2022年8月23日,国务院国有资产管理委员会(以下简称“国资委”)颁布了《中央企业合规管理办法》(国资委令第42号,以下简称《办法》),自2022年10月1日起施行。《办法》的颁布预示着我国中央企业的合规管理更科学、规范。习近平总书记强调,守法经营是任何企业都必须遵守的一个大原则,企业只有依法合规经营才能行稳致远。党的十九大后,党中央明确提出习近平法治思想,把全面依法治国提升到前所未有的新高度。《法治中国建设规划(2020-2025年)》《法治社会建设实施纲要(2020-2025年)》等中央文件对企业依法合规经营提出明确要求。落实党中央部署要求,国资委高度重视合规管理工作,2018年印发《中央企业合规管理指引(试行)》(以下简称《指引》),因此国资委也编制一系列重点领域合规指南,并将今年确定为中央企业“合规管理强化年”,进一步加大推动力度。中央企业认真落实有关要求,合规管理工作取得积极进展和明显成效,为企业改革发展提供了有力支撑保障。
党中央明确提出加快建设世界一流企业的目标,一流的企业必须要有一流的法治工作为保障。当前国际竞争越来越体现为规则之争、法律之争,在如此的大背景下,中央企业面临的国内外环境和风险挑战日趋复杂严峻,必须加快提升依法合规经营管理水平,确保改革发展各项任务在法治轨道上稳步推进。为此,国资委深入贯彻落实习近平法治思想,在总结中央企业合规管理实践、借鉴国际大企业先进做法的基础上起草了《办法》,经由国资委党委会、委务会审议通过后印发并实施。
此次《办法》的出台可谓是对国际合规标准《合规管理体系要求及使用指南》(ISO 37301:2021)的中国化转译,二者均采用PDCA管理循环的原理[1],需要企业不断对自身的合规管理体系及合规管理工作进行持续优化。因此本所律师立足于当前合规的大环境,结合国际标准并比对二者之间的内在联系浅析央企未来合规新趋势,为央企合规体系的构建提供新解。
《中央企业合规管理办法》与国际标准的联系
(一)合规要求之组织架构完善
1.本所律师解读:
ISO 37301:2021第5.3条划定了合规管理职能部门的“Roles, responsibilities and authorities”,5.3.1明确了“Governing body and top management”的职责权限,即“治理机构和最高管理者应确保在组织内分配和沟通相关岗位的职责和权限”;5.3.2明确了“Compliance function”的职权划分与监督责任;5.3.3明确了执行人员“Management”的职责(具体详见下表)。
与此相对,《办法》对合规管理组织架构也作了进一步调整与优化,明晰了各合规管理组织的权责划分。此次修订,《办法》还增加党委(党组)负合规的领导职责;明确央企主要负责人应作为第一责任人落实央企合规管理要求;首次提出央企应设置首席合规官,并对其具体合规管理职责予以明确;进一步明确合规管理“三道防线”的权责划分,总之,此次修改是对国际标准的有效回应。
2.相关条款:
(二)合规要求之资源支持
1.本所律师解读:
ISO 37301:2021第7.1条明确规定“资源:组织应确定并提供建立、实施、保持和持续改进合规管理体系所需的资源”。与此对应,《办法》第六条也规定了中央企业应当在机构、人员、经费、技术等方面为合规管理工作提供必要条件。合规管理体系的建立离不开人力、财力、物力三个方面的全方位支持,被视为合规管理体系是否有效的评价指标之一。虽然ISO 37301:2021将这些支持定义为“ Resources”,而《办法》将其定义为“必要条件”,但本所律师认为,即便表述不同,其内涵均要求企业为合规构建全方位多维度的资源与条件供给。
2.相关条款:






