一、 前言

当前正处于国企改革深化提升的关键期，合规管理不是简单的风险防控工具，而是企业转型升级的基础工程。它既能避免重大经营损失，维护"国家队"社会形象，更能通过规范治理激发组织活力，为培育世界一流企业筑牢制度根基。在当前经济与法治环境下，国有企业开展合规管理体系建设具有极其重要的现实意义。国有企业作为国民经济的支柱，肩负着推动经济发展、保障社会稳定的双重使命，其经营管理活动必须严格遵循法律法规和政策要求。合规管理体系建设能够帮助国有企业系统地识别、评估和应对这些风险，确保企业的经营活动在合法合规的框架内稳健运行。这不仅是避免法律风险、维护企业声誉的需要，更是提升企业治理水平、增强市场竞争力的关键举措。通过建立健全合规管理体系，国有企业可以优化内部管理流程，明确各部门及员工的职责，强化责任落实，从而提高决策的科学性和执行的高效性。同时，合规管理体系建设有助于营造良好的企业文化氛围，增强员工的合规意识，使合规成为企业全体员工的自觉行为。此外，随着国有企业国际化步伐的加快，合规管理体系建设能够使其更好地适应国际规则和标准，提升在国际市场的信誉和形象，为企业的国际化发展提供有力保障。因此，国有企业开展合规管理体系建设不仅是应对当前挑战的必然选择，更是实现可持续发展的内在需求，对于推动国有企业高质量发展具有深远的战略意义。

关于国有企业建立合规管理体系的主要文件规定有《中央企业合规管理指引（试行）》、《中央企业合规管理办法》以及各地方国资委结合实际情况陆续出台的相关制度。因《中央企业合规管理办法》是在《中央企业合规管理指引（试行）》的基础上进一步深化和完善的结果，故本文对《中央企业合规管理指引（试行）》暂且不表。此外，等同于ISO 37301:2021《合规管理体系　要求及使用指南》的《合规管理体系 要求及使用指南（GB/T 35770—2022）》适用于任何类型、规模和性质的组织，能够为国有企业提供系统化的合规管理方法论和架构，主做国内业务的国有企业可以根据GB/T 35770—2022的标准申请第三方合规管理体系认证（如涉及国外业务可以根据ISO 37301:2021的标准申请双认证），对国有企业建立合规管理体系大有裨益，也能与《中央企业合规管理办法》相互补充， 本文尝试对《中央企业合规管理办法》、《合规管理体系 要求及使用指南（GB/T 35770—2022）》进行解读，希望能为国有企业提供一些参考，助力国有企业更好地理解和运用相关要求，搭建符合自身经营管理活动的合规管理体系。

二、《中央企业合规管理办法》

u 适用范围

适用于国资委授权履行出资人职责的中央企业。

u 总体原则

坚持党的领导、全面覆盖、权责清晰、务实高效。

u 组织和职责

党委（党组）：发挥领导作用，推动合规要求在企业得到严格遵循和落实。

董事会：审议批准合规管理基本制度、体系建设方案和年度报告等；研究决定合规管理重大事项；推动完善合规管理体系并对其有效性进行评价；决定合规管理部门设置及职责。

经理层：拟订合规管理体系建设方案，组织应对重大合规风险事件；拟订合规管理基本制度，批准年度计划等，组织制定合规管理具体制度；组织应对重大合规风险事件；指导监督各部门和所属单位合规管理工作。

主要负责人：是企业法治建设的第一责任人，履行依法合规经营管理重要组织者、推动者和实践者的职责。

合规委员会：可以与法治建设领导机构等合署办公，定期召开会议，研究解决重点难点问题。

首席合规官：由总法律顾问兼任，领导合规管理部门组织开展相关工作。

业务及职能部门：承担合规管理主体责任，建立健全本部门业务合规管理制度和流程。

业务及职能部门：承担合规管理主体责任，包括：建立健全本部门业务合规管理制度和流程，开展合规风险识别评估，编制风险清单和应对预案；定期梳理重点岗位合规风险，将合规要求纳入岗位职责；负责本部门经营管理行为的合规审查；及时报告合规风险，组织或者配合开展应对处置；组织或者配合开展违规问题调查和整改。各部门内应设置由业务骨干担任的合规管理员，接受合规管理部门业务指导和培训。

