?1.企業(yè)開展合規(guī)管理的背景是什么？
國際標準化組織（ISO）在2014年12月發(fā)布國際標準ISO19600《合規(guī)管理體系—指南》其中明確規(guī)定：組織宜以適合其規(guī)模、復雜性、結(jié)構(gòu)和運營的方式制定“合規(guī)義務”文件。這是國際上比較規(guī)范的關于合規(guī)管理領域的標準化文件。
我國，此辦法于2022年10月1日起實施。作為我國第一個合規(guī)管理方面的規(guī)章，這個辦法的出臺對于我國企業(yè)的合規(guī)發(fā)展具有里程碑的意義。
國務院國有資產(chǎn)監(jiān)督管理委員會在2022年8月印發(fā)《中央企業(yè)合規(guī)管理辦法》明確規(guī)定：“合規(guī)是指企業(yè)經(jīng)營管理行為和員工履職行為符合國家法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則和國際條約、規(guī)則，以及公司章程、相關規(guī)章制度等要求。降低企業(yè)及其員工在經(jīng)營管理過程中因違規(guī)行為引發(fā)法律責任、造成經(jīng)濟或者聲譽損失以及其他負面影響的可能性?！蓖瑫r，《辦法》規(guī)定：“企業(yè)以有效防控合規(guī)風險為目的，以提升依法合規(guī)經(jīng)營管理水平為導向，以企業(yè)經(jīng)營管理行為和員工履職行為為對象，開展的包括建立合規(guī)制度、完善運行機制、培育合規(guī)文化、強化監(jiān)督問責等有組織、有計劃的管理活動。”
2.合規(guī)管理內(nèi)涵是什么？
在內(nèi)容上，企業(yè)的合規(guī)既包括法律法規(guī)、行業(yè)準則、監(jiān)管制度、國際通用規(guī)則、商業(yè)慣例等外部規(guī)范要求，也包括企業(yè)章程、企業(yè)基本制度、業(yè)務指引、操作規(guī)范等內(nèi)部制度。
在形成上，企業(yè)的合規(guī)具有內(nèi)生性、內(nèi)化性和適配性。
首先，內(nèi)生性體現(xiàn)在將企業(yè)業(yè)務經(jīng)營及管理過程中有效、有益、有用的經(jīng)驗、做法、慣例、操作流程、運行模式或管理要求等內(nèi)生為“規(guī)”，規(guī)制企業(yè)和員工的經(jīng)營管理行為。
其次，內(nèi)化性體現(xiàn)在外規(guī)內(nèi)化，一方面將法律法規(guī)、監(jiān)管制度、行業(yè)規(guī)范、準則等內(nèi)化為內(nèi)部制度，另一方面內(nèi)生的“規(guī)”要符合法律法規(guī)、監(jiān)管制度等國家強制性、指導性規(guī)范要求。
最后，適配性體現(xiàn)在企業(yè)的“規(guī)”需要與企業(yè)性質(zhì)、行業(yè)、戰(zhàn)略、發(fā)展、規(guī)模、結(jié)構(gòu)、運營等內(nèi)外部實際及環(huán)境相適配。
在效果上，合規(guī)具有特定性、目的性和系統(tǒng)性。
首先，特定性體現(xiàn)在企業(yè)的“規(guī)”具有特定對象、特定范圍、特定活動等方面的針對性和指向性，以企業(yè)和員工經(jīng)營管理行為為規(guī)范對象，以企業(yè)經(jīng)營管理為特定范圍，適合有計劃、有組織的企業(yè)組織活動。
其次，目的性體現(xiàn)在合規(guī)是以防控合規(guī)風險為主要目的，指引企業(yè)和員工規(guī)范、有序、安全、有效、穩(wěn)定、高效、有價值的開展經(jīng)營管理活動。
最后，系統(tǒng)性體現(xiàn)在合規(guī)是一套運營管理體系和系統(tǒng)，包括規(guī)范建立、執(zhí)行、監(jiān)督、評價等全方面管理活動。
合規(guī)確保企業(yè)和人員經(jīng)營管理和行為符合“規(guī)”的要求，并建立一套合規(guī)管理體系，防控合規(guī)風險，但合規(guī)側(cè)重于建立標準和規(guī)范、發(fā)現(xiàn)問題、識別風險、合規(guī)評價等方面，處于風險的前端預防、控制和管理，注重結(jié)果評價，不能從實質(zhì)上、根本上解決風險問題。
3.合規(guī)管理的主要功能是什么？

合規(guī)管理的主要功能是防控企業(yè)法律風險，避免因行政處罰或者刑事責任追究而導致企業(yè)被剝奪經(jīng)營資格，遭受嚴厲處罰。
合規(guī)管理對于企業(yè)來說具有促進企業(yè)穩(wěn)健經(jīng)營運行、防范違規(guī)風險、規(guī)范員工行為、防止決策失誤、減少生產(chǎn)安全方面出現(xiàn)的問題等重要意義。
4.合規(guī)管理的定義是什么？

合規(guī)管理是一種通過體系化操作方式管控企業(yè)主體運行中違規(guī)風險漏洞的綜合管理方法。是以企業(yè)主體的適用法律法規(guī)為基礎覆蓋至完善的商業(yè)道德與價值觀的建設。合規(guī)管理強調(diào)適用性，也就是合規(guī)管理體系要適用于企業(yè)，每家企業(yè)的合規(guī)體系都應該符合企業(yè)自身所具備的行業(yè)特征與文化特征。
5.驅(qū)動企業(yè)建立合規(guī)管理體系的外部因素有哪些？

1、外部法律法規(guī)的變化導致企業(yè)某些原本不受限的行為，隨著新法律的頒布變得不合規(guī)了，因此需要建立管理流程以識別這種變化，防范企業(yè)合規(guī)風險；
2、因競爭者、客戶、供應商等不當行為給本企業(yè)帶來合規(guī)風險；
3、監(jiān)管部門、執(zhí)法部門要求本企業(yè)建立和執(zhí)行合規(guī)管理體系；
4、監(jiān)管部門、執(zhí)法部門對已建立合規(guī)管理體系的企業(yè)及高管實行正向激勵；
5、投資者要求本企業(yè)建立合規(guī)管理體系；
6、外部審計師要求本企業(yè)建立合規(guī)管理體系；
7、合規(guī)管理成為一種市場準入門檻，沒有合規(guī)體系將限制企業(yè)的某些市場行為。

6.驅(qū)動企業(yè)建立合規(guī)管理體系的內(nèi)部因素有哪些？

1、企業(yè)內(nèi)部員工為自身利益有意違規(guī)或不作為導致合規(guī)風險發(fā)生；
2、企業(yè)員工自身能力和認識不足，無意識犯錯，產(chǎn)生合規(guī)風險；
3、企業(yè)內(nèi)部代理人的放任、作假等行為，導致合規(guī)風險發(fā)生；
4、企業(yè)內(nèi)部設備、存貨的物理或化學特征，導致資產(chǎn)、事故等合規(guī)風險。

