《中央企业合规管理办法》(征求意见稿)与《中央企业合规管理指引(试行)》的对照解读及对国企的启示
日期:2022-04-12本文正文部分约6000字,预计阅读18分钟;附录为条文对照解读表,供读者参考。
2021年4月1日国资委发布《中央企业合规管理办法》(征求意见稿)(“下称《办法》”),对中央企业合规管理提出新要求,包括更高的合规义务、更大范围的国资委监管职责、更明确的合规管理岗位职责、更细的合规管理运行和保障机制以及建立合规信息管理系统等,这些新要求也适用于地方国资委指导所出资企业加强合规管理体系建设,将对地方国资委及其市属国有企业合规管理体系建设提供更明确的方向和更实操的指引,助力我国国有企业合规建设的长足发展。
鉴于《办法》提出的新要求也适用于地方国资委指导所出资企业加强合规管理体系建设,本文将《办法》的适用对象和启示对象统一表述为“国有企业”。本文将从(1)《办法》对国资委和国有企业提出新要求和(2)《办法》对国有企业合规体系建设的启示两方面展开论述,并于文末附上《办法》与《中央企业合规管理指引(试行)》(“下称《指引》”)的对照解读表,以供大家参考。虽然《办法》现在还是个征求意见稿,将来可能会有改动,但我们认为在这个征求意见稿阶段认真解读《办法》,有助于国有企业提前考虑《办法》中的具体要求,并在搭建合规体系的过程中进行参考,帮助国有企业搭建合规体系和并使之在将来符合《办法》的具体要求。
国有企业在关系国家安全和国民经济命脉的主要行业和关键领域占据支配地位,是国民经济的重要支柱。与《指引》相比,《办法》更加注重国企合规安排的落地执行,也对国企合规管理提出了许多新要求。在该部分中,我将总结提炼《办法》相较于《指引》提出的新要求,具体条文的对照解读可参见文末附录。
《办法》第3条规定,“本办法所称合规,是指中央企业及其员工的经营管理行为符合法律法规、党内法规、监管规定、行业准则和国际条约、规则、标准,以及企业章程、规章制度等要求”, 首次将党内法规纳入合规义务的来源,对国企合规管理提出了新要求。从实践角度理解,企业合规有三个层次:第一层,符合法律法规、监管规定等强制性要求;第二层,符合行业标准、规章制度、章程等自愿性承诺;第三层,符合商业道德、公序良俗。《办法》将“党内法规”纳入合规范畴,应属第一层的合规范畴的要求,不仅意味着党内法规成为合规管理的新义务来源,也对国企合规管理体系运行带来更大的挑战。
附录中的对照解读表也提到,《办法》第3条的规定延续了“大合规”的思想,将企业内部的规章制度归纳进合规概念,并调整条文语序,先规定外部规定再规定内部规定,使概念的逻辑更加清晰。合规概念中新增党内法规,体现国企合规管理应坚定正确的政治方向,坚持党的领导。
《办法》第4条规定,“国资委负责指导监督中央企业合规管理工作,并对合规管理体系建设情况开展评价”,相较于《指引》,对国资委履职要求新增了对所属国企合规管理体系建设情况进行评价。这要求国资委的合规监管应落到实处,依据法律法规、党内法规、监管规定、行业准则和国际条约、规则、标准,以及企业章程、规章制度等要求,对国企在合规管理工作中存在的问题、国企合规管理机制落地情况、国企合规管理的工作方向等进行评价。
《办法》以合规管理“三道防线”为依据划分合规组织和职责,合规组织架构更清晰。有两点突出的要求:
第一,明确第一责任人职责。《办法》第9条规定,“企业主要负责人作为推进法治建设的第一责任人,应当切实履行依法合规经营重要组织者、推动者和实践者职责,积极推动合规管理各项工作”,该规定贯彻了《关于进一步深化法治央企建设的意见》提出的要着力健全领导责任体系的要求,是国企合规管理工作开展过程中的重要保障。同时,该规定对国企的公司治理方面提出明确的领导责任制要求,是权责法定的表现。
第二,明确纪检监察、巡视等部门承担第三道防线的职能。目前实务中,只有审计部门是明确的,纪检监察巡视没有融入合规管理工作,经调整,合规管理的职责分工将更加清晰和细化。[1]
正如附录关于《办法》的第12条至第14条岗位职责的对照解读所体现,《办法》将《指引》中原本划分较不明确的牵头部门、业务部门、监察、审计、法律、内控、风险管理、安全生产、质量环保等相关部门的合规职责,以“三道防线”为逻辑顺序重新调整,分别明确业务部门履行“第一道防线”主体职责、合规管理牵头部门履行“第二道防线”的牵头职责、纪检监察机构、审计、巡视等部门履行“第三道防线”的监督职责,为企业合规组织架构设计和分工提供更加明确的指引。
《办法》重新调整了《指引》中合规管理运行和保障机制相关章节,在理顺逻辑关系的同时大幅增加了实践操作的细化规定,对可能涉及的问题进行了补充。例如,在企业的合规运行机制方面,《办法》第24条明确了合法合规性审查机制作为经营管理行为的必经前置程序,同时强调合规管理牵头部门有权对严重违反法律法规或企业规章制度的行为实行一票否决。该要求表明,国资委非常重视企业经营管理行为的前端合规风险把控,尤其是在规章制度制定、重大事项决策、重要合同签订、重大项目投资运营等方面,合规管理牵头部门可以直接否定严重违规的项目。
合规管理运行和保障机制要求的具体变化之处可详见附录中关于第三章、第四章、第五章、第六章每一条文的对照解读。
《办法》第七章明确要求企业要加快建立合规管理信息系统,运用信息化手段将合规要求嵌入业务流程,强化过程管控,针对重点领域、关键节点进行实时动态监测,实现合规风险即时预警,对违规行为主动截停。提出要加快推动合规管理信息系统与本企业其他管理信息系统、国资委国资监管信息系统互联互通,实现基本数据共通共享。信息化建设是助力企业合规管理的重要手段,也是数字时代企业合规的新要求。
从附录的对照解读表中可以清晰发现,《办法》细化了《指引》第24条关于强化合规管理信息化建设的要求,进一步对信息化建设的功能设置、嵌入流程、加强互联互通和动态监测等方面提出要求,表明国资委重视信息化建设在国企合规管理中发挥的作用。
