雒宏伟（上海天祥质量技术服务有限公司）

2019年6月14日发表在国企网

摘要： 央企按照《中央企业合规管理指引》的要求建立合规管理体系并成立合规管理部门，而很多央企已经建立了全面风险管理体系、内控体系和其它管理体系，这些体系之间什么关系？如何整合？并且现有的风控、审计和法务在承担一些合规管理工作，它们与合规管理职能之间职责如何划分？本文将围绕这些问题进行研究分析。

关键词：中央企业合规管理指引 合规管理体系

Study on RelationshipBetween Compliance, Risk Control, Auditing and Law

LUO HONGWEIIntertek China

Abstract: Central enterprises need to establishcompliance management system and set up compliance department according toCentral Enterprises Compliance Management Guideline. However, a lot of centralenterprises have in place Comprehensive Risk Management System, InternalControl System and other management systems. What are the relationships betweenthese systems? How to integrate? Since existing risk control, auditing and lawfunctions are undertaking parts of compliance management works, how to separatetheir responsibilities? This article will study and analyze these questions.

Keywords: Central Enterprises Compliance ManagementGuideline Compliance Management System

在当前中美竞争的大背景下，美国人利用中兴通讯和华为所谓的合规问题对其进行严厉的制裁，使得合规管理的重要性受到上至国家领导人下至普通百姓的高度关注。“为推动中央企业全面加强合规管理，加快提升依法合规经营管理水平，着力打造法治央企，保障企业持续健康发展”，2018年11月2日国资委下发了《中央企业合规管理指引（试行）》（以下简称“合规指引”）。指引第四条明确“中央企业应当加快建立健全合规管理体系”，并在第十条提出“法律事务机构或其他机构为合规管理牵头部门”、“监察、审计、法律、内控、风险管理、安全生产、质量环保等相关部门，在职权范围内履行合规管理职责。”因此，按照“合规指引”的要求，央企要建立合规管理体系并要成立合规管理部门。但是目前大部分央企已经按照国资委和财政部的相关文件要求建立了全面风险管理体系、内控体系，并且成立了单独的或者合并的风控、审计、法务部门在履行与合规相关的部分职能，如果再成立合规管理部门，很多人就会提出疑问：现有的全面风险管理体系和风控体系与合规管理体系之间是什么关系？如何整合？合规管理职能和现有的风控、审计、法务之间的职责如何划分？

上述问题是笔者在给央企提供合规管理体系培训和咨询服务的过程中被经常问到的问题，我将针对以上这些问题进行研究分析，希望能给央企贯彻《中央企业合规管理指引》建立合规管理体系提供参考。

一、合规管理体系与全面风险管理体系、内控体系的关系

在说明这三个体系之间的关系之前，我们要先了解央企建立这三个体系的背景。关于为什么要建立合规管理体系我们已在前面进行了说明。而央企建立全面风险管理体系是因为国资委“为指导国务院国有资产监督管理委员会(以下简称国资委)履行出资人职责的企业(以下简称中央企业)开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发展”，在2006年6月6日印发《中央企业全面风险管理指引》（国资发改革[2006]108号）（以下简称“风险指引”），其中第四条提出建立全面风险管理体系。而央企建立内控体系是因为2008年5月22日财政部“为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益”，会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》（以下简称“内控规范”），提出了建设内控体系的要求。

从“风险指引”的内容和要求可以看出“风险指引”实际上是参考了国际上关于风险管理的一些标准、法规、管理理念和最佳实践，该指引明确“本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系”。全面风险管理体系覆盖了企业管理的各个方面、各个层次和各个过程存在的风险。

而“内控规范”明确“内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。”“内控规范”的第二十条提出“企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。”从规范的内容和要求可以看出财政部要求的这个内控体系也是建立在风险管控的基础上，主要针对的是合规风险、资产管理风险从财务的角度对内部控制和财务报告的真实性和完整性提出了具体要求，和国资委要求的全面风险管理体系本身很多要求是一致的，体系存在相当一部分的重叠。

关于合规管理体系，“合规指引”给出合规管理的定义：“本指引所称合规管理，是指以有效防控合规风险为目的，以企业和员工经营管理行为为对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。”从中可以看出合规管理体系只是针对的企业的合规风险，围绕合规义务和合规风险建立的管理体系。

除了合规管理体系外，很多央企已经建立了众多的其它管理体系，如：质量管理体系、环境管理体系、职业健康安全管理体系、信息安全管理体系、能源管理体系等，这些管理体系也都是建立在风险管控的基础上的，如质量管理体系管控质量风险、环境管理体系管控环境风险等，同时考虑到质量管理、环境管理、安全管理、信息安全管理、能源管理等的特点、管理原则和最佳实践，并且与ISO的管理体系方法相结合。实际上风险管控是融入到各个管理体系当中是其不可分割的一部分，而各个管理体系在风险管理管控的基础上又有各自更加具体的要求。风控体系本身关注的一个重点就是合规风险，而风控体系和全面风险管理体系的很多要求是一致的，因此我们说全面风险管理体系、内控体系和合规管理体系之间存在紧密的联系。为了管理的有效性和效率，我们应将全面风险管理体系、内控体系、合规管理体系与其他管理体系整合。