7.合規(guī)管理對企業(yè)的好處？

1、保障企業(yè)合法權益：企業(yè)合規(guī)是一種管理方法，是確保企業(yè)能夠達到合規(guī)目標，實現(xiàn)穩(wěn)健經(jīng)營的有效手段。企業(yè)合規(guī)建設不但有利于保障企業(yè)穩(wěn)健經(jīng)營運行，有效防范違規(guī)風險，也可以避免被別有用心之人損害企業(yè)權益，是企業(yè)保障自身合法利益的有力手段。
2、促進與大型企業(yè)商業(yè)合作：隨著大型國企、外資企業(yè)的合規(guī)體系建設基本完成，很多已經(jīng)完成合規(guī)建設的企業(yè)都在加強對商業(yè)伙伴的合規(guī)管理要求。合規(guī)已經(jīng)成為和這些大型企業(yè)合作的基本條件，如果未達到這些大型企業(yè)的合規(guī)要求，將會在合作過程中承受巨大的損失。因此，合規(guī)體系建設更加有利于企業(yè)在競爭中脫穎而出。
3、為上市和上市后管理提供支持：合規(guī)管理是一種體系化的管理方法。對于有志于上市或上市后良好運行的企業(yè)，合規(guī)可以提供很好的幫助。避免很多企業(yè)臨近上市之時發(fā)現(xiàn)很多難以解決的舊有問題，或者根本無法符合上市條件的情況。對于上市之后的企業(yè)，面臨的監(jiān)管更加復雜，也需要有更好合規(guī)管理支撐。
4、在刑事、行政責任中保護企業(yè)、企業(yè)家：對企業(yè)或企業(yè)家涉嫌刑事犯罪、行政違法行為，現(xiàn)有相應的合規(guī)激勵，可以做到對企業(yè)、企業(yè)家不起訴、減輕從輕或免予處罰，但是這需要企業(yè)能夠切實拿出有效合規(guī)管理的證據(jù)。通過合規(guī)建設可以讓企業(yè)這方面的證據(jù)保留，以便獲取相關合法權益。
5、樹立企業(yè)良好文化形象：合規(guī)可以促使公司形成廉潔、誠信、正直的企業(yè)文化，大大減少企業(yè)內(nèi)部的管理成本，避免內(nèi)部腐敗、欺詐等現(xiàn)象發(fā)生。合規(guī)可以樹立企業(yè)的良好形象，減少對外交流阻礙。企業(yè)可以通過ISO 37301標準認證等方式來展示自身良好的合規(guī)基礎。
6、便于企業(yè)獲取補貼、獎勵：企業(yè)通過完善的合規(guī)體系建設，在獲取行政補貼、獎勵的時候，更加容易獲得監(jiān)管部門的認可和接受，避免監(jiān)管部門的疑慮。同時通過合規(guī)管理，在準備相關申請材料中能夠做到更多有效展示。

8.央企合規(guī)管理辦法要點有哪些？

國務院國資委于2022年8月23日出臺的《中央企業(yè)合規(guī)管理辦法》大致包含以下幾點：
以制度建設構(gòu)建合規(guī)體系突出合規(guī)管理重點領域，在合規(guī)管理基本制度要求構(gòu)建分級分類合規(guī)制度體系。以制度建設取代以往的合規(guī)管理重點，并且規(guī)范制度體系的構(gòu)建邏輯，合規(guī)重點領域的制定專項指南。
合規(guī)管理，管理為重——合規(guī)人員要有靈活運用管理經(jīng)驗的能力，隨時間加強、加深、拓寬管理。并不是機械的遵循指引。
運行機制：企業(yè)首先設立風險識別預警機制，建立并且定期更新合規(guī)風險庫，同時將風險嵌入業(yè)務流程，在流程中進行合規(guī)審查。
及時建立應對措施，并向相關合規(guī)部門報告，企業(yè)遇到重大合規(guī)風險事件，需要首席合規(guī)官報告國資委，一般事件由合規(guī)管理人員向首席合規(guī)官報告。同時設計相關舉報平臺，并發(fā)揮法務、風控、內(nèi)控的協(xié)同機制，提高管理效能。
建立定期開展合規(guī)管理體系有效性評價機制，重點專項評價機制，評價結(jié)果用于合規(guī)管理體系的改進、完善。
針對違規(guī)行為，需要建立相關的規(guī)則問責機制，包括責任范圍，問責標準，根據(jù)違規(guī)行為要納入考核。

9.企業(yè)如何避免相關違規(guī)行為再次發(fā)生？

1、加強公司的合規(guī)意識，建立起公司的合規(guī)文化與價值。當前國內(nèi)企業(yè)合規(guī)工作面臨著挑戰(zhàn)，經(jīng)濟全球化對中國公司合規(guī)的要求越來越高。管理層要加強對公司合規(guī)管理的理解與認識并廣泛宣傳，要讓合規(guī)的觀念和意識滲透到公司經(jīng)營管理的每個環(huán)節(jié)。公司要把對員工進行合規(guī)教育與培訓作為職業(yè)培訓的主要內(nèi)容之一，讓合規(guī)的觀念與意識普及到每位員工，在公司上下建立起完整的合規(guī)文化與價值體系。
2、建立健全公司內(nèi)部的各種規(guī)章制度。結(jié)合本公司實際情況，建立一套能夠落地的、有效率的、能夠被廣大員工認同的管理制度、機制與體系。其中最重要的一點，就是如何形成有效的管理架構(gòu)，特別是要理順合規(guī)部門與相關部門的關系。采取分工負責、齊抓共管、協(xié)同聯(lián)動的方式，來解決公司運營中出現(xiàn)的問題。公司要把恪守商業(yè)道德，遵守法律法規(guī)，完善合規(guī)管理體系作為公司管理的目標。財務管理制度、用工管理制度、合同管理制度、審計監(jiān)督管理制度等要統(tǒng)一納入公司運營的具體流程中。公司要注重各個制度之間的銜接，真正做到法商融合，在開展業(yè)務的過程中，合規(guī)管理和業(yè)務緊密結(jié)合。將各個合規(guī)管理的節(jié)點納入整個業(yè)務流程之中，一方面可以減少人為因素的干擾；另一方面也可以節(jié)省時間成本，使合規(guī)管理工作順利進行。通過一系列公司規(guī)章制度的建立與實施，真正做到制度管人，人人合規(guī)，事事合規(guī)，有效避免、減少、及時應對公司在經(jīng)營管理中的各種風險。
3、建立和完善公司內(nèi)部的考核機制和監(jiān)督檢查機制。公司要逐漸完善考核機制，增加合規(guī)和風險考核的內(nèi)容，實行效率與安全并重。如果一味地追求業(yè)務指標，而忽視合規(guī)和風險指標，毫無疑問會增加公司的運營風險。一旦風險發(fā)生，勢必增大公司的運營成本。業(yè)務指標和合規(guī)指標并重的考核機制，才是完善的公司考核機制。合規(guī)風險的有效管控應與公司主要領導及管理人員的個人考評掛鉤，真正做到合規(guī)管理責任到人。為避免違規(guī)行為再次發(fā)生，公司要建立起完善的監(jiān)督檢查制度及違規(guī)罰則，要建立起嚴格的責任追究制度。要明確審計部門與其他部門之間的職責劃分，各負其責。在公司日常運營過程中，對于不合規(guī)的公司管理人員、員工，公司要及時予以糾正、處罰。上述制度的建立和實施，不僅可以罰當其則，增強相關人員的合規(guī)意識，而且也能夠?qū)镜钠渌芾砣藛T和員工起到很好的警示作用。

10.合規(guī)管理體系與ESG評級體系的關系是怎樣的？

ISO37301:2021《合規(guī)管理體系要求及使用指南》是由ISO/TC技術委員會編制，于2021年4月發(fā)布和實施，適用于全球任何類型規(guī)模性質(zhì)行業(yè)的組織。
而ESG是從環(huán)境、社會和公司治理三個維度，評估企業(yè)經(jīng)營的可持續(xù)性與對社會價值觀念的影響。
ISO37301規(guī)定了組織建立運行保持和改進合規(guī)管理體系的要求，并提供實用指南，為各類組織提高自身的合規(guī)管理能力提供系統(tǒng)方法。采用PDCA理念覆蓋了合規(guī)管理體系建立、運行、保持和改進全流程，基于合規(guī)治理原則為組織建立并運行合規(guī)管理體系，傳播積極的合規(guī)文化，提供了整套解決方案。
ESG評級的工作流程主要由三部分組成，一是數(shù)據(jù)采集和信息歸納，二是指標設置、評分評級和形成評級結(jié)果，三是將評級結(jié)果指數(shù)化，從而形成服務投資的產(chǎn)品。
合規(guī)管理體系與ESG評價體系是相輔相成的，2022年6月1日起正式實施的國內(nèi)首個企業(yè)ESG披露標準內(nèi)專門有關于合規(guī)管理的部分，如供應商管理、商業(yè)道德等內(nèi)容，均可與將ESG與合規(guī)管理做出相關連接。