《办法》不仅对国企提出了合规管理新要求,也为国企搭建合规管理体系提供了更强的实操性指引。但从实践角度,对于国资委和国企来说,《办法》更多的是提供原则性、框架性的指导与要求,要达到《办法》的要求,仍需要结合国内外合规管理最佳实践的方法论落地。企业应当根据行业特点和经营管理模式搭建针对性的合规管理体系。而一个行之有效的合规管理体系搭建,离不开高层参与,风险评估,合理的制度和程序,培训与沟通,监督、审计和响应五大维度,这五大维度也符合中国标准化研究院制定的GB/T 35770-202X《合规管理体系 要求及使用指南》(征求意见稿)(ISO 37301标准的本地化)的要求。具体而言:
成功的企业合规计划应建立在高层完全公开认可支持的坚实基础上,例如高层明确可见的合规承诺。缺乏高层参与的企业合规计划容易落为一纸空文。《办法》第二章规定党委(党组)发挥把方向、管大局、促落实的领导作用,董事会充分发挥定战略、作决策、防风险职能,经理层切实履行谋经营、抓落实、强管理职能,同时还规定第一责任人、合规委员会、首席合规官等角色的合规管理职责,这种自上而下的合规组织架构能够使企业形成上下连贯的合规管理系统,确保企业管理层及时识别合规风险并采取应对措施。对于推动高层参与在企业合规管理中落地,企业是否考虑既要符合《办法》要求,也要达到国际最佳实践?例如,党委(党组)、董事会、第一责任人、合规委员会、首席合规官等高层管理层人员在言行的合规性、向员工传达的合规态度、如何处理业务或收入与合规风险的关系等方面的合规承诺,以及中高级管理人员(如,经理层)的合规行动与承诺。除了合规承诺,企业还需确保合规组织的权威和地位,合规职能的独立性(向董事会直接汇报的权力、汇报频率等),以及设计明确的合规组织汇报线等。
企业需定期或不定期地对经营活动中存在的合规风险进行识别与评估,从而了解企业的最高风险是什么,需在何处向前推进。风险评估旨在使企业全面了解整体合规义务,然后确定高风险领域,以便企业可以优先安排资源以首先解决高风险领域。《办法》第12条、第22条和第23条分别规定了关于风险评估的要求、合规风险识别预警和合规风险应对的要求。《办法》提供了原则性的要求,具体如何做,我们从实操角度提供一些简要建议供大家参考。首先,企业评估合规风险需考虑以下因素:① 根据企业的规模、目标、市场环境及风险状况确定合规风险评估的标准和合规风险管理的优先级;② 合规风险意识、资源配置、职责权限、过程监控、奖惩机制、执行者能力要求、内部制度审查、第三方专业机构审查结果;③ 违规或可能造成违规的原因、来源、发生的可能性、后果的严重性等。[2]其次,企业基于风险发生的可能性(概率)评分标准(如下图1)和风险发生影响度评分标准(如下图2),对合规风险进行评估定级。最后,企业对识别出的合规风险,结合风险事件发生可能性的高低、影响程度的大小及风险水平高低等因素,将合规风险按等级排序。并在合规管理风险排序和分级的基础上,根据合规管理需要,进一步确定需要重点关注和优先应对的合规管理风险,以及确定后续的合规管理措施及完善合规管理体系。综合以上合规风险评估过程,企业可出具合规风险评估报告,内容包括风险评估实施概况、合规风险基本评价、原因机制、可能的损失、处置建议和应对措施等。
图1:风险发生的可能性(概率)评分标准
可能性赋值
|
取值 |
赋值依据 |
|
5 |
现有(事前预防、事中监控、事后响应)控制措施大量缺失,该风险发生可能性非常大 ;或过去每年都会发生多次,或者最近一段时间里发生特别频繁:或 曾经较频繁发生(平均每年1次以上),且发生频率呈现明显上升趋势;或短期内(例如:3个月)将不可避免地发生 |
|
4 |
现有(事前预防、事中监控、事后响应)控制措施存在部分缺失,该风险发生可能性较大 ;或过去平均每年都会发生1次以上,或 曾经偶尔发生(平均每年1次或1次以内),且发生频率呈现上升趋势;或短期内(例如:3个月)有可能再次发生 |
| 3 |
现有(事前预防、事中监控、事后响应)控制措施存在个别缺失,或者尽管控制措施没有缺失但控制有效性存在不足,该风险有一定可能会发生 ;或 曾经偶尔发生(平均每年1次或1次以内),且1年内仍有可能再次发生 |
|
2 |
现有(事前预防、事中监控、事后响应)控制措施不存在明显缺失且已有控制措施实施有效,该风险发生的可能性较小 ;或 过去极少发生(例如:历史上仅发生过1次),且以后再发生的可能性仍然较小,或者短期内不具备再发生的前提条件。 |
| 1 |
现有(事前预防、事中监控、事后响应)控制措施非常全面且有效,该风险发生的可能性非常小 ;或 过去从未发生过,目以后再发生的可能性非常小,甚至根本不具备发生的前提条件。 |
图2:风险发生影响度评分标准
可能性赋值
|
取值 |
赋值依据 |
|
5 |
风险一旦发生,在经济和声誉方面对我司造成的损害将是严重的、难以弥补的,将面临巨大的上级/监管压力、客户压力和舆论压力;或 现有控制措施几乎完全无法有效应对,需要很长时间(例如:超过1周)才能恢复。 |
|
4 |
风险一旦发生,在经济和声誉方面对我司造成的损害将是较为严重的,将会面临着一定的上级/监管压力、客户压力和舆论压力;或 现有控制措施基本上无法有效应对,需要较长时间(例如:1周以内)才能恢复。 |
| 3 |
风险一旦发生,在经济和声誉方面对我司造成一定程度的损害,但可以弥补;或 现有控制措施可以发挥适当作用,风险一旦发生,能够在较短时间(例如:3天以内)内得到恢复。 |
|
2 |
风险一旦发生,对我司造成的损害有限,且容易弥补;或 基于现有控制措施,风险一旦发生,可以在较短时间(例如:1天以内)内得到基本解决。 |
| 1 |
风险一旦发生,对我司造成的损害可以忽略不计;或 基于现有控制措施,风险一旦发生,能够迅速(例如:1小时以内)得到有效解决。 |
