企业合规中的三张清单 | 律师实务-申浩律师事务所-官网

企业合规中的三张清单 | 律师实务

李晓曦

2024.07.17

上海

上海申浩律师事务所.jpg

三张清单，即合规风险识别清单、重点岗位合规职责清单和关键流程管控清单，是国有企业合规管理体系搭建的前提，是合规管理体系有效运行的核心保障。合规管理的主要目标是合规风险防范和应对，以三张清单为主要抓手，可以实现企业合规风险识别、分析、评价和应对预警，为合规管理体系运行夯实基础。

在当今复杂多变的商业环境中，合规不仅关乎企业法律风险防控，更关乎企业声誉和可持续发展，合规管理已成为企业稳健发展的基石。三张清单虽然始于国有企业合规管理体系建设，但其作为合规风险防控的有效抓手和合规管理体系运行的基础保障，将其扩展运用到各类型企业合规管理中，有重要现实意义。本文不再区分企业性质，将国有企业合规管理中三张清单，扩展运用到各类型企业合规管理领域，并重点阐述三张清单的制作步骤和过程，充分发挥三张清单合规风险防控作用，为企业合规管理提供有益参考和帮助。

一、三张清单是一个事物的三个方面

三张清单是合规运行体系中合规风险评估的重要手段，是一个事物的三个方面，是分别从风险、岗位和流程三个不同角度进行合规风险评估的具体表现，其本质均是对合规风险的识别、分析、评价和应对管控。

合规风险识别清单是对合规风险的全面梳理和整合，其具体梳理过程可以从部门和具体岗位入手。每一岗位工作职责和合规要求，同时也包含了对应的合规风险，所以岗位合规职责清单也是合规风险识别清单的另一个表现形式。

每个具体岗位，通过一个个具体业务或管理流程，履行自己的岗位职责和合规义务。在每一个具体流程节点，都有一个具体岗位的员工通过自己的合规动作来实现对流程的合规管控，这就是关键流程管控清单的梳理基础。

在此基础上，三张清单本质上是一个事物的三种不同表现形式，是通过不同角度对同一事物的描述，是根据企业合规管理实际需要来调整适用的工具和合规管控抓手。但同时三张清单也各有侧重，合规风险识别清单，重在对企业合规风险的全面梳理和排查；重点岗位合规职责清单，重在对于具体岗位合规风险和管控要求的落实；而关键流程管控清单，重在流程节点控制和合规审查嵌入。每张清单有独立存在价值和作用，三张清单既统一又独立，可以此作为企业合规管理的重要抓手。通过一张张具体清单梳理，可以详细了解企业合规风险状况，重点岗位人员合规职责，以及流程管控重点，是企业合规管理的重要工具。

有条件的中央企业、国有企业、外资企业、大型民营企业、上市公司，可以通过建立完整、全面的合规管理体系来实现企业规范化经营和法律合规风险防范；没有条件的中小微企业，完全不必拘泥合规管理形式，通过梳理合规领域三张清单的简要形式，就可以初步构建企业合规风险防范壁垒，更好实现企业规范化经营和长久发展。

二、合规风险识别清单

企业进行合规管理，首要目标是要防范合规风险，因此识别合规风险是企业合规管理的首要问题。通过对企业可能存在的合规风险进行系统性识别、分析和评价，形成合规风险识别清单，帮助企业全面了解自身合规风险，为后续合规管理和应对提供依据。

1.合规风险识别的前提是合规义务梳理

合规义务，也可以称之为合规要求，是企业必须遵守、履行或执行的约束。通过将外部法律法规规定、监管要求、行业惯例甚至是商业道德的具体内容内化为公司的规章制度，这些规章制度的一条条具体内容，就是企业的合规义务，不履行这些义务，企业就会面临合规风险。

2.合规风险识别的具体操作

每个企业都有自己的业务领域和管理模式，但企业运营的最终落脚点都是一个个具体的人，通过一个个人的职务行为来实现企业的经营管理，这也是合规管理的对象，即员工的履职行为。本文推荐通过具体的员工岗位和部门职责来识别合规风险的操作方式。

（1）每个部门有部门的主要职责和工作任务，部门的职责和工作任务会落实到一个个具体的工作岗位，每个岗位都有自己的岗位职责和工作内容，这些具体的岗位职责和工作内容需要遵守相应的法律法规、监管规定和公司规章制度，甚至是道德要求等合规要求。具体岗位员工，在实际工作中违反了这些合规要求，就会产生合规风险，通过对具体岗位员工的合规要求梳理，进而分析出具体岗位员工的合规风险，将每个部门岗位员工的合规风险进行分类整合，并结合部门的重点工作内容，梳理出每个部门的具体合规风险。将企业全部部门合规风险汇总，即完成企业的合规风险识别。

（2）制定合规风险分析和评价标准。从企业合规风险发生的可能性、影响程度或造成后果等角度对合规风险进行分析，并通过对合规风险进行量化评分，形成合规风险评价指标。合规风险评价指标，是评估合规风险等级的重要方式，是合规风险识别清单的重要组成内容，需要根据建设合规体系企业的业务领域有针对性的制定。

（3）风险分类。可以参考中央企业全面风险管理指引的有关内容，并结合企业合规风险识别的实际情况，按照企业的业务类型，对企业的合规风险进行分类。

（4）合规风险应对。对已经识别出的合规风险，应当按照风险评价的情况，执行有效的应对措施。可以制定、修改和完善内部规章制度，调整绩效考核指标，完善相关业务模式和流程，开展合规培训等方式进行合规风险应对，也可以针对重大合规风险制定专项的合规风险防范操作指引。

