综述

合规管理体系（CMS）建立在合规风险识别评估的基础上，合规风险识别评估是建立合规管理体系不可或缺的基础性工作与核心工作内容，企业建立合规管理体系的目标是对企业合规风险进行有效管理，合规风险识别评估工作质量决定了合规管理体系的整体水平和有效性。

0.1　合规义务

企业要识别和确定具体的合规风险，首先是要识别“合规义务”。合规义务如同企业组织衡量自身生产经营行为正确性的尺子。有了尺子，才能够度量出行为过程中可能出现的合规偏差（合规风险）。

0.1.1　合规义务识别

国际标准化组织（ISO）在2014年12月15日发布了国际标准ISO 19600《合规管理体系指南》（以下简称《指南》），明确合规义务内容包括合规要求和合规承诺。在市场经济中，国家监管机构从维护市场经济健康、有序发展的需要出发，制定了许多强制性的法律法规等要求，这就属于合规要求的内容。由于市场竞争激烈，企业为获得股东、顾客、供应商等相关方的信赖，对自身生产经营过程和产品品质进行的若干承诺，这就属于合规承诺的内容。

合规要求是具有强制性的，如国家法律法规、监管机构发布的制度、条例或指导方针等，是企业生产经营行为必须遵守的；而合规承诺则是企业自己的选择，是对相关方的一种承诺，是自愿的，如与社区团体或非政府机构签订的协议、自愿性原则或行为守则、对客户的产品质量承诺等。

由于识别企业要遵守的合规义务是合规风险识别评估的前提，所以在开展合规风险识别、分析和评估之前，企业需要考虑一些内容，具体包括：

a. 所在地／东道国的相关权威监管机构的治理标准和法律、法规要求有哪些？

b. 客户、股东、企业内部员工、商业合作伙伴等相关利益方的诉求有哪些？

c. 企业的业务活动有哪些？

d. 风险识别和分析方法是否适合企业的经营模式？

e. 其他专业领域（如内部审计、法律部门和风控部门）是否参与到合规风险识别、分析和评估流程中来并发挥其应有的作用？

f. 企业管理层是否参与并致力于流程中？

g. 风险排序是否透明完整？

h. 风险是否被记录？

i. 企业内部治理、管理体系成熟度如何？

以上是《指南》的4.1、4.2、4.3、4.4的相关要求。

在《指南》的4.5中，对合规义务的识别有明确的指示，具体见下文：

4.5　合规义务

4.5.1　识别合规义务

组织应系统地明确合规义务及其对组织活动、产品和服务的影响。组织在建立、发展、实施、评估、维护及改进合规管理体系的过程中，应考虑这些合规义务。

组织应以适合其规模、复杂性、结构和运营的方式制定合规义务文件。

合规义务信息应包括合规要求，可包括合规承诺。

举例1　合规要求包括：

—法律法规；

—许可、执照或其他形式的授权；

—监管机构发布的制度、条例或指导方针；

—法院或行政法庭的裁决；

—条约、公约和条款。

举例2　合规承诺包括：

—与社区团体或非政府机构签订的协议；

—与主管部门和客户签订的协议；

—组织要求，比如政策和程序；

—自愿性原则或行为守则；

—自愿性标记或环境承诺；

—组织所签协议产生的义务；

—相关组织和行业标准。

从上面的要求和举例来看，合规义务的内容是由企业内部和外部面临的问题、相关方的强制要求和企业本身为了赢得市场、监管机构的认可而主动作出的承诺构成。

同时，从《指南》4.5中的内容可知，组织应系统地识别合规义务及其对组织活动、产品和服务的影响。组织应以适合其规模、复杂性、结构和运营的方式来确定合规义务，并本着经济适宜的原则来确定企业的合规承诺。承诺了就要做到，做不到就不要向市场承诺而让企业陷于不诚信的境地，没有诚信的合规义务和合规管理是无法形成合规生产力的，反而会让企业处处被动。

