第二節 構建企業合規組織體系的具體實踐

一、企業合規組織體系的頂層設計

1.企業合規組織體系設計的核心制度

一個完善的合規組織體系，首先要從公司章程中體現合規組織內容，需要在章程中明確要求董事會、經理層在合規工作中分別扮演的角色。董事會是股東會的執行機關，對股東負有受信義務。受信義務可以分為忠實義務和注意義務，前者是指董事要以股東利益最大化為行動出發點，努力避免利益沖突；后者主要指董事要審慎經營并進行良好的商業判斷。落實到合規方面，董事的受信義務意味著其應當盡最大努力確保企業以合法、合規的方式運營。這也是董事會在合規管理中的責任來源。另外，合規管理的重要條件是最高層的重視，英文通常表述為“Tone from the top”（最高層的聲音）。如果缺乏最高層的明確指引，那么企業和員工就會缺乏對合規的正確認識。

董事會與經理層必須了解合規體系內容，監督整個合規體系的建設和運行；為合規管理人員建設運行合規體系提供指導、資源與支持；確保合規體系得到定期檢查、評估，及時發現問題并采取補救措施。此外，董事個人必須遵守企業各項合規要求，一旦違反，就要受到相應處罰?？偨浝淼雀呒壒芾砣藛T負責確保不同崗位的人員要按照既定職責執行合規體系。本企業的合規存在兩項核心制度，即《企業合規政策與程序》和《企業合規管理辦法》，其中分別規定企業高管、管理人員和普通員工的合規職責，而企業合規委員會應當對合規體系進行定期和獨立審查，并提出改進建議。在兩項核心制度中，企業應明確首席合規官負責合規體系的日常監督管理，直接向企業董事會和總經理匯報工作。為確保首席合規官充分履職，兩項制度中應要求賦予其充分的自治、資源和權限。另外，兩項核心制度中還應強調企業要發動全體員工參與合規體系建設，并遵守合規體系中的各項合規要求。

2.企業合規組織體系的層級設計

本企業的兩項合規核心制度，可以把企業的合規管理部門分成3個層級，即決策層、管理層、執行層。其中，決策層主要包括企業董事會、監事會、合規委員會；管理層主要包括總經理、首席合規官；執行層包括合規管理部門和企業業務部門。3個層級在企業合規管理體系的建立和有效實施中都扮演著重要角色，應當著力推進合規文化的建立，充分了解企業合規管理體系的內容和運行方式，也都應該以自己的言行明確支持合規、踐行合規。同時，各層級由于定位不同，在合規體系中發揮作用的方式也有所不同。

（1）企業的決策層主要包括企業的董事會、監事會，以及董事會中設立的合規委員會。作為企業合規管理體系的最高負責機構，決策層應以保證企業合規經營為目的，通過原則性頂層設計解決合規管理工作中的權力配置問題，并進行重大事項決策。

具體來說，董事會應充分發揮定戰略、做決策、防風險職能，履行以下合規管理職責：①審議批準企業合規管理基本制度和體系建設方案；②研究決定合規管理重大事項，審議批準合規管理年度報告；③根據有關規定和程序，決定聘任或解聘首席合規官；④決定合規管理牽頭部門的設置和職能；⑤按照權限決定有關違規人員的處理事項；⑥法律法規、公司章程等規定的其他合規管理職責。

（2）企業的管理層通常包括企業首席執行官、首席財務官、首席運營官、首席合規官等。其中，合規負責人可以為首席合規官，或者由總法律顧問兼任。根據企業對合規工作的重視程度，企業可以任命最高管理層中的一員為合規管理部門的總負責人。管理層應配備充足的人、財、物，用來建立合規管理體系，制定合規制度，實施合規方案，評價合規行為，維護和改進合規政策。

具體來說，管理層切實履行謀經營、抓落實、強管理職能，履行以下8項合規管理職責：①擬訂合規管理體系建設方案，經董事會批準后組織實施；②擬訂合規管理基本制度，批準合規管理具體制度、年度計劃等；③制定合規管理工作流程，確保合規要求融入業務部門；④及時制止并糾正不合規的經營管理行為，按照權限對違規人員進行責任追究或提出處理建議；⑤對重大合規風險及時采取應對措施；⑥指導、監督和評價各部門、各子企業合規管理工作；⑦提名首席合規官人選；⑧法律法規、公司章程等規定的其他合規管理職責。