风险值=可能性*影响度
— 风险值大于等于15,定为高风险
— 风险值大于等于9、小于15,定为中风险
— 风险值等于5,且影响度为5,也定为中风险(小概率、大影响)
— 风险值小于9,且影响度不为5,定为低风险
图1、图2为参照ISO 27005 (信息技术 - 安全技术 - 信息安全风险管理)所制。
《办法》此次调整的重点之一在于明确了合规管理制度的框架体系和细化补充了合规管理运行和保障机制的实操规定,例如以“三道防线”为基础调整合规组织架构和职责,强化重点领域合规风险防范,强调在涉外业务领域制定专项合规管理指南等。《办法》这部分的调整对企业的启发是:企业需重视合规管理的制度和程序设计与落实,它是企业合规管理的核心,是企业所有员工履行合规职责的基本要求。
具体如何落地,主要分为以下四方面:(1)企业行为准则,这是企业经营管理和文化建设的纲领性文件,包括企业愿景、使命、核心价值观、合规方针、社会责任等方面;(2)企业合规管理制度,这是企业合规部门进行合规管理的程序性规章制度,包括合规组织制度、合规风险管理流程、合规审查流程、违规举报、调查与处置流程、合规报告程序等方面;(3)职能部门管理规章,企业不同的职能部门涉及到不同的合规规范的执行与遵守,例如,管理、财务、人事行政、法务、内控等部门均有相对应的合规规范;(4)业务合规流程,企业各业务条线会涉及不同领域的合规规范,例如,网络与数据安全保护合规、反垄断合规、出口管制与制裁合规、反腐败和反商业贿赂合规、反洗钱合规、知识产权与商业秘密合规、环境与安全合规、海关关务合规、产品合规、人事劳动合规、企业境外经营合规等领域。对于专业性较强的领域,往往需要企业合规部门与业务部门合作制定和修改相关的业务合规流程。
《办法》第六章专章规定央企应当重视合规文化建设,通过领导专题学习、法治宣传教育和合规培训的方式来塑造合规文化。在具体落实《办法》关于合规培训的要求方面,企业可以考虑定期组织与企业合规风险相适应的培训,设计培训的形式与内容,确保培训的有效性。例如,线上、线下培训中员工是否有途径提问?如何处理未能通过全部或部分测试的员工?是否检测培训的效果?通过设计良好的制度化、常态化合规培训机制,企业能够确保员工及时了解最新的法律法规、监管规定、企业内部规章制度等方面内容。
另外,《办法》第35条提到“中央企业应当鼓励员工提出改进合规管理的意见和建议,对于作出重要贡献的可以给予奖励”,鼓励员工参与企业合规管理,可以帮助企业形成良好的合规文化。在设计沟通程序方面,企业可以考虑是否有畅通的沟通渠道、是否可以就改进合规管理的意见和建议进行持续性的沟通、中高层管理人员是否对员工提出改进合规管理的意见和建议给予反馈等方面。
《办法》第14条规定了纪检监察机构和审计、巡视等部门在职权范围内履行“第三道防线”的监督职责,包括对企业经营管理行为进行监督,为违规行为提出整改意见,对合规管理工作开展全面检查或专项检查、对企业和相关部门整改落实情况进行监督检查、在职责范围内对违规事件进行调查,并结合违规事实、造成损失等追究相关部门和人员责任等。在实践中,企业需关注员工是否遵守合规管理制度,即使高层合规承诺已传达到位,各节点的控制措施也落实到位,但企业仍然需要持续关注员工是否遵守合规制度。
具体落实方面,企业是否可以考虑:(1)在监督方面,纪检监察机构和审计、巡视等部门实时审查和检测企业经营管理行为中合规制度的运行情况,以确保出现违规行为时可以迅速做出响应进行补救。监督的主要目标是定期识别和解决合规制度在落实过程中出现的差距问题。(2)在审计方面,企业的审计部门在特定时间范围内针对特定业务组成部分、地区或市场部门,以发现和/或评估某些特定风险,特别是财务记录中的风险。(3)在响应方面,纪检监察机构和审计、巡视等监督部门可以在出现违规行为后迅速解决问题。企业可以考虑采用适当的时间指标来确保调查响应,确保接到相关人员举报后,在第一时间予以立案调查,并在适当时,利用调查结果有针对性地改进合规管理体系。仅仅通过监督和审计来识别合规问题是不够的,为了实现有效的合规管理,企业还需及时响应并解决问题。
结语
2022年4月1日国务院国资委发布《办法》的公开征求意见稿,体现了在2018年发布《指引》之后,经过三年多国有企业大规模的合规管理实践,国务院国资委对央企合规管理的新思路、新要求。合规管理系体建设也是国有企业改革的重要组成部分。近年来,各地国企在《指引》的基础上开始搭建起合规管理体系,《办法》的合规思路实际在各地国资委和市属国有企业的合规实践中有不少体现,《办法》的新要求也将对国有企业未来的合规建设工作提供更明确的方向和更实操的指引,助力国有企业合规建设的长足发展。
[1] 参见叶小忠:《〈中央企业合规管理办法(征求意见稿)〉的新思路及其对实务影响》,载赛尼尔法务管理公众号,2022年4月6日。
[2] 《医药行业合规管理规范》第6.2.2.3条。我们看过不同行业协会、商会的合规管理规范,认为医药行业是合规监管最严格、最细致,同时也是合规风险最大的行业,因此《医药行业合规管理规范》非常值得我们学习。
附录
《中央企业合规管理指引(试行)》与《中央企业合规管理办法(公开征求意见稿)》条文对照表与解读
说明:
• 左栏为《《中央企业合规管理指引(试行)》,右栏为《中央企业合规管理办法》(征求意见稿);
• 表述变动之处,加下划线;
• 原规定被删除的,加删除线;
• 凡新解释有改动之处(包括增加与表述变动),均显示红色。
|
《中央企业合规管理指引(试行)》 |
《中央企业合规管理办法》 (征求意见稿) |
|
第一章 总则 |
第一章 总则 |
|
第一条 为推动中央企业全面加强合规管理,加快提升依法合规经营管理水平,着力打造法治央企,保障企业持续健康发展,根据《中华人民共和国公司法》、《中华人民共和国企业国有资产法》等有关法律法规规定,制定本指引。 |
