2023有效合规管理体系构建及热点问题分析

目

录一、

前言.............................................................................................................

1二、

合规管理词源及其渊源.............................................................................

1（一）

合规词源.........................................................................................

1（二）

合规渊源.........................................................................................

5三、

合规管理体系建设关键要素解析.............................................................

7（一）

合规要求之组织架构完善.............................................................

7（二）

合规要求之资源支持...................................................................

11（三）

合规要求之运行监督...................................................................

11（四）

合规要求之信息化建设...............................................................

13（五）

合规要求之建立合规体系并持续改进.......................................

14（六）

合规要求之合规文化氛围形成...................................................

16四、

不同领域专项指引...................................................................................

18（一）

数据安全保护专项.......................................................................

18（二）

反商业贿赂专项...........................................................................

26（三）

反垄断专项...................................................................................

27（四）

劳动用工专项...............................................................................

30（五）

知识产权专项...............................................................................

33五、

合规典型案例...........................................................................................

37（一）

事前合规.......................................................................................

37（二）

事后合规.......................................................................................

38六、合规管理体系建设和有效运行的整体优势.............................................

42（一）

刑事责任方面的激励...................................................................

43（三）

合规不起诉案例简析...................................................................

44（三）

行政责任方面的激励...................................................................

47（四）

行政和解案例简析.......................................................................

47结语.....................................................................................................................

48一、前言合规管理体系构建是指企业在遵守法律法规、社会道德和商业道德的基础上，通过内部控制和外部审查，证明企业行为符合相关标准的过程。《中央企业合规管理办法》（以下简称《央企办法》）和

ISO

37301:2021

是两个重要参考标准。其中，合规体系认证又称贯标认证是合规管理体系有效性评价的一种，一般而言，在对企业进行合规管理认证时参考的标准为

ISO

37301:2021

或

GB/T

35770-2022。《央企办法》是中国政府颁布的关于企业合规管理的指导性文件。该办法主要强调了中央企业必须遵守的法律法规、企业伦理和社会责任等方面的要求。同时，该办法还规定了企业合规管理的组织结构、内部控制、风险评估和监督检查等方面的要求，强化了企业在合规管理方面的责任意识和能力。ISO

37301:2021

是国际标准化组织最新发布的企业合规管理标准，旨在帮助组织建立和维护有效的合规管理体系。该标准包含了企业合规管理的基本原则、组织架构、策略规划、资源配置等内容，并提供了一套适用于各种类型和规模组织的实施指南和评估要求。同时

GB/T

35770-2022

等同采用

ISO

国际标准：ISO37301:2021。1企业合规认证不仅可以加强企业合规管理的能力和水平，提高企业在市场中的竞争力和信誉度，还可以从根本上保障企业的经营稳定和可持续发展。因此，在实践中，企业应当根据《央企办法》和

ISO

37301:2021

等参考标准，制定相应的合规管理方案，并通过内部控制和外部审查进行自检和认证。这样，企业才能更好地建立起一套有效的合规管理体系，为企业的可持续发展提供坚实的基础和保障。二、合规管理词源及其渊源（一）合规词源1.

“合规”词义辨析“合规”一词的起源可以追溯到汉朝时期。在古代，为了统治国家和维持社会秩序，当时的统治者们制定了一系列规章制度，包括国家法律法规、伦理规范、1

/gb/search/gbDetailed?id=EB58F4DA9034B2A2E05397BE0A0A7D331

/

48行业自治规则和承诺等。这些规章制度是为了约束人们的行为，使人们遵守规则，维护社会稳定。其中，“规”指的是规矩、规则，“章”指的是条款、章节。在汉代，这些规章制度被称为“律令”，是一套法律体系。随着时代的变迁，“合规”一词逐渐演变成了指遵守法律、规则、条例等规章制度的意思。现在，“合规”通常指企业、组织或个人遵守相关法律法规、规章制度和行业规范的行为。“公司合规”一词源于美国，已有

60

年的历史。最早的文献可以追溯到

1962年的

James

R.

Withrow

Jr.的文章《Making

Compliance

Programs

Work》，而

2001年的安然公司破产和安达信会计事务所解体事件使得“合规”成了英美法等国金融证券市场中逐渐成为经营生态重塑的重要环节。“合规”的词源本身就具有“服从”的含义，同时，“规”这个字义具有多重含义，不仅包括国家法律法规，还包括伦理规范、行业自治规则和承诺等。因此，“合规”有时也会被称为“组织尽责”(organizational

due

diligence)。从企业立场上来看，合规更多和“风险管理”(risk

management)、“内控体系”(internal

control)联系在一起。企业合规内涵可以从以下两方面着手。一方面是由

COSO2在

1992

年发布了《内部控制——整体框架》(Internal

Control-Integrated

Framework)，该框架为企业提供了一个评估其内部控制质量的标准，被广泛地应用于各个行业和国家。COSO

框架包括五大组成要素：控制环境、风险评估、控制活动、信息与沟通以及监督。另一方面则是指

PCAOB3所界定的内涵，即“由实体的董事会、管理层和其他人士执行的，用于提供合理的与操作、汇报和合规相关的目标实现的过程”。对于外部监督者（规制者、执法者、行业管理者、社会行动者）而言，合规是“组织采用的，防止违反法律和确保对外部权威的服从，由此采取步骤来发现违规的政策和控制系统”4。作为对法律服从的合规，通常认为由三个要素组成：2