11.企業(yè)如何選擇并確定合規(guī)重點領域？

企業(yè)在確定合規(guī)重點領域時，可以先對本企業(yè)面臨的各類風險進行優(yōu)先級排序，將（1）風險較大的業(yè)務活動、（2）治理層所關心的重要領域以及（3）經(jīng)營管理活動中面臨的首要問題作為合規(guī)重點領域。
在劃定合規(guī)管理重點領域范圍的基礎上，對于合規(guī)風險高、影響范圍大、合規(guī)管理空白的領域應優(yōu)先制定完善合規(guī)管理制度及管控措施。企業(yè)應根據(jù)風險識別情況結(jié)合企業(yè)類型、所處行業(yè)等因素確定符合企業(yè)合規(guī)管理要求的其他重點領域。
企業(yè)應建立定期的合規(guī)風險識別評估機制，全面系統(tǒng)梳理經(jīng)營管理活動中存在的合規(guī)風險，對風險發(fā)生的可能性、影響程度、潛在后果等進行系統(tǒng)分析，并進行分級分類管理。對于典型性、普遍性、可能產(chǎn)生嚴重后果或影響范圍大的風險應納入合規(guī)重點領域并及時發(fā)布預警。

12.什么是合規(guī)《行為準則》？

合規(guī)《行為準則》主要是指員工在日常經(jīng)營行為中應遵守并滿足堅持誠信合規(guī)、維護公平競爭、防止腐敗賄賂、禁止內(nèi)幕交易、回避利益沖突、保守商業(yè)秘密等方面的合規(guī)要求。
合規(guī)《行為準則》是綱領性文件，在合規(guī)體系中有著類似“根本法”的獨特地位。它對所有合規(guī)相關工作都具有指導性，對組織的全體成員都具有約束力（包括管理層，員工，甚至供應商等）。
因此，在制定《行為準則》時組織應綜合考慮企業(yè)文化、核心價值觀、公司業(yè)務范圍等內(nèi)部因素，同時還應認真研究行業(yè)情況，相關法律法規(guī)政策等外部環(huán)境，在內(nèi)容中還應體現(xiàn)出公司最高管理級別的合規(guī)態(tài)度、承諾和要求，以及相關違反的處理、后果等。

13.合規(guī)行為準則與合規(guī)管理制度的聯(lián)系？

合規(guī)行為準則在合規(guī)制度體系中占據(jù)著重要地位。
合規(guī)管理制度總體上包括兩部分：管理規(guī)范和行為規(guī)范。前者主要體現(xiàn)為合規(guī)工作管理辦法及配套實施細則，具體內(nèi)容是明確部門及其職責、具體工作內(nèi)容和要求、相應獎懲機制等等。后者主要是作為行為總規(guī)范的合規(guī)準則及重點領域的合規(guī)指引文件等。
所以也可以說，合規(guī)行為準則是合規(guī)管理制度體系的一部分！

14.什么是“外規(guī)內(nèi)化”？企業(yè)如何做好“外規(guī)內(nèi)化”工作？

外規(guī)內(nèi)化是指將外部有關合規(guī)要求轉(zhuǎn)化為內(nèi)部規(guī)章制度的一種行為。要求企業(yè)動態(tài)、及時更新完善企業(yè)規(guī)章制度，按照合規(guī)管理的要求，不斷完善以企業(yè)章程為核心的企業(yè)制度體系。
企業(yè)根據(jù)外部法規(guī)環(huán)境變化的情況，不斷修訂完善企業(yè)規(guī)章制度是企業(yè)外規(guī)內(nèi)化的關鍵環(huán)節(jié)，企業(yè)應把梳理的內(nèi)外部合規(guī)要求落實在具體的規(guī)章制度中。

15.什么是合規(guī)風險識別？

企業(yè)在運營過程中對于存在的或可能發(fā)生的風險源進行分析、研判，并收集整理、辨別對應的風險事件或所有風險點，形成合規(guī)風險列表，并對風險列表加以描述、評估，以進一步對合規(guī)風險進行監(jiān)測和控制的系統(tǒng)性活動就是風險識別活動。
企業(yè)的風險識別活動是企業(yè)合規(guī)體系建設的基礎性條件，反過來說，合規(guī)管理活動主要是針對識別出來的風險點來進行控制的。

16.合規(guī)風險識別一般遵循哪些步驟？

合規(guī)風險的識別以合規(guī)義務為基礎，合規(guī)風險識別、風險更新應從風險發(fā)生可能性、風險發(fā)生后果嚴重程度兩個維度進行，通過收集梳理相關合規(guī)風險點、分析合規(guī)風險形成或產(chǎn)生的原因、對合規(guī)風險進行分類評估。

17.合規(guī)風險識別的工具/方法有哪些？

（1）頭腦風暴法。是將一些人聚集起來，通過彼此的溝通交流、想法、建議、意見的表達等讓大家的思想發(fā)生碰撞，為團隊工作找出問題和機會，從而產(chǎn)生 1+1>2 的效果。
（2）專家調(diào)查法。會有相應的風險小組，挑選一些相關領域的專家，征求專家的意見，然后綜合匯總整理再反饋給專家，再次征求意見，反復進行4～5輪，最終專家們的意見會趨于一致，達成共識。
（3）情景分析法。通過對公司內(nèi)外相關問題，進行系統(tǒng)分析，設計出多種可能的未來情景。基于設計的場景識別關鍵影響因素，基于該因素可能發(fā)生的場景，進行場景內(nèi)容的分析，進而發(fā)現(xiàn)風險可能造成的后果。
（4）核對表法。將項目范圍、目標、成本、質(zhì)量要求、進度、類似項目成功或失敗的原因等列在一張表上，進行一一核對。這種方法可以識別到進度風險、成本風險、質(zhì)量風險等。
（5）流程圖法。流程圖需要建立項目的全鏈路流程圖以及各子域流程圖，可涵蓋項目的整體流程以及分支細節(jié)。再通過將實際情況與流程圖一一對比，便可識別風險。
（6）財務報表法。通過分析三大財務報表可以識別項目中是否存在財務風險、人事風險等，這些對企業(yè)來說都是至關重要的。
（7）SWOT分析法。SWOT分析法是一種系統(tǒng)分析工具，通過識別企業(yè)面臨的優(yōu)勢、劣勢、機會以及成本，從多角度對公司面臨的風險進行定性識別。
（8）事故樹分析法。是系統(tǒng)安全分析中最重要的定量分析方法之一，運用邏輯推理對企業(yè)各種系統(tǒng)的危險點進行辨識和評價，不僅能分析出發(fā)生事故的直接原因，而且能深入地揭示事故發(fā)生的潛在原因。

18.什么是合規(guī)聯(lián)席會議？

合規(guī)聯(lián)席會議是指企業(yè)為充分溝通合規(guī)風險信息，由合規(guī)管理負責人負責召集和主持，并聯(lián)合多部門圍繞合規(guī)風險內(nèi)容，通過定期會議等形式研究、協(xié)商、指導、共享、部署跨部門的合規(guī)管理各項工作的會議。
合規(guī)聯(lián)席會議不是一個決策機構(gòu)，而是一個溝通機構(gòu)，通過定期召開聯(lián)席會議的方式，將多個涉及合規(guī)的部門集中在一起，就合規(guī)管理中出現(xiàn)的問題進行統(tǒng)一協(xié)商、共同研究、征求意見、工作協(xié)調(diào)的一種機制。
合規(guī)聯(lián)席會議的討論結(jié)果，為企業(yè)合規(guī)體系的建設、完善、優(yōu)化提供依據(jù)，是合規(guī)管理的重要一環(huán)。

19.如何建立合規(guī)聯(lián)席會議機制？

第一，確定聯(lián)席會議的參與部門及人員名單。一般來看，涉及到企業(yè)管理各個層面的部門以及相關高層領導都屬于合規(guī)聯(lián)席會議的成員。但是企業(yè)可以根據(jù)每次合規(guī)主題的不同，選擇不同的部門與人員參與某次聯(lián)席會議。
第二，明確聯(lián)席會議的主要職責。由于聯(lián)席會議主要是討論、協(xié)商、參謀機構(gòu)，聯(lián)席會議的名稱也大致表明了聯(lián)席會的主要職責中沒有決策。因此，聯(lián)席會的主要職責應該將除決策之外的其他職責明確出來，這樣參與部門與參與人員在會前都會有所準備。
第三，明確聯(lián)席會議的工作規(guī)則。由于聯(lián)席會議的討論、協(xié)商與參謀特征，因此聯(lián)席會議的工作規(guī)則要根據(jù)這幾類功能分別確定工作規(guī)則。需要注意的是，聯(lián)席會議的工作規(guī)則包括會議規(guī)則與休會規(guī)則。其中，會議規(guī)則是會議召開過程中對相關合規(guī)問題討論、協(xié)商的基本程序與過程。休會規(guī)則是在未召開會議期間，各個參與部門與成員應該承擔的相關責任。
第四，確定各部門合規(guī)工作職責范圍，加強協(xié)同配合。應該說，企業(yè)不同部門在聯(lián)席會議中的職責范圍是不同的，業(yè)務部門、風控部門、法律部門都應該在各自合規(guī)工作范圍內(nèi)，確定自己在合規(guī)聯(lián)席會議中的職責范圍。

