2022年04月01日，国务院国资委发布了《中央企业合规管理办法》的征求意见稿全文，按照其起草说明中的表述，此举是在中央企业面临的内外部环境日趋复杂严峻，政府对企业经营行为的监管力度不断加大的背景下，指导企业加快推进合规管理体系建设。

从全文的最后一条，“第四十四条【生效日期】  本办法自发布之日起施行。《中央企业合规管理指引（试行）》（国资发法规〔2018〕106号）同时废止。”

此文件目标是要取代3年多前发布的那份央企合规指引文件，经过几年的试点推行，此文件在总结之前合规管理工作的经验基础上，对部分要求进一步的细化并提出了一些新要求。下面我们结合征求意见稿全文和2018年央企合规指引（简称“指引”）版本的区别做一下解读。

中央企业合规管理办法
第一章 总则
第一条【立法目的】  为深入贯彻习近平法治思想，落实全面依法治国战略部署，进一步推动中央企业切实加强合规管理，着力打造法治央企，不断提升依法合规经营管理水平，有力保障深化改革、高质量发展，根据《中华人民共和国公司法》、《中华人民共和国企业国有资产法》等有关法律法规，制定本办法。
第二条【适用范围】  本办法所称中央企业，是指国务院国有资产监督管理委员会（以下简称国资委）履行出资人职责的国家出资企业。
第三条【相关概念】  本办法所称合规，是指中央企业及其员工的经营管理行为符合法律法规、党内法规、监管规定、行业准则和国际条约、规则、标准，以及企业章程、规章制度等要求。
解读：与2018年指引表述相比，本条合规概念上增加了对“党内法规”和“（国际）标准”的合规要求，并且仍然采用“大合规”的范畴，包含了企业内部的规章制度等。
本办法所称合规风险，是指中央企业及其员工因不合规行为，引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性及其后果。
本办法所称合规管理，是指以有效防控合规风险为目的，以提升依法合规经营管理水平为导向，以企业和员工经营管理行为为对象，开展包括制度制定、风险识别处置、合法合规性审查、合规风险应对、合规报告、合规评价、违规责任追究、合规培训等有组织、有计划的管理活动。
解读：与2018年指引表述相比，主要加入了提升依法合规经营管理水平为导向的表述。
第四条【国资委职责】  国资委负责指导监督中央企业合规管理工作，并对合规管理体系建设情况开展评价。
第五条【基本原则】  中央企业应当按照以下原则建立健全合规管理体系：
（一）全面覆盖。坚持将合规要求覆盖生产经营管理各领域各环节，落实到各部门、各级子企业、分支机构和全体员工，贯穿决策、执行、监督全过程。
（二）客观公正。合规管理牵头部门独立履行职责，严格依照法律法规和企业内部规定等对企业和员工行为进行客观评价，坚持统一标准对违规行为进行处理。
（三）专业有效。制定符合监管要求的合规管理制度，建立与企业实际相适应的工作机制，并根据发展需要持续改进完善，不断提升人员队伍专业化水平，确保合规管理发挥实效。
（四）实时精准。通过信息化手段将合规要求全面融入经营管理活动，利用大数据、云计算等对重点领域、关键节点开展实时动态监测，加快提升合规管理数字化、智能化水平。
解读：与2018年指引表述的四个原则相比有所改变，之前的四个原则为：全面覆盖、强化责任、协同联动、客观独立。我认为这种变化没有好坏之分，比如拿掉了强化责任，为了强调时效性和信息化的要求，提出实时精准原则等。

