伴隨著國內經濟由高速增長向高質量發展的轉變，及國內外日趨嚴格的市場監管環境，為了使企業長期健康發展，建設合規管理體系已迫在眉睫。合規管理體系建設不僅契合了國家發展方針，也可以應對來自法律法規、監管機構等各個維度的合規問題，助力業務的長期發展和持續增長。本文從合規管理體系建設的關鍵路徑出發，結合百度智能云-智慧金融業務實踐闡述企業合規管理體建設的實現方式。
 
 

企業合規管理體系建設的必要性

       在經濟全球化背景下，企業面臨著國內外日趨嚴格的市場監管環境，企業在發展過程中，要規避和控制諸多風險，應對來自法律法規、監管政策、質量管理、環境管理、反商業賄賂、信息安全等各個維度的合規問題，越來越多的企業致力于通過搭建合規管理體系將合規融入企業經營，以助力企業業務的長期發展和持續增長，創造競爭優勢并保障業務合規運行。
       從企業發展本身出發，合規管理體系為防范企業合規風險提供體系化的合規管理框架；幫助企業規范合規管理過程、建立合規經營價值觀、有效防范合規風險、減少違法行為發生，保障企業健康運行，提升企業的商業信譽，樹立良好的社會形象[1]。
       從企業外部發展環境出發，合規管理體系可以幫助企業全面評估合規風險，有效避免公司的違法違規行為，推動企業自身監管、自身報告、自身披露和自身整改，實現企業與違法員工的責任分離，降低企業風險。同時，有效合規管理體系有利于企業與行政監管部門在合規風險發生后達成和解協議，或與刑事司法機關達成暫緩起訴的協議，從而將利益相關方的損失降到最低。
 

 

企業合規管理體系建設關鍵路徑

       ISO 37301:2021《合規管理體系 要求及使用指南》規定了組織建立、運行、維護和改進合規管理體系的要求，并提供了使用指南，適用于全球任何類型、規模、性質和行業的組織，為企業的合規管理工作提供了更為明確的指導。
       下面結合ISO 37301標準和合規管理體系建設經驗闡述企業合規管理體系建設的關鍵路徑。

       1.搭建合規管理組織。完成從治理層到基層員工的合規職責分配及授權，明確每個層級在合規管理中的職責。
    （1）先要明確企業實現合規經營管理的原則和合規行動承諾，依照合規行動承諾結合合規義務和企業的戰略制定企業合規目標。
    （2）要根據合規目標明確合規管理組織、職責分工，企業的合規管理職責應覆蓋全員，從治理機構、最高管理者、合規管理部門（通常有法務部、風控管理部門、運營管理部分等，可根據企業的架構和職能定位確定），到業務部門和各位員工，都需要有明確的合規角色和合規職責。

       2.成立合規管理體系建設工作組。一般而言，僅依靠常態化合規管理部門在短時間內建立企業的合規管理體系是很難完成的，因此要召集一批有經驗的跨職能專業人員共同參與合規管理體系建設工作組。
       合規管理體系建設工作一般由合規管理職能部門牽頭推動，在成立合規管理體系建設工作組前，合規管理職能部門需先確定工作目標，根據目標篩選參與的部門和工作組成員，明確成員的角色和職責。

       3.宣講合規管理體系。合規管理體系的宣講是在企業內部普及合規文化的重要方式，通過宣講可以讓受眾了解合規管理體系的重要性和必要性，明晰違規代價，提升全員的合規意識。合規管理體系宣講可以單獨以專題的形式進行，也可以與公司的文化融為一體統一宣傳。

       4.診斷合規管理現狀。企業開展合規管理體系建設，首先要明確合規管理現狀水平如何，有哪些短板？只有充分了解這些信息，在策劃和設計合規管理體系時，才能更有針對性。
       合規管理現狀診斷可以通過問卷調研、訪談等形式進行。調研全員的合規意識推薦通過問卷方式；摸底重點業務的合規現狀、合規管理情況，推薦針對業務管理層、業務骨干進行訪談，這種方式對訪談問卷的設計要求比較高，需要提前策劃。

