​新时期企业合规管理及系统建设研究

企业合规管理系统是基于国内/国际法律法规、行业标准、规章制度、管理办法、监管要求、领导责任、行为准则和思想相结合下的一种产物。如何继承和发展合规文化理念，需要通过软件系统实现对不同行业的企业及不同领域的业务、行为、流程的合规风险实现自动识别和管控。其建设思想体现在对数据的汇总、识别、比对、校验与分析。实现数据校验数据、流程比对流程、系统监控系统、制度约束制度的闭环管理。通过自查、互查、抽查实现人人合规、时时合规、事事合规的企业文化。

在企业内部，对执行层、管理层来讲，需要做到在合规范围内勇于创新和发展，对决策层来讲，能够实时获取到合规风险信息的预警提醒，尽早规避风险，保障企业健康运营和发展。合规系统建设需要海量的业务数据支撑，结合人工智能、物联网技术达到合规风险实时预警。

合规管理系统建设思路分为：通过数据获取、数据分析、预警提醒、整改验收、经验总结、智能应用等手段为企业赋能。利用第三方平台或数据库动态监控业务体系及处理方案，重点领域风险及其他风险在业务系统各个环节提示预警，合规强制咨询机制、合规联席会议机制、合规检查机制、合规尽职调查机制、合规风险监测预警机制、合规报告机制、合规问责机制、合规有效性评估机制、合规审计机制均预警，联动其他业务系统能够触发诉讼流程的风险自动分类提取。

下面，会从十六个方面来全面阐述合规管理系统的建设内容：

一、合规门户

从用户友好角度来讲，合规信息化建设，一定要在减少工作量的基础上实现快速识别风险、处理风险、跟踪风险和经验总结，简单来讲，消息预警提醒、待办处理事项、快捷操作等都要实现统一入口。门户要针对不同层级的用户，在其权限范围内的事项进行展现和处理。除了PC端的处理，还需要支持各种移动端的查看和审批，比如：企业微信、钉钉、企业邮箱、手机短信等，避免错过重要预警和审批信息，错过最佳的处理时间。

二、合规风险识别

合规管理的精髓主要在合规风险的识别与处理，其方法只有通过递进关系模式方能做到。第一阶段：在搭建合规系统前期，企业内部先要梳理出详细的合规风险清单、义务清单、领导责任清单、流程权限清单、岗位职责清单等等。将这些规则和标准内置在系统中，并结合外部的法律法规，通过系统自动比对、分析、实现合规风险的自动识别，自动生成合规报告，实现问题的快速定位与追溯。第二阶段：大数据分析，分析的是契合公司内部的合规风险，所以结合系统内部海量的样本数据积累与分析，后期系统以根据机器学习方式，不断训练模型和算法，实现对同类型合规风险的识别，并可以通过过往的处理方式，系统自动去分析、验证并推送对于该类问题最合理的处理预案，尽可能的减少人力成本投入。毕竟建立一套系统是为了提高工作效率和质量，而并非给执行层、管理层及决策层增加负担。对于决策层来讲，可以通过这种大数据分析，直观掌握目前全集团对于合规风险把控的力度和方向，能够更加精准地处理问题，查漏补缺，在公司运营发展的道路上不断提升短板，保障企业健康发展。

三、合规风险地图

通过合规风险地图及合规风险清单，将合规风险按照业务条线进行了梳理和展示，这样可以直观地看到哪个业务条线风险数量多，重大合规风险要有单独展现。合规管理部门根据系统自动判定的风险等级变化发送提示函或警示函。在问题处理完成之后对风险等级进行重新调整的操作，那么风险地图和风险清单里的内容也会相应变化。

四、合规计划管理

对企业来说，合规管理是要有计划性地实施的，主要从合规计划制定、审批、发布、计划执行进展、执行结果追溯、执行评价分析及合规计划整体事件的历程轴型图管理。假设在某年某月执行一份或多份合规计划，那么系统会在相关里程碑节点、事件节点、时间节点、是否执行计划操作、是否达到计划预期效果、在系统中进行提醒和预警。从企业流程合规角度来讲，凡是重要事项、关注重点，都应该走相应的审核程序，如计划制定，必须走相应的审核流程。计划的制定部门可以对相应的计划选择性发布，例如发布给某个下属单位、发布给某个部门，抑或是在全集团范围内发布，也可以根据职责、权限，区域、板块、领域等维度批量发布处理。当然，在发布完成后对执行过程的监管也是必不可少的。目前只有通过数据积累而后形成的这种客观历程展示，最能直观展现目前对于计划执行情况的了解。随着系统内数据量的不断增加和沉淀，运用数据分析与人工智能技术，后期可以延展出对于合规计划制定的合理性做系统自我分析与建议提醒。实现效果分析、结果分析、过程分析、价值分析。

