卞传山

在国有企业合规管理体系建设中，“三张清单”是合规运行的重要抓手。其有效落地需要注意的关键，包括聚焦重点领域、坚持协同联动、推进清单信息化

加強企业合规管理，是培育世界一流企业，推动国有经济高质量发展的客观要求，是企业治理体系和治理能力现代化的应有之义。在国有企业合规管理体系建设中，“三张清单”即风险识别清单、岗位职责清单和流程管控清单，作为合规运行的重要抓手，其编制和落实是合规管理体系建设的重要环节，需要企业高度重视，加强统筹协调和协同配合，解决合规管理体系建设的重、难点工作，实现国有企业高质量健康发展。风险识别清单、岗位职责清单、流程管控清单，其内部逻辑是功能彼此衔接，工作顺序层层递进，目标形成完整闭环。

风险识别清单——识别重点合规义务

风险识别清单，是企业各部门在全面排查的基础上，按照业务类型等将合规风险进行分类，明确合规风险的表现形式、产生原因、违规后果、责任主体等，将其作为开展合规管理的重要基础。编制风险识别清单，要求从总体视角对企业面临的合规风险进行全面梳理，包括：对外部法律法规、国家政策、行业标准等相关规定以及企业内部的规章制度进行系统梳理，汇总违反合规义务的条款责任，对风险进行全面、系统、结构化识别，按照业务类型等将合规风险进行分类，确定合规风险点，把这些风险点按照风险影响等级、风险发生概率和风险探测水平排列出来。编制风险识别清单的主要目标，是保证企业管理层和业务部门对企业风险有一个全面认识，包括风险的数量、类型、表现形式、后果、责任主体、分布特点等，为风险评估、风险应对提供依据。对于《中央企业合规管理办法》明确的重点领域，如反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等，以及合规风险较高的业务，风险识别清单要制定及时预警机制。

风险识别清单的编制需要业务部门、职能部门与合规部门相互配合，将业务流程中需要满足的外部法律法规和政策文件以及企业内部规章制度要求进行梳理，确定工作中的合规风险点。按照风险评估的结果，对重要合规风险进行提炼，并按照风险程度和发生概率分类分层汇总整理为风险识别清单。实践过程中，部分企业针对重点领域编制风险识别清单，部分企业全面梳理业务流程，将风控、内控与合规相结合，制定一体化的全面风险清单。对于重点领域风险识别清单的编制，要结合业务风险排查，围绕内外部经营环境情况区分合规风险等级，达成对重点领域风险点的全面覆盖。

合规风险识别清单编制要聚焦对企业的业务经营活动有影响的相关方需求或引发企业法律责任、造成经济或者声誉损失以及其他负面影响的可能性。风险识别清单编制的关键，一是业务流程要与实际一致，这样才能以流程为基础、机构化地识别风险；二是风险识别不能仅仅梳理法条，还要结合案例分析、调研访谈等多种方式，保证识别出来的风险符合企业的实际。

岗位职责清单——明确岗位合规职责

岗位合规职责清单，是完整、准确梳理每个岗位涉及的业务范围的事项清单，即对照岗位职责，通过“正面”或“负面”清单等形式，梳理每个岗位职责中的合规审核、合规管理、合规义务，明确合规责任，划清行为边界，使合规要求落实到岗、明确到人。岗位职责清单的完整是后续合规风险评估覆盖的基础，梳理岗位职责的业务清单，目标是穷尽。岗位职责清单是开展合规管理工作的人力支撑。编制岗位职责清单的主要目标是将合规风险纳入岗位管理，使合规风险与具体的人关联起来，从而实现合规风险有人承担、有人负责，从人员角度保证合规管理有效落地。

岗位职责清单，包含岗位职责义务和岗位风险。梳理方法有两种，可以从岗位职责入手，梳理履职业务活动清单；也可以从部门职责内容入手。根据业务内容清单，检索每一个业务需要遵守的合规义务，合规义务包括公开的法律法规强制性标准制度，也包括政策性法律法规和国际性文件，还有上级主管单位的监管文件，按照业务归口，建立起部门职责的合规业务清单。