第一条【立法目的】为深入贯彻习近平法治思想,落实全面依法治国战略部署,进一步推动中央企业切实加强合规管理,着力打造法治央企,不断提升依法合规经营管理水平,有力保障深化改革、高质量发展,根据《中华人民共和国公司法》、《中华人民共和国企业国有资产法》等有关法律法规,制定本办法。 |
|
解读:体现了鲜明的政治方向及高质量发展战略。 |
|
|
第二条 本指引所称中央企业,是指国务院国有资产监督管理委员会(以下简称国资委)履行出资人职责的国家出资企业。 本指引所称合规,是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。 本指引所称合规风险,是指中央企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。 本指引所称合规管理,是指以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。 |
第二条【适用范围】本办法所称中央企业,是指国务院国有资产监督管理委员会(以下简称国资委)履行出资人职责的国家出资企业。 |
|
第三条【相关概念】本办法所称合规,是指中央企业及其员工的经营管理行为符合法律法规、党内法规、监管规定、行业准则和国际条约、规则、标准,以及企业章程、规章制度等要求。 本办法所称合规风险,是指中央企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性及其后果。 本办法所称合规管理,是指以有效防控合规风险为目的,以提升依法合规经营管理水平为导向,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别处置、合法合规性审查、合规风险应对、合规报告、合规评价、违规责任追究、合规培训等有组织、有计划的管理活动。 |
|
|
解读:延续了“大合规”的思想,将企业内部的规章制度归纳进合规概念,并调整条文语序,先规定外部规定再规定内部规定,使概念的逻辑更加清晰。合规概念中新增党内法规,体现国企合规管理应坚定正确的政治方向,坚持党的领导。扩充央企合规管理的内容,将“合规报告”和“合规评价”纳入在内。 |
|
|
第三条 国资委负责指导监督中央企业合规管理工作。 |
第四条【国资委职责】国资委负责指导监督中央企业合规管理工作,并对合规管理体系建设情况开展评价。 |
|
解读:明确国资委除指导监督职责外,还应对央企合规管理体系建设情况进行评价。 |
|
|
第四条 中央企业应当按照以下原则加快建立健全合规管理体系: (一)全面覆盖。坚持将合规要求覆盖各业务领域、各部门、各级子企业和分支机构、全体员工,贯穿决策、执行、监督全流程。 (二)强化责任。把加强合规管理作为企业主要负责人履行推进法治建设第一责任人职责的重要内容。建立全员合规责任制,明确管理人员和各岗位员工的合规责任并督促有效落实。 (三)协同联动。推动合规管理与法律风险防范、监察、审计、内控、风险管理等工作相统筹、相衔接,确保合规管理体系有效运行。 (四)客观独立。严格依照法律法规等规定对企业和员工行为进行客观评价和处理。合规管理牵头部门独立履行职责,不受其他部门和人员的干涉。 |
第五条【基本原则】中央企业应当按照以下原则建立健全合规管理体系: (一)全面覆盖。坚持将合规要求覆盖生产经营管理各领域各环节,落实到各部门、各级子企业、分支机构和全体员工,贯穿决策、执行、监督全过程。 (二)客观公正。合规管理牵头部门独立履行职责,严格依照法律法规和企业内部规定等对企业和员工行为进行客观评价,坚持统一标准对违规行为进行处理。 (三)专业有效。制定符合监管要求的合规管理制度,建立与企业实际相适应的工作机制,并根据发展需要持续改进完善,不断提升人员队伍专业化水平,确保合规管理发挥实效。 (四)实时精准。通过信息化手段将合规要求全面融入经营管理活动,利用大数据、云计算等对重点领域、关键节点开展实时动态监测,加快提升合规管理数字化、智能化水平。 |
|
解读:基本原则中,增加专业有效和实时精准,要求借信息化的手段加强合规管理,对重点领域、关节环节实行动态监测。 |
|
|
第二章 合规管理职责 |
第二章 组织和 职责 |
|
|
第六条【党委(党组)作用】 党委(党组)发挥把方向、管大局、促落实的领导作用,在职责范围内积极推进合规管理工作,保障党中央关于深化法治建设、加强合规管理的重大决策部署在企业得到全面贯彻落实。 |
|
解读:新增条文,增设党委(党组)的宏观领导作用。 |
|
|
第五条董事会的合规管理职责主要包括: (一)批准企业合规管理战略规划、基本制度和年度报告; (二)推动完善合规管理体系; (三)决定合规管理负责人的任免; (四)决定合规管理牵头部门的设置和职能; (五)研究决定合规管理有关重大事项; (六)按照权限决定有关违规人员的处理事项。 |
第七条【董事会职责】 董事会充分发挥定战略、作决策、防风险职能,履行以下合规管理职责: (一)审议批准企业合规管理基本制度和体系建设方案等; (二)研究决定合规管理重大事项,审议批准合规管理年度报告; (三)根据有关规定和程序,决定聘任或者解聘首席合规官; (四)决定合规管理牵头部门的设置和职能; (五)按照权限决定有关违规人员的处理事项; (六)法律法规、公司章程等规定的其他合规管理职责。 |
|
解读:宏观概括董事会职能并细化其内容,包括任免首席合规官等,并增设兜底条款。 |
|
|
第六条 监事会的合规管理职责主要包括: (一)监督董事会的决策与流程是否合规; (二)监督董事和高级管理人员合规管理职责履行情况; (三)对引发重大合规风险负有主要责任的董事、高级管理人员提出罢免建议;(四)向董事会提出撤换公司合规管理负责人的建议。 |
