陶光辉/文

近日，国务院国资委发布了《中央企业合规管理办法》（国资委令第42号。与此前印发的《中央企业合规管理指引（试行）》相比，《办法》主要有五大变化。

其中，第三大变化是：“全面规范合规管理流程。对合规风险识别评估预警、合规审查、风险应对、问题整改、责任追究等提出明确要求，实现合规风险闭环管理。”

这一变化向合规从业人士再次强调了“合规风险闭环管理”这个重要机制与流程方面的概念。

一、什么是合规风险闭环管理

合规风险闭环管理不是一个全新的概念。从技术层面，整个管理，包括风险管理，其实都是闭环管理。闭环是指通过不断的PDCA（Plan-Do-Check- Act）循环，管理的效果和效能不断得以提升。早在2012年，中国电信等公司就提出“闭环操作实施全面风险管理”等模式。

合规风险闭环管理，也是运用PDCA的机制原理，对合规风险管控流程模式的一种说法。它是对“事前、事中、事后”机制说法的一种补充和升级。事前、事中、事后，是按合规管理主体部门（包括牵头部门）介入合规事务的时机来界定的。事前预防、事中控制、事后应对，是该机制的基本原则。它与合规风险闭环管理的关键区别，在于少了一个对“闭环”的强调。“闭环”，对于“合规风险管理”这个仍处于探索阶段的新事务来说，是不可或缺的。

根据《办法》第四章的规定，合规风险闭环管理包括合规风险评估预警、合规审查、风险应对、违规问题整改、责任追究等内容。当然，按闭环管理的逻辑，在责任追究之后，还必须加上“合规风险再评估再预警”这个环节。

合规风险闭环管理是当前规范合规管理流程的正式提法。但要注意的是，它的本质是合规机制运行的一种结果，是在一定时期内的合规管控流程体系性的安排。也就是说，合规风险闭环管理不是一种单一的，与合规审查、合规调查等同属一个维度的合规运行机制。进一步说，它应该是整个合规管控流程的综合。由此，每一家企业的合规风险闭环管理的具体做法，应是“一企一策”、“因地制宜”。

二、如何设计合规风险闭环管理

从合规风险闭环管理在整个合规管理事务的位置来看，合规风险闭环管理应当与合规管理制度建设同步起来。合规风险闭环管理中的每一项机制或流程，理论上均应有对应的合规管理制度或规范。如此，合规机制才是“有据可依”的，也才能执行下去。这是设计合规风险闭环管理的第一要务。

合规风险识别评估，构成合规风险闭环管理的起点。通过全面梳理企业经营管理活动中的合规风险，建立并定期更新合规风险数据库，对风险发生的可能性、影响程度、潜在后果等进行分析与评价，这项工作对于后续的合规风险预警、风险应对、问题整改等非常有必要。合规风险评估是主动发现风险的过程。从风险发现这个角度，通过受理举报，也可发现风险。故通过设立违规举报平台,公布举报电话、邮箱或者信箱，按照职责权限受理违规举报，并就举报问题进行调查和处理等内容，也应属于同一类型的合规机制。

合规风险预警，是针对典型性、普遍性或者可能产生严重后果的风险，通过预警指标的选择以及风险阀值的规定，在实际的风险值突破阀值时，及时发出预警警报。可以说合规风险预警的关键在于预警指标和风险阀值的设计。因为合规风险是一种违反合规义务的风险，而合规义务需要一定的专业知识和经验判断，因此合规风险预警的设计是不容易的。可能只有在特定场景下，才能设置实用的合规风险预警机制。另外，在《办法》当中，合规风险预警与合规风险识别评估并列在一起。个人认为，这可能有所不妥。其主要原因是，合规风险评估是基于固有风险而进行的，合规风险预警是基于剩余风险而进行的。

合规审查，可能是合规风险闭环管理中最为重要的一环了。合规审查做到位，就能从源头上防住大部分合规风险。对此，在《办法》中对合规审查提出了更高要求。合规审查应作为必经程序，嵌入企业的经营管理流程之中。重大决策事项的合规审查意见，也必须由首席合规官签字。业务及职能部门、合规管理部门依据职责权限对合规审查的审查标准、流程、重点等提出意见和建议，并定期对审查情况开展后续评估。在合规审查环节中，应形成一个合规审查的“小闭环管理”。

