◎文 《法人》杂志全媒体记者 李辽

合规领域重磅文件《中央企业合规管理办法》强调企业要进行合规管理信息化建设，为合规管理信息化建设明确了目标和方向、实现路径和运营方式。

如今，国家对非中央企业虽然没有合规信息化的要求，但由于其能够在企业自身业务领域及涉案企业合规改革中产生积极影响，因此，合规信息化建设已成为各类企业的基本共识。近日，《法人》记者就企业落实合规信息化有关问题，采访了上海交通大学企业法务研究中心副主任施浩。

▲施浩 资料图片

系统思维 源头防控

利用合规信息化，可实现合规管理与企业信息系统互联互通，实现数据共享，对关键节点动态监测，实时监控风险。

《法人》：什么是合规信息化？

施浩：合规信息化是一种对企业从立项之初到履约终止各种业务全生命周期进行智能化、可视化的全流程、全节点、多组合性审查的合规管理体系。

《法人》：合规信息化有何特征？

施浩：首先是上下贯通，全面覆盖。企业合规对企业经营管理行为和员工履职行为进行了要求。这两类行为涉及法律、审计、财税、环保和数据交易等业务中的工作流程和节点。

以往，在没有信息化的背景下，这些涉及合规的工作业务主要依靠有工作经验的企业人员来开展和把控。但人的工作经验有限，就引发合规业务开展过程中或多或少存在遗漏工作流程与节点的现象。从而导致企业内外部之间信息不匹配，为企业舞弊行为产生提供温床。所以，开展合规信息化能让企业工作人员更全面了解自己的工作任务与职业规范，减少信息不匹配的现象，从而在源头防止舞弊行为。

其次是系统思维，实时监测。合规意味着时刻遵循法律法规或行业规范。在以往线下合规过程中，因为没有及时、成体系的解决方案，如何确保工作行为时刻不偏离法律法规，如何及时发现业务偏离后可能导致的不规范行为，如何及时用专业方式防止不规范行为进一步演化为舞弊行为等成为一系列难题。

而合规信息化可以将各种带有专业性与行业性特征的审查模型嵌入项目全生命周期管理中，使得其中每一项流程和每一个节点都有相应匹配的合规审查内容与舞弊防范范式，从而确保项目在全生命周期的推进过程中拥有递进式、层层保险的合规审查监测机制，防止舞弊行为发生。

提升合规效率与专业性

合规信息化可打破数据孤岛和系统藩篱，将合规管理信息化系统与其他业务信息系统互联互通，各取所需，助力一道防线自查自纠、自我完善，使合规分析按条线、分模块进行，提高合规分析精准度。

《法人》：企业对合规信息化是否有迫切需求？

施浩：有的。首先，从效率方面考虑。舞弊行为来源于日常业务的不规范操作，这种不规范操作往往具有瞬发性。在没有信息化的背景下，企业工作人员有意不规范操作难以及时查证，直到演化成影响较大的舞弊行为甚至犯罪行为时才被发现。而合规信息化能够用专业性和行业性的审查模型，一方面从项目生命周期推进的角度，发现与制止项目流程早期的不规范行为，提高预防舞弊行为的效率。另一方面，在项目生命推进过程中，每项流程与节点都会有不同的不规范操作。合规信息化的介入，能建立起具有层次的防舞弊行为体系，即使有不规范操作产生，也能及时发现并遏制这类行为发展为舞弊行为。

其次，从专业性考虑。当下法律法规以及行业标准中，有许多涉及业务工作规范以及犯罪行为防治的条款，但这些条款往往缺乏统一的实操手段来指导企业合规工作。合规信息化以行业性为出发点，整合行业中各项专业法律法规以及行业标准，将它们纸面上的规定变为项目生命周期推进过程中可操作、可复现、可追溯的合规方式与手段，解决企业以往在合规管理过程中操作性不强、无具体抓手的问题。

再次，从企业自身优化保护需求来考虑。企业合规的本质是保护企业自身不被舞弊行为影响。一方面，合规信息化将提升合规的效率与专业性，为企业更及时发现和处理自身风险提供有效抓手；另一方面，合规信息化作为检察机关涉案企业合规改革中第三方评估的一项重要内容，一直受检察机关重视。在第三方评估没有形成统一标准前，企业自身合规信息化建设将有效保护企业，有助于检察机关在对企业的评估中增加更多积极评价因素。

