《中央企业合规管理办法》出台了。仔细研究，在核心内容上，与指引相比变化不大。不过，有些内容在办法中得到进一步明确，或者说“办法”一定程度上提高了刚性，从内容上细细品味，其中渗透着较大的“法务”专业背景。

1.认识“办法”的核心内容

企业是现实的，开展合规管理体系建设，需要深窥办法的“本质”。需要说明的是，文中可能存在不同于“大众”，甚至从表象上与“办法表述”不一致的观点，并非否定办法，也不是吹毛求疵，而是要“吃透文件精神”，从企业角度，在满足办法基本要求的前提下，寻求一条“切实可行，既能达成合规管理体系建设与运作成效，又能符合企业整体目标追求”的实施途径。毕竟，企业与企业之间，很多方面是不同的。

如何理解“合规管理办法”的核心？按照“合规管理”的基本原理认识即可。识别“办法”赋予中央企业的“合规义务”，即为核心，义务之下皆富有“创新空间”。

办法中有哪些“合规义务”？我归纳为5点（其中第5点，也可以视为第4点的“行为红线”，本着义务识别全面的原则，反映在义务中）：

（5）在应发现而未发现违规问题中，不得存在故意隐瞒，或失职渎职行为。

至于“合规举报”、“工作重点”、“制度管理”、“合规风险评估”、“合规风险清单”、“合规事件库”、“体系评价”、“IT能力”、“合规文化”等内容，是体系运作中的部分流程构成、数据管理、工具、改进提高、环境等体系构成环节、要素或能力条件，在不违背原则情况下，企业当然可以结合实际进行创新。客观讲，这些过程内容，企业能够通过创新而做出特色，国资委的考核与评价，才认为“更有效”。

现实中，曾有企业联系，希望帮助进行合规管理体系建设，但提出几个设想，比如：把企业及下属企业不同岗位进行分类，针对不同类别岗位梳理“合规风险”，形成岗位合规风险手册，通过推广，达到一劳永逸的结果；再比如，从“反垄断”角度开展合规管理工作。

在沟通过程中，我问了对方几个问题。我们不讨论“理想化”回答是否合适，仅分析这种做法是否成立：

问题1：针对不同类型岗位，从风险角度梳理出“通用的限制或底线行为”，是否可行？

首先，从基本原理上分析，是成立的。但现实中，不同单位，即便同类型的岗位，由于企业自身管理的不同，岗位责任也会存在差异，这种“一刀切”的做法，显然不合适。

问题2：为什么要针对“反垄断”，开展合规风险梳理？

首先，该企业没有海外业务，海外严格的“反垄断”法律，不适用于该企业。

其次，该企业从事的业务，在国内市场属于充分竞争领域，“反垄断”政策风险极小。

再次，该企业在行业中，不处于竞争优势地位，没有形成“区域化”销售格局，也没有参与行业联盟组织，反垄断风险体现在哪？

企业选择合规管理建设方向，上级政策固然要执行，但如何选择，需要瞻上而顾下。瞻上，以不违背上级原则、政策限制、管控要求为条件。顾下，回归现实，选择与企业目标、方向、行业、市场、外部与内部管控环境等紧密相关的经营与管理环节，重要环节岗位行为的合规标准，基于普遍性法律法规、企业员工管理制度等条件下的行为管控共同标准等，做为合规管理的“合规风险识别与评估”的重点建设内容。

3.找到 “办法”与体系建设的链接点，遵从而不失灵活

由于传统习惯，中国的企业，很多是以“政策”驱动的，注意力容易停留在“道”的层面做文章。所以，在后续一段时间里，企业出现“办法”的复制化翻版，或直接转发，用以指导下级单位开展“合规管理”的现象，并不奇怪。

至于“道”之下，各个企业“应该怎么做”，那是“术”的问题，看企业合规管理负责人员的“领悟与创新”能力了。或者简单点，通过导入外部机构，做一套基本能够印证“办法要求”的产出，但产出能否落地、能否生根，就很少有人问津了。

