一、导语

国资委于2019年10月发布了《关于加强中央企业内部控制体系建设与监督工作的实施意见》（国资发监督规〔2019〕101号），“合规、风险和内控”在2019年和2020年已经成为了管理的流行词。随着我国依法治企和国企改革的深化推进，供给侧改革和“一带一路”建设的推进不断加快，内外部经营环境发生了巨大的变化，在持续经营的过程中，很多领域都面临着合规风险的挑战。鉴于中央企业及其他国有企业海外经营风险频发，其中合规风险更加突出，合规管理逐步成为企业内部控制的关键点。中兴合规事件几乎给企业带来灭顶之灾，也给其它企业敲响了合规的警钟。由此可见，企业要生存，要发展，必须以合规经营为前提，建立健全以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系。

二、什么是合规，什么是合规管理

作为一个合格的公民，日常行为既要遵守基本道德规范，也要遵守法律法规；作为一家上市公司，经营活动既要受证监会、审计署、证券交易所、银监会等众多外部监管机构和社会公众的监督检查，也要遵守《经济法》、《证券法》、《上市公司信息披露管理办法》等各项法律规定，才能避免问责和处罚，实现经营利润。所以，合规管理是经营活动、日常行为开展的前提和基础，要知道什么是合规，从哪些方面做到合规，才能进行有效的合规和内控管理，做好风险应对。

什么是“合规”？什么是“合规管理”呢？

2018年11月份国资委出台的《中央企业合规管理指引（试行）》中对“合规”的定义为：是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。对“合规管理”的定义为：是指以有效防控合规风险为目的，以企业和员工经营管理行为为对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。

接下来，我们以中信银行泄漏客户信息为例，说明违规对企业可能产生的影响。

2020年5月6日，脱口秀演员王越池（艺名“池子”）发布声明指责中信银行泄露其个人账户交易信息。王越池与笑果文化发生经济合约纠纷，笑果文化寄给他的材料中竟然包含其个人的银行账户交易明细，并打印出了近两年的“流水”。对于该行为，中信银行上海虹口支行向他解释为“配合大客户的要求”。5月7日凌晨，中信银行针对该声明发布致歉信称，王越池所反映一事属实，该行员工确向与王越池存在纠纷的上海笑果文化传媒有限公司提供个人收款记录，属于未按规定办理。目前已按制度规定对相关员工予以处分，并对支行行长予以撤职。

中国银保监会反应快速，于2020年5月9日发布通报称，中信银行在未经客户本人授权的情况下，向第三方提供个人银行账户交易明细，违背为存款人保密的原则，涉嫌违反《商业银行法》和银保监会关于个人信息保护的监管规定。银保监会消费者权益保护局对中信银行启动立案调查，严格依法依规查处。面对目前的囧状，中信银行陷入的并不仅仅是公关危机，如果用传统的公关危机进行操作对于中信银行可能无异于扬汤止沸，损害的不仅仅是中信银行的信誉，还有可能严重地影响银行的声誉，遭受监管机构的严厉处罚。

由此可见，建立了再完善的制度，如果没有得到执行或者执行时违反了国家法律法规，最终都会导致制度和执行两张皮，还有可能受到监管机构的惩罚。我们在上期的内容也提到，再简单的制度，只要能用就是好制度，同时还要强调和关注，实用的前提是制度制定以合规为基础，通过将法律法规等外部监管要求转化为企业内部规章制度，持续完善企业内部管理制度体系。在制度由主责部门制订或修订以后，还应通过外部律师、内部法律顾问的合规审查，组织内部相关协作部门参与评审，形成与公司业务相适应、流程相匹配的制度体系，通过执行的监督检查和评估，持续提升合规经营水平，优化提高企业管理能力。

三、内部控制与合规管理的关系

结合合规的定义，我们可以从三个层面理解合规：

 第一个层面，对法律法规的遵循；

 第二个层面，对规章制度的遵循；

 第三个层面，对职业道德的遵循。

从合规的角度判断经济业务是否合理，可能无法全面识别潜在的重大、重要风险。合规管理往往重形式，轻结果，还需借助控制活动和监督评价的工具，以风险管理为导向、合规管理监督为重点，严格规范和诊断业务活动的真实性和合法性。比如每个员工都要发生的费用报销业务，从形式上看，报销的发票是真实的，报销内容在制度规定的范围内，各层级人员的审批签字齐全，但是经济业务的实质如何，是否是必须和实际发生的费用？只从合规的角度并不能给出准确的判断，需要结合内部控制的工具和方法，进一步识别、分析和判断。