COSO

是指控制框架委员会（Committee

of

Sponsoring

Organizations

of

the

Treadway

Commission），它是由五个专业组织——美国注册会计师协会（AICPA）、美国金融经理协会（FEI）、美国内部审计师协会（IIA）、美国证券业协会（SIA）和美国管理会计师协会（IMA）所组成的联合体。3

PCAOB

是美国公认会计师事务所监督委员会（Public

Company

Accounting

Oversight

Board）的缩写。PCAOB

成立于

2002

年，是一个非营利的、由政府设立的机构，其主要职责是监管和规范对公开公司的审计工作，保护投资者利益。PCAOB

负责制定审计准则、审计标准和相关法规，并对注册会计师事务所进行监管和检查，确保其执行的审计工作符合法律法规和行业标准。此外，PCAOB

还能够对违反法规或规范的审计师事务所进行处罚和制裁，例如暂停或取消其注册资格，罚款等。PCAOB

的监管适用于上市公司及其附属机构的审计工作，这些公司必须接受

PCAOB

的审计程序并遵守其规定。4

Miriam

Hechler

Baer，Governing

Corporate

Compliance，50

B.C.

L.

Rev.

949，958

(2009).2

/

48一是公司确立发现和阻止高频发生的犯罪行为的内部机制；二是这一机制应当持续完整地运作；三是尽管公司可以依据不同的标准进行特殊分工，但应当采取广泛的预防措施。这些通常被更具象地形容为“一套正式行为准则、一个合规部门和官员以及一个面向员工的热线电话”2.美国合规沿革5。美国企业合规管理的发展是一个渐进的过程。最初，合规被视为一种轻微违规监管处罚的替代工具，要求公司承诺特定行为。随后，合规因素成为减轻处罚的考虑因素，然后逐渐成为监管部门要求采用的一般机制。尤其是从美国国防部开始，出现了在合规中要求主动汇报和完全配合调查的义务。当美国国防部发展出对公司内的合规体系进行评估的制度时，法律的执法方式就又向前跃进了一大步。实践探索为之后的法定合规制度塑造了原型。这些法律上的变化，体现了现代经济规制的特性，被视为美国回应型法律发展的典型制度。而回应型监管(responsive

regulation)，也成了监管领域的趋势共识和代表性标签。随着经济和社会规制针对组织的处罚的增加，刑事责任的需求凸显出来。组织量刑指南（联邦量刑指南的一个章节）就是针对企业行为的量刑规定。1984年的《量刑改革法》创立了一个量刑委员会，来制定量刑指南，其中涉及对组织的缓刑和罚款事项。应国会的要求，该委员会在

1988

年发布了草稿，其中并没有明确规定若企业已采取合规管理体系就可以减少罚金的机制，只是建议减少“累犯”的适用。草案提醒法院，在决定量刑的时候，应当考虑阻遏的收益，是否会显著超过对私人经营活动的司法监督的明显成本。1991

年

4

月，联邦委员会制定了新的指南，明确了合规体系作为量刑处罚的考虑因素——如果存在有效的系统来阻止和发现违法行为时仍然存在违规，则可以在量刑打分上获得奖励，从而降低罚金。2004

年的修订要求合规应推动组织文化，鼓励伦理行为。指南的出现和不断改进，促成了合规成为正式的具有激励效果的法律制度和普遍的商业实践。有评价认为指南是精心起草、累年经验和专家意见的产品。5

Philip

A.

Wellner，Effective

Compliance

Programs

and

Corporate

Criminal

Prosecutions，27

Cardozo

L.Rev.

497，501

(2005).3

/

48“汤普森备忘录”是由美国司法部副部长撰写的，明确规定检察官在对组织进行调查、指控和辩诉交易的时候，应当考虑

9

个因素，其中

3

个涉及有效的公司合规体系：第一，公司及时和自愿披露错误行为，表现出愿意配合调查其代理人的意愿，如必要，放弃公司的律师—客户(attorney-client)保密和工作底稿(workproduct

protection)保护权利；第二，存在并且充分的公司合规体系；第三，公司的救济行动，包括实施或改进有效公司合规体系的任何努力、更换负责的管理层，对错误行为人进行纪律处分或者开除、支付补偿，以及与相关政府人员合作等

。3.中国合规沿革中国合规管理体系的构建历史与美国合规管理发展有所不同。中国的合规管理起步时间相对较晚，并主要表现为自上而下的法律革新。中国的合规管理始于20

世纪

70

年代末，当时三资企业的建立将欧美跨国企业集团的合规管理理念和实践引入中国。中国的合规管理发展历程大致可以分为萌芽探索时期、快速发展时期以及合规强化时期。在合规萌芽探索时期，仅有赴国外上市公司以及外国资本在华公司关心合规问题，而合规概念并未被广泛接受。直到

