2022年8月，国务院国资委以国资委令的形式印发《中央企业合规管理办法》，通过部门规章对中央企业进一步深化合规管理提出明确要求，与《中央企业合规管理指引（试行）》相比更加突出刚性约束，内容更全、要求更高、措施更实。国有企业的合规管理从中央到地方已经开启“合规强制模式”。随着中央企业和地方国有企业依次进入合规体系建设“强化年”和“提升年”阶段，合规管理体系建设工作驶入快车道，国有企业合规管理体系建设服务需求将进一步提升。本文将简要概括国有企业合规管理体系建设中需要关注的要点以期有益于合规管理实践。

摘要：近年来，国务院国资委积极推动国有企业合规管理体系建设，在早期交流探索国外先进经验后，启动了试点建设工作，不断深化认知、积累经验，随着《中央企业合规管理指引（试行）》和《中央企业合规管理办法》的相继印发，国有企业合规管理经历了由浅入深、由点到面、步步深化的过程，现国有企业合规管理建设已经进入全面开展阶段，需要总结分析合规管理体系建设过程中的成功经验和成熟做法，提炼合规管理体系建设实务中需要关注的要点，更好的服务于国有企业合规管理体系建设。

关键词：国有企业 合规管理体系 三张清单 专项合规

国有企业开展合规管理体系建设工作，从法律适用角度看，是法律法规直接赋予国有企业的法定义务必须予以履行，如《中央企业合规管理办法》属于部门规章，具有普遍的法律约束力；从行政管理角度看，是国家自上而下推动的以规范企业经营管理行为和员工履职行为为目的提出的一系列企业规范管理要求，必须贯彻落实。

近年来，多部门出台了一系列合规管理政策及指引，北京、上海、江苏、安徽等各地方国资委陆续发布了合规管理相关办法和要求，进一步落实国务院国资委《关于加强地方国有企业法治建设的指导意见》中关于合规管理体系建设的要求。在国家层面，国资委印发的《中央企业合规管理指引（试行）》《中央企业合规管理办法》、发改委、外交部、商务部等联合印发的《企业境外经营合规管理指引》对中央企业合规管理提出了明确要求；在地方层面，已有不少于20家地方省级国资委出台了合规管理规范性文件。如北京市国资委制定印发了《市管企业合规管理工作实施方案》、《市管企业合规管理指引（试行）》；上海市国资委制定印发了《上海市国资委监管企业合规管理办法》，并配套印发了《上海市国资委监管企业合规管理系列指南（2022版）》；江苏省国资委印发了《省属企业合规管理指引（试行）》，并制定了《省属企业合规管理办法》；安徽省国资委印发了《安徽省省属企业合规管理指引》，并陆续发布了《关于开展省属企业“合规管理建设年”工作的通知》、《省属企业合规管理提升行动工作方案》，并配套印发了《省属企业合规管理系列指南》。

无论中央还是地方对国有企业合规管理监管要求越来越规范化、全面化、具体化，国有企业要建立健全系统完备的合规管理体系必须要全面、深入、细致分析研究各类合规管理规章制度、政策要求、合规指南并坚决执行到位。

在中央和地方国资委的大力推动下，多数国有企业在合规管理方面都有一定的基础，大多建立了内控体系、风控体系、法务管理体系，但这些体系只是在某个领域、个别业务层面涉及合规管理内容，没有经过系统化、体系化的策划，没有详细梳理业务活动、也没有逐一识别确定对应的合规义务和评估合规风险，体系的融合度并不高。如某大型地方国有企业的各类管理体系非常健全，建立有质量管理体系、安全生产标准化体系、生态环保体系、内控与风险防范体系等，但这些体系基本处于独立状态并未形成一个集成系统运行，无法为企业经营管理和风险防范发挥体系化合力。该等情况下，合规管理体系的建设，就需要通过深入全面了解企业的实际经营管理情况，因企业而异，设计不同的合规管理体系建设方案。对于体系相对完善的企业，合规管理需要考虑各体系间的融合，这是目前比较主流的做法。有的企业希望建立完全独立的合规管理体系，单独运行，这主要是一些新设的企业或者业务领域有特别监管要求的企业，如金融和类金融企业。