第二章 组织和职责
第六条【党委（党组）作用】  党委（党组）发挥把方向、管大局、促落实的领导作用，在职责范围内积极推进合规管理工作，保障党中央关于深化法治建设、加强合规管理的重大决策部署在企业得到全面贯彻落实。
解读：与2018年指引相关章节表述相比改变较大，最主要的是把之前的董事会、监事会、经理层的职责，改成了党委（党组）、董事会和经理层的职责，增加了党的组织、删除了监事会的职责。
这可能也是呼应了2021年12月《公司法》修订草案的提法，企业可以不设监事会，但公司法还没正式发布，我们也提出了对此条公司法修改意见的反对意见，这么修改是不是有点着急了？
第七条【董事会职责】  董事会充分发挥定战略、作决策、防风险职能，履行以下合规管理职责：
（一）审议批准企业合规管理基本制度和体系建设方案等；
（二）研究决定合规管理重大事项，审议批准合规管理年度报告；
（三）根据有关规定和程序，决定聘任或者解聘首席合规官；
（四）决定合规管理牵头部门的设置和职能；
（五）按照权限决定有关违规人员的处理事项；
（六）法律法规、公司章程等规定的其他合规管理职责。
第八条【经理层职责】  经理层切实履行谋经营、抓落实、强管理职能，履行以下合规管理职责：
（一）拟订合规管理体系建设方案，经董事会批准后组织实施；
（二）拟订合规管理基本制度，批准合规管理具体制度、年度计划等；
（三）制定合规管理工作流程，确保合规要求融入业务领域；
（四）及时制止并纠正不合规的经营管理行为，按照权限对违规人员进行责任追究或提出处理建议；
（五）对重大合规风险及时采取应对措施；
（六）指导、监督和评价各部门、各子企业合规管理工作；
（七）提名首席合规官人选；
（八）法律法规、公司章程等规定的其他合规管理职责。
解读：对三者的定位和近几年国有企业改革文件中保持一致：
党委（党组）：把方向、管大局、促落实
董事会：定战略、作决策、防风险
经理层：谋经营、抓落实、强管理
第九条【第一责任人职责】 企业主要负责人作为推进法治建设的第一责任人，应当切实履行依法合规经营重要组织者、推动者和实践者职责，积极推动合规管理各项工作。
第十条【合规委员会职责】  中央企业设立合规委员会，可以与企业法治建设领导小组或风险控制委员会等合署，履行合规管理的组织领导和统筹协调职责，定期召开会议，研究讨论合规管理重点工作，向经理层提出意见和建议。
中央企业可以根据需要设立合规委员会办公室，办公室负责人由首席合规官或合规管理牵头部门负责人担任，相关部门负责人为办公室成员。
第十一条【首席合规官职责】 中央企业设立首席合规官，由总法律顾问担任并对主要负责人负责，履行以下合规管理职责：
（一）参与企业重大经营决策，提出合法合规性审核意见；
（二）领导合规管理牵头部门推进合规管理体系建设；
（三）向董事会、企业主要负责人汇报合规管理重大事项；
（四）指导业务部门合规管理工作，对合规管理职责落实情况提出意见和建议；
（五）指导子企业合规管理工作，对子企业首席合规官的任免、合规管理体系建设情况提出意见；
（六）法律法规、公司章程等规定的其他合规管理职责。
解读：最大的变化就是明确设立首席合规官（Chief Compliance Officer，CCO），由总法律顾问兼任，人还是那个人，头衔又加了一个，责任又明确了一层。
第十二条【业务部门职责】  业务部门是本领域合规管理责任主体，负责日常相关工作，履行“第一道防线”职责：
（一）按照合规要求完善本领域业务管理制度和流程，制定本领域合规管理指引及有关清单；
（二）开展本领域合规风险识别和隐患排查，及时发布合规预警；
（三）对本领域内制度、文件、合同及经营管理行为等进行合法合规性审查；
（四）及时向合规管理牵头部门通报风险事项，组织或配合开展合规风险事件应对处置；
（五）做好本领域合规培训和商业伙伴合规调查等工作；
（六）组织或配合进行本领域合规评估、违规问题调查并及时整改；
（七）向合规管理牵头部门报送本领域合规管理年度计划、工作总结；
（八）公司章程等规定的其他职责。
业务部门应当设置合规管理员，由部门或处室负责人兼任，负责本部门合规风险识别、评估、处置等工作，接受合规管理牵头部门业务指导和培训。
解读：利用了“三道防线”的概念梳理了合规管理各部门应该承担的职责，业务部门是第一道防线，不要再认为合规管理是合规管理部的事，牵头部门只是牵头，日常管理工作还是各个部门自己职责范围内的工作。
第十三条【牵头部门职责】  合规管理牵头部门组织开展日常工作，履行“第二道防线”职责：
（一）起草合规管理年度计划及工作报告、基本制度和具体制度规定等；
（二）参与企业重大事项合法合规性审查，提出意见和建议；
（三）组织开展合规风险识别和预警，组织做好重大合规风险应对；
（四）组织开展合规评价与考核，督促违规行为整改和持续改进；
（五）指导其他部门和子企业合规管理工作；
（六）受理职责范围内的违规举报，组织或参与对违规事件的调查，并提出处理建议；
（七）组织或协助业务部门、人事部门开展合规培训；
（八）公司章程等规定的其他职责。
合规管理牵头部门应当配备与企业经营规模、业务范围、风险水平相适应的专职人员，持续加强业务培训，不断提升合规管理队伍专业化水平。
境外重要子企业及重点项目应当明确合规管理牵头部门，配备合规管理人员，落实全程参与机制，强化重大决策合法合规性审核把关，切实防控境外合规风险。
第十四条【监督部门职责】  纪检监察机构和审计、巡视等部门在职权范围内履行“第三道防线”职责：
（一）对企业经营管理行为进行监督，为违规行为提出整改意见；
（二）会同合规管理牵头部门、相关业务部门对合规管理工作开展全面检查或专项检查；
（三）对企业和相关部门整改落实情况进行监督检查；
（四）在职责范围内对违规事件进行调查，并结合违规事实、造成损失等追究相关部门和人员责任；
（五）对完善企业合规管理体系提出意见和建议；
（六）公司章程等规定的其他职责。
解读：让第三道防线会同牵头部门，等于把牵头部门拉到监督视角，而牵头部门更重要的是在提升合规管理能力方面赋能业务部门。
第十五条【全员合规责任】  全体员工应当熟悉并遵守与本岗位职责相关的法律法规、企业内部制度和合规义务，依法合规履行岗位职责，接受合规培训，对自身行为的合法合规性承担责任。