在合规管理方面，咨询服务机构要充当“双重”角色，一是站在咨询立场，要充当让企业理解并传达“办法”精神的代言人，这不是孤立讲解办法的问题，而是与企业关联印证的路径；二是站在企业整体立场，从实际出发，帮助企业，一起找到“让合规管理落地生根”的途径和方法。

如何找到 “办法”与体系建设的链接点？我们通过“与办法内容相关的两个具体事例分析”进行说明：

例1：办法第十一条明确，“中央企业设立合规委员会，可以与法治建设领导机构等合署办公”。如果完全按照办法理解，企业建立一个集“法治”于一体的“合规委员会”，是最好的落实体现。

现实中，不少企业的“法治建设领导机构”，往往以 “法治建设领导小组”的形态存在，主要负责人任组长，上升到“董事会委员会”层级的企业，不多。为什么？

董事会委员会与最高决策机构紧密相关，或者企业根据“内部业务实际”，将部分委员会授权为“重大例行业务决策机构”。对大型企业来讲，设置董事会委员会，是比较慎重的。

其次，央企集团、下属大型单位中，存在“审计委员会”，或“风险管理与内控委员会”，或“审计与风险管理委员会”等等，这些委员会的设置，一方面是满足政策要求，另一方面也是应企业自身管理需要。如果单从管理角度理解，是为了更好解决“发生频率高、影响大、涉及范围广”事务，而采取的“控制与决策升级”问题（涉及企业“分权与决策”的划分原则与方法，不详加赘述）。

在企业中，看重的是“责任与运作效果”，而不是形式。何况，办法“第十一条”用的是“应当”，体现的是：（1）合规管理需要纳入“董事会委员会”组织，以反映对董事会负责的精神或态度。（2）办法“提出了成立委员会的设想要求，但决定权在企业”。所以，“建立承担合规管理职责的董事会委员会”，才是“办法”赋予企业的“合规义务”，而不是“委员会的具体名称与职责结构”。

例2：办法中的“第二十二条”内容：“中央企业因违规行为引发重大法律纠纷案件、重大行政处罚、刑事案件，或者被国际组织制裁等重大合规风险事件，造成或者可能造成企业重大资产损失或者严重不良影响的，应当由首席合规官牵头，合规管理部门统筹协调，相关部门协同配合，及时采取措施妥善应对。”

如何从企业角度“理解”这条内容？我们从现实中的“边界范围、流程角度”分析。

从合规管理辐射的范围来讲，完全覆盖了法务机构的“普法、制度与合同法律法规符合性内控、组织解决法律纠纷”的基本职能。“第二十二条”列举的主要事项内容，很多属于“法务”职责范围内事务，且在现实的解决问题方面，合规管理部门也难以履行“统筹协调”的职责（说明：①可以类比“干部发生重大违规事件”；②法务、合规职责为“一体组织”除外，但意义不同），所谓专业部门做专业的事儿。

现实中，即使“法务与合规职能联属”，比如，成立“法务与合规管理处”，做为最小业务机构单元，内部也会存在法务岗、合规管理岗的区分。或者再退一步，由于企业规模小，存在“一人多岗”的现象，如何高效处理以上问题？

那是不是违背了“办法”要求呢？当然没有。合规管理属于“归口管理部门”，“处置法律事件流程”也属于被归口的内容，如果从流程架构分析，属于合规管理“接收与处置合规信息”流程的“支流程”。何况，首席合规管理官也不是单一角色，他还有另外一个角色 —— 总法律顾问。另外，“办法”也没有形成“刚性管理标准”，“应当”的描述，还是给企业释放了“现实管理机制设计空间”的灵活性。在具体设计中，与企业组织与职责设置、流程设计有关，不一定是“通用”模式。