国有企业合规管理体系建设的难点和解决｜iLaw

国有企业合规管理在全国范围内是比较重点的合规方向，跟涉案企业合规管理、专项合规并行，是企业合规管理的三大主线之一。目前合规管理第一大主线是国有企业合规管理。第二大主线是涉案企业合规管理。第三大主线是专项合规，例如数据、环保、安全等等专项合规管理。目前国有企业合规管理已经实现了央企、省属、市属、区属的全覆盖。

1.国有企业合规以国资委推动为主。2022年中央企业合规强化年工作会议，多次强调了合规管理体系的要求，各省市国资委也相应出台相关政策。国有企业广义来说包括国资委管理的企业，也包括财政系统管理的企业等。以国资委为例，国务院国资委在2016年就选取了5家国有企业来做合规的试点。2018年发布《中央企业合规管理指引（试行）》，2022年中央企业推进到合规强化年，全国各地合规开展情况已经是如火如荼地进行了。以深圳市为例，现在深圳市属国企已经在一级企业全面开展，二级企业处于部分试点。

2.除了国资委的助力，最高检、最高法、行政监管机关也在推动。最高检、最高法、行政监管机关对合规不起诉、减轻从轻的措施，以及行政合规不予处罚、典型处罚的推动力对国内企业也是比较大影响的。

3.国外法律法规的要求。随着一带一路的战略规划的进行，国有企业去走出去的途中，需要面临各个国家和地区出台的各种合规法律要求。现在国有企业所打交道的对象很多是世界500强等，属于比较广泛的世界500强供应链群体，供应链的要求也倒逼企业进行合规的建设。

4.社会经济发展趋势的要求。经济社会发展要保产值、保就业、保税收，国有企业就是国有资产的保值升值的问题，违规经营现处罚是非常严厉的，也促进我们国有企业管理合规的一个方向；此外，数字化监管力度也非常强，这种监管趋势从客观上要求企业重视合规。

目前国有企业合规管理体系主要分为以下几个层级。

第一层级是以中央企业为例，已经普遍推进到各级企业。一级中央企业的合规管理的一轮建设已经完毕，现在普遍处于二轮，二级中央企业现处于比较广泛的试点企业。中央企业有明确的要求，层级不能超五级，五级的中央企业以自己的名义开展党的合规管理建设比较少，因为其母公司有一套合规管理体系，很多将母公司体系照搬借鉴形成自己的一套体系。

第二层级就是省属企业。省属企业普遍在各省已经试点完成。广东、重庆、云南之类的一级企业已经试点完毕，处于大规模的铺开阶段，一般来说一级企业也会带动一些二级企业同时试点。

第三层级就是市属企业。以深圳为例，作为副省级城市目前普遍处于试点的阶段，没有强制地、全面地去铺开，下面的子公司也普遍处于试点阶段。对于区县属企业基本上都只处于试点阶段，没有强制性要求全面进行。

简单来说，目前合规管理体系这现状普遍大型企业、层级高的企业合规管理潜力非常大。另一方面也反映出其实国有企业的这个合规的要求并没有强制性要求。

目前我国国有企业合规业务玩家除了律师事务所，还有以下几种机构：合规研究机构引申——各类合规智库、风险管理机构引申——风险管理（ERM）公司、内部控制业务引申——四大、各类会计师事务所、咨询公司、从信息话系统介入合规业务——技术服务公司等。

国有企业进行合规管理体系建设主要是以下三种模式：

1.依据《中央企业合规管理办法》。企业依据《中央企业建设合规管理办法》制定合规行为准则、运行机制文件化、信息化，设置三道防线等；

2.ISO37301:2021与《中央企业合规管理办法》融合。将上级要求，结合企业当前面临的困难或员工、领导、供应商、企业上下游的期待相结合制定相应的合规管理体系。

3.合规管理、风险管理、内部控制融合（CRI）。合规管理、风险管理、内部控制融合是必然的，例如采购的流程就需要合规管理、风险管理、内部控制全流程介入。对融合后面临交叉的问题，可以明确负责板块来解决，例如合规管理跟风险管理交叉就是合规风险管理，合规管理和内部控制化重叠属于合规的内部控制。