根据五部委对内部控制的定义：内控是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。从内控的定义来看，它就是在回答内控管理控什么、谁来控和为什么控的问题。内部控制的目标是建立和完善内控体系，帮助企业提升抵御风险的能力，促进企业以良好健康的姿态实现可持续、稳健的发展。所以，内控既注重过程管理，也注重结果。通过控制环境、风险评估、控制活动、监督、信息与沟通这五大要素，构建起一套完备、有效的内控“免疫系统”。内控的重点在于对风险的防患，最终实现资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略的目标。继续前面说到的费用报销事例，按照合规的要求，报销的程序和内容都合规，是否费用就能支付呢？实际报销时并没有这么简单，财务人员还会按照既定的报销流程，判断发票来源是否真实，报销费用是否符合制度限额要求，报销的要点是否审查全面，业务背景是否合理。对于精细化管理较好的公司，在费用发生前，会要求报销人填写客户招待申请表，经部门负责人、分管领导授权审批后，才能发生相关费用。内控侧重于风险防患，防止坏人干坏事，减少因个人私利产生的企业损失。内控通过合理授权审批，不相容职务分离，表单控制等对潜在风险进行预防，保障业务活动的有序开展，促进制度更完善更合规、流程更高效。

依据《中央企业违规经营投资责任追究实施办法（试行)》（国资委令第37号）规定：“对出现的各类违规违纪违法经营问题，对存在的重大风险隐患、内控缺陷和合规管理等问题，要严肃追究集团的管控责任；对各级子企业未按规定履行内控体系建设职责、未执行或执行不力，以及瞒报、漏报、谎报或迟报重大风险及内控缺陷事件的，坚决追责问责，层层落实内控体系监督责任，有效防止国有资产流失”。根据外部法律规范的要求，内控与合规既有区别又有联系，要构建严格、规范、全面、有效的内控体系，必须将风险管理和合规管理要求嵌入业务流程，促使企业依法合规开展各项经营活动，实现“强内控、防风险、促合规”的管控目标。

四、管理问责案例—中国银保监会开展市场违规行为整治，落实专项整治“回头看”工作

案例简介：

（一）基本情况

2020年6月11日，中国银行保险监督管理委员会（以下简称“银保监会”）公开了《2020年度中国银行保险监督管理委员会部门预算》数据，突出和强调了2020年度执法办案工作的7大重点，其中2大重点是：1、加大案件查处力度，严肃追究重大案件机构的责任，对大案要案依法从重处罚。2、坚持穿透原则。查深查实案件，对涉案业务链条上所有机构的违法违规问题一并查处。银保监会还介绍了2019年的“市场乱象专项治理工作”情况：全年处罚银行保险机构2849家次，处罚责任人员3496人次，罚没合计14.5亿元，内控合规建设取得进展。同时，2020年6月23日，银保监会发布了《中国银保监会关于开展银行业保险业市场乱象整治“回头看”工作的通知》（银保监发〔2020〕27号），这也是继续按照《中国银保监会办公厅关于印发2019年保险中介市场乱象整治工作方案的通知》往前推动、巩固整治成果的相应方案。2020年银保监会持续发力，继续深入开展“巩固治乱象成果，促进合规建设”的专项工作，并对民生银行、农业银行、建设银行多家违规经营的银行机构进行了惩处。

（二）被处罚银行情况

1、农业银行风险管理及内控有效性现场检查发现的向关系人发放信用贷款、贴现资金直接回流至银行承兑汇票出票人等多项违法违规行为，中国银保监会依法对该行罚没合计5315.6万元，并对相关责任人员给予行政处罚。

2、建设银行同业和理财（资管）业务现场检查发现的理财资金违规投资房地产、未做到理财业务与自营业务风险隔离等多项违法违规行为，中国银保监会依法对该行罚款3920万元，并对相关责任人员给予行政处罚，其中，禁止1名责任人员终身从事银行业工作。

3、民生银行违规为房地产企业缴纳土地出让金提供融资、为“四证”不全的房地产项目提供融资等多项违法违规行为，中国银保监会依法对该行罚没合计10782.94万元，并对8名责任人员给予警告并处罚款5万元的行政处罚。

4、浙商银行通过违规发售理财产品实现本行资产虚假出表、同业投资接受金融机构回购承诺等多项违法违规行为，中国银保监会依法对该行罚款10120万元，并对7名责任人员给予警告直至警告并处罚款30万元的行政处罚。

5、广发银行面向不合格个人投资者发行理财产品投资权益性资产、向关系人发放信用贷款等多项违法违规行为，中国银保监会依法对该行罚没合计9283.06万元，并对1名责任人员给予警告并处罚款5万元的行政处罚。

6、华夏银行内控制度执行不到位、生产系统存在重大风险隐患并引发较为严重后果等多项违法违规行为，中国银保监会依法对该行罚款110万元，并对1名责任人员（已被判处刑罚）给予终身禁业的行政处罚，对6名责任人员给予警告直至警告并处罚款10万元的行政处罚。

7、华融公司违规收购个人贷款、违规收购金融机构非不良资产等多项违法违规行为，中国银保监会依法对该公司罚款2040万元，并对2名责任人员给予警告并处罚款5万元的行政处罚。本次行政处罚主要基于前期对华融公司部分商业化业务现场检查发现的违法违规行为，赖小民严重违法违纪案涉及的相关事实由有权机关另案处理。

