《辦法》第3條規(guī)定,，“本辦法所稱合規(guī),，是指中央企業(yè)及其員工的經(jīng)營管理行為符合法律法規(guī)、黨內(nèi)法規(guī),、監(jiān)管規(guī)定,、行業(yè)準則和國際條約,、規(guī)則、標準,，以及企業(yè)章程,、規(guī)章制度等要求”， 首次將黨內(nèi)法規(guī)納入合規(guī)義務(wù)的來源,，對國企合規(guī)管理提出了新要求,。從實踐角度理解，企業(yè)合規(guī)有三個層次：第一層,，符合法律法規(guī),、監(jiān)管規(guī)定等強制性要求；第二層,，符合行業(yè)標準,、規(guī)章制度、章程等自愿性承諾,；第三層,，符合商業(yè)道德、公序良俗,?！掇k法》將“黨內(nèi)法規(guī)”納入合規(guī)范疇，應(yīng)屬第一層的合規(guī)范疇的要求,，不僅意味著黨內(nèi)法規(guī)成為合規(guī)管理的新義務(wù)來源,，也對國企合規(guī)管理體系運行帶來更大的挑戰(zhàn)。

《辦法》第3條的規(guī)定延續(xù)了“大合規(guī)”的思想,，將企業(yè)內(nèi)部的規(guī)章制度歸納進合規(guī)概念,，并調(diào)整條文語序，先規(guī)定外部規(guī)定再規(guī)定內(nèi)部規(guī)定,，使概念的邏輯更加清晰,。合規(guī)概念中新增黨內(nèi)法規(guī)，體現(xiàn)國企合規(guī)管理應(yīng)堅定正確的政治方向,，堅持黨的領(lǐng)導(dǎo),。

《辦法》第4條規(guī)定，“國資委負責指導(dǎo)監(jiān)督中央企業(yè)合規(guī)管理工作,，并對合規(guī)管理體系建設(shè)情況開展評價”，相較于《指引》,，對國資委履職要求新增了對所屬國企合規(guī)管理體系建設(shè)情況進行評價,。這要求國資委的合規(guī)監(jiān)管應(yīng)落到實處，依據(jù)法律法規(guī),、黨內(nèi)法規(guī),、監(jiān)管規(guī)定,、行業(yè)準則和國際條約、規(guī)則,、標準,，以及企業(yè)章程、規(guī)章制度等要求,，對國企在合規(guī)管理工作中存在的問題,、國企合規(guī)管理機制落地情況、國企合規(guī)管理的工作方向等進行評價,。

《辦法》以合規(guī)管理“三道防線”為依據(jù)劃分合規(guī)組織和職責,，合規(guī)組織架構(gòu)更清晰。有兩點突出的要求：

第一,，明確第一責任人職責,。《辦法》第9條規(guī)定,，“企業(yè)主要負責人作為推進法治建設(shè)的第一責任人,，應(yīng)當切實履行依法合規(guī)經(jīng)營重要組織者、推動者和實踐者職責,，積極推動合規(guī)管理各項工作”,，該規(guī)定貫徹了《關(guān)于進一步深化法治央企建設(shè)的意見》提出的要著力健全領(lǐng)導(dǎo)責任體系的要求，是國企合規(guī)管理工作開展過程中的重要保障,。同時,，該規(guī)定對國企的公司治理方面提出明確的領(lǐng)導(dǎo)責任制要求，是權(quán)責法定的表現(xiàn),。

第二,，明確紀檢監(jiān)察、巡視等部門承擔第三道防線的職能,。目前實務(wù)中,，只有審計部門是明確的，紀檢監(jiān)察巡視沒有融入合規(guī)管理工作,，經(jīng)調(diào)整,，合規(guī)管理的職責分工將更加清晰和細化。

《辦法》將《指引》中原本劃分較不明確的牽頭部門,、業(yè)務(wù)部門,、監(jiān)察、審計,、法律,、內(nèi)控、風險管理、安全生產(chǎn),、質(zhì)量環(huán)保等相關(guān)部門的合規(guī)職責,，以“三道防線”為邏輯順序重新調(diào)整，分別明確業(yè)務(wù)部門履行“第一道防線”主體職責,、合規(guī)管理牽頭部門履行“第二道防線”的牽頭職責,、紀檢監(jiān)察機構(gòu)、審計,、巡視等部門履行“第三道防線”的監(jiān)督職責,，為企業(yè)合規(guī)組織架構(gòu)設(shè)計和分工提供更加明確的指引。

