2022年10月，国务院国资委印发《中央企业合规管理办法》，提出要强化中央企业合规管理并设立首席合规官，面对该文件的要求，首席合规官有哪些挑战与机遇？首席合规官由总法律顾问（以下简称：“总法”）兼任，导致了职责范围扩大，在权力增多的同时也负担更多责任，需要尽快厘清法律、合规的职责边界，同时，文件对首席合规官的专业能力、对风险的预先识别提出更高要求。

面临种种挑战，文件指明了未来发展方向正是合规管理信息化建设，“以票控税”的监管模式启发我们从财税信息的角度寻找兼顾业务与职能的支点，把握关健数据来建立合规风险数据库，利用数据和系统能力来主动挖掘违规线索、预警合规风险点，实现合规事中监管的敏锐度和前瞻性，用好发票串联起数字、数据、报表与合规职能，打造多权而不越权、多责而不多虑、专业而不泛业、事中而不事后、关联而不割裂的业财税一体化合规管理信息系统。

本文作为总论篇，后续会针对反腐败、关联交易、财务管理等进行综合评估和论述，为首席合规官在迎接《中央企业合规管理办法》的实施以及后续发展提供一些可行性建议和数字化思考。

一、多权而不越权——首席合规官划清合规管理职责边界

设立首席合规官是世界一流企业的普遍做法，首席合规官作为企业核心管理层成员，全面领导合规管理体系建设与运行，发挥了积极作用。2021年国际标准化组织印发《合规管理体系要求及使用指南》（ISO 37301:2021）明确规定，应当指定一人对合规管理体系运行负有职责、享有权限。世界银行、经合组织等国际组织鼓励企业设立首席合规官，并作为评估合规管理水平的重要指标。

在中央企业设立首席合规官，是强化合规管理工作的一项重要举措，既有利于进一步明确合规管理职责、落实责任，统筹各方力量更好推动工作，也展现了中央企业对强化合规管理的高度重视和积极态度，对推动各类企业依法合规经营具有重要示范带动作用。要推进首席合规官的设立，领导合规管理部门组织开展工作，首要问题就是管理合规风险的边界是什么。

《合规风险识别、评价与控制指引》将合规风险定义为“不合规的作为或不作为导致的对于合规目标所造成的不确定性”，包括法律风险、违规风险、欺诈风险、操作风险和其他风险。《办法》第三条指出，“合规风险，是指企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。”同时，根据第二十一条，“中央企业应当将合规审查作为必经程序嵌入经营管理流程，重大决策事项的合规审查意见应当由首席合规官签字，对决策事项的合规性提出明确意见。业务及职能部门、合规管理部门依据职责权限完善审查标准、流程、重点等，定期对审查情况开展后评估。”由此可见，合规风险涉及所有重大法律纠纷案件、行政处罚、刑事案件、被国际组织制裁等，首席合规官有权广泛深入地参与管理活动、了解关键业务活动，也天然地获得在财务领域的管理权力。

然而，权力是引致合规风险发生的重要因素，面对首席合规官被赋予的重大职能，《办法》第十二条却要求“不新增领导岗位和职数，由总法律顾问兼任，对企业主要负责人负责，领导合规管理部门组织开展相关工作，指导所属单位加强合规管理”，迫使我们重新考虑法律与合规的职责边界，如何做到首席合规官多权而不越权？

《办法》所称的合规，是指“企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则，以及公司章程、相关规章制度等要求”，合规作为红线守护者，在其他业务部门发展业务、获取利润的过程中，对违反上述禁止性实体事项和强制性程序规定的风险及时“踩刹车”，合规要求的广泛性反映了其必须借助于多重法律的融合共生、协力合作才能完成。另一方面，根据《党的十一届三中全会以来新名词术语辞典》，总法律顾问的职权一般包括：为聘请单位就业务上和管理上的法律问题提供意见；草拟和审查业务上的法律事务文书；代理参加诉讼；参加解决非诉讼事件；进行法制宣传，为社会主义精神文明服务，根据《国有企业法律顾问管理办法》企业总法律顾问履行下列职责：“(一)全面负责企业法律事务工作，统一协调处理企业决策、经营和管理中的法律事务；(二)参与企业重大经营决策，保证决策的合法性，并对相关法律风险提出防范意见；(三)参与企业重要规章制度的制定和实施，建立健全企业法律事务机构；(四)负责企业的法制宣传教育和培训工作，组织建立企业法律顾问业务培训制度；(五)对企业及下属单位违反法律、法规的行为提出纠正意见，监督或者协助有关部门予以整改；(六)指导下属单位法律事务工作，对下属单位法律事务负责人的任免提出建议；(七)其他应当由企业总法律顾问履行的职责。”