—— |
|
解读:删除监事会的职责。 |
|
|
第七条 经理层的合规管理职责主要包括: (一)根据董事会决定,建立健全合规管理组织架构; (二)批准合规管理具体制度规定; (三)批准合规管理计划,采取措施确保合规制度得到有效执行; (四)明确合规管理流程,确保合规要求融入业务领域; (五)及时制止并纠正不合规的经营行为,按照权限对违规人员进行责任追究或提出处理建议; (六)经董事会授权的其他事项。 |
第八条【经理层职责】 经理层切实履行谋经营、抓落实、强管理职能,履行以下合规管理职责: (一)拟订合规管理体系建设方案,经董事会批准后组织实施; (二)拟订合规管理基本制度,批准合规管理具体制度、年度计划等; (三)制定合规管理工作流程,确保合规要求融入业务领域; (四)及时制止并纠正不合规的经营管理行为,按照权限对违规人员进行责任追究或提出处理建议; (五)对重大合规风险及时采取应对措施; (六)指导、监督和评价各部门、各子企业合规管理工作; (七)提名首席合规官人选; (八)法律法规、公司章程等规定的其他合规管理职责。 |
|
解读:宏观概括经理层职能并细化其内容,包括提名首席合规官等,增加兜底条款。 |
|
|
—— |
第九条【第一责任人职责】企业主要负责人作为推进法治建设的第一责任人,应当切实履行依法合规经营重要组织者、推动者和实践者职责,积极推动合规管理各项工作。 |
|
解读:新增内容,压实企业主要负责人的第一责任人责任。 |
|
|
第八条 中央企业设立合规委员会,与企业法治建设领导小组或风险控制委员会等合署,承担合规管理的组织领导和统筹协调工作,定期召开会议,研究决定合规管理重大事项或提出意见建议,指导、监督和评价合规管理工作。 |
第十条【合规委员会职责】中央企业设立合规委员会,可以与企业法治建设领导小组或风险控制委员会等合署,履行合规管理的组织领导和统筹协调职责,定期召开会议,研究讨论合规管理重点工作,向经理层提出意见和建议。 中央企业可以根据需要设立合规委员会办公室,办公室负责人由首席合规官或合规管理牵头部门负责人担任,相关部门负责人为办公室成员。 |
|
解读:明确合规委员会提出建议和意见的对象是经理层 ;央企有权设立合规委员会办公室。 |
|
|
第九条 中央企业相关负责人或总法律顾问担任合规管理负责人,主要职责包括: (一)组织制订合规管理战略规划; (二)参与企业重大决策并提出合规意见; (三)领导合规管理牵头部门开展工作; (四)向董事会和总经理汇报合规管理重大事项; (五)组织起草合规管理年度报告。 |
第十一条【首席合规官职责】中央企业设立首席合规官,由总法律顾问担任并对主要负责人负责,履行以下合规管理职责: (一)参与企业重大经营决策,提出合法合规性审核意见; (二)领导合规管理牵头部门推进合规管理体系建设; (三)向董事会、企业主要负责人汇报合规管理重大事项; (四)指导业务部门合规管理工作,对合规管理职责落实情况提出意见和建议; (五)指导子企业合规管理工作,对子企业首席合规官的任免、合规管理体系建设情况提出意见; (六)法律法规、公司章程等规定的其他合规管理职责。 |
|
解读:明确总法律顾问与首席合规官是由同一人担任;增加首席合规官的职责内容;首席合规官可以向企业主要负责人直接汇报工作。 |
|
|
第十条 法律事务机构或其他相关机构为合规管理牵头部门,组织、协调和监督合规管理工作,为其他部门提供合规支持,主要职责包括: (一)研究起草合规管理计划、基本制度和具体制度规定; (二)持续关注法律法规等规则变化,组织开展合规风险识别和预警,参与企业重大事项合规审查和风险应对; (三)组织开展合规检查与考核,对制度和流程进行合规性评价,督促违规整改和持续改进; (四)指导所属单位合规管理工作; (五)受理职责范围内的违规举报,组织或参与对违规事件的调查,并提出处理建议; (六)组织或协助业务部门、人事部门开展合规培训。 第十一条 业务部门负责本领域的日常合规管理工作,按照合规要求完善业务管理制度和流程,主动开展合规风险识别和隐患排查,发布合规预警,组织合规审查,及时向合规管理牵头部门通报风险事项,妥善应对合规风险事件,做好本领域合规培训和商业伙伴合规调查等工作,组织或配合进行违规问题调查并及时整改。 监察、审计、法律、内控、风险管理、安全生产、质量环保等相关部门,在职权范围内履行合规管理职责。 |
第十二条【业务部门职责】 业务部门是本领域合规管理责任主体,负责日常相关工作,履行“第一道防线”职责: (一)按照合规要求完善本领域业务管理制度和流程,制定本领域合规管理指引及有关清单; (二)开展本领域合规风险识别和隐患排查,及时发布合规预警; (三)对本领域内制度、文件、合同及经营管理行为等进行合法合规性审查; (四)及时向合规管理牵头部门通报风险事项,组织或配合开展合规风险事件应对处置; (五)做好本领域合规培训和商业伙伴合规调查等工作; (六)组织或配合进行本领域合规评估、违规问题调查并及时整改; (七)向合规管理牵头部门报送本领域合规管理年度计划、工作总结; (八)公司章程等规定的其他职责。 业务部门应当设置合规管理员,由部门或处室负责人兼任,负责本部门合规风险识别、评估、处置等工作,接受合规管理牵头部门业务指导和培训。
第十三条【牵头部门职责】 合规管理牵头部门组织开展日常工作,履行“第二道防线”职责: (一)起草合规管理年度计划及工作报告、基本制度和具体制度规定等; (二)参与企业重大事项合法合规性审查,提出意见和建议; (三)组织开展合规风险识别和预警,组织做好重大合规风险应对; (四)组织开展合规评价与考核,督促违规行为整改和持续改进; (五)指导其他部门和子企业合规管理工作; (六)受理职责范围内的违规举报,组织或参与对违规事件的调查,并提出处理建议; (七)组织或协助业务部门、人事部门开展合规培训; (八)公司章程等规定的其他职责。 合规管理牵头部门应当配备与企业经营规模、业务范围、风险水平相适应的专职人员,持续加强业务培训,不断提升合规管理队伍专业化水平。 境外重要子企业及重点项目应当明确合规管理牵头部门,配备合规管理人员,落实全程参与机制,强化重大决策合法合规性审核把关,切实防控境外合规风险。
