上市公司合规经营体制的构建

上市公司的“合规经营”管理活动是一项既涉及企业管理流程优化与效率，又注重合规风险防范效果的重大管理活动，与企业各有关部门，包括业务部门、法务部门、风险控制部门等关系十分密切，更需要全面的企业基础性制度建设和流程规范相配合，也是改善公司治理结构的重要方式之一。

正如我们提出的“合规风险”管理的目标所希望的那样，上市公司应建立健全合规风险管理框架，实现对合规风险的有效识别和管理，促进全面风险管理体系建设，确保依法合规经营。

如何搭建“合规风险”管理框架，应成为企业管理者必须深入思考的核心问题。企业及管理层本身对合规运作的接受程度、某些商业因素、特定的企业文化等，都会施加影响，这也关涉到上市公司的管理架构的科学化与运营效率问题。

我们认为，合规管理体制存在不同的模式选择，不同类型和规模的企业可以选择适合自身的模式，比如，大型企业，包括上市公司，可以选择“内控模式”，中型企业或实行分散型管理的企业可实行“委员会模式”，小企业可选择“法务部门模式”，等等。

就上市公司本身的特点来说，上市公司可选择“内控模式”，建立与其经营范围、组织结构和业务规模相适应的合规风险管理体系，与风险内部控制体系实现对接。“合规风险”管理架构应实现一元多层次，管理责任落实到人、落实到制度层面，并与风险管理部门、内部审计部门与人员相互配合，促进全面风险管理体系建设。

（一）明确上市公司董事会对合规经营负有最终的责任

“合规”应是上市公司所有员工的共同责任，并应从高层做起，高级管理层合规风险负有第一责任。董事会和高级管理层应确定合规经营的基调，确立“全员主动合规”、“合规创造价值”等合规理念，在上市公司内部推行诚信与正直的职业操守和价值观念，提高全体员工的合规意识，促进上市公司自身合规与外事监管的有效互动。

应明确，董事会的主要职责在于：

（1）审议批准上市公司的合规政策，并监督合规政策的实施。上市公司的“合规政策”应明确所有员工和各部门或业务条线需要遵守的基本原则，以及识别和管理合规风险的主要程序，并对合规管理职能的有关事项做出规定，主要内容可考虑为以下几个方面：

①设立合规管理部门的原则，以及合规管理部门的功能和职责；

②合规管理部门的权限，包括享有与上市公司任何员工进行沟通并获取履行职责所需的任何记录或档案材料的权利等；

③合规负责人的合规管理职责；

④保证合规负责人和合规管理部门独立性的各项措施，包括确保合规负责人和合规管理人员的合规管理职责与其承担的任何其他职责之间不产生利益冲突等；

⑤合规管理部门与风险管理部门、内部审计部门等其他部门之间的协作关系。

（2）审议批准高级管理层提交的合规风险管理报告，并对上市公司管理合规风险的有效性作出评价，以使合规缺陷得到及时有效的解决。

（3）授权董事会下设的风险管理委员会、审计委员会或专门设立的合规管理委员会对合规风险管理进行日常监督。

（二）设置合规风险管理机构，明确管理职责

上市公司的合规管理机构也是一类常设机构，其职责的设定、监督与行使存在着相互制约的关系，也是上市公司治理结构的重要组成部分。同时，上市公司也应充分重视合规管理部门的组织结构设计和资源培育工作。

根据上述设想，董事会是最高的合规管理权力机构，高级管理层及合规负责人应对董事会负责。

关于职责层次，我们可以细分为以下两方面：

1.高级管理层的职责。

高级管理层的合规管理职责在于有效管理公司的合规风险，并履行以下合规管理职责：

（1）制订书面的合规政策，并根据合规风险管理状况以及法律、规则和准则的变化情况适时修订合规政策，报经董事会审议批准后传达给全体员工；

（2）贯彻执行合规政策，确保发现违规事件时及时采取适当的纠正措施，并追究违规责任人的相应责任；

（3）任命合规负责人，并确保合规负责人的独立性；

（4）明确合规管理部门及其组织结构，为其履行职责配各充分和适当的合规管理人员，并确保合规管理部门的独立性；

（5）识别公司所面临的主要合规风险，审核批准合规风险管理计划，确保合规管理部门与风险管理部门、内部审计部门以及其他相关部门之间的工作协调；

（6）每年向董事会提交合规风险管理报告，报告应提供充分依据并有助于董事会成员判断高级管理层管理合规风险的有效性；

（7）及时向董事会或其下设委员会、监事会报告任何重大违规事件。

2.合规管理机构及合规负责人的职责。

落实到具体执行合规管理职能的机构，上市公司除设立隶属于董事会的最高合规管理机构外，还可根据各职能部门或业务结构的特点设立相应的合规管理机构。比如，商业银行就可以根据业务支线和分支机构的经营范围、经营规模设置管理机构。