第三章 制度建设
第十六条【建立制度体系】 中央企业全面梳理本系统内合规管理制度文件，根据适用范围、效力层级等，建立以基本制度、重点领域合规指南、操作手册等为主体的分级分类合规管理制度体系。
第十七条【基本制度】  中央企业应当制定合规管理基本制度，明确合规管理总体目标、机构职责、管理流程、考核监督、奖惩问责等。
涉外业务较多的中央企业可以针对特定业务领域或国别（地区）的合规要求，结合实际需要，制定相应的涉外业务合规管理办法。
第十八条【重点领域制度】  在合规管理基本制度的基础上，针对合规风险较高的业务领域制定专项合规管理指南，强化重点领域合规风险防范。
第十九条【岗位职责清单】  全面梳理各部门岗位合规风险，制定岗位合规职责清单，依据风险水平等进行分级管理，将合规要求纳入岗位职责。
第二十条【制度修订完善】  定期对企业规章制度进行修订完善，结合法律法规修订、政策变化和监管动态等，及时将外部合规要求转化为内部规章制度。
第二十一条【宣贯与执行】  定期组织对规章制度进行宣贯，对执行落实情况进行检查。
解读：与2018年指引相比，把合规管理的重点内容中的七大重点领域、三大重点环节、三方面重点人员描述改为了制度建设，给予了企业更大的自主权去确定什么是合规风险较高的领域、重点环节和重点人员。
给予更大的自由度本是好事，但一要防止政策不明确内容企业就无从下手了，二要防范偷懒，没具体要求就以最小工作量应付，要真正从工作的角度担负起主体责任。

第四章 运行机制
第二十二条【合规风险识别预警】  中央企业应当建立合规风险识别预警机制，全面系统梳理经营管理活动中存在的合规风险，建立合规风险库，对风险发生的可能性、影响程度、潜在后果等进行系统分析，对于典型性、普遍性和可能产生较严重后果的风险及时发布预警。
合规管理牵头部门归口管理合规风险库，组织业务部门定期更新完善。
第二十三条【合规风险应对】  完善合规风险应对机制，针对发现的风险制定预案，采取有效措施及时处置。发生重大合规风险事件，合规委员会应当统筹领导，首席合规官牵头，相关部门加强协同配合，采取措施妥善应对，最大限度化解风险、降低损失。
中央企业应当定期完善应急预案，强化日常演练，不断提升重大合规风险应对处置能力。
第二十四条【合法合规性审查机制】  建立健全合法合规性审查机制，将其作为经营管理行为的必经前置程序。业务部门加强对本领域日常经营管理行为的审核把关，合规管理牵头部门加大对规章制度制定、重大决策事项、重要合同签订、重大项目运营等合法合规性审查力度，必要时可以对业务部门审核结果进行复审，对严重违反法律法规或企业规章制度的一票否决。
中央企业应当建立健全合法合规性审查后评估机制，及时掌握审查意见采纳情况，不断提升工作质量。
第二十五条【问题整改】  对合规风险应对及合法合规性审查中暴露的问题及时进行整改，通过健全制度机制、优化业务流程等方式，堵塞管理漏洞，形成长效机制。定期对合规整改情况进行检查，根据需要将其纳入对部门及子企业的考核。
第二十六条【合规举报】  健全合规举报制度，设立违规举报平台，对外公布首席合规官及职责、举报电话、邮箱和信箱。合规管理牵头部门按照职责受理违规举报，并就举报问题进行调查和处理，涉嫌违纪违法的，及时移交相关纪检监察机构处理。
进行调查的部门和相关人员应当对举报人的身份和举报事项严格保密，任何单位和个人不得采取任何形式对举报人进行打击报复。
解读：除了企业现有的举报、信访报告机制，从合规的角度又多了一条举报途径，要求企业设立举报平台，公布首席合规官及举报电话、邮箱和信箱。畅通举报信息渠道体现的是一种威慑力，这在风险管理体系中的信息沟通要素一直有明确要求。
第二十七条【合规报告】  完善合规报告制度，发生合规风险事件，合规管理牵头部门和相关部门应当第一时间向首席合规官报告，重大合规风险事件应当在7个工作日内向国资委和有关部门报告，后续有关进展和处置情况要及时报告。
合规管理牵头部门于每年年底全面总结合规管理工作情况，年度报告经董事会审议通过后及时报送国资委。
第二十八条【协同机制】  中央企业应当结合实际，积极探索构建法治框架下合规管理与法律、内部控制、风险管理的协同运作机制，加强统筹协调，提高管理效能。
解读：此条协同机制正是我们所一直提倡的“大风控”模式，目前央企合规工作作为重点，有些企业甚至用合规工作统筹风控、内控工作，希望看一下我们之前分析的几者关系的文章，避免进入误区。
第二十九条【经费保障】  中央企业应当将合规管理体系建设经费纳入预算，保障相关工作有序开展。
解读：企业预算又多了一项，合规经费。

