许多上市公司可能已经在开展这项工作，因为其中一些运营是作为合规性的一部分开始的。建立和支持政策、程序和控制，与政策、程序和控制相关的操作为风险管理和合规程序奠定了基础，并确保程序的其余部分正常运行。这些操作包括：

1)      识别内部和外部需求、风险和期望，包括政府法规、公众意见、客户期望、内部风险管理目标、质量标准等。

2)      识别跨风险、需求和期望的共同要素。

3)      映射风险、需求和期望之间的关系和依赖。

4)      将复杂的需求集合分解成与特定企业子单位和个人相关的组件。

5)      识别支持需求和目标的现有控制。

6)      如有控制措施未涵盖的目标，必要时建立新的控制措施。

7)      记录所有控制的目的和操作。

【相关素材】略。