(三)合规要求之运行监督
1.本所律师解读:
ISO 37301:2021第A8.3条规定了组织人员可提出“合理怀疑:必要时,应逐级上报至最高管理层和治理机构,包括相关委员会。即使当地法规没有要求,组织也应考虑建立匿名或保密的举报机制,以便组织的人员和代理方进行举报或寻求应对不合规行为的指导,且不必担心遭到报复”,随后,第A8.4条对举报后续过程的“调查程序”进行了具体规定,即“有效的合规管理体系应具有良好的运作机制,以及时、彻底地调查对本组织、其人员或有关第三方不当行为的任何指控或怀疑。这包括组织的应对性文件、采取的一切纪律或补救措施,以及在吸取经验教训后对合规管理体系的修订。应查明包括管理者、最高管理层和治理机构在内的不当行为的根源、合规管理体系的漏洞和责任缺失的原因。缜密的根源分析涉及人员的数量、水平,以及不合规的程度、普遍性、严重性、持续时间和频率。组织还应确保调查是公正和独立的。且应酌情考虑设立独立的委员会监督调查活动,并保证调查的完整性和独立性”。同时,调查结束之后“组织应建立调查报告机制,包括报告调查结果的级别(注:法律有时会要求组织报告不合规情况。对此,应根据适用的法规或其他商定的方式通知监管机构)”,然而“即使法律不要求组织报告不合规行为,组织也可以考虑主动向监管机构披露不合规行为,以减轻不合规行为的后果”。
与此相对,《办法》第十三条明确央企及职能部门承担合规管理主体责任并组织或配合开展相关调查与整改工作,同时第二十四对于举报机制作出了更为细致的规定,包括设立违规举报平台,公布举报电话、邮箱或者信箱的违规举报途径,还特别提及对于举报人的身份与举报事项进行保密、对举报属实的举报人进行奖励等激励性、保护性新举措。《办法》所规定的这一“举报机制”与ISO 37301:2021中“报告疑虑制度”效果类似,均确定了“对举报内容、举报者保密”、“保护举报者免于遭受报复”等原则。
然而,《办法》对于后续的调查程序与处理并未作出详尽规定,而ISO 37301:2021不仅规定了调查程序外而且增加了对于确认情况后的处理措施,即从相关部门接受举报移交责任追究部门,到对涉嫌违纪违法的按照规定移交纪检监察等相关部门或者机构,将举报中发现的问题与追责问责流程衔接起来,将举报渠道与司法处罚机制相衔接,因此,我国央企合规职能部门在处理相关问题时可参考适用国际标准。
2.相关条款:


(四)合规要求之信息化建设
1.本所律师解读:
ISO 37301:2021第7.5条规定了“文件化信息控制:组织应控制合规管理体系和本文件所要求的文件化信息,以确保其一方面,在需要的场所和时间均可获得并适用;另一方面,得到充分的保护(例如:防止泄密、不当使用或完整性缺损)”。同时,还规定了“为控制文件化信息,适用时,组织应实施以下活动:分发、访问、检索和使用;储存和保护,包括保持易读性;变更的控制(例如:版本控制);保留和处置”。不仅如此,“组织应识别其确定的合规管理体系策划和运行所需的来自外部的文件化信息,适当时应予以控制”,国际标准中的文件化信息是组织需要控制和保持的信息及其载体,涉及内容非常广泛。
与此相对,《办法》通过第一章原则与第六章专章规定的方式也要求央企建立合规管理信息化控制系统。三十三条至第三十六条阐述了运用信息化手段促进制度、财务、业务等各方面的合规管理,尤其是将合规制度、典型案例、合规培训、违规行为记录等纳入信息系统,与ISO 37301:2021对文件化信息的管理理念不谋而合。
当前已有普遍共识,即信息系统处理文件化信息有助于流程清晰、高效管理,防止人为疏漏。同时,在建立信息系统的同时,需要遵守我国《网络安全法》《数据安全法》《个人信息保护法》,以及其他相关法律法规等规定。对于跨境经营的中央企业,则还需遵循欧盟《通用数据保护条例》、美国《数据隐私和保护法案》等国际法律法规。
2.相关条款:

(五)合规要求之建立合规体系并持续改进
1.本所律师解读:
ISO 37301:2021第4.4要求建立“合规管理体系:组织应根据本文件的要求建立、实施、保持和持续改进合规管理体系,包括所需的过程及其相互作用”,“合规管理体系应反映组织的价值观、目标、战略和合规风险,并且应考虑组织环境(参见 4.1) ”。第10.1对持续改进作出了具体规定“组织应持续改进合规管理体系的适宜性、充分性和有效性”,“当确定合规管理体系需要变更时,组织应按计划实施变更”,“组织应考虑:变更的目的及其潜在后果;合规管理体系设计和运行的有效性;充足资源的可用性;职责和权限的分配或再分配”。
与此相对,《办法》第三章对制度建设提出了具体要求,并要求中央企业依照制度环境变化对其企业合规制度进行持续性改进。无论是国际标准还是国内规章,均认为有效且优质的合规管理体系其核心特点表现为时效性,企业应具备持续改进和发展的能力。总而言之,本质上是要求企业根据组织环境的变化,相应调整内部规章制度的建立。
2.相关条款:


(六)合规要求之合规文化氛围形成
1.本所律师解读:
在合规文化方面,ISO 37301:2021引言部分开篇即指出“本文件的目标之一是协助组织发展和传播积极的合规文化。同时,组织应将有效及可靠的合规风险管理视作一种值得追求和利用的机遇,因其能够为组织提供下列优势:增加商业机会、助力可持续发展;保护并提升组织的声誉和信誉;考虑各相关方的期望;表明组织致力于切实有效管理其合规风险的决心;提升第三方对组织能够取得持续成功的信心;最大限度地降低违规行为发生的风险及相应的费用和声誉损失”,文件第3.28条还指出“合规文化贯穿整个组织(3.1)的价值观、道德准则、信仰和行为(3.29),并与组织结构和控制系统相互作用,产生有利于合规(3.26)的行为规范”,最后文件第5.1.2条要求“组织应建立、维护并在其各个层级上推广合规文化。治理机构、最高管理者和各管理层应做出整个组织所需的、关于共同行为准则的积极、显现、一致且持续的承诺。最高管理者应鼓励促进和支持合规的行为,应阻止且不容忍损害合规的行为”。
与此相对,《办法》则提出了包括:将合规管理纳入党委(党组)法治专题学习新增领导专题学习要求,对企业合规管理的建立具有十分重要的支撑作用,领导合规意识的加强,将有助于自上而下地影响企业员工合规意识的培养。同时,员工合规意识培训是培养企业合规文化的基础,是加强合规意识的重要举措。企业的培训机制只有涵盖培训计划构建、具体内容制定、适当方式选择、形式要件完备、合规培训经费充足等全方位提供支撑,才能在企业内部真正形成良好的合规文化。
可以说,《办法》为央企构建完备的合规体系提供了具体的操作指南,是我国结合自身国情而对国际标准的进一步量化。例如:建立常态化合规员工培训机制、适时发布合规指引,定期组织签订合规承诺文件等。
2.相关条款:

结语
无论是作为国际标准的ISO 37301:2021,亦或是国资委制定并颁布的《办法》,二者之间存在较多的内在联系,且性质上二者均属于最新最权威的合规管理指导性规定。因此,企业在构建合规体系、明晰合规权责时都不可忽视。尤其是在,经济一体化需求与区域性贸易壁垒强化这一相互矛盾的背景下,央企更不能顾此失彼,需要依照上述两种标准加速构建合规管理体系以及尽快取得国内外合规管理的认证。
央企合规趋势新解——从国际标准到中国视域
作者:谢烨蔓 王若菡来源:大成深圳办公室

2022年8月23日,国务院国有资产管理委员会(以下简称“国资委”)颁布了《中央企业合规管理办法》(国资委令第42号,以下简称《办法》),自2022年10月1日起施行。