在合规管理体系建设中，制度手册等制作完成之后，需要有很好的执行过程，需要运用到内部控制的大量智慧和能力。

合规的边界在于“规”的边界。在很多组织，除外部强制性规则，由于内部规则不明确，就需要很多创“规”的工作。创“规”已经不是合规工作，而是合规+的工作。内部控制关注创设规则，是企业等组织达到遵守规则为的主要目的之一的工具。内部控制提示我们，合规+工作需要根据组织的情况量体裁衣，需要根据组织业务和流程，才有可能在满足外部强制性规则的前提下，为企业等组织管理制定一套合理的有效的便于操作规则。

• 
  

• 一、传统内部控制活动

根据《企业内部控制基本规范》，企业等组织应有以下内部控制机制：

1. 不相容职务分离控制机制

不相容职务分离控制要求组织全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。

2. 授权审批控制机制

授权审批控制要求组织根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。组织应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权是指组织在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指组织在特殊情况、特定条件下进行的授权。组织各级管理人员应当在授权范围内行使职权和承担责任。组织对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。

3. 会计系统控制机制

会计系统控制要求组织严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。组织应当依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。大中型组织应当设置总会计师。设置总会计师的组织，不得设置与其职权重叠的副职。

4. 财产保护控制机制

财产保护控制要求组织建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。组织应当严格限制未经授权的人员接触和处置财产。

5. 预算控制机制

预算控制要求组织实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。

6. 运营分析控制机制

运营分析控制要求组织建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

7. 绩效考评控制机制

绩效考评控制要求组织建立和实施绩效考评制度，科学设置考核指标体系，对组织内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

8. 重大风险预警机制和突发事件应急处理机制

组织应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。

二、国有企业现阶段合规内部控制要求

根据《中央企业合规管理管理办法》第21-28条，需要建立：

1. 合规风险识别评估预警机制

中央企业应当建立合规风险识别评估预警机制，全面梳理经营管理活动中的合规风险，建立并定期更新合规风险数据库，对风险发生的可能性、影响程度、潜在后果等进行分析，对典型性、普遍性或者可能产生严重后果的风险及时预警。

2. 合规审查机制

中央企业应当将合规审查作为必经程序嵌入经营管理流程，重大决策事项的合规审查意见应当由首席合规官签字，对决策事项的合规性提出明确意见。业务及职能部门、合规管理部门依据职责权限完善审查标准、流程、重点等，定期对审查情况开展后评估。

3. 合规风险应对机制

中央企业发生合规风险，相关业务及职能部门应当及时采取应对措施。中央企业因违规行为引发重大法律纠纷案件、重大行政处罚、刑事案件，或者被国际组织制裁等重大合规风险事件，造成或者可能造成企业重大资产损失或者严重不良影响的，应当由首席合规官牵头，合规管理部门统筹协调，相关部门协同配合，及时采取措施妥善应对。

4. 合规报告机制

中央企业发生合规风险，按照规定向合规管理部门报告。中央企业发生重大合规风险事件，应当按照相关规定及时向国资委报告。

5. 违规问题整改机制

中央企业应当建立违规问题整改机制，通过健全规章制度、优化业务流程等，堵塞管理漏洞，提升依法合规经营管理水平。

6. 违规举报处理机制

中央企业应当设立违规举报平台，公布举报电话、邮箱或者信箱，相关部门按照职责权限受理违规举报，并就举报问题进行调查和处理，对造成资产损失或者严重不良后果的，移交责任追究部门；对涉嫌违纪违法的，按照规定移交纪检监察等相关部门或者机构。中央企业应当对举报人的身份和举报事项严格保密，对举报属实的举报人可以给予适当奖励。任何单位和个人不得以任何形式对举报人进行打击报复。

7. 追责问责机制

中央企业应当完善违规行为追责问责机制，明确责任范围，细化问责标准，针对问题和线索及时开展调查，按照有关规定严肃追究违规人员责任。

8. 经营管理和员工履职违规行为记录机制

中央企业应当建立所属单位经营管理和员工履职违规行为记录制度，将违规行为性质、发生次数、危害程度等作为考核评价、职级评定等工作的重要依据。

9. 合规管理与法务管理内部控制风险管理等协同运作机制

中央企业应当结合实际建立健全合规管理与法务管理、内部控制、风险管理等协同运作机制，加强统筹协调，避免交叉重复，提高管理效能。

10. 合规管理体系有效性评价机制

中央企业应当定期开展合规管理体系有效性评价，针对重点业务合规管理情况适时开展专项评价，强化评价结果运用。

11. 合规考核评价机制

中央企业应当将合规管理作为法治建设重要内容，纳入对所属单位的考核评价。

以上11项机制，按照内部控制流程梳理，综合来说分为合规审查流程、合规风险管理流程、合规管理体系有效性评价流程、合规/法务/内部控制/风险管理协作流程四种类型。其中，合规风险管理流程包含了：合规风险识别评估预警机制、违规举报处理机制、合规风险应对机制、合规报告机制、违规问题整改机制、追责问责机制、经营管理和员工履职违规行为记录机制、合规考核评价机制，是主要的合规管理机制。

