需要。根据合规管理信息化建设的基本要求，主要包含以下五点：
一是建立合规风险识别评估预警机制，全面梳理经营管理活动中的合规风险，建立并定期更新合规风险数据库，对风险发生的可能性、影响程度、潜在后果等进行分析，对典型性、普遍性或者可能产生严重后果的风险及时预警；
二是加强合规管理信息化建设的主要内容，包括研发和建立合规制度、典型案例、合规培训、违规行为记录等信息系统；
三是定期梳理业务流程，查找合规风险点，运用信息化手段将合规要求和防控措施嵌入流程，针对关键节点加强合规审查，强化过程管控；
四是加强合规管理信息系统与财务、投资、采购等其他信息系统的互联互通，实现数据共用共享；
五是利用大数据等技术，加强对重点领域、关键节点的实时动态监测，实现合规风险即时预警、快速处置。这些规定和要求为合规管理信息化建设明确了目标和方向、实现路径和运营方式，使合规管理信息化建设成为合规管理不可或缺的工具和手段。

可以。合规信息化建设是对原有信息化系统进行优化和改造。同时，在国务院国资委发布42号令第三十五条也强调，中央企业应当加强合规管理信息系统与财务、投资、采购等其他信息系统的互联互通，实现数据共用共享。

企业应先建立合规管理体系，再委托第三方中介机构通过规则嵌入流程，配合多种分析工具（如指标、模型、人工智能等），结合大数据中心以及内外部数据采集的支持，建立合规体系的信息化管理。
从这方面来看，合规管理体系是信息化系统建设的基础，信息化系统是合规管理落地实施的手段和方法，可以使合规管理更加高效与准确。

合规义务，是企业应遵守的合规要求和合规承诺总和。
合规要求是强制性的，不以企业意志为转移。主要是从外部的法律法规、地方性规章、行业标准与规定中提取并演化出来的。这些合规要求是企业基本的合规义务，任何企业都应该遵守的。
合规承诺是非强制的，但一经企业做出，便具有约束力。合规承诺主要是从企业的愿景、使命、价值观中提炼并演化出来的，包括企业内部的规章制度以及行为规范，也是企业自愿遵守的，高于法律约束的管理准则与行为准则。
从以上分类可以看出，企业的合规义务在实践中主要包括三方面。一是企业应遵守的法律法规，含国际法律、惯例；二是企业应遵循的内部规章制度；三是企业应遵照的职业道德规范。在国有企业中，党规党纪也是当然的合规义务之一。

企业承诺的合规义务，是企业合规管理的基础，因此确定合规义务就显得非常重要，也是合规体系建设的前置性条件，但是在合规义务确定中，企业却会面临着不同的难点，主要体现在以下方面：
（1）合规义务的数量问题
我们在上题已经说过，合规义务来源于外部合规要求以及内部的合规承诺，仅仅从外部的合规要求来看，法律法规、地方规章、行业标准等都是企业提取外部合规要求的依据，而这些法律法规、规章标准数量庞大，如果没有专业人员的参与，很难从这些数量庞大的法律文件中识别适合于本企业的合规要求。
（2）合规义务的变动性
在数量庞大的同时，外部的法律法规与行业规章又不是一成不变的，随着时代的发展以及法治建设的进程，外部对企业合规提出的要求会随时发生变化，需要企业及时提取外部合规要求的变化，更新企业自身的合规风险库。
同时，企业内部的管理也是根据企业的导向以及管理水平随时变化，因此内部的合规承诺也应该在这个基础上随时调整，以使自己的合规承诺适合于企业管理的现状。
这种随时变动的特征，也给企业的合规义务管理带来了很大的困难。因此，企业也应该建立合规义务的动态管理机制，保证合规义务符合企业合规管理的要求。

在企业内控理念中，风险是一个令人厌恶的词汇，对于内控理念中出现的风险点，需要企业采取措施予以控制。
在企业风险管理概念中，风险本身是个中性词，既包含威胁，也包含机会。企业在风险管理中，应该遵循风险经营的理念，对不同的风险采取不同的处置措施。
在合规管理中，风险只包含威胁。合规风险，其实就是不合规造成的负面影响。对于合规管理中的风险，企业应该通过各种方式予以规避，避免风险的发生。从这个意义来看，合规风险与内控风险具有大致一致的思想范围。