企业经营者准确理解合规的能力边界是十分重要的。从合规的正面边界来看，我们需要清楚合规具体可以做什么。对企业经营者来说，企业内部规则如何完善，如何将外规化内规，具体怎么样去实践，这些都是合规的内容，只有准确理解合规的定义之后才知道具体规则怎样去合。从合规的负面边界来看，合规并不是万能的。合规管的主要是企业面临的中高风险，如果将合规泛化反倒会加重企业管理负担。此外，合规对于不明显冲突的地方发挥的作用是有限的。只有当规则明确的时候合规才变成一个具体的问题，当缺乏详细的规则和标准时，合规很难发挥它的作用。

涉案企业合规面临的问题之一是合规管理时间投入远远不够。相较于普遍企业合规整改时长为3-6个月，中兴通讯受美国的监管期限分别长达5年、10年。如果一个企业没有长期性的监管很难形成合规的基础，合规需要持续投资长期贯彻执行。此外，企业的合规管理体系也是随着企业业务变化需要进行阶段性调整和建设的。企业面临新领域的业务时，如果将之前的一套合规体系生搬硬套就不足以应对这些新场景。

目前企业合规管理主要依据的文件是比较单薄的，客观来说，合规并不是发源于我国，只是在我国发展得相当迅速。对于新规定被制裁的风险非常高时，企业需要针对此风险制定一个合规解决方案。比如说我们常讨论的这个廉洁合规与诚信合规在全球性的文件当中是同一个概念。对于境内有明确的法律术语的我们可以参考境外的相关法律规定，把思路打开，将全球的智慧融入进来，广泛寻求智慧。

1.首席合规官的投入不足。

按照合规体系的要求，首席合规官作为领导层成员是自然而然的事情，但是国有企业的首席合规官任命其实是相当困难的。甚至重点国有企业的高管领导班子是组织部任命，设置的考察因素相当多，并且现在首席合规官普遍都是总法律顾问来兼任，这要求任职人员具备法律职业资格。但在领导层中具备法律职业资格的人选少之又少。这些矛盾始终是存在的，需要综合性、长期性的解决。

2.高层投入不足。

合规团队、合规咨询机构入场时，是否有高层的重视和投入对企业合规管理建设也有至关重要的影响。高层的协调能极大程度助力企业合规管理建设，只有高层重视才能调动更多的力量实现企业合规的高期待。

3.各部门投入不足。

例如对于财务的数据，财务部门的人员才有专业能力，没有做过这方面工作的人，很难了解到各部门的专业事务。所以各部门的投入是需要深入参与的。如果是合规管理部门牵头，合规的管理部门在做，其他部门没有动作的话，没有跟其他部门的要求、其他部门的任务相结合的话，国有企业的合规管理就很难做好。

4.合规人员投入不足。

客观来说国有企业的编制十分有限，人员的专业能力，人数上普遍都存在这个投入不足的这种情况。不管是专职的合规人员还是兼职合规人员都存在任命的实际困难。

5.合规经费投入不足。

例如一个中等规模的企业做合规年预算二三十万的这种经费的情况，客观上来说就是肯定是不足的。合规管理全部做完，要投入非常多的人力跟精力。较于正常的收费期间来看，中型国有企业需要50-60万左右，小型的国有企业就是30万左右，这只是合规管理体系，不包括风险管理和内部控制问题。

6.合规信息化投入不足。

很多时候合规管理部门指挥不了信息化部门。合规管理、风险管理、内部控制在绝大多数企业当中是首席合规官管。合规管理、风险管理、内部控制的管理手段如果没有信息化的支持很难进行实质性的落地。

7.合规专业化投入不足。

目前企业普遍缺少真正的合规管理的专业人才，在企业里面通常合规管理部门负责人很多也是现学之后跟其他部门分享。如果合规人员停留在这种认识或者没有意识到合规任务艰巨性之前，很难高效开展合规管理工作。