从本质上看，合规管理是属于风险管理的一部分，合规管理可以与风险管理体系融合一体，也可独立成体系，具体如何选择需要参考第三方专业机构研究评价分析后给出的意见和建议，由企业根据实际情况来判定。目前，为合规管理体系建设服务的第三方专业机构大致可以分为三种服务模式：第一种是律师事务所+企业咨询公司（主营业务是体系认证或咨询管理）；第二种是单纯的企业咨询公司；第三种是单纯的会计师事务所。每种服务模式提出的合规管理意见和建议侧重点不同，所提供的合规管理体系服务也有很大差异。第一种模式集合法律与管理，综合程度最高，效率效果相对更能满足国有企业的“大合规”要求，是目前国有企业合规管理体系建设所普遍选择的第三方服务模式。从国务院国资委和地方国资委有关所属企业合规管理官方宣传报道中也可以看出，大多数国有企业聘请第三方专业机构开展合规管理体系建设基本都是采用第一种服务模式。

法律+管理的企业大合规体系建设，这是合规管理最底层逻辑的必然要求，合规管理制度和政策的最终极目标是落实全面依法治国战略部署，全面依法治企，深化法治国企建设，保障企业高质量发展。从合规管理实践看，无论在国资委还是国有企业，合规管理工作的归口管理部门都是法律事务机构，国务院国资委是政策法规局、地方国资委是法规处或政策法规处，国有企业是法务管理部、法务合规部、合规部等。

笔者认为，国有企业合规管理体系建设是以法律合规为基础的综合性合规体系，既要建立全面覆盖企业经营管理的大合规，也要强化重点业务领域中的专项合规，因此国有企业合规管理体系建设要注重发觉企业自身的经营管理特点，并不是千篇一律的制度模型，合规管理体系建设也不是复制粘贴的拿来主义，必须要提倡和坚持为建设合规管理体系“量体裁衣”，每一个国有企业都有自身的经营管理特色和业务优势，要通过符合企业实际的合规管理体系建设放大特色，强化优势，坚持把合规管理向企业经营管理的广度和深度拓展，做到横向到边，纵向到底，坚持把合规管理嵌入经营管理的各个环节，坚持把合规管理的触角延伸到业务的各个领域，真正为企业量身打造依法合规经营管理的护身宝甲。

合规访谈常被第三方专业机构用于了解需求单位组织架构、经营管理、业务领域、人员构成等基本信息，以便有效、准确评估需求单位的合规管理现状、合规管控流程、业务流程现状、业务对合规的反馈等。访谈主要是指通过口头的形式，简单、直接明了的向需求单位问询、获取与合规管理相关的信息。笔者认为合规访谈是合规管理体系建设最为基础的工作环节，访谈可以快捷明了的帮助第三方专业机构了解企业的总体概况，尤其是合规管理工作的建立情况和完善程度，为后期合规管理体系方案设计提供原始的素材信息。因此在访谈前，第三方专业机构应当根据企业合规管理具体需求预设访谈目标，提前制作访谈问题清单或提纲，在访谈过程中应注意访谈技巧，在访谈后应输出访谈纪要。

合规访谈清单或提纲的设计需要围绕几个要点进行：

1. 收集基本信息。

为充分了解需求单位合规管理情况，专业机构需要根据具体合规管理情况确定需要收集的关键信息，使用适当的方式、模型对信息进行分析和整理。在了解需求单位的基本信息时，需要验证相关信息的准确性，必要时应对需求单位的合规管理活动进行深入调查。

2. 识别和分析合规管理的具体需求与现状的匹配度。

对收集的基本信息进行识别和分析，挖掘数据背后的深层含义，梳理需求单位在内外部环境下与合规管理要求存在的差距，即发掘合规管理需求方向，结合合规管理运行现状初步确定采取何种类型的合规管理体系建设方案。

3. 评价已有的合规管控措施。

在分析合规管理需求后，需要调查需求单位现有合规管控措施是否完整、有效和实际履行。未被覆盖的经营管理领域越多，原则上合规管理完善度越低，合规管理建设实际难度也越大。四是访谈结果应用，合规访谈结果是判断目前企业合规管理现状与企业经营管理现状匹配程度的重要依据和抓手，也是开展后续合规管理体系建设方案设计，建立合规制度、完善运行机制、培育合规文化、强化监督问责等工作的基本支撑。合规访谈能够帮助需求单位认识合规管理的薄弱点、风险点，帮助企业经营管理层和各业务领域了解和认知合规管理，利于开展精准合规治理。