案例分析：

从处罚的力度和深度来看，银保监会继续保持了对违法违规行为处罚问责的高压态势，合规管理是保障银行体系稳健运行的基础。执法办案时银保监会根据《中华人民共和国银行业监督管理法》《中华人民共和国保险法》授权，对银行业保险业监管履职的重点项目进行检查。针对房地产融资、影子银行和交叉金融业务等金融风险重点领域精准发力，督促相关机构完善公司治理、补齐内控短板、填补合规漏洞。

根据银保监会的通报，下一阶段将重点开展市场乱象整治“回头看”工作，继续严肃查处各类违法违规行为，防止乱象反弹回潮。针对被检查单位检查后放松神经、故态复萌的现象，将深入开展“回头看”工作，形成检查-整改-复查的闭环管理。让各银行保险机构理解和警惕，不是一检查了就完事，“监督不是一阵子”，检查工作针对性更强，针对的是具体的、突出的问题，防止同质同类案件反复发生。各检查单位要根据违规问题及时制定整改方案，明确整改措施、职责分工、进度计划，并深入推进自查自纠，确保“回头看”检查整改落实到位，杜绝屡查屡犯的情况发生。

管理思路：

银保监会依照《中华人民共和国银行业监督管理法》《中华人民共和国保险法》等有关法律法规履行银行业保险业监督管理职责，针对“市场乱象专项治理工作”明确了行动方案的重点，拟定了乱象整治“回头看”的工作计划，对企业内控管理体系建设工作具有巨大的借鉴意义。根据国资委《关于加强中央企业内部控制体系建设与监督工作的实施意见》的要求，内控体系的建立健全，须以风险管理为导向、合规管理监督为重点，内控体系建设过程中合规管理的重点应该包括以下几个方面：

（一） 管理制度的合规

不管是银行业，还是建筑业、制造业，生产经营活动都会受到外部法律法规的约束，都要强调内部规章制度的遵循。内控控制的目标之一就是遵循国家法律法规和有关监管要求，所以制度的合规是内控体系建设的基础。

如何实现制度合规呢？通过全面梳理企业现有内控、风险和合规管理的相关制度，及时将法律法规等外部监管要求转化为企业内部规章制度，持续完善企业内部管理制度体系。这既是国资委文件的刚性要求，也是企业战略目标实现的内在要求。在具体业务制度的制定、审核和修订中嵌入统一的内控体系管控要求，明确重要业务领域和关键环节的控制要求和风险应对措施。将违规经营投资责任追究内容纳入企业内部管理制度中，强化制度执行刚性约束。

（二）流程执行的合规

制度的完善是为了让执行部门更好的执行工作，按照制度办事，做到凡事有章可循。如何更好的执行呢？这需要管理部门和执行部门协作完成，部门与部门之间做好信息传递，包括纵向和横向的信息传递。

1、制度发布后应做好及时的培训与宣贯

管理部门不光要编写制度发布制度，还应对执行部门做好培训与宣传，将制度的要求和程序传达到位，避免信息缺失；除了发布制度外，要收集执行部门的常见问题信息，建立执行合规的管理台账，发布相关的解释或通知，以便执行部门更好的理解制度。

2、制度的执行要有计划、有执行、有检查、有总结分析

要利用管理工具，管理部门不论开展什么工作都要有计划、有执行、有检查、有总结分析，形成闭环。对于执行部门执行的工作在制度中也要有相同的要求，同时将这些要求转化为管理工作的输出结果，如：工作计划表、执行过程资料、检查表、总结分析报告等。通过日常检查、定期考核的方式检验管理动作执行的合规性和遵循性，督促执行部门完善执行。

（三）监督评价体系的制定

有了适应企业发展的制度，建立了可执行的业务流程后，还需要运用定期内部控制评价的方法验证制度设计的合理性和制度执行的合规性、遵循性，通过抽样、访谈、问卷等评价测试方法，对内部控制的有效性进行全面评价，形成评价结论，出具评价报告。《国资发监督规〔2019〕101号》指出，“内控体系建设过程中，要统筹推进内控、风险和合规管理的监督评价工作，将风险、合规管理制度建设及实施情况纳入内控体系监督评价范畴，制定定性与定量相结合的内控缺陷认定标准、风险评估标准和合规评价标准，不断规范监督评价工作程序、标准和方式方法”。

内控体系的建立不仅仅是一本手册的输出，要实现“管理制度化、制度流程化、流程信息化”，还要高度重视内部控制流程的后续建设和评价监督，结合组织架构、控制环境、外部法律法规的变化定期或不定期对内部控制流程、内控制度进行梳理，及时修订、更新和补充，实现内部控制流程和制度对企业防范风险、达到公司战略的目标。

视频：内部控制与合规管理