“三道防线”还是“三个战场”？

——破解合规管理部门协同困境的思考

北京汽车集团有限公司总法律顾问王学权 2024-07-11

合规管理“三道防线”是合规管理体系的重要组成部分，如何有效融合与加强协同运作对提升企业合规水平和降低合规风险十分关键。本文从合规管理“三道防线”的内涵与功能出发，针对“三道防线”协同运作实践困境，提出了相应的完善建议。希望这些建议可以为国有企业进一步加强合规管理提供有益参考。

一、合规管理“三道防线”的内容

目前普遍认为“三道防线”理论模型源自金融行业，后逐渐应用于不同行业的企业治理。“三道防线”概念最初出现于国务院国资委2006年发布的《中央企业全面风险管理指引》（以下简称《风险管理指引》），之后延伸至合规管理领域。《风险管理指引》要求企业将风险管理融入日常运营，并建立由职能部门、风险管理委员会和审计委员会组成的三道防线。2018年，国务院国资委发布《中央企业合规管理指引（试行）》，细化了合规管理的职责分工。2022年，国务院国资委发布的《中央企业合规管理办法》（以下简称《合规管理办法》）正式稿中虽删除了征求意见稿中的“三道防线”的直接表述，但在实务中，央企合规管理仍然按照“三道防线”的架构和思路开展工作。

结合国务院国资委发布的相关规章制度文件来看，“三道防线”在企业合规管理中具有不同的功能和职责分工：

业务部门及职能部门是企业合规管理责任主体，负责其专项领域的合规管理具体工作，履行“第一道防线”职责。业务部门及职能部门是生产经营活动的直接参与者，对其专业领域的业务场景最为熟悉，是合规风险的直接面对者。为确保业务活动的合规性并减少潜在合规风险，业务部门及职能部门需肩负起合规管理主体责任，强化主体责任意识，主动将合规制度、合规流程和合规风险评估嵌入到具体业务流程中，从而构建全面、高效的合规管理体系。

合规管理部门牵头负责本企业合规管理工作，履行“第二道防线”职责。合规管理部门涵盖了管理层实施的各种风险管理和合规职能，旨在确保第一道防线所实施的风险控制和管理流程稳定、高效地运行。合规管理部门与第一道防线紧密合作，持续监测企业合规风险，运用专业知识建立风险识别、评估和预警机制，并定期更新风险数据库，确保企业管理层能够实时掌握企业的合规状况，及时调整风险管理策略，保证企业在复杂多变的环境中始终保持稳健合规经营，应对各种挑战。

纪检监察机构和审计、巡视巡察、监督追责等部门在职权范围内履行“第三道防线”职责。与前两道防线相较，第三道防线凭借其高度的组织独立性和客观性，在合规风险管控中发挥了不可替代的作用。《合规管理办法》明确赋予了这些部门在合规监督方面的权力，进一步强化了第三道防线的作用。通过引入系统、严谨的工作方式，严格落实违规行为追责问责机制，帮助企业实现合规风险的有效管控，为企业的稳健发展提供坚实的保障。

总的来说，这“三道防线”相互配合，通过不同部门的分工和有效配合，将合规风险的识别有效前移，将风险的管控贯穿始终，确保企业的经营业务和管理活动符合法律法规和内部合规政策要求，有效防控合规风险。

二、合规管理“三道防线”协同运作面临的困境

虽然规章制度文件对合规管理中的“三道防线”职责作出了明确规定，构建了一套完整的合规风险防控理论体系，但在实际运作中，受企业内部环境的复杂性和外部因素的不确定性的影响，这些规定难以完全契合企业多变的具体情况，出现了管理失灵失效的困境：

第一道防线人员合规主观能动性以及对于合规风险的敏感度有待提升。第一道防线业务及职能部门是直接对外冲锋打仗的主体，他们首先需要实现业绩目标，而业务目标的实现与合规要求可能会出现冲突。当合规要求与业务目标冲突时，第一道防线的部门或者人员可能会选择忽视合规标准或规避监管，以追求当下的业绩目标。此外，因为三道防线的区分，可能会导致第一道防线的人员存在理解偏差，认为合规就应当是第二道防线的职责，甚至于对合规管理部门产生抗拒，认为合规要求会阻碍业务的推动。

第二道防线力量有待进一步加强。第二道防线部门需要持续关注不断变化的外部市场环境及监管要求，并据此不断更新风险评估模型、审核标准、合规要求等，这对资源和业务能力提出了更高的要求。首先，作为合规管理的关键部分，合规管理部门在实际操作中可能因为资源有限、专业人员不足或是对业务理解不深入而难以全面覆盖各个业务领域，从而无法发挥预期牵头合规管理的作用。其次，第二道防线的挑战在于如何平衡监管与支持的关系。过严的内部控制会压制业务部门的创新和灵活性，过松则监管形同虚设。第三，如果第一道防线与第二道防线未能有效联动时，第一道防线发生合规风险，第二道防线难以迅速采取有效的应对措施，以减轻或挽回损失。