20.什么是合規(guī)風險應對？一般有哪些措施？

合規(guī)風險應對是指企業(yè)及各下屬企業(yè)針對發(fā)現(xiàn)的合規(guī)風險制定風險控制預案，充分調(diào)動各相關部門要求其協(xié)同配合，采取有效控制措施，及時應對處置，最大限度化解風險、降低企業(yè)損失的行為。
合規(guī)風險應對主要有五種措施，包括：規(guī)避風險、降低風險、轉(zhuǎn)移風險、接受風險、對沖風險等措施。
規(guī)避風險。是一種有意識的避免某種特定風險發(fā)生的一種決策。比如，如果一個人怕出門遇到車禍，那么就干脆不出門了。規(guī)避的風險在企業(yè)中屬于重大風險，比如法律風險就如此，企業(yè)絕對不能做違法的事情。
降低風險。指采取各種措施減少風險實現(xiàn)的概率及經(jīng)濟損失的程度。這種行動可以在損失發(fā)生之前、之中和之后采取。還是舉剛才那個案例，如果一個人怕出門遇到交通事故，但是又不得不出門，那么他就可以通過遵守交通規(guī)則、不闖紅燈、不橫穿馬路等行為，降低交通事故發(fā)生的概率。
轉(zhuǎn)移風險。指的是風險的承擔者通過若干經(jīng)濟和技術手段將風險轉(zhuǎn)移給他人承擔。比如說企業(yè)如果認為持有一件資產(chǎn)存在貶值的風險，那么就會傾向于將資產(chǎn)賣掉?；蛘咄ㄟ^購買財產(chǎn)保險，以備將來發(fā)生火災時，將風險轉(zhuǎn)移給保險公司。
接受風險。指的是風險暴露者自己承擔風險并以自身財產(chǎn)來彌補損失。這種選擇可以理解為，明知道做這件事有風險，但是覺得自己可以接受這種風險，因此對這種風險的可能發(fā)生，并不采取任何應對措施。
對沖風險。指的是通過投資組合的多元化來分散投資風險。風險對沖的原則就是使整體風險最小而收益最大。

21.什么是合規(guī)審查？

企業(yè)合規(guī)審查，是指為保證企業(yè)經(jīng)營管理活動的合規(guī)性，對企業(yè)的經(jīng)營管理活動是否合規(guī)進行審核檢查，包括對違規(guī)整改、合規(guī)持續(xù)改進情況的審查。它不僅是執(zhí)法機關、司法機關（我國現(xiàn)階段主要是檢察機關）在辦理案件中，對企業(yè)合規(guī)整改情況考察的重要手段，更是企業(yè)在主動合規(guī)過程中，確保合規(guī)管理效果的重要內(nèi)容。

22.合規(guī)審查是否等同于法律審查？

合規(guī)審查雖然是執(zhí)法機關、司法機關在辦理案件中的主要手段，但是它與法律審查并不能完全劃等號。二者的不同主要集中在：
（1）合規(guī)審查強調(diào)對企業(yè)經(jīng)營活動的全面審查，其范圍要遠遠廣于法律審查，并包括法律審查；
（2）合規(guī)審查是對企業(yè)所有合規(guī)規(guī)范予以審查，但法律審查僅在法律法規(guī)實務領域?qū)彶椤?br />
23.哪些環(huán)節(jié)是合規(guī)管理的重點環(huán)節(jié)？

合規(guī)管理應覆蓋的重點環(huán)節(jié)主要包括制度制訂環(huán)節(jié)、決策環(huán)節(jié)、生產(chǎn)運營環(huán)節(jié)以及企業(yè)認定的其他重點環(huán)節(jié)。
制度制定環(huán)節(jié)：主要包括制度體系能否覆蓋企業(yè)的所有決策管理環(huán)節(jié)（全面性）、制度體系是否符合行業(yè)特征以及企業(yè)特征（適合性）、制度制定過程是否符合企業(yè)制度管理的要求（程序性）。
決策環(huán)節(jié)：主要指企業(yè)四會一層在決策過程中是否符合法定程序、企業(yè)決策事項（三重一大）是否清晰。
生產(chǎn)運營環(huán)節(jié)：主要是指生產(chǎn)運營過程是否符合制度管理中的程序要求、是否在作業(yè)中符合行業(yè)規(guī)定或者公司制定的作業(yè)標準。
其他重點環(huán)節(jié)：企業(yè)認為其他可能給企業(yè)帶來重大不合規(guī)行為的環(huán)節(jié)，都應該制定相應的合規(guī)規(guī)定，并遵照執(zhí)行。
企業(yè)合規(guī)管理的重點環(huán)節(jié)應覆蓋企業(yè)合規(guī)管理的重點人員，主要包括決策管理人員、重要風險崗位人員、海外人員以及企業(yè)認定的其他重點人員。

24.什么是專項合規(guī)管理制度？

專項合規(guī)管理制度是針對重點領域制定的管理制度，如反壟斷合規(guī)制度、反腐敗合規(guī)制度、數(shù)據(jù)保護合規(guī)制度、安全生產(chǎn)合規(guī)制度、勞動用工合規(guī)制度、稅務管理合規(guī)制度等。
在全面合規(guī)體系建立之前，企業(yè)可以就本企業(yè)已經(jīng)發(fā)生、或者可能發(fā)生、或者發(fā)生后影響較大的重點領域，單獨建設合規(guī)管理體系，通過合規(guī)管理制度、合規(guī)管理組織的方式，予以控制，避免不合規(guī)事項的發(fā)生或者再次發(fā)生。

25.建立合規(guī)管理制度的基本原則是什么？

結(jié)合我國企業(yè)近年合規(guī)體系建設的實踐經(jīng)驗，《合規(guī)辦法》對于合規(guī)管理的內(nèi)容有了更清晰的分類表達，包括“建立合規(guī)制度、完善運行機制、培育合規(guī)文化、強化監(jiān)督問責”等方面。
建立健全合規(guī)管理制度，可以參考以下幾項原則：
風險導向：合規(guī)管理制度建設的重點作用是規(guī)避風險，針對可能發(fā)生不合規(guī)的領域，建設基于風險管理的制度體系。因此也可以說，建立合規(guī)制度之前，首先就要識別與分析企業(yè)決策經(jīng)營過程中的風險點。
公正公開：制度的建設就是要適合企業(yè)特征，另外還需要在企業(yè)內(nèi)執(zhí)行。因此制度制定前、制定中一定要公開征求各方面意見，不能搞私下主義、更不能搞一言堂，必要時還要征求外部專家的意見。在制度頒發(fā)后，更要公開制度，主動開展培訓宣貫，推動制度的落地實施。
實用有效：企業(yè)制度一定要符合行業(yè)特征要求、更要適合于企業(yè)運營實際，因此一定要注意，在企業(yè)制度建設過程中不要照抄照搬，不能把其他企業(yè)的先進制度簡單的搬過來，只有這樣才能滿足對企業(yè)管理的實用性與有效性。
通俗易懂：制度是給人看的，要能保證公司內(nèi)大多數(shù)員工能夠讀懂制度、理解制度。因此編寫制度的語言一定要通俗易懂、簡單明了，讓每位員工都能理解制度的具體要求與內(nèi)涵。
適度合理：企業(yè)的風險是隨時存在的，如果要在沒有任何風險的情況下開展決策經(jīng)營，那么企業(yè)為了控制風險的成本就會無限擴大，并不符合企業(yè)經(jīng)營風險的基本原則。因此企業(yè)制度一定要適度合理，不能為了過分控制風險而無限制提高運營成本、降低決策效率。
與時俱進：與時俱進的意思是制度建設并不是建完以后就一直沿用下去，還應該根據(jù)外部的政策環(huán)境變化、企業(yè)內(nèi)部的組織流程變革、企業(yè)管理水平的提高，不斷的對制度進行更新與完善，這樣才能符合企業(yè)合規(guī)管理的要求。