合规管理部门：牵头负责本企业合规管理工作。包括：起草制度、开展合规审查、风险预警等；负责规章制度、经济合同、重大决策合规审查；组织开展合规风险识别、预警和应对处置，根据董事会授权开展合规管理体系有效性评价；受理职责范围内的违规举报，提出分类处置意见，组织或者参与对违规行为的调查；组织或者协助业务及职能部门开展合规培训，受理合规咨询，推进合规管理信息化建设。企业应配备专职合规管理人员。

监督部门：纪检监察机构和审计、巡视巡察、监督追责等部门对合规要求落实情况进行监督，对违规行为进行调查，开展责任追究。

u 制度建设

建立健全合规管理制度：应构建分级分类的合规管理制度体系。

制定合规管理基本制度：要明确总体目标、机构职责、运行机制、考核评价、监督问责等内容。

重点领域合规管理：针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护、涉外业务重要领域等重点领域，制定具体制度或专项合规指南。

u 运行机制

合规风险识别评估预警机制：全面梳理经营管理活动中的合规风险，建立并定期更新合规风险数据库，对风险进行分析和预警。

合规审查机制：将合规审查作为必经程序嵌入经营管理流程，重大决策事项需首席合规官签字。各部门完善审查，定期开展后评估。

风险报告机制：发生合规风险，相关业务及职能部门应当及时采取应对措施，并按规定向合规管理部门报告。因违规行为引发重大合规风险事件，应当由首席合规官牵头，合规管理部门统筹协调，相关部门协同配合，及时采取措施妥善应对，并按规定及时向国资委报告。

违规问题整改机制：通过健全规章制度、优化业务流程，堵塞管理漏洞。

违规举报机制：设立举报平台，公布举报电话、邮箱或者信箱。

违规行为追责问责机制：明确责任范围，细化问责标准，及时开展调查；建立所属单位经营管理和员工履职违规行为记录制度。

考核评价机制：定期开展合规管理体系有效性评价，针对重点业务合规管理情况适时开展专项评价；将合规管理纳入考核评价。

u 合规文化

党委（党组）法治专题学习：推动企业领导人员强化合规意识，带头依法依规开展经营管理活动。

常态化合规培训机制：制定年度培训计划，将合规管理作为管理人员、重点岗位人员和新入职人员培训必修内容。

合规宣传教育：发布合规手册，组织签订合规承诺，强化全员守法诚信、合规经营意识。

培育合规文化：引导全体员工自觉践行合规理念，对自身行为合规性负责。

u 信息化建设

信息化管控机制：将合规制度、典型案例、合规培训、违规行为记录等纳入信息系统；运用信息化手段将合规要求和防控措施嵌入流程。

系统互联互通：加强合规管理信息系统与财务、投资、采购等其他信息系统的互联互通，实现数据共用共享。

实时动态监测：利用大数据等技术，加强对重点领域、关键节点的实时动态监测，实现合规风险即时预警、快速处置。

总结

《中央企业合规管理办法》为企业提供了全面的合规管理框架，明确了合规管理的职责分工、制度建设、运行机制和管理流程，旨在提升企业的依法合规经营管理水平，防控合规风险，推动高质量发展，增强国际竞争力。通过建立健全合规管理体系，企业可以更好地适应市场变化，提升竞争力，为国家经济的高质量发展提供有力支撑。

三、《合规管理体系要求及使用指南（GB/T35770-2022）》

主要内容

u 适用范围

GB/T 35770-2022适用于任何类型、规模和性质的组织，旨在帮助组织建立、实施、维护和改进合规管理体系。标准不仅适用于企业，也适用于非营利组织、政府机构等。

u 核心目标

建立、实施、维护和改进合规管理体系，确保企业遵守法律、监管要求，提升诚信与可持续发展能力。

u 核心要求

l 岗位职责和权限

治理机构：根据合规目标的实现情况对最高管理者进行衡量；对最高管理者运行合规管理体系的情况进行监督。

最高管理者：为合规管理体系配置足够的资源；确保建立及时有效的合规绩效报告制度；确保战略和运行目标与合规义务相协同；确立和维护问责机制；确保合规与员工绩效考核挂钩。

