2022年8月23日，《中央企业合规管理办法》公布，于2022年10月1日起施行，标志性地确立了“合规管理”在我国国内立法层面的定位。为响应此要求，以广东省国资委为代表的部分地方国资委相继推行了属地要求或试点政策，探索推进合规管理体系贯标认证，国有企业也将“合规”作为重点工作内容，陆续推进了合规管理体系建设及认证的专项工作，在转化落实国资委《中央企业合规管理办法》基础上，持续加强合规管理体系能力建设。　　在合规管理体系建设和认证的实践中，企业对合规管理体系切实有效运行以及持续改进的思考逐步深入，在需求上也将此视为重点、难点问题。笔者及团队通过总结相关案例经验，就实际场景中存在的问题梳理分析如下，以期提供有所助益的参考。　　根据GB/T35770-2022/ISO37301:2021《合规管理体系 要求及使用指南》及《中央企业合规管理办法》的相关要求，合规管理体系的建设首先需要符合PDCA循环的要素建设和有效闭环。　　大部分企业在推行此项工作时，围绕明确的指标要件进行了相关设置和工作推动。但在建设过程中及完成后，容易出现“内化”不足及“不适恰”的问题，甚至出现合规专家多次提示要避免的“两张皮”问题。其原因主要有三：以上问题原因的分析基本侧重于企业角度，看起来并不容易解决，但对于每个企业具体情况而言，笔者认为并非必须在第一阶段就一定要完美解决所有问题。各企业须知，合规管理体系建设是分阶段、持续性的过程，建议在阶段目标设置时充分考虑长期目标的达成和阶段周期、相关成本等投入，以逐步推动合规管理体系建设的“落地”。　　二、合规管理体系建设中典型问题分析
　　合规管理体系建设是一个需要高度资源整合、整体统筹、协调部署、专业团队支持、主观意识响应的体系性高需求工作。从实践经验借鉴的角度，若仅仅从整合梳理规则、增强全体意识等方面来分析，可能仍存疑惑，故本文拟结合具体场景对合规管理体系建设中相关“痛点”做一些探讨分析。
　　（一）未充分重视“对标”阶段的差异分析
　　在开始启动合规管理体系建设时，需要企业和可能引入的辅导团队对以下问题形成探讨和共识：第一，合规管理体系建设需要交付的外部资料是否越多越好？第二，合规管理体系建设是否等于“重建”？第三，合规管理体系建设的文件增设标准和推动逻辑、实践落地节奏是什么？
　　对于以上问题，需要首先明确的是：合规管理体系属于企业整体管理体系的组成部分，其运作应当与企业管理体系适宜、融合。即实务中常提及的如何处理风控、内控、合规的关系等问题，都需要在建设新的管理内容时进行考虑。因此，建议的做法是在原有的管理体系基础上，对标差异，通过“差异补充”和“差异优化”的方式实现，这样也可以有效地避免“两张皮”“两套机制”的问题。因此，切勿在此项工作中一味求多求新。
　　目前实践来看，体系建设类项目的企业主要的目标都集中于完成合规管理体系的建设，并以通过第三方机构认证取得认证证书为符合GB/T35770-2022/ISO37301:2021的比对标志。在该工作的前期，辅导团队进行专业分析后会形成对应每项指标的差异分析，分析内容即包括了指标中所涉及的待完善问题，主要分为：
1、特定制度是否缺失；
2、特定机制是否未建立；
3、特定文件是否尚未置备签署；
4、特定工作事项是否尚未开展；
5、特定文件是否还需优化补充等。
　　那么，对标工作完成后，是否等于此阶段即告结束？
　　以实践案例场景为例：A企业完成差异对标后，获得的信息解读仅包括：
　　项目辅导团队需要就缺失部分提供资料；
　　 项目辅导团队补充的资料数量和具体是指什么；
　　 差异对标中哪些是后续认证所需要提交的资料；
　　项目辅导团队要求完成后续工作的工作量和时间安排。
　　就本案例复盘而言，其实有所忽略的问题在于：梳理的差异问题在企业现有管理工作中如何“接壤”以及要完成“内化”还需要配套什么内部工作才能实现？此问题的解决，对实质性的制度、机制落地至关重要，对项目后续在企业内部工作开展思路的形成也至关重要。
　　（二）未把握合规风险识别是合规管理体系建设的核心
　　《中央企业合规管理办法》及ISO 37301/GB-T35770，都要求企业重视识别合规风险。ISO 37301附录部分认为：“合规风险识别包括合规风险源的识别和合规风险情况的界定。”该要求中所指的合规风险，是违反合规义务可能引发的不利后果，包括民事索赔、行政处罚、刑事责任和国际制裁等，而识别合规义务是识别合规风险的前提，企业要注意的是准确把握合规风险和合规义务的关系、将合规风险精细化融入企业管理、建立常态化的合规风险机制。
