金诺法谈 | 合于心，规于行（四）：关于合规管理的“三张清单”

2022年10月1日正式实施的《中央企业合规管理办法》（以下简称“《央企合规办法》”）第十三条至第十五条明确了企业合规管理“三道防线”的职责。第一道防线是企业的业务部门及职能部门，职责之一是需开展本部门的合规风险识别评估，编制风险清单和应对预案；第二道防线是合规管理部门，职责之一是负责组织开展合规风险识别、预警和应对处置；第三道防线，是纪检监察机构和审计、巡视巡察、监督追责等部门，负责对合规要求落实情况进行监督，对违规行为进行调查，按照规定开展责任追究。《央企合规办法》对合规责任主体的各自责任进行了厘清。责任主体的各自职责履行，合规落地，就需要企业制作三张合规关键清单，即：风险识别清单、岗位职责清单、流程管控清单。

2023年6月1日正式实施的《天津市国资委监管企业合规管理办法》（以下简称“《天津市合规办法》”）第十四条、第十五条、第十七条沿用了《央企合规管理办法》对“三道防线”关于合规风险识别的要求“。

结合《央企合规办法》和《天津市合规管理办法》的要求，以及近期天津市国资系统关于合规管理清单的需求，笔者着重对合规职责清单、合规义务清单、合规风险清单的内容进行详细阐述。

一、合规职责清单

合规职责清单通过梳理岗位职责中的合规职责形式，明确各岗位的合规责任。在确定重点领域岗位、关键岗位的合规职责时，需企业综合考虑岗位与风险的关联度、风险数量以及合规管理的专业性等因素，明确企业的重点岗位。

梳理合规职责清单时，首先需梳理该岗位的具体岗位职责是否能覆盖其实际承担的工作内容，实践中部分企业岗位职能设置存在长期与实际承担工作内容不一致的情况，那么在梳理时就需要通过访谈、调查问卷等形式梳理岗位职能的具体内容，然后与外部法律法规要求和内部管理制度等合规义务进行匹配研判，最后形成合规职责清单中的岗位职责描述及合规职责描述具体内容，并补充该岗位职能涉及的重点领域、合规义务等具体内容。

二、合规义务清单

合规义务清单主要强调的是义务来源及义务事项，通过对岗位合规职责清单的梳理，能明晰地显示出岗位的具体合规要求，由于企业的各项管理制度的制定来源均以法律法规、部门规章、行业规范、地方性法规等为依据。管理制度即“外规内化”的具体体现，因此合规义务清单主要侧重于企业提炼出法律法规、部门规章、行业规范、地方性法规等外规要求的合规义务，并列明义务事项的具体描述，同时梳理公司管理制度是否具有相匹配的制度要求，从而实现企业合规管理工作基于外规要求的合规义务基本全覆盖，以及内部制度的不断修订与完善，从而达到合规义务内外部相匹配相统一的管理要求。

在此需要强调的是，合规义务清单由于以法律法规、部门规章、行业规范、地方性法规等作为义务来源，随着义务来源的修订废止，义务事项会发生变化，所以合规义务清单需要定期修改调整。

三、合规风险清单

合规风险是指企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。因此，企业管理过程中已经发生引发法律责任、造成经济或者声誉损失以及其他负面影响的各类事件，由于已经发生，不应该作为合规风险，而是作为风险事件进行管理。

合规风险主要提炼于合规义务及合规职责，即：违反合规义务及合规岗位职责要求，从而产生引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性的具体描述。那么合规风险清单主要就需梳理出风险事项、法律后果、制度惩处措施及责任类型。部分合规风险导致的后果在法律法规中有明确规定，形成了刑事责任、行政责任、民事责任的划分，部分合规风险导致的后果由企业管理制度进行要求，形成了内部责任。

四、总结与思考

合规管理中的“三张清单”作为企业合规管理体系的搭建基础性工作，同时也是合规管理考核的重点内容。合规职责清单结合岗位实际情况梳理合规职责，合规义务清单动态地将合规义务进行整合与提炼，合规风险清单明晰地体现出风险事项出现后的责任类型和应承担的后果。在实践中，“三张清单”需结合企业的经营模式、岗位设置等内部管理事项调整以及法律法规、部门规章、行业规范、地方性法规等文件的不断修改进行完善和更新，以“三张清单”为主要抓手，实现企业合规风险识别、分析、评价和应对预警，为合规管理体系运行夯实基础，为企业的合规管理体系有效运行提供核心保障。