北京市律师协会

企业合规管理与律师实务操作指引

目 录

第一章 合规管理建设总则

第一条 术语与定义

第二条 基本原则

第二章 合规组织与职责

第三条 企业党委（党组）作用

第四条 董事会职责

第五条 经理层职责

第六条 主要负责人作用

第七条 合规委员会职责

第八条 首席合规官职责

第九条 业务及职能部门职责

第十条 合规管理部门职责

第十一条 监督部门职责

第十二条 全员合规责任

第三章 合规制度建设

第十三条 基本管理制度

第十四条 合规重点领域

第四章 合规风险识别、评估与应对

第十五条 合规风险识别

第十六条 合规风险分析

第十七条 合规风险应对

第十八条 合规风险处置

第五章 合规运行机制

第十九条 合规风险预警

第二十条 合规审查

第二十一条 合规联席会议

第二十二条 合规报告

第二十三条 违规举报

第二十四条 违规调查

第二十五条 违规问责

第二十六条 合规整改

第二十七条 合规保障

第六章 合规体系评价

第二十八条 合规绩效考核

第二十九条 合规管理有效性评估

第三十条 合规管理体系改进

第七章 合规文化建设

第三十一条 合规理念

第三十二条 合规培训

第八章 企业合规管理法律实务

第三十三条 合规体系建设

第三十四条 合规专项咨询

第三十五条 合规监管调查

第三十六条 常年合规顾问

第三十七条 刑事合规

附则

第三十八条 附则

序 言

近年来，在实施依法治国战略、境内外监管力度趋严、国际经贸规则变化等背景下，企业合规经营的重要性不断凸显。2018 年以来,国务院、各省国有资产监督管理委员会相继发布国有企业合规管理指引,标志着国有企业全面推行合规管理工作。2021年3月《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》则将“推动民营企业守法合规经营"纳入国家发展战略，意味着合规经营成为中国企业发展的共同课题。随着企业合规不起诉等制度试点，合规已从理论研究踏入企业经营实践，并逐渐成为企业高质量稳健发展的根基与保障。

当前合规经营已得到广大中国企业的关注,合规法律服务需求不断攀升,广阔的企业合规市场亟需高标准的专业法律服务支持。因此，为促进、指导我市律师规范开展企业合规法律服务,推动企业合规经营，市律师协会法律风险与合规管理法律事务专业委员会特将“企业合规管理与律师实务操作”作为研究课题，以构建有效合规管理体系为方向，以实践性、操作性为核心，结合现行合规管理规定、指引以及本市律师合规实务经验,编纂形成《企业合规管理与律师实务操作指引》(以下简称 《指引》)。

《指引》共两万余字,分为八章,分别为:合规管理建设总则;合规组织与职责;合规制度建设;合规风险识别、评估与应对;合规运行机制;合规体系评价;合规文化建设;企业合规管理法律实务。既阐明了企业合规管理体系的建设及落地实施,又对律师参与具体合规业务提供了指导和风险提示，以冀对本市律师开展合规法律服务提供参考。

企业合规法律服务在中国方兴未艾,尚未形成全面成熟的理论体系及实践方法，有待进一步积累、探索、总结。《指引》 系市律协法律风险与合规管理法律事务专业委员会对一段时期以来的合规管理规定、理论观点以及律师实务经验的阶段性总结，如有任何意见建议,欢迎向市律协反馈。在此，以《指引》的公布为契机，我们呼吁广大律师朋友投身企业合规法律服务,携手为中国企业合规经营的发展道路提供法律保障,为中国企业“走出去’的征程贡献法治力量!