（5）编制合规风险清单。将识别的全部合规风险，按照前述风险分类标准，以合规风险评价指标为排序依据进行排序，辅以合规风险应对措施，最终形成合规风险识别清单，作为企业合规体系运行的基础保障。

合规风险识别清单有各种各样的格式和模版（如下为三个不同格式的合规风险识别清单），但主要包括了合规风险点、风险描述和合规风险评估几个主要内容。为了契合岗位职责清单的编制，可以在合规风险识别清单中增加具体岗位名称和有关管控流程，这样可以打通三张清单梳理的障碍，减少重复工作。

3.合规风险识别清单需要定期维护和更新

合规风险识别不是一劳永逸的事情，随着外部合规规范的变化，企业的合规要求也需要进行更新和调整，定期更新维护合规风险识别清单有助于企业合规管理体系的高效运转，充分发挥合规对企业经营管理的作用。

三、重点岗位合规职责清单

企业经营管理最终需要通过一个个具体的人来实现，一个个从事具体工作、落实公司经营管理措施的人，通过他们的履职行为，来实现企业的经营发展。每一个人在企业中都有独立的岗位，每个岗位都有明确的岗位职责，在企业合规管理过程中，将具体合规要求与岗位职责进行匹配和嵌入，即体现了岗位的合规职责要求。通过梳理重点岗位合规职责清单，将企业合规管理要求，匹配到具体岗位，通过岗位的合规动作、合规要求、合规流程，来落实企业的合规管理，实现合规风险防控。

虽然岗位合规职责清单与合规风险识别清单，是一个事物的两个方面，但侧重点有所不同，岗位合规职责清单更加注重对具体岗位的合规职责梳理，而弱化对合规风险的排查。

制作重点岗位合规职责清单，需要以企业岗位说明书为基础展开。首先要全面梳理具体岗位的工作内容、工作职责或工作要求，可以按照工作事项分类一项一项梳理；其次将岗位对应的合规义务要求和风险与岗位工作事项进行一一匹配和对应；最后根据匹配的结果，整理出具体岗位的合规职责，形成合规职责清单。

在具体梳理清单过程中，同时需要根据合规体系建设需要，厘清企业重点合规领域，在重点合规领域识别出重点岗位的合规职责，而不是面面俱到的全面覆盖。

重点岗位合规职责清单，主要内容包括具体岗位名称，岗位工作事项和合规职责，也可以根据需要增加合规依据、管理流程或者违规后果等内容。

四、关键流程管控清单

根据企业管理要制度化，制度管理要流程化，流程管理要信息化、数字化、可视化的管理理念和要求，关键流程管控清单是从流程管控角度对企业合规风险防范的具体落实。

企业管理行为，是通过一个个具体员工在具体流程中的管理动作来实现，每个管理或业务流程都有很多节点，每个节点都会设置具体的员工操作，通过员工在该节点的管理动作实现最终的业务审批。通过在该节点嵌入合规审查机制，要求员工落实合规管理要求，最终实现对企业合规风险的防控，这也是关键流程管控清单的伊始目的。

1.流程梳理

通过企业OA系统或线下其他方式，全面掌握企业管理流程和业务流程，梳理每个流程节点数量、节点涉及的部门和岗位、节点审批要求，流程对应的审批事项、审批时效等内容。也可以结合企业的内控体系建设情况，从内部控制流程中，梳理与合规有关联的控制节点和控制动作以及管控要求。

2.将合规管控动作嵌入流程

将每一节点的合规管控措施嵌入流程，形成关键流程管控清单。具体流程节点的管控措施，需要将合规风险清单和重点岗位合规职责清单中的合规风险、应对措施、岗位职责、合规依据等内容进行提炼和总结，形成匹配流程的管控措施，并通过具体岗位人员的合规审查动作，实现对流程合规风险的管控。

为了区别内部控制和风险管理的流程管控，本文提倡用EXCEL表格的形式来制作关键流程管控清单，而非泳道图。因为在合规管理领域，我们制作关键流程管控清单的目的，主要是将合规要求嵌入流程，实现对关键流程节点的合规管控，而并非像内部控制一样为了追求更直观的流程节点控制，因此通过表格的形式可以更多的展现合规风险防控的措施和要求，更符合合规体系建设要求和实际。

关键流程管控清单主要内容包括发起部门、审批部门和决策部门的主要节点及有关管控措施，要重点将合规审查机制嵌入管控措施，实现通过流程管控合规风险的目的。

企业合规体系建设是一个系统工程，既要搭建合规管理组织、制定合规制度、进行合规风险评估，又要开展合规检查、违规调查、合规文化和信息化建设。三张清单——合规风险识别清单、重点岗位合规职责清单和关键流程管控清单，是保障企业合规体系平稳有效运行的基础，通过制定三张清单，企业可以更加清晰地识别和管理合规风险，制定契合企业实际需要的合规管控措施和合规审查机制，提升企业合规管理水平，为企业的稳健发展夯实法律合规基础。

三张清单不仅是国有企业合规管理体系建设内容，也可以完全扩展运用到所有企业合规管理实践，更能在企业重点领域的专项合规建设中高效、便捷地完成前期合规风险识别等重要工作。另外，尤其对于中小微企业，可以通过简单的三张清单梳理，就能实现合规管理的基础功能，了解企业合规风险，提升企业应对风险能力，提前制定风险防范和应对措施。因此，将合规三张清单扩展运用到各类型企业合规管理势在必行。

本文作者：申浩律师事务所李晓曦律师