五、合规咨询管理

从企业管理角度来讲，建立信息化系统后，需要将线下咨询处理事项全部转移到线上处理。传统做法是采用打电话、发邮件、口述或微信等形式，通过线上咨询，可以实现咨询的留痕和统计的效果。实现方式为，在系统中设置关键问题、常规问题、疑难问题及相应的标准答案，业务人员在咨询时，可以先选择咨询类型、选择被咨询人，通过对话框形式系统自动回复标准答案，如系统回复不满足咨询的要求，还可以转人工回复，如果文字也不足以解答所咨询的问题，还可以直接拨打线上语音电话，降低沟通成本。在这个过程中，系统可以通过NLP自然语言处理、OCR和大数据分析等技术，全面分析咨询内容及回复问题的有效性和专业性，从而分析出业务或管理方面的短板或风险。

六、合规审查管理

对于合规审查的理解，首先要明白审查的内容、理由、问题点。传统的管理方式，人为审查必不可少会存在主观因素的影响，所以在审查环节可以通过机器自动审查和人工审查结合的方式来处理。大家都在讲流程统一、业务标准、管理规范，那就需要将这些标准化的内容做到自动审查中来，极大的降低审查的主观性与滞后性所带来的风险。如果领导有特殊安排或临时的抽检，对这种非标准化的内容可以做人工审查干预。审查、惩罚不是目的，及时发现问题，整改处理规避风险才是管理的目的。当然在也需要配合警示函、专项合规等内容协同管理，实现落实责任到人、问题追踪、进展管控、奖罚分明、结果分析、经验总结、风险防范的目标。

七、合规整改管理

在审查过程中发现的严重、普通、轻微问题，必然要结合合规整改来快速处理。从整改方案的制定、审核、预算核验、整改周期、责任人、核验人、到验收标准都要做详细规划，整改完毕后对经验总结和分析也是至关重要，日后再发生同类问题或者相似风险，可以做到有成熟的解决方案。在整改过程中尽量做到对整个整改过程的自动化控制，减少传统的人为监控，避免掺杂过多的主观因素，不利于问题的真正解决。合规整改至少要关注以下几点信息：包括问题事项、整改编号、整改方案名称、违规涉及领域、整改机构、整改时间、主要负责人、监督负责人、处理时效、处理预期结果等。在整改过程中也要相应地结合合规监督追责程序，绑定考核管理办法，奖罚分明、责任到人、合规做事、内外合规。

八、合规报告管理

合规报告不单指合规整改事项的报告，从广义上来讲，在公司内部发生的所有合规性问题、事件、风险都要及时报告。首先要阐述清楚报告依据、事由、发生时间、直接负责人、处理方案等等。系统中包含格式化报告与非格式化报告。从类型上也要进行区分，例如：国资委报告、临时报告、重大事件报告、行业合规领域发展分析报告、合规风险报告、周报、月报、季报、年报等。同时也要对报告的质量进行把控，监管人员有权利去评价报告事实与质量。合规管理报告尽量实现自动生成，所有涉及到数据的问题，有条件的话，最好要从系统中抓取并填充，主观意见开放口子自行去完善，通过模板化处理，提高工作效率，避免新的管理手段反而增加了业务层及执行层的工作负担。

九、危机应对管理

企业法务合规人员要有办大案，办企业生死存亡的大案准备。要有在危急时刻不慌张有应对有套路的准备。了解危机应对和事故处理的指导原则。知道危机应对处理的法律规定和规章。明白重大问题的责任大小。

企业法律危机应对的响应和启动，“激活”程序。例如现场集中指挥权，调度权，处置权。协调方方面面。安排现场指挥中心，建立完整处理系统。明确各方负责人和职责，防止事态恶化，进行问题损失评估以及风险评估。

注意案件和事故情报和信息的收集。做好媒体新闻公关工作。注意政府事务联系。配合政府工作，关注政府要求。尤其要注意案件的涉外因素。

要把预知的潜在危机分类出来，并制定相应的预案，待到危机事件真的发生之后，会在第一时间有这种紧急预案自动推送。危机应对的方案包括国家预案、行业主管部门预案、地方政府预案、企业预案和规章制度。在日常的管理中，不能放纵事态无限制的扩大，从而造成不可挽回的经济损失、声誉损失。所以加强危机风险意识至关重要。在危机应对管理中，实现对危机预案的演练和对抗，从中可以尽快发现问题和弥补不足之处。在危机演练过程中，相应的职责部门也要加强过程化的管控，对过程中的风险及时发现、及时修订和整改。对于每次演练的事项和过程，都要及时做到经验总结，事态研判，不断挖掘这种未知风险。