26.合規(guī)管理需要建立信息化系統(tǒng)嗎？

需要。根據(jù)合規(guī)管理信息化建設的基本要求，主要包含以下五點：
一是建立合規(guī)風險識別評估預警機制，全面梳理經(jīng)營管理活動中的合規(guī)風險，建立并定期更新合規(guī)風險數(shù)據(jù)庫，對風險發(fā)生的可能性、影響程度、潛在后果等進行分析，對典型性、普遍性或者可能產(chǎn)生嚴重后果的風險及時預警；
二是加強合規(guī)管理信息化建設的主要內(nèi)容，包括研發(fā)和建立合規(guī)制度、典型案例、合規(guī)培訓、違規(guī)行為記錄等信息系統(tǒng)；
三是定期梳理業(yè)務流程，查找合規(guī)風險點，運用信息化手段將合規(guī)要求和防控措施嵌入流程，針對關鍵節(jié)點加強合規(guī)審查，強化過程管控；
四是加強合規(guī)管理信息系統(tǒng)與財務、投資、采購等其他信息系統(tǒng)的互聯(lián)互通，實現(xiàn)數(shù)據(jù)共用共享；
五是利用大數(shù)據(jù)等技術，加強對重點領域、關鍵節(jié)點的實時動態(tài)監(jiān)測，實現(xiàn)合規(guī)風險即時預警、快速處置。這些規(guī)定和要求為合規(guī)管理信息化建設明確了目標和方向、實現(xiàn)路徑和運營方式，使合規(guī)管理信息化建設成為合規(guī)管理不可或缺的工具和手段。

27.合規(guī)信息化系統(tǒng)可以與其他系統(tǒng)兼容嗎？

可以。合規(guī)信息化建設是對原有信息化系統(tǒng)進行優(yōu)化和改造。同時，在國務院國資委發(fā)布42號令第三十五條也強調(diào)，中央企業(yè)應當加強合規(guī)管理信息系統(tǒng)與財務、投資、采購等其他信息系統(tǒng)的互聯(lián)互通，實現(xiàn)數(shù)據(jù)共用共享。

28.如何建立合規(guī)信息化系統(tǒng)？

企業(yè)應先建立合規(guī)管理體系，再委托第三方中介機構(gòu)通過規(guī)則嵌入流程，配合多種分析工具（如指標、模型、人工智能等），結(jié)合大數(shù)據(jù)中心以及內(nèi)外部數(shù)據(jù)采集的支持，建立合規(guī)體系的信息化管理。
從這方面來看，合規(guī)管理體系是信息化系統(tǒng)建設的基礎，信息化系統(tǒng)是合規(guī)管理落地實施的手段和方法，可以使合規(guī)管理更加高效與準確。

29.什么是合規(guī)義務？合規(guī)義務如何分類？

合規(guī)義務，是企業(yè)應遵守的合規(guī)要求和合規(guī)承諾總和。
合規(guī)要求是強制性的，不以企業(yè)意志為轉(zhuǎn)移。主要是從外部的法律法規(guī)、地方性規(guī)章、行業(yè)標準與規(guī)定中提取并演化出來的。這些合規(guī)要求是企業(yè)基本的合規(guī)義務，任何企業(yè)都應該遵守的。
合規(guī)承諾是非強制的，但一經(jīng)企業(yè)做出，便具有約束力。合規(guī)承諾主要是從企業(yè)的愿景、使命、價值觀中提煉并演化出來的，包括企業(yè)內(nèi)部的規(guī)章制度以及行為規(guī)范，也是企業(yè)自愿遵守的，高于法律約束的管理準則與行為準則。
從以上分類可以看出，企業(yè)的合規(guī)義務在實踐中主要包括三方面。一是企業(yè)應遵守的法律法規(guī)，含國際法律、慣例；二是企業(yè)應遵循的內(nèi)部規(guī)章制度；三是企業(yè)應遵照的職業(yè)道德規(guī)范。在國有企業(yè)中，黨規(guī)黨紀也是當然的合規(guī)義務之一。

30.企業(yè)確定自己合規(guī)義務的難點在哪里？

企業(yè)承諾的合規(guī)義務，是企業(yè)合規(guī)管理的基礎，因此確定合規(guī)義務就顯得非常重要，也是合規(guī)體系建設的前置性條件，但是在合規(guī)義務確定中，企業(yè)卻會面臨著不同的難點，主要體現(xiàn)在以下方面：
（1）合規(guī)義務的數(shù)量問題
我們在上題已經(jīng)說過，合規(guī)義務來源于外部合規(guī)要求以及內(nèi)部的合規(guī)承諾，僅僅從外部的合規(guī)要求來看，法律法規(guī)、地方規(guī)章、行業(yè)標準等都是企業(yè)提取外部合規(guī)要求的依據(jù)，而這些法律法規(guī)、規(guī)章標準數(shù)量龐大，如果沒有專業(yè)人員的參與，很難從這些數(shù)量龐大的法律文件中識別適合于本企業(yè)的合規(guī)要求。
（2）合規(guī)義務的變動性
在數(shù)量龐大的同時，外部的法律法規(guī)與行業(yè)規(guī)章又不是一成不變的，隨著時代的發(fā)展以及法治建設的進程，外部對企業(yè)合規(guī)提出的要求會隨時發(fā)生變化，需要企業(yè)及時提取外部合規(guī)要求的變化，更新企業(yè)自身的合規(guī)風險庫。
同時，企業(yè)內(nèi)部的管理也是根據(jù)企業(yè)的導向以及管理水平隨時變化，因此內(nèi)部的合規(guī)承諾也應該在這個基礎上隨時調(diào)整，以使自己的合規(guī)承諾適合于企業(yè)管理的現(xiàn)狀。
這種隨時變動的特征，也給企業(yè)的合規(guī)義務管理帶來了很大的困難。因此，企業(yè)也應該建立合規(guī)義務的動態(tài)管理機制，保證合規(guī)義務符合企業(yè)合規(guī)管理的要求。

31.企業(yè)合規(guī)管理的風險與企業(yè)風險管理、內(nèi)控管理的風險是一致的嗎？

在企業(yè)內(nèi)控理念中，風險是一個令人厭惡的詞匯，對于內(nèi)控理念中出現(xiàn)的風險點，需要企業(yè)采取措施予以控制。
在企業(yè)風險管理概念中，風險本身是個中性詞，既包含威脅，也包含機會。企業(yè)在風險管理中，應該遵循風險經(jīng)營的理念，對不同的風險采取不同的處置措施。
在合規(guī)管理中，風險只包含威脅。合規(guī)風險，其實就是不合規(guī)造成的負面影響。對于合規(guī)管理中的風險，企業(yè)應該通過各種方式予以規(guī)避，避免風險的發(fā)生。從這個意義來看，合規(guī)風險與內(nèi)控風險具有大致一致的思想范圍。

32.什么是合規(guī)培訓？

合規(guī)培訓是指為使企業(yè)員工掌握應知的合規(guī)知識、規(guī)則和風險防控要求而開展的培訓活動。
合規(guī)培訓，一般可分為面授培訓與網(wǎng)絡培訓。面授培訓是大家可以在一起做案例討論，然后因為有人的參與和互動在里面，所以更適合做成像研討性質(zhì)的，引導大家去思考。另外面授培訓一般都是定制培訓。而網(wǎng)絡培訓多為標準化培訓，后者好處在于可以打破時間地域的局限性，也可以綜合地運用圖片、動畫、視頻等方式。
一般的合規(guī)培訓都是由企業(yè)專門的合規(guī)官開展實施。合規(guī)官有豐富的專業(yè)知識儲備，能夠促使培訓對象深入、透徹地了解合規(guī)風險及具體的防范措施。

