一、总体定位与价值

国企内控风险合规一体化清单编制基于 “六步法” 构建体系化路径，以 “流程” 为脉络串联风险、合规、内控，以 “责任” 绑定治理主体，以 “数字化” 实现动态管控，最终形成 “事前有预防、事中有控制、事后有追溯” 的管理闭环。其核心价值包括：

▲应对监管要求，完成 “合规动作”；

▲深化国企改革（如 “世界一流企业建设”）；

▲防范重大风险（债务违约、腐败案件等），将 “治理优势” 转化为 “管理效能”。

二、六步法详细内容

（一）流程图谱绘制：构建业务 “神经网络”

覆盖治理层（“三重一大” 决策）、业务层（投融资、采购等）、操作层（岗位权限），明确各环节输入、输出、参与主体及流转逻辑，消除管理盲区。

责任分工：内控 / 风险 / 合规部牵头，业务部门（流程所有者）、法务 / 审计 / 党建 / IT 部门协同，最终由 “内部控制与风险管理委员会” 审批。

六步实施：启动筹备（跨部门小组 + 培训）→流程识别（自上而下梳理，形成《业务流程清单》）→分层访谈（治理层访谈 + 业务层 “贴纸法” 研讨会）→绘图描述（用 Visio / 亿图，配《流程说明文档》）→评审确认（部门内审 + 跨部门会审）→汇总统筹（编制《流程图谱手册》）。

国企特色：“三重一大” 流程中明确 “党委前置研究讨论” 节点，如 “投资超 1 亿元需党委前置审议”，并通过《权责划分表》界定党委、董事会、经理层边界。

（二）风险数据库建设：锁定 “靶向风险”

将静态流程图转化为动态风险画像，构建 “风险描述 + 等级 + 诱因 + 案例” 的结构化数据库，为控制措施设计提供靶标。

责任分工：风险管理部牵头，业务部门（主体责任）、战略 / 法务 / 审计 / 纪检部门评审，“内部控制与风险管理委员会” 审批。

五步实施：风险识别（流程节点 “头脑风暴”+ 问卷 / 访谈 / 对标）→风险描述（“原因 + 事件 + 后果” 标准化，如 “供应商准入不严导致质量风险”）→风险评估（5 分 / 3 分制量表，L×I=R，用风险矩阵定等级：红 / 黄 / 绿）→根因与案例（5Why 分析法 + 关联内外部案例）→录入审批（Excel/GRC 系统录入，评审后发布）。

特殊要求：合规风险需关联具体法规条款（如《企业国有资产交易监督管理办法》第 32 条），廉洁风险关联党纪党规，且二者 “监管处罚、声誉损失” 权重更高，常定为 “高风险”。

（三）合规义务匹配：筑牢 “底线规则”

将法律法规、监管政策、内部制度拆解为 “应为 / 禁为” 的合规义务，精准映射到流程节点，避免 “无知者无畏” 的违规。

责任分工：合规部 / 法务部牵头，业务部门提义务建议，法务 / 纪检 / 内控部评审，“合规管理委员会 / 总法律顾问” 审批。

五步实施：合规要求收集（覆盖法律法规、监管规定、党内法规等 7 类来源）→义务拆解（“必须 / 禁止” 句式，如 “国有资产转让必须在产权交易机构公开进行”）→流程映射（匹配流程节点，明确 “执行 / 监督岗位”）→构建义务库（Excel/GRC 系统，关联风险库）→评审培训（跨部门评审 + 全员培训）。

国企特色：将 “中央八项规定精神” 转化为量化标准（如 “商务接待人均费用≤X 元”），嵌入报销流程。

（四）控制措施映射：设计 “防御武器”

针对高 / 中风险与刚性合规义务，设计预防性、检测性、纠正性三类控制措施，实现 “风险→措施” 精准匹配。

责任分工：内控部牵头，业务部门设计措施，风险 / 合规 / 法务 / 审计部门评审，“内部控制与风险管理委员会” 审批。

五步实施：识别控制需求（关联流程、风险、义务）→设计措施（按风险等级适配：高风险用 “预防 + 检测 + 纠正” 组合，如 “大额支付需双 U 盾 + 定期审计”；中风险用 “标准化模板 + 法务审核”）→定义属性（“动作 + 标准” 描述，如 “尽调报告需 5 家可比公司分析 + 双签”）→整合评估（构建《风险 - 控制 - 合规义务矩阵》）→评审优化（评估有效性、可操作性、成本效益）。

关键要求：控制措施需 “可验证”，避免模糊表述（如 “加强审核”→“招标文件需法务 + 采购部会签存档”）。

（五）责任矩阵分配：明确 “作战地图”