但是，具有强制性的合规要求是企业必须要遵循的，不具有随意性，也不可选择，必须列入企业合规义务的范围。企业要根据这些要求识别合规义务，制定合规义务清单文件，并在企业内部以正式文件的形式发布。比如，企业可根据表0.1《公司合规义务初始识别工作表》识别和建立本企业的书面合规义务内容清单，描述其对企业的影响，并确定企业是否应该遵循。

0.1.2　合规义务动态维护

合规要求和合规承诺不是一成不变的。因此，需要时刻关注企业内外部环境并将新的要求或者承诺纳入组织的合规义务内容范围。企业应依据内外环境的变化经过管理评审，不断调整和维护合规义务清单文件。在《指南》的4.5.2中，对合规义务持续更新、维护有明确的指示：

4.5.2　维护合规义务

组织应制定相应的流程以及时跟踪法律、法规、规范和其他合规义务的出台和变更，以确保合规持续性。组织应具备相应的流程，评估相关变化所带来的影响，并实施合规义务管理变更。

举例为获取法律和其他合规义务变化信息，其流程包括：

确保自己在相关监管机构的收件人列表中；

确保自己是专业组织的会员；

—订阅相关信息服务；

—参加行业论坛和研讨会；

—持续跟踪监管机构的网站动态；

—与监管机构会面；

—与法律顾问交流；

—持续关注合规义务信息来源（比如监管机构的公告和法院裁决）。

从上面的要求和举例来看，企业内部和外部面临的问题、相关方的要求随时间推移会发生变化，企业面对的市场也不断发生着政策、供求关系、客户偏好等方面的变化。企业想要及时应对这些变化，并使自己持续赢得市场、监管机构的认可，就需要保持多种信息沟通渠道畅通，及时获得有关合规要求变化的信息或进行新的合规承诺。这种变化可能是增加、减少或者调整合规要求和合规承诺，在此基础上持续更新合规义务内容清单，形成新的合规义务文件。

合规义务维护的重点是建立好合规义务信息沟通渠道，《指南》中的“4.5.2维护合规义务”中列举了八种沟通渠道。企业有必要制定相应的企业合规义务动态维护管理流程，以便及时跟踪法律、法规、规范和其他合规义务的出台和变更。比如，企业应根据表0.2《公司合规义务持续识别维护表》动态维护本企业的书面合规义务内容清单，在上一轮次识别的合规义务清单基础上注明增加、删除和调整的合规义务情况，描述其对企业的影响，并确认企业是否继续纳入合规义务范围。

0.1.3　合规义务内容

《指南》4.5.1中提到：“组织应以适合其规模、复杂性、结构和运营的方式制定合规义务文件。合规义务信息应包括合规要求，可包括合规承诺。”这表明合规义务的多与少与企业本身密切相关，合规义务决定合规风险。在企业生产经营过程中，由于合规义务的存在，员工行为对合规义务遵循的不确定性导致了合规风险的产生。

对于企业来说，监管机构颁布的法律、法规等强制性合规要求都是必须遵循的。它们是企业固有的合规风险，关键在于企业能否主动承担这些合规要求。合规承诺就不同了，它是企业对市场、客户、监管机构等相关方的主动承诺。承诺越多，需要遵守的要求就越多，合规风险也就越多；承诺越少，需要遵守的要求就越少，合规风险也就越少。这些都与企业的核心竞争力密切相关，从某种程度上来看，企业合规承诺的多少与合规风险的大小之间成正相关关系。

因此，企业管理层要从经济适度出发，在满足国家监管机构制定的法律、法规等强制性合规要求的基础上，从适合其企业经营管理水平、规模、复杂性、结构和运营的方式出发，进行主动的合规承诺，最终制定企业合规义务文件。总之，合规承诺不是越多越好，也不是越少越好，最适宜于企业健康发展、基业长青的合规承诺才是最好的。