第一章合规管理建设总则

第一条 术语与定义

(一)合规:是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则，以及企业章程、相关规章制度等要求。

(二)合规风险:是指企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。

(三)合规管理:是指企业以有效防控合规风险为目的，以提升依法合规经营管理水平为导向，以企业经营管理行为和员工履职行为为对象，开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动。

第二条 基本原则

企业合规管理工作应当遵循以下基本原则:

(一)全面覆盖原则

企业合规管理工作应将合规要求嵌入经营管理各领域各环节,贯穿决策、执行、监督全过程，落实到各部门和全体员工，实现多方联动、上下贯通。

(二)权责清晰原则

企业合规管理应按照“管业务必须管合规”要求，明确业务及职

能部门、合规管理部门和监督部门职责，严格落实员工合规责任，对违规行为严肃问责。

(三)务实高效原则

企业应建立健全符合企业实际的合规管理体系，突出对重点领域、关键环节和重要人员的管理，充分利用大数据等信息化手段,切实提高管理效能。

除上述基本原则外，各级各类国有独资、全资、控股企业，还应当遵循“坚持党的领导’原则，充分发挥企业党委(党组)领导作用，落实全面依法治国战略部署有关要求，把党的领导贯穿合规管理全过程。

第二章 合规组织与职责

第三条 企业党委(党组)作用

如为国有企业，应发挥企业党委(党组) 把方向、管大局、促落实的领导作用。国有企业应将党建工作要求写入公司章程，写明党委(党组)的职责权限、机构设置、运行机制、基础保障等重要事项。企业党建工作机构在党委(党组) 领导下，按照有关规定履行相应职责，推动相关党内法规制度有效贯彻落实。

党委(党组)研究讨论是董事会、经理层决策重大问题的前置程序，研究讨论的事项主要包括:

(一)贯彻党中央决策部署和落实国家发展战略的重大举措;

(二)企业发展战略、中长期发展规划，重要改革方案;

(三)企业资产重组、产权转让、资本运作和大额投资中的原则性方向性问题;

(四)企业组织架构设置和调整，重要规章制度的制定和修改;

(五)涉及企业安全生产、维护稳定、职工权益、社会责任等方面的重大事项;

(六)其他应当由党组织研究讨论的重要事项。

党委(党组)应结合企业实际制定研究讨论的事项清单，厘清党委(党组)和董事会、监事会、经理层等其他治理主体的权责。

第四条 董事会职责

董事会充分发挥定战略、作决策、防风险职能，履行以下合规管理职责:

(一)审议批准企业合规管理基本制度、体系建设方案和年度报告等;

(二)研究决定合规管理重大事项;

(三)推动完善合规管理体系并对有效性进行评价;

(四)决定合规管理部门设置及职责;

(五)按照权限决定有关违规人员的处理事项;

(六)法律法规、企业章程等规定的其他合规管理职责。

第五条 经理层职责

经理层切实履行谋经营、抓落实、强管理职能，履行以下合规管理职责:

(一)拟订合规管理体系建设方案，经董事会批准后组织实施;

(二)拟订合规管理基本制度，批准年度计划，组织制定合规管理具体制度;

(三)组织应对重大合规风险事件;

(四)指导监督各部门和所属单位合规管理工作;

(五)法律法规、企业章程等规定的其他合规管理职责。

第六条 主要负责人作用

主要负责人作为推进法治建设第一责任人，应当切实履行依法合规经营管理重要组织者、推动者和实践者的职责，积极推进合规管理各项工作。

第七条 合规委员会职责

企业可结合实际情况设立合规委员会，合规委员会主任由董事长或合规管理工作分管领导、总法律顾问(如有)等担任，成员可由各部门主要负责人组成。合规委员会可以与法治建设领导机构等合署办公。

合规管理委员会承担以下职责:

(一)负责企业合规管理的统筹协调工作;

(二)经董事会或管理层授权，合规委员会可以代为审定企业合规管理战略规划、年度计划、年度报告、具体制度等重大事项;

(三)定期召开会议，研究解决合规管理重点难点问题。

第八条 首席合规官职责

首席合规官可由总法律顾问(如有)兼任，对企业主要负责人负责，领导合规管理部门组织开展相关工作，指导所属单位加强合规管理，具体工作职责可以包括:

(一)负责组织编制企业合规管理战略规划、基本制度、年度计划、年度报告，参与有关具体制度制定;

(二)负责签发企业重要制度和重要文件制定、重大决策、重要合同订立等重点环节业务的合法合规性审核意见;

(三)参与企业重大决策会议并提出合规意见;

(四)领导合规管理牵头部门推进合规管理体系建设;