用RACI 模型（执行者 R、问责人 A、咨询人 C、知会人 I）将责任落实到部门 / 岗位，关联绩效与追责，破解 “人人负责、人人不负责”。

责任分工：人力资源部 + 内控部牵头，业务部门提分配方案，企管 / 法务 / 审计部评审，“人力资源分管领导 + 内控委员会” 审批。

五步实施：识别关键活动（从流程 / 控制中提取，如 “合同审核”）→RACI 分配（每活动 1 个 A，如 “投资决策 A 为董事会”；党委 “前置研究” 为 R，输出供董事会 C）→编制矩阵（Excel 表，纵向活动、横向岗位）→绩效挂钩（内控 KPI 权重：关键部门≥10%，业务部门 5-10%）→融入人力管理（招聘 / 入职 / 轮岗 / 离职均关联 RACI 责任）。

追责机制：双轨制 —— 一般性违规（绩效扣分、通报）；国有资产损失（纪检监察 + 党纪政务处分）。

（六）数字化平台部署：打造 “智能中枢”

将前五步成果集成到数字化平台，实现 “流程自动化 + 风险实时预警 + 合规智能校验”，变 “人工驱动” 为 “数字驱动”。

责任分工：IT 部 + 内控 / 合规部牵头，业务部门提需求，风险管理部提预警需求，“信息化领导小组” 审批。

五步实施：需求梳理（转化为《功能需求说明书》，如 “金额> X 万自动推 Y 领导审批”）→系统开发（路径 1：升级现有 OA/ERP；路径 2：新建 GRC 平台，嵌入 “党委前置” 等规则）→数据打通（开发 API 接口，对接国资监管系统、审计系统，构建统一数据库）→移动化推广（开发 APP / 集成企业微信，含待办提醒、风险预警）→上线运维（试点上线 + 规则维护 + 迭代优化）。

安全要求：符合国家网络安全等级保护制度，保障核心数据安全。

四、关键问题

问题 1：国企在编制一体化清单时，如何有效嵌入党的领导，避免 “党委前置” 流于形式？

需从 “流程节点、权责界定、成果输出” 三方面落地：

一是流程节点刚性嵌入，在 “三重一大” 决策流程（如投资、人事任免）中，用特定颜色标注 “党委前置研究讨论” 节点，且在数字化平台中设置规则（如无党委会议纪要，后续董事会节点自动锁定）；

二是权责边界清晰界定，通过《权责划分表》明确党委 “把方向、管大局、保落实” 的具体事项（如投资超 1 亿元需前置），区分董事会 “战略决策”、经理层 “执行” 的权限；

三是输出成果可追溯，将党委前置研究的 “会议纪要” 作为下游决策的必要输入（如董事会审议需附纪要），且在 RACI 矩阵中明确党委为 “前置研究” 环节的 R（执行者），确保其意见实质性影响决策。

问题 2：如何平衡 “内控控制强度” 与 “业务效率”，避免因过度控制导致流程僵化？

核心是 “风险导向、分级管控 + 自动化赋能”：

一是按风险等级差异化设计控制，高风险 / 刚性义务采用 “多重强制控制”（如大额支付：职责分离 + 双 U 盾 + 定期审计）；中风险 / 倡导性义务采用 “轻量化控制”（如合同：标准化模板 + 法务终审）；低风险简化或取消控制；

二是用自动化替代人工控制，将高频控制点（如报销标准校验、审批权限判断）嵌入 ERP/OA 系统，实现自动拦截（如超标准报销自动提醒），减少人工干预；

三是设置合理例外通道，对特殊业务（如应急采购），设计 “绿色通道” 审批流程（如经更高层级 A（问责人）审批后可简化步骤），避免 “一刀切”。

问题 3：一体化清单建成后，如何确保其不是 “静态文档”，而是持续生效的 “管理工具”？

需建立 “动态更新 + 文化渗透 + 考核问责” 三位一体机制：

一是动态更新机制保障时效性，明确定期（年度全面更新、季度高风险回顾）与不定期（法规变化、战略调整等）触发条件，且更新时联动各步骤（如合规义务更新→流程映射→控制措施→责任矩阵→系统配置），确保全体系协同；

二是文化渗透保障自觉性，通过内部宣传（合规标兵案例）、分层培训（员工学红线、管理者学风险）、可视化提醒（办公区张贴关键控制要求），让内控合规从 “强制要求” 变为 “行为习惯”；

三是考核问责保障执行力，将内控职责履行情况纳入 KPI（关键部门权重≥10%），且建立双轨追责（一般性违规扣绩效，国有资产损失启动纪检程序），同时审计部门定期抽查控制执行情况，确保清单落地。

来源：互联网