《中央企业合规管理办法》第3条第3款对合规具体管理活动进一步阐释：“本办法所称合规管理，是指企业以有效防控合规风险为目的，以提升依法合规经营管理水平为导向，以企业经营管理行为和员工履职行为为对象，开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动。”合规管理对企业来说是一项系统化、体系化、全局性的管理活动。

国有企业一般为集团化公司，法人分支机构和法人层级比较多、员工人数多、业务领域广、管理纵深大，开展体系建设工作必须要站在企业集团化的高度对公司所属各级法人及分支机构的法人治理结构和业务管理予以统筹设计和优化，通过分级、分层、分类的精细化管理设计，帮助企业集团通过合规治理，完善体系运行，培育合规文化并强化监督问责等活动，将合规要求嵌入经营管理各领域各环节，贯穿决策、执行、监督全过程，落实到各部门、各单位和全体员工，实现多方联动、上下贯通。

国有企业作为社会主义市场经济的重要组成部分，自身规模特征和发展战略、发展目标决定了国有企业合规管理要做市场经济中主体表率，应建立追求价值合规的合规管理体系，做市场主体中合规管理的典范，成为各类市场主体的学习标杆和榜样。国务院国资委在中央企业合规管理工作推进会中强调，合规管理是国有企业切实有效防范经营风险的关键制度性措施，是新形势下持续健全公司治理，确保企业良性循环、稳健发展的迫切需要，是一件必须要做、并且一定要做好的事。合规管理对国有企业的重要性不言而喻，合规管理体系建设是国有企业市场竞争的核心软实力，要把合规管理体系建设与企业发展紧密关联，推动合规管理服务企业发展战略目标，秉承合规管理也能创造经济价值的经营管理理念，进一步推动企业治理体系和治理能力现代化，实现企业精益化管理目标。

2022年9月13日，国务院国资委召开中央企业合规管理工作推进会中强调，中央企业要深入贯彻落实《中央企业合规管理办法》必须聚焦关键领域，扎实做好“三张清单”，确保风险防范到位。2023年3月2日，国务院国资委召开中央企业深化法治建设加强合规管理工作会议中再次强调“以完善运行机制为关键，不断健全合规风险识别清单、岗位合规职责清单、业务流程管控清单，推动合规管理与经营管理深度融合”。国务院国资委连续两年的专题会议中专门强调企业合规管理要做好“三张清单”，足见合规管理工作中“三张清单”的重要性。关于“三张清单”具体指的是什么，在法律层面上没有明确的定义，《中央企业合规管理指引（试行）》和《中央企业合规管理办法》中也没有明确表述，从前期建设合规管理体系工作试点的五家中央企业实践成果和国资委监管要求看，“三张清单”一般指的是风险识别清单、岗位合规职责清单和业务流程管控清单，也有的会在前面依次加上重点领域、重点岗位、关键业务等限定词，但并不影响“三张清单”的实质内容。

• 第一张合规风险清单，是合规管理工作的基础，以风险为导向，对各领域适用的现行制度和外部法规进行系统梳理，汇总违反外法内规要求的条款责任。
• 第二张岗位合规职责清单，以岗位为根本，结合业务部门、合规部门、监察部门“三道防线”设定不同岗位的具体职责，对照这些岗位职责，将每个职责中的合规审核、合规管理、合规动作都反映出来，凸显本岗的合规职责。
• 第三张业务流程管控清单，以合规风险清单与岗位合规职责清单为基础，对业务管理制度和流程进行分析评价，甄别其与合规管理要求之间的差距和不足，并根据合规管理要求进行修改和补充，使合规管理要求融入业务管理制度和流程。

合规管理“三张清单”的表现形式不尽相同，主要分为三种类型：

1. 按照合规管理重点领域分别制定“三张清单”，如国家电投在招标采购、金融业务、境外投资、境内项目、知识产权、产品销售、投资决策和工程管理等8个重点领域开展“三张清单”试点工作作为推动合规管理要求有效落地的重要途径。

2. 采取合规管理全覆盖，对所有业务领域均建立健全“三张清单”，将合规要求融入所有业务流程，如东方电气集团发布的《岗位合规职责清单》，清单内容包括总部13个部门及直属单位，122个具体岗位，850项合规职责，实现了岗位全覆盖。