(五)负责向合规委员会汇报合规管理重大事项;

(六)负责向董事会报告年度工作;

(七)指导业务部门合规管理工作,对合规管理职责落实情况提出意见和建议;

(八指导所属单位合规管理工作,对所属单位首席合规官的任免、合规管理体系建设情况提出意见;

(九)参与企业重大及以上违规事件的处置并提出意见建议;

(+)经合规委员会授权的其他事项。

第九条 业务及职能部]职责

业务及职能部门门是合规管理主体，负责日常相关工作，主要履行以下职责:

(一)建立健全本部门业务合规管理制度和流程,开展合规风险识别评估，编制风险清单和应对预案;

(二)定期梳理重点岗位合规风险，将合规要求纳入岗位职责;

(三)负责本部门经营管理行为的合规审查;

(四)及时报告合规风险，组织或者配合开展应对处置;

(五)组织或者配合开展违规问题调查和整改;

(六)其他相关合规管理工作。

业务及职能部门应当设置合规管理员，由业务骨干担任，负责本部门合规管理工作,接受合规管理部门]业务指导和培训。

第十条 合规管理部门职责

合规管理部门牵头负责本企业合规管理日常工作，主要履行以下职责:

(一)组织起草企业合规管理基本制度、具体制度、年度计划和工作报告等;

(二)负责规章制度、经济合同、重大决策合规审查;

(三)组织开展合规风险识别、预警和应对处置，根据董事会授权开展合规管理体系有效行评价;

(四)受理职责范围内的违规举报，提出分类处理意见，组织或者餐饮对违规行为的调查;

(五)组织或者协助业务及职能部门开展合规培训，受理合规咨询，推进合规管理信息化建设;

(六)企业合规委员会交办的其他工作。

合规管理部门应当配备与企业经营规模、业务范围、风险水平相适应的专职合规管理人员，持续加强业务培训，不断提升合规管理队伍专业化水平。

第十一条 监督部门职责

纪检监察机构和审计、巡视巡察、监督追责等部门]是企业合规管理监督部门，主要履行以下职责:

(一)依据有关规定，在职权范围内对合规要求落实情况进行监督;

(二)对违规行为进行调查,按照规定开展责任追究;

(三)会同合规管理部门、相关业务部门对合规管理工作开展全面检查或专项检查;

(四)对完善企业合规管理体系提出意见和建议;

(五)有关规定、企业章程等规定的其他职责。

各监督部门]应将合规管理监督结果及时通报合规委员会。合规管理部门也可以根据合规风险情况主动向监督部门提出开展审计等工作的建议。

第十二条 全员合规责任

全体员工应当熟悉并遵守与本岗位职责相关的法律法规、企业内部制度和合规义务,依法合规履行岗位职责，接受合规培训，对自身行为的合法合规性承担责任。具体承担以下合规管理职责:

(一)签订合规承诺书,接受合规培训;

(二)坚持合规从业，杜绝发生违反合规底线清单的违规事件,对自身行为的合规性承担直接责任;

(三)主动识别、报告、控制履职过程中的合规风险;

(四)监督和举报违规行为。

第三章 合规制度建设

第十三条基本管理制度

企业合规管理制度是指对企业合规管理活动的制度性安排的统称，一般包含企业合规经营目标和理念以及各业务职能领域活动的制度性规定和要求。企业合规管理制度是员工在企业生产经营活动中需要共同遵守的行为指引、规范以及制度规定的总称。

企业合规管理制度的表现形式-般包括合规行为准则、制度规范、各项合规专项管理办法、合规管理的工作流程、管理表单等管理制度类文件。

企业合规管理制度内容一般包括合规管理机构与职责;合规管理重点业务要求;合规管理的机制运行及内容;违规举报、调查与问责;合规评估、改进与报告;合规培训;合规管理保障等。

第十四条 合规重点领域

(一)企业治理。规范企业治理，依法合规履行决策程序，实际控制人和受益所有人可识别，法人层级合理，与自身资本规模、经营管理能力和风险管控水平相适应;

(二)信息披露。完善信息披露事务管理制度，按照法律、 行政法规、规章要求，遵循真实、准确、完整的原则，及时进行信息披露;