（3）企業的執行層包括合規管理部門和各業務部門。這些部門應及時識別歸口管理部門的合規要求，改進合規管理措施，執行合規管理制度和程序，收集合規風險信息，落實相關工作要求。

3.我國企業合規組織體系建設存在的問題

由于起步較晚，我國各類企業在合規組織體系建設上相對薄弱，在參與國際市場競爭后，暴露了一些合規管理方面的問題，主要體現在以下3個方面：一是合規意識淡薄，合規文化缺失；二是合規機構缺失，合規人才匱乏；三是合規激勵欠缺，違規處罰乏力。

除了一些大型中央企業、國有企業和少數民營企業，在合規方面獨立設置管理機構的企業并不多見，制度設計上對于合規的獨立性并沒有予以充分重視，導致合規部門起到的監督作用也大打折扣。

在考核機制上，一些企業往往應付檢查居多，普遍存在“高舉低放”的問題，缺乏合規經營的激勵機制，對于違規處罰的力度則明顯不足。對相關責任人的處理很少，追責問責力度不足，導致企業合規工作機制不順暢，甚至給企業帶來嚴重的經濟損失和信譽損失。

二、企業合規委員會的設置

做好合規組織體系的頂層設計后，設置企業合規委員會就變得非常重要，權威、高效的合規委員會是企業合規組織有效開展工作的關鍵。企業需要根據《合規政策》，結合本企業的運行機制、管理模式與發展需要，在依托現有組織和人事機構的基礎上，應自上而下地建立誠信合規組織體系。概括來看，合規治理結構應至少分為3個層級，即合規委員會、首席合規官/合規負責人、合規部門。

合規委員會應設在董事會之下，具有高度的權威性和獨立性，董事長和總經理都可以成為委員會成員，但從獨立性角度考量，合規委員會主席最好由獨立董事或外部董事擔任，不參與企業經營和管理；誠信合規委員會（合規委員會）可以按照最終《合規政策》的名稱和每個公司的習慣命名。合規委員會面向的是企業所有的合規實務，是企業合規的最高機構。因此，合規委員會作為企業的合規工作決策層，對于發出合規的“正確聲音”尤為重要。

在國際實踐中，合規委員會通常設立在董事會中，由具備法律、財務、人事管理背景的董事組成。在不設董事會的企業中，合規委員會也可以由執行董事牽頭或公司總經理牽頭，并由法律、審計、人事管理、經營管理等方面的最高管理層人員組成。無論何種形式，其性質都是企業合規管理體系的最高負責機構，負責企業合規管理的總體部署、體系建設及組織實施。

合規委員會作為企業合規的決策層，應當對企業合規管理體系的建設和運行負最終責任。合規委員會應當充分了解企業合規體系的設立和運行，并對合規體系進行有效監控。在有效的合規體系中，合規委員會應發揮以下作用。

（1）充分掌握企業的合規風險。了解風險是防范、化解風險的前提。合規委員會負責對合規體系的重要制度進行審批、修訂，如重大合規制度、風險管理措施、合規委員會的權責等。

（2）領導、支持首席合規官。首席合規官需要從合規委員會獲得充分的授權，以便有效開展工作。同時，合規委員會要處理首席合規官自身的合規問題及受理對首席合規官處理不服的申訴，還要賦予首席合規官就企業合規問題直接向決策層進行匯報的路徑。

