合规体系不简单？看《合规指引》如何破解难题

如前一篇文章所言，当下中国企业合规管理已经有了具体的指导方针和操作指引（详细参见：《你的企业合规及格了吗？看看〈合规指引〉如何打分 》，澎湃商学院， 2019-05-14），诚然企业并无搭建合规体系的模式或范本，但万变不离其宗，完成企业合规体系搭建必然应从落实文件精神和规定着手。本文拟结合近期出台的各类规范性文件，尤其是2018年底集中出台的《中央企业合规管理指引（试行）》（国资发法规[2018]106号，以下简称“央企指引”）、《企业境外经营合规管理指引》（以下简称“跨境指引”），解读企业如何顺利完成合规体系搭建的前期工作。

根据我国《合规管理体系指南（ISO19600：GB/T 35770：2017）》的定义，合规管理体系流程如下：

我们建议企业在开始设计和制定合规体系之初，即应全面考虑企业所处国家、地区、行业及企业自身四个层面上的风险特征、规则要求和现实情况，以便制定出既能保障企业履行合规义务、符合相关要求，又能帮助企业用正确的方式运营、发展和实现企业目标的合规体系。

一、设计企业合规管理的制度框架

权衡了合规管理制度的风险因素之后，一个非常重要的环节就是设计企业合规管理的制度流程框架。合规制度不是孤立静态的某个文件，它是由不同层次的管理制度文件和流程共同构架的一个制度体系，是企业一系列需遵守的规范和流程的总和。

《央企指引》指出：要“建立健全合规管理制度，制定全员普遍遵守的合规行为规范，针对重点领域制定专项合规管理制度，并根据法律法规变化和监管动态，及时将外部有关合规要求转化为内部规章制度”。而《跨境指引》提到了行为准则、管理办法、操作流程三个层面的合规管理制度。

现实操作中，法律法规和行业标准等并不能自动成为企业合规工作的依据，只有将它们转换为可操作的具体制度或操作手册和流程，才能被员工实际执行。因此，一方面外部的法律法规要通过一定的转化嵌入到企业的各项规章制度中，另一方面，企业也应从岗位需要出发，使内部的管理制度满足外部法规的要求。

总结而言，我们认为企业的合规管理制度文件可以包括如下三个层次：

二、搭建合规管理的组织架构

对整体合规风险的管理，建议公司可以采用分层架构、集中管理的模式。

如《央企指引》中，明确规定中央企业合规管理的主体包括董事会、监事会、经理层、合规委员会、合规管理负责人、合规管理牵头部门、业务及相关部门等七个主体。在《跨境指引》中也提到企业可结合发展需要建立权责清晰的合规治理结构，在决策、管理、执行三个层级上划分相应的合规管理责任。虽然这两份指引主要针对中央企业和跨境企业，但这样的合规管理主体架构符合一般公司的治理结构，无论各类公司具体职权责如何设立，基于公司治理的角度，上述指引中的合规组织架构的建议对于多数公司而言，具有参考意义。

具体而言，企业可以结合自身的需求、人员结构建立合规组织：

决策层面：董事会有义务履行公司合规经营的责任，应当对公司合规治理和合规管理总负责，因此，合规可由董事会直接管理，或在董事会下设风险管理委员会、审计委员会或专门设立合规委员会等；监事会作为公司内部的监督机构，对于企业合规经营和管理，也应当履行其监督职能。经理层应当全面推进公司的合规管理，并根据岗位和职权的分工对公司合规管理负相应的管理责任。

独立的合规部门：可以设首席合规官、合规总监、合规负责人，合规专员等，对于一些规模较小的企业，也可与法律部门、风控部门等单独或联合执行合规管理职责。

具体实施层面：各业务部门实际上也是合规管理真正的完成和实施者，识别和排查业务流程中的合规风险，发布合规预警；在本部门具体落实上级部门的合规要求、管理制度和流程；主动开展合规风险识别和隐患排查，组织合规审查；及时向合规管理牵头部门通报风险事项；妥善应对合规风险事件；做好本领域合规培训和商业伙伴合规调查等工作；组织或配合进行违规问题调查并及时整改。监察、审计、法律、内控、风险管理、安全生产、质量环保等相关部门，在职权范围内履行合规管理职责。

可以说，在各合规管理制度的风险因素下，设计企业合规管理的制度流程框架、搭建合规管理组织在合规体系搭建初期显得非常重要，两份《指引》均对该问题进行了如上文所述的明确指引，降低了企业落实文件这一现实问题的难度。在前期工作准备就绪后，合规体系搭建的重点便在于具体的实务实施了。

（作者刘炯为上海市锦天城律师事务所高级合伙人，胡岚岚为上海市锦天城律师事务所资深律师）