎn)權、商業(yè)伙伴等傳統(tǒng)重點領域，制定專項合規(guī)管理指南之外，還要對一些新興的合規(guī)審查熱點領域，如反壟斷與公平競爭、廣告、消費者權益保護、反腐敗、反欺詐、關聯(lián)交易、網(wǎng)絡安全與信息保護、出口管制等，結合企業(yè)業(yè)務開展的深度和廣度，制定專項合規(guī)管理指南。

制定合規(guī)管理崗位職責清單

僅有合規(guī)制度尚不完備，還必須將責任落實到人，并予以制度化。因此，企業(yè)應當全面梳理各部門崗位的合規(guī)風險，制定崗位合規(guī)職責清單，依據(jù)風險水平等開展分級管理，將合規(guī)要求納入具體崗位職責。

合規(guī)管理制度動態(tài)修訂完善

由于合規(guī)管理需要應對包括法律風險、政策風險、道德風險、外交風險等在內(nèi)的全方位、動態(tài)化風險，所以合規(guī)制度建設切忌僵化滯后、一成不變。對此，企業(yè)應當定期修訂完善企業(yè)規(guī)章制度，并結合法律法規(guī)修訂、政策變化和監(jiān)管動態(tài)等，及時將外部合規(guī)要求轉化為內(nèi)部規(guī)章制度，實現(xiàn)合規(guī)管理制度的與時俱進、動態(tài)更新。

企業(yè)合規(guī)管理制度建設步驟

合規(guī)風險防控并非針對某一個局部的風險，而是需要企業(yè)管理的各個環(huán)節(jié)都提前預防、積極參與才能有效控制和消除。因此，企業(yè)的合規(guī)管理必須首先建立合規(guī)管理體系，并在此框架下逐步推進。但有別于傳統(tǒng)的由局部到整體的“點、線、面”的建設步驟，企業(yè)應當根據(jù)自身的業(yè)務范圍、規(guī)模大小、人員多少等實際情況，采取由面及點、再從點到面的“面、點、面”的步驟建設合規(guī)管理制度。

具體而言，第一步是建立企業(yè)合規(guī)管理的“面”，先建立企業(yè)合規(guī)管理制度體系，設立合規(guī)管理組織，制定總體合規(guī)管理指南。例如大型企業(yè)就可以先在總部設立合規(guī)組織，制定企業(yè)集團總體的合規(guī)管理制度體系和總體指南。

第二步是落實企業(yè)合規(guī)管理的“點”，將一些合規(guī)風險較為突出的關鍵職能部門或重點業(yè)務部門作為合規(guī)試點，先行強化合規(guī)管理制度運行，積累合規(guī)管理經(jīng)驗、培養(yǎng)合規(guī)管理人才、培育合規(guī)意識，通過合規(guī)制度的實際運行情況糾偏、修改、補充和完善事先制定的合規(guī)制度。大型企業(yè)集團也可以選擇個別子公司作為合規(guī)管理制度建設的試點來運行合規(guī)制度。

第三步是回歸到制度體系全部運行的“面”。由于經(jīng)過試點經(jīng)驗總結的合規(guī)制度體系更加符合企業(yè)的實際情況，此時全面推行的時機已經(jīng)成熟，要將企業(yè)制定的合規(guī)制度體系擴展到其他部門或其他子公司，最后實現(xiàn)企業(yè)各部門、各控股公司的合規(guī)管理全覆蓋、全運行，真正實現(xiàn)企業(yè)的全面合規(guī)管理。

企業(yè)合規(guī)管理運行機制

在企業(yè)合規(guī)管理制度建立之后，即會進入企業(yè)合規(guī)管理的正式運行階段。從合規(guī)風險識別到有效應對，再到事后整改，企業(yè)合規(guī)管理一般遵循如下運行機制。

合規(guī)風險的識別

當企業(yè)經(jīng)營行為未符合合規(guī)要求、未履行合規(guī)義務，就會引發(fā)合規(guī)風險。合規(guī)義務來源于企業(yè)合規(guī)規(guī)范，包括企業(yè)所面臨的來自國際法與國內(nèi)法、法律和紀律、商業(yè)慣例和道德規(guī)范等各種層面的合規(guī)要求，以及企業(yè)自主做出的合規(guī)承諾。