可见，总法在职责范围内根据企业特征进行针对性的合规管理，必须与具体业务紧密结合，如银行领域需关注反洗钱法律、医疗企业的合规风险领域一般是违反国家反商业贿赂法律、大数据公司风险在于违反国家数据安全和信息隐私保护的法律，因此，要实现合规职能多权而不越权，既要满足合规管理不僭越《合规风险识别、评价与控制指引》“八项权力模型”提出的审核权、市场客服与销售权、人事权、采购权、放行权、计量权、财务资金权、拥有关键信息权，又必须要寻找一个贯穿全部业务活动、各个部门易于获得、兼具权威性和普遍性的工具。

企业的日常业务必然会涉及资金的流动，有资金的流出，也有资金的流入，需要标准化、规范化数据接口来把业务信息和财务信息无缝连接，才能达到整体效益最优。为了监管企业的业务活动和资金流动，国家用强制企业使用发票的方法监控应纳税所得，那么国家“以票控税”的监管模式给予我们一个兼顾业务与职能的支点，可以借企业海量的财税信息实现合规对业务活动的深入，同时不过度介入财务部门的投资筹资决策和日常会计活动，只有触发特定风险才会由合规职能评价财务活动，这就能体现首席合规官获得兜底性权利后的恪尽职守，实现首席合规官制度下合规获权与限权的平衡。

二、多责而不多虑——面对数据总法如何兼任首席合规官

《法治中国建设规划（2020-2025年）》首次提出，运用大数据、云计算、人工智能等现代科技手段，全面建设“智慧法治”，为了配合法治建设数据化、网络化、智能化，《办法》第十四条明确规定“中央企业合规管理部门牵头负责本企业合规管理工作，主要履行以下职责：……（五）组织或者协助业务及职能部门开展合规培训，受理合规咨询，推进合规管理信息化建设。”所以，合规信息化建设是首席合规官的重要工作职能，也是建设“智慧法治”中补齐合规管理信息化建设短板的必由之路。

《办法》要求“中央企业应当建立合规风险识别评估预警机制，全面梳理经营管理活动中的合规风险，建立并定期更新合规风险数据库，对风险发生的可能性、影响程度、潜在后果等进行分析，对典型性、普遍性或者可能产生严重后果的风险及时预警。” 风险数据库是指收集、维护与分析在风险管理过程中获得与使用的数据资料库，合规风险数据库就是企业内部的合规风险清单，把识别出来的各项合规风险按风险类别、风险描述、风险因素、管理部门、业务流程等列示出来，本质要求是获得足以辨识和评估合规风险的数据，相较于文案与合同的堆积式累加，更需要系统性运用高质量的数据信息。2021年3月，中共中央办公厅、国务院办公厅印发的《关于进一步深化税收征管改革的意见》把“以数治税”理念贯穿税收征管全过程，为新时期税收征管模式创新指明了前进方向，因此，以数据为基点建立覆盖全业务的合规风险管理库是大势所趋，企业应当运用数字化票据管理工具来实现合规管理需求。

建立合规风险数据库，在合规职能范围内管理财务风险，是在国资委以数治税理念下值得广大企业借鉴的做法，企业沿用监管和执法的逻辑，从已发生的合规风险案件中抽象出典型模型，那么企业在日益繁杂的经济活动中排摸时，运用大数据把握住简明的关键数据，就能见微知著，在不干扰其他职能部门运作、不覆盖原始数据的同时，只需在库内进行数据筛选和分析，就能快速高效摸清经济活动中的合规风险，及时进行风险评估与应对，正是中央设置由总法兼任首席合规官、推动加强合规管理的应有之义。

三、专业而不泛业——首席合规官应牢抓合规风险点

中央赋予总法职权的同时也对其专业性提出更高要求，2021年国务院国资委制定发布了《关于进一步深化法治央企建设的意见》，提出在中央企业中持续完善总法制度，2022年中央企业及其重要子企业全面写入章程，明确高级管理人员定位，由董事会聘任，领导法务管理机构开展工作。同时，要坚持总法专职化、专业化方向，直接向企业主要负责人负责，2025年中央企业及其重要子企业全面配备到位，具有法律教育背景或法律职业资格的比例达到80%。而要提升合规管理的专业性，找准风险点是最关键的一步。

对合规风险点的表述分散在众多文件之中，《中央企业全面风险管理指引》指出合规风险会源于“企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程”；《中央企业合规管理指引（试行）》设定合规管理的重点领域包括“市场交易（含反商业贿赂、反垄断、反不正当竞争，规范资产交易、招投标等活动）、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴”；《企业内部控制基本规范》提及合规管理涉及的内部风险应当关注“人力资源因素、管理因素、创新因素、财务因素、安全环保因素”等，而外部风险应当关注“经济因素、法律因素、社会因素、科学技术因素、自然环境因素”等；《企业内部控制配套指引》更是非常详细地罗列了合规管理中不得不注意的18个大板块，囊括组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统。

