《合规办法》对《合规指引》中的部分定义做了调整。具体如下：

1. 合规

《合规指引》定义的合规为：央企及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。《合规办法》中的合规定义与前述主要不同在：员工的经营管理行为调整为员工履职行为。因合规涉及到全体员工，“履职”比“经营管理行为”更加严谨。此外，“国际条约、规则”的位置被提前到公司章程及规章制度之前，更符合先外部法规再内部制度的逻辑顺序。需要注意的是，国际条约、规则的适用是有限定的，即应为我国作为国际法主体缔结或参加的双边、多边协议和其他具有条约、协定性质的文件，并且应排除我国申明的保留条款。

需要注意的是，对于“规”的范围，虽然2022年4月的《中央企业合规管理办法（公开征求意见稿》（以下简称“《合规办法征求意见稿》”）中列明的“党内法规”在正式文件中被删除，但《合规办法》第七条明确规定“中央企业应当严格遵守党内法规制度”，因此“规”的范围并不因相较征求意见稿的删除修订而被解读为不包括党内法规制度。

2. 合规风险

《合规指引》将合规风险定义为：央企及其员工因不合规行为引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。《合规办法》将“不合规行为”调整为“在经营管理过程中因违规行为”，删除了包括在法律责任范围内的“受到相关处罚”。我们理解，这两处修订是更严谨的写法。

3. 合规管理

结合近年合规体系建设实践，《合规办法》对于合规管理的内容有了更清晰的分类表达，包括“建立合规制度、完善运行机制、培育合规文化、强化监督问责”等方面。而原《合规指引》中规定的“风险识别、合规审查、风险应对、责任追究”等均属于合规运行机制。

二、合规管理原则

《合规办法》重新确立了四项合规原则：坚持党的领导；坚持全面覆盖；坚持权责清晰；坚持务实高效。相比《合规指引》：

1. 增加了“坚持党的领导”原则，强调发挥党委（党组）对合规工作的领导作用，并贯穿合规管理全过程。这一原则也体现在后续对于合规管理组织架构的修订中。
    
2. 强化了问责原则，要求权责清晰，对员工违规行为严肃问责。违规问责是《合规办法》中的一个重点内容，后续我们将在合规运行机制中详细分析。
    
3. 增加“务实高效”原则，该原则的要点包括：管理体系要符合企业实际，突出重点，利用信息化手段。这是对合规体系建设和运行效果提出的原则要求。《合规办法》删除了《合规指引》第三章对合规重点领域、重点环节和重点人员的列举规定，促使企业主动结合实际思考，避免照搬照抄。

虽然《合规指引》中规定的“协同联动”“客观独立”没有作为原则列明在《合规办法》中，但不代表合规工作对此没有要求，比如，《合规办法》第二十六条即是对协同联动的要求。

三、合规管理组织架构

《合规办法》第七条至第十五条，对于合规管理组织架构以及具体职责进行了梳理。其中，相比《合规办法征求意见稿》和《合规指引》，最为显著的修订是规定了党委（党组）在合规管理体系组织架构中的地位和作用，强调了央企对党内法规的遵守要求。

《合规办法》修改《合规指引》中合规管理负责人的表述，提出了首席合规官的概念。但同时也明确提出，不新增领导岗位和职数，由总法律顾问兼任首席合规官。在《合规办法》出台前，已有企业进行了类似的岗位设置，这体现了《合规办法》对企业过往的实践成果的总结和接受。此外，我们注意到，相比《合规办法征求意见稿》，《合规办法》不再列举首席合规官的具体职责范围，可留待企业根据实际情况规定。

在董事会的职责范围内，《合规办法》新增了“推动完善合规管理体系并对其有效性进行评价”，这体现了《合规办法》对于体系有效性的强调。企业不仅要建立起合规体系，还要确保体系的有效性，才能真正实现合规。

我们知道，业务和职能部门是合规管理的“第一道防线”，承担合规管理主体责任。《合规办法》对于业务和职能部门的合规职责做了细化的列举说明，同时提出要求业务和职能部门设立合规管理员，落实责任到人。并且，在合规工作原则之一“坚持权责清晰”中也明确强调“管业务必须管合规”，避免实践中企业员工对合规是仅属于合规或者法务部门责任的错误认识。

合规管理部门作为合规管理的“第二道防线”，其职责范围在《合规办法》中也做了详细的列举说明。笔者认为其中值得关注的几个要点是，一是将“参与”企业重大事项合规审查，修改为“负责”规章制度、经济合同以及重大决策的合规审查；二是明确由合规管理部门根据董事会授权开展合规管理体系有效性评价；三是要求配备专职合规管理人员。

合规管理的“第三道防线”是纪检监察、审计、巡视、监督追责部门，相比《合规指引》，《合规办法》明确了该等部门的监督合规要求落实，调查违规行为，以及开展责任追究的职责。