第十四条【监督部门职责】 纪检监察机构和审计、巡视等部门在职权范围内履行“第三道防线”职责(精简表述): (一)对企业经营管理行为进行监督,为违规行为提出整改意见; (二)会同合规管理牵头部门、相关业务部门对合规管理工作开展全面检查或专项检查; (三)对企业和相关部门整改落实情况进行监督检查; (四)在职责范围内对违规事件进行调查,并结合违规事实、造成损失等追究相关部门和人员责任; (五)对完善企业合规管理体系提出意见和建议; (六)公司章程等规定的其他职责。 |
|
解读:《办法》第十二条至十四条按照合规管理体系“三道防线”的逻辑顺序进行规定。明确业务部门履行“第一道防线”主体职责。增加业务部门的职责内容“合法合规性审查”、“合规评估”、“违规调查等”。增加要求业务部门设置合规管理员。明确合规管理牵头部门系企业合规管理“第二道防线”,履行牵头职责。增加合规管理牵头部门应配备合规管理专职人员,加强业务培训,不断提升合规管理队伍专业化水平。增加境外重要子企业及重点项目合规管理人员配备等内容,切实防控境外合规风险。增加纪检监察机构、巡视等部门系企业合规管理“第三道防线”,履行监督职责。明确监督部门履行合规管理职责的职权内容。 |
|
|
|
第十五条【全员合规责任】 全体员工应当熟悉并遵守与本岗位职责相关的法律法规、企业内部制度和合规义务,依法合规履行岗位职责,接受合规培训,对自身行为的合法合规性承担责任。 |
|
解读:新增内容,明确全体员工应合法合规履职,接受合规培训,对自身行为负责等内容。 |
|
|
第三章 合规管理重点 第十二条 中央企业应当根据外部环境变化,结合自身实际,在全面推进合规管理的基础上,突出重点领域、重点环节和重点人员,切实防范合规风险。 第十三条 加强对以下重点领域的合规管理: (一)市场交易。完善交易管理制度,严格履行决策批准程序,建立健全自律诚信体系,突出反商业贿赂、反垄断、反不正当竞争,规范资产交易、招投标等活动; (二)安全环保。严格执行国家安全生产、环境保护法律法规,完善企业生产规范和安全环保制度,加强监督检查,及时发现并整改违规问题; (三)产品质量。完善质量体系,加强过程控制,严把各环节质量关,提供优质产品和服务; (四)劳动用工。严格遵守劳动法律法规,健全完善劳动合同管理制度,规范劳动合同签订、履行、变更和解除,切实维护劳动者合法权益; (五)财务税收。健全完善财务内部控制体系,严格执行财务事项操作和审批流程,严守财经纪律,强化依法纳税意识,严格遵守税收法律政策; (六)知识产权。及时申请注册知识产权成果,规范实施许可和转让,加强对商业秘密和商标的保护,依法规范使用他人知识产权,防止侵权行为; (七)商业伙伴。对重要商业伙伴开展合规调查,通过签订合规协议、要求作出合规承诺等方式促进商业伙伴行为合规; (八)其他需要重点关注的领域。 第十四条 加强对以下重点环节的合规管理: (一)制度制定环节。强化对规章制度、改革方案等重要文件的合规审查,确保符合法律法规、监管规定等要求; (二)经营决策环节。严格落实“三重一大”决策制度,细化各层级决策事项和权限,加强对决策事项的合规论证把关,保障决策依法合规; (三)生产运营环节。严格执行合规制度,加强对重点流程的监督检查,确保生产经营过程中照章办事、按章操作; (四)其他需要重点关注的环节。 第十五条 加强对以下重点人员的合规管理: (一)管理人员。促进管理人员切实提高合规意识,带头依法依规开展经营管理活动,认真履行承担的合规管理职责,强化考核与监督问责; (二)重要风险岗位人员。根据合规风险评估情况明确界定重要风险岗位,有针对性加大培训力度,使重要风险岗位人员熟悉并严格遵守业务涉及的各项规定,加强监督检查和违规行为追责; (三)海外人员。将合规培训作为海外人员任职、上岗的必备条件,确保遵守我国和所在国法律法规等相关规定; (四)其他需要重点关注的人员。 第十六条 强化海外投资经营行为的合规管理: (一)深入研究投资所在国法律法规及相关国际规则,全面掌握禁止性规定,明确海外投资经营行为的红线、底线; (二)健全海外合规经营的制度、体系、流程,重视开展项目的合规论证和尽职调查,依法加强对境外机构的管控,规范经营管理行为。 (三)定期排查梳理海外投资经营业务的风险状况,重点关注重大决策、重大合同、大额资金管控和境外子企业公司治理等方面存在的合规风险,妥善处理、及时报告,防止扩大蔓延。 |
—— |
|
解读:整章删除,个别内容融入其他条文之中。 |
|
|
|
第三章 制度建设 |
|
第十七条 建立健全合规管理制度,制定全员普遍遵守的合规行为规范,针对重点领域制定专项合规管理制度,并根据法律法规变化和监管动态,及时将外部有关合规要求转化为内部规章制度。 |
第十六条【建立制度体系】 中央企业全面梳理本系统内合规管理制度文件,根据适用范围、效力层级等,建立以基本制度、重点领域合规指南、操作手册等为主体的分级分类合规管理制度体系。 |
|
第十七条【基本制度】 中央企业应当制定合规管理基本制度,明确合规管理总体目标、机构职责、管理流程、考核监督、奖惩问责等。 涉外业务较多的中央企业可以针对特定业务领域或国别(地区)的合规要求,结合实际需要,制定相应的涉外业务合规管理办法。 |
|
|
第十八条【重点领域制度】 在合规管理基本制度的基础上,针对合规风险较高的业务领域制定专项合规管理指南,强化重点领域合规风险防范。 |
|
|
