在合规内控体系建设工作，是高质量发展背景下的现代企业制度建设工作的核心措施之一，在企业内部是一项长远的工作。近些年，政策频发，相关政策可参见前期的《近期合规、内控、风险相关政策的几点理解》，国有企业、上市公司多少都经过了一轮合规内控体系建设，形成内控手册、合规指引等资料，但是，大家仍普遍存在一定的疑惑，例如合规内控建设到底对管理有什么直接效果；制度建设工作如何进一步有效的推进，流程执行如何有效的改善，合规内控信息化怎么推动等。2022年8月23日国务院国资委发布《中央企业合规管理办法》部门规章，制度管理工作单独列为一章，明确提出制度管理要求。就如何有效的建立、提升企业的制度管理，进一步推动合规内控体系的效力，结合多年的咨询工作经验，我们提出如下建议：

建议一：可视制度覆盖情况，用“数字”促进建设

制度管理，首先建议解决“有无”问题。从多个企业的了解情况来看，集团下属二级企业、三级企业制度缺失较多，管理部门重业务，不重流程规范，工作个性化较强，重复业务管控不一，效率不高，生搬硬套上级单位制度，干部轮岗后遗留问题也较多；领导决策过程由于没有必要的业务支撑，呈现出较严重的跳流程、拍脑袋、领导说了算的现象。集团总部制度个数一般较多，常见超过300个制度，但对重点核心的业务，制度在各业务步骤上的完整性方面往往存在较多问题。制度管理部门多数管理动作为“汇总”、“发布”制度，对于公司该有哪些制度，哪些方面缺少制度，缺少监督和促进动作。

建议采用制度覆盖率数据，可视公司各业务的具体覆盖情况，评价和展示出具体哪些环节缺少制度，以督进相关领域加强制度建设，解决制度“有无”的问题。决策事项涉及的制度，应重点首先建立，以保障企业的核心业务的实施与决策过程有章可依。制度覆盖率重在衡量制度“有无”问题，并不擅长解决制度合理有效问题，制度合理有效问题建议参考本文后续建议。对于制度覆盖率低于60%的企业，中短期内建议重视覆盖率的可视与提升。

建议二：建立制度、法规与流程关联的查阅工具

企业制度、法规的建立，有利于规范业务，但是通过长期的实践，我们发现在制度查阅的时候，有两个常见现象，一是制度、法规大多数没有按照业务流程过程顺序编写，内容散点化；二是业务人员不爱看制度，或者把制度汇编看完了，也难找到所操作业务的具体要求。另外，公司内部的各种制度，例如“三重一大”事项、章程、部门职责、放权清单、规章制度、内控手册、合规指引可能都通过了董事会的决策，都反复对某一业务进行了要求，因此，建议将这些资料按流程进行关联，方便业务人员在做业务的时候进行查阅，也可发现不同内部制度中冲突之处，以进一步完善统一。

内控手册的目标是方便业务人员做业务的时候了解规章制度要求什么，合规指引的目标是让业务人员做业务的时候了解外部法规的具体要求。因此，在完成手册、指引的建立之后，建议企业建立制度、法规、流程、手册、指引联动的查阅系统，方便各员工查询手册、指引，实现按流程业务查询制度、法规。纸质的资料，或者简单的查询系统，目前来看，很难满足业务人员的查询及使用需求。

建议三：落实首席合规官决策前的签字机制

从公司管理的角度来说，一方面，风险越大，影响越大的业务一般会进入决策事项，非决策事项放权到具体的经营单位和部门，发挥经营主动性；另一方面，公司工作是各个专业部门发挥专业特长分工协作。但是，一般在企业经常出现两种情况，一是业务部门不充分分析和征求各方面意见，觉得最终是“领导层说了算”，图省事，跳流程跳步骤，直接提交签批或上会；二是经营部门不愿意承担责任，什么问题都提交到领导层，上报决策。

针对上述事项，我们建议落实《中央企业合规管理办法》第二十一条，对于上会事项进行事先的合规审批，保障业务决策的事前流程、支撑动作执行到位，提升决策效率，减少风险发生。各审批发起人，在上会前应根据流程、制度进行自查，合规部门或首席合规官审核确认是否有按该事项对应的流程、制度有效履行。对于没有制度流程，或者制度流程不合理的问题，或者制度与执行不一致的问题，通过该动作便建立起两道“责任防线”，以缓解跳流程、跳步骤问题。

建议四：关注核心业务制度中的单据、权责、审核内容标准化

对于制度编制较多，并且覆盖率超过60%的企业，制度管理部门重点已经不在“有无”问题，但常见有仍还有两方面的基础问题：一方面是制度可执行性不强，看到制度还是不知道如何操作业务，例如该如何发起业务，该填写什么样的表格，审批的时候应当注意和控制哪些元素；另一方面是业务部门不按照制度执行，制度与执行“两张皮”，OA系统建立流程困难或建立的流程与规章制度要求不匹配。后一问题我们在下个建议中描述。

为深入提升业务制度的质量，解决制度合理有效问题，我们建议对于核心业务，应标准化制度中涉及的单据填写模板，提供制度权责清单列表，若有审批审核环节，应细化审批审核关注要点。流程的有效执行，由“谁发起，做什么”开始，因此，权责边界清晰，单据模板清晰，能有效的指导流程发起者发起业务和推进业务；审批审核关注点清晰，既方便发起者方案编制完善，也方便审核者关注方案合理性，提升流程执行有效性。所以，在制度管理过程中，特别是核心业务，建议关注制度中的单据模板、权责要求、审核要点的完善。

建议五：推动合规内控管理与企业管理系统建设一体化

“管理制度化、制度流程化、流程信息化”，重点业务，发生频率高的业务，固化到信息系统，既能提升效率，又可形成刚性约束，基本是所有管理者的共识。但是企业面临业务人员不懂IT技术，IT人员不了解业务，导致开发的系统不完全符合业务要求，IT成本居高不下的情形。

无论是合规、内控管理，还是IT开发，最终服务的对象均是业务流程，两者所依赖的底层元素完全一致，因此，建议推动合规内控管理与企业管理系统建设一体化。简单的举例，内控合规部门牵头进行流程、制度的梳理，梳理的成果可关联动态查询展示，方便业务人员了解业务过程，同时，内控手册中的流程步骤可直接落实到审核系统。这样，可将制度要求有效和直接落实到信息化系统，形成刚性约束，避免IT人员和业务接口人造成制度与系统“两张皮”；删除了IT人员需求调研环节，减少IT人员对业务不了解造成的开发浪费。

后记

我们根据实践经验，暂时总结出以上建议，对于已经完成内控手册、合规指引的企业，若流程图和制度、外部规范未实现关联，或制度覆盖情况不可知可视，可考虑从建议一、二、三方面提升；若建议一、二、三中措施均具备基础，可考虑从四、五点进行深入促进。

风险、内控、合规管理，经过近二十年的发展，政策要求都比较多，企业内部工作也比较繁杂，理论成熟度仍不高，在知识面、工作量上都对从业者提出较高要求，在提质增效的国企改革背景下，数字化的辅助工具使用，已经成为进一步深入提升企业治理能力，实现现代企业制度管理的必经之路。我们需要不断的研究，推进合规内控管理“数字化”，但也要注重“报送”类的伪系统的出现，避免工作在纸面上做一遍，然后在系统中录入一遍，这样非但没有提升效率，反而将工作量翻倍。应当由系统实现分析、编制、维护、发布、查询、导出、评价、监督、检查等管理动作，大部分工作在系统层面完成，真正实现合规内控“数字”化。来源：综合互联网