企业建立以管理为导向的合规管理体系后，需要探索以风险为导向的合规管理体系，通过开展风险评估，深入了解企业经营中存在的合规风险，从而制定相应的合规治理规划。

合规管控点或关键控制点（Key Control Point，以下简称“KCP”）[1]是指依据合规规则，需要在业务流程中采取合规管控措施的关键节点。KCP梳理是以风险为导向的合规体系建设的重要一环，也是风险评估的前置步骤，梳理成果可以有效应用于风险评估中。在业务流程中嵌入KCP有助于系统性防控合规风险，同时也是合规融于业务的体现。对于总部而言，通过梳理业务流程中应嵌入的KCP以及与之相匹配的合规管控要求，可以勾勒出合规管控全景，同时识别出尚未采取合规管控措施的KCP，堵漏建制；对于子公司而言，可以根据总部的合规管控全景，分析和评价其自身业务流程中应嵌入的KCP，并与其已采取的合规管控措施相比较，判断其合规管控的缺失程度和现存合规风险的高低。

KCP的基石 -- 合规规则体系

外部法律法规和内部合规规则是在业务流程中嵌入KCP的依据，建立合规规则体系也是以风险为导向的合规体系建设的第一步。中兴通讯的业务遍及全球大部分的国家和地区，合规COE（Center of Expertise，专家中心）负责跟踪研究与公司经营密切相关的法律法规，并结合公司风险偏好制定原则性规范。BU（Business Unit，业务单位）合规团队则结合业务实际将原则性规范细化为场景化指引。从法律法规到原则性规范，再到场景化指引，合规管控要求与公司业务实际的结合愈加紧密，对业务单位的指导性也逐步增强。自上而下的合规规则体系是KCP梳理的依据和基石，可用于判断应当嵌入合规管控措施的流程节点以及如何管控该等节点。

合规规则体系应当具备清晰的效力位阶：由不同主体制定的政策、原则性规范和场景化指引等文件在规则体系中自上而下位处不同层级，在效力、修改频次、受众、理解难易程度等方面也存在差异：

1）董事会确定公司风险偏好，明确公司经营中所需遵从的“红线”和合规政策，形成规则金字塔架构的第一级。公司政策在合规规则体系中具有最高效力，需要在相当长一段时间内保持其稳定性。同时，因其整体适用于公司全体员工，内容和形式上应更容易为员工所理解和记忆；

2）合规COE部门基于外部法律法规的要求，并结合公司政策制定本领域的原则性规范，形成“规则金字塔”架构的第二级。原则性规范通常包括合规手册总册和其他基本规范。总册是特定合规领域的纲领性文件，也是合规规则体系中的“根本法”，为了保持严肃性和稳定性，其制定应相对严谨和审慎，修改频次也相对较低。此外，合规COE部门通常还会制定其他基本规范，作为总册的补充或延伸，需要依据外部法律法规的变化而作相应调整；

3）BU合规团队结合实际业务情况，依据原则性规范制定不同业务领域的合规分册和场景化指引，形成“规则金字塔”结构的第三级。贴合业务场景的特性决定了，如果业务场景发生变化，分册和指引也需要作出相应的调整，因此实践中分册和指引的修改频次相对较高。此外，为了降低理解门槛、强化可落地性，公司也鼓励BU合规团队采取场景化案例等易于业务单位理解的形式。

从政策、原则性规范到场景化指引的金字塔式规则体系层层递进且相互援引，为KCP梳理提供了制度依据。

KCP的载体 -- 合规管控全景

规则体系可以引导合规专业部门判断业务流程中应嵌入KCP的节点，但对于非合规领域的一般员工而言，合规规则用语复杂且篇幅通常较长、理解成本较高。通过梳理KCP及其项下的合规管控措施，可以得到类似于知识卡片的输出物，即对风险点和管控点知识进行结构化和可视化处理，让受众对于与自身业务相关的合规管控知识的理解和记忆更加便捷，使得合规知识与业务的融合、应用成为可能。因此，KCP梳理是对规则体系进行拆解和模块化的过程，旨在促进规则与业务场景的深入融合，进一步降低理解和使用门槛。