2006

年银保监会公布并实施了《商业银行合规风险管理指引》以及

2008

年证监会公布与实施了《证券公司合规管理试行规定》中密集强调“合规”和“合规总监”之概念，中国的合规管理才得到广泛关注。2022

年国资委发布并实施了《央企办法》中提出“首席合规官”，进一步推动了中国法上引入合规管理制度的发展。随着金融市场的不断发展和监管要求的逐步加强，越来越多的金融机构、上市公司开始重视合规风险管理，并通过制定合规政策、加强内部控制、加强监督检查等手段来确保其经营活动的合法性和合规性。尤其是两个公司治理危机标志性事件的出现，更加促使企业注重自身经营、管理合规性风险审查，层叠地推动了一般公司去严肃审视这一机制。第一个标志性事件发生于

2007

年并于

2011年受到人们普遍关注——“中国概念股”公司在美国上市之后遭遇到各种信息披露和财务欺诈问题，这一事件促进了域外律所自此开始提供合规引导的服务。第二个标志性事件是由于“域外长臂管辖原则”6的确立，使得跨国公司的经营6

域外长臂管辖原则是指一个国家的法院可以在其领土之外对跨国公司或个人进行司法管辖的原则。它是现代国际法的一个重要原则，主要用于解决跨国公司的国际商务纠纷。在这种情况下，一个国家可以4

/

48管理风险上升到可能遭受刑事处罚的层面，如中兴通讯、华为等案件7，这些事件涉及国际贸易、知识产权保护、国家安全等多个领域，对于跨国公司和国际经济发展都有着重要的影响。这些事件的发生使得企业合规管理成为了时下学界和业界的热点话题。具有国外业务的公司开始购买有关合规的法律服务，合规管理、认证成为律师行业的蓝海。监管部门也受到此次事件的重大影响，不断强调合规概念。综上所述，合规管理源自于美国，从不同的部门兴起，从最开始的分流和不同目标，逐步在近年来合并成干流，并成为多个法律部门的共享制度。从经济和社会规制中的行为监管，到作为刑事制裁的替代手段，再到公司法中的社会责任和注意义务，到最后，形成这一制度的共同目标：引导公司成为“良善公民”(good

citizen)。这是一个逐步演化、由分到合的过程。企业合规具有重大意义，不仅能够避免违反法律规定而带来的罚款和声誉损失，还能够提高企业的形象和市场竞争力，从而实现可持续发展。（二）合规渊源“合规规范”并非法定术语，国内外标准、指南中并未使用“合规规范”作为专用术语。根据《央企办法》第三条：“本办法所称合规，是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则，以及公司章程、相关规章制度等要求”可知，企业合规实际上具有两层含义：第一，用以阻止非法行为，尤其是防止诸如洗钱、内幕交易、贿赂、会计和银行欺诈，也包括违反规制，包括不当价格政策等垄断行为所引发的刑事和民事责任，以及属于侵权的如工作场所性骚扰、职业安全、隐私以及环境保护等。在这个层面上，在没有实际存在的联系或活动的情况下，向其领土之外的个人或企业施加管辖权。长臂管辖原则通常适用于以下情况：跨国公司在该国家内的子公司或分支机构有实际活动；跨国公司的行为在该国家内产生了后果或影响；跨国公司与该国家的民众或企业有着商业上的关系或者合同关系。长臂管辖原则有助于解决跨国公司在国际商务活动中可能引起的纠纷，保护被侵权方的权益，并促进国际贸易的健康发展。但同时也要注意，这种管辖权应该在国际法和相关国际协定的框架下行使，避免滥用和对其他国家主权的侵犯。7

在

2018

年，美国政府指控中兴通讯违反了对伊朗和朝鲜的贸易禁令，因此对该公司实施了制裁，并暂停了其在美国的业务。后来，中兴通讯同意缴纳罚款并达成和解，以解决此次贸易争端。华为也曾遭遇了一些类似的贸易争端。在

2019

年，美国政府指控华为涉嫌违反了对伊朗和朝鲜的贸易禁令，以及窃取商业机密。美国政府还通过行政令禁止美国企业向华为出售技术和设备。这一事件引发了国际上对于华为在国际市场上的地位和发展的广泛讨论和关注。这些事件涉及到国际贸易、知识产权保护、国家安全等多个领域，对于跨国公司和国际经济发展都有着重要的影响。同时也反映了在全球化和自由贸易背景下，国家间的经济和政治关系的复杂性和敏感性。5

/

48合规强调的是减少雇员的非法行为风险，公司由此可以降低所承担的上级(respondent

superior)责任。第二，合规体系通常需要趋向具体企业的内部价值观用以填补法律之空白，通常要求雇员还需要遵守除了法律之外的企业内的行为准则和惯例。属于商业伦理规则或者与社会责任相关的内容。这样的外部与内部的两种区分，也被学者形象地称之为：合规与正直(integrity)8。具体而言包括：外部合规规范内部合规规范国际条约、国际规则以及国际组织决定境外设立的企业应遵循所在地国家、地区的法律法规、监管要求、行业准则、司法判例、商业惯例等企业与第三方之间订立的合同或协议企业对外自愿性承诺，如环境承诺、促销承诺等企业章程、股东会决议、董事会决议、管理层决议等国内法渊源行业强制性准则强制性标准行业自律性准则企业依选择适用的非强制性国家标准、行业标准以及企业标准法院判决和行政决定商业惯例企业内部规章管理制度//道德准则由于合规规范包括外部规范与内部规范两个面向，从而导致企业会因为自身的经营模式、所在地区、行业领域以及企业性质不同而有所差异。因此，企业合规管理体系构建的首要任务即企业应根据

