【全文】
近期,国务院国资委发布《中央企业合规管理办法》(国资委令第42号,以下简称《办法》)。这是国资委成立以来第一个针对合规管理发布的部门规章,标志着加强中央企业合规管理已不再是一件“可做可不做”的事,而是一件“必须要做、并且一定要做好”的事。相较国资委2018年发布的《中央企业合规管理指引(试行)》(以下简称《指引》),《办法》在总体架构、任务要求、原则规定、权责划分、机制建设等方面进行了较大调整和修订完善,对推动法治央企建设、促进依法合规经营,加快构建具有中国国有企业特色的合规管理体系,着力打造世界一流企业具有重要意义。《办法》将于2022年10月1日起施行。
一、深刻理解央企合规管理顶层设计新变化
(一)关于《办法》的总体架构及适用问题
《办法》共8章42条,比《指引》增加2章11条。与《指引》不同,《办法》没有单独设立合规管理重点、合规管理运行、合规管理保障等章节,而是更加聚焦制度建设、合规文化、信息化建设及监督问责,独立成章、细化要求,并将合规管理运行、合规管理保障的相关规定合并到运行机制章节。由于《办法》的法律效力高于《指引》,并且《办法》未规定其生效后的《指引》废止问题,《指引》对现实工作仍具有一定指导意义。因此中央企业合规管理体系建设应遵循以强制性合规为主导、倡导性合规为补充的管理路径,对于《办法》中未作明确规定的,可选择适用《指引》规定;《指引》规定与《办法》不一致的,应适用《办法》规定。
(二)关于合规管理等概念界定
《指引》将合规管理对象笼统界定为“中央企业及其员工的经营管理行为”;《办法》则细化为“企业经营管理行为和员工履职行为”,强调合规管理“以提升依法合规经营管理水平为导向”,将合规风险定义为“企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性”。相比较《指引》规定的“合规风险是指中央企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性”,《办法》表述更为准确规范。
(三)关于合规管理应遵循的工作原则
《指引》要求中央企业按照“全面覆盖、强化责任、协同联动、客观独立”的原则,加快建立健全合规管理体系。在央企合规管理工作全面铺开、体系建设初见成效的背景下,《办法》强调央企合规管理工作应遵循“坚持党的领导、坚持全面覆盖、坚持权责清晰、坚持务实高效”四项原则。
坚持党的领导,重点是把党的领导贯穿合规管理全过程;坚持全面覆盖,重点是在嵌入、贯穿、落实上下功夫,实现全面、全员、全过程、全体系合规管理;坚持权责清晰,重点是按照“管业务必须管合规”要求,明确业务及职能部门、合规管理部门和监督部门职责,严格落实员工合规责任,对违规行为严肃问责;坚持务实高效,重点是建立健全符合企业实际的合规管理体系,突出对重点领域、关键环节和重要人员的管理,充分利用信息化手段,切实提高管理效能。
二、准确把握央企合规管理组织和职责新规定
(一)关于治理主体的权责划分
落实中央企业在完善公司治理中加强党的领导及深化国有企业监事会改革等要求,综合考虑新形势下企业党委(党组)、董事会、经理层的功能定位,《办法》填补了《指引》未明确中央企业党委(党组)合规管理职责作用的空白,增加了企业法治建设第一责任人的合规管理职责,不再将监事会纳入合规管理组织体系,并对董事会、经理层的合规管理职责进行优化完善。
一是《办法》第7条主要包括两方面规定:一是中央企业党委(党组)发挥“把方向、管大局、促落实”的领导作用,推动合规要求在本企业得到严格贯彻和落实,不断提升依法合规经营管理水平。二是中央企业应当严格遵守党内法规制度,企业党建工作机构在党委(党组)领导下,按照有关规定履行相应职责,推动相关党内法规制度有效贯彻落实。
国资委《关于进一步深化法治央企建设的意见》明确,合规管理体系是法治工作体系的重要组成部分,强调“坚持企业党委(党组)对依法治企工作的全面领导”,因此《办法》将企业党委(党组)纳入合规管理组织体系,充分体现了“央企姓党”这一鲜明政治属性。虽然《办法》未将党内法规制度明示为第3条所列的国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等规的范畴,但强调“中央企业应当严格遵守党内法规制度”,实际上表明央企必须严格遵守的“规”涵盖了党内法规制度。同时,考虑到党内法规制度与其他规范相比,在责任主体、适用范围、工作方式等方面存在较大区别,结合中央企业实际,《办法》规定“企业党建等部门在党委(党组)领导下,按照有关规定履行相应职责,推动相关党内法规制度有效贯彻落实”。