最后，从企业商誉考虑。合规信息化的推行会减少不规范操作带来的灰色领域，企业通过合规信息化建设，能够获得更具价值的商业信誉。一方面，投资者与消费者更倾向于选择内控制度完善且业务模式清晰的企业；另一方面，合规信息化建设将使企业成为行业标杆，不仅能够探索合规信息化新范式，还可以摸索在合规信息化前提下业务开展的高效模式。

《法人》：企业建立合规信息化具体要做哪些关键工作？

施浩：首先是梳理业务流程。合规信息化的基础在于业务流程加业务流程合规的模式。因此，梳理业务流程是合规信息化的第一个关键点。其要点在于，以业务特点为导向，梳理业务从产生到终止过程中的各个流程与节点，明确这些流程节点中所需要的业务文件与业务要素。

其次是整合要素文件。合规审查的内容主要基于业务文件与业务要素。有的业务要素来源于业务文件，有的业务要素需要通过非业务文件形式比如OA获取。它们的整合包括三个方面：一是确定业务流程节点中必要的业务文件与业务要素，如果这些文件与要素缺失，本身就是业务不规范操作的行为之一；二是将业务要素与文件进行专业性融合，这是形成合规审查模型的重要环节，可让法律法规以及行业标准可操作；三是将业务要素与文件进行创新组合，需要针对上一环节已经形成的组合性合规审查模型进一步提出可操作、可实施的防止舞弊与相关处理意见，从而形成新的防治业务舞弊行为可操作性标准。

最后是将合规信息化合理部分开源。合规模型的形成与应用需要实践场景检验。在这一过程中，以合理的开源平台邀请更多专业人士发现合规审查模型、合规流程可优化之处，这是保证合规信息化能够始终符合具体业务实践的重要途径。但在这一做法中，需要关注企业的商业秘密、数据安全和数据交易合规。

满足企业不同需求

良好的信息系统管理治理与信息技术内部控制框架设计，是信息化成功建设的关键支撑要素。

《法人》：不同类型的企业打造合规信息化是否有所区别？

施浩：从企业规模来看，不同规模企业对合规信息化的需求不同。我在前期调研时发现，小微企业更为关注税务、商务谈判、法律纠纷等方面的商务合规智能化；专精特新企业，其合规信息化的需求集中于数据交易、知识产权、环境影响等专业鉴定和快速评估的合规报告；上市公司合规信息化不仅要涉及行业特征的业务评估，还包括上市过程中的IPO合规、上市交易过程中的信息披露合规等；大型民营企业则更为关注如何通过合规信息化打开更大市场，因此，通过合规优化业务组合与效率是民营企业关注重点；国企、央企的合规信息化需求来源于《中央企业合规管理办法》及《中央企业法律纠纷企业管理办法》，要求合规信息化能覆盖全业务领域，不仅保证企业法律、审计、财务等内控的智能化需求，还要涉及企业对外合作投资中的各项政策研究、投资规划、域外合作风险等合规事宜的智能化呈现。

同时，不同行业的企业在合规信息化上有所差异。合规信息化功能模块分为基础模块和特色模块。基础模块是根据企业商品买卖或投资行为为导向，设立采购或投资合规信息化模块。而不同行业领域企业针对不同业务需要不同的合规信息化予以实现。例如，在公路行业中，大量涉及工程管理、运输管理、收费稽查等专业领域业务，需要针对行业特点设立不同流程管理的合规信息化模块；而在医药行业中，库存管理、商业比价、域外药品管理等是带有专业领域的业务，因此，医药行业合规信息化模块在基础模块的前提下又与其他行业不同。

《法人》：目前，企业合规信息化落地障碍是什么？

施浩：企业缺少顶层设计，不知如何系统建设合规信息化，实践中更多停留在合同审查层面。同时，缺少规则模型。因为将法律风控、内控审计的专家经验内化为规则模型嵌入系统，并使其自动实现的技术门槛高，难度大。最后是缺少数据基础。多数企业基础信息化程度较低，线下环节较多，缺少数据中台，导致合规信息化系统运行缺少必要的数据来源。

责编｜惠宁宁

编审｜渠 洋 

校对｜张波张雪慧

来源｜《法人》杂志2023年08月总第234期