ISO

37301:2021

以及《央企办法》的要求建立、实施、保持和持续改进合规管理体系，包括所需要的过程及其相互作用，同时企业的合规管理体系应反映组织的价值观、目标、战略和合规风险，并且应考虑组织环境，尤其是企业应持续改进合规管理体系的适宜性、充分性和有效性，当确定合规管理体系需要变更时，组织应按计划实施变更，组织应考虑：变更的目的及其潜在后果、合规管理体系设计和运行的有效性、充足资源的可用性、职责和权限的分配或再分配。总而言之，实施有效的企业合规可以帮助企业降低经营风险、提高声誉和市场竞争力、防范违法行为，同时也有助于增强投资者和消费者的信心。因此，合规规范是企业在构建合规体系前必须要厘清的首要前提：第一，企业应尽快收集、梳理可适用于本企业的所有合规规范，并建立完整的合规规范库，并持续跟进合规规范的最新发展，正确理解合规规范的规定，8

Lynn

Sharp

Paine，Managing

for

Organizational

Integrity，72

Harv.

Bus.

Rev.

106

(1994).6

/

48准确把握新的合规规范对本企业的影响，并适时作出风险评估；第二，企业在识别自身合规义务时既要注意外部规范义务的落实更要注意内部规范、承诺的落实；第三，定期开展企业内部员工的合规培训，及时的普法释法。三、合规管理体系建设关键要素解析《央企办法》的颁布预示着我国中央企业的合规管理更科学、规范。习近平总书记强调，守法经营是任何企业都必须遵守的一个大原则，企业只有依法合规经营才能行稳致远。党中央明确提出加快建设世界一流企业的目标，一流的企业必须要有一流的法治工作为保障。当前国际竞争越来越体现为规则之争、法律之争，在如此的大背景下，无论是中央企业还是地方国企，抑或是私企，无不面临着日趋严峻的国内外环境和风险挑战，必须加快提升依法合规经营管理水平，确保改革发展各项任务在法治轨道上稳步推进。为此，国资委深入贯彻落实习近平法治思想，在总结中央企业合规管理实践、借鉴国际大企业先进做法的基础上起草了《央企办法》，经由国资委党委会、委务会审议通过后印发并实施。此次《央企办法》的出台可谓是对国际合规标准《合规管理体系要求及使用指南》（ISO

37301:2021）的中国化转译，二者均采用

PDCA

管理循环9的原理，需要企业不断对自身的合规管理体系及合规管理工作进行持续优化。常见的具体的企业合规合理化建议包括：第一，建立完善的规章制度和内部控制体系；第二，加强员工教育和培训，增强员工法律意识和合规意识；第三，完善供应商管理，并要求供应商遵守企业合规要求；第四，对企业业务进行定期风险评估，及时采取风险控制措施；第五，与政府部门积极沟通合作，了解最新的法律法规变化。企业合规是企业管理中的重要环节，对企业长期发展具有战略性意义，在全球化和市场化的今天，加强合规建设已成为企业必不可少的任务之一。（一）合规要求之组织架构完善1.解读：9

PDCA

是全面质量管理的思想基础和方法依据。PDCA

循环的含义是将质量管理分为四个阶段，即Plan（计划）、Do（执行）、Check（检查）和

Act（处理）。在质量管理活动中，要求把各项工作按照作出计划、计划实施、检查实施效果，然后将成功的纳入标准，不成功的留待下一循环去解决。这一工作方法是质量管理的基本方法，也是企业管理各项工作的一般规律。万融：《商品学概论》，中国人民大学出版社，2013。7

/

48ISO

37301:2021

第

5.3

条划定了合规管理职能部门的“Roles，responsibilitiesand

authorities”，5.3.1

明确了“Governing

body

and

top

management”的职责权限，即“治理机构和最高管理者应确保在组织内分配和沟通相关岗位的职责和权限”；5.3.2

明确了“Compliance

function”的职权划分与监督责任；5.3.3

明确了执行人员“Management”的职责（具体详见下表）。与此相对，《央企办法》对合规管理组织架构也作了进一步调整与优化，明晰了各合规管理组织的权责划分。此次修订，《央企办法》还增加党委（党组）负合规的领导职责；明确央企主要负责人应作为第一责任人落实央企合规管理要求；首次提出央企应设置首席合规官，并对其具体合规管理职责予以明确；进一步明确合规管理“三道防线”的权责划分，总之，此次修改是对国际标准的有效回应。2.相关条款：ISO