33.合規(guī)培訓的目的是什么？

合規(guī)培訓是為了增強企業(yè)員工全員合規(guī)意識，加強對合規(guī)經(jīng)營的學習領會和對合規(guī)工作常態(tài)化管理，更好地落實企業(yè)合規(guī)政策，有效防范和降低企業(yè)經(jīng)營中的合規(guī)風險，實現(xiàn)全體員工從“要我合規(guī)”向“我要合規(guī)”的積極轉(zhuǎn)變。
從這方面來看，合規(guī)培訓的目標是要在員工中建立起合規(guī)文化理念，通過合規(guī)文化的建設，讓員工形成自主合規(guī)的思想意識與行為習慣。

34.哪些部門需要參加到合規(guī)審查中去？

業(yè)務部門及為業(yè)務工作開展提供支持的職能部門是合規(guī)風險管理第一道防線以及第一責任主體，應當在本部門領域和職責范圍內(nèi)開展全面、專業(yè)合規(guī)審查。
合規(guī)管理牽頭部門負責對各部門提起的合規(guī)審查事項進行程序性審查。這是企業(yè)合規(guī)管理的第二道防線。
審計監(jiān)察部門負責通過審計監(jiān)督的方式，監(jiān)督合規(guī)體系落實的情況，已經(jīng)合規(guī)體系的適合性。對于合規(guī)體系的不適合性以及不能落實的部分，審計監(jiān)察部門應提出審計整改要求，要求企業(yè)的合規(guī)主體進行改正。也是企業(yè)合規(guī)的第三道防線，也是最后一道防線。

35.什么是合規(guī)管理中的容錯免責？

容錯免責是指把是否依法合規(guī)作為免責認定的重要依據(jù)，在依法合規(guī)的情況下寬容員工出現(xiàn)的失誤、過失、過錯與偏差行為?！吨醒肫髽I(yè)違規(guī)經(jīng)營投資責任追究實施辦法（試行）》也對“容錯免責”進行了規(guī)定：對中央企業(yè)經(jīng)營管理有關人員在企業(yè)改革發(fā)展中所出現(xiàn)的失誤，不屬于有令不行、有禁不止、不當謀利、主觀故意、獨斷專行等的，根據(jù)有關規(guī)定和程序予以容錯。
從政策角度來看，隨著國有企業(yè)合規(guī)體系的持續(xù)完善與發(fā)展，合規(guī)管理中的“容錯免責”機制是需要逐步建立并不斷完善的。

36.為什么要建立合規(guī)管理的舉報制度？

根據(jù)2022年4月19日國家相關部委印發(fā)的《涉案企業(yè)合規(guī)建設、評估和審查辦法（試行）》，目前司法機關試點的刑事合規(guī)不起訴的政策中，企業(yè)是否已經(jīng)建立或者能夠建立起有效的合規(guī)體系是司法機關做出是否對企業(yè)法人發(fā)起刑事訴訟的重要考量因素之一。而企業(yè)有效合規(guī)計劃中內(nèi)部舉報制度又是必不可少的組成部分，同時內(nèi)部舉報制度也是企業(yè)能夠有效發(fā)現(xiàn)和防范企業(yè)不當行為的重要方式。
合規(guī)管理要求企業(yè)建立起內(nèi)部舉報制度有兩點優(yōu)勢：
第一，企業(yè)內(nèi)部員工往往最容易發(fā)現(xiàn)企業(yè)中存在的違法違規(guī)行為，從事生產(chǎn)、經(jīng)營、會計、營銷等職能的員工對所服務企業(yè)及所在部門存在的不當行為最為了解，而當這種不當行為被越早的揭露，越能把公司所涉及的法律風險和可能造成經(jīng)濟損失的可能性降到最低。
第二，企業(yè)內(nèi)部舉報機制本身也是判斷公司內(nèi)部合規(guī)制度是否完整與有效重要標準。建立起順暢有效的內(nèi)部舉報制度，可以使企業(yè)及時了解公司在經(jīng)營決策過程中存在的不合規(guī)問題，并能迅速進行展開應對與整改，這也能使公司避免風險無限制擴大、甚至面臨“失控”的局面。

37.合規(guī)管理舉報制度的渠道與方式是什么？

企業(yè)可以根據(jù)自身情況與特點，設立違規(guī)問題反映的專門渠道，確立合規(guī)調(diào)查基本方式和程序，由合規(guī)管理牽頭部門負責維護運行以及相關線索的后續(xù)跟進處理。發(fā)現(xiàn)問題線索涉及違紀違法的，合規(guī)管理牽頭部門應將問題線索及材料移送紀檢監(jiān)察部門等有關單位。
合規(guī)問題舉報渠道的方式主要有以下幾種：
舉報熱線：企業(yè)建立專門的舉報電話，由專人接聽舉報人的電話；
舉報郵箱、信箱：企業(yè)建立專門的舉報郵箱、信箱，并向全體員工或者利益相關人公布，定期檢查舉報內(nèi)容；
公開討論：企業(yè)建立起公開討論的機制，以公司紀檢部門與公司高層為主，邀請相關員工與利益相關人，就公司內(nèi)部運營中的違規(guī)問題開展公開討論；
總經(jīng)理接待日：一定周期總經(jīng)理會面對全體員工，接待員工反映的問題；
第三方機構(gòu)專門負責：企業(yè)可以委托第三方機構(gòu)接收員工反映問題，這樣可以利用第三方機構(gòu)的無利益關聯(lián)性，打消員工在舉報時的顧慮。

38.什么叫合規(guī)管理評估？

合規(guī)管理評估是指定期對合規(guī)管理體系的有效性進行分析，對重大或反復出現(xiàn)的合規(guī)風險和違規(guī)問題，深入查找根源，完善相關制度，堵塞管理漏洞，強化過程管控，持續(xù)改進提升。
合規(guī)管理評估包含兩部分內(nèi)容：
一是合規(guī)體系有效性評估。通過查找合規(guī)問題，重新審視合規(guī)管理體系與管理內(nèi)容是否符合公司基本情況，通過這個體系是否能夠滿足企業(yè)規(guī)避不合規(guī)行為的情況，是否需要對現(xiàn)有合規(guī)體系進行修正與完善，重新建立合規(guī)要求與合規(guī)制度。
二是合規(guī)體系落地實施情況評估。也就是如果企業(yè)通過評估認為合規(guī)體系有效性沒問題，那么主要的問題就是合規(guī)體系的執(zhí)行或者說運行中出現(xiàn)了問題。這時就需要最高管理者或者合規(guī)管理部門通過明確職責、合規(guī)培訓、建立合規(guī)文化以及將合規(guī)管理納入到考核中，強化合規(guī)管理體系的落地執(zhí)行。

39.合規(guī)管理評估需要遵循哪些步驟？

合規(guī)管理評估一般包括成立評估工作組、設計評估工作方案、開展具體評估工作、編制檢查評估報告和編制后續(xù)整改方案等幾個步驟。具體評估工作包括：
1、確定評估工作重點：合規(guī)管理涉及到企業(yè)的各個層面，不可能在評估中面面俱到。企業(yè)在合規(guī)管理評估活動之前，需要根據(jù)公司業(yè)務重要性、外部監(jiān)管程度、風險發(fā)生頻率等方面來確定后續(xù)評估工作重點。通過這種重點評估的方式，了解到合規(guī)管理中存在的主要問題。
2、收集審查合規(guī)管理體系相關文件。文件種類包括但不限于：合規(guī)管理體系政策；合規(guī)報告；審計報告；與公司合規(guī)風險識別、應對相關的文件；公司業(yè)務重點領域的各類具體規(guī)范、指引類文件；公司合規(guī)管理培訓涉及的相關文件；公司內(nèi)部舉報調(diào)查文件以及自律檢查建議等。
3、開展調(diào)查問卷、實地訪談。首先收集受訪者的背景資料（職位、部門、年限等），來確保受訪者覆蓋范圍足夠廣、且受訪人員結(jié)構(gòu)合理具有代表性；在確定企業(yè)合規(guī)管理體系建設情況，包括受訪者對于合規(guī)概念的認識、對自身及本部門合規(guī)職責履職情況的評估等。