二是《办法》第8条规定,中央企业董事会发挥定战略、作决策、防风险作用,主要履行以下职责:审议批准合规管理基本制度、体系建设方案和年度报告等;研究决定合规管理重大事项;推动完善合规管理体系并对其有效性进行评价;决定合规管理部门设置及职责。
《办法》明确要求董事会不仅要推动完善合规管理体系,而且还要对其有效性进行评价,但未将“决定合规管理负责人的任免及按照权限决定有关违规人员的处理事项”等列入董事会的法定职责。
三是《办法》第9条规定,中央企业经理层发挥谋经营、抓落实、强管理作用,主要履行以下职责:拟订合规管理体系建设方案,经董事会批准后组织实施;拟订合规管理基本制度,批准年度计划等,组织制定合规管理具体制度;组织应对重大合规风险事件;指导监督各部门和所属单位合规管理工作。
《办法》仅保留《指引》规定的经理层“批准年度计划”职责,《指引》所列其他职责,企业可视情况选择性适用。
四是《办法》第10条规定,中央企业主要负责人作为推进法治建设第一责任人,应当切实履行依法合规经营管理重要组织者、推动者和实践者的职责,积极推进合规管理各项工作。
该规定与《中央企业主要负责人履行推进法治建设第一责任人职责规定》相衔接,进一步强化了企业党委(党组)书记、董事长、总经理(总裁、院长、局长、主任)在合规管理中的领导作用,“积极推进合规管理各项工作”成为企业主要负责人必须做好的“份内事”。
(二)关于管理主体的权责划分
重点是确立了首席合规官的法律地位,并从“业务、牵头、监督”三个层级,进一步明确了“三道防线”的合规管理职责,对健全企业主要负责人领导、总法律顾问牵头、法务管理机构归口负责、相关部门协同联动的合规管理体系具有积极推动作用。
一是《办法》第12条规定,中央企业应当结合实际设立首席合规官,不新增领导岗位和职数,由总法律顾问兼任,对企业主要负责人负责,领导合规管理部门组织开展相关工作,指导所属单位加强合规管理。
设立首席合规官并由总法律顾问兼任,而不再由相关负责人担任合规管理负责人,不仅实现了与国际标准接轨,更重要的是进一步明确和厘清首席合规官的职责、定位,加强对合规管理工作的组织领导和统筹协调,全面参与经营管理活动,充分发挥防风险、促合规、稳经营的重要作用。对企业总法律顾问来说,兼任首席合规官,不仅仅是增加了一个头衔,更多的是增加了责任和担当要求。
二是《办法》第13条规定,中央企业业务及职能部门承担合规管理主体责任,主要履行以下职责:建立健全本部门业务合规管理制度和流程,开展合规风险识别评估,编制风险清单和应对预案;定期梳理重点岗位合规风险,将合规要求纳入岗位职责;负责本部门经营管理行为的合规审查;及时报告合规风险,组织或者配合开展应对处置;组织或者配合开展违规问题调查和整改。
相比较《指引》,《办法》明确规定业务及职能部门承担合规管理主体责任,不再模糊表述为“业务部门负责本领域的日常合规管理工作”“安全生产、质量环保等相关部门在职权范围内履行合规管理职责”,这意味着业务部门与职能部门组成合规管理“第一道防线”,必须按要求选任业务骨干担任合规管理员,接受合规管理部门业务指导和培训,切实履行“定期梳理重点岗位合规风险,将合规要求纳入岗位职责”等新增职责。尽管《办法》未再强调业务部门要“做好本领域合规培训和商业伙伴合规调查等工作”,但从现实情况看,相关职责仍需巩固和加强。
三是《办法》第14条规定,中央企业合规管理部门牵头负责本企业合规管理工作,主要履行以下职责:组织起草合规管理基本制度、具体制度、年度计划和工作报告等;负责规章制度、经济合同、重大决策合规审查;组织开展合规风险识别、预警和应对处置,根据董事会授权开展合规管理体系有效性评价;受理职责范围内的违规举报,提出分类处置意见,组织或者参与对违规行为的调查;组织或者协助业务及职能部门开展合规培训,受理合规咨询,推进合规管理信息化建设。