《辦法》重新調(diào)整了《指引》中合規(guī)管理運行和保障機制相關(guān)章節(jié),，在理順邏輯關(guān)系的同時大幅增加了實踐操作的細化規(guī)定,，對可能涉及的問題進行了補充。例如,，在企業(yè)的合規(guī)運行機制方面,，《辦法》第24條明確了合法合規(guī)性審查機制作為經(jīng)營管理行為的必經(jīng)前置程序，同時強調(diào)合規(guī)管理牽頭部門有權(quán)對嚴重違反法律法規(guī)或企業(yè)規(guī)章制度的行為實行一票否決,。該要求表明,，國資委非常重視企業(yè)經(jīng)營管理行為的前端合規(guī)風險把控，尤其是在規(guī)章制度制定,、重大事項決策,、重要合同簽訂、重大項目投資運營等方面,，合規(guī)管理牽頭部門可以直接否定嚴重違規(guī)的項目,。

《辦法》第七章明確要求企業(yè)要加快建立合規(guī)管理信息系統(tǒng)，運用信息化手段將合規(guī)要求嵌入業(yè)務(wù)流程,，強化過程管控,，針對重點領(lǐng)域、關(guān)鍵節(jié)點進行實時動態(tài)監(jiān)測,，實現(xiàn)合規(guī)風險即時預(yù)警,，對違規(guī)行為主動截停。提出要加快推動合規(guī)管理信息系統(tǒng)與本企業(yè)其他管理信息系統(tǒng),、國資委國資監(jiān)管信息系統(tǒng)互聯(lián)互通,，實現(xiàn)基本數(shù)據(jù)共通共享。信息化建設(shè)是助力企業(yè)合規(guī)管理的重要手段,，也是數(shù)字時代企業(yè)合規(guī)的新要求,。

《辦法》細化了《指引》第24條關(guān)于強化合規(guī)管理信息化建設(shè)的要求，進一步對信息化建設(shè)的功能設(shè)置,、嵌入流程,、加強互聯(lián)互通和動態(tài)監(jiān)測等方面提出要求，表明國資委重視信息化建設(shè)在國企合規(guī)管理中發(fā)揮的作用。

《辦法》不僅對國企提出了合規(guī)管理新要求，也為國企搭建合規(guī)管理體系提供了更強的實操性指引,。但從實踐角度，對于國資委和國企來說,，《辦法》更多的是提供原則性,、框架性的指導(dǎo)與要求,，要達到《辦法》的要求，仍需要結(jié)合國內(nèi)外合規(guī)管理最佳實踐的方法論落地,。企業(yè)應(yīng)當根據(jù)行業(yè)特點和經(jīng)營管理模式搭建針對性的合規(guī)管理體系,。而一個行之有效的合規(guī)管理體系搭建,，離不開高層參與,，風險評估,，合理的制度和程序,，培訓(xùn)與溝通，監(jiān)督,、審計和響應(yīng)五大維度，這五大維度也符合中國標準化研究院制定的GB/T 35770-202X《合規(guī)管理體系 要求及使用指南》（征求意見稿）（ISO 37301標準的本地化）的要求。具體而言：

成功的企業(yè)合規(guī)計劃應(yīng)建立在高層完全公開認可支持的堅實基礎(chǔ)上，例如高層明確可見的合規(guī)承諾,。缺乏高層參與的企業(yè)合規(guī)計劃容易落為一紙空文。《辦法》第二章規(guī)定黨委（黨組）發(fā)揮把方向,、管大局,、促落實的領(lǐng)導(dǎo)作用,，董事會充分發(fā)揮定戰(zhàn)略、作決策,、防風險職能,，經(jīng)理層切實履行謀經(jīng)營,、抓落實,、強管理職能,，同時還規(guī)定第一責任人,、合規(guī)委員會、首席合規(guī)官等角色的合規(guī)管理職責,，這種自上而下的合規(guī)組織架構(gòu)能夠使企業(yè)形成上下連貫的合規(guī)管理系統(tǒng)，確保企業(yè)管理層及時識別合規(guī)風險并采取應(yīng)對措施,。

