2022年1月15日，国务院国资委办公厅发布2022年的1号文件《关于开展中央企业“合规管理强化年”工作的通知》，旨在通过一年突破难点、补齐短板，推动中央企业合规管理工作再上新台阶，正式掀开了合规管理强化年工作的帷幕，进而也推动了各地方国企合规管理工作的升级完善。在中央企业强化合规管理专题推进会上，国务院国资委对中央企业的合规管理提出了“五个一”的要求，其中，明确提出要着力完善一项审查机制，即合规审查机制。合规审查既是国有企业加强合规管理需要落实的重要环节，也是各项工作开展的重要基础。

合规审查是规范经营行为、防范违规风险的第一道关口，合规审查做到位就能从源头上防住大部分合规风险。《中央企业合规管理办法》（以下简称《办法》）作为目前国有企业合规管理体系建设领域位阶最高的规范性文件，对合规审查提出了较高要求：一是明晰各部门合规审查职责和界限。业务及职能部门负责本部门经营管理行为的合规审查，合规管理部门负责规章制度、经济合同、重大决策等重要事项的合规审查，进一步明确各自分工，便于职责落地。二是进一步提升合规审查的刚性。企业应当将合规审查作为必经程序嵌入流程，重大决策事项的合规审查意见应当由首席合规官签字，对决策事项的合规性提出明确意见，进一步突出合规审查的刚性约束，确保“应审必审”。三是完善合规审查闭环管理。参考部分企业的经验做法，业务及职能部门、合规管理部门依据职责权限，不断完善审查标准、流程、重点等，定期对审查情况开展后评估以及合规评价，通过闭环管理不断提升审查质量，更好支撑保障中心工作。

但是相较于央企集团总部，大部分地方国有企业合规管理体系建设起步稍晚、基础也相对薄弱，对于“何为应审必审？”“谁来审查？”“审查什么内容？”“合规审查如何促进合规管理发挥实效？”在地方国有企业的具体操作中仍存在诸多困惑。

合规审查是对企业经营管理行为和员工履职行为是否合规进行核验的机制。合规审查的根本目的，是保证决策事项符合国家法律法规以及集团公司规章制度，降低违规处罚风险，提高决策科学性。本文中，我们结合服务省属、市属、区属等多级地方国企合规管理体系建设的既往经验，对上述问题提出我们的思考，以期提供些许借鉴或引发相关思考。

（一）何为“应审必审”

《办法》规定合规审查作为必经程序嵌入经营管理流程，重大决策事项的合规审查意见应当由首席合规官签字，对决策事项的合规性提出明确意见。部分地方国资委亦专门出台了重大决策合规审查规定，例如山东省国资委于2023年12月15日印发《省属企业重大经营决策合规审查管理办法》，要求省属企业对拟作出的重大经营决策事项是否符合法律法规、规章和监管规定、章程等制度文件要求，开展前置审查，提出审查意见和建议。基于此，有企业将合规审查尽量控制在重大决策事项的范围，在满足国资委要求的同时，努力降低决策人的责任暴露。

纵观国有企业三个100%法律审核（即2011年9月国务院国资委召开的中央企业法治工作会议提出了的中央企业法制工作第三个三年目标：中央企业及其重要子企业规章制度、经济合同和重要决策的法律审核率全面实现100%）的发展脉络，我们认为，一方面，三个100%法律审核要求沿着国务院国资委－中央企业－中央企业下属子企业及地方国资委－各级地方国企的链条全方位传递到了几乎所有国有企业。另一方面，从《中央企业合规管理指引》的试行到《办法》的颁布也体现了对国有企业三项审核从法律审查拓展到合规审查的要求，而部分地方国资委也明确对三项审核工作提出合规要求，例如重庆市国资委2022年下发了《企业“三项重点工作”合法合规性审查管理指引》；安徽省国资委最新出台的《安徽省省属企业合规管理办法》参照《办法》要求合规管理牵头部门负责规章制度、经济合同、重大决策合规审查。在实践中，我们为企业设计合规审查机制时，通常会将重大决策、经济合同、规章制度等均纳入合规审查的范围，做到合规审查的流程嵌入。对于“重大决策”的范围界定则主要参照公司“三重一大”决策机制制定；考虑到国企重要人事任免工作通常由组织人事部门进行专业考察和管理，从工作的高效和管理资源的分配角度来说，我们认为可视企业情况确定是否纳入合规管理牵头部门的合规审核范围。

（二）审查什么内容

明确了审查的范围，需要进一步明确业务部门与合规管理牵头部门进行合规审查时应当审查的内容是什么。我们认为可以分为形式审查和内容审查两方面，合规审查一般包括形式和实质审查，重点关注事项见下表。