合规团队：负责合规管理体系的运行。包括：推进识别合规义务；编制合规风险评估文件；监测合规绩效；分析和评价合规管理体系的绩效；确立合规报告和文件化制度；定期对合规管理体系进行评审；确立问题解决制度；实施监督和建议职能。

管理者：对其职责范围内的合规工作负责。包括：配合和支持合规团队；确保下属人员都遵守合规；识别运行中的合规风险并进行沟通；将合规义务融入现有的业务实践和程序；参加并协助合规培训活动；培养员工的合规意识；鼓励并支持员工提出合规疑虑，防止打击报复；积极参与合规相关事件和事项的管理解决；确保违规行为的纠正措施能得到执行。

员工：遵守企业的合规义务、方针、过程和程序；报告合规疑虑、问题和漏洞；根据要求参加培训。

l 合规方针

企业应结合内外部事项、自身和利益相关方的需求，理清所面临的主要合规风险制定明确的合规方针，并确保所有员工和相关方知晓和理解。

l 合规策划

结合内外部事项、自身和利益相关方的需求、合规目标、经识别的合规义务、合规风险评估结果来建立合规管理体系，并将应对风险的措施、评价机制纳入合规管理体系，确保能够实现预期结果，预防或减少不利影响。

l 合规风险管理

系统性识别法律、监管及自愿性承诺等合规义务，动态跟踪变更，评估其可能性和影响。风险评估应基于企业的业务、产品、服务、外包的第三方、市场环境和法律法规变化，要保留风险评估及应对措施的文件化信息。

u 合规运行控制

企业应根据风险评估结果，制定和实施合规控制措施，以预防和应对合规风险。这些措施应嵌入企业的业务流程中，确保合规要求得到执行。

要确保合规团队能直接接触治理机构（能向治理机构直接汇报、定期提交报告、提出建议以及参加会议），确保合规团队的独立性，确保合规团队具有适当的权限和能力。

在招聘员工时纳入合规要求；定期对员工进行合规培训，培训内容应包括法律法规、行业准则和内部规章制度；对员工违规行为实施纪律处分。

内外部沟通需涵盖合规文化、目标及义务，确保信息一致可信。

l 合规绩效评价

监控与测量：制定合规绩效指标（如目标达成度、控制有效性），定期排查分析岗位和人员可能引发的合规风险，将员工的绩效考核与合规结合起来。

内部审核：建立信息收集机制，确保能从多种渠道寻求并获取反馈。定期审核体系符合性及有效性，确保审核独立公正。

管理评审：最高管理者定期评审体系适宜性、充分性，关注资源分配、风险变化及改进机会。根据评审结果及时变更合规管理体系。

l 监督与改进

建立合规报告机制，确保合规风险和违规行为能够及时上报，报告机制应保护举报人，防止报复行为，及时调查不合规行为并作出结论。

建立监督机制，定期考核评价合规管理体系的有效性，并根据评估结果进行调整和改进。监督机制包括内部审计、合规审查和员工反馈等。

l 合规文化

强调合规文化的重要性，要求企业通过培训、宣传和领导示范等方式，营造全员参与的合规文化氛围。合规文化是合规管理体系成功的关键因素之一。

u 关键附录与补充

考虑到在我国的适用性，GB/T 35770—2022增加了资料性附录NA，对合规义务、合规文化、数字化与合规管理及管理体系一体化融合做了补充、提示或进一步的细化与解释。

l 数字化与合规管理

在合规管理体系中应用数字技术：可建立合规义务和相关案件数据库、合规风险数据库、合规培训系统、合规管理和财务系统、信息和数据搜索与分析工具、数据分析和示险看板。

l 管理体系一体化融合

识别所需融合的各个管理体系标准与规则，采取制度对标方式；开展内外部评价及一体化融合。

总结

GB/T 35770-2022为企业提供了一个系统的合规管理体系框架，涵盖了合规方针、风险评估、合规控制、合规文化、监督与改进等核心要素。通过构建系统化的运行机制和管理流程，企业能够有效识别和应对合规风险，显著提升合规管理水平，营造积极的合规文化氛围。这一标准不仅适用于企业，也适用于其他各类组织，具有广泛的适用性和实用性。