對于推動高層參與在企業(yè)合規(guī)管理中落地,，企業(yè)是否考慮既要符合《辦法》要求,，也要達到國際最佳實踐,？例如,，黨委（黨組）,、董事會、第一責任人,、合規(guī)委員會,、首席合規(guī)官等高層管理層人員在言行的合規(guī)性、向員工傳達的合規(guī)態(tài)度,、如何處理業(yè)務(wù)或收入與合規(guī)風險的關(guān)系等方面的合規(guī)承諾,，以及中高級管理人員（如，經(jīng)理層）的合規(guī)行動與承諾,。除了合規(guī)承諾,，企業(yè)還需確保合規(guī)組織的權(quán)威和地位，合規(guī)職能的獨立性（向董事會直接匯報的權(quán)力,、匯報頻率等）,，以及設(shè)計明確的合規(guī)組織匯報線等,。

企業(yè)需定期或不定期地對經(jīng)營活動中存在的合規(guī)風險進行識別與評估,，從而了解企業(yè)的最高風險是什么,，需在何處向前推進,。風險評估旨在使企業(yè)全面了解整體合規(guī)義務(wù)，然后確定高風險領(lǐng)域，以便企業(yè)可以優(yōu)先安排資源以首先解決高風險領(lǐng)域,?！掇k法》第12條,、第22條和第23條分別規(guī)定了關(guān)于風險評估的要求,、合規(guī)風險識別預(yù)警和合規(guī)風險應(yīng)對的要求?！掇k法》提供了原則性的要求,，具體如何做,，從實操角度提供一些簡要建議供大家參考,。

首先,，企業(yè)評估合規(guī)風險需考慮以下因素：① 根據(jù)企業(yè)的規(guī)模、目標,、市場環(huán)境及風險狀況確定合規(guī)風險評估的標準和合規(guī)風險管理的優(yōu)先級,；② 合規(guī)風險意識、資源配置,、職責權(quán)限,、過程監(jiān)控、獎懲機制,、執(zhí)行者能力要求,、內(nèi)部制度審查、第三方專業(yè)機構(gòu)審查結(jié)果,；③ 違規(guī)或可能造成違規(guī)的原因,、來源、發(fā)生的可能性,、后果的嚴重性等,。其次，企業(yè)基于風險發(fā)生的可能性（概率）評分標準和風險發(fā)生影響度評分標準，對合規(guī)風險進行評估定級,。最后,，企業(yè)對識別出的合規(guī)風險，結(jié)合風險事件發(fā)生可能性的高低,、影響程度的大小及風險水平高低等因素,，將合規(guī)風險按等級排序。并在合規(guī)管理風險排序和分級的基礎(chǔ)上,，根據(jù)合規(guī)管理需要,，進一步確定需要重點關(guān)注和優(yōu)先應(yīng)對的合規(guī)管理風險，以及確定后續(xù)的合規(guī)管理措施及完善合規(guī)管理體系,。綜合以上合規(guī)風險評估過程,，企業(yè)可出具合規(guī)風險評估報告，內(nèi)容包括風險評估實施概況,、合規(guī)風險基本評價,、原因機制、可能的損失,、處置建議和應(yīng)對措施等,。

《辦法》此次調(diào)整的重點之一在于明確了合規(guī)管理制度的框架體系和細化補充了合規(guī)管理運行和保障機制的實操規(guī)定，例如以“三道防線”為基礎(chǔ)調(diào)整合規(guī)組織架構(gòu)和職責,，強化重點領(lǐng)域合規(guī)風險防范,，強調(diào)在涉外業(yè)務(wù)領(lǐng)域制定專項合規(guī)管理指南等?！掇k法》這部分的調(diào)整對企業(yè)的啟發(fā)是：企業(yè)需重視合規(guī)管理的制度和程序設(shè)計與落實，它是企業(yè)合規(guī)管理的核心,，是企業(yè)所有員工履行合規(guī)職責的基本要求,。

