中国企业国际合规的经验总结之二：合规章程与合规组织

一、合规章程

无论建立还是完善企业的刑事合规计划，都需要有书面化的总体规定将企业确立的规则、将要实施的措施、内部存在的程序整体呈现，做到企业层面的“有法可依”。合规总体规定主要以独立合规章程、公司合规管理规定、员工手册中的合规条款等文件形式呈现。

对于大多数企业而言，可能需要依据专项合规类型、分支机构所在地区、业务领域、员工数量等差异建立多个独立的合规章程。例如，山东电力工程咨询院有限公司发布《境外工程建设项目合规风险管理指南》作为其境外工程建设项目的合规章程文件，该规定分为六部分，分别是总则、工程建设项目风险管理介绍、境外工程建设项目风险管理机制、建设项目主要风险论述和应对措施、EPC合同风险审查要点、附录。还如国核铀业发展有限责任公司在建立进出口专项合规计划时，建立了“三层架构”的合规管理制度。

此外，也有一些企业将合规管理规定以“合规条款”的形式纳入企业管理章程、董事会决议、员工行为手册等既有文件当中。例如，某能源国际控股有限公司在成立之初即把“公司党委研究作为董事会、经理层决策重大问题的前置程序”写进公司章程，还将总法律顾问制度进章程，明确其合规经营的职责，赋权其列席有关董事会、党委会并发表法律意见。

二、合规组织的定位和架构

合规组织就是企业内部负责履行合规职能、执行合规工作的系列人员和部门组织。合规管理制度从纸面变为实践，就需要依赖这些合规人员的实践。

企业合规管理制度最为重要的就是有“合规官”，即有人负责落实合规相关的政策和工作。合规组织体系的中心就是“合规部门”，在大企业中，其由多位合规官组成，受合规委员会和首席合规官的领导；在中小微企业中，合规的管理和执行工作经常由一人或几人负责，直接向首席执行官或董事会汇报工作。然而，“合规部门”只是合规组织体系的纽带，合规组织体系的形成需要管理层和业务部门的全面加入。

首先，管理层需要有明确的合规承诺，实践中经常以“总裁的一封信”“董事会合规声明”等形式包含在合规章程之中，阐明企业对于构建合规体系和落实合规工作的重视。例如，中国电力国际发展有限公司旗下澳大利亚太平洋水电公司在建立ESG合规管理体系时，明确董事会是ESG合规管理的第一责任人和决策中心，发挥定战略、作决策、防风险作用，负责审议批准ESG合规管理基本制度、体系建设方案和年度报告等，研究决定ESG合规管理重大事项，推动完善ESG合规管理体系并对其有效性进行评价，决定合规管理部门设置及职责。

其次，合规部门需要形成详细的合规工作细则，合规章程、管理层承诺通常难以将每一个合规工作的重点详尽表述，这时就需要由合规官牵头的合规部门结合各个业务部门的风险点建立合规工作的具体实施办法。例如，中国南方航空股份有限公司在数据专项合规中构建六级数据合规组织架构，划分数据合规官、数据合规主管部门、数据管理主管部门、数据安全主管部门、数据控制部门、数据使用部门的合规责任和工作内容。其中，法律标准部作为合规主管部门，牵头建立数据合规工作组，在将信息中心、科信部纳入矩阵式成员单位并规范其日常数据合规工作开展的同时，引导其与公司内其他具有合规管理职能的监督部门，如纪检监察部门、审计部门建立合作和信息交流机制，共同制定合规管理整体方针策略和实施计划，应对风险识别和评估中出现的风险敞口。

最后，业务部门要对其落实合规工作的职责有充分认识，业务部门中的合规负责人或合规联络人需与合规部门保持常态化的工作沟通，定期汇报该部门开展合规工作的实际情况。例如，国能粤电台山发电有限公司在搭建合规管理体系时，注重设置兼职合规岗位，着力将合规建设融入企业、部门（车间）、班组三级队伍。