国际标准组织(InternationalOrganization for Standardization)把合规管理提到一个更高的站位。2014年12月15日,发布ISO 19600《合规管理体系——指南》,其目的是为了公司、企业或其他任何一个组织建立一套行之有效的合规管理体系并对该体系的运行、评价、维护和改善提供指导。

以此开始，合规管理体系日益进入监管机构的监管和协会的协管日程，要求企业建立和运行合规管理体系，将成为监管机构的一个重要监管要求。

按照时间顺序，笔者流水账式地整理了一下2016年以来的监管机构、协会关于合规管理的管理文件发布情况。

2016年12月30日，原中国保险监督管理委员会（现中国银行保险监督管理委员会）制定发布《保险公司合规管理办法》，加强保险公司合规管理。

2017年6月6日，中国证券监督管理委员会制定发布《证券公司和证券投资基金管理公司合规管理办法》，自2017年10月1日起施行，以促进证券公司和证券投资基金管理公司加强内部合规管理，实现持续规范发展。

2017年9月8日，中国证券业协会制定发布《证券公司合规管理实施指引》，自2017年10月1日起施行，以指导证券公司有效落实《证券公司和证券投资基金管理公司合规管理办法》，提升证券公司合规管理水平。　　　　　　　　　　　　　

2017年12月29日，国家质量监督检验检疫总局、中国标准化管理委员会发布《合规管理体系指南》（GB/T35770-2017/ISO 19600），2018年7月1日实施。

2018年11月2日，国务院国资委印发《中央企业合规管理指引（试行）》，推动中央企业全面加强合规管理，加快提升依法合规经营管理水平，着力打造法治央企，保障企业持续健康发展。

2018年12月26日，发展改革委、外交部、商务部、人民银行、国资委、外汇局、全国工商联共同制定发布《企业境外经营合规管理指引》,该指引参考GB/T 35770-2017《合规管理体系指南》及有关国际合规规则，以更好服务企业开展境外经营业务，推动企业持续加强合规管理。

2018年12月28日, 上海市国有资产监督管理委员会制定发布《上海市国资委监管企业合规管理指引（试行）》, 推动市国资委监管企业全面加强合规管理，有效防控合规风险，促进企业依法合规经营管理，保障企业持续稳定健康发展。

2019年4月19日，上海市嘉定区国有资产监督管理委员会制定发布《嘉定区区属企业合规管理指引（试行）》，推动区属企业全面加强合规管理，有效防控合规风险，促进依法合规经营管理，保障企业持续稳定健康发展。

2019年11月6日，江苏省国资委制定发布《省属企业合规管理指引（试行）》，推动省属企业全面加强合规管理，有效防控合规风险，促进企业依法合规经营管理，保障企业持续稳定健康发展。

建立合规管理体系的流程

以上的文件、规范、指南（不一定齐全，请专家、行家提醒漏项，先多谢指正！）都围绕建立合规管理体系和运行、持续改进合规管理体系提出要求和指导。笔者先围绕建立合规管理体系，总结归纳一下建立合规管理体系的工作流程。

建立合规管理体系，有两个技术路径，一个是基于流程来建，另一个是基于岗位来建。笔者以基于流程来作一阐述，以便于企业合规人员了解和基本掌握基于流程的合规管理体系建立全过程。全过程包括：内外环境调研梳理、明确合规职责、业务建模、合规义务检索、合规风险识别、合规风险防控、完善业务合规制度、合规监督改进、合规绩效考核、发布业务合规管理文件等十个步骤，形成一个可持续改进的合规管理闭循环管理过程。

一、内外环境调研梳理

企业可以就单独某一个重要业务建立合规管理体系，比如出口业务合规管理体系，也可以对某一市场国家的分支机构建立合规管理体系，也可以建立覆盖全公司的合规管理体系，但是，不管这个合规管理体系覆盖范围大小，都是由若干流程和若干岗位组成的，因此，实质上，合规管理体系建立流程上和岗位上。比如，我们要建立公司采购业务合规管理体系，我们合规工作组要围绕公司采购业务，进行公司内部外部环境调研梳理，了解采购业务管理单元的外部相关方、企业采购业务内容、采购管理组织架构、采购业务方面的制度建设等方面，了解了这些，方便合规工作组后续的工作，比如，了解外部相关方，便于梳理收集合规义务，了解企业采购业务内容、采购管理组织架构、采购业务方面的制度建设等方面，便于进行业务建模、风险识别等。

在《合规管理体系指南》“3 组织环境”中明确，需要了解：①3.1理解组织及其环境中，环境包括内部和外部；②3.2理解相关方的需求和期望；③3.3确定合规管理体系的范围。鉴于此，以采购业务为例，进行调研与梳理的内容包括：