40.合規(guī)管理需要建立考核評價機制嗎？

需要?？冃Э己耸呛弦?guī)管理的重要組成部分。特別是對于合規(guī)文化尚不成熟、長效合規(guī)機制還未形成的一些企業(yè)，通過合規(guī)績效考核機制來提升合規(guī)執(zhí)行力就尤為重要。員工績效計劃被列為一種有效的控制措施以確保對合規(guī)義務的履行。企業(yè)應該結(jié)合企業(yè)的發(fā)展價值觀，將合規(guī)考核納入企業(yè)績效管理體系中去，有效協(xié)調(diào)業(yè)務拓展與合規(guī)管理的關系，幫助員工建立正確的業(yè)務發(fā)展目標。

41.合規(guī)管理考核評價在何時開展合適？

合規(guī)管理考核評價是合規(guī)管理保障的重要措施，一般應該與企業(yè)人力資源考核周期保持一致。企業(yè)可以制定單獨的合規(guī)績效考核機制，也可以將合規(guī)考核標準融入到總體的績效管理體系中去。通過有效的合規(guī)績效考核機制，對有重大合規(guī)貢獻的員工應該給予表彰或獎勵。對有合規(guī)問題的員工，應該給予積分扣分或相應的處罰。
需要特別說明的是，根據(jù)我們的經(jīng)驗，如果能夠?qū)⒑弦?guī)管理考評與績效薪酬建立起有效的聯(lián)系與對接，那么對合規(guī)管理要求的落地執(zhí)行將會產(chǎn)生更好的效果。

42.合規(guī)管理考核評價機制的內(nèi)容？

建立合規(guī)管理考核機制主要包括以下內(nèi)容：
（1）考核評價指標的設定機制；
（2）合規(guī)管理體系監(jiān)督機制；
（3）收集合規(guī)考核評價信息的方法和程序；
（4）考核評價報告規(guī)定；
（5）考核評價溝通機制；
（6）考核評價結(jié)果的處理機制；等等。
43.合規(guī)管理評價的結(jié)果如何運用？

合規(guī)管理評價應當與企業(yè)其他管理考核相銜接、融合，如與員工績效考核相融合、與評先選優(yōu)掛鉤，作為干部任用、晉升的重要依據(jù)。很多公司合規(guī)具有一票否決的權利，出現(xiàn)嚴重合規(guī)問題可以直接把高級管理人員免職、降級、解除勞動合同等。并且在人員招聘錄用或晉升的時候往往會考察這個人過往合規(guī)方面的記錄，如果發(fā)現(xiàn)比較嚴重的違規(guī)問題，往往是不會錄用或晉升的。

44.風險管理體系建立的背景是什么？

2004年，美國的COSO委員會（全美反舞弊性財務報告委員會發(fā)起組織）提出了《企業(yè)風險管理—整體框架》，其中明確規(guī)定：“企業(yè)風險管理是一個過程，受企業(yè)董事會、管理層和其他員工的影響，包括內(nèi)部控制及其在戰(zhàn)略和整個公司的應用，旨在為實現(xiàn)經(jīng)營的效率和效果、財務報告的可靠性以及現(xiàn)行法規(guī)的遵循提供合理保證?！蓖瑫r，該《框架》將風險管理的要素分為八個方面：內(nèi)部環(huán)境、目標制定、事件識別、風險評估、風險反應、控制活動、信息與溝通、監(jiān)督。
2006年6月，國務院國有資產(chǎn)監(jiān)督管理委員會印發(fā)《中央企業(yè)全面風險管理指引》（國資發(fā)改革[2006]108號）明確規(guī)定：“企業(yè)風險是指未來的不確定性對企業(yè)實現(xiàn)其經(jīng)營目標的影響。企業(yè)風險一般可分為戰(zhàn)略風險、財務風險、市場風險、運營風險、法律風險等；也可以能否為企業(yè)帶來盈利等機會為標志，將風險分為純粹風險(只有帶來損失一種可能性)和機會風險(帶來損失和盈利的可能性并存)?！?br />同時，該《指引》明確規(guī)定：“全面風險管理是指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法?！辈娘L險信息、風險評估、管理策略、解決方案、監(jiān)督與改進、組織體系、信息系統(tǒng)、風險文化等方面進行了規(guī)范和要求。

45.風險管理的內(nèi)涵包含哪些？

在內(nèi)容上，風險管理具有全面性和總體性的特征。全面性體現(xiàn)在一方面風險管理是一種持續(xù)性行為，貫穿于企業(yè)經(jīng)營管理全過程，對各項業(yè)務管理、環(huán)節(jié)、流程等全面風險控制，對企業(yè)內(nèi)外部風險全面把控，對歷史、現(xiàn)在及未來全生命周期的風險分析預測等；另一方面風險管理本身的全流程性，從組織、制度、程序、措施、系統(tǒng)、文化，到建立、評估、執(zhí)行、解決、處置、監(jiān)督、評價、改進等全方位的管理系統(tǒng)和體系，識別企業(yè)所面臨的各類風險?？傮w性體現(xiàn)在圍繞企業(yè)總體經(jīng)營目標和戰(zhàn)略發(fā)展，關注的是企業(yè)整體風險，整體宏觀上實現(xiàn)經(jīng)營管理戰(zhàn)略目標。
在設置上，風險管理具有獨立性和權威性的特征。一方面將風險管理職能提升到高級管理層，體現(xiàn)出權威性，另一方面企業(yè)要獨立于業(yè)務部門設置職責清晰、權責明確的風險管理部門，并直接從屬于高級管理層管理，體現(xiàn)出獨立性，不受其他部門影響，以保證其客觀性和公正性。
在效果上，風險管理具有合目的性和價值性特征。首先，風險管理是一個動態(tài)的過程，強調(diào)風險管理與企業(yè)經(jīng)營管理過程相結(jié)合，并受人、文化等因素影響，強調(diào)“軟控制”（即精神層面的內(nèi)容，例如管理層的風格和理念、企業(yè)文化等）的作用和風險意識，即不同企業(yè)的風險管理都深深烙上企業(yè)文化的印記。其次，風險管理受目標驅(qū)動，并明確組織中的每一個人對風險管理負有責任，且由于內(nèi)部控制的固有限制，風險管理只能提供合理保證，而非絕對保證。最后，風險管理的最終目標與企業(yè)目標一致，在現(xiàn)代社會中，企業(yè)目標已不僅僅是追求利潤最大化、價值最大化，而是追求構(gòu)建起一個和諧的內(nèi)部控制機制，考慮所有利益相關者的利益，改進和提高內(nèi)部控制的效率和效果，也是風險管理價值所在。

46.風險管理的定義是什么？

國務院國資委的頒布的《全面風險管理指引》將全面風險管理定義為:企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理體系，為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。COSO用過程來描述全面風險管理，是目前比較通行的做法。這個定義反映了以下幾方面的基本概念:
1、企業(yè)風險管理是一個過程，一個流程，它持續(xù)作用于企業(yè)，并滲透于企業(yè)的各項活動中，是降低和控制風險的一系列程序。
2、企業(yè)風險管理不僅僅是企業(yè)管理層或風險管理機構(gòu)的職責，同時需要企業(yè)各個層級幾乎所有的員工共同參與實施。
3、企業(yè)風險管理應當在企業(yè)戰(zhàn)略的制定過程中被應用。
4、由于風險的客觀存在性，風險管理并不能給企業(yè)提供絕對的保證，而只能為企業(yè)實現(xiàn)其經(jīng)營目標提供一個合理的保證。
5、企業(yè)風險管理旨在識別將會影響企業(yè)的潛在事項，并將風險控制在風險承受能力之內(nèi)。

47.風險管理框架的8要素是指什么？

2004年9月，COSO結(jié)合《薩班斯—奧克斯利法案》的相關要求，頒布了一個概念全新的報告，即《企業(yè)風險管理—整體框架》(以下簡稱“ERM”框架)?？蚣艿某雠_順應了各方需求。與1992年的《內(nèi)部控制—整體框架》相比，ERM 框架在內(nèi)部控制的內(nèi)涵、目標、要素以及內(nèi)部控制責任承擔等層面作了全新突破，對企業(yè)風險管理作出了更為詳盡的闡述。ERM 框架并沒有取代《內(nèi)部控制—整體框架》，而是基于該框架并將其融入其中，全面推進了內(nèi)部控制標準的發(fā)展。
在ERM中明確提出了風險管理的8要素，即：內(nèi)部環(huán)境、目標設定、事件識別、風險評估、風險應對、控制活動、信息與溝通、內(nèi)部監(jiān)督。