纵观上述种种合规风险点，合规管理面临挑战非常多元化，可是国家在提倡数字化合规的同时却缺乏建设性标杆和意见，尚没有通过文件明确描述职责范围和实现路径，数字化合规改革的推进仍需首席合规官依托自身专业素养和职业判断来落地，但是传统的合规能力目前无法胜任上述要求，任重道远。

要把握住合规风险点，首席合规官可以借鉴《合规风险识别、评价与控制指引》提出基于岗位权力的合规风险识别法，也就是说，围绕总法、合规总的岗位职责内容来识别各项合规风险。上文提及《国有企业法律顾问管理办法》企业总法履行的主要职责覆盖“企业决策、经营和管理中的法律事务”，因此总法兼任首席合规官必须要“熟悉企业经营管理，具有较高的政策水平和较强的组织协调能力；精通法律业务，具有处理复杂或者疑难法律事务的工作经验和能力”，法律和管理的能力通常首席合规官能够具备，也对业务和组织有一定了解，可是，对总法和合规总岗位职责的描述反映了财务方面的专业知识的缺位。早在法学院读书时，高等数学、财务管理、会计学往往不是法学生的必修课，于是总法在企业中承担合规职能时，面临财务和税务的专业问题可能无从下手，对涉及财税合规风险点的把握不够游刃有余。

风险导向、数据推动的合规管理是企业改革、行政监管和大数据时代背景下的必然选择，在高要求与少模范的夹击下，首席合规官更需要借助工具来补齐财务领域专业素养的空缺，采用集业财税于一体的合规管理系统，利用数据和系统能力来主动挖掘违规线索，充分利用风险规则模型来实现合规风险的在线监测和事前事中预警，才能确保合规审查与监测的敏锐度和前瞻性，推进合规管理权力落地，专而不泛、有的放矢提升合规的信息化水平。

四、事中而不事后——利用“合规血糖仪”做好实时预警和管控

国务院法制办表示，世界一流企业之所以合规管理做得好，一个重要原因就是充分运用大数据、人工智能等现代科技手段，真正将合规要求嵌入经营管理流程，并通过数据分析、智能控制等方式，实现即时预警、快速处置，切实提高了管理效能。因此，适应这一发展趋势，《办法》专章对合规管理信息化建设作出规定，从明确主要功能、推进与其他信息系统互联互通、加强重点领域和关键节点实时动态监测等提出要求，《办法》明确指出“中央企业应当加强合规管理信息系统与财务、投资、采购等其他信息系统的互联互通，实现数据共用共享。”国务院法制办在答记者问中指出：目前，超过半数中央企业建立了法治工作信息化管理系统，但合规管理信息化建设方面还有一些差距。

这个合规信息化的建设差距，主要体现在暂无有效方法使企业在被查处前建设合规体系，不少央国企被查出存在违法违规现象、甚至遭受行政处罚，才进行事后的整改与弥补，并未发挥出合规职能应有的作用，如中央纪委国家监委每年公开通报违反中央八项规定精神典型问题，涉及多名央企高层管理人员；四川银保监局针对中铁信托一次性下发11张罚单，重大违法违规包括“高管履职未经任职资格核准、未谨慎管理运用信托财产、印章管理不规范、重要凭证及员工行为管理不到位、信息披露不充分”等，涉及前中后台的方方面面；国资委党委向中国农业发展集团、中国交通建设集团、中国铁路通信信号集团等央国企反馈巡视情况并提出整改要求。从上述央国企不合规的整改案例来看，事后监管发生在行政行为实施后，风险事件已经触发，对企业而言遭受经济和声誉上的损失已成定局。

近几年，税务部门利用税收大数据持续健全动态“信用+风险”监管体系，《关于进一步深化税收征管改革的意见》表示计划在2023年前基本建成“无风险不打扰、有违法要追究、全过程强智控”的税务执法新体系，实现税收风险管理由“事后处理”向“事前、事中精准监管”转变。所以，当税务执法重心由事后向事中转移，企业仍旧采用事后管理模式，在时间上的迟滞导致了其过于被动，消极式面对风险只会导致接二连三的亡羊补牢。

因此，企业应当比税务部门的监管还要领先一步，力求“重治疗”转向“重预防”，对事后监管中被查处的央国企案例引以为戒。可是事中监管要求风险的辨识、评估、应对都要有高度灵敏性，这决定了事中监管的难度大大提升，那么，要用什么工具实现事中监管模式？寻找一款用于事中监管的“合规血糖仪”，将是很多首席合规官的重要需求和选择。