（3）對企業合規體系進行反饋。決策層應當對企業合規體系的有效性進行評估，對企業發現重大合規風險時的反應能力進行評估，對首席合規官的合規匯報進行反饋。

（4）對管理層的合規管理工作進行監督和問責。管理層對合規管理的有效性承擔直接責任，其管理效果必須與決策層的預期相一致。

1.合規委員會的組成

企業的合規委員會一般由3～7人組成，要求為單數，要特別注明為了解決利益沖突問題，首席合規官或合規專員不能成為合規委員會委員。

合規委員會的組成人員應有企業內較高級別的管理者，通常包括董事長、總經理、董事、紀委書記、總法律顧問等。

2.合規委員會的基本任務

合規委員會的基本任務包括以下4項。

（1）確保企業的內部制度和合規體系能夠準確、有效地反映與企業經營相關的法律、法規要求，并能夠對相關的合規風險形成有效管控。企業的相關合規風險通常涉及勞動用工、商業賄賂與腐敗、數據保護、環境保護、安全生產等。

（2）管控企業的合規管理部門的組織架構、工作計劃、財務預算、人員配置和權責履行情況，以及其獨立性、權威性、匯報路徑。

（3）審查企業合規官的任命、替換、解雇；審查企業重大合規政策、合規工作內容、合規流程及管理層的反饋；審查關于刑事風險或潛在刑事風險的合規報告。

（4）管控針對公司、公司董事、高管、雇員或公司雇用外部機構開展的重大內外部合規調查。

3.合規委員會的職責

合規委員會是《合規政策》的議事機構，一般而言，合規委員會包括以下職能和責任。

（1）按照《合規政策》規定的流程就有關合規事項進行討論決策。

（2）監管《合規政策》的更新及實施，包括必要時對《合規政策》進行修正。

（3）定期審閱《合規政策》，以評價其是否足以保護本企業及其員工免遭違反相關反賄賂、反欺詐法律的風險。

（4）與上級國資委的紀委和相關內部審計官員共享根據《合規政策》獲得的所有信息及資料，配合上級單位對合規問題的調查審計。

（5）聽取和批準對有關可能違反《合規政策》的信息或指控進行調查的報告，并監督此類調查。

（6）向本企業董事會報告有關違反《合規政策》的情況，并提出擬采取的應對措施。

4.合規委員會的議事及審批規則

合規委員會的議事及審批規則應按照各企業實際情況明確列示于《合規政策》，但應確保合規委員會一定的獨立性和權威性。以下僅為舉例說明。

一般而言，首席合規官領導合規部門對《合規政策》規定的所有事項進行審批。

下列事項應提交合規委員會討論決定：①申請部門對于首席合規官做出的決定有異議的，可以申請提交合規委員會復議；②首席合規官認為需要提交合規委員會討論的。

合規委員會通過投票，以簡單多數的方式決定提交討論的事項。

申請部門對合規委員會做出的決定有異議的，可以與總經理商議，由總經理提交本企業董事會討論裁決。

董事會的議事規則按本企業章程執行，董事會的決定為最終裁決。

合規委員會通過投票，以簡單多數的方式決定審議的事項。

三、首席合規官或合規負責人的職責

根據合規部門的國際通行實踐，建立了全面合規管理體系的企業，通常會任命首席合規官。首席合規官是企業的合規負責人，負責企業合規管理工作的具體實施和日常監督。在實踐中，最常見的首席合規官任命方式包括：企業任命總法律顧問兼任首席合規官，任命獨立的首席合規官但是向總法律顧問報告，任命獨立的首席合規官但是直接向CEO和董事會報告。

以美國司法部（U.S. Department of Justice， DOJ）為例，其雖然推薦首席合規官應當是獨立、專職的，但是未對此進行明確要求，而是更加關注企業的合規職能是否獨立運作，以及在開展合規調查時首席合規官是否具有自主權。

首席合規官在合規管理體系架構中起到承上啟下的作用。

1.首席合規官的職責

首席合規官是《合規政策》的具體執行負責人。首席合規官可以根據工作需要成立合規部門，并領導合規部門履行《合規政策》賦予的職權和職責。

首席合規官在管理本企業合規工作及保持本企業合規文化方面的職能和責任如下。

（1）對本企業員工定期開展教育培訓以確保他們熟悉并理解《合規政策》；對上述培訓項目的有效程度進行定期評估；在有必要對特定類別的員工加強培訓的情況下對培訓內容進行改進。