对于KCP梳理而言，如果没有规则体系作为基础，将难以全面判断哪些业务场景中需要得到合规管控；而如果没有全面梳理、横向拉通各业务领域中涉及的场景，又难以保证KCP的全面性和完整性。相较于子公司而言，总部的业务场景通常更为全面和复杂。因此，中兴通讯以总部的业务场景为经，以总部的合规指引为纬，定位出KCP以及与之相匹配的合规管控要求，形成合规管控全景图，依托内部数字化平台实现可视，并面向公司全员发布。合规管控全景图是由各业务领域KCP及合规管控要求组成的有机整体，是KCP的载体和一站式查询平台。

为使KCP真正嵌入业务、杜绝管控漏洞，需争取实现KCP的IT化、线上管控，将部分人工控制节点逐步转变为系统控制节点。随着IT化管控的实现，后续可通过数据一致性审计核验KCP嵌入和相应管控要求的执行情况，为公司合规治理和资源投入提供客观的决策支撑意见。

KCP的应用 -- 以风险评估为例

在风险评估过程中，需要识别和分析潜在合规风险，并评价既有合规管控措施的全面性，而KCP梳理在其中可以发挥重要作用。

对于总部而言，在合规建设初期，自上而下快速建立起规则体系，使得合规建设有“规”可依。随着合规体系建设进入新阶段，可以借助KCP的梳理，自下而上地反推当前规则体系中需补充完善之处。例如，经梳理发现某一业务场景存在潜在合规风险且应嵌入KCP，但目前尚未制定与之相匹配的合规规则，则需及时制定相关规则，堵住管控漏洞。因此，KCP也是检验规则体系完整性的试金石。

对于子公司而言，不同子公司需嵌入的KCP类型和数量存在差异。通常而言，业务复杂程度越高，需嵌入的KCP越多。假设总部需在业务流程中100项KCP，而某一业务场景复杂度弱于总部的子公司可能仅需嵌入50项KCP。总之，通过梳理被评估单位的业务场景，可得出其应嵌入的KCP数量。需嵌入的KCP数量越多，通常意味着合规管控的难度越大，需投入的合规资源越多。在此基础上，再通过文档审阅、人员访谈等方式了解被评估单位已有的合规管控措施与KCP之间的差距。二者差距越大，说明合规管控措施缺失程度越高，现存的合规风险越高。

结合公司当前的风险偏好和治理实践，风险评估的终极目标应更聚焦于风险分类管理及相应的治理规划，而非单纯的风险等级和治理优先级划分。在风险评估中应用KCP，有助于更加直观和全面地了解被评估单位合规管控现状，从而对症下药、堵漏建制，争取实现合规管控与业务场景的充分匹配。

当然，KCP的应用场景绝不限于风险评估，它还可被广泛应用于合规咨询、合规检查、审计等其他环节。例如，通过搭建一站式查询平台，公司全员可从实际业务需求出发，根据业务场景快速定位到KCP及其项下的合规管控要求，从而减少合规咨询需求量。又如，合规检查人员可依据KCP制作各业务领域的检查清单，并通过访谈等方式核验KCP项下合规管控要求的执行有效性。如此一来，可依托KCP实现风险评估和合规检查的层层嵌套和递进。

由于规则体系和业务场景均可能不断变化，应当定期维护和更新KCP，推动KCP的不断迭代。同时，后续需通过检查和审计检验KCP的管控情况，以形成合规治理的闭环。

中兴通讯通过梳理KCP并将其应用于风险评估，推动以风险为导向的合规管理体系建设，致力于与合作伙伴一起共建安全、可持续的营商环境，共同实现业务的有质量增长。

注释：

[1] 关键控制点通常是指在业务流程或应用系统中，为降低流程主要风险和实现控制目标而采取的最有影响力的控制活动。

本文作者：中兴通讯高级副总裁、首席法务官 申楠

小编微信：Crocso 如欲就法务与合规管理进行交流、培训、咨询等，可与我联系，将为您推荐大咖老师、资深专家和律师。