37301:2021《央企办法》5.3

Roles，responsibilities

and

authorities5.3.1

Governing

body

and

top

management第五条

中央企业合规管理工作应当遵循以下原则：The

governing

body

and

top

management

shall

ensure

thatthe

responsibilities

and

authorities

for

relevant

roles

areassigned

and

communicated

within

the

organization.The

governing

body

and

top

management

shall

assign

theresponsibility

and

authority

for：a)

ensuring

that

the

compliance

management

systemconforms

to

the

requirements

of

this

document；b)

reporting

on

the

performance

of

the

compliance（一）坚持党的领导。充分发挥企业党委（党组）领导作用，落实全面依法治国战略部署有关要求，把党的领导贯穿合规管理全过程。management

system

to

the

governing

body

and

top

第二章

组织和职责management.The

governing

body

shall：——ensure

that

top

management

is

measured

against

theachievement

of

compliance

objectives；第七条

中央企业党委（党组）发挥把方向、管大局、促落实的领导作用，推动合规要求在本企业确保最高管理者的管理绩效可以根据合规目标的实现程

得到严格遵循和落实，不断提升度进行测量；依法合规经营管理水平。——exercise

oversight

over

top

management

regarding

theoperation

of

the

compliance

management

system.对最高管理者运行合规管理体系的情况进行监督。Top

management

shall：央企业应当严格遵守党内法规制度，企业党建工作机构在党委（党组）领导下，按照有关规定履行——allocate

adequate

and

appropriate

resources

to

相应职责，推动相关党内法规制establish，develop，implement，evaluate，maintain

andimprove

the

compliance

management

system；为建立、开发、实施、评估、保持和改进合规管理体系，配置足够且适宜的资源；——ensure

that

effective

systems

of

timely

reporting

oncompliance

performance

are

in

place；确保建立及时有效的合规绩效报告制度；度有效贯彻落实。第八条

中央企业董事会发挥定战略、作决策、防风险作用，主要履行以下职责：（一）审议批准合规管理基本制度、体系建设方案和年度报告等。8

/

48——ensure

alignment

between

strategic

and

operationaltargets

and

compliance

obligations；确保战略和运营目标与合规义务相协同；（二）研究决定合规管理重大事项。（三）推动完善合规管理体系并对其有效性进行评价。——establish

and

maintain

accountability

mechanismsincluding

disciplinary

actions

and

consequences；建立和维护问责机制包括纪律处分和结果；（四）决定合规管理部门设置及——ensure

the

integration

of

compliance

performance

into

职责。performance

appraisals

of

personnel.确保合规绩效与人员绩效考核挂钩。5.3.2

Compliance

function第九条

中央企业经理层发挥谋经营、抓落实、强管理作用，主要履行以下职责：The

compliance

function

shall

be

responsible

for

theoperation

of

the

compliance

management

system

including

（一）拟订合规管理体系建设方the

following：——facilitating

the

identification

of

compliance

obligations；案，经董事会批准后组织实施。（二）拟订合规管理基本制度，批准年度计划等，组织制定合规促进识别合规义务；——documenting

the

compliance

risk

assessment

(see

4.6)

管理具体制度。；（三）组织应对重大合规风险事件。记录对合规风险的评估(参见

4.6)；——aligning

the

compliance

management

system

with

thecompliance

objectives；使合规管理体系与合规目标保持一致；——monitoring

and

measuring

compliance

performance；监视和测量合规绩效；——analysing

and

evaluating

the

performance

of

thecompliance

management

system

to

identify

any

need

forcorrective

action；分析和评估合规管理体系的绩效，以决定是否需要采取纠正措施；（四）指导监督各部门和所属单位合规管理工作。第十二条

中央企业应当结合实际设立首席合规官，不新增领导岗位和职数，由总法律顾问兼任，对企业主要负责人负责，领导合规管理部门组织开展相关工作，指导所属单位加强合规管理。——establishing

a

compliance

reporting

and

documenting

第十三条

中央企业业务及职能system；建立合规报告和记录制度；部门承担合规管理主体责任，主要履行以下职责：——ensuring

the

compliance

management

system

isreviewed

at

planned

intervals

(see

9.2

and

9.3)；确保按计划的时间间隔对合规管理体系进行评审(参见9.2

和

9.3)；（一）建立健全本部门业务合规管理制度和流程，开展合规风险识别评估，编制风险清单和应对——establishing

a

system

for

raising

concerns

and

ensuring

预案。that

concerns

are

addressed.建立质疑以及确保质疑得到解决的制度。（二）定期梳理重点岗位合规风险，将合规要求纳入岗位职责。（三）负责本部门经营管理行为The

compliance

function

shall

exercise

over-sight

that：——responsibilities

to

achieve

identified

complianceobligations

are

appropriately

allocated

throughout

the

的合规审查。organization；（四）及时报告合规风险，组织履行已识别的合规义务的职责在整个组织内得到有效分配；或者配合开展应对处置。（五）组织或者配合开展违规问题调查和整改。——compliance

obligations

are

integrated

into

policies

，processes

and

procedures；中央企业应当在业务及职能部门设置合规管理员，由业务骨干担任，接受合规管理部门业务指导和培训。合规义务纳入方针、过程和程序；——all

relevant

personnel

are

trained

as

required；所有相关人员按要求接受培训；——compliance

performance

indicators

are

established.建立合规绩效指标。第十四条

中央企业合规管理部The

compliance

function

shall

provide：9

/

48——personnel

with

access

to

resources

on

compliancepolicies，

processes

and

procedures；门牵头负责本企业合规管理工作，主要履行以下职责：向相关人员提供与合规方针、过程和程序有关的资源；——advice

to

the

organization

on

compliance-relatedmatters.就合规相关事宜向组织提供建议。The

organization

shall

ensure

that

the

compliance

functionis

given

access

to：——senior

decision-makers

and

the

opportunity

tocontribute

early

in

the

decision-making

processes；接触高级决策者，并在决策过程中有早期提出建议的机会；（一）组织起草合规管理基本制度、具体制度、年度计划和工作报告等。（二）负责规章制度、经济合同、重大决策合规审查。（三）组织开展合规风险识别、预警和应对处置，根据董事会授权开展合规管理体系有效性评价。——all

