一、背景
　　
　　国有石化企业具有重视合规风险管控的优良传统。在上世纪90年代始，大多数国有石化企业不仅设立了专职法律工作机构，还先后建立了质量管理、计量检测、HSE、内部控制、　“三基”和企业标准等专业管理体系。通过建立上述体系，识别了适宜的法律法规和其他要求，通过直接采用或转换为企业文件的方式来实施这些识别的要求，基本满足了生产经营管理的需要。但是，站在全面防范合规风险的角度看，还存有如下问题，影响到合规风险管控水平的进一步提高。
　　1我国的市场经济是一个不断完善的法制经济，随着经济社会的不断发展，规范经济活动的法律法规和其他要求处于不断变化完善当中。随着法律法规和其他要求的不断出台和修订，强制性要求越来越多、越来越严(如环境保护、劳动保护的要求日趋严格)，使企业原来合法或不违法的经济活动，可能成为不合法或违法的行为，给企业带来法律风险。因此，必须建立一种能够及时识别这些变化了的要求的机制，才能防止由于惯性行为产生的违法不知的尴尬局面，才能减少法律纠纷的发生，避免不良影响或减少经济损失，促进企业健康发展。
　　2石化企业作为资金技术密集、有毒有害。高温高压、易燃易爆、连续生产的行业，既具有国家强制性要求和本行业特殊要求(如环境保护、安全生产、职业卫生等方面的法律法规和指标)，同时作为市场经济的主体，作为国有企业，又有来自于其他方方面面的要求(如各级政府及部门的产业政策指导，地区发展规划等，党群的上级组织，内部的党员、廉洁从业，稳定、员工思想等等)，企业只有有效地识别并落实这些要求，才能合法生产、经营与管理，并规避企业风险，提高合规性及相关方的满意度。目前，本公司对质量，安全、环境方面的部分法律法规及其他要求进行了管理，这些方面的法律法规和上级要求固然重要，但其他专业的合规风险同样不可忽视，只有全面识别与管理适用于企业的各项法律法规及其他要求，才能更好地进行风险管理，增强合规性，提高企业整体绩效。
　　3市场经济，企业面临诸多风险，而许多风险最终体现为合规风险。企业独立识别风险、控制风险、规避风险或风险一旦发生即将损失降至最低，这是中国社会主义市场经济赋予企业的完全自主的功能和权益，是国有企业现代化管理的“必修课”。传统的合规风险防范将工作重心放在了对个别或特定法律风险(甚至是事后补救)的控制和解决上，未能在事前以整体的、连续的，系统的方式来识别、控制和解决或降低合规风险，造成合规风险管控处于被动状态。
　　
　　二、石化企业合规风险全面管控的内涵与主要做法
　　
　　石化企业合规风险全面管控是在企业生产经营管理过程中，为了合理、有效地管理和控制企业面临的合规风险而建立的，由一系列制度、流程、活动、方法以及必要的组织机构体系构成的有机整体。它主要包括识别与确认合规要求，合规风险分析、合规风险控制、合规性评价与改进更新四个主要活动环节和必要的资源保障与组织机构体系，它们相互影响、循环往复，形成一个动态的管理闭环。主要特点体现在合规风险防范由被动变主动，由局部到全面，由少数人防控到全员参与。主要做法包括：
　　
　　(一)识别与确认合规要求
　　企业所有适用的法律法规和其他要求(简称合规要求)一般具有强制性特点，违反这些要求就可能发生合规风险，给企业带来经济、行政或商誉等方面的不利后果，严重的甚至会被停产整顿、勒令关闭，对相关责任人员会作刑事追究。因此，建立运行合规风险模式首先识别应当遵守的法律法规和其他要求。并确保这些要求在企业内部以适当的方式得到沟通和理解。
　　1识别范围。与企业生产经营管理相关的法律法规和其他要求都列入识别范畴，包括应当遵守的国际公约、国家的宪法、全国人大及常委会通过并颁布的法律、国务院行政法规及部门规章、中国共产党党规党纪。群团组织条例、国家或行业与地方的强制性标准、地方性法规、强制性指令和上级机关的规章等等。
　　2识别方式。鉴于企业所有的生产经营管理活动都离不开法律法规和其他要求的调整，因此，按照“谁主管，谁负责”的原则，我们发动各个职能部门的各个岗位来识别适用的法律法规和其他要求。识别的渠道或途径包括与相应的主管部门保持联系的方式获取，或通过行业协会、电子网络、出版机构、图书馆、书店、专业性报刊杂志、咨询机构、认证机构等渠道获取。
　　3识别登记。对于通过上述途径或渠道获取的法律法规和其他要求，确认出具体适用的条款和企业内部对应的部门(业务、区域)和岗位，并分类进行登记。
　　4直接采用或转换为企业文件。当适用的法律法规和其他要求存在下列情况时，转换为企业文件，①涉及多个专业要求，且直接采用易出现误解或遗漏情况；②比较原则，缺少操作性时：③明确要求制定细则时。否则，直接采用执行。