第三道防线更多是事后监督。事后监督，对于第三道防线而言，很多时候也不易判断合规风险的出现究竟是第一道防线没有履行好主体责任，还是第二道防线未提供及时有效的合规支持。

三、“三道防线”协同运作面临困境的原因分析

三道防线理论割裂了公司内部各职能部门之间联系。既然是防线，那意味着是防范外来的风险。第一道防线是直接面对外部客户或外部监管，参与战斗或防守只有业务部门或职能部门；第二道防线由合规管理的综合管理部门坚守；第三道防线则是对第一道防线和第二道防线履职情况的监督、评价、追责和问责，也不会参与第一道防线的战斗或防守。第二道防线和第三道防线不会与外部客户和外部监管对接，如何称为防线？如果这个理论延续下去，是否还有第四道防线，因为还需要对第三道防线的履职情况进行监督，如此循环下去则无止境。

在战场上设置三道防线，听起来仿佛固若金汤，梯次分明，但实际上第一道防线被突破，就是实实在在损失的发生。对于企业而言也是如此，第一道防线被突破，就意味着风险的发生，其实没有所谓的第二道甚至于第三道防线提供防御。

三道防线理论虽然强调了业务部门的主体责任，但实际上忽略了第二道防线的合规管理部门和第三道防线的相关部门纪检监察部门、审计部门在合规管理不同阶段或不同领域应当承担相应的主体责任。

四、以合规管理“3+1”取代“三道防线”的举措

结合北汽集团合规管理的经验实践，笔者提出“3+1”，即三个战场（业务战场、争议解决战场、反腐倡廉战场）加一个“大后方”，以期克服“三道防线”理论弊端。

（一）业务战场——合规管理的主战场

在业务战场上，业务部门作为合规管理的主体，需要承担更多的责任。在北汽，合规管理部门不再仅仅扮演“第二道防线”的角色，而是深入一线，与业务部门和职能部门共同协作，为业务提供全方位的合规支持。这种“一线参与、协同作战”的模式，使得合规管理更加贴近业务实际，能够更及时地发现和解决问题。同时，监督部门也积极参与到业务中，从监督的视角出发，协助业务部门和职能部门识别潜在风险，并提出改进建议。这种模式的实施，有效提升了合规管理的效率和效果。

（二）争议解决战场——跨部门协同作战的典范

在争议解决战场上，北汽集团注重跨部门协作和快速响应。一旦因合规工作引起监管处罚或商事争议，合规管理部门迅速承担起责任，与业务部门和监督部门紧密合作，共同制定解决方案。业务部门提供详细的业务背景和数据支持，监督部门则从监督角度提出专业意见。这种跨部门协同作战的模式，使得北汽集团在争议解决过程中能够迅速、准确地找到问题所在，并制定出切实可行的解决方案。

（三）反腐倡廉战场——零容忍原则的坚守者

在反腐倡廉战场上，北汽集团坚持“零容忍”原则，对任何渎职、腐败行为都进行严肃处理。纪检监察部门和审计部门作为反腐倡廉的主力军，积极履行主体责任，对企业内部进行定期和不定期的审计和检查。一旦发现违规行为，立即进行严肃处理，并追究相关人员的责任。同时，业务部门和合规管理部门也积极参与其中，提供必要的支持和协助。这种多部门协同作战的模式，使得北汽在反腐倡廉工作中取得了显著成效。

（四）内部管理的大后方——夯实合规管理的基础

1、完善合规管理协同机制，促进信息共享与联合行动

“三道防线”并非独立运行的“割裂”状态，而应是令行禁止、管理有序的一支综合部队。完善合规管理协同机制，强化“三道防线”间的沟通配合。北汽集团建立了完善的合规管理协同机制，通过日常信息共享、联席会议及联合检查等方式，确保合规策略执行一致。构建跨部门联络人制度，确保沟通有效，促进紧密配合，共同构筑企业合规管理的坚固防线。

2、加强合规文化建设，建立有效监测机制

合规文化是合规体系的基石，企业需加强合规文化建设，提升全员合规意识与能力，尤其关键岗位人员。北汽集团注重合规文化的建设，通过定期的培训、宣传等方式，提升全员的合规意识。同时，建立监测机制，对合规管理进行定期评估和改进，强化沟通协作，构筑坚实的合规管理“三个战场”，应对复杂法律与市场挑战。

3、构建专业团队，确保合规管理高效运作

为确保合规管理，企业应培育高素质合规人才，建立专业合规队伍。北汽集团注重合规人才的培养和引进，建立了专业的合规团队。培养合规人才不仅注重法律知识的扎实掌握，还强调财务、经营等多方面的知识储备，理解企业运营，并匹配企业规模和业务特性。明确合规团队定位，胜任政策研究、风险评估、策略制定、培训等工作。构建高效跨部门合规团队，提升企业风险管理能力，为长远发展奠定坚实基础。

综上所述，这些举措在北汽集团得到了有效实施并取得了积极效果。希望这种模式的提出可以为其他企业提供宝贵的经验和借鉴。在未来，北汽集团将继续探索、深化和完善这一模式，为企业的可持续发展提供坚实的合规保障。