国有企业合规管理体系建设中“三张清单”要点

合规既是重要的公司治理方式， 也是企业防范法律风险的重要手段。 为加快建设法治国企， 帮助国有企业应对国内外复杂的经济环境， 促进依法合规和高效经营， 提高国有企业的经营管理水平， 需要建立完善的合规管理体系。 “三张清单” 作为合规运行的重要抓手， 是国家对国有企业进一步深化合规管理提出的更高要求。

一、 中央和地方主管部门对合规管理体系建设中“三张清单”的要求

2022 年 2 月 28 日， 国资委办公厅印发《翁杰明同志在中央企业强化合规管

理专题推进会上的讲话》 ， 会议中强调： “就合规管理强化年相关重点工作， 归

纳起来， 就是认真抓好‘五个一’ ” ， 即一次排查、 一组清单、 一个体系、 一项

机制、 一个系统。 在“五个一” 重点工作中， “一组清单” 是重中之重； “一组

清单” 即“三张清单” ， 包括风险识别清单、 岗位合规职责清单、 流程管控清单。

2023 年 3 月 2 日， 国务院国资委召开中央企业深化法治建设加强合规管理工作

会议， 再次强调要以风险识别清单、 岗位合规职责清单、 流程管控清单为基础，

对合规风险全面梳理、 系统分类， 细化实化职责清单， 将重点岗位合规责任纳入

岗位手册， 将合规要求和管控措施嵌入关键节点， 严把合规审查关口。

近期， 各地方国资委陆续发布了合规管理相关办法和要求， 进一步落实国务

院国资委《关于加强地方国有企业法治建设的指导意见》 中关于合规管理体系建

设的要求， 明确了“三张清单” 相关内容的落实要求。 2022 年 4 月 20 日， 广东

省国资委出台《省属企业“合规管理强化年” 行动方案》 ， 其中明确要求加强制

度体系建设， 根据行业特点， 研究制定重点领域专项合规指引， 编制岗位合规职

责清单， 将合规要求落实到岗、 明确到人。 2022 年 10 月 21 日， 江西省国资委

出台《江西省国资委出资监管企业合规管理办法（试行） 》 ， 第十二条规定： “企

业业务及职能部门是本部门合规管理责任主体， 负责日常合规管理相关工作， 主

要履行以下职责： （一） 建立健全本部门业务合规管理制度和流程， 开展合规风

险识别评估， 编制风险清单和应对预案。 （二） 定期梳理重点岗位合规风险， 将合规要求纳入岗位职责。 ”

“三张清单” 是当前国有企业合规管理体系建设的重要环节， 是重点领域合规风险

管控的关键支撑。 “三张清单” 的第一张是风险识别清单， 是合规管理工作的基础， 是

以风险为导向， 对外部法律法规、 国家政策、 行业标准等相关规定以及企业内部的规章

制度进行系统梳理， 汇总违反合规义务的条款责任， 确定合规风险点， 把这些风险点按

照风险影响等级、 风险发生概率和风险探测水平排列出来。 第二张岗位合规职责清单，

是以岗位为根本， 结合业务部门、 合规管理部门、 内部审计和纪检监察部门“三道防线”

设定不同岗位的具体职责， 对照这些岗位职责， 将每个职责中的合规审核、 合规管理、

合规动作都反映出来， 凸显本岗的合规职责。 第三张流程管控清单， 以风险识别清单与

岗位合规职责清单为基础， 对业务管理制度和流程进行分析评价， 识别其与合规管理要

求之间的差距和不足， 并根据合规管理要求修改流程管控措施， 明确其管控目标、 责任

部门和岗位人员、 控制频率等内容， 使合规管理要求融入业务管理制度和流程之中。

“三张清单” 分别具有各自的意义：

通过风险识别清单， 可以找到合规风险；

岗位合规职责清单， 能够落实合规管理的岗位和人员；

流程管控清单， 用来确定不同合规风险应对和处理方法， 进而实现目 标清

晰、 责任到位、 措施落实。

二、 识别重点合规义务， 制定风险识别清单

关于风险识别清单， 是企业各部门在全面排查的基础上， 按照业务类型等将

合规风险进行分类， 明确合规风险的表现形式、 产生原因、 违规后果、 责任主体等方面， 作为开展合规管理的重要基础。

风险识别的前期， 需要开展一项重要的工作， 即合规义务识别。 合规义务的

识别是把企业与其所应具备的合规义务进行全方位匹配的工作。 ISO 37301: 2021

《合规管理体系 要求及使用指南》 将合规义务定义为： “组织强制遵守的要求

和组织自愿遵守的要求” ， 要求是指明示的、 通常隐含的或必须遵守的需求和期

望。 因此合规义务不但包括强制性的成文法律法规和标准规范、 不成文的社会文

化、 价值观和道德准则， 还包括企业自己选择要遵守的内容。 我国发布的和实施

的成文法律法规和标准规范有十几万个， 这些法律法规和标准规范中包含着若干

个合规义务， 企业关键且重要的合规义务大多源于其中。 此外， 合规义务的识别

不是一次性的动作， 是随着外部合规环境的变化进行调整和变更的一项周期性和

系统性的工作。风险识别清单的基础是识别合规义务， 主要是梳理上述法律法规、

部门规章、 行业准则、 公司内部规章制度， 以及业务活动中需要直接遵循的国际

公约等。

ISO 37301: 2021《合规管理体系 要求及使用指南》 要求企业在识别风险义

务后， 即可进行合规风险识别的工作。 如何在庞大的信息库中提取重点的风险，

需要经过一系列的模拟和测算， 例如采取 SOD 风险评估方法。 SOD 风险评估方法

是从合规风险发生的可能性、 影响程度、 潜在后果等进行分析， 评估风险等级。

风险等级可以按照一定的因素设置权重来进行划分和评估， 构建风险矩阵。 风险

矩阵对违规风险程度、 风险发生可能性和风险探测防御水平三个指标分别进行 5

级赋分， 形成风险分值 RPN=S*O*D。 同时， 设置风险预警阈值与限额阈值， 将所

有风险分值划分为高（RPN＞30） ， 中（10＜RPN≤30） ， 低（RPN≤10） 三类，