01 识别清单

《中央企业合规管理办法》（以下简称《办法》）第十三条、十四条、十五条中，明确建立了三道防线，企业合规的第一责任人是企业的业务部门及职能部门，要对本部门的合规管理流程编制风险清单和岗位职责清单；第二道防线是合规管理部门，负责起草制定合规的基本制度和各种规章制度，展开合规管理的有效性评价和违规调查，建立起合规流程嵌入企业经营的防线；第三道防线，是纪检监察机构和审计、巡检、监督追责部门，负责对合规落实进行监督。

以上的合规管理办法对合规责任主体的各自责任进行了厘清。然而，责任主体的各自职责如何做到依序履行，将合规落地，就需要制作以下三张合规关键清单：

第一张“清单”是风险识别清单。这是合规管理工作的基础，通过各个业务部门和管理部门逐项梳理自己的工作内容，结合各项必须遵循的法律法规和政策文件，确定工作中的合规风险点，把这些风险点按照风险程度和发生概率排列出来，形成风险识别清单。

第二张“清单”是岗位合规职责清单。每个岗位都有清晰的岗位职责，对照这些岗位职责，将每个职责中的合规审核、合规管理、合规动作都反映出来，对于本岗的合规职责就能凸显并汇总为合规职责清单。

第三张“清单”是流程管控清单。是指所有企业的业务流程和管理流程中，通过识别合规风险，都要设置关键风控点，并增加合规审查环节，每个流程管控环节依次确认，就形成流程管控清单。 合规风险识别清单、岗位职责清单、流程管控清单，是《中央企业合规管理办法》明确企业必须建立的关键清单，其内部逻辑是功能彼此衔接，工作顺序层层递进，直到形成完整闭环。当然在此之中，配合这三张关键清单落地的还需要其他的内容配合，如法律法规清单，或者合规义务清单等。

02 建立清单

《办法》第二十条明确：中央企业应当建立合规风险识别评估预警机制，全面梳理经营管理活动中的合规风险，建立并定期更新合规风险数据库，对风险发生的可能性、影响程度、潜在后果等进行分析，对典型性、普遍性或者可能产生严重后果的风险及时预警。 

风险识别，基本上以各业务部门或职能部门为主，在梳理各自部门履职流程过程中，出现未履职或未正确履职的后果，即是风险。

可以这样说，“岗位合规职责清单”与“风险识别合规清单”其实是一件事务的两个面，如果没有按照岗位职责履职尽责，则会启动对应的风险识别清单内的风险点，同样会启动合规流程中的关联环节，自然启动合规流程：要求违规岗位责任人做出调整、改正，直至合规。

其实，这样的合规改正环节的启动引发的一系列流程和动作，又是合规流程清单的具体表现。 牵一发而动全身。整个合规体系中，无法割裂任何一个合规清单，使其在合规体系中独立启动，发挥作用。合规审查是合规体系的关键环节，任何一个合规审查的启动，都是从各部门自行提起申请，到相关部门进行专项内容合规审查，再到法律部门合规审查，最后到合规管理部门的合规规范的审查，整个期间流程的任何一个环节，如果出现不符合合规，均要从头启动。 

所以，本文讨论三张关键的合规清单，在内容上、形式上、流程上一定是相互满足、相互制约、又相互监督的一套体系性文件。这一整套文件的建立和更新，也同样，任何一个点的细微变动，均要做出其他清单的相应变更。虽然，风险评估清单和岗位职责清单在流程层面上基本是相辅相成，但不代表这两张清单在内容方面是正反一致的。是因为，风险来源，既有来自于公司之外的，也有公司内部产生的。公司面临的合规风险进行识别分析评价，才能形成公司合规风险清单。