levels

of

the

organization；接触组织的所有层级；（四）受理职责范围内的违规举报，提出分类处置意见，组织或者参与对违规行为的调查。（五）组织或者协助业务及职能部门开展合规培训，受理合规咨询，推进合规管理信息化建设。中央企业应当配备与经营规模、业务范围、风险水平相适应的专职合规管理人员，加强业务培训，提升专业化水平。——all

personnel

，

documented

information

and

dataneeded；接触所有需要的人员、文件化信息和数据；——expert

advice

on

relevant

laws，regulations，codes

andorganizational

standards.就相关法律、法规、规范和组织标准收集专家意见。5.3.3

ManagementManagement

shall

be

responsible

for

compliance

within

itsarea

of

responsibility

by：——cooperatingwith

and

supporting

the

compliancefunction

and

encouraging

personnel

to

do

the

same；配合和支持合规职能并鼓励员工共同参与；——ensuring

that

all

personnel

within

their

control

arecomplying

with

the

organization's

compliance

obligations，policies，processes

and

procedures；确保其管理范围内的所有人员都遵守组织的合规义务、方针、过程和程序；——identifying

and

communicating

compliance

risks

intheir

operations；识别其运营中的合规风险并进行沟通；——integrating

compliance

obligations

into

existingbusiness

practices

and

procedures

in

their

areas

ofresponsibility；在其职责范围内将合规义务融入现有的商业惯例和程序；——attending

and

supporting

compliance

training

activities；参加并协助合规培训活动；——developing

personnel

awareness

of

complianceobligations

and

directing

them

to

meet

training

andcompetence

requirements；培养员工的合规意识，指导他们满足培训和能力要求；——encouraging

their

personnel

to

raise

complianceconcerns

and

supporting

them

and

precluding

any

form

ofretaliation；鼓励并支持员工提出合规质疑，并防止任何形式的报复；——actively

participating

in

the

management

andresolution

of

compliance-related

incidents

and

issues

as10

/

48required；根据要求积极参与合规相关事件和问题的管理、解决；——ensuring

that，

once

the

need

for

corrective

action

isidentified

，

appropriate

corrective

action

is

recommendedand

implemented.确保一经确定需要采取纠正措施时，适当的纠正措施能够得到推荐并实施。（二）合规要求之资源支持1.解读：ISO

37301:2021

第

7.1

条明确规定“资源：组织应确定并提供建立、实施、保持和持续改进合规管理体系所需的资源”。与此对应，《央企办法》第六条也规定了中央企业应当在机构、人员、经费、技术等方面为合规管理工作提供必要条件。合规管理体系的建立离不开人力、财力、物力三个方面的全方位支持，被视为合规管理体系是否有效的评价指标之一。虽然

ISO

37301:2021

将这些支持定义为“Resources”，而《办法》将其定义为“必要条件”，但本所律师认为，即便表述不同，其内涵均要求企业为合规构建全方位多维度的资源与条件供给。2.相关条款：ISO

37301:2021《央企办法》7.1

Resources第六条

中央企业应当在机构、人员、经费、技术等方面为合规管理工作提供必要条件，保障相关工作有序开展。The

organization

shall

determine

and

provide

the

resourcesneeded

for

the

establishment

，

implementation

，maintenance

and

continual

improvement

of

the

compliancemanagement

system.（三）合规要求之运行监督1.解读：ISO

37301:2021

第

A8.3

条规定了组织人员可提出“合理怀疑：必要时，应逐级上报至最高管理层和治理机构，包括相关委员会。即使当地法规没有要求，组织也应考虑建立匿名或保密的举报机制，以便组织的人员和代理方进行举报或寻求应对不合规行为的指导，且不必担心遭到报复”，随后，第

A8.4

条对举报后续过程的“调查程序”进行了具体规定，即“有效的合规管理体系应具有良好的运作机制，以及时、彻底地调查对本组织、其人员或有关第三方不当行为的任何指控或怀疑。这包括组织的应对性文件、采取的一切纪律或补救措施，以及在吸取经验教训后对合规管理体系的修订。应查明包括管理者、最高管理层和治理11

/

48机构在内的不当行为的根源、合规管理体系的漏洞和责任缺失的原因。缜密的根源分析涉及人员的数量、水平，以及不合规的程度、普遍性、严重性、持续时间和频率。组织还应确保调查是公正和独立的。且应酌情考虑设立独立的委员会监督调查活动，并保证调查的完整性和独立性”。同时，调查结束之后“组织应建立调查报告机制，包括报告调查结果的级别（注：法律有时会要求组织报告不合规情况。对此，应根据适用的法规或其他商定的方式通知监管机构）”，然而“即使法律不要求组织报告不合规行为，组织也可以考虑主动向监管机构披露不合规行为，以减轻不合规行为的后果”。与此相对，《央企办法》第十三条明确央企及职能部门承担合规管理主体责任并组织或配合开展相关调查与整改工作，同时第二十四对于举报机制作出了更为细致的规定，包括设立违规举报平台，公布举报电话、邮箱或者信箱的违规举报途径，还特别提及对于举报人的身份与举报事项进行保密、对举报属实的举报人进行奖励等激励性、保护性新举措。《央企办法》所规定的这一“举报机制”与