要真正满足事中监管，“合规血糖仪”需要借助数据库打通营运环节，一方面，合规风险数据库基于发票要素进行全链路追溯，对人员、合同、供应商的发票链逐一排摸，借助税局的监管思路实现动态逻辑交互；另一方面，合规风险数据库根据发票流程实施闭环合规管理，事前评估供应商资质、提供预警，事中核检发票风险、实现模块化管控，事后锁定风险发票、提供可视化方案。

（1）事前，评估供应商资质、提供预警：①精准管控，形成合规层面的精准管理，建立独立规则引擎；②缺票量自查，自动计算企业缺票量，以此为参考，安排发票抵扣报销事宜；③供应商合规评估，从受惩黑名单、失信名单、执行公告、税务和食药监管等多方面考察供应商负面信息。

（2）事中，核检发票风险、实现模块化管控：①对发票风险进行综合评估，主要包括发票核验监控、企业负面风险、风险规则评估和黑名单评估；②考虑实行团队制管理，由管理员掌握全部发票信息，团队其他成员仅对自己导入的发票拥有权限，实现后续可追溯、可归责；③分类别实行发票模块化管理，重点监控容易发生合规风险的发票类型，按季、半年和年进行周期性合规风险评估。

（3）事后，锁定风险发票、提供可视化方案：①实时处置交易风险，针对基于各类交易的风险事件，通过系统直接明确主体和人员，及时锁定风险发票，有利于追责；②对交易主体进行实时风控，关注供应商的信用风险，尤其是各类严重违法行为导致失信，进而提供实时化预警方案；③建立交易发票的实时预警制度，针对风险事件直接关联的相关发票，实现高风险预警，并对涉及的所有发票进行风险提示，提供可视化方案。

五、关联而不割裂——首席合规官融合运用数字、数据和报表

现有制度下，合规与经营之间缺乏连贯性，对于经营中生成的报表、数据、数字，合规管理的利用率不高，产生割裂感。而报表的核心在于数据，而数据是报表的灵魂，从数字到数据、再到报表，本就是反映业务本身、与管理密切整合的一条逻辑线，当前，税务部门就充分把握了数字、数据的关键作用，税务部门凭借对发票大数据的精准分类监管，在开具发票、交付发票、查验发票时全过程大数据监察，对企业存在的高频税务、市场监管违法行为、企业内部违规行为进行画像建模，在初始发现、关键节点识别、证据记录和过程回溯等环节发挥了重要的执法和监管功能，对税务违规行为和失序状态造成了“警示性”压力。

那么，相应地，企业也可以把发票用作“合规血糖仪”的“探针”、事中监管的着眼点：一方面，在企业对各项经济活动进行合规管理时，发票是交易中资金流动的有效证明，可以为法律合规职能提供权威准确的证据，为风险的提前辨识、分析、评价提供依据，同时不过度介入财务部门的投资筹资决策和日常会计活动，只有触发特定风险才会由合规职能评价财务活动；另一方面，发票的价值不仅在于金额，货物或应税劳务、服务名称、开票日期、销售方等丰富的信息内涵可以对企业上述各项风控指标进行预判，为反垄断、反商业贿赂、关联交易等重点监管领域提供事前自我合规检查的渠道，随时深入财务、投资、采购等营运环节，打破职能部门间的信息壁垒，增强企业管理控制的协同效应，助力企业以税务稽查的逻辑来倒推合规管理。

以下是以进项发票为底层数据的“合规血糖仪”的数据和业务模型：

发票承载了企业的业务活动与资金流动，是数字、数据到报表中贯穿始终的一条线索，巧妙串联起业务、法律和财税，因具有数量多、频率高、内容杂的特征而更需要依托数据库实现其价值。合规风险数据库可以基于发票要素进行全链路追溯，形成独立风险规则引擎，凭借强大的研发能力和实务经验，借助税局的监管思路实现动态逻辑交互，从而及时对企业风险进行预判和警示。具体而言，即通过发票链，将基于人员、业务团队、合同和供应商的全链路追溯机制贯穿起来，以发票为抓手，实现对海量、具体、高频发票的精细化管理，对发票票面上4485个货物或应税劳务、服务名称和750个简称进行数据内容重组，重构并可画像，实现发票数据可追溯，让报表、凭证、数字、数据实现无缝连接和流转，实现大数据管理。在建立合规风险数据库的同时，通过大数据发票合规系统的建设，让该系统变成“合规血糖仪”，让企业在经营过程中，实现无痛、无感、实时和精准的合规保护。

结语

面对《中央企业合规管理办法》对首席合规官多职权、多职责、专业能力、预判能力的要求，首席合规官应尽快认识到建立合规风险数据库的必要性，借助发票这个关键工具串联起数字、数据、报表、业务与合规，推进合规管理信息化建设，秉持以数治税理念来重点深入反腐败、供应商管理、关联交易等合规重点领域，后续持续更新中。