企業(yè)應當定期修訂完善企業(yè)規(guī)章制度，實現(xiàn)合規(guī)管理制度的與時俱進。供圖 湖南省高速公路集團有限公司

根據(jù)企業(yè)業(yè)務領域、經(jīng)營范圍、發(fā)展過程的不同，可以將各類企業(yè)合規(guī)義務大致分為三類。第一類是基礎性的合規(guī)義務，幾乎所有企業(yè)都要面臨來自國內(nèi)法律法規(guī)和規(guī)章的強制性要求，例如資格資質(zhì)合規(guī)、勞動用工合規(guī)、安全生產(chǎn)合規(guī)、消防安全合規(guī)、財務合規(guī)、稅務合規(guī)、審計合規(guī)等。第二類是企業(yè)在生產(chǎn)經(jīng)營環(huán)節(jié)中產(chǎn)生的合規(guī)義務。從采購、生產(chǎn)到銷售，在企業(yè)生產(chǎn)經(jīng)營的鏈條形成過程中，不同環(huán)節(jié)都可能涉及相應的合規(guī)問題，例如采購合規(guī)、產(chǎn)品質(zhì)量合規(guī)、倉儲物流合規(guī)、銷售合規(guī)、消費者權益保護合規(guī)等。第三類是專業(yè)前沿合規(guī)義務，即一些具有較強研發(fā)能力或者形成規(guī)模效應的企業(yè)所面臨的特別合規(guī)義務，主要是知識產(chǎn)權合規(guī)、反壟斷合規(guī)、反不正當競爭合規(guī)、信息與數(shù)據(jù)安全合規(guī)等。

合規(guī)風險清單的制定

為了有效識別合規(guī)風險，合規(guī)管理部門應當根據(jù)企業(yè)自身情況，提前制定企業(yè)合規(guī)義務清單，建立合規(guī)風險庫。要根據(jù)合規(guī)風險管理的目標領域和范圍，收集適用于企業(yè)所在領域的所有合規(guī)規(guī)范，全面系統(tǒng)梳理經(jīng)營管理活動中存在的合規(guī)風險，并根據(jù)行業(yè)監(jiān)管重點和企業(yè)經(jīng)營情況對其分類，系統(tǒng)分析風險發(fā)生的可能性、影響程度、潛在后果等，制定細化到企業(yè)內(nèi)部各部門的合規(guī)義務清單，尤其要留意查找合規(guī)風險事件，收集違規(guī)案例。例如通過關注和搜集本企業(yè)、同類企業(yè)或同行業(yè)曾經(jīng)發(fā)生過的合規(guī)問題和違規(guī)案例，以及相關的司法裁判案例，發(fā)掘企業(yè)可能存在的合規(guī)風險。

合規(guī)風險的監(jiān)測和預警

制定了合規(guī)風險清單，就需要日常監(jiān)測識別出合規(guī)風險。實施合規(guī)風險監(jiān)測，要根據(jù)監(jiān)測的目標合規(guī)風險來制定監(jiān)測計劃，設計監(jiān)測指標，組成監(jiān)測小組并明確職責分工，制作監(jiān)測報告。在監(jiān)測中，一般將合規(guī)風險監(jiān)測的級別劃分為正常、關注、特別關注、風險預警與風險形成5個級別，對于典型性、普遍性和可能引發(fā)了較嚴重后果的風險，或經(jīng)監(jiān)測發(fā)現(xiàn)可能會發(fā)展為合規(guī)風險的事件，要及時發(fā)布風險預警。

企業(yè)應當定期完善應急預案，不斷提升合規(guī)風險處置能力。

合規(guī)風險的應對

針對預警的合規(guī)風險，要采取有效措施及時應對處置。對此，要事先擬定并完善合規(guī)風險應對機制，針對發(fā)現(xiàn)的風險制定預案，采取有效措施，予以及時處置。如果發(fā)生了重大合規(guī)風險事件，合規(guī)委員會應當統(tǒng)籌領導，由首席合規(guī)官牽頭，相關部門加強協(xié)同配合，采取妥善應對措施，力爭最大限度化解風險、降低企業(yè)損失。為了保持風險應對能力，企業(yè)應當定期完善應急預案，強化日常演練，不斷提升對重大合規(guī)風險對應對處置能力。

合法合規(guī)性審查

除合規(guī)風險的發(fā)現(xiàn)及應對外，企業(yè)還需要建立健全合法合規(guī)性審查機制，并將其作為日常經(jīng)營管理行為的必經(jīng)前置程序。對此，業(yè)務部門要加強對領域內(nèi)日常經(jīng)營管理行為的審核把關，合規(guī)管理部門要加大對規(guī)章制度制定、重大決策事項、重要合同簽訂、重大項目運營等合法合規(guī)性的審查力度，必要時可對業(yè)務部門審核結果復審，對嚴重違反法律法規(guī)或企業(yè)規(guī)章制度的行為予以一票否決，并將相關情況報告公司管理層。

在合法合規(guī)性審查中要處理好法律審查與合規(guī)審查的關系，前者是后者的重要組成部分與核心內(nèi)容，兩者存在重疊、交叉，但前者并不等同于后者，后者審查的范圍要比前者更廣。因此，要妥善處理好法律審查與合規(guī)審查的關系，厘清各自的職責邊界，避免機構的重疊和人員的重復勞動。此外，企業(yè)的審計、監(jiān)察、內(nèi)控、法律、安全生產(chǎn)、風險管理、質(zhì)量環(huán)保等相關部門，也都需要在各自職權范圍內(nèi)對各部門的經(jīng)營管理行為進行合法合規(guī)性審查，履行合規(guī)管理職責。