做合规管理也要懂内控，不懂内控的企业合规经不起时间的考验。比如企业是否考虑过授权审批控制机制、会计系统控制机制、财产保护机制、预算控制机制、经营运营分析控制机制、绩效考评考核、重大风险预警、突发事情应急等传统的这个内部控制活动，是否一一融合进合规管理形成流程化可控制节点的体系？

合规风险只是风险的一种。还有更多的风险如有政治风险、自然灾害风险、商业上、决策上的风险等等，这不是合规能够解决的，是需要通过风险管理来去解决的，合规风险是风险的一种特定类型，并且可以通过合规的方式能够更好地控制风险。

首先，合规风险源是清晰的。依据相关的法律法规合规有清晰明确的定义，合规义务是一种清晰的具有指导性的规则，企业的行为是否违反了合规的规则是有预见性的，可以预见违反了哪些规则会产生怎样的风险。其次，违反合规义务后果是可以评估的。不像自然灾害风险之类的，违反合规义务带来的后果是有预见性的、可评估的。违反合规义务的后果可能就有面临相关的处罚的可能性。再次，合规风险也分中高低风险。例如企业常见的劳动用工当中的一个典型问题就是没有按照实际工资的比例足额缴纳社保。评估此类行为的风险就得查询实际案例中类似案例的处罚结果。但在实践过程中，许多企业并没有遭受到实质性的处罚，所以评估风险也不是一概而论的。合规风险跟风险管理的这个思维要保持一致，例如安全生产的合规管理其实就是风险导向的合规管理，它们内部对应是一致的。最后，合规风险的应对方式比较清晰。企业按照规定遵守合规义务，整改解决方案比较明确。但风险是实时变化的，企业的外部环境、经营、领导、组织架构在变，合规风险判断不是一劳永逸的，风险管理本质上就把风险源给控制住。合规风险也是一样，例如在利冲审查方面规定缺失就无法识别利冲风险，这是风险真正的根源。

企业合规的第一步是理清规则，许多国有企业内部制度混乱、制度的分级混乱，制度分级不恰当会导致许多制度之间相冲突。例如操作制度作为第三层级的制度那企业的基本制度就是第二层级，随之企业的章程或规章等就得定位于第一层级。层级明确后将各个层级制度进行梳理，识别出企业合规中面临的中高风险并对应提出解决方式；企业合规的第二步是减规，企业管理不需要太多制度，企业合规制度不能是在原有制度的基础上加入合规管理制度进行机械的融合，这样企业管理制度只会越来越冗杂影从而影响效率，合规管理的工作重心是针对中高风险提出相应的解决措施；企业合规的第三步是改规即改变规则，将企业的合规义务梳理后将外规内化再将企业特定的中高风险合规细化；企业合规第四步就是创设规则，合规得现有规再去谈合规，如果一个企业连规则都没有，那就需要先创立规则，创设完规则后才会到合规管理的讨论范围，法无禁止即自由，将负面清单明确后企业有更广阔的发展空间。

1.需要外部合规团队深层次原因。

对许多企业来说，在此之前没有深层次的接触过合规管理，企业在选取合规团队时也难以辨别真正有能力的服务团队，合规服务团队也没有很强的说服能力。许多国企委托了外部的这个招标机构来进行，但这样选取的合规管理团队人员经常水平有限。因为辨别合规的综合能力和难度都非常高，例如按理论上来说，合规有一票否决权，但一票否决权怎样设计才能发挥作用又是一大难题。

2.合规服务存在的困难。

目前合规服务工作量与报酬不对等，经济下行导致企业合规预算减少；另一方面，合规人才稀缺，合规团队的服务能力导致很多机构没有让企业体会到合规的好处，帮他解决的真正的问题。选取合规服务机构，首要的是有相关合规服务经验，主营合规业务。此外，用非合规领域的专家评审合规事宜要谨慎。

合规信息化简而言之就是规则的信息化，没有信息化的辅助合规能难执行落地，企业需要定期梳理业务流程将其嵌入业务流程。合规信息化不是简单将线下的内容搬到线上，是对企业等组织整体改造。所以企业想进行合规信息化，需要考虑是否愿意接受高昂的建设费用和转型阵痛。