(三)内幕信息。重视内幕信息的管理与内幕交易的防范，加强对内幕信息知情人的管理，建立内幕信息报告制度及具体的操作指引流程，规范内幕信息的传递、收集及管理;

(四)关联交易。加强关联交易管理，建立健全关联交易管理制度，严格遵守法律、行政法规和监管机构关于关联交易的相关要求，禁止进行不当或违规关联交易;

(五)对外担保。企业或企业控股子企业对外担保的，必须经企业董事会或股东大会审议通过。企业应当审慎对待和严格控制对外担保产生的债务风险，并及时履行有关信息披露义务;

(六).上市企业独立性。控股股东、实际控制人与企业应当实行人员、资产、财务分开,机构、业务独立,各自独立核算、独立承担责任和风险;

(七)投资并购。围绕企业经营发展目标，在实施资产重组、投融资，以及其他投资并购工作中做好合规调查、论证、审查等工作，规范相关合同的签订和履行，有效防控合规风险;

(八)招标采购。健全招标采购制度，强化制度执行，严禁应招未招、虚假招标行为，强化依法合规采购;完善对供应商在招标采购中失信行为处理机制;

(九)财务税收。健全完善财务内部控制体系，严格执行财务事项操作和审批流程，严守财经纪律，强化依法纳税意识， 严格遵守税收法律法规和政策规定;

(十)劳动用工。严格遵守劳动用工法律法规，健全完善劳动用工合同管理制度，规范劳动用工合同签订、履行、变更和解除，严防各种违规劳务分包，确保企业依法合规用工;

(十-)知识产权。加强对商业秘密、专利和商标等知识产权的保护，及时确权企业知识产权，规范实施许可和转让;依法规范使用他人知识产权，防止侵权行为;

(十二)网络安全与数据管理。依法保护业务数据与客户信息安全，做好相关网络与信息系统的安全防护，建立网络安全与数据安全事件的应急响应预案，防范因网络攻击、网络侵入，以及违规数据处理、数据泄露等导致的合规风险;

(十三)安全环保。依据国家安全生产、环境保护法律法规，设立、完善企业生产规范和安全环保制度，加强监督检查，及时发现并整改违规问题，防范安全生产事故、环境污染等引发的合规风险;

(十四)反垄断。加强反垄断制度建设，保护市场公平竞争,维护消费者利益和社会公共利益。强化反垄断事前审查、合同管理，逐步建立健全反垄断合规风险管理体系，对反垄断行为进行调查、监督,防范垄断协议、滥用市场支配地位引发的合规风险。

(十五)反商业贿赂。强化对企业员工及供应商、合作伙伴的管理、监督,将反商业贿赂纳入企业管理制度及合同条款，加强岗位职责、业务流程设计，综合运用调查、审计等方法，防范商业贿赂所引发的合规风险。

(十六)其他需要重点关注的领域。

第四章 合规风险识别、评估与应对

第十五条合规风险识别

(一)合规风险识别概述

合规风险识别是对企业内部合规风险存在或者发生的可能性以及合规风险产生的原因等进行分析判断，并通过收集和整理企业所有合规风险点形成合规风险列表，以便进- -步对合规风险进行监测和控制等系统性活动。

企业合规风险识别是实施合规风险防控项目的第- -阶段，通过了解企业各类历史或现实行为的真实情况信息，为从整体上识别企业合规风险提供基础资料，便于发现企业的管理制度及经营行为中各个具体的作为与不作为所存在的合规风险。

企业应当将其合规义务与活动、产品、服务及运营方面联系起来，确认可能发生不合规的情况，从而识别合规风险。企业广泛、持续收集合规风险信息，进行必要的筛选、比较、分类、组合等，有效识别合规风险。

(二)合规风险识别的对象及依据

在合规风险识别上，应将企业经营管理行为和员工履职行为作为识别对象，法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求为识别依据。

(三)合规风险识别的方法

企业识别合规风险，需要综合运用各种方法。 包括:

1.问卷调查法、访谈调研;