ISO

37301:2021

中“报告疑虑制度”效果类似，均确定了“对举报内容、举报者保密”“保护举报者免于遭受报复”等原则。然而，《央企办法》对于后续的调查程序与处理并未作出详尽规定，而

ISO37301:2021

不仅规定了调查程序外而且增加了对于确认情况后的处理措施，即从相关部门接受举报移交责任追究部门，到对涉嫌违纪违法的按照规定移交纪检监察等相关部门或者机构，将举报中发现的问题与追责问责流程衔接起来，将举报渠道与司法处罚机制相衔接，因此，我国央企合规职能部门在处理相关问题时可参考适用国际标准。2.相关条款：ISO

37301:2021《央企办法》A.8.3

Raising

concerns第十三条

中央企业业务Where

appropriate，escalation

should

be

to

top

management

and

the

及职能部门承担合规管理governing

body，including

relevant

committees.主体责任，主要履行以下Even

when

not

required

by

local

regulation，organizations

should

职责：consider

developing

a

whistleblower

mechanism

to

allow

foranonymity

or

confidentiality，whereby

the

organization's

employees

（五）组织或者配合开展……and

agents

can

report

or

seek

guidance

of

noncompliance

withoutfear

of

retaliation.For

more

guidance

on

whistleblowing

management

systems

seeISO/DIS

37002.违规问题调查和整改。第二十四条

中央企业应当设立违规举报平台，公12

/

48A.8.4

Investigation

process布举报电话、邮箱或者信箱，相关部门按照职责权限受理违规举报，并就举报问题进行调查和处理，对造成资产损失或者严重不良后果的，移交责任追究部门；对涉嫌违纪违法的，按照规定移交纪检监察等相关部门或者机构。中央企业应当对举报人的身份和举报事项严格保密，对举报属实的举报人可以给予适当奖励。任何单位和个人不得以任何形A

characteristic

of

an

effective

compliance

management

system

is

awell-functioning

mechanism

for

the

timely

and

thoroughinvestigation

of

any

allegations

or

suspicions

of

misconduct

by

theorganization，

its

personnel

or

relevant

third

parties.

This

includesthe

documentation

of

the

organization's

response

，

including

anydisciplinary

or

remediation

measures

taken

，

and

revisions

of

thecompliance

management

system

considering

lessons

learned.An

effective

investigation

mechanism

identifies

the

root

causes

ofmisconduct，vulnerabilities

of

the

compliance

management

systemand

accountability

lapses

，

including

among

managers

，

topmanagement

and

the

governing

body.A

thoughtful

root-causeanalysis

addresses

the

extent

and

pervasiveness

of

thenoncompliance，the

number

and

level

of

the

personnel

involved，andthe

seriousness，duration

and

frequency

of

the

noncompliance.Organizations

should

make

sure

that

the

investigations

are

fair

and

式对举报人进行打击报independent.They

should

consider

，

when

appropriate

，

creating

复。independent

committees

to

oversee

the

investigation

and

guaranteetheir

completeness

and

independence.The

organization

should

establish

a

reporting

mechanism

oninvestigations

，

including

the

level

up

to

which

the

findings

ofinvestigations

are

to

be

reported.NOTE

Organizations

are

sometimes

required

by

law

to

reportnoncompliance.

In

such

cases，regulatory

authorities

are

informed

inaccordance

with

the

applicable

regulations，or

as

otherwise

agreed.Even

if

organizations

are

not

required

by

law

to

reportnoncompliance

，

they

can

consider

voluntary

self-disclosure

ofnoncompliance

to

regulatory

authorities

to

mitigate

theconsequences

of

noncompliance.（四）合规要求之信息化建设1.解读：ISO

37301:2021

第

7.5

条规定了“文件化信息控制：组织应控制合规管理体系和本文件所要求的文件化信息，以确保其一方面，在需要的场所和时间均可获得并适用；另一方面，得到充分的保护（例如：防止泄密、不当使用或完整性缺损）”。同时，还规定了“为控制文件化信息，适用时，组织应实施以下活动：分发、访问、检索和使用；储存和保护，包括保持易读性；变更的控制（例如：版本控制）；保留和处置”。不仅如此，“组织应识别其确定的合规管理体系策划和运行所需的来自外部的文件化信息，适当时应予以控制”，国际标准中的文件化信息是组织需要控制和保持的信息及其载体，涉及内容非常广泛。与此相对，《央企办法》通过第一章原则与第六章专章规定的方式也要求央企建立合规管理信息化控制系统。三十三条至第三十六条阐述了运用信息化手段促进制度、财务、业务等各方面的合规管理，尤其是将合规制度、典型案例、合13