第十九条【岗位职责清单】 全面梳理各部门岗位合规风险,制定岗位合规职责清单,依据风险水平等进行分级管理,将合规要求纳入岗位职责。 |
|
|
第二十条【制度修订完善】 定期对企业规章制度进行修订完善,结合法律法规修订、政策变化和监管动态等,及时将外部合规要求转化为内部规章制度。 |
|
|
第二十一条【宣贯与执行】 定期组织对规章制度进行宣贯,对执行落实情况进行检查。 |
|
|
解读:明确合规管理基本制度应包含的内容,涉外业务较多的央企应结合实际制定涉外业务合规管理办法。强化重点领域的合规风险防范。明确各部门岗位的合规风险,制定岗位职责清单,将合规要求“入岗”。增加宣贯与执行,确保合规制度长期有效落实。 |
|
|
第四章 合规管理运行 |
第四章 运行 机制 |
|
第十八条 建立合规风险识别预警机制,全面系统梳理经营管理活动中存在的合规风险,对风险发生的可能性、影响程度、潜在后果等进行系统分析,对于典型性、普遍性和可能产生较严重后果的风险及时发布预警。 |
第二十二条【合规风险识别预警】中央企业应当建立合规风险识别预警机制,全面系统梳理经营管理活动中存在的合规风险,建立合规风险库,对风险发生的可能性、影响程度、潜在后果等进行系统分析,对于典型性、普遍性和可能产生较严重后果的风险及时发布预警。 合规管理牵头部门归口管理合规风险库,组织业务部门定期更新完善。 |
|
解读:在《指引》第十八条基础上进一步细化修改,新增:建立合规风险库,由合规管理牵头部门归口管理合规风险库,组织业务部门定期更新完善。 |
|
|
第十九条 加强合规风险应对,针对发现的风险制定预案,采取有效措施,及时应对处置。对于重大合规风险事件,合规委员会统筹领导,合规管理负责人牵头,相关部门协同配合,最大限度化解风险、降低损失。 |
第二十三条【合规风险应对】完善合规风险应对机制,针对发现的风险制定预案,采取有效措施及时处置。发生重大合规风险事件,合规委员会应当统筹领导,首席合规官牵头,相关部门加强协同配合,采取措施妥善应对,最大限度化解风险、降低损失。 中央企业应当定期完善应急预案,强化日常演练,不断提升重大合规风险应对处置能力。 |
|
解读:合规风险应对牵头由原来的合规管理负责人变为首席合规官。新增中央企业应当定期完善应急预案,强化日常演练。 |
|
|
第二十条 建立健全合规审查机制,将合规审查作为规章制度制定、重大事项决策、重要合同签订、重大项目运营等经营管理行为的必经程序, 及时对不合规的内容提出修改建议,未经合规审查不得实施。
第二十二条 开展合规管理评估,定期对合规管理体系的有效性进行分析,对重大或反复出现的合规风险和违规问题,深入查找根源,完善相关制度,堵塞管理漏洞,强化过程管控,持续改进提升。 |
第二十四条【合法合规性审查机制】建立健全合法合规性审查机制,将其作为经营管理行为的必经前置程序。业务部门加强对本领域日常经营管理行为的审核把关,合规管理牵头部门加大对规章制度制定、重大决策事项、重要合同签订、重大项目运营等合法合规性审查力度,必要时可以对业务部门审核结果进行复审,对严重违反法律法规或企业规章制度的一票否决。 中央企业应当建立健全合法合规性审查后评估机制,及时掌握审查意见采纳情况,不断提升工作质量。
第二十五条【问题整改】对合规风险应对及合法合规性审查中暴露的问题及时进行整改,通过健全制度机制、优化业务流程等方式,堵塞管理漏洞,形成长效机制。定期对合规整改情况进行检查,根据需要将其纳入对部门及子企业的考核。 |
|
解读:整合《指引》第二十条、第二十二条,将合法合规性审查机制作为经营管理行为的必经前置程序;合规管理牵头部门对严重违反法律法规或企业规章制度的有一票否决权;强调定期对合规整改情况进行检查。 |
|
|
|
第二十六条【合规举报】健全合规举报制度,设立违规举报平台,对外公布首席合规官及职责、举报电话、邮箱和信箱。合规管理牵头部门按照职责受理违规举报,并就举报问题进行调查和处理,涉嫌违纪违法的,及时移交相关纪检监察机构处理。 进行调查的部门和相关人员应当对举报人的身份和举报事项严格保密,任何单位和个人不得采取任何形式对举报人进行打击报复。 |
|
解读:新增合规举报条款,纪检监察机构处理涉嫌违纪违法的行为。 |
|
|
第二十八条 建立合规报告制度,发生较大合规风险事件,合规管理牵头部门和相关部门应当及时向合规管理负责人、分管领导报告。重大合规风险事件应当向国资委和有关部门报告。 合规管理牵头部门于每年年底全面总结合规管理工作情况,起草年度报告,经董事会审议通过后及时报送国资委。 |
第二十七条【合规报告】完善合规报告制度,发生合规风险事件,合规管理牵头部门和相关部门应当第一时间向首席合规官报告,重大合规风险事件应当在7个工作日内向国资委和有关部门报告,后续有关进展和处置情况要及时报告。 合规管理牵头部门于每年年底全面总结合规管理工作情况,年度报告经董事会审议通过后及时报送国资委。 |
|
解读:在《指引》基础上明确“重大合规风险事件应当在7个工作日内向国资委和有关部门报告”。 |
|
|
|
第二十八条【协同机制】 中央企业应当结合实际,积极探索构建法治框架下合规管理与法律、内部控制、风险管理的协同运作机制,加强统筹协调,提高管理效能。 |
|
|
第二十九条【经费保障】 中央企业应当将合规管理体系建设经费纳入预算,保障相关工作有序开展。 |
|
解读:第二十八条和第二十九条为新增条款,要求构建法治框架下合规管理与法律、内部控制、风险管理的协同运作机制,并将合规管理体系建设经费纳入预算。 |
|
|
第五章 合规管理保障 |
第五章 评价与追责 |
|
第二十三条 加强合规考核评价,把合规经营管理情况纳入对各部门和所属企业负责人的年度综合考核,细化评价指标。对所属单位和员工合规职责履行情况进行评价,并将结果作为员工考核、干部任用、评先选优等工作的重要依据。 |