在具体落地内容上，规章制度、经济合同、重大决策的合规审查的侧重点也存在一定的差异。

其一，规章制度的合规审查主要包括两个方面，一是外规内化情况，主要审查要点包括是否违反法律法规禁止性规定、落实监管要求等是否到位；二是与公司规章制度管理要求是否冲突。大部分企业均制定了公司的规章制度管理办法，需要结合相关的内容进行审查，并确认管理职责是否明确具体且分配合理、制度执行/修订过程中是否征集了相关部门意见并落实修改等。

其二，由于合同管理的流程基本上围绕起草、谈判、审批、订立、履行（履约过程管控）、变更、终止与争议解决等要素开展，合同领域的合规审查相对而言通用性较强，且多年来国企加强法治建设及法务管理工作，对于合同合法合规性审查均已有了较好的落地经验，只是合规管理体系建设更加强调第一道防线即业务与职能部门的作用发挥，要求在本部门业务开展环节完成合规审查，因此，经济合同合规审查主要包括合同相对方的主体资质（营业许可、经营范围等）、履约能力（财务证明、过往业绩、信用情况等）、关联关系、交易真实性（如金融领域的穿透性审查、为避免虚假融资性贸易的现场核查）、过往合规表现（是否因违规遭遇监管调查或处罚，以及是否被列入“黑名单”）、合同条款是否有违反法律法规等要求等。在实践中，我们建议企业加强常年法律顾问单位以及合同管理部门的配合，形成标准化制式合同库以及合同文本要素指引，进一步方便业务人员进行合同的合规审查和业务的开展。

其三，决策流程通常为“发起”+“审查”，但不少国有企业存在“风险上移”情况，即发起部门未在提请决策前进行充分调研和论证，即将相关决策事项提起相应层级决策，将风险上交“领导”，认为经过领导层集体决策就可以规避风险，未能尽到合规履职责任。我们在流程设计时，要求决策事项发起部门在提交决策事项材料时附合规审查意见（以投资决策事项为例，审查内容通常包括决策事项是否具备法定的及公司规定的主体资格与资质，投资事项内容是否符合国家法律法规、相关产业政策；是否需要履行法定的审批、核准或备案程序；项目是否存在重大合规风险，并提出防范和规避建议），会议归口管理部门（如负责组织召开董事会的管理部门）在收到发起部门报送的事项决策请示后，对事项是否符合上会要求，是否发表了合规审查意见等进行审查，再将请示文件及相关材料转送合规管理牵头部门进行合规审查（目前地方国企受限于人员力量等原因，通常并未设置独立的合规部门，而是与法务或风险部门承担合规管理职责，故我们在实践中也会结合部门设置完成合法合规性同时审查）。

（三）谁来进行合规审查

《办法》突出强调了业务与职能部门对本部门的经营管理行为进行合规审查，即各业务及职能负责对自身业务合规性进行实质审查，审查流程及审查权限设置与业务审查同步进行，不要搞两张皮。但是，实践中普遍存在两种审查模式，一种是多节点全流程审查，即依照业务流程各个岗位均作为审查节点承担审查职责，毕竟业务人员对于业务场景相对熟悉，更易于发现风险，这种模式更贴近《办法》确定的“谁的业务谁合规”“管业务必须管合规”的管理思路；另一种是集中式专岗审查模式，也即由法务或合规部门专员进行合法合规性同步审查。相对于体量规模大、部门齐全、兵强马壮的央企集团总部，地方国企在落地业务部门合规审查时普遍存在较大难度，多采取的是第二种模式，究其原因：一是对于很多国有企业业务与职能部门，已经形成了长期依赖法务、合规、风险等部门进行审查的习惯；二是业务部门一定程度上也确实在存在对外部合规要求动态变化跟进不及时的情况，且企业的工作流程通常是签批或OA流转，主办部门发起流程后，经常出现的情况是，会签部门“只签不审”，合规审查更多是依赖资深员工的经验而非对标准的遵守，人员轮/离岗、操作失误、认知限制等都有可能造成审查不到位的情况。

作为地方国有企业，在合规管理体系建设的初期发展阶段，我们会建议，对业务形态较单一、业务涉及专业可以由法律从业人员一目了然的企业，可以考虑由企业法务部门或合规管理部门统一负责合规审查，以加快流程。而对于业务形态多样，体量规模庞大的地方性集团企业，建议采用第一种模式，通过制定合规审查指引、列示合规审查清单、加强合规审查培训和合规管理培训的方式帮助业务部门“提供工具、提升能力、提高质效”。如果业务及职能部门在合规审查时，需要企业法务、合规部门支持协助的，法务合规部门也会积极提供所需支持协助。但这些支持协助并不解除业务与职能部门的合规审查责任，也不可免除法务部门的合规审查责任。