风险应对，是风险管理的必然。企业在发生合规风险时，相关业务及职能部门应当及时采取应对措施，并按照规定向合规管理部门报告。发生重大合规风险事件，造成或者可能造成企业重大资产损失或者严重不良影响的，应对措施应升级为由首席合规官牵头，合规管理部门统筹协调，相关部门协同配合，及时采取措施妥善应对。同时，应当按照相关规定及时向国资委报告。发生合规风险，不仅要及时应对，而且在妥善处理完后，还要举一反三，进行整改。因此，违规问题整改机制，与风险应对，也应属于同一类型的合规机制。企业应建立违规问题整改机制，通过健全规章制度、优化业务流程等，堵塞管理漏洞，提升依法合规经营管理水平。

在风险应对和问题整改之后，还应加上一个环节，那就是责任追究。企业应完善违规行为的追责问责机制，明确责任范围，细化问责标准，针对问题和线索及时开展调查，按照有关规定严肃追究违规人员责任。同时，应建立所属单位经营管理和员工履职违规行为记录制度，将违规行为性质、发生次数、危害程度等作为考核评价、职级评定等工作的重要依据。

合规风险闭环管理的最后一环，应当是合规管理评价。它包括合规管理体系有效性评价以及针对重点业务合规管理情况适时开展专项评价等。通过评价，企业可以检验合规管理的设计及实施的有效性，针对合规管理中的不足加以改进，对于合规建设中表现优异的给与奖励，从而完成一个PDCA循环。只有通过评价，企业才可以针对性地发起一轮新的合规风险闭环管理。

三、合规风险闭环管理的实施难点及其解决

合规风险闭环管理，在逻辑上非常清晰、 实用。但在实践中要运用起来，还存在以下一些难点问题。

实践中，合规风险评估工作的效果并不太好。个人认为，这有两方面的原因。一是缺乏专业的风险识别专家，二是现有的法律、业务专家没有发挥协同效用。合规风险评估工作被认为完全是合规人员或外部合规顾问的工作，这导致编制出来的合规风险清单内容较为单薄、不完整、不深入。直接的解决办法是加强合规风险评估能力培训，培养脑袋里可装入丰富“合规风险信息库”的专业人才。

合规审查、合规风险评估等流程，与业务流程的嵌入性不够。在哪些环节启动合规调查，哪些时刻需要更新合规风险评估，这些工作需要一个体系的判断，需要企业的其他业务流程来支持和保障。如果是被排除在重要业务开展之外，那么这几项合规流程或机制的实施将没有针对性，或者说，业务处于合规管控之外了。解决办法就是推动运用信息化手段将合规要求嵌入业务流程。

最后，违规问题的整改和追责不够彻底。发生违规情况，可能会存在各种主客观原因，在弱合规文化的企业里，可能会发生“业务优先”、“合规是为了业务，违规也是为了业务”等不同声音，最后导致整改和追责不到位，可能继续存在合规隐患。解决办法就是要事先明确追责标准，并由合规管理第三道防线独立执行。同时，辅之以强合规文化。

可以说，合规风险闭环管理是有效合规管理的灵魂，但目前大多数企业的合规建设还是偏于合规管理制度建设，这可能与我们所处的合规管理阶段有关，但同时也与我们对于合规管理到底是在哪里发挥作用的认识密切相关。期待未来这个情况，随着国资委2022年合规管理强化建设的推动，会有所改变。

作者简介：

陶光辉，北京德和衡律师事务所高级合伙人，北京大学全球高端法商人才计划未来领袖授课专家，大连大学法学院客座教授，仲裁员，高级经济师，同时拥有上市公司独立董事资格、企业管理咨询师资格、证券/期货从业人员资格等。陶光辉律师前后拥有18年企业法律工作经验，其中8年企业法务经历，曾任中国100强集团法务总监，获ALB2016中国最佳企业总法律顾问称号；3年法律创业经历，系知名法务教育平台（一法网）的创始人；7年执业律师经历。著有《公司法务部》（法律出版社）、《法务之道》（中国法制出版社）、《合规管理十论》（内部出版）。在合规管理体系建设领域，陶律师创建“DHH合规内控风险一体化建设五环模型”。