　　合规风险识别是合规管理体系建设的核心，合规管理体系建立“三道防线”、制定相关合规指引文件、建设合规文化、建设内审及评审机制以及解决具体的合规风险问题，都需要以合规风险识别的达成水平为基础。反之，没有准确、全面的合规义务识别，也就没有可作为管理依据的合规风险识别、评价、分析，也就无法对应形成相关风险管控措施。
　　在实务场景中，合规义务识别和风险识别在结果上容易出现合规义务及风险识别范围不准确、过大或过小、缺乏适用性的问题。
　　例如，某公司仅为平台公司，下属多家子公司涉及多类业务，该平台公司提出：在合规义务及风险识别时是否需要包括所有子公司所涉及的业务？
　　对此问题，笔者认为需根据具体的平台公司管控权责来确定，而非简单地以全部都有或者全部都不需要来解决。主要理由为：第一，合规管理体系建设是基于目标主体业务及工作职业范围为界限的，若认为上级公司对于下级公司事务均应管理，则上级公司的合规义务和风险控制责任就脱离了授权定责的管理逻辑，也随意突破了主体界限；第二，如果上级公司对于下属公司合规义务和风险完全不识别，也会导致合规管理与实际风险管控需求脱节，不符合管理逻辑和合规控制目标。如何根据既有权责确定纳入识别的合规义务范围和风险问题，是一个难点，也容易基于不同理解产生争议。
　　又如，某些企业在梳理合规义务和风险范围时，将并不适用自身组织的义务要求纳入范围，则无法对应形成控制措施；在合规风险评价时尚未对评级标准结合自身公司特点进行分析和确定评价系数设置，导致风险评价未基于内在管控逻辑；在发现风险问题后，确定风险源时，未贴合自身岗位设置情况，缺乏操作性等等。
　　此外，在合规义务和风险识别完成后，另一个常见的问题是未能实现定期的迭代和对应管理动作落实，导致合规义务识别、风险识别阶段的重要工作成为“纸面”呈现，无法进入运行状态。
　　（三）未能实现合规内审和评审与目标挂钩、自主开展的要求
　　合规工作与每个人相关，根据《中央企业合规管理办法》的要求，需要将合规嵌入业务流程，管业务必须管合规。随着各项工作的持续开展，企业各项事务按照是否达到合规管控要求？若未达到，存在什么需即刻采取措施的控制、整改？此类信息及问题的整合均需通过内部审核和管理评审呈现。
　　例如：某公司根据其《合规内部审核操作指引》《管理评审操作规则》等文件，指定周期组建审核小组进行合规审核，对交叉审核结果进行分析、评估后提请进入管理评审，即实现了对合规指标的检视、合规问题的梳理、合规有效性评价以及合规整改的工作思路和计划。
　　然而，在实践过程中，由于合规管理体系化工作并不同于此前内部相关管理工作的步骤，可能出现与原有部分工作计划叠加、进度不同、重合等问题，导致该企业对此项工作搁置、形式化、倒补等情况出现，最终未呈现出真正的问题或对评审结果并未认真对待。
　　（四）企业合规管理体系的信息化水平未能及时创建和提升
　　合规管理信息化建设是合规管理体系建设的关键举措，对能否实现“合规审查、合规风险防控实际嵌入经营管理流程”起到了至关重要的影响。笔者认为信息化建设的重点包括：
（1）全面信息的系统承载；
（2）风控目标下信息化节点的有效设置；
（3）关联系统的互联互通和数据共享，充分发挥协同作用；
（4）大数据利用及系统及时预警反馈能力保障；
（5）系统运行效率及运行逻辑合理性、适当性。
　　在企业进行合规管理信息化建设的过程中，也存在诸多难点。例如，信息化建设中将信息全面纳入系统的实践难点：
　　A公司一家下设多家控股子公司的建工企业，其年度重点工作确定要大力推行合规管理信息化建设后，投入了大量的信息系统技术建设经费。公司内部关联岗位工作人员前期与系统建设单位多次会议沟通需求设置和界面表单模版，同时还对企业权限职责流程进行了全面梳理调整。此后，该信息化系统如期上线运行。该系统在信息维度上设置非常全面，包括了内部合规制度资料库、案例库、审批流程和签章用印功能、重大风险预警信息提示、重点业务环节人员权限管理等。但实际运行后，因为系统数据录入、更新、维护没有设置专业、专岗人员，导致系统中信息持续存在滞后、缺失、误差等问题，该系统多项功能并未实际启用，信息的全面纳入缺乏支撑。
　　又如，信息化节点设置和数据互联共享的实践难点：
　　B公司在信息化建设中持续多年投入，从合同管理系统、财务管理系统、办公系统、招采购系统等，在运行过程中，各关联部门各自按照自己的业务逻辑进行系统需求配置。但未进行统一布局统筹的信息系统建设，导致后续数据共享、流程打通以及效率提升上出现明显障碍。例如，仅是合同管理系统中合同审查后，若要进行合同用印盖章还需重启用印系统流程，若要进行费用支付，需要单独推动费用报销系统。系统对于全面风控体系建设要求及时、可控、有效则难以实现，风险预警事项也可能基于不同业务逻辑在不同端口重复发起。