（2）回答本企業員工關于《合規政策》的問題。

（3）按照《合規政策》開展盡職調查、合同審查、第三方的聘用、費用的支付等各項審批。

（4）審查本企業對《合規政策》的執行情況。

（5）對違反《合規政策》的行為展開調查。

（6）其他《合規政策》規定的職責。

首席合規官對于其認為需要經合規委員會討論的事項可以提交合規委員會討論決策。申請部門對于首席合規官做出的決定有異議的，可以申請提交合規委員會復議；申請部門對合規委員會做出的決定有異議的，可以與總經理商議，由總經理提交本企業董事會討論裁決；董事會的決定為最終裁決。

2.子公司的合規負責人

首席合規官可以根據實際情況在每個子公司內部任命專職或兼職的合規負責人，以確保子公司遵守并執行《合規政策》。

企業在下屬一級機構可分別任命合規負責人、合規專員，設置合規部門，在非一級機構可設置合規專員。

四、合規部門的職責

企業性質、規模等不同，合規部門的職責會有所不同。國資委印發的《中央企業合規管理辦法（試行）》征求意見稿和發改委等七部門聯合印發的《企業境外經營合規管理指引》，分別概述了中央企業合規管理部門的一般職責和開展境外業務的企業的合規管理部門職責。

在合規委員會和首席合規官的領導下，企業的合規部門是具體履行《合規政策》的有關職權和職責的機構。其主要職能為：①起草合規管理年度計劃及工作報告、基本制度和具體制度規定等；②參與企業重大事項合法合規性審查，提出意見和建議；③組織開展合規風險識別和預警，組織做好重大合規風險應對；④組織開展合規評價與考核，督促違規行為整改和持續改進；⑤指導其他部門和子企業合規管理工作；⑥受理職責范圍內的違規舉報，組織或參與對違規事件的調查，并提出處理建議；⑦組織或協助業務部門、人事部門開展合規培訓；⑧負責確保本企業符合有關法律法規及《合規政策》的規定，并協助首席合規官推進、執行《合規政策》。

合規部門可單獨設立，亦可不單獨設立，其職能可劃入法務部門，由法務部門一并履行相關職能并在部門名稱上體現“合規”二字即可。

合規部門中須內設合規專員，作為公司合規管理的具體責任人，一般是通過在合規部門設置一個或數個專門崗位來實現。其職能職責具體如下。

（1）持續跟蹤法律法規、監管規定和行業規則等內外部合規監管規定的變化，并及時制定公司內部規章制度或相關實施方案、操作細則等。

（2）負責保持與外部監管機構等的日常工作聯系，及時記錄各類監管文件的要求并形成報告。

（3）對公司新產品、新業務、新流程進行合規評估，提交合規評審報告，做好合規風險防控預案。

（4）為管理層和業務部門的經營管理活動提供合規咨詢、意見和建議，支持公司穩健發展。

（5）收集、反饋公司各部門和業務線發生的合規風險事項等數據和信息。

（6）組織開展合規評價與監督檢查，形成評價報告和監督檢查報告。

（7）編寫合規檔案和宣傳培訓資料，組織落實合規培訓和宣傳貫徹合規政策。

（8）負責合規檔案的整理、歸檔和維護。

（9）領導安排的其他工作。

五、合規工作聯席會議的職責

首席合規官和紀委之間應建立順暢的溝通機制。企業應安排專門費用預算用于合規、紀檢和反賄賂工作。合規委員會和紀委應定期召開反賄賂工作聯席會議，交流當期的合規和紀檢事項，通報有關反賄賂法、規定和條例的動態，并交流合規事項信息。合規工作聯席會議機制在雙方職權范圍內履行以下職責。

（1）對企業經營管理行為進行監督，對違規行為提出整改意見。

（2）會同合規管理牽頭部門、相關業務部門對合規管理工作開展全面檢查或專項檢查。

（3）對企業和相關部門整改落實情況進行監督檢查。

（4）在職責范圍內對違規事件進行調查，并結合違規事實、造成損失等追究相關部門和人員責任。

（5）對完善企業合規管理體系提出意見和建議。