2.合规管理部门在合规日常工作中发现的需要引起足够重视的

合规风险或问题;内、外部审计、纪检、监控等活动中发现的合规风险事件等;

3.员工举报等。

企业在分析合规风险时，应考虑不合规的原因、起因及其后果的严重性，以及不合规和相关后果发生的可能性。

企业应当制定适当的流程来识别新的和变更的法律、法规和规则以及其他的合规义务，以便及时跟踪法律、法规、规范和其他合规义务的出台和变更，以确保企业持续合规。

识别风险最好制作调查清单，由于合规管理涉及领域的不同,调查清单并非只有一份，尽可能将各类合规缺陷的调查分给不同的方式完成。

(四)合规风险信息动态管理

合规风险信息应实施动态管理，包括但不限于搜集下列内容:

1.已发生的合规风险事件;

2.新的法律、规则和准则颁布对本行经营活动的影响及可能引起的合规风险;

3.新产品和新业务的开发，新业务方式的拓展，新客户关系的建立，或者这种客户关系的性质发生重大变化所产生的合规风险;

4.内部规:章制度和业务流程未遵循法律、规则和准则的合规风险;

5.内部规章制度未覆盖全部业务流程的合规风险;

6.内部规章制度执行过程的合规风险;

7.职能机构、分支机构和关键岗位管理制度的合规风险;

8.内、外部审计中所发现的合规风险等信息;

9.国内外与本企业相关的政治、法律环境;

10.员工道德操守的遵从性;

11.企业签订的重大协议和有关贸易合同;

12.本企业发生重大法律纠纷案件的情况;

13.监管部门提示的合规风险等;

14.其他需要关注的问题。

第十六条 合规风险分析

(一) 合规风险分析概述

合规风险分析是在风险识别的基础上，考虑不合规发生的原因、后果及发生可能性等因素，最后形成合规风险清单。合规风险分析是要增进对合规风险的了解，为风险评价和应对提供支持。合规风险分析根据目的、可获得的信息数据和资源，可以有不同的详细程度，可以是定性、定量的分析，也可以是这些分析的组合。合规风险分析是在风险识别的基础上，考虑不合规发生的原因、后果及发生可能性等因素，最后形成合规风险列表清单。

(二)合规风险清单的要素

合规风险清单包括:风险描述、风险发生原因、风险发生结果、风险发生可能性等内容，应达到下列标准:

1.风险描述:简单且准确地描述风险，风险可能在什么情况下以什么方式发生以及风险对既定目标的影响。

2.风险发生原因:明确会导致风险发生的真正原因。

3.风险发生结果:说明风险发生后在哪些方面，以及以怎样的方式造成影响。具体可以考虑但不限于以下因素:

(1)后果的类型，包括财产类的损失和非财产类的损失(商誉损失、企业形象受损)等;

(2)后果的严重程度，包括财产损失金额的大小、非财产损失的影响范围、利益相关者的反应等。

4.风险发生可能性:说明风险发生的概率大小。

第十七条 合规风险应对

(一)合规风险应对概述

合规风险应对是针对发现的风险制定预案，采取有效措施，及时应对处置。对于重大合规风险事件，应当由首席合规官牵头，合规委员会统筹领导，相关部门协同配合，最大限度化解风险、降低损失。

业务部门负责本领域的日常合规管理工作，按照合规要求完善业务管理制度和流程，主动开展合规风险识别和隐患排查,组织合规审查，及时向合规管理牵头部门通报风险事项，妥善应对合规风险事件，做好本领域合规培训和商业伙伴合规调查等工作，配合进行违规问题调查并及时整改。

监察、审计、法律、内控、风险管理、安全生产、质量环保等相关部门，在职权范围内履行合规管理职责。

(二)合规风险应对的流程

合规风险应对一般包括以下流程:

1.识别合规相关要求:识别需要合规的要求，并将要求内容按相关责任部门]进行分解。

2.依据合规要求建立控制:相关责任部门]按照合规要求条款，建立必要的制度、流程、技术控制。

3.落实合规控制措施:相关责任部门及岗位人员，按照已经建立好的合规控制进行整改、落实。

4.执行合规控制措施检查:运用检查手段，确认合规控制的落实情况，评估合规控制执行效果。

5.验证合规要求符合情况:将合规要求、合规控制、合规检查结果等进行对比，展示合规状态与结果。

第十八条 合规风险处置

企业应建立健全合规风险应对机制，对识别评估的各类合规风险采取恰当的控制和处置措施。发生重大合规风险时，企业合规管理机构和其他相关部i ]应协同配合，依法及时采取补救措施，最大程度降低损失。必要时，应及时报告有关监管机构。

第五章 合规运行机制

合规运行机制是指合规风险预警、合规风险应对、合规审查、合规联席会议、违规问责、合规有效性评估等合规管理工作内容的相互关系和运行方式。

第十九条 合规风险预警

合规风险预警属于合规风险事前管控手段，通常依托风险管理信息系统形成对各种合规风险的计量和定量分析，实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态,对超过风险预警上限的合规风险实施信息报警。

合规风险预警是合规风险识别的一部分，企业通过全面梳理、收集经营管理活动中的合规风险点，建立并定期更新合规风险数据库作为支撑风险管理信息系统的基础，通过风险管理信息系统对合规风险进行监测和监控，并根据监测发现的风险进行发生可能性、影响程度、潜在后果等分析,在此基础上对具有典型性、普遍性或者可能产生严重后果的合规风险信息进行内部警示或报警。合规风险预警后，对于触发预警的合规风险，企业还应当进-一步识别，并根据具体情况开展合规风险评估和合规风险应对。

第二十条 合规审查

合规审查是指由业务及职能部门]或企业合规部门在企业生产经营管理流程中依据职责要求，分别负责本部^门经营管理行为的合规审查和负责规章制度、经济合同、重大决策的合规审查。

业务部门负责对其业务部门日常经营管理行为的合规审查，其审查对象包括其开展具体业务所涉及到的文件、合同、及具体经营决策等内容是否存在合规风险。

企业合规部门依据国家法律法规、规章、监管规定、行业准则、规范性文件、国际条约、规则，以及企业章程和规章制度、企业标准、自愿性承诺等要求负责对规章制度、经济合同、企业重大经营决策事项的合规审查。

业务及职能部门企业合规部门]依据职责权限完善审查标准、流程、重点等，定期对审查情况开展后评估。

第二十一条 合规联席会议

为指导协调合规管理工作，研究解决合规管理中存在的重大问题、障碍，协调议定重大事项，促使企业合规管理工作有效推进,可由合规管理人员、与联席会议议题相关的各业务部门人员、独立的第三方合规评价服务机构组成企业合规联席会议，通过定期召开会议，研究解决重点难点问题、提出解决方案建议，推动完善合规管理体系，推动企业各部门合规管理工作落实。

合规联席会议由企业合规负责人召集和主持，合规负责人不能履行召集及主持职责的，由其授权委托一名企业合规部门人员代为召集及主持。联席会议的日常工作由企业合规部门负责，合规部门应常设一名联席会议联系人，负责处理联席会议日常联系沟通工作，并承办联席会议召集人、主持人交办事项。

合规联席会议以会议纪要形式确定会议议定事项，印发企业各部门贯彻落实，联席会议议定的事项按照法律法规或公司规章制度应当履行审批程序的，应提交内部审批或外部报批流程，审批通过后印发各部门。

企业各有关部门应当贯彻落实联席会议纪要内容，并在下一期联席会议上汇报落实情况。

第二十二条 合规报告

业务部门的合规人员应当定期向企业合规部门提交阶段性合规管理汇报文件;企业合规部门应当定期向合规负责人提交阶段性合规计划和工作报告。

合规年度计划和工作报告至少应当每年度出具一次。合规年度计划应上报企业经理层批准。年度合规工作报告应上报企业董事会审议批准。合规负责人应对经审议通过的年度合规报告签署确认意见，保证报告的内容真实、准确、完整;董事会对年度合规报告内容有异议的，应当注明意见和理由。

年度合规工作报告应当包括下列内容:

1.企业及企业各部门、各层级子公司及分支机构合规管理的基本情况;