3. 将“三张清单”对应的项目融合，建立健全一张全面清单。如华侨城集团创新合规评价机制，采取“一张清单、两个阶段、三级联动”的方式，实现“自评、建设、考核、运用”闭环管理。无论国有企业选择哪一种类型，做好“三张清单”是企业做好合规风险防范最重要的基础。

合规风险清单编制要聚焦在对企业的业务经营活动有影响的相关方需求或引发企业法律责任、造成经济或者声誉损失以及其他负面影响的可能性。业务部门及职能部门是合规风险清单的编制主体，结合工作内容所遵循的外部法律法规和政策文件以及企业内部规章制度要求，确定工作中的合规风险点，并按照风险程度和发生概率分类分层汇总整理为风险识别清单。对于重点领域合规风险清单的编制，要结合业务风险排查，围绕内外部经营环境情况区分合规风险等级，达成对重点领域风险点的全面覆盖。 

岗位合规职责清单编制要以企业岗位说明书为基础，编制与企业合规义务相对应的岗位职责，职责的内外部（外部法律法规、内部企业规章制度）依据，不履责的责任和后果，即企业中从事某岗位的人员违规后需要承担何种责任。以法务人员为例子，法务人员（在法律法规层面没有明确规定合规义务，但企业内部规章制度可以规定）的岗位说明书一般会写到岗位职责是负责公司经济合同审核、规章制度审核、重大经营决策提出法律意见和建议。法务人员如果不履行岗位职责，则认定履职行为不符合岗位职责，依据法律法规和企业规章制度，可能面临追责或承担其他不利后果。岗位职责清单既是该岗位从业人员的规范指引，也是未来追责的依据。

编制业务流程管控清单要与企业内控相融合，梳理企业的业务流程和管理流程，通过识别合规风险，设置关键风控点包括实际操作过程中的节点、动作、审批，在编制过程中，要细化主要合规风险业务的业务流程图，同时要清晰一个定位，即业务流程管控要解决的是业务流程的合规管理机制问题，可以比照企业内控体系中流程的作用来理解。比如，合同履约管理流程，要包括主体核查、台账管理、合同标的物的交付和验收处理、费用结算情况等，这样设计流程管理风控点、控制动作、审批要求就可以区分哪个主体，应履行哪些行为，不同节点的合规风险、不合规行为就可以识别出来并做针对性处理。

企业通过“三张清单”可以快速识别合规风险，落实合规管理的岗位和人员，确定不同合规风险应对和处理方法，实现工作目标清晰、合规责任明确、合规措施落实到位。同时，完善合规管理清单的工作应当注重与企业现有合规制度的整合借鉴。考虑到国有企业都有不同成熟度的合规管理的工作成果，如果合规清单不是建立在健全和完善已有制度或者查漏补缺的基础之上，而是另起炉灶，那么在体量较大的企业可能会引发内部的质疑，使得合规清单制定工作推进难度增加。

2021年4月13日，国际标准化组织颁布ISO 37301：2021《合规管理体系要求及使用指南》为企业合规提供了一个客观、权威的标准，中国企业对标该标准建设合规管理体系并贯标认证已经成为一个趋势。2021年11月1日，国资委《关于进一步深化法治央企建设的意见》指出，中央企业合规管理建设的近期目标是，到2025年基本建立全面覆盖、有效运行的合规管理体系。国有企业的合规管理体系建设是否需要贯标认证，满足中央企业合规管理办法是否就满足了ISO37301:2021认证标准。笔者认为，这两个问题其实属于同一个问题的两个方面，都属于合规管理体系有效性的评价标准和方法，本身并不冲突，都是为保障合规管理体系的有效运行。国有企业因业务领域广、管理纵深长和幅度大等原因经营管理风险呈现出多样化，对于很多“走出去”的国有企业还要面临境外合规法律风险。国有企业的合规管理体系是否必须要认证，在法规和政策层面都没有给出明确的要求，但从国有企业开展合规管理的初衷和本源目的来看，认证应该是一种必然的趋势。2022年10月12日，GB/T35770-2022《合规管理体系要求及使用指南》正式发布，作为ISO37301的等同转化国标，也体现了国家对合规管理贯标认证的一种牵引和推动。当然满足中央企业合规管理办法并不必须然满足ISO37301的内容，因为无论是管理办法还是认证指南都认可合规管理以风险控制目标，但管理办法是最低标准要求，不是最高要求，并且作为法律文件也不可能像认证指南一样面面俱到，从管理办法的内容看，与ISO37301认证指南是一致的，都是朝着国际标准看齐和走近。