（四）合规审查如何发挥实效

一是合规审查标准化。通过制度统领，结合细分领域的表单勾选项，进一步细化合规审查动作。在合规管理提升阶段，我们会建议企业在“1+N+X”的合规制度管理体系中完善合规审查机制，如制定《重大事项合法合规审查办法》或《合规审查管理办法》，明确合规审查机构及岗位职责、审查事项及标准、审查流程及要求、后评价、监督检查及违规责任追究等，并附合规审查事项清单，必审事项未经审查不得上会。实践中，多数国有企业针对重点业务领域或高风险领域制定了合规审查的标准化措施。例如，中核集团发布标准合同文本、编制规章制度《关键风险控制表》、严格出具风险审查意见等途径，逐年加大对规章制度制定、重大事项决策、重要合同签订、重大项目运营等经营管理活动决策流程的合规审查。对于合规管理体系建设初期的地方国有企业，我们也会建议以“制度”+“清单”的方式进行合规审查，并且将审查清单与风险识别清单、岗位职责清单相衔接，形成有效的合规管理工具包。

二是强化合规审查信息化。在完成了合规审查的标准化建设后，就需要进行合规审查线上运行。地方国有企业合规管理的信息化水平相较于央企集团总部存在较大的差距，信息化程度有待提高，因此合规审查的效能不高。但是从全球范围来看，合规管理的数据化、数智化推动是未来发展方向，也是实现合规管理有效性评价便捷和高效的重要工具。《办法》设专章强调信息化建设的重要性，国有企业应为合规管理数据系统的建设创造更有利的条件，投入资源尽可能将多种信息化技术应用于合规管理体系中。《安徽省省属企业合规管理办法》明确规定，省属企业应当加强合规管理信息化建设，结合实际将合规审查等纳入信息系统。目前，不少企业采取单独建设合规管理信息化系统方式开展合规管理工作，但这种方式成本较高，且难以与企业现有管理系统进行互联互通、共建共享，因此，我们通常会推荐企业在内控管理过程中增加合规审查的流程，在现有oa系统中进行功能模块的增加，因为通过增加勾选项及附件、增设审查流程非常容易实现。但是线上流程规范性和实际工作灵活性的平衡，以及能否将合规审查标准化的要素进行数据化、信息化呈现，才是企业合规审查线上运行的主要挑战，这需要企业在提升合规管理体系的过程中通过各部门通力合作去实现。

三是落实合规审查后评估，依照《办法》的要求，企业应定期对审查情况开展后评估。我们理解，合规审查工作的终点不是评价相关事项是否合规，而是如何保证合规目的的实现。因此，评价主要可以从量、质、效三个方面着手，一是量，即是否做到了应审必审；二是质，审查部门给出的合规性审查意见是否明确具体；三是效，发起部门是否严格落实了合规性审查意见，运用了合规审查的结果，例如当企业在合规审查工作中发现不合规事项后，应当果断采取补救措施，及时应对、控制和解决相应的合规风险。在合规管理体系建设初期，合规审查工作刚刚运行，审查部门应当留存审查记录，既作为企业合规尽职的重要支撑证明文件，也作为企业进行决策的重要支撑。

关键管控点KCP（Key Control Point）是企业风控领域的常用术语，聚焦到合规管理上，KCP的具体定义为：“对业务流程运作过程中出现的合规风险控制起关键作用的评审及检查点。”我们认为，落实合规审查的嵌入是以风险为导向的合规体系建设的重要一环，是合规管理的KCP。其核心在于明确审查范围、审查流程、审查要求、审查动作等事项，而“为什么这样是合规”以及“如何审查才能保证合规”仍需要企业列举应用场景形成便于操作落地的指引文件，将合规审查工作和制定合规清单有效衔接起来，进而通过“应审必审”的合规决策机制使得决策审批层级、事项和方式与具体的合规风险对应统一。此外，针对合规审查发现的问题及时采取补救措施，持续动态完善合规管理清单和合规管理体系，这样的合规审查机制嵌入业务流程才能真正将对经验的依赖转化成为对标准的遵从，进而系统全面地防控合规风险。

1、国务院国资委政策法规局负责人就《中央企业合规管理办法》答记者问，

https://www.gov.cn/zhengce/2022-09/19/content_5710634.htm?eqid=a7b22e1b00118c300000000264658a06

2、俞国洪《合规审查的常见误区与推进指引》，载于

https://mp.weixin.qq.com/s/_AtYkyPT1uYmIPi8k1GOpQ

3、《合规创造价值——中兴通讯合规建设实践》中兴通讯股份有限公司著，法制出版社，2023.