事后問題整改

對合規(guī)風險應對及合法合規(guī)性審查中暴露的問題，要在事后及時整改，通過健全制度機制、優(yōu)化業(yè)務流程等方式，堵塞管理漏洞，形成長效機制。合規(guī)管理部門持續(xù)關注和跟蹤對事后問題的整改情況，指導并監(jiān)督相關部門完成全面、及時整改，并及時向公司管理層報告整改進展情況。對于企業(yè)集團來說，集團總部應當定期檢查合規(guī)整改情況，根據(jù)需要將其納入對各業(yè)務部門、分支機構、子公司及工作人員的績效考核范圍。

合規(guī)舉報

合規(guī)舉報也是合規(guī)管理運行中的重要環(huán)節(jié)，便于及早發(fā)現(xiàn)企業(yè)及員工存在的違法行為，及時處理合規(guī)風險。對此，要健全合規(guī)舉報制度，設立違規(guī)舉報平臺，對外公布首席合規(guī)官及職責、舉報電話、郵箱和信箱。合規(guī)管理部門應按照職責受理違規(guī)舉報，并就舉報問題做出調(diào)查和處理，涉嫌違紀違法的，要與紀檢監(jiān)察協(xié)調(diào)合作，及時將案件線索移交相關紀檢監(jiān)察機構處理。進行調(diào)查的部門和相關人員應當對舉報人的身份和舉報事項嚴格保密，任何單位和個人不得采取任何形式對舉報人進行打擊報復。

合規(guī)報告與總結

此外，企業(yè)應當完善合規(guī)報告與總結制度，企業(yè)合規(guī)報告包括年度合規(guī)報告、合規(guī)監(jiān)管報告和專項合規(guī)報告。企業(yè)運營中，一旦發(fā)生合規(guī)風險事件，合規(guī)管理牽頭部門和相關部門應當?shù)谝粫r間向企業(yè)管理層和董事會報告報告，國企重大合規(guī)風險事件后還應當及時向國資委和有關部門報告。合規(guī)管理牽頭部門應當在每年年底全面總結合規(guī)管理工作情況，年度報告應當經(jīng)董事會審議，國企還應當將年度報告及時報送國資委。

企業(yè)合規(guī)管理評估

企業(yè)合規(guī)管理評估是企業(yè)合規(guī)管理體系的重要構成要素，是合規(guī)管理運行的重要內(nèi)容。企業(yè)有必要結合自身實際情況，制定企業(yè)合規(guī)管理評估工作的具體合規(guī)管理制度，對評估組織形式、評估范圍、評估內(nèi)容、評估程序和方法、評估報告、評估問責等作出明確規(guī)定。企業(yè)的合規(guī)管理評估是企業(yè)合規(guī)部門對企業(yè)合規(guī)管理有效性的自我審查、評價、監(jiān)督和持續(xù)改進，也是對企業(yè)各部門、負責人和員工進行評價、考核與追責的依據(jù)。

建立合規(guī)管理評價機制后，合規(guī)管理牽頭部門應當定期對合規(guī)管理體系運行情況進行全面評價，針對重點業(yè)務合規(guī)情況可以適時開展專項評價，對合規(guī)風險和違規(guī)問題組織整改，將合規(guī)管理情況作為法治建設重要內(nèi)容，納入對各部門和子企業(yè)負責人的年度綜合考核，細化評價指標，并對員工建立個人違規(guī)行為記錄制度，作為個人年度考評、評優(yōu)評先的依據(jù)。此外，企業(yè)還要完善違規(guī)行為追責問責機制，明確違規(guī)責任范圍，細化懲處標準，針對反映的問題和線索，及時開展調(diào)查，按照有關規(guī)定嚴肅追究違規(guī)人員責任。

企業(yè)合規(guī)文化建設

企業(yè)文化對企業(yè)全體員工的影響是潤物無聲而又影響深遠的，因此，企業(yè)合規(guī)管理的最終目的是建立企業(yè)合規(guī)文化，確保企業(yè)安全持續(xù)經(jīng)營，達成企業(yè)經(jīng)營目標。建立企業(yè)合規(guī)文化，首先要求從領導做起，加強管理層合規(guī)培訓學習，不斷提升企業(yè)領導人員合規(guī)意識，帶頭依法依規(guī)開展經(jīng)營管理活動；其次，要通過制定合規(guī)手冊、簽訂合規(guī)承諾、開展合規(guī)宣誓等方式確保全體員工樹立守法誠信、合規(guī)經(jīng)營的合規(guī)理念；最后，還要建立制度化、常態(tài)化的合規(guī)培訓機制，加大對企業(yè)員工的培訓力度，進一步提升干部職工合規(guī)意識。

要建立制度化、常態(tài)化的合規(guī)培訓，提升干部職工合規(guī)意識。胡光銀 攝