       5.制定合規管理體系建設方案。根據法律法規、行業標準等外部要求和合規現狀診斷結果，制定合規管理體系建設方案，明確合規管理體系的目標、方針、總體規劃、詳細計劃等內容。
       制定合規管理體系建設方案前，要明確兩個基本內容，一是企業合規管理現狀，二是合規管理體系的目標，在此基礎上，結合企業的特點和管理成熟度制定適用的建設方案。
       確定合規管理體系建設方案后，如何執行也很重要，建議要有詳細的執行計劃和明確的成員分工，定期召開工作組會議協商解決項目難點，及時預警項目風險；建立項目里程碑，定期對比進度，及時調整計劃確保項目目標達成。

       6.梳理合規義務。梳理合規義務是合規管理體系建設中的一個關鍵環節，只有明確了合規義務，才能明確各職能部門要承擔的義務和要遵循的規則。
       確定合規義務是企業建立合規管理體系的最基礎的活動，企業應從外部監管要求和內部發展戰略、產品服務、業務領域等方面去梳理和識別需要履行的合規義務，并根據外部監管要求及企業合規承諾的變化進行及時調整，梳理和識別的范圍應覆蓋企業所有的業務領域。梳理完合規義務建議以清單的形式進行保存和宣貫，方便相關方查詢。信息化建設好的企業可以通過知識管理工具進行系統化的管理，提升使用效率。

       7.評估合規風險。合規風險覆蓋企業經營的全場景，難以盡數，需要盡可能地全面識別合規風險，然后加以分析、評估，以確定風險等級和處置的優先順序。
       合規風險的識別、分析和評價是制定合規風險應對措施的前提。企業應把合規義務與生產經營活動聯系起來，基于業務場景通過業務流程梳理、歷史經驗、頭腦風暴等方法進行合規風險識別，輸出風險清單，分析風險原因、后果和發生的可能性，確定合規風險處置機制，并按照要求對風險進行有效處置和管理。合規風險是持續變換的，影響因素非常多，一定要定期復核和更新。

       8.制定合規風險控制措施。結合風險評估結果并充分考慮成本效益原則，制定合規風險控制措施。
       制定合規風險控制措施是實現合規方針、控制合規風險的關鍵步驟。企業應根據合規風險的優先級，制定合規風險的控制措施，執行控制措施前需要對其有效性進行評審，執行過程中要落實責任部門和責任人。合規管理職能部門應定期檢查控制措施的效果和效率，評價合規風險控制措施的有效性。

       9.優化合規流程。此處所說的合規流程不僅指狹義的合規管理流程，應該擴展至企業所有業務和管理流程，通過流程優化從而建立體系化合規控制手段。
       流程是控制措施的落地舉措，在優化流程前需建立、完善控制程序與運行機制，這是企業履行合規義務、控制合規風險的基礎。再將規章制度整合到業務運行流程中，并落地執行，以實現預期的合規目標。流程運行效果需要定期的監測和評估，可以利用流程管理系統和OA辦公系統等系統工具進行管理，提升運行效率。

       10.編制合規手冊。《合規管理手冊》是合規管理體系建設集大成的代表性成果，是企業合規管理的綱領文件。
       《合規管理手冊》及相關的程序文件需要以達成合規目標為目的進行持續優化，要從企業合規管理目標出發，去繁化簡提升制度的有效性。

       11.宣貫合規管理制度及培訓。這一步非常關鍵，很多合規管理體系建設項目“虎頭蛇尾”，忽視宣貫導致的結果是合規管理制度被束之高閣。業務層面結合業務場景形成合規指引，根據業務屬性做針對性的強化培訓。合規管理體系建設不是建設在紙上和電腦里，而是建設在全員的腦海和意識里。