合规管理机构应在合规负责人的管理下协助高级管理层有效识别和管理上市公司所面临的合规风险，具有充分的独立性，履行以下基本职责：

（1）持续关注法律、规则和准则的最新发展，正确理解法律、规则和准则的规定及其精神，准确把握法律（规则和准则对上市公司经营的影响，及时为高级管理层提供合规建议。

（2）制定并执行风险为本的合规管理计划，包括特定政策和程序的实施与评价、合规风险评估、合规性测试、合规培训与教育等。

（3）审核评价上市公司各项政策、程序和操作指南的合规性，组织、协调和督促各职能部门和内部控制部门对各项政策、程序和操作指南进行梳理和修订，确保各项政策、程序和操作指南符合法律、规则和准则的要求。

（4）协助相关培训和教育部门对员工进行合规培训，包括新员工的合规培训以及所有员工的定期合规培训，并成为员工咨询有关合规问题的内部联络部门。

（5）组织制定合规管理程序以及合规手册、员工行为准则等合规指南，并评估合规管理程序和合规指南的适当性，为员工恰当执行法律、规则和准则提供指导。

（6）积极主动地识别和评估与上市公司经营活动相关的合规风险，包括为新产品和新业务的开发提供必要的合规性审核和测试，识别和评估新业务方式的拓展、新客户关系的建立以及客户关系的性质发生重大变化等所产生的合规风险。

（7）收集、筛选可能预示潜在合规问题的数据，如消费者投诉的增长数、异常交易等，建立合规风险监测指标，按照风险矩阵衡量合规风险发生的可能性和影响，确定合规风险的优先考虑序列。

（8）实施充分且有代表性的合规风险评估和测试，包括通过现场审核对各项政策和程序的合规性进行测试，询问政策和程序存在的缺陷，并进行相应的调查，合规性测试结果应按照上市公司的内部风险管理程序，通过合规风险报告路线向上报告，以确保各项政策和程序符合法律、规则和准则的要求。

（9）对涉嫌重大合规风险的经营活动拥有否决的权力。合规管理机构应根据合规管理程序主动识别和管理合规风险，按照合规风险的报告路线和报告要求及时报告。上市公司各职能部门的负责人应对本部门经营活动的合规性负首要责任。

高级管理层任命合规负责人，合规负责人的主要职责在于：全面协调上市公司合规风险的识别和管理，监督合规管理部门根据合规风险管理计划履行职责，定期向高级管理层提交合规风险评估报告。合规负责人应保持独立性，不得分管各职能部门。其主要职责包括：监督公司内部管理制度和业务规则的合规性：对公司重大决策和主要业务活动进行合规审核；对公司的合规状况进行检测和检查，及时发现违法违规行为，按照职责分工和程序进行查处和移交处理；对公司可能发生的不合规事项进行咨询和调查，负责制定不合规事项的整改计划和方案，并督促落实；为公司决策层、管理层和业务部门提供合规咨询等。

此外，上市公司应为合规管理部门配备有效履行合规管理职能的资源。合规管理人员应具备与履行职责相匹配的资质、经验、专业技能和个人素质。上市公司应定期为合规管理人员提供系统的专业技能培训，尤其是在正确把握法律、规则和准则的最新发展及其对上市公司经营的影响等方面的技能培训。

至于监督机构，董事会可授权董事会下设的风险管理委员会、审计委员会或专门设立的合规管理委员会对上市公司合规风险管理进行日常监督，而监事会应监督董事会和高级管理层合规管理职责的履行情况。

（三）制定合规风险管理计划

合规管理机构的重要职能之一在于制定并执行风险为本的合规管理计划，包括特定政策和程序的实施与评价、合规风险评估、合规性测试、合规培训与教育等。合规风险管理计划是对合规风险管理实施的总体性安排，具有重要的指导意义，企业可据此稳步推进自身的合规管理工作。

（四）明确合规风险识别和管理流程

明确合规风险识别和管理流程的最终目的是，合规风险管理所采取的各项措施必须达到适当性和有效性的要求。此流程与企业内部风险管理的程序应实现对接，建立良好的动态管理层次。

