信息通信及互联网行业企业合规管理指南

合规不仅是成功和可持续企业的基础，也是企业发展的机遇。企业的长期成功发展需要建立并维护合规 文化，同时考虑相关方的需求和期望。有效的企业合规管理体系，能够表明企业在经营管理过程中遵守相关法律法规、政府监管要求、行业守则、良好的治理标准、社会一般道德和对期望的承诺。

企业合规，是由领导运用核心价值观以及被普遍认可的优秀治理方法、道德和相关标准共同构建的。将合规融入企业工作人员的行为，依赖于各层级的领导力和企业清晰的价值观，以及承认和实施促进合规的措施。如果不能保证企业各级都符合上述标准，则可能存在合规风险和违规行为的风险。

当前，我国已进入高质量发展阶段，企业是新时代构建新发展新格局的生力军。合规管理，是企业积极应对不断变化的内、外部环境，传统与非传统风险的有效途径，也是主动适应并推进国家经济发展方式、结构转型优化的重要举措。

为响应党和国家的政策要求，加快提升互联网行业企业依法合规经营管理水平，助力互联网行业企业高质量全面发展，根据《中央企业合规管理办法》、《企业境外经营合规管理指引》、ISO 37301：2021《合规管理体系 要求及使用指南》及相关法律法规、标准要求，结合互联网行业企业的实际情况进行制定。

一、合规原则

1. 全面性原则

企业合规管理活动应覆盖企业的所有业务领域、各业务部门、各级子企业和各分支机构、全体员工，贯穿决策、执行、监督、反馈等各个环节，体现于决策机制、内部控制、业务流程等各个方面。

2. 有效性原则

合规管理制度应有效嵌入到经营业务的重点领域和关键环节当中，与法务、审计监察、内控等工作相统 筹，建立相应责任制，有效化解合规风险，监督并确保合规管理体系有效运行。

3. 独立性原则

企业合规管理应从组织机构设置、制度设计、汇报路径等方面保证独立性，不受其他部门和人员的干涉。

4. 动态性原则

企业合规管理需与企业经营范围、组织结构和业务规模相适应；根据企业内外部环境的变化适时进行调整和完善；企业经营管理中存在的合规风险问题，能够得到及时反馈、纠正和改进。

5. 可查证原则

企业合规遵循明确的流程规范，以合适的形式对合规管理进行记录留存，确保企业合规管理有迹可循、有证可查。

二、 合规管理组织体系

1. 组织体系设立原则

1.1 设计科学，权责对等

合规管理组织体系的设计，应做到科学合理、权责一致。力求做到机构不重叠、职能不缺位，避免职责不明、义务履行推诿缺位及运行效率低下等情况发生。

1.2 合理高效，运转协调

合规管理组织体系设计，宜综合考虑企业发展战略、管理定位、运营特点、业务范围、员工情况等因素，结合企业全面风险管理及合规管理现状，构建合理高效、运转协调的组织体系。

2. 组织体系与职责

2.1 组织体系

合规管理组织体系由企业决策层、管理层与执行层共同组成：

• 决策层以保障企业合规经营为目的，进行顶层设计，优化企业合规管理中的权力资源配置问题；
• 管理层确保分配充足的资源，建立、制定、实施、评价、维护和改进企业的合规管理体系；
• 执行层遵守合规管理要求，改进合规管理措施，执行合规管理制度和程序，落实相关合规管理工作。

企业可以根据业务规模、合规风险等因素组建合规管理队伍，设置由合规管理委员会、合规管理负责人和合规管理牵头部门组成的合规管理组织体系。

2.2 董事会

董事会的合规管理主要职责包括：

a) 批准企业合规管理的整体规划、基本制度和年度报告；
b) 推动完善合规管理体系；
c) 决定合规管理负责人的任免；
d) 决定合规管理牵头部门的设置和职能；
e) 研究决定合规管理的有关重大事项；
f) 按照权限决定有关违规人员的处理事项。

2.3 监事会

监事会的合规管理主要职责包括：

a) 监督董事会的工作决策与流程是否合规；
b) 监督董事和高级管理人员合规管理职责履行情况；
c) 对引发重大合规风险负有主要责任的董事、高级管理人员提出罢免建议；
d) 向董事会提出撤换合规管理责任人的建议。

2.4 经理层

经理层的合规管理主要职责包括：

a) 根据董事会决定，建立健全合规管理组织架构；
b) 批准合规管理具体制度规定；
c) 批准合规管理计划，采取措施确保合规制度得到有效执行；
d) 明确合规管理流程，确保合规要求融入业务领域；
e) 及时制止并纠正不合规的经营行为，按照权限对违规人员进行责任追究或提出处理意见；
f) 经董事会授权的其他事项。

2.5 合规管理委员会

设立合规管理委员会，负责合规管理的组织领导和统筹协调工作，主要职责包括：

a) 规划合规管理体系建设工作；
b) 听取合规管理工作汇报；
c) 研究合规管理重大事项并提出指导意见；
d) 指导、监督及评价合规管理工作；
e) 统筹协调重大合规风险事件的处理；
f) 其他重大事项。

合规管理委员会，可与企业法治建设领导小组等相关机构合署。

2.6 合规管理负责人

合规管理负责人，可以由企业相关负责人、总法律顾问或者首席合规官担任。其主要职责包括：

a) 贯彻执行合规管理委员会、决策层对合规管理工作要求，全面负责企业合规管理工作；
b) 组织制订合规管理战略规划，参与企业重大决策并提出合规意见；
c) 协调合规管理与各业务部门之间关系，监督合规管理工作建设执行情况，解决合规管理工作推进过程 中的重大问题；
d) 领导合规管理牵头部门开展合规管理工作，加强合规管理队伍建设；
e) 组织起草合规管理年度报告；
f) 向合规管理委员会、决策层汇报合规管理重大事项。