48.風險管理框架的8要素中“內(nèi)部環(huán)境”是指什么？

“內(nèi)部環(huán)境”是企業(yè)風險管理所有其他構(gòu)成要素的基礎，為其他風險管理要素提供運行的規(guī)則和結(jié)構(gòu)。內(nèi)部環(huán)境包含很多內(nèi)容，包括風險管理理念、風險容量、董事會、誠信和道德價值觀、對勝任能力的要求、組織結(jié)構(gòu)、權力和職責的分配及人力資源準則，它影響著企業(yè)的戰(zhàn)略和目標如何制定、經(jīng)營活動如何組織以及如何識別、評估風險并采取行動；它還影響著企業(yè)的風險控制活動、信息與溝通體系、風險監(jiān)督等風險管理要素。

49.風險管理框架的8要素中“目標設定”是指什么？

風險管理框架的8要素中的“目標設定”是指，企業(yè)必須首先建立企業(yè)要實現(xiàn)的戰(zhàn)略或者目標，管理層才能識別影響目標實現(xiàn)的潛在風險事項。
從企業(yè)管理的角度來看，企業(yè)決策與經(jīng)營的各項活動均存在風險，但是如果要對所有活動面對的風險全部控制，那么企業(yè)的運行成本將會無限增加。因此，設定適當?shù)娘L險控制目標就顯得非常重要。
企業(yè)風險管理確保管理層采取適當?shù)某绦蛉ピO定風險控制目標，確保所選定的風控目標支持和切合該企業(yè)的使命，并且與它的風險容量相符。

50.風險管理框架的8要素中“事件識別”是指什么？

“事件識別”是指識別影響企業(yè)目標實現(xiàn)的內(nèi)部和外部事件，即確定這些潛在事項對企業(yè)到底是機會還是風險。如果是機會，應將其反饋到戰(zhàn)略和目標設定之中，而如果是風險則應該展開有效的評估和應對。
這些事項是來自于內(nèi)部或外部的影響實施戰(zhàn)略和目標實現(xiàn)的事故或事件，其驅(qū)動因素可能來自很多方面，比如外部的經(jīng)濟因素（價格、資本等）、自然環(huán)境、政治、技術、社會等因素，以及內(nèi)部的基礎結(jié)構(gòu)、人員、流程、技術等。企業(yè)應該采取各種方式，比如互動研討、統(tǒng)計數(shù)據(jù)、追蹤技術、內(nèi)部分析、預警觸發(fā)等。
在“事件識別”中，為了更好的管理事項以及其背后的風險及其應對，應該考慮事項之間的關聯(lián)關系，事項的類別劃分（包括正負向劃分以及不同屬性類別上的劃分）。

51.風險管理框架的8要素中“風險評估”是指什么？

“風險評估”是指通過考慮某一風險發(fā)生的可能性高低和影響大小來對其加以分析，并以此作為如何進行風險管理的依據(jù)。在設定風險控制目標，發(fā)現(xiàn)風險事項之后，必須進行適當?shù)娘L險評估。
評估風險對企業(yè)實現(xiàn)目標的影響程度或風險價值等，有定性與定量兩種方法——定性方法包括問卷調(diào)查、集體討論、專家咨詢、政策分析、行業(yè)標桿比較、管理層訪談和調(diào)查研究等，而定量方法包括統(tǒng)計推論(如集中趨勢法)、計算機模擬(如蒙特卡羅分析法)、失效模式與影響分析、事件樹分析等。根據(jù)coso的建議，定性和定量的方法相結(jié)合是最佳選擇。

52.風險管理框架的8要素中“風險應對”是指什么？

“風險應對”是指管理層在風險容忍度和成本、收益原則下，確定風險應對方案并考慮其對風險事項的可能性和效果的影響，然后設計、確定和實施選擇的應對方案。
風險應對措施通常包括回避、降低、分擔和承擔四種。此外，在風險應對的過程中，還應該有組合的觀念——一個不同風險組合應對之后，其風險應對管理成本可能會下降，也可能因為組合而積聚上升變得更加重要，這就如同合力效應。

53.風險管理框架的8要素中“控制活動”是指什么？

“控制活動”是指為了應對風險的發(fā)生所采取的措施和方法，通過控制活動的實行，降低或者消除風險發(fā)生的可能性。
控制活動通常包含兩個要素:確定應做什么的政策和有效地實施政策的程序。控制活動也可以分為預防性控制、檢查性控制、糾正性控制和補償性控制等各種類型。
在風險管理中，風險控制活動貫穿在組織的各個層級和各個職能部門，包括一系列不同的活動，比如批準、授權、驗證、調(diào)節(jié)、評價、評估、職責分離等等。

54.風險管理框架的8要素中“信息與溝通”是指什么？

“信息與溝通要素”是指提倡企業(yè)必須有效識別、收集來源于企業(yè)內(nèi)部和外部的定性或定量的經(jīng)營信息，并以適當?shù)姆绞脚c相關利益者進行有效溝通。
信息的來源無論是內(nèi)部，還是外部都有正式渠道，也有非正式渠道，有直接渠道也有間接渠道。比如，商戶的風險高低在于獲得商戶的信息多少、來源及其可靠性——有直接與商戶面談或問卷調(diào)查得到信息，也可能有通過新聞媒體、網(wǎng)絡平臺、監(jiān)管機構(gòu)等方面獲得的有關商戶的信息。
另外，現(xiàn)在信息化時代下，內(nèi)部不同平臺之間的信息共享程度，以及內(nèi)部系統(tǒng)與外部系統(tǒng)（供應商或客戶）的集成度和信息分享程度都在日益上升。這給信息、溝通的及時性、效率得到改善，而同時信息的深度、及時性、可靠性對于信息分析決策都變得日益重要。
同信息的來源分為內(nèi)部和外部一樣，信息的溝通也分為內(nèi)部和外部溝通。信息的內(nèi)部溝通是為了更高的事項企業(yè)的戰(zhàn)略、經(jīng)營、報告和合規(guī)方面的目標。內(nèi)部溝通包括橫向的溝通和縱向的溝通，橫向的溝通有利于風險的應對和控制活動的協(xié)調(diào)開展，縱向信息的及時溝通便于決策及其措施的快速確定和傳達。
信息的外部溝通主要集中在企業(yè)主體與外部利益相關者之間的溝通，比如供應商、客戶、監(jiān)管機構(gòu)、投資者等等。
55.風險管理框架的8要素中“內(nèi)部監(jiān)督”是指什么？

“內(nèi)部監(jiān)督”是一個對風險要素當前功能及其業(yè)績質(zhì)量進行評估的過程。通常監(jiān)督通過兩種方法進行：通過持續(xù)的活動或個別評價。
持續(xù)監(jiān)控建立在企業(yè)日常重復發(fā)生的業(yè)務活動和風險管理活動之上，而個別評價則是在事后進行的，可以作為對持續(xù)監(jiān)控的補充。
專門的評價通常要確定評價的范圍、頻率、目的，并關注評價過程、方法和報告形成評價的信息傳遞機制和分享機制。在企業(yè)風險管理工作的實務處理中，這兩種方法是結(jié)合進行的。

來源：中天華溥管理視野

作者：閻攀宇

關注公眾號

國資、國企單位實名添加張國良老師微信13910007503進入：“國資國企交流群”

群內(nèi)將不定期分享：公司法人治理、國企改革、集團治理、董監(jiān)事履職、集團管控、大監(jiān)督體系、風險防控、黨建黨群、紀檢監(jiān)察、審計、法務、人力資源等方面以及專家解讀、案例分析等資料。面向全國的國資國企的朋友開放，歡迎大家入群交流！

內(nèi)控-風險-合規(guī)一體化建設100問之1到55問（建議收藏）