目前从公开渠道获悉，中央企业和地方国企都在逐步推进合规管理体系的贯标认证工作，地方国企中，广东和浙江的部分国有企业步伐较快，如广东能源集团、广东环保集团、浙江港航集团、宁波机场自2022年始陆续完成了合规管理体系国际和国内的双认证。2022年4月，广东省国资委印发《省属企业“合规管理强化年”行动方案》，在全国率先明确提出“力争通过三年努力，全部省属企业通过ISO37301贯标认证”。合规管理体系贯标认证在某种程度上证明企业的合规管理体系是有效的，或者说某种程度上符合当前国际通行的关于有效的定义和标准。基于以上实践看，合规管理从体系到认证是合规管理与国际接轨，适用中国企业实际的，通过认证能够适用国际通行规则，也能够传递企业商业信任、降低企业合规成本并提高合规底线，对国有企业进入全球经济圈是有益的。

企业申请ISO37301认证，应向有资质的认证机构申请并根据认证机构提供的文件清单准备材料，再由认证机构根据企业实际情况进行现场审核，主要流程为：

企业内部策划体系、实施、运行 ➱ 体系运行满三个月 ➯ 预审核（可选）➱ 阶段审核 ➯ 二阶段审核 ➱ 整改（如有）➯ 获得证书 ➱ 每年监督审核 ➯ 三年重新审核

国有企业大部分是集团化管理型公司，其经营业务主要集中在下属的分支机构或子企业，这就决定了国有企业在集团层面开展合规管理体系时更多从管理的视角切入，注重管理环节的全面性、人员覆盖的全面性、制度机制的全面性。但这种全面覆盖过程中，依然要对应具体的法律合规风险领域。《中央企业合规管理办法》第18条对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等7个领域以及高风险业务和涉外业务合规专项建设提出明确具体的要求。中央及地方国资委也发布了多个专项合规指南，截止目前，国务院国资委发布了4批11部合规管理专项指南，上海市国资委、安徽省国资委也分别发布了多部合规管理专项指南，内容覆盖了招投标、出口管制、世界银行制裁、反商业贿赂、劳动用工、商业伙伴、反垄断等。国有企业应当根据主业开展专项合规建设，要注意覆盖企业关键性的管理环节并结合具体的业务对象和特点。实践中如果建立了全面合规管理体系可否不做专项合规建设，笔者认为，这是不可取的，国有企业应当根据企业自身的主业和经营特点开展专项法律领域的合规建设。理由是：

首先，从合规管理的底层逻辑看，全面合规管理主要解决的是战略+管理（一大部分）的问题，专项合规管理聚焦在法律专业技术领域，如反垄断、反商业贿赂、劳动用工、招投标都是法律细分专业领域问题，要解决的是法律专业技术性问题。国有企业建立全面合规管理体系大多是管理性并非法律技术性合规，而企业经营管理行为是否合规，最直接、微观的是要体现在具体行为的合规性问题上的，以及围绕如何解决法律问题的管理措施设计，这都需要更为具体、有针对性的法律专项合规建设来解决。

其次，从法定义务层面看，专项合规建设是法定义务，应当坚决履行到位。《中央企业合规管理办法》第18条规定中央企业应当针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域，以及合规风险较高的业务，制定合规管理具体制度或者专项指南。各地方国资委也有类似重点领域监管要求，对于国有企业来说，这是必须要贯彻落实执行到位的。

再次，大型国有企业往往是参与全球市场竞争的主体，需要面对和适应境外各类法律合规风险。如果不开展专项合规建设，就很难和国际市场上的合规规则接轨。企业合规管理标的是合规风险，外部的法律法规、监管规则、行业准则和国际条约纷繁复杂，在具体识别、与业务相结合之前，都是抽象的合规风险，如果不通过法律专项合规建设将抽象合规风险与企业经营管理实际相结合转为具体合规风险，很容易导致合规体系空转。

最后，全面合规管理体系客观上是不可能穷尽所有法律法规，而管控全部法律合规风险也是不现实的，国有企业应当聚焦主业发展，因此必须有针对性地围绕本企业的主业、可能面临的主要风险来选择专项领域开展合规建设，以保障国有资产安全，实现高质量发展。