2.7 合规管理牵头部门

企业结合自身情况设置合规管理牵头部门，组织、协调和监督合规管理工作，为其他部门提供合规支持。其主要职责包括：

a) 负责企业合规管理体系建设，制定企业合规管理建设规划和实施方案；
b) 组织制定、修订企业合规管理基本制度和具体制度，总结梳理合规管理相关工作标准程序；
c) 制订年度合规管理工作计划，并推动合规管理工作贯彻落实，组织编报合规管理年度报告；
d) 持续关注重大法律法规等变化，组织协调重点领域合规风险评估工作；
e) 组织协调开展专项合规工作，参与重大事项决策、重要规章制度、重大合同的法律合规审查；
f) 设定合规培训计划指标，组织或协助业务单位、人力资源部门、培训部门开展合规培训；
g) 组织开展合规检查工作，督促违规整改和持续改进，参与违规事件处置；
h) 组织或参与企业合规管理考核、评价工作；
i) 指导所属企业开展合规管理工作；
j) 参与合规管理工作经费预算审核与统筹。

2.8 业务部门

业务部门负责本领域的日常合规管理工作。其主要合规管理职责包括：

a) 主动开展并配合合规管理牵头部门开展合规工作，按照合规要求完善业务管理制度和流程；
b) 组织或配合合规管理牵头部门进行合规风险识别和隐患排查，及时向合规管理牵头部门通报风险事项，妥善应对合规风险事件；
c) 做好本领域合规培训和商业伙伴合规尽职调查工作；
d) 组织或配合违规调查及整改工作。

3. 合规管理沟通与协作

建立紧密结合、协同联动的合规管理机制，发挥合规防护、监督作用，降低合规风险。有效的企业合规管理沟通与协作包括：

a) 各职能管理部门与各业务部门，对其职责范围内的合规管理工作负直接责任；
b) 合规管理牵头部门，主要履行组织、协调和监督合规管理工作等职责；
c) 审计、内控、纪检监察等部门，主要履行合规管理监督职责。

三、 合规风险评估与应对

1. 合规风险评估目的

合规风险评估是识别企业内部合规风险，制定企业行为守则和构建企业合规管理体系的前提与基础。信息通信及互联网企业应在进行合规管理活动过程中开展企业内部的合规风险评估活动。

2. 合规风险评估团队组建

合规风险评估活动由合规管理牵头部门负责统筹，合规风险评估团队成员宜涵盖牵头部门和协同部门等专业人员，从企业经营管理活动的各个领域和各个环节展开合规风险评估活动。

为增强评估的客观性、独立性，不具备条件和能力的企业可以聘请中立、专业的合规风险评估团队进行合规风险评估。

3. 风险识别

针对企业合规管理重点，建立具体的合规风险评估流程。

统筹组织合规风险评估团队识别企业合规义务，进行企业合规风险评估，并详细记录合规风险评估的过程和结果。

4. 合规风险应对

针对发现的风险，制定预案，采取有效措施，及时应对处置。对于重大合规风险事件，由合规管理负责人或合规管理职能部门及时向合规管理委员会、决策层逐级汇报。合规管理委员会统筹领导，合规管理负责人履行职能，相关部门协调配合，共同提出风险管理改进措施，最大限度化解风险，降低损失。

5. 合规风险评估周期

企业应定期进行有效的合规风险评估活动。

在企业进入新市场、重大资产重组、合并和收购等重大事件发生时，应在企业内部开展合规风险评估活动。

四、合规管理制度建设

1. 合规管理制度体系

建立健全合规管理制度，制定全员普遍遵守的合规行为规范，针对重点领域制定专项合规管理制度，并根据法律法规变化和监管动态，及时将外部有关合规要求转化为内部规章制度。

2. 合规方针

确立企业合规方针，加强合规管理的顶层制度构建。

合规方针是合规管理的指导思想，是落实企业合规管理各项措施的基础和依据。

3. 合规行为规范

合规行为规范规定企业国（境）内外经营活动需遵守的基本原则和标准，包括但不限于企业合规理念、目标、内涵、适用范围、合规行事标准、违规的应对方式和后果等。

合规行为规范是企业合规管理基本制度，适用于企业全体员工以及代表企业从事经营活动的工作人员。

4. 合规管理基本制度

合规管理牵头部门根据合规管理体系的主要构成要素，制定合规管理基本制度。

5. 合规管理专项制度

合规管理牵头部门、各相关业务部门宜协作配合，针对重点领域制定合规管理专项制度。

6. 合规管理操作流程和指引

各相关责任部门结合业务实际，合规方针、合规行为规范及合规管理专项制度，制定合规管理操作指引和流程，细化合规工作的标准和要求。将标准和要求融入业务流程中，推进合规管理工作切实落地，确保各项经营行为合法合规。

五、 合规培训

1. 定期开展合规培训

建立合规管理培训常态机制，将合规培训纳入企业员工培训计划。

企业宜针对不同的培训对象，采用适合的培训方式、培训内容，定期开展合规培训。

当企业所处内外部环境发生重大变化、同类型企业出现严重合规风险事件等情形，宜对企业员工进行相应合规培训。

2. 合规培训的内容与测试

企业合规管理培训内容主要包括法律法规、政府监管政策、企业合规行为规范、合规典型案例、影响性合规事件等。

企业宜通过培训测试与不定期测试等方式检验合规培训效果。

企业宜依据培训内容制定、测试检验流程与标准。企业设定检验标准可以参考企业人员岗位职责要求、企业合规管理制度、专业领域或行业职业技术技能标准等。

本文摘编自中国互联网协会发布的《信息通信及互联网行业企业合规管理体系 指南》，全文下载请留意后续。