一是梳理与公司采购业务有关的所有外部相关方。

二是梳理公司采购业务管理行为、活动与特征。

三是梳理公司采购业务的管理架构与职责。

四是梳理公司采购业务现有的采购制度体系建设。

五是了解公司采购业务领域的绩效考核与采购合规管理期望。

具体见表1 合规管理体系建设前调研工作表（样表）。

二、明确合规职责

合规职责的明确包括确定决策层的合规职责、采购业务部门的合规职责、合规管理部门的合规职责，合规监督部门的合规职责。

具体见表2 合规管理体系职责分工表（样表）。

三、业务建模

按照流程1+6结构，对企业采购业务进行1+6采购业务流程图描述，既采购业务建模，把企业采购业务的实际执行过程，用图、表结合的形式进行可视化再现，使得采购业务活动过程场景可视。这是对采购业务活动过程管理现状的一个图表化的可视模拟，具体见表3 业务/管理过程可视化建模工具表。后面的步骤，均是在此可视化“业务建模”基础上进行的，即在下面工具表的右边，开始依次增加“列”，开展对应的工作。

四、合规义务检索

根据第一步调研梳理，工作组对与采购业务有关的外部相关方、内部采购活动、采购组织管理架构、采购制度建设等已全面了解，方便收集关于采购业务的外部监管机构及监管标准——法律法规、政策规定、行业要求等合规义务，在此基础上确定采购业务需要遵循的具体合规义务。建立采购业务合规义务管理台账。

具体见表4 合规义务管理台账（样表）。

针对所收集的合规义务，对照前面所做的业务建模，将合规义务内容具体分解、分散对应到业务流程的各步骤去。这样的合规义务内容主要是两个方面：一是不能做的、禁止的等；二是需要做的、需要达到的等。方法工具表如下表5。

五、合规风险识别

运用合规风险辨识分析评价工具——“合规风险源识别模型”，对采购业务领域的合规风险进行辨识、分析和评价。其方法工具表见表6 合规风险识别分析评价（样表）

六、合规风险防控

工作组在内部外部环境调研梳理、确定合规义务、识别评价合规风险的基础上，针对已经确定需要优先处理的合规风险清单，进行合规目标设定、运用业务专业知识和硬件投入进行防控措施设计、设定预警阈值、明确措施有效性评价方法、落实责任人、完成时间。

其方法工具表见表7合规风险防控（样表）。

七、完善业务合规制度

完善业务合规制度主要做两件事情，一是将制定的合规风险防控措施嵌入到具体采购业务流程；二是将合规义务转化、内化为业务管理规范。针对前面确定、分解的合规义务内容，把合规义务规定“需要做的”写入业务流程，对于合规义务规定“不要做、禁止的”情形，分析原有的业务流程制度规定是否能够管理规范到位，能够管理规范到位的，不用修改原业务流程制度，不能够管理规范到位的，修改原业务流程制度。经过两个方面的工作，形成新的采购业务合规管理流程制度。其方法工具表如下表8所示。

如果有的业务，其面临的合规风险高，外部强监管和执法，并且不合规后果严重，公司应考虑制定业务专项合规管理指引。具体见表9 业务/管理过程可视化合规管理指引（样表）。

八、合规监督改进

对企业的合规管理要进行监督检查和纠偏、持续改进，就需要制定合规监督检查内容，进行纠偏、持续改进、问责等。一般是将合规风险点转换为合规监督检查关键点，将制定的合规风险防控措施转换为监督检查的评判内容标准，也可以一起将转化、内化的合规义务转换为监督检查的评判内容标准。具体见表10 业务/管理行为可视化合规监督检查表（样表）。

九、合规绩效考核

合规绩效考核是合规管理的重要激励保障机制，是对业务部门、单位和岗位人员进行绩效考核，纳入业务部门、单位和岗位整体绩效考核中。合规绩效考核在步骤八的工作结果基础上直接来设计部门、单位合规绩效考核内容和计分标准。合规绩效考核应注重过程+合规结果的联合考核评价模式。具体见表11 业务过程可视化合规绩效考核评价表（样表）。

十、发布业务合规管理制度

完成前面的九个步骤工作后，工作组将形成两个重要的工作结果文件：

一是《采购业务可视化合规管理指引》,样表见前面表9，它可以指导该采购业务如何进行合规管理制度完善,提供可视化的操作指引；

二是《采购业务可视化合规管理、监督与考核流程》。它是将前面步骤7的工作结果表8、步骤8的工作结果表10、步骤9的工作结果表11进行合并，形成的具有管理、监督、考核内容一体的综合流程制度，样表见表12。

如果不需要合规管理指引，就一个新的文件，即《采购业务可视化合规管理、监督与考核流程》。

至此，嵌入业务流程、与业务管理体系融合的合规管理体系已经建立，后续的工作就是宣贯、培训和推进合规管理体系的有效运行，然后就是实施评价、维护、改进合规管理体系的事情。

作者：樊光中

来源：企业合规风险控制与效能管理研究

小编微信：Crocso 如欲就法务与合规管理进行交流、培训、咨询等，可与我联系，将为您推荐大咖老师、资深专家和律师。