2.合规负责人履行职责情况;

3.违法违规行为、合规风险隐患的发现及违规问题整改情况;

4.合规管理有效性评估及评价结果运用情况;

5.根据相关法律法规、行业规范或企业内部规章制度，要求在

年度合规工作报告中汇报的其他内容。

第二十三条 违规举报

(一)违规举报概述

违规举报是指企业员工或相关方对企业经营管理活动中已经发生的违反合规政策、合规义务的行为或潜在可能发生的风险隐患行为进行报告的行为。企业应建立违规举报机制。违规举报机制是通过一系列综合措施建立的举报调查体系，包括职能的设立、制度的建立、工作流程的制定、以及反馈、监督机制的设立等。违规举报应以指定的路径向举报管理部门报告。

(二)违规举报机制

建立违规举报机制可以预防合规风险和保障合规政策的执行,优化业务流程，发现、堵塞管理漏洞，检验合规管理体系的有效性。

举报机制的要求应至少包括以下内容:

1.领导人的认同与承诺;

2.有明确的部门]或人员负责举报工作并给与他们相对应的权限、资源;

3.举报系统公开、可见、可方便使用;

4.建立保护举报人的具体措施，保护举报人免受报复;

5.举报途径向相关人公示，并确保相关人了解、清晰并可以使用;

6.举报调查过程公正、公平，调查过程有书面记录、可追溯;

7.举报结果有反馈，调查的违规问题有改进、有问责、有监督。

违规举报的渠道包括当面举报、电话举报、信函举报、电子邮件举报，也可以允许举报人通过实名举报、保密举报、匿名举报的方式举报。企业应提供多种渠道接收举报人的举报制度。企业应建立、健全完善的违规举报制度。违规举报制度可以是

独立的制度、也可以在合规制度、内控制度中专章订立，企业应根据自身的组织结构和业务特点制定举报制度。

(三)举报管理部门职责

企业可根据自身的组织架构和职能分工确定给予举报管理部门的职权内容。违规举报的举报管理部门大多为企业合规管理部门或内控、纪检监察部门。

举报管理部门]的职权可以包括以下内容:

1.举报的受理、调查权:企业应给予调查部门门独立的调查权，包括资料调取、相关部门工作配合等必要权限，并通过制度形式予以保障;

2.向最高管理层的上报权:上报权保证了工作的独立性;

3.对举报人、被举报人的评价权:评价权对于建立合规文化有积极的推动作用;

4.对合规改进措施的建议、监督权:工作的闭环、保证工作结果的执行;

5.其他企业需要给予举报管理部门]的职权。

(四)举报的处理流程

1.调查立项:确定符合举报范围并正式立项;

2.开展调查:询问举报人、收集证据材料、访谈相关人员等;

3.做出调查结论:确定被举报人是否存在违反合规义务的情况、程度、违规行为性质、发生次数、给企业造成的损失的大小，危害程度，并将调查结论和处理意见上报企业最高管理层决策; .

4.改进及监督:提出企业的管理漏洞和问题、协同合规管理部门做出改进措施的建议并传达给相关人、相关部门。同时对后续改进措施的执行情况进行监督。

第二十四条 违规调查

(一)违规调查概述

企业对于已经发生的违规事件或潜在可能发生的违规事件可以启动违规调查工作。违规调查可以由举报管理部门门依职权申请调查、也可以通过举报人的合规举报启动调查。违规调查应遵守以下原则:合法、公平、公正、独立、保守秘密。

(二)违规调查的启动评估

原则上，在正式启动调查前，均需要对是否启动调查进行前期的评估工作，主要评估要素包括:

1.是否属于调查范围; .

