【政策解读】中央企业合规管理办法全文解读，谁才是合规风险防控的第一道防线？

前身：加强央企合规工作背景

2018年4月，美国商务部激活了对中兴通讯供应关键零部件、商品、软件和技术的禁售令（Denial Order），最终导致中兴通讯将近2个月的经营停摆，8万人基本处于停工状态。

最终，这起所谓的“合规事件”结果是：

这个处理结果，中兴通讯付出的代价是惨重的，非常令人痛心，事件发生后我也曾经专门写过一篇案例分析，感兴趣的朋友可以再温习一下：《痛定思痛，中兴事件暴露了中国企业管理“软实力”的脆弱性》。

“中兴事件”是由美方挑起的中美贸易战以来，以“合规”为由对中国企业下手的一个标志性事件，在这个大背景下，“中兴事件”仅仅是中国企业“走出去”面临的合规挑战的开始。

同年11月5日，国务院国资委发布了《中央企业合规管理指引（试行）》(以下简称“指引”）文件。

此举是继2018年7月国家标准委发布GB/T35770《合规管理体系指南》实施之后，从国家层面启动的又一项推动合规体系建设的动作。《指引》是国资委发布的一项专门针对央企的合规政策指引。

一个月之后，2018年12月26日，国家发改委联合外交部、商务部、人民银行、国资委、外汇局、全国工商联等七个部门联合制定发布了《企业境外经营合规管理指引》。

2018年，我们可以定义为中国企业的“合规元年”，我们来看一下2018年实施的重磅合规文件：

• 2018年7月1日，国家标准GB/T35770-2017《合规管理体系指南》正式实施；

• 2018年11月2日，国务院国资委发布《中央企业合规管理指引（试行）》发布实施；

• 2018年12月26日，国家发改委等七部门发布《企业境外经营合规管理指引》发布实施。

合规是企业经营的前提

从企业的风险防控来看，合规（英文对应是Compliance），一直都是企业经营所需要遵循的前提和最基本目标，是企业管理的边界和红线。就合规目标而言，为企业的风险偏好和承受度设定提供了清晰的边界。

对于企业来讲，合规经营本来就是对一个企业最基本要求，这也不是一个新职能，在国际上也是早已被认知和运行了多年的一项企业管理工作。

为什么我们国内近几年才开始关注，其实是和三个方面的因素有关系：

1. 与整个社会经济发展阶段有关；

   
   

2. 与一个国家整体的法治意识和进程有关；

   
   

3. 与当下面临的内外部环境有关。
   

合规是什么？简单来讲就是要遵守规则。我们过去几十年的高速发展其中一个重要原因是得益于我们不墨守成规、敢于突破规则、没有规则或者规则不清晰的时候也可以先“摸着石头过河”。

“不管黑猫白猫，能捉住耗子的就是好猫”

无畏冒险，敢闯敢干，以结果论英雄，是改革开放几十年中国经济打破困局、开拓进取获得超常规发展的生动写照。

但是一旦跳出了“草莽英雄”阶段，就不一样了，如果作为世界第二大经济体，还没有形成明确、清晰的规则意识，在这个企业经营最基本的目标方面与世界如果不能达成共识的话，那就面临的挑战会越来越大。

有人会说，企业最基本的目标是盈利和生存。如果还有此想法的企业家，我建议要尽快转换思维，未来的盈利和生存只能是要建立在合规基础上。

当然这里面有一个“第一桶金”的问题，通过违规而获得的发展肯定是不可持续的短期行为，而为了合规需要蚕食掉大部分的盈利甚至没有盈利的生意肯定也不是好生意。

这几年，由于中美贸易战的影响，针对中国企业的国际合规环境要求在提高；另外，这几年针对国有企业的监管力度在加强，特别是针对党纪国法的合规力度在进一步加强。这个大环境我相信每个人都可以感受的到。

中央企业合规管理办法出台

经过三年多的试行经验，国务院国资委决定将2018年出台的《中央企业合规管理指引（试行）》版本转正，以国资委第42号令的方式发布了正式版《中央企业合规管理办法》，2022年10月1日生效。

一、总体结构变化

与2018年版本相比，整体章节由原来的六章扩展到八章，内容由31条扩展到了42条，从结构上看，最大的变化就是扩展了之前合规管理保障的相关内容。

二、由《指引》到《办法》内容差不多，执行力度大不同

《中央企业合规管理指引》属于政策引导类文件，不具备法律强制力，简单来讲，在前几年，就算有央企没有按照《指引》里的要求实施合规管理工作，也不会有大问题。

但是《办法》则不然，办法就属于部委的部门规章了，具有了法律上的约束力和强制实施要求，如果没有按照办法执行，可以被追究法律责任。

所以各央企对《指引》做到合规，不是强制的，是鼓励性质的，但对《办法》的合规却是必须的。

从国际标准的表述来看，指引类似与Guideline，是指南性质的；而办法则类似于Requirement，是被要求必须这么做，两类体系的执行标准也是不一样。

2014年，国际标准委组织发布了ISO19600《合规管理体系 指南》，2021年，ISO将19600升级为ISO37301: 2021《合规管理体系  要求及使用指南》，最直接的变化就是将原来的指南标准（Guidelines）转换为必须的要求管理体系标准（Requirements），这也将使企业合规管理跨入到可认证时代。