具體如何落地，主要分為以下四方面：（1）企業(yè)行為準則,，這是企業(yè)經(jīng)營管理和文化建設(shè)的綱領(lǐng)性文件,，包括企業(yè)愿景、使命,、核心價值觀,、合規(guī)方針、社會責任等方面,；（2）企業(yè)合規(guī)管理制度,，這是企業(yè)合規(guī)部門進行合規(guī)管理的程序性規(guī)章制度，包括合規(guī)組織制度,、合規(guī)風險管理流程,、合規(guī)審查流程、違規(guī)舉報、調(diào)查與處置流程,、合規(guī)報告程序等方面,；（3）職能部門管理規(guī)章，企業(yè)不同的職能部門涉及到不同的合規(guī)規(guī)范的執(zhí)行與遵守,，例如,，管理、財務(wù),、人事行政,、法務(wù)、內(nèi)控等部門均有相對應(yīng)的合規(guī)規(guī)范,；（4）業(yè)務(wù)合規(guī)流程,，企業(yè)各業(yè)務(wù)條線會涉及不同領(lǐng)域的合規(guī)規(guī)范，例如,，網(wǎng)絡(luò)與數(shù)據(jù)安全保護合規(guī),、反壟斷合規(guī)、出口管制與制裁合規(guī),、反腐敗和反商業(yè)賄賂合規(guī),、反洗錢合規(guī)、知識產(chǎn)權(quán)與商業(yè)秘密合規(guī),、環(huán)境與安全合規(guī),、海關(guān)關(guān)務(wù)合規(guī)、產(chǎn)品合規(guī),、人事勞動合規(guī),、企業(yè)境外經(jīng)營合規(guī)等領(lǐng)域。對于專業(yè)性較強的領(lǐng)域,，往往需要企業(yè)合規(guī)部門與業(yè)務(wù)部門合作制定和修改相關(guān)的業(yè)務(wù)合規(guī)流程,。

《辦法》第六章專章規(guī)定央企應(yīng)當重視合規(guī)文化建設(shè)，通過領(lǐng)導(dǎo)專題學(xué)習(xí),、法治宣傳教育和合規(guī)培訓(xùn)的方式來塑造合規(guī)文化,。在具體落實《辦法》關(guān)于合規(guī)培訓(xùn)的要求方面,，企業(yè)可以考慮定期組織與企業(yè)合規(guī)風險相適應(yīng)的培訓(xùn)，設(shè)計培訓(xùn)的形式與內(nèi)容，確保培訓(xùn)的有效性,。例如,，線上,、線下培訓(xùn)中員工是否有途徑提問,？如何處理未能通過全部或部分測試的員工？是否檢測培訓(xùn)的效果,？通過設(shè)計良好的制度化,、常態(tài)化合規(guī)培訓(xùn)機制，企業(yè)能夠確保員工及時了解最新的法律法規(guī)、監(jiān)管規(guī)定,、企業(yè)內(nèi)部規(guī)章制度等方面內(nèi)容,。

另外，《辦法》第35條提到“中央企業(yè)應(yīng)當鼓勵員工提出改進合規(guī)管理的意見和建議,，對于作出重要貢獻的可以給予獎勵”,，鼓勵員工參與企業(yè)合規(guī)管理，可以幫助企業(yè)形成良好的合規(guī)文化,。在設(shè)計溝通程序方面,，企業(yè)可以考慮是否有暢通的溝通渠道、是否可以就改進合規(guī)管理的意見和建議進行持續(xù)性的溝通,、中高層管理人員是否對員工提出改進合規(guī)管理的意見和建議給予反饋等方面,。

《辦法》第14條規(guī)定了紀檢監(jiān)察機構(gòu)和審計,、巡視等部門在職權(quán)范圍內(nèi)履行“第三道防線”的監(jiān)督職責,，包括對企業(yè)經(jīng)營管理行為進行監(jiān)督，為違規(guī)行為提出整改意見,，對合規(guī)管理工作開展全面檢查或?qū)ｍ棛z查,、對企業(yè)和相關(guān)部門整改落實情況進行監(jiān)督檢查、在職責范圍內(nèi)對違規(guī)事件進行調(diào)查,，并結(jié)合違規(guī)事實,、造成損失等追究相關(guān)部門和人員責任等。在實踐中,，企業(yè)需關(guān)注員工是否遵守合規(guī)管理制度,，即使高層合規(guī)承諾已傳達到位，各節(jié)點的控制措施也落實到位,，但企業(yè)仍然需要持續(xù)關(guān)注員工是否遵守合規(guī)制度,。