2.调查的必要性判断;

3.风险级别及类型;

4.对组织商务活动的影响;

5.是否需要采取证据保全措施。

(三)违规调查的工作流程

企业可以根据自身的情况制定适合的调查流程，-般的调查流程可以包括以下几个主要环节:

1.立项通知;

2.调查计划;

3.事实调查;

4.当事人沟通;

5.出具报告。

(四)违规调查的结论与处理

违规调查的结论主要是对违规问题的总结分析，对负面的行为要定性并做出具体的处理意见。结论可分为几类:不属于违规行为，无需处理;可内部处理的违规行为，在内部进行追责问责;违法行为需要提交司法机关处理。需要注意的是，调查结论也可以对正面的合规行为进行鼓励。处理意见一般包括以下内容:

1.违规行为的处理建议;

2.合规管理问题的改进建议;

3.是否需要提交监管、司法部门做进-步处理。

调查结论的发送对象应考虑必要性和保密要求。

(五)合规检查

企业纪检监察机构、审计、巡视部门、企业合规部门及企业业务部门分别在其职责范围内，围绕企业经营管理工作及合规问题整改工作进行合规检查。不同于违规调查，合规检查-般在企业年度工作计划中列明，或根据企业经营实际需要发起。合规检查是通过主动性的自查发现企业合规风险或问题，并针对风险和问题提出整改意见，最终目的是通过对整改意见的贯彻落实，健全规章制度、优化业务流程、堵塞管理漏洞，提升依法合规经营管理水平。

合规检查分为全面检查或专项检查。合规检查主体在其职责范围内定期或随时发起合规检查,就已签订合同、已制定决策、已开展的经营管理.工作是否合规进行检查，并应对就检查结果出具书检查报告。经合规检查发现风险或问题的，应当在检查报告中明确提出整改意见，相关部门及员工应当落实整改意见。经检查发现违规问题需要进入调查程序的，按违规调查流程处理。

第二十五条 违规问责

(-)违规问责概述

违规问责是指对企业高级管理人员及员工的违法、违规、违纪、违约行为进行责任追究的活动。如造成资产损失或者严重不良后果对，移交问责部门。如涉及违反刑法或其他国家层面的法律、法规，应按规定移交给司法部门或相关政府部门。

(二)违规问责部门

问责部门是指依据《公司法》、《劳动合同法》 、《劳 动法》、《民法典》等法律法规、公司章程、员工手册、财务管理制度、生产管理规定、公司合规清单、合规问责制度等规章制度，依据调查结果，对问责对象进行问责及实施的部门，通常问责部门为企业合规部门，实施部门为人力资源部门。

(三)违规问责的要求

问责原则须坚持实事求是、问责程序和结果合规、有错必究、问责与整改相结合等原则。

企业应当高度重视违规行为追责问责机制，制定专门的违规问责制度，明确责任范围，细化问责标准，针对问题和线索及时开展调查，将违规行为性质、发生次数、危害程度等作为考核评价、职称评定、提拔使用等工作的重要依据。

企业合规部门应跟进追责问责的执行情况，且将执行记录-并记录在档案中，最终执行完毕视为追责问责完成。

第二十六条 合规整改

合规整改是指合规检查部门与合规管理部门共享信息、共同商议违规事件发生的原因、场景及从违规事件调查中找到本质问题和共性问题，做出问题整改建议。整改建议书应有具体的整改问题、原因、整改责任主体及要求执行完成的具体时间、整改验收的方式等主要内容。

依据违规事件发生的原因，改进措施的要求不同，改进措施可以包括以下几种类型:

1.制度的缺失或制定不完善:应要求制定制度、补充或修改制度;

2.有制度未执行:应要求相关部门执行制度、执行留痕，且出现此类情况可能制度的执行监督体系也会出现问题，要-并整改制度监督环节;

3.职责不清、职责混乱:此类情况适用于出现无法问责、不知向谁追责的情况，应要求相关部门、人力管理部门厘清部门]职责、岗位职责;

4.合规管理体系无效或不系统、不全面:如果多个部门、多个岗位出现问题，可能不是某一点合规管理的问题，需要统筹查看整个合规管理体系是否合理、是否完善，如必要应启动合规管理体系的重建。

合规管理部门应对整改过程进行执行监督。-般情况下，整改部门都可能会延迟或者整改不到位，合规管理部门应对整改的质量进行把控，对照整改要求和整改内容进行检查监督，如不符合整改要求应要求再次整改。

第二十七条 合规保障

企业应当为合规管理人员履行职责提供必要支持和便利条件,包括但不限于人员、