编制岗位职责清单首先要对原有的岗位说明书进行修改，形成合规体系中符合监管要求的岗位说明书。岗位合规职责清单编制要以企业岗位说明书为基础，编制与企业合规义务相对应的岗位职责，职责的内外部（外部法律法规、内部企业规章制度等）依据，不履责的责任和后果，即企业中从事某岗位的人员违规后需要承担何种责任。其次要识别高风险岗位，对高风险岗位加强合规管理。《中央企业合规管理办法》第十三条规定，定期梳理重点岗位合规风险，将合规要求纳入岗位职责。《中央企业合规管理指引（试行）》第十五条规定的重点人员包括管理人员、重要风险岗位人员、海外人员以及其他需要重点关注的人员，因此高风险岗位可以聚焦在管理人员岗位、重要风险岗位、海外人员岗位及其他岗位。再次，岗位合规职责清单的编制需要根据合规义务来辨识其工作职责中的合规事项，明确合规要点、履职标准，将合规职责具体落实到岗位和个人，是合规义务识别与职责的融合。岗位合规职责清单是以企业现有岗位职责为基础的，结合合规风险识别要素，同时考虑到业务流程、部门与部门等衔接而确定的该岗位的合规管理职责，是合规从识别到落实的有机融合。岗位职责清单既是该岗位从业人员的规范指引，也是未来追责的依据。

流程管控清单——控制重点环节风险

流程管控清单，是在企业的业务流程和管理流程中，通过识别合规风险，设置关键风控点，增加合规审查环节，每个流程管控环节依次确认。流程管控清单是合规管理工作落地的保障，编制流程管控清单，要求从业务执行的角度梳理该业务面临的合规风险。流程管控清单以风险识别清单与岗位合规职责清单为基础，对业务管理制度和流程进行分析评价，识别其与合规管理要求之间的差距和不足，认真分析重要环节可能出现的合规风险，并根据合规管理要求修改流程管控措施，明确其管控目标、责任部门和岗位人员、控制频率等内容，使合规管理要求融入业务管理制度和流程之中，实现合规风险在业务活动中的有效落地。编制流程管控清单的主要目标是将合规风险嵌入业务流程管理，将合规要求和管控措施嵌入关键节点，实现合规管理与经营管理的真正融合。

编制流程管控清单是将合规要求融入具体流程环节，并在制度条款中明确合规要求，将合规要求落实到相关岗位职责，通过表单记录合规执行情況，并将合规管理措施固化到信息系统的操作过程。具体操作中，可以基于重点事项或审批条线，在公司内控流程中梳理并确认关键节点，明确各业务条线、各关键节点的合规义务，以完成流程管控清单。流程管控清单主要包含两部分内容：将主要的业务条线识别的高风险嵌入内控流程；对主要的业务条线涉及的风险进行评估，审视内控所设控制点控制流程，是否合乎合规管理目标，不符合的部分，应增设内控控制点或流程，并制作风险管控矩阵。

企业流程管控清单的编制，可以与企业内部控制相结合。企业发生风险与内部控制存在缺陷密切相关，而内部控制的存在很大程度上取决于控制措施的设计和执行。企业流程管控清单的编制与流程的控制措施密切相关，其内容可以分为业务流程、控制目标、控制措施、控制部门、控制责任、控制频率以及评价程序和评价内容。其中，控制目标是指对风险的管控目标及控制措施想要达到的效果；控制措施是指将风险控制在目标范围内，各相关单位要采取的措施；控制部门、控制责任、控制频率应当与控制措施相对应，即每条措施需分别明确其责任部门、责任岗位人员、控制频率；评价程序是对控制措施执行有效性评价要采取的评价方法、措施，评价内容是评价应当关注控制措施及控制目标的重要内容。

“三张清单”的落地

“三张清单”作用各异、紧密关联：通过风险识别清单，明确合规风险与合规义务；通过岗位合规职责清单，确保员工能够了解其应当遵守的行为准则、业务领域合规义务，以及与其关联的关键合规要素；通过流程管控清单，确定不同合规风险应对措施，实现目标清晰、责任到位、措施落地。