       12.合規管理演練。開展合規管理演練是保障合規管理體系適用性、可用性的有效手段。合規管理體系不是做了一套文件或者梳理一遍流程就是做好了，需要通過有規劃的合規管理演練活動確保合規管理體系時用時新、用時有效。
       演練活動可以是系統化全場景演練，也可以針對特殊場景開展針對性演練，演練后要及時復盤，對發現的問題進行分析和總結，及時完善管理機制和控制手段，確保合規管理體系的有效性。
       以上闡述的合規管理體系建設路徑只是初步搭建企業合規管理體系必備操作，要想切實產生價值和效果，還有很多運營工作需要持續推動。
 

 

企業合規管理體系建設經驗分享

       以百度智能云的智慧金融業務為案例，分享企業合規管理體系建設的實踐經驗。
       智慧金融業務兼具創新性、交叉性和綜合性，不僅要滿足傳統金融監管政策，還要滿足互聯網、大數據、云計算等領域的監管要求，涉及不同領域的交叉監管，面臨的監管形勢愈加嚴峻和復雜。
       百度智能云的智慧金融業務，已經服務了近500家金融行業客戶，其中包括政策性銀行、國有六大銀行、10+家股份制商業銀行、30+家保險機構、上百家區域性銀行及證券、資產管理等各類金融機構，覆蓋營銷、風控、運營等關鍵金融場景。近期，中國質量認證中心（CQC）為百度智能云頒發行業首家ISO 37301合規管理體系認證證書，標志著百度智能云智慧金融業務的合規管理能力達到國際標準，充分展現其在這一關鍵能力上居于業內領先地位。
       結合百度智能云的實踐經驗，下面從保障合規管理落地的3個關鍵點進行分享。

1.企業合規義務識別
       在企業進行合規義務識別時從兩個方向開展梳理，一是從企業的業務流程展開，識別企業的產品研發流程、銷售流程、交付流程、財務管理流程、人力資源流程等，明確各流程需要遵守的主要法律法規、監管規定、行業規則、產品標準等內容，形成企業的合規義務清單。二是從企業應遵守的合規要求展開，合規要求包括但不限于反賄賂、反洗錢、反壟斷、數據與網絡安全、環境保護、知識產權、勞動用工等，把合規工作要求進行分析和歸納整理成企業需要承擔的合規義務。對合規義務做拆解，與企業管理制度、業務流程建立對應關系，實現合規義務的落地執行，有效降低企業合規風險。

2.合規管理流程建設
       合規流程的建設與優化參考APQC開發的流程分類框架按級、按層進行。例如，按照研發的類型把研發分成自主研發、委托研發、合作研發和集中研發；然后按照研發的實現過程，把研發細分為市場分析、技術可行性分析、立項評審、成立項目組、需求分析、制定項目任務書、制定驗收標準、項目實施、單元測試、系統測試、驗收測試等；每一個操作步驟都是一個小的業務流程，在此基礎上進行標準化，即得到標準化作業程序（SOP）。SOP中包含對合規風險、操作風險的控制。

3.合規風險評估
       合規風險的評估使用風險矩陣評價法，從風險影響后果和風險發生可能性兩個維度進行。風險評價完得出風險值R，按照R值大小和風險類型搭建企業合規風險分布地圖，同時對風險進行緊急程度排序，結合企業合規目標和業務需求優化資源投入，優先解決高危風險。例如，合規風險課按照類型分成監管風險、法律風險、安全風險、刑事合規風險等，在每個風險類型下匯總識別的風險信息和評價結果，用風險類型和風險評價結果可以搭建并輸出風險分布圖；用風險信息和風險評價結果可以進行風險排序，再結合現有控制措施及剩余風險的分析，確定需優先解決的敞口風險，從而提升資源使用效率。



       隨著2022年《中央企業合規管理辦法》（征求意見稿）的發布，國有企業合規管理工作正在有序深入開展，意味著全面依法治國戰略部署已逐步落實。百度智能云將繼續探索并完善合規管理體系的建設，不斷提升依法合規經營管理水平。我們呼吁各企業結合自身情況，不斷提升合規管理能力，充分發揮合規管理“固根本、穩預期、利長遠”的護航作用，筑牢合規底線，依法合規經營，創造高質量的合規管理體系運行實踐，真正將合規管理作為企業持續健康發展的基石。