合规培训是指为使企业员工掌握应知的合规知识、规则和风险防控要求而开展的培训活动。
合规培训，一般可分为面授培训与网络培训。面授培训是大家可以在一起做案例讨论，然后因为有人的参与和互动在里面，所以更适合做成像研讨性质的，引导大家去思考。另外面授培训一般都是定制培训。而网络培训多为标准化培训，后者好处在于可以打破时间地域的局限性，也可以综合地运用图片、动画、视频等方式。
一般的合规培训都是由企业专门的合规官开展实施。合规官有丰富的专业知识储备，能够促使培训对象深入、透彻地了解合规风险及具体的防范措施。

合规培训是为了增强企业员工全员合规意识，加强对合规经营的学习领会和对合规工作常态化管理，更好地落实企业合规政策，有效防范和降低企业经营中的合规风险，实现全体员工从“要我合规”向“我要合规”的积极转变。
从这方面来看，合规培训的目标是要在员工中建立起合规文化理念，通过合规文化的建设，让员工形成自主合规的思想意识与行为习惯。

业务部门及为业务工作开展提供支持的职能部门是合规风险管理第一道防线以及第一责任主体，应当在本部门领域和职责范围内开展全面、专业合规审查。
合规管理牵头部门负责对各部门提起的合规审查事项进行程序性审查。这是企业合规管理的第二道防线。
审计监察部门负责通过审计监督的方式，监督合规体系落实的情况，已经合规体系的适合性。对于合规体系的不适合性以及不能落实的部分，审计监察部门应提出审计整改要求，要求企业的合规主体进行改正。也是企业合规的第三道防线，也是最后一道防线。

容错免责是指把是否依法合规作为免责认定的重要依据，在依法合规的情况下宽容员工出现的失误、过失、过错与偏差行为。《中央企业违规经营投资责任追究实施办法（试行）》也对“容错免责”进行了规定：对中央企业经营管理有关人员在企业改革发展中所出现的失误，不属于有令不行、有禁不止、不当谋利、主观故意、独断专行等的，根据有关规定和程序予以容错。
从政策角度来看，随着国有企业合规体系的持续完善与发展，合规管理中的“容错免责”机制是需要逐步建立并不断完善的。

根据2022年4月19日国家相关部委印发的《涉案企业合规建设、评估和审查办法（试行）》，目前司法机关试点的刑事合规不起诉的政策中，企业是否已经建立或者能够建立起有效的合规体系是司法机关做出是否对企业法人发起刑事诉讼的重要考量因素之一。而企业有效合规计划中内部举报制度又是必不可少的组成部分，同时内部举报制度也是企业能够有效发现和防范企业不当行为的重要方式。
合规管理要求企业建立起内部举报制度有两点优势：
第一，企业内部员工往往最容易发现企业中存在的违法违规行为，从事生产、经营、会计、营销等职能的员工对所服务企业及所在部门存在的不当行为最为了解，而当这种不当行为被越早的揭露，越能把公司所涉及的法律风险和可能造成经济损失的可能性降到最低。
第二，企业内部举报机制本身也是判断公司内部合规制度是否完整与有效重要标准。建立起顺畅有效的内部举报制度，可以使企业及时了解公司在经营决策过程中存在的不合规问题，并能迅速进行展开应对与整改，这也能使公司避免风险无限制扩大、甚至面临“失控”的局面。

企业可以根据自身情况与特点，设立违规问题反映的专门渠道，确立合规调查基本方式和程序，由合规管理牵头部门负责维护运行以及相关线索的后续跟进处理。发现问题线索涉及违纪违法的，合规管理牵头部门应将问题线索及材料移送纪检监察部门等有关单位。
合规问题举报渠道的方式主要有以下几种：
举报热线：企业建立专门的举报电话，由专人接听举报人的电话；
举报邮箱、信箱：企业建立专门的举报邮箱、信箱，并向全体员工或者利益相关人公布，定期检查举报内容；
公开讨论：企业建立起公开讨论的机制，以公司纪检部门与公司高层为主，邀请相关员工与利益相关人，就公司内部运营中的违规问题开展公开讨论；
总经理接待日：一定周期总经理会面对全体员工，接待员工反映的问题；
第三方机构专门负责：企业可以委托第三方机构接收员工反映问题，这样可以利用第三方机构的无利益关联性，打消员工在举报时的顾虑。