03 制作关键清单

（ 1 ）梳理各岗位涉及的业务范围的事项清单，确保内容完整、准确。

岗位职责的完整是后续合规风险评估覆盖的基础。如果岗位职责发生遗漏，则企业就会存在对应的合规风险。

梳理岗位职责的业务清单，目标是穷尽。

岗位合规清单，包含岗位职责义务和岗位风险。梳理方法有两种，可以从岗位职责入手，梳理履职业务活动清单，也可以从部门职责内容入手。根据业务内容清单，检索每一个业务对应需要遵守的合规义务，合规义务包括公开的法律法规强制性标准制度，也包括政策性法律法规和国际性文件，还有上级主管单位的监管文件，按照业务归口，建立起部门职责的合规业务清单。

（ 2 ）开展业务合规风险识别、分析、评估，在对风险发生的可能性、影响程度、潜在后果等进行分析的基础上，进行合规风险分级，制定风险识别清单。

风险识别清单，同样可以按照岗位或者部门主责两个方面入手。都是通过对员工的岗位职责，和部门主责的业务内容范围，对照企业制度中确定的职责说明，梳理出对应的履职事项，进行合规风险源识别、对应的风险情形描述，进行风险分析与风险评估分级，列出风险识别清单。

（ 3 ）当发生业务变更，或者新规出来等其他重要的变化，则需及时和定期进行合规风险再识别、再分析和再评估，每年需至少覆盖企业全员、全领域、全过程一次。

实现合规流程的动态管理，建立起动态更新的风险识别清单。

对于《中央企业合规管理办法》明确的重点领域，如针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域，以及合规风险较高的业务，风险识别清单要制定及时预警机制。

（ 4 ）合规流程管控清单。

我们在前文中，把合规管理办法中涉及的第一关键人物“首席合规官”及第二关键环节“合规审查”均做了一一解读。

《中央企业合规管理办法》第二十一条明确：中央企业应当将合规审查作为必经程序嵌入经营管理流程，重大决策事项的合规审查意见应当由首席合规官签字，对决策事项的合规性提出明确意见。业务及职能部门、合规管理部门依据职责权限完善审查标准、流程、重点等，定期对审查情况开展后评估。

所以，做好合规流程的嵌入，还需编制公司层面由首席合规官进行合规审查的业务环节清单。同样，各业务和职能部门，需编制自己部门合规审查的环节清单。

最后，合规管理部门需针对企业合规体系，还是以业务管理为中心，将涉及该业务适用的合规义务实质性要求、制度化的合规风险应对措施单独制定成《业务合规管理指南》，并对应形成《业务流程合规管控清单》。同样，也是与业务管理制度相对独立，业务经办人员在按照业务管理制度执行业务的同时，也按照《业务合规管理指南》执行业务。 

合规管理，是把合规审查标准、流程、重点等，定期对审查情况开展后评估等用制度规范好，并且将上面的公司层面、部门层面的两级合规审查业务环节事项清单作为附件共同执行。

04 清单落地

ISO37301 使用指南“运行和策划”提出了，一个设计良好的合规管理体系包括各种措施（如政策、流程、程序），这些措施既能为合规文化提供内容，又能产生效果。它们旨在解决降低合规风险评估流程中确定的风险。 运行控制的一个基本要素是行为准则，其中规定了本组织对相关合规义务的充分承诺。行为准则应适用于所有人员，并可供他们所用。根据行为准则及其延伸，合规措施应纳入组织的日常运行中，以期培养合规文化。

在与业务流程相关的情况下，如果缺少此类控制，可能会导致偏离合规政策或违反合规义务，则需要进行运营控制。这些情况可能与所有业务情况、活动或过程（如生产、安装、维修、维护）有关，也可能与承包商、供应商或销售商有关。 控制的程度不同取决于几个因素，如所执行职能的重要性或复杂性、不合规的潜在后果或所涉及或可用的技术支持。当运行控制失败时，有必要采取措施来解决任何不良结果或影响。 

除了具备设计良好的合规管理措施以外，合规关键清单的落地，还需要把关注点放在责任主体上。即以岗位为单元，将合规职责、合规义务、合规风险识别、合规评价等都落实到岗位上，合规管控落实到岗位上，合规培训落实到岗位上。同理，再将落实到岗位上的所有内容，同步落实到业务合规流程中去。

小 结