四、合规管理制度建设

相比《合规指引》，《合规办法》对于合规制度提出了更明确具体的要求，包括：

1. 明确提出了对于央企建立健全分级分类合规管理制度的要求。
    
2. 对于合规管理基本制度，提出了其应具备的内容，包括：总体目标、机构职责、运行机制、考核评价、监督问责等。目前，很多企业已经制定了自己的合规管理办法或合规管理制度，预计将需要根据《合规办法》的要求检查修订制度。
    
3. 提出制定合规管理具体制度和专项指南的要求，对于涉外业务需结合实际制定专项合规管理制度。企业需考虑在《合规办法》规定的反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护以及结合自身业务确定的风险较高的领域，制定具体的合规制度或专项指南。从实践角度看，很多国企都已经针对本企业的高风险领域，制定了比如商业伙伴管理办法、合同合规办法、捐赠赞助办法、反垄断合规指引等。
    
4. 值得关注的是，《合规办法》第十九条特别强调了央企应根据法律法规、监管政策等变化情况，对规章制度的修订完善要求。这一规定反映了合规管理的动态化过程。合规管理不是一时的工作，工作成果也不是固定不变的，合规管理是一个常态化、动态化，不断发展、不断改善的过程。

五、合规管理运行机制

《合规办法》规定了如下运行机制：合规风险识别评估预警机制、合规审查机制、合规风险应对和报告机制、违规问题整改及追责问责机制、合规举报机制、协同运作机制以及合规有效性评价机制等。其中，合规风险识别评估预警机制、合规审查机制、合规风险报告机制、合规举报机制均延续了《合规指引》的内容，但相较《合规指引》，有更具体化的要求，比如在合规风险识别评估预警机制中，要求央企建立并定期更新合规风险数据库；在合规审查机制中，对于谁来签字审查意见、审查标准、审查流程、审查要点以及审查情况开展后评估都提出了要求；在合规风险报告机制中，明确了须向国资委报告的重大合规风险事件包括：重大法律纠纷案件、重大行政处罚、刑事案件、被国际组织制裁等；在合规举报机制方面，展开规定了违规举报平台设立、举报方式、处理举报问题的流程等。

在运行机制方面，笔者认为，《合规办法》规定的两大亮点是：对违规整改追责问责机制的强调，以及对合规有效性评价的强调。在违规整改追责方面，要求央企建立违规问题整改机制，并对违规行为进行追责问责。特别是除了针对具体违规问题的当时追责外，《合规办法》明确央企应建立所属单位经营管理和员工履职违规行为记录制度，将违规行为性质、发生次数、危害程度等作为考核评价、职级评定等工作的重要依据，责任的延伸影响必将引起企业员工的重视。在合规有效性评价方面，《合规办法》除了延续《合规指引》合规体系定期有效性评价的要求外，更明确提出了对重点业务开展专项评价，强化评价结果运用。此外，《合规办法》相比《合规指引》的一个新规定在于明确国务院国资委的职责范围包括：对央企合规管理体系进行考核评价，依据相关规定对央企因合规管理不到位引发违规行为的开展责任追究。

六、合规文化以及合规信息化建设

合规文化和合规信息化建设，可以理解为合规管理的保障机制。

在合规文化方面，《合规办法》基于党的领导原则，将合规管理纳入党委（党组）法治专题学习。

在信息化建设方面，《合规办法》做了详尽的规定，主要体现在：（a）将合规制度、典型案例、合规培训、违规行为记录等纳入信息系统，也即合规各项内容的信息化；（b）利用信息化手段将合规要求和防控措施嵌入流程。笔者理解，这一项非常重要，从技术手段上确保不能违规可以实际达到合规的效果；（c）建立合规管理体系和财务、投资、采购等信息系统互联互通，财务、投资、采购等领域是容易发生合规风险的重点领域，信息系统的互联互通将有助风险点的快速识别以及快速检验风险嵌入机制效果；（d）利用大数据等技术对重点领域、关键节点动态监测，这一项可以促使风险点的快速暴露以及随后的及时处置。

七、总结

基于上述分析，《合规办法》相比《合规指引》，甚至相比《合规办法征求意见稿》，都做出了很多改动。《合规办法》的条款设置，处处体现了对于合规体系落实有效的重视。对于央企而言，需要依据《合规办法》逐项审视自身企业合规体系现状，对其合规体系进行必要调整。更为重要的是，企业需要结合自身情况和特点，从其合规体系是否有效，是否可以实现合规效果的角度出发，审视和完善自身的合规体系。此外，《合规办法》对于央企所属企业[1]和地方国有企业[2]均提出要求，笔者预期，合规管理工作的下一阶段，也将在央企子企业以及地方国企层面深入推广。

注释：

[1] 《合规办法》第二十八条要求央企将合规管理纳入对所属单位的考核评价，以及第三十九条要求央企推动所属单位建立健全合规管理体系。

[2] 《合规办法》第四十条要求地方国有资产监督管理机构参照本办法，指导所出资企业加强合规管理工作。