第三十条【合规评价】建立合规管理评价机制,合规管理牵头部门定期对合规管理体系运行情况进行全面评价,针对重点业务合规情况可以适时开展专项评价,对合规风险和违规问题组织整改。
第三十一条【纳入考核】将合规管理情况作为法治建设重要内容,纳入对各部门和子企业负责人的年度综合考核,细化评价指标。强化考核结果运用,将合规职责履行情况作为员工考核、干部任用、评优评先等工作的重要依据。 |
|
解读:在《指引》第二十三条基础上细化调整,建立合规管理评价机制,将合规管理情况作为法治建设重要内容,强化考核结果运用。 |
|
|
|
第三十二条【违规行为记录制度】 建立个人违规行为记录制度,根据行为性质、发生次数、危害程度等,将其作为个人年度考评、评优评先的依据。 |
|
解读:新增条款,明确建立个人违规行为记录制度,将其作为个人年度考评、评优评先的依据。 |
|
|
第二十一条 强化违规问责, 完善违规行为处罚机制,明晰违规责任范围,细化惩处标准。畅通举报渠道,针对反映的问题和线索,及时开展调查,严肃追究违规人员责任。 |
第三十三条【违规追责】完善违规行为追责问责机制,进一步明确违规责任范围,细化惩处标准,针对反映的问题和线索,及时开展调查,按照有关规定严肃追究违规人员责任。对于符合企业尽职合规免责事项清单内情形的行为,可以按照相关规定免于责任追究。 相关部门和人员在合法合规性审查中,存在应当发现而未发现违规问题或发现后敷衍不追、隐匿不报、查处不力等失职渎职行为的,应当承担相应责任。 |
|
解读:在《指引》第二十一条的基础上细化调整,新增对于符合企业尽职合规免责事项清单内情形的行为,可以按照相关规定免于责任追究,并要求承担失职渎职行为的责任。 |
|
|
第二十五条 建立专业化、高素质的合规管理队伍,根据业务规模、合规风险水平等因素配备合规管理人员,持续加强业务培训,提升队伍能力水平。 海外经营重要地区、重点项目应当明确合规管理机构或配备专职人员,切实防范合规风险。 |
—— |
|
|
第六章 合规文化建设 |
|
—— |
第三十四条【领导专题学习】将合规管理作为法治建设重要内容纳入党委(党组)定期专题学法内容,不断提升企业领导人员合规意识,带头依法依规开展经营管理活动。 |
|
第二十六条 重视合规培训,结合法治宣传教育,建立制度化、常态化培训机制,确保员工理解、遵循企业合规目标和要求。
第二十七条 积极培育合规文化, 通过制定发放合规手册、签订合规承诺书等方式, 强化全员安全、质量、诚信和廉洁等意识,树立依法合规、守法诚信的价值观,筑牢合规经营的思想基础。 |
第三十五条【法治宣传教育】将合规管理作为法治宣传教育重要内容,通过制定合规手册、签订合规承诺、开展合规宣誓等方式将合规理念传达给全体员工,强化全员守法诚信、合规经营意识。 中央企业应当鼓励员工提出改进合规管理的意见和建议,对于作出重要贡献的可以给予奖励。
第三十六条【合规培训】建立制度化、常态化的合规培训机制,制定年度合规培训计划,加大对企业员工的培训力度,将合规管理作为领导干部初任、重点合规风险岗位人员业务培训、新员工入职必修内容,进一步提升干部职工合规意识。 |
|
解读:在《指引》第二十六条、第二十七条基础上细化扩充,增加相关要求,比如:将合规管理作为法治建设重要内容纳入党委(党组)定期专题学法内容,将合规管理作为领导干部初任、重点合规风险岗位人员业务培训、新员工入职必修内容等。 |
|
|
|
第七章 信息化建设 |
|
第二十四条 强化合规管理信息化建设,通过信息化手段优化管理流程,记录和保存相关信息。运用大数据等工具,加强对经营管理行为依法合规情况的实时在线监控和风险分析,实现信息集成与共享。 |
第三十七条【功能设置】加快建立合规管理信息系统,将规章制度、重点领域合规指南、合规人员管理、合规案例、合规培训、违规行为记录等作为重要内容。 中央企业可以根据需要,结合重点业务领域拓展信息系统内容,不断提升合规管理信息化水平。
第三十八条【嵌入流程】全面梳理业务流程,查找经营管理合规风险点,运用信息化手段将合规要求嵌入业务流程,明确相关条件和责任主体,针对关键节点加强合法合规性审查,强化过程管控。
第三十九条【加强互联互通】加快推动合规管理信息系统与本企业其他管理信息系统、国资委国资监管信息系统互联互通,实现基本数据共通共享。加大信息系统推广应用力度,实现本企业内全覆盖。
第四十条【动态监测】充分利用大数据、云计算等技术,对重点领域、关键节点开展实时动态监测,实现合规风险即时预警,对违规行为主动截停。 |
|
解读:细化《指引》第二十四条关于强化合规管理信息化建设的要求,具体对信息化建设的功能设置、嵌入流程、加强互联互通和动态监测等方面提出要求,表明国资委重视央企的合规管理信息化建设。 |
|
|
第六章 附则 |
第八章 附则 |
|
第二十九条 中央企业根据本指引,结合实际制定合规管理实施细则。 地方国有资产监督管理机构可以参照本指引,积极推进所出资企业合规管理工作。 |
第四十一条【细化要求】中央企业根据本办法,结合实际修订完善本企业合规管理制度,推动子企业建立健全合规管理体系。 第四十二条【地方国资委要求】地方国有资产监督管理机构可以参照本办法,指导所出资企业加强合规管理体系建设。 |
|
解读:从“指引”变为“办法”,并明确提出企业应根据《办法》修订完善合规管理制度,推动子企业建立健全合规管理体系,此变化表明,国资委对央企合规管理的要求从宏观的规划、目标变为进一步落实和细化的工作要求。 |
|
|
第三十条 本指引由国资委负责解释。 |
第四十三条【解释权】本办法由国资委负责解释。 |
|
第三十一条 本指引自公布之日起施行。 |
第四十四条【生效日期】本办法自发布之日起施行。《中央企业合规管理指引(试行)》(国资发法规〔2018〕106号)同时废止。 |