当危机时间发生后，需对进展和结果进行及时的维护和上报。

十、合规培训管理

合规培训的目的在于对合规文化、制度的宣贯与沉淀，加强培训与宣贯力度，对于企业文化有不可估量的驱动作用。合规培训的内容主要包括风险培训、管理培训、流程培训、制度培训、业务培训、文化宣贯等方面。培训方式也可以采取多种多样的形式，尤其在当前疫情严重的环境下，可以更多实施线上培训，对于每次培训的内容实现系统自动生成问卷（15-20个问题），并设定标准答案。在规定时间内进行线上答题，对培训考试成绩达到60分以上作为培训合格标准，逐渐提高培训合格率。相反，被培训人也开放评价功能，评价培训讲师的专业度、语言表达能力、培训风格等。通过相互监督不断提高全集团对于合规文化、制度的理解和学习能力。同时，也可以将培训的资料、课件、音频、视频打包发送给相关人员。对于传统的线下培训模式，每次培训都进行记录、拍摄并作线上发布，反复回看和学习，便于进行知识巩固。

十一、合规积分管理

为了将合规管理做到客观量化，系统需设置合规积分管理功能。如何理解合规积分，通俗讲，给全集团每一个人都赋值100分的分值，结合相应的风险阈值、内定规则、管理标准、管理办法、规章制度、法律法规和人员的行为规范、流程规范、操作规范进行对比分析来触发对积分的增加或者扣除。对于个人来讲当积分处于80-100及以上，系统自动认定为合格，当积分处于60-80之间，系统会做提示预警的风险提示推送当事人及相关监管人员，通过各种形式及时纠正其行为，当积分处于60分以下，可根据相应的合规管理办法做强制性惩罚措施。积分不是只有减少，也会在相关环节增加积分 ，例如进行了违规举报、提出了优秀的合规建议等场景。通过对积分的上下浮动管理，让企业内部所有人员时时刻刻紧绷合规风险防控的神经。对于集团来讲，也可以通过对各个下属单位甚至部门进行统计分析，抽出典型企业、部门、个人做正反面教材，通过共享平台发布消息以示表扬或警告。对于积分的规则和标准也要做到实时更新和维护，因为合规事项和风险也是随着内外部环境随时变化的，所以合规红线也要定期的维护和更新。

十二、商业伙伴风险管理

商业伙伴风险管理的信息来源包括手动维护和外部获取两种方式，建立黑白灰名单机制。内部风险主要依靠手工录入维护及内部系统的导入，外部获取需要集成外部商用的关于资信、风险、制裁等方面的数据库。主要包括对商业伙伴的信用评级、存量、增量合作伙伴、资信风险预警、逾期信息、黑名单等做数据筛查方面的管理。

十三、合规考核管理

合规考核的主要目的在于对合规管理的执行管控。主要涉及的领域和业务及行为规范比较多，比如：合规计划制定的必要性、完整性、预见性、时效性；合规审查是否点对点分析；合规整改是否验收合格；合规报告质量是否达到标准；合规培训是否健全到位；合规演练是否只是做了形式化的流程处理；合规积分在对人工评分过程中是否存在太多的主观因素；培训成绩是否达标；违规举报是否对举报信息进行了验真流程等等。做合规考核一定要通过数据来说话，客观真实有效。系统会从违规数量、整改效果、整改次数、违规问责、合规报告评分等环节进行顶格考核，实时考核，逐步转换人员的思想。合规考核一定要本着实事求是原则，不能因为利益关系而造成考核结果失真。切实做到自查、互查、抽查的监管三要素。

十四、违规举报管理

违规举报可以分为匿名举报、实名举报、其他举报形式，对所有举报信息切实做到个人信息严格保密，如管理人员因疏忽或者其他因素泄露举报人信息，需承担相应的责任。对于受理部门而言，在收到举报信息后一定要做到对举报信息的过滤和验真。举报激励可通过三种形式来实现：精神、物质、积分。

十五、知识库管理

作为知识库，从字面意思理解就是相关知识信息的集合，但是知识库的内容也要结合企业的实际情况来进行自定义，可以包括法律法规（国内、国外）、典型案例、经验总结、合规风险清单等等。知识库不单是知识的积累和沉淀，更重要的是如何通过知识库数据反馈并运用到业务及公司经营发展中，切实完善管理，让知识反哺给业务，有风险问题，知识库能够自动推送相关信息、法律法规与规章制度和管理办法。知识库的应用主要体现在对数据的分析和推送，不断健全数据的汇总和分类，后期结合人工智能、云计算、大数据等技术，自动推送。

十六、统计分析管理

合规管理平台作为集团的一种合规落地管理手段，统计分析管理是必不可少的一个环节，通过分级授权、不同领域、不同维度、不同阶段自定义模糊检索所需信息，通过图形报表结合形式分析整体事态的发展和合规数据量化统计分析。作为统计，可根据企业需求实现静态图与动态图的双向落地，落实数据纵向穿透，通过组织架构层层筛选所需信息。对企业合规管理来说动态可视化的展现方式优于静态图的展现方式，而且加强对统计数据的再利用也是必须的。统计分析的维度可以包括：合规风险同比环比分析、违规问责同环比分析、合规量化统计、合规整改量化统计、合规风险分布情况，挽回经济损失统计、名誉损失分析等等。

来源：栢柯法务 栢柯信息