上市公司合规管理部门应积极主动地识别和评估与经营活动相关的合规风险，包括各类定期和不定期的合规风险评估、测试活动，按照内部合规风险报告路线及报告要求及时、逐级报告，并根据报告审核结果采取适当的处理措施。

（五）制定员工合规选拔、培训、教育、考核与奖惩制度

上市公司首先应当重视聘用人员的诚信记录，确保其具有与岗位职责要求相适应的专业能力和道德水准。

合规风险培训与教育制度是上市公司合规风险管理的重要组成部分，最终目的是推进员工教育，强化守法、合规经营理念和风险意识。

为了加强员工的守法、合规经营理念，上市公司应对每个员工从进入公司初始就加强其职业道德培训，并通过以后的定期和不定期的上岗培训、在岗培训和综合培训，加深其对合规经营所需遵循的法律`法规和公司制度的了解，力求每个员工能够严格遵守公司内部控制制度和流程，防范任何可能发生的违规行为。

上市公司应明确岗位职责，控制各业务部门的违规风险，以强化执行力和提高效率。

合规管理部门具体负责组织包括新员工的合规培训，以及所有员工的定期或不定期的合规培训，并成为员工咨询有关合规问题的内部联络部门。

此外，上市公司的合规考核应纳人绩效考核管理体系，绩效考核应体现倡导合规和惩处违规的价值观念。

上市公司还应建立有效的合规问责制度，严格对违规行为的责任认定与追究，并采取有效的纠正措施，及时改进经营管理流程，适时修订相关政策、程序和操作指南；也可建立诚信举报制度，鼓励员工举报违法、违反职业操守或可疑行为，并充分保护举报人。

（六）推进合规文化建设

合规文化也是企业文化建设的重要组成部分，上市公司内部应大力推进合规经营的文化与制度建设，并将合规文化建设融人企业文化建设的全过程。

上市公司倡导正直、守法、合规经营的企业文化，并鼓励员工在诚信、守法的基础上不断追求卓越，这样才能在企业内部树立起一种奋发有为、规范经营、人人争先的公司新风尚，也只有这样，才能在根本上推动公司的内控机制进一步完善，企业因而也将进一步迈向规范和良性发展的光明之路!

（七）建立重大事项的集体决策机制

上市公司在建立和健全内部风险控制流程的过程中，应设立针对重大项目集体评审决策的跨部门评审委员会，该委员会可由项目涉及的各部门成员组成，只有评审委员会集体审核通过的项目才能有效地保证项目风险的可控与合法合规。

（八）完善上市公司治理结构

完善的公司治理结构和有效的集中管理模式将有利于我国上市公司建立合规经营的公司体制基础。

1.加强董事会、监事会合规经营意识和集中监管权限。

为了增强董事会、监事会各成员的合规经营意识，应逐步提高外部董事、外部监事在上市公司董事会、监事会中所占的比重，并在此基础上，通过股东大会将合规经营和风险控制的原则纳入本公司总体发展战略，同时强化董事会、监事会的监管权限。

2.完善独立董事制度和强化独立董事的监督职权。

我国上市公司应首先提高董事会成员中独立董事的数量，且所有聘用的独立董事都应当具有风险控制的专业知识，在其任职期间，都应当承诺并确保有足够的时间和精力履行其职责，而且其决定不受公司内部股东或其他与公司有利害关系的单位和个人的影响。

3.强化管理层激励约束机制和集中管理权限。

董事会的合规经营意识还需要顺利贯彻到各级管理人员中去，这就需要保证管理层利益与股东利益保持高度一致。然而，当前我国上市公司高级管理人员的薪酬结构中的奖金和股权比重普遍偏低。显然，这种不尽合理的薪酬体系结构并不能促使管理人员尽心尽责、合法合规地工作。

因此，上市公司合理的薪酬体系应能够符合董事会对风险控制和合规经营的要求，同时，为了避免可能出现的道德风险，还应授予管理层一定比例的股票期权，以使管理层与公司股东利益保持高度一致。

4.建立正向激励机制。

目前许多上市公司的绩效考核仍然是重业务指标、轻内控管理，如果考核机制中不体现内控合规优先，合规管理就落不到实处。因此，可考虑，合规风险管理部门对合规管理合格的给予加分，合规管理做得不好的给予减分，报告重大合规风险有功者给予奖励，这些做法都是值得提倡的正向激励。