二、合规管理体系与全面风险管理体系、内控体系以及其它管理体系如何整合？

关于管理体系的整合我专门写过一篇“围绕企业战略基于全面风险管控的管理体系整合研究”的文章发表在最新一期的《中国认证认可杂志》上。为了避免重复，现在只将整合的思路在此与大家分享。

管理体系整合不是简单的文件的整合，应该作为真正的一体化的管理体系运行。如图一所示，建立一体化管理体系要首先识别企业的内外部环境和相关方的要求，识别企业外部的机会和威胁，企业自身的优势劣势，从而有针对性地制定企业的战略目标，使企业得到更好的发展。接着进行风险的识别分析和评价。各管理体系可以分别进行风险识别、分析，然后统一进行评价，找出企业需要控制的重大风险，然后制定措施进行控制。将风险的识别分析和评价作为各个管理体系策划的基础，各职能部门可以分别对各自分管的管理体系进行策划，但是各管理体系的要求和风险的应对措施要整合进入企业的各业务过程，并将各岗位涉及的管理体系要求整合进入企业统一的岗位职责，并根据职责确定新的能力要求。同时将各管理体系制定的目标整合进入企业的绩效考核，并考虑重要程度不同确定不同的权重。

图一 管理体系整合的思路和方法

三、合规管理职能和现有的风控、审计、法务之间职责如何划分？

“合规指引”的第十条明确“法律事务机构或其他相关机构为合规管理牵头部门，组织、协调和监督合规管理工作，为其他部门提供合规支持，主要职责包括：（一）研究起草合规管理计划、基本制度和具体制度规定；（二）持续关注法律法规等规则变化，组织开展合规风险识别和预警，参与企业重大事项合规审查和风险应对；（三）组织开展合规检查与考核，对制度和流程进行合规性评价，督促违规整改和持续改进；（四）指导所属单位合规管理工作；（五）受理职责范围内的违规举报，组织或参与对违规事件的调查，并提出处理建议；（六）组织或协助业务部门、人事部门开展合规培训。

“风险指引”第三十九条明确“企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验，要根据本指引第三十条要求对风险管理策略进行评估，对跨部门和业务单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送企业总经理或其委托分管风险管理工作的高级管理人员。”

“内控规范”第十五条明确提出“内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。”

而企业的法务部门通常负责：参与决策，为企业的经营、管理决策提供法律上的可行性、合法性分析和法律风险分析；参与企业重大经济活动的谈判工作，提出减少或避免法律风险的措施和法律意见；审查、修改、会签经济合同、协议，协助和督促企业对重大经济合同、协议的履行；解决已发生的法律问题等。

从上述指引和规范对合规管理、风险管控、内部审计的职责的要求以及企业通常赋予法务部门的职责来看，这些职能之间存在一些交叉。为了对它们职责进行区分，我们把它们放在整合后的一体化管理体系中进行说明。结合图一管理体系整合的思路和方法，我们认为包括风控部门在内的各职能部门应参与到企业内外部环境的分析和企业战略目标的制定，而风控部门可以作为牵头部门。风控部门负责组织风险评价工作，制定统一的评价的方法和准则，由其他各职能部门如：质量部、环保部、安全部、IT、合规部、研发部、人力资源部、法务部、财务部等组织完成对企业相关职能管理方面存在的风险的识别和分析，其中合规部负责所有合规风险的识别和分析，而法务部负责合规风险当中法律法规方面的风险的识别和分析，所有的风险由风控部门汇总进行统一评价，形成企业整体的重大风险清单，然后由各职能部门组织制定分管范围内重大风险的应对措施，由风控部门将措施汇总组织讨论评审后，提交领导层批准，然后风控部门组织各相关部门落实，并围绕重大风险和风险控制措施实施的有效性制定相关层级、部门和岗位的目标。各职能部门围绕各分管范围的内的重大风险管控效果和风险控制措施有效性，策划各分管范围内监督检查和内部审计的计划，明确监督检查和内部审计的项目、责任部门、方法、完成频次和时间等，其中重要的或者法规要求的监督检查和审计工作交审计部实施，其它一些监督检查工作由其它相关职能部门实施，各职能部门根据监督检查的情况和审计发现的问题督促各部门制定措施。

从上面的分析可以看出，总体上风控部门是风险综合管理部门，合规部是合规风险的管理部门，法务部负责合规风险中法律法规风险的管控和一些法律实务工作，审计部负责重大风险管控措施、重要法律法规和内部管理制度落实的监督检查工作。

参考文献

【1】 SASAC，《中央企业合规管理指引（试行）》

【2】 SASAC, 《中央企业全面风险管理指引》

【3】 MOF,《企业内部控制基本规范》

作者简介

雒宏伟，工商管理博士。研究方向：反贿赂管理、合规管理、资产管理、道路交通安全管理。INTERTEK集团上海天祥质量技术服务有限公司ISO37001、ISO19600、ISO39001和ISO55001项目经理。