合规管理评估是指定期对合规管理体系的有效性进行分析，对重大或反复出现的合规风险和违规问题，深入查找根源，完善相关制度，堵塞管理漏洞，强化过程管控，持续改进提升。
合规管理评估包含两部分内容：
一是合规体系有效性评估。通过查找合规问题，重新审视合规管理体系与管理内容是否符合公司基本情况，通过这个体系是否能够满足企业规避不合规行为的情况，是否需要对现有合规体系进行修正与完善，重新建立合规要求与合规制度。
二是合规体系落地实施情况评估。也就是如果企业通过评估认为合规体系有效性没问题，那么主要的问题就是合规体系的执行或者说运行中出现了问题。这时就需要最高管理者或者合规管理部门通过明确职责、合规培训、建立合规文化以及将合规管理纳入到考核中，强化合规管理体系的落地执行。

合规管理评估一般包括成立评估工作组、设计评估工作方案、开展具体评估工作、编制检查评估报告和编制后续整改方案等几个步骤。具体评估工作包括：
1、确定评估工作重点：合规管理涉及到企业的各个层面，不可能在评估中面面俱到。企业在合规管理评估活动之前，需要根据公司业务重要性、外部监管程度、风险发生频率等方面来确定后续评估工作重点。通过这种重点评估的方式，了解到合规管理中存在的主要问题。
2、收集审查合规管理体系相关文件。文件种类包括但不限于：合规管理体系政策；合规报告；审计报告；与公司合规风险识别、应对相关的文件；公司业务重点领域的各类具体规范、指引类文件；公司合规管理培训涉及的相关文件；公司内部举报调查文件以及自律检查建议等。
3、开展调查问卷、实地访谈。首先收集受访者的背景资料（职位、部门、年限等），来确保受访者覆盖范围足够广、且受访人员结构合理具有代表性；在确定企业合规管理体系建设情况，包括受访者对于合规概念的认识、对自身及本部门合规职责履职情况的评估等。

需要。绩效考核是合规管理的重要组成部分。特别是对于合规文化尚不成熟、长效合规机制还未形成的一些企业，通过合规绩效考核机制来提升合规执行力就尤为重要。员工绩效计划被列为一种有效的控制措施以确保对合规义务的履行。企业应该结合企业的发展价值观，将合规考核纳入企业绩效管理体系中去，有效协调业务拓展与合规管理的关系，帮助员工建立正确的业务发展目标。

合规管理考核评价是合规管理保障的重要措施，一般应该与企业人力资源考核周期保持一致。企业可以制定单独的合规绩效考核机制，也可以将合规考核标准融入到总体的绩效管理体系中去。通过有效的合规绩效考核机制，对有重大合规贡献的员工应该给予表彰或奖励。对有合规问题的员工，应该给予积分扣分或相应的处罚。
需要特别说明的是，根据我们的经验，如果能够将合规管理考评与绩效薪酬建立起有效的联系与对接，那么对合规管理要求的落地执行将会产生更好的效果。

建立合规管理考核机制主要包括以下内容：
（1）考核评价指标的设定机制；
（2）合规管理体系监督机制；
（3）收集合规考核评价信息的方法和程序；
（4）考核评价报告规定；
（5）考核评价沟通机制；
（6）考核评价结果的处理机制；等等。

合规管理评价应当与企业其他管理考核相衔接、融合，如与员工绩效考核相融合、与评先选优挂钩，作为干部任用、晋升的重要依据。很多公司合规具有一票否决的权利，出现严重合规问题可以直接把高级管理人员免职、降级、解除劳动合同等。并且在人员招聘录用或晋升的时候往往会考察这个人过往合规方面的记录，如果发现比较严重的违规问题，往往是不会录用或晋升的。

2004年，美国的COSO委员会（全美反舞弊性财务报告委员会发起组织）提出了《企业风险管理—整体框架》，其中明确规定：“企业风险管理是一个过程，受企业董事会、管理层和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。”同时，该《框架》将风险管理的要素分为八个方面：内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。
2006年6月，国务院国有资产监督管理委员会印发《中央企业全面风险管理指引》（国资发改革[2006]108号）明确规定：“企业风险是指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。”
同时，该《指引》明确规定：“全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。”并从风险信息、风险评估、管理策略、解决方案、监督与改进、组织体系、信息系统、风险文化等方面进行了规范和要求。