与央企总部去行政化改革后的管理现状相适应,《办法》没有再强调“法律事务机构或其他相关机构为合规管理牵头部门”,但是“负责规章制度、经济合同、重大决策合规审查”的职责设定,表明法律事务机构牵头负责合规管理工作具有明显业务优势。另外,《办法》要求合规管理部门组织起草基本制度等,而不再是“研究起草”,并将工作报告纳入组织起草范畴;强调“根据董事会授权开展合规管理体系有效性评价”与董事会合规管理职责相呼应;明确“组织或者协助业务及职能部门开展合规培训”,而不仅限于业务及人事部门,并增加“受理合规咨询,推进合规管理信息化建设”要求。在首席合规官直接领导下,合规管理部门牵头负责本企业合规管理工作,“指导所属单位加强合规管理”是其中应有之义,没必要在合规管理部门职责中再次强调。
根据《办法》要求,中央企业必须配备与经营规模、业务范围、风险水平相适应的专职合规管理人员,打造以专职合规管理人员为骨干、以各业务及职能部门的合规管理员为支撑的合规管理队伍,合规管理部门必须担负起“第二道防线”的主体责任。
四是《办法》第15条规定,中央企业纪检监察机构和审计、巡视巡察、监督追责等部门依据有关规定,在职权范围内对合规管理要求落实情况进行监督,对违规行为进行调查,按照规定开展责任追究。
与《指引》相比,《办法》将巡视巡察、监督追责部门纳入合规管理“第三道”防线,并对“第三道”防线的职能进行了明确界定。结合实际看,“在职权范围内对合规要求落实情况进行监督”就是要求“第三道”防线通过对前两道防线合规管理职责履行情况进行独立监督与评价,保障合规管理体系有效运行。例如巡视巡察部门将合规管理体系建设及运行情况纳入巡视巡察工作范围,内部审计部门负责将合规管理的有效性、经营管理行为的合规性纳入审计监督范围,纪检监察(监督)机构负责对干部员工履职行为的合规性进行监督等。
三、深入领会合规管理制度建设等单设章节新要求
(一)关于合规管理制度建设
《办法》专章规定制度建设,要求中央企业建立健全合规管理制度,根据适用范围、效力层级等,构建分级分类的合规管理制度体系。
这个制度体系应当包括:明确总体目标、机构职责、运行机制、考核评价、监督问责等内容的合规管理基本制度;针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域,以及合规风险较高业务的合规管理具体制度或者专项指南;涉外业务重要领域专项合规管理制度。其中,各专业条线的专项合规建设是企业合规管理的关键领域和重中之重,是现阶段中央企业强化合规管理的发力点。
这个制度体系必然要根据不同部门、不同业务领域、不同时期所面临的合规风险的不同,实施分类分级、精准管控,以便于企业在面临潜在合规风险或紧急合规事件时,及时响应、有效应对;也必然要根据法律法规、监管政策等变化情况,及时对有关规则规定进行修订完善,对执行落实情况进行检查,以保证制度实用管用、落实落地。
(二)关于合规管理运行机制
《办法》要求中央企业建立合规风险识别评估预警、合规审查、合规风险应对、违规问题整改、违规举报、违规行为追责问责、合规管理协同运作、合规评价及考核机制等,没有同《指引》一样,再分为运行机制和保障机制,并且不同程度地归并提炼或细化完善了相关规定,逻辑关系更加清晰,可操作性更强。
在建立健全合规风险识别评估预警机制方面,增加“建立并定期更新合规风险数据库”要求。综合合规管理部门职责及业务和职能部门职责看,合规风险识别评估等工作应当由合规管理部门在制定合规管理年度工作计划予以安排部署,组织指导业务和职能部门共同完成。
在建立健全合规审查机制方面,强调将合规审查作为必经程序嵌入经营管理流程,重大决策事项的合规审查意见必须由首席合规官签字,否则不得提交决策会议审议;要求业务及职能部门、合规管理部门依据职责权限完善审查的标准、流程、重点等规则,定期对审查情况开展后评估。具体讲就是业务部门及职能部门要负责完善本部门经营管理行为的合规审查的标准、流程、重点等,合规管理部门要负责完善规章制度、经济合同、重大决策合规审查的标准、流程、重点等,在确保100%审核率的同时,定期对审查意见采纳情况进行梳理分析,反向查找工作不足,持续提升审核质量,形成一个完整的审查闭环。