/

48规培训、违规行为记录等纳入信息系统，与

ISO

37301:2021

对文件化信息的管理理念不谋而合。当前已有普遍共识，即信息系统处理文件化信息有助于流程清晰、高效管理，防止人为疏漏。同时，在建立信息系统的同时，需要遵守我国《网安法》《数安法》《个保法》，以及其他相关法律法规等规定。对于跨境经营的中央企业，则还需遵循欧盟《通用数据保护条例》、美国《数据隐私和保护法案》等国际法律法规。2.相关条款：ISO

37301:2021《央企办法》7.5.3

Control

of

documented

informationDocumented

information

required

by

thecompliance

management

system

and

by

thisdocument

shall

be

controlled

to

ensure：a)

it

is

available，and

suitable

for

use，where第五条

中央企业合规管理工作应当遵循以下原则：（四）坚持务实高效。建立健全符合企业实际的合规管理体系，突出对重点领域、关键环节和重要人员的管理，充分利用大数据等信息化手段，切实提高管理效能。and

when

it

is

needed；b)

it

is

adequately

protected

(e.g.

from

loss

ofconfidentiality

，

improper

use

，

or

loss

ofintegrity).For

the

control

of

documented

information，the

organization

shall

address

the

followingactivities，as

applicable：——distribution，access，retrieval

and

use；——storage

and

preservation

，

includingpreservation

of

legibility；——control

of

changes

(e.g.

version

control)；——retention

and

disposition.第六章

信息化建设第三十三条

中央企业应当加强合规管理信息化建设，结合实际将合规制度、典型案例、合规培训、违规行为记录等纳入信息系统。第三十四条

中央企业应当定期梳理业务流程，查找合规风险点，运用信息化手段将合规要求和防控措施嵌入流程，针对关键节点加强合规审查，强化过程管控。第三十五条

中央企业应当加强合规管理信息系统与财务、投资、采购等其他信息系统的互联互通，实现数据共用共享。Documented

information

of

external

origindetermined

by

the

organization

to

benecessary

for

the

planning

and

operation

of

第三十六条

中央企业应当利用大数据等技the

compliance

management

system

shall

be

术，加强对重点领域、关键节点的实时动态监identified，as

appropriate，and

controlled.测，实现合规风险即时预警、快速处置。（五）合规要求之建立合规体系并持续改进1.解读：ISO

37301:2021

第

4.4

要求建立“合规管理体系：组织应根据本文件的要求建立、实施、保持和持续改进合规管理体系，包括所需的过程及其相互作用”，“合规管理体系应反映组织的价值观、目标、战略和合规风险，并且应考虑组织环境（参见

4.1）”。第

10.1

对持续改进作出了具体规定“组织应持续改进合规管理体系的适宜性、充分性和有效性”，“当确定合规管理体系需要变更时，组14

/

48织应按计划实施变更”，“组织应考虑：变更的目的及其潜在后果；合规管理体系设计和运行的有效性；充足资源的可用性；职责和权限的分配或再分配”。与此相对，《央企办法》第三章对制度建设提出了具体要求，并要求中央企业依照制度环境变化对其企业合规制度进行持续性改进。无论是国际标准还是国内规章，均认为有效且优质的合规管理体系其核心特点表现为实效性，企业应具备持续改进和发展的能力。总而言之，本质上是要求企业根据组织环境的变化，相应调整内部规章制度的建立。2.相关条款：ISO

37301:2021《央企办法》第三章

制度建设4.1

Understanding

the

organization

and

its

contextThe

organization

shall

determine

external

and

internal

issuesthat

are

relevant

to

its

purpose

and

that

affect

its

ability

toachieve

the

intended

result(s)

of

its

compliance

managementsystem.For

this

purpose，

the

organization

shall

consider

a

broadrange

of

issues，

including

but

not

limited

to：——the

business

model，

including

strategy，nature，sizeand

scale

complexity

and

sustainability

of

the

organization'sactivities

and

operations；第十六条

中央企业应当建立健全合规管理制度，根据适用范围、效力层级等，构建分级分类的合规管理制度体系。第十七条

中央企业应当制定合规管理基本制度，明确总体目标、机构职责、运行机制、考核评价、监督问责等内容。第十八条

中央企业应当针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域，以及合规风险较高的业务，制定合规管理具体制度或者专项指南。商业模式，包括组织活动和运营的战略、性质、规模、复杂性和可持续性；——the

nature

and

scope

of

business

relations

with

thirdparties；与第三方业务合作的性质和范围；——the

legal

and

regulatory

context；法律和法规要求；第十九条

中央企业应当根据法律法规、监管政策等变化情况，及时对规章制度进行修订完善，对执行落实情况进行检查。——the

economic

situation；经济环境；——social，

cultural

and

environmental

contexts；社会、文化、环境因素；——internal

structures，policies，processes，procedures

andresources，including

technology；内部组织架构、方针、过程、程序和资源包括技术；——its

compliance

culture.自身的合规文化。4.4

Compliance

management

systemThe

organization

shall

establish，implement，maintain

andcontinually

improve

a

compliance

management

system

，including

the

processes

needed

and

their

interactions

，

inaccordance

with

the

requirements

of

this

document.The

compliance

management

system

shall

reflect

theorganization's