三、境外先进合规经验内部控制要求

除《企业内部控制基本规范》《中央企业合规管理管理办法》内部控制要求，结合境外合规先进经验，合规内部控制还应包括以下措施：

1. 合规调查机制

采用基于风险的方法，组织应在与第三方建立业务关系之前进行合理和相称的合规调查，并应在合理的时间间隔更新该合规调查。合规计划的合规调查还应扩展到第三方，如代理人和其他商业伙伴，包括中介机构、顾问、代表、分销商、承包商和供应商、财团和合资伙伴，视其风险因素而定。

2. 合规激励机制

组织除强调的违规追责，对于合规也应当强调正面激励，给予坚持合规，弘扬合规文化的员工正面奖励。

3. 法定责任和联络机制

组织应积极与境内外监管机构建立沟通渠道，了解监管机构期望的合规流程，制定符合监管机构要求的合规制度，降低在报告义务和行政处罚等方面的风险。

4. 商业伙伴管理机制

组织应定期对商业伙伴进行监测，因为最初评估确定的风险可能会发生变化。此外，组织可以对高风险商业伙伴进行特别监测。

5. 财务机制

组织应建立并维护有效的内部控制系统，包括对组织的财务、会计和记录保存实践以及与合规计划相关的其他业务流程的财务和组织制衡。内部控制系统的设计应合理，以确保保持公平和准确的账簿、记录和账目，供董事会（如适用）或相应机构以及审计师检查，以确保组织财务不能用于违规。

6. 文件化机制

组织必须保存有关合规涵盖的所有方面的适当记录，包括合规列出的事项或项目支付任何款项的时间。对合规相关活动进行适当、准确和可追溯的记录保存对于组织的合规工作至关重要。全面的记录保存系统将帮助组织进行绩效审查和审计，遵守所在地和/或国家文件保留要求，并在合规查询的情况下促进与主管当局的合作。强化合规管理信息化建设，通过信息化手段优化管理流程，记录和保存相关信息。运用大数据等工具，加强对经营管理行为依法合规情况的实时在线监控和风险分析，实现信息集成与共享。

 7. 物理和信息安全机制

组织出于（境外）国家安全和外交政策目标的原因，对包括软件和技术在内的业务进行管制。由于其敏感性，因此应“保护”业务，并采取适当的安全措施有助于控制未经授权移除或访问受控物品的风险。物理安全措施很重要。

8. 行为准则机制

对组织和专业的道德期望急剧增加，同时良好的组织治理期望方面的压力也越来越大。这导致许多组织，包括中小型企业和大型企业，都采用了《行为准则》（核心价值声明/商业原则声明）。

9. 利益冲突管理机制

当组织决策基于相互冲突的利益时，组织也可能面临风险。如果组织中的个人在代表组织时，其职业、个人或私人利益与个人预期的利益背离，就存在利益冲突：简而言之，个人利益与组织利益发生冲突。

四、总结

综合以上合规内部控制机制梳理，合规内部控制可以归为以下类别来进行具体的适用：

• 合规风险控制类

具体又包括，

   （一）合规风险评估类

1. 1.       运营分析控制机制

2. 2.       合规风险识别评估预警机制

3. 3.       违规举报机制

4. （二）合规识别应对类

5. 4.       合规风险应对机制

6. 5.       重大风险预警机制和突发事件应急处理机制

7. 6.       违规处理机制

8. 7.       合规报告机制

9. 8.       违规问题整改机制

10. 9.       追责问责机制

11. 10.    授权审批控制机制

12. 11.    法定责任和联络机制

13. 12.    物理和信息安全机制

合规风险控制类合规内部控制主要目的是为了控制合规风险，围绕着从合规风险评估（识别、分析、评价）、应对的逻辑顺序进行。

• 合规审查控制类

• 13. 合法合规性审查机制

• 14. 合规调查机制

• 15. 商业伙伴管理机制

• 16. 合规管理体系有效性评价机制

本类机制主要目的是为了进行合规审查，发现合规风险事项。

• 诚信控制类

• 17. 文件化机制

• 18. 不相容职务分离控制机制

• 19. 合规激励机制

• 20. 行为准则机制

• 21. 利益冲突管理机制

• 22. 经营管理和员工履职违规行为记录机制

• 23. 合规绩效考评考核评价机制

本类机制主要为了控制部门和员工行为，做到诚实信用，避免欺诈情况发生，提高合规管理可信性。

• 财务控制类

• 24. 会计系统控制机制

• 25. 财产保护控制机制

• 26. 预算控制机制

• 27. 财务真实性控制机制

本类机制通过财务手段，控制违规行为，发现违规风险。财务对违规行为具有高度敏感性。合规管理需要通过财务手段来辅助。

通过以上合规内部控制的有效设计与运转，可以为合规管理提供落地支持。当然每个机制的设计与执行又产生了很多需要细化的工作，客观说明了合规工作的难度，需要合规人不断努力。