在建立健全合规风险应对机制方面,《办法》综合了《指引》关于合规风险应对及合规风险事件报告要求,在此基础上调整完善,进一步明确了重大合规风险事件包括重大法律纠纷案件、重大行政处罚、刑事案件,或者被国际组织制裁等,在具体应对上,要求“由首席合规官牵头,合规管理部门统筹协调,相关部门协同配合”,比《指引》规定的“合规委员会统筹领导,合规管理负责人牵头,相关部门协同配合”更为合理也更具可操作性。
在建立健全违规问题整改机制方面,要求通过健全规章制度、优化业务流程等,堵塞管理漏洞,提升依法合规经营管理水平。这实际上是将《指引》关于合规管理评估中提出的“对重大或反复出现的合规风险和违规问题,深入查找根源,完善相关制度,堵塞管理漏洞,强化过程管控,持续改进提升”单独作为一项合规管理机制予以明确。
在建立健全违规举报机制方面,《办法》将《指引》设立的违规问责机制中的“畅通举报渠道”要求,予以细化并作为一项合规管理机制,要求中央企业设立违规举报平台,公布举报电话、邮箱或者信箱,相关部门按照职责权限受理违规举报,并就举报问题进行调查和处理。同时,在保障举报人安全的基础上,进一步提出对举报属实的举报人可以给予适当奖励。
在建立健全违规行为追责问责机制方面,《办法》沿用了《指引》违规问责有关要求,如明确责任范围、细化问责标准、开展违规调查等。在此基础上,新增要求“中央企业应当建立所属单位经营管理和员工履职违规行为记录制度,将违规行为性质、发生次数、危害程度等作为考核评价、职级评定等工作的重要依据”。
在建立健全合规管理协同机制方面,要求中央企业结合实际建立健全合规管理与法务管理、内部控制、风险管理等协同运作机制,加强统筹协调,避免交叉重复,提高管理效能。法律、合规、内控、风险管理等工作体系,在实践中既各有侧重,又密切联系,最终目标都是防范风险、保障经营,是建立“大合规”体系,推进全面合规的关键和重点。《办法》生效后,强化法律、合规、内控、风险管理协同运作,将成为中央企业应当完成的“硬任务”,而不再是国资委《关于进一步深化法治央企建设的意见》所要求的“探索构建法律、合规、内控、风险管理协同运作机制”建议性工作。
在建立健全合规评价、考核机制方面,《办法》第27条规定,中央企业定期开展合规管理体系有效性评价,针对重点业务合规管理情况适时开展专项评价,强化评价结果运用。比较而言,《指引》未明确“针对重点业务合规管理情况适时开展专项评价”要求。鉴于在违规行为追责问责机制设定中,《办法》第25条要求将违规行为性质、发生次数、危害程度等作为单位和个人考核评价、职级评定等工作的重要依据,已经明确将合规评价结果运用到各部门和所属企业负责人的年度综合考核及员工考核、干部任用、评先选优等工作,因此《办法》第28条仅原则性规定“中央企业应当将合规管理作为法治建设重要内容,纳入对所属单位的考核评价”。
(三)关于合规文化、信息化建设及监督问责
《办法》将合规文化、信息化建设及监督问责单独设章,表明国资委高度重视合规文化软实力建设,希望利用技术赋能合规管理信息化,并切实发挥监督问责“利剑”作用。
在合规文化建设方面,“将合规管理纳入党委(党组)法治专题学习”“将合规管理作为管理人员、重点岗位人员和新入职人员培训必修内容”,是《办法》在吸收借鉴《指引》有关规定基础上的新增要求。
在信息化建设方面,强调将合规制度、典型案例、合规培训、违规行为记录等纳入信息系统;定期梳理业务流程,查找合规风险点,运用信息化手段将合规要求和防控措施嵌入流程,针对关键节点加强合规审查,强化过程管控;加强合规管理信息系统与财务、投资、采购等其他信息系统的互联互通,实现数据共用共享;利用大数据等技术,加强对重点领域、关键节点的实时动态监测等。
在监督问责方面,需要注意两点:一是如果中央企业未能切实履行《办法》规定的28项义务,因合规管理不到位引发违规行为的,比如未在机构、人员、经费、技术等方面为合规管理工作提供必要条件,保障相关工作有序开展等,国资委可以约谈相关企业并责成整改;造成损失或者不良影响的,国资委根据相关规定开展责任追究。二是中央企业应当对在履职过程中因故意或者重大过失应当发现而未发现违规问题,或者发现违规问题存在失职渎职行为,给企业造成损失或者不良影响的单位和人员开展责任追究。比如企业领导未采纳合规审查意见,违规决策产生重大风险、造成重大损失的要严肃问责;合规管理人员因重大过失未发现违规问题,给企业造成严重损失的,也要追究相应责任。