第五章 评价与追责
第三十条【合规评价】  建立合规管理评价机制，合规管理牵头部门定期对合规管理体系运行情况进行全面评价，针对重点业务合规情况可以适时开展专项评价，对合规风险和违规问题组织整改。
第三十一条【纳入考核】  将合规管理情况作为法治建设重要内容，纳入对各部门和子企业负责人的年度综合考核，细化评价指标。强化考核结果运用，将合规职责履行情况作为员工考核、干部任用、评优评先等工作的重要依据。
第三十二条【违规行为记录制度】  建立个人违规行为记录制度，根据行为性质、发生次数、危害程度等，将其作为个人年度考评、评优评先的依据。
解读：违反企业内部制度算吗？这可能对增强内部控制执行有效性有帮助，希望审计时真的在企业能找到这份记录。
第三十三条【违规追责】  完善违规行为追责问责机制，进一步明确违规责任范围，细化惩处标准，针对反映的问题和线索，及时开展调查，按照有关规定严肃追究违规人员责任。对于符合企业尽职合规免责事项清单内情形的行为，可以按照相关规定免于责任追究。
相关部门和人员在合法合规性审查中，存在应当发现而未发现违规问题或发现后敷衍不追、隐匿不报、查处不力等失职渎职行为的，应当承担相应责任。

第六章 合规文化建设
第三十四条【领导专题学习】  将合规管理作为法治建设重要内容纳入党委（党组）定期专题学法内容，不断提升企业领导人员合规意识，带头依法依规开展经营管理活动。
第三十五条【法治宣传教育】 将合规管理作为法治宣传教育重要内容，通过制定合规手册、签订合规承诺、开展合规宣誓等方式将合规理念传达给全体员工，强化全员守法诚信、合规经营意识。
中央企业应当鼓励员工提出改进合规管理的意见和建议，对于作出重要贡献的可以给予奖励。
第三十六条【合规培训】  建立制度化、常态化的合规培训机制，制定年度合规培训计划，加大对企业员工的培训力度，将合规管理作为领导干部初任、重点合规风险岗位人员业务培训、新员工入职必修内容，进一步提升干部职工合规意识。

第七章 信息化建设
第三十七条【功能设置】  加快建立合规管理信息系统，将规章制度、重点领域合规指南、合规人员管理、合规案例、合规培训、违规行为记录等作为重要内容。
中央企业可以根据需要，结合重点业务领域拓展信息系统内容，不断提升合规管理信息化水平。
第三十八条【嵌入流程】  全面梳理业务流程，查找经营管理合规风险点，运用信息化手段将合规要求嵌入业务流程，明确相关条件和责任主体，针对关键节点加强合法合规性审查，强化过程管控。
第三十九条【加强互联互通】  加快推动合规管理信息系统与本企业其他管理信息系统、国资委国资监管信息系统互联互通，实现基本数据共通共享。加大信息系统推广应用力度，实现本企业内全覆盖。
第四十条【动态监测】  充分利用大数据、云计算等技术，对重点领域、关键节点开展实时动态监测，实现合规风险即时预警，对违规行为主动截停。
解读：第五、六、七章其实是2018年指引第五章合规管理保障的细化，第七章要求企业建立合规管理信息系统，又多了一个系统，后面还需要系统整合，前面还有合规预算，中介机构又来了个大活。

第八章 附则
第四十一条【细化要求】  中央企业根据本办法，结合实际修订完善本企业合规管理制度，推动子企业建立健全合规管理体系。
第四十二条【地方国资委要求】  地方国有资产监督管理机构可以参照本办法，指导所出资企业加强合规管理体系建设。
第四十三条【解释权】  本办法由国资委负责解释。
第四十四条【生效日期】  本办法自发布之日起施行。《中央企业合规管理指引（试行）》（国资发法规〔2018〕106号）同时废止。
解读：地方国资委请效仿，地方国有企业也同步动起来，之前的试行版本试行结束，作废处理。