企业合规管理体系建设关键路径

ISO 37301:2021《合规管理体系 要求及使用指南》规定了组织建立、运行、维护和改进合规管理体系的要求，并提供了使用指南，适用于全球任何类型、规模、性质和行业的组织，为企业的合规管理工作提供了更为明确的指导。
       下面结合ISO 37301标准和合规管理体系建设经验阐述企业合规管理体系建设的关键路径。

       1.搭建合规管理组织。完成从治理层到基层员工的合规职责分配及授权，明确每个层级在合规管理中的职责。
    （1）先要明确企业实现合规经营管理的原则和合规行动承诺，依照合规行动承诺结合合规义务和企业的战略制定企业合规目标。
    （2）要根据合规目标明确合规管理组织、职责分工，企业的合规管理职责应覆盖全员，从治理机构、最高管理者、合规管理部门（通常有法务部、风控管理部门、运营管理部分等，可根据企业的架构和职能定位确定），到业务部门和各位员工，都需要有明确的合规角色和合规职责。

       2.成立合规管理体系建设工作组。一般而言，仅依靠常态化合规管理部门在短时间内建立企业的合规管理体系是很难完成的，因此要召集一批有经验的跨职能专业人员共同参与合规管理体系建设工作组。
       合规管理体系建设工作一般由合规管理职能部门牵头推动，在成立合规管理体系建设工作组前，合规管理职能部门需先确定工作目标，根据目标筛选参与的部门和工作组成员，明确成员的角色和职责。

       3.宣讲合规管理体系。合规管理体系的宣讲是在企业内部普及合规文化的重要方式，通过宣讲可以让受众了解合规管理体系的重要性和必要性，明晰违规代价，提升全员的合规意识。合规管理体系宣讲可以单独以专题的形式进行，也可以与公司的文化融为一体统一宣传。

       4.诊断合规管理现状。企业开展合规管理体系建设，首先要明确合规管理现状水平如何，有哪些短板？只有充分了解这些信息，在策划和设计合规管理体系时，才能更有针对性。
       合规管理现状诊断可以通过问卷调研、访谈等形式进行。调研全员的合规意识推荐通过问卷方式；摸底重点业务的合规现状、合规管理情况，推荐针对业务管理层、业务骨干进行访谈，这种方式对访谈问卷的设计要求比较高，需要提前策划。

       5.制定合规管理体系建设方案。根据法律法规、行业标准等外部要求和合规现状诊断结果，制定合规管理体系建设方案，明确合规管理体系的目标、方针、总体规划、详细计划等内容。
       制定合规管理体系建设方案前，要明确两个基本内容，一是企业合规管理现状，二是合规管理体系的目标，在此基础上，结合企业的特点和管理成熟度制定适用的建设方案。
       确定合规管理体系建设方案后，如何执行也很重要，建议要有详细的执行计划和明确的成员分工，定期召开工作组会议协商解决项目难点，及时预警项目风险；建立项目里程碑，定期对比进度，及时调整计划确保项目目标达成。

       6.梳理合规义务。梳理合规义务是合规管理体系建设中的一个关键环节，只有明确了合规义务，才能明确各职能部门要承担的义务和要遵循的规则。
       确定合规义务是企业建立合规管理体系的最基础的活动，企业应从外部监管要求和内部发展战略、产品服务、业务领域等方面去梳理和识别需要履行的合规义务，并根据外部监管要求及企业合规承诺的变化进行及时调整，梳理和识别的范围应覆盖企业所有的业务领域。梳理完合规义务建议以清单的形式进行保存和宣贯，方便相关方查询。信息化建设好的企业可以通过知识管理工具进行系统化的管理，提升使用效率。

       7.评估合规风险。合规风险覆盖企业经营的全场景，难以尽数，需要尽可能地全面识别合规风险，然后加以分析、评估，以确定风险等级和处置的优先顺序。
       合规风险的识别、分析和评价是制定合规风险应对措施的前提。企业应把合规义务与生产经营活动联系起来，基于业务场景通过业务流程梳理、历史经验、头脑风暴等方法进行合规风险识别，输出风险清单，分析风险原因、后果和发生的可能性，确定合规风险处置机制，并按照要求对风险进行有效处置和管理。合规风险是持续变换的，影响因素非常多，一定要定期复核和更新。

       8.制定合规风险控制措施。结合风险评估结果并充分考虑成本效益原则，制定合规风险控制措施。
       制定合规风险控制措施是实现合规方针、控制合规风险的关键步骤。企业应根据合规风险的优先级，制定合规风险的控制措施，执行控制措施前需要对其有效性进行评审，执行过程中要落实责任部门和责任人。合规管理职能部门应定期检查控制措施的效果和效率，评价合规风险控制措施的有效性。

       9.优化合规流程。此处所说的合规流程不仅指狭义的合规管理流程，应该扩展至企业所有业务和管理流程，通过流程优化从而建立体系化合规控制手段。
       流程是控制措施的落地举措，在优化流程前需建立、完善控制程序与运行机制，这是企业履行合规义务、控制合规风险的基础。再将规章制度整合到业务运行流程中，并落地执行，以实现预期的合规目标。流程运行效果需要定期的监测和评估，可以利用流程管理系统和OA办公系统等系统工具进行管理，提升运行效率。

       10.编制合规手册。《合规管理手册》是合规管理体系建设集大成的代表性成果，是企业合规管理的纲领文件。
       《合规管理手册》及相关的程序文件需要以达成合规目标为目的进行持续优化，要从企业合规管理目标出发，去繁化简提升制度的有效性。

       11.宣贯合规管理制度及培训。这一步非常关键，很多合规管理体系建设项目“虎头蛇尾”，忽视宣贯导致的结果是合规管理制度被束之高阁。业务层面结合业务场景形成合规指引，根据业务属性做针对性的强化培训。合规管理体系建设不是建设在纸上和电脑里，而是建设在全员的脑海和意识里。

       12.合规管理演练。开展合规管理演练是保障合规管理体系适用性、可用性的有效手段。合规管理体系不是做了一套文件或者梳理一遍流程就是做好了，需要通过有规划的合规管理演练活动确保合规管理体系时用时新、用时有效。
       演练活动可以是系统化全场景演练，也可以针对特殊场景开展针对性演练，演练后要及时复盘，对发现的问题进行分析和总结，及时完善管理机制和控制手段，确保合规管理体系的有效性。
以上阐述的合规管理体系建设路径只是初步搭建企业合规管理体系必备操作，要想切实产生价值和效果，还有很多运营工作需要持续推动。