　　5下发并培训。鉴于企业识别应当遵守的法律法规和其他要求的广度和企业内部信息网应用的深度，应将上述识别到具体应用条款的法律法规和其他要求，通过内部信息网上发布，方便全员查阅。同时，以职能部门为主，结合国家普法要求逐级开展宣贯培训，确保各执行部门和岗位熟悉和掌握应当遵守的法律法规和其他要求。
　　6识别抽查。适用法律法规和其他要求收集齐全是确保避免遗漏重大合规风险的前提，因此，在由各职能部门分别进行识别时，归口部门应组织进行抽查，督促各职能部门在现有条件下尽可能地识别齐全。
　　
　　(二)合规风险分析
　　由于合规风险是企业违反法律法规和其他要求造成的，因此，在识别出应当遵守的法律法规和其他要求的基础上，还必须结合企业的具体实际(比如资源配置、管理流程、规章制度、以往的案例等)分析执行适用的法律法规和其他要求还存在的不足或问题，在此基础上建立合规风险数据库，并从中确定可能存在的关键合规风险，为制定有效控制措施提供依据。
　　1主要分析对象
　　(1)企业文件清理分析。为了提高执行的效率和效果，企业对于有些法律法规和其他要求，往往需要转换为企业文件来下发实施。如果企业制定的文件本身与法律法规和其他要求不符合，合规就无从谈起。因此，首先应对企业制定的所有文件进行合规性清理。

      (2)管理流程梳理。流程是一个企业所有运作活动的路径和范式，企业通过执行流程来进行生产经营管理活动。流程的输出由输入和输入后的活动所决定。输入或输入后的活动不合规，不可能产生合规的输出。如合同审批流程不经过业务单位，专业法律部门或岗位的审查，审批权限不符合规定，就容易引发合规风险。因此，必须全面梳理流程发现其中隐藏的合规风险。
　　(3)案例梳理。案例主要指已经发生了的企业内外部的合规风险损害。通过对企业内外实际发生的案例分析研究，可以找出引发案件的违规原因，发现其中包含的合规风险。案例分析中，我们特别注意的：一是针对违规的原因是否分析透彻、详尽；二是违规 的纠正措施或预防措施与违规问题的严重程度是否相适应：三是措施是否切实有效地实施；四是注重举一反三来分析查堵类似的漏洞。
　　(4)资源配置和员工意识和能力的分析。资源配置是台规风险防控的重要因素，员工是合规风险防控的第一要素。资源配置主要分析机构设置能否满足风险控制要求，用于风险控制的人员和经费是否充足，与风险控制相关的职责和权限规定是否明确清晰；员工合规意识主要分析员工的风险防控意识、企业内部风险控制氛围，员工合规能力主要分析与风险控制相关的执行者(如各级领导和相关员工)的资质(如持证上岗证书和相关经历)、能力(如专业胜任能力)等与法律法规和其他要求是否相符。
　　
　　2　分析方法
　　合规风险分析有定性分析和定量分析两种方法。合规风险本身产生于人的各项活动，人的主观因素在合规风险形成和损害产生过程中起着重要作用，且人的主观因素具有复杂性和很大的不确定的特点，因此，应将定性分析作为合规风险分析的常规方法，必要时采用定量分析方法。在分析过程中，应注重把握以下四点：
　　(1)按照部门、专业、岗位的不同性质和特点，组织既掌握相关法律法规和其他要求，又熟悉实际情况的各级领导干部和专业管理人员，逐条对照合规要求进行分析测评。与此同时，基于法律法规和其他要求一般都会对其涉及领域的主要事实和行为进行归纳总结并对容易产生纠纷的事实和行为进行规范这样一种认识，在定性分析过程中将重点放在了法律法规实体性规定涉及的内容上，将这些方面存在的不足或问题作为该领域合规风险的高发点来对待。
　　(2)充分利用已有的识别结果。比如，中国石化统一的内部控制体系就对内控业务流程涉及的合规风险进行了定性识别，还有在HSE体系建立过程中，已对环境保护、职业健康安全等方面的风险作了初步识别。这些都构成合规风险数据库的重要组成部分。
　　(3)先培训后实施。鉴于合规风险评价的特殊性，在集中进行评价前，应对相关人员进行必要的培训，讲解评价方法和表格填写要求等，以提高合规风险识别的质量。
　　(4)制作统一的评价表格。统一的表格将评价的程序和要求格式化，既有利于评价分析人员使用，又有利合规风险数据库的规范建立。
　　
　　(三)合规风险控制
　　识别与确认合规要求、分析合规风险，最终目的是为了控制合规风险。但由于企业资源的有限性，应对识别出的合规风险，按照风险对企业影响的严重程度的不同，分别采取不同的控制策略，对其中财税，环保、安全，消防、劳动者{主要是合同工)权益保护、维护稳定等方面的风险，采取严格管控措施，避免风险损害的发生。拟采取的主要方法包括
　　1　加强教育，防微杜渐
　　(1)结合“五五”普法，加强对全员尤其是各级领导和专业管理人员的合规教育，提高风险防范意识：结合内部控制业务流程和 该内容可能有会员内容，需要登录查看全文，点击这里在顶部登录