从“指引”到“办法”也体现了国际上对合规管理工作要求的新趋势。

三、合规管理内容和原则

在第一章总则里，办法对指引内容进行了修订和进一步扩充，对于合规的定义基本上沿用了上一次的定义：

本办法所称合规，是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则，以及公司章程、相关规章制度等要求。

(一)坚持党的领导。充分发挥企业党委(党组)领导作用，落实全面依法治国战略部署有关要求，把党的领导贯穿合规管理全过程。

第七条 组织和职责

中央企业应当严格遵守党内法规制度，企业党建工作机构在党委(党组)领导下，按照有关规定履行相应职责，推动相关党内法规制度有效贯彻落实。

第六条  中央企业应当在机构、人员、经费、技术等方面为合规管理工作提供必要条件，保障相关工作有序开展。

四、顶层组织结构重新设计

党委（党组）：把方向、管大局、促落实

董事会：定战略、作决策、防风险

经理层：谋经营、抓落实、强管理

《办法》将合规管理工作的职责按照上述定位进行了落实和细化。

明确要求设立首席合规官（Chief Compliance Officer，CCO），并将其作为关键人物，全面参与重大决策。

第十二条  中央企业应当结合实际设立首席合规官，不新增领导岗位和职数，由总法律顾问兼任

第二十一条 中央企业应当将合规审查作为必经程序嵌入经营管理流程，重大决策事项的合规审查意见应当由首席合规官签字

五、谁才是合规风险防控的“第一道防线”

《办法》征求意见稿中将合规管理工作职责按照三道防线进行了划分，而正式发布时删除了这种表述，征求意见稿中提出：

中央企业业务及职能部门承担合规管理主体责任；

中央企业合规管理部门牵头负责本企业合规管理工作；

中央企业纪检监察机构和审计、巡视巡察、监督追责等部门对违规行为进行调查，按照规定开展责任追究。

这里把主体责任给了“业务及职能部门”，比征求意见稿加了一个“职能部门”。

那合规管理牵头部门是不是职能部门？

当然是！

这种表述方式其实是将业务部门/合规管理牵头部门共同放在了第一道防线的位置。

我认为这是正确的。

前一段时间和一家央企交流其国际业务的风险防控工作，讨论到谁才是海外经营风险的第一道防线，我给出的意见是国际公司和集团公司的国际部都应该列为第一道防线，一个负责执行国际业务拓展，一个负责制定国际业务规则，对国际业务的风险防控都是处在最前线，只是角色不同而已。

和这里的合规管理逻辑一致。

六、合规管理的“重点内容”

《指引》中列示了合规管理的七大重点领域、三大重点环节、三方面重点人员，《办法》中删除了这部分描述，明确了反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护及涉外业务等重点领域的合规要求。

之前，国资委已经发布过四批中央企业合规管理系列指南，目录如下：

从上面的这些指南内容也可以看出合规管理的重点领域，虽然定义是使用了“大合规”范畴，包含了企业内部的规章制度，但这些并不是重点，这些工作是内部控制的范畴，既强调执行有效性，也强调设计有效性。

七、要求建立“大风控”统筹协调机制

自从2019年国资委101号文发布以来，很多国有企业在探索“多位一体”的风控体系建设，将风控、内控、合规、法务等职能纳入到一个职能平台，这也是我们一直推广和宣传的下一代风控模式。

《办法》中也对这样的工作模式提出了要求：

第二十六条 中央企业应当结合实际建立健全合规管理与法务管理、内部控制、风险管理等协同运作机制，加强统筹协调，避免交叉重复，提高管理效能。

今年，我们筛选了10家大型央国企风控融合体系案例，编成了一本案例书籍，如下，需要的可以参考。

八、莫让各类体系困住企业发展的脚步

由于前面提到的原因，近几年合规在国有企业是个炙手可热的话题，很多的企业都已经着手建立企业合规管理体系，但企业对于合规管理来讲并不是一张白纸，很多工作之前就有一些基础，比如之前的风控体系、内控体系对于合规目标的实现都是其工作内容之一。

你仔细发现，合规管理体系最后的落脚点就是风险管理+内部控制，只不过将内容落在上面提到那些重点领域。

有些企业醉心于营造管理体系本身，但合规管理工作中的实质内容却没抓住，赢了形式，输了内容。

有时候，我们喜欢将一项简单的工作可以用一套管理体系的方式去约束，这样才显得完整，导致现在企业各类管理体系林林总总，每个体系都有其出发点和侧重点，希望各个企业把握住每个体系的实质，不要一味的做加法，谨防最后管理目标实现了，但经营目标却完成不了。