《中央企业合规管理办法》第十八条明确规定，中央企业应当针对反垄断等重点领域以及合规风险较高的业务，制定合规管理具体制度或者专项指南，具体领域包括反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等。建立健全“三张清单”需要聚焦主营业务相关的合规重点领域。进行重点领域风险识别清单的编制，要结合业务风险排查，围绕内外部经营环境情况区分合规风险等级，有针对性地编制“三张清单”，对合规义务、合规风险、合规职责、高风险岗位、业务流程、控制目标、控制措施、控制部门等内容进行准确识别和梳理，达成对重点领域风险点的全面覆盖。

《中央企业合规管理办法》指出，中央企业应当将合规审查作为必经程序嵌入经营管理流程，重大决策事项的合规审查意见应当由首席合规官签字，对决策事项的合规性提出明确意见。业务及职能部门、合规管理部门依据职责权限完善审查标准、流程、重点等，定期对审查情况开展评估。因此，做好合规流程的嵌入，需编制公司层面由首席合规官进行合规审查的业务环节清单。而各业务和职能部门，需编制自己部门合规审查的环节清单。最后，合规管理部门需针对企业合规体系，以业务管理为中心，将涉及该业务适用的合规义务实质性要求、制度化的合规风险应对措施单独制定《业务合规管理指南》，并对应形成《业务流程合规管控清单》。同样，业务管理制度相对独立，业务经办人员在按照业务管理制度执行业务的同时，也须按照《业务合规管理指南》执行业务。合规管理，是按照合规审查标准、流程、重点等，定期对审查情况开展评估后用制度规范好，并且将公司层面、部门层面的两级合规审查业务环节事项清单作为附件共同执行。

《合规管理体系要求及使用指南》（ISO 37301：2021）“运行和策划”提出，一个设计良好的合规管理体系包括各种措施（如政策、流程、程序），这些措施既能为合规文化提供内容，又能产生效果。它们旨在降低合规风险评估流程中确定的风险。运行控制的一个基本要素是行为准则，其中规定了本组织对相关合规义务的充分承诺。行为准则应适用于所有人员，并可供他们所用。根据行为准则及其延伸，合规措施应纳入组织的日常运行中，以期培养合规文化。

在与业务流程相关的情况下，如果缺少此类控制，可能会导致偏离合规政策或违反合规义务，因此就需要进行运营控制。这些情况可能与所有业务情况、活动或过程（如生产、安装、维修、维护）有关，也可能与承包商、供应商或销售商有关。控制的程度不同取决于几个因素，如所执行职能的重要性或复杂性、不合规的潜在后果或所涉及、可用的技术支持。当运行控制失败时，有必要采取措施来解决任何不良结果或影响。除了具备设计良好的合规管理措施，合规关键清单的落地，还需要把关注点放在责任主体上，即以岗位为单元，将合规职责、合规义务、合规风险识别、合规评价等都落实到岗位上，将合规管控落实到岗位上，合规培训落实到岗位上。同理，再将落实到岗位上的所有内容，同步落实到业务合规流程中去。

“三张清单”的落地需要注意的关键有三个方面。一是聚焦重点领域。以防控风险为导向，以合规风险清单为抓手，聚焦重点领域突出关键环节，将合规义务分解落实到重点岗位和人员，嵌入操作流程，实现合规管理与经营活动深度融合。二是坚持协同联动。既要推动合规与法务、风险管理、内部控制等不同工作之间的高效联动，还要推动“三道防线”之间的密切协同，多维度、多层次开展交流研讨，确保合规风险识别完整，岗位职责边界清晰，管控节点定位准确。三是推进清单信息化。充分发挥技术支撑作用，建立涵盖业务、流程、岗位、职责、节点、义务等要素在内的电子清单，实行标准化、结构化、标签化管理，构建结构化风险清单和流程管控清单，并嵌入信息系统，实现合规义务流程化，合规操作表单化，合规表单电子化。

作者供职于江苏宁沪高速公路股份有限公司