企业合规管理体系建设经验分享

1.企业合规义务识别
在企业进行合规义务识别时从两个方向开展梳理，一是从企业的业务流程展开，识别企业的产品研发流程、销售流程、交付流程、财务管理流程、人力资源流程等，明确各流程需要遵守的主要法律法规、监管规定、行业规则、产品标准等内容，形成企业的合规义务清单。二是从企业应遵守的合规要求展开，合规要求包括但不限于反贿赂、反洗钱、反垄断、数据与网络安全、环境保护、知识产权、劳动用工等，把合规工作要求进行分析和归纳整理成企业需要承担的合规义务。对合规义务做拆解，与企业管理制度、业务流程建立对应关系，实现合规义务的落地执行，有效降低企业合规风险。

2.合规管理流程建设
       合规流程的建设与优化参考APQC开发的流程分类框架按级、按层进行。例如，按照研发的类型把研发分成自主研发、委托研发、合作研发和集中研发；然后按照研发的实现过程，把研发细分为市场分析、技术可行性分析、立项评审、成立项目组、需求分析、制定项目任务书、制定验收标准、项目实施、单元测试、系统测试、验收测试等；每一个操作步骤都是一个小的业务流程，在此基础上进行标准化，即得到标准化作业程序（SOP）。SOP中包含对合规风险、操作风险的控制。

3.合规风险评估
合规风险的评估使用风险矩阵评价法，从风险影响后果和风险发生可能性两个维度进行。风险评价完得出风险值R，按照R值大小和风险类型搭建企业合规风险分布地图，同时对风险进行紧急程度排序，结合企业合规目标和业务需求优化资源投入，优先解决高危风险。例如，合规风险课按照类型分成监管风险、法律风险、安全风险、刑事合规风险等，在每个风险类型下汇总识别的风险信息和评价结果，用风险类型和风险评价结果可以搭建并输出风险分布图；用风险信息和风险评价结果可以进行风险排序，再结合现有控制措施及剩余风险的分析，确定需优先解决的敞口风险，从而提升资源使用效率。