　　结合上述分析，笔者认为，首先，合规管理体系建设落地的重要承载是企业的信息化、数字化以及数智化建设水平；其次，合规管理信息化建设需充分考虑原有管理系统的承载能力和拓展空间，做好整体规划的建设蓝图及分界计划、确定实施阶段后，分步实施，逐步推动落地。
　　（五）未着力于企业合规文化建设相关工作的计划和实施
　　合规文化是企业在其长期发展中所塑造、继承和积累的一种集合，包括遵循法律和规章制度的思维方式、价值观、道德典范和行为模式等。ISO 37301将合规文化定义为：“贯穿整个组织的价值观，道德规范，信仰和行为，并与组织结构和控制系统相互作用，产生有利于合规的行为规范”。并明确“合规管理体系的目标之一是协助组织培育和传播积极的合规文化。”构建合规文化是企业合规管理体系的关键部分和重点，它是确保企业稳定运行的内在需求，也是企业主动适应新的外部监管要求的必要条件，同时也能够提升企业各项制度的执行力。因此，企业在进行合规文化建设时，应该充分重视其重要性，进行系统性、持续性的规划和设计，建立有效的监督和评估机制，积极引导员工参与，寻求专业的指导，与企业实际运营紧密结合，以提高合规文化建设的效果。但在实践中，大部分企业合规文化建设的现状总体上还处于初级阶段，存在一些问题和不足。
　　例如：某公司虽然重视对合规文化的建设，陆续开展了多次该主题的培训，但整个培训中也呈现出明显的问题：首先，缺乏体系性和针对性，也未与企业合规目标挂钩。其次，该公司在进行合规培训（例如合规内审员培训）时，过于强调理论知识的学习，而忽视了实际操作的训练，导致员工虽然理解了合规的重要性，但在实际工作中却无法将理论知识转化为实际行动。最后，企业只对高层管理人员进行合规培训，而忽视了普通员工的培训，这导致各员工对企业的合规政策和规定了解不足，无法在日常工作中做到合规，也不能真正做到“全员合规”，将合规文化深入企业。
　　再如：某公司在进行合规文化建设时，主要就其合规管理部门与主要业务部门进行宣传和着力培训，对于合规文化建设缺乏系统性的规划和设计，无法全面覆盖企业的各部门各员工。而由于忽视各部门各员工的参与，导致合规文化建设的效果无法得到员工的认同和支持，也会导致员工由于对公司的合规政策和程序缺乏理解而触碰到合规底线，合规文化建设的效果也无法得到实际的体现。
　　因此，笔者认为，企业在进行合规文化建设时，应该充分重视其重要性，进行系统性、持续性、全面覆盖的规划和设计，并建立有效的监督和评估机制，积极引导员工参与，寻求专业的指导，与企业实际运营紧密结合，以提高合规文化建设的效果。
　　三、结语
　　综上分析，合规管理体系建设是企业长远发展、稳健运行所必需，目前已不是要不要做的问题，而是应当什么时候做的问题。在合规管理体系建设中，“合规体系、内控体系、风控体系如何衔接？”“体系建设如何嵌入原有管理体系？”“合规管理体系有效性如何达成？”等等是目前普遍关注的重点热点问题。对于上述问题的回答，首先要立足于在合规建设目标上，从“要我合规”到“我要合规”的转变，其次要以合规建设“一盘棋”“内驱力”“持续性”为必要条件，再次要以合规目标设定、合规内审和管理评审、合规考核、合规举报等机制为抓手，最后要高度重视合规理念与企业战略发展目标、企业核心文化的融入，增强全员合规意识，培育合规文化，为合规体系相关工作的推动、开展提供给予保障和借以发力的土壤。
　　原标题：雷莉等：企业合规管理体系建设中实务“痛点”解析
　　来源：大成律师事务所
　　作者：
　　雷莉，大成成都，高级合伙人；leili@dentons.cn；专业领域：公司与并购、财富管理、争议解决、不动产与建设工程
　　曹婧，大成成都，律师；cao.jing@dentons.cn；专业领域：公司与并购、财富管理、争议解决、不动产与建设工程
　　郭于羲，大成成都，律师助理；yuxi.guo@dentons.cn
　　特别声明：大成律师事务所严格遵守对客户的信息保护义务，本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考，不代表大成律师事务所任何立场，亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源。未经授权，不得转载或使用该等文章中的任何内容。