在内容上，风险管理具有全面性和总体性的特征。全面性体现在一方面风险管理是一种持续性行为，贯穿于企业经营管理全过程，对各项业务管理、环节、流程等全面风险控制，对企业内外部风险全面把控，对历史、现在及未来全生命周期的风险分析预测等；另一方面风险管理本身的全流程性，从组织、制度、程序、措施、系统、文化，到建立、评估、执行、解决、处置、监督、评价、改进等全方位的管理系统和体系，识别企业所面临的各类风险。总体性体现在围绕企业总体经营目标和战略发展，关注的是企业整体风险，整体宏观上实现经营管理战略目标。
在设置上，风险管理具有独立性和权威性的特征。一方面将风险管理职能提升到高级管理层，体现出权威性，另一方面企业要独立于业务部门设置职责清晰、权责明确的风险管理部门，并直接从属于高级管理层管理，体现出独立性，不受其他部门影响，以保证其客观性和公正性。
在效果上，风险管理具有合目的性和价值性特征。首先，风险管理是一个动态的过程，强调风险管理与企业经营管理过程相结合，并受人、文化等因素影响，强调“软控制”（即精神层面的内容，例如管理层的风格和理念、企业文化等）的作用和风险意识，即不同企业的风险管理都深深烙上企业文化的印记。其次，风险管理受目标驱动，并明确组织中的每一个人对风险管理负有责任，且由于内部控制的固有限制，风险管理只能提供合理保证，而非绝对保证。最后，风险管理的最终目标与企业目标一致，在现代社会中，企业目标已不仅仅是追求利润最大化、价值最大化，而是追求构建起一个和谐的内部控制机制，考虑所有利益相关者的利益，改进和提高内部控制的效率和效果，也是风险管理价值所在。

国务院国资委的颁布的《全面风险管理指引》将全面风险管理定义为:企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理体系，为实现风险管理的总体目标提供合理保证的过程和方法。COSO用过程来描述全面风险管理，是目前比较通行的做法。这个定义反映了以下几方面的基本概念:
1、企业风险管理是一个过程，一个流程，它持续作用于企业，并渗透于企业的各项活动中，是降低和控制风险的一系列程序。
2、企业风险管理不仅仅是企业管理层或风险管理机构的职责，同时需要企业各个层级几乎所有的员工共同参与实施。
3、企业风险管理应当在企业战略的制定过程中被应用。
4、由于风险的客观存在性，风险管理并不能给企业提供绝对的保证，而只能为企业实现其经营目标提供一个合理的保证。
5、企业风险管理旨在识别将会影响企业的潜在事项，并将风险控制在风险承受能力之内。

2004年9月，COSO结合《萨班斯—奥克斯利法案》的相关要求，颁布了一个概念全新的报告，即《企业风险管理—整体框架》(以下简称“ERM”框架)。框架的出台顺应了各方需求。与1992年的《内部控制—整体框架》相比，ERM 框架在内部控制的内涵、目标、要素以及内部控制责任承担等层面作了全新突破，对企业风险管理作出了更为详尽的阐述。ERM 框架并没有取代《内部控制—整体框架》，而是基于该框架并将其融入其中，全面推进了内部控制标准的发展。
在ERM中明确提出了风险管理的8要素，即：内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、内部监督。

“内部环境”是企业风险管理所有其他构成要素的基础，为其他风险管理要素提供运行的规则和结构。内部环境包含很多内容，包括风险管理理念、风险容量、董事会、诚信和道德价值观、对胜任能力的要求、组织结构、权力和职责的分配及人力资源准则，它影响着企业的战略和目标如何制定、经营活动如何组织以及如何识别、评估风险并采取行动；它还影响着企业的风险控制活动、信息与沟通体系、风险监督等风险管理要素。

风险管理框架的8要素中的“目标设定”是指，企业必须首先建立企业要实现的战略或者目标，管理层才能识别影响目标实现的潜在风险事项。
从企业管理的角度来看，企业决策与经营的各项活动均存在风险，但是如果要对所有活动面对的风险全部控制，那么企业的运行成本将会无限增加。因此，设定适当的风险控制目标就显得非常重要。
企业风险管理确保管理层采取适当的程序去设定风险控制目标，确保所选定的风控目标支持和切合该企业的使命，并且与它的风险容量相符。

“事件识别”是指识别影响企业目标实现的内部和外部事件，即确定这些潜在事项对企业到底是机会还是风险。如果是机会，应将其反馈到战略和目标设定之中，而如果是风险则应该展开有效的评估和应对。
这些事项是来自于内部或外部的影响实施战略和目标实现的事故或事件，其驱动因素可能来自很多方面，比如外部的经济因素（价格、资本等）、自然环境、政治、技术、社会等因素，以及内部的基础结构、人员、流程、技术等。企业应该采取各种方式，比如互动研讨、统计数据、追踪技术、内部分析、预警触发等。
在“事件识别”中，为了更好的管理事项以及其背后的风险及其应对，应该考虑事项之间的关联关系，事项的类别划分（包括正负向划分以及不同属性类别上的划分）。