总体来讲，合规义务具体包括以下内容：

第一，合规要求。它是指企业所在国家、地方政府、行业组织、社区制定的法规、行业要求和诉求，一般包括规范商业行为的法规、生产安全法规、职业健康安全、环境、社会责任、风俗信仰文化、社区诉求、社会治安、政治要求等方面。它们的共同特征是具有一定的强制性，所以企业业务行为必须遵守这些法规和规定。如果违反这些规定，企业将受到来自相关监管机构、相关利益方的制裁和处罚，遵守法规和按规定办事是组织实现目标的保障。

第二，合规承诺。它一般包括两大类，即伦理道德标准和对所提供的产品、服务品质的承诺。第一类合规承诺如同一个人所尊崇的伦理道德标准和品质。不同的人所尊崇的伦理道德标准和品质不同，“君子有德、小人无德”说的就是这样一个道理。企业也是如此。备受尊敬的企业和臭名远扬的企业，显然不在同一个企业伦理道德标准层面，其追求的产品品质也不在同一个层面。企业伦理道德规范承诺是企业自己对社会的合规承诺，其内容一般包括：公平公正公开、不操纵市场、道德不欺诈、廉洁不腐败、诚信、对产品全生命周期负责、践行企业核心价值观、尊重人权、以人为本等方面的内容。

第二类合规承诺是企业为了适应市场竞争的需要所作出的业务沟通和专业技术承诺，一般包括与相关方信息沟通、相关方要求识别响应、产品技术标准与改进、产品质量标准、产品功能持久性、产品节能、产品绿色、产品智能化、产品人性化设计、产品技术专利、产品知识产权、售后服务、商业秘密、资产保值增值等方面。它们的共同特征是企业为获得市场、客户和其他相关方的认可和偏好，围绕所提供的产品、服务作出的品质承诺，企业业务行为必须符合这些承诺，这也是组织赢得客户和实现目标的前提。尽管监管机构也颁布了许多强制性的法律法规，如不操纵市场、廉洁不腐败、产品技术标准、产品质量标准、产品技术专利、产品知识产权等，但是法律法规往往是一个市场平均水平或者社会最低容忍标准，所以在竞争激烈的市场经济中，优秀的企业往往都采用更高标准的承诺来赢得市场、客户、股东、监管机构等相关方的认可。

需要注意的是，合规目标是公司合规义务的重要组成部分。公司的主管人员应基于公司的总体目标，以及对公司重大规则的分析和权衡来设置合规目标。比如，企业向客户承诺“存在质量问题的产品将100%无偿召回”就是一项非常重要的合规承诺，因此，合规目标同时也是公司合规义务的重要内容，而且合规目标往往是高于监管机构法律、法规要求的合规承诺。

0.2　合规风险

有合规义务存在的地方，就可能对应存在合规风险。合规风险是企业生产经营过程中最基本的风险。企业如果想健康持续发展，从企业战略到具体执行等多层面来看，系统性防范合规风险是其基本保证。

0.2.1　合规风险定义

对企业来说，风险通常是指影响其总体或部门目标的不确定性。在市场经济环境中，企业的生产经营行为应该遵循合规义务，一旦违反合规义务，就存在不确定性，便产生了合规风险。在《指南》的3.12中明确指出，“合规风险是不确定性对合规目标的影响。”在合规管理体系中，合规目标是由组织制定的，与合规政策相一致，旨在实现特定的结果。合规风险主要涉及事件发生的可能性以及不合规的后果，其中，不合规是指未履行合规义务或者违反组织合规义务。

从这个角度出发，合规义务与合规风险之间存在一一对应关系。目前，大多数公司开展生产经营活动的过程中不仅要考虑一般性的市场风险，如销量下降、产品质量或财务问题等，还要考虑合规风险，特别是如今越来越多的合规风险已经演变为不合规事件。比如，公司承诺合同的谈判与签订应严格遵守公正、公平的要求，而企业某个员工可能违反公正、公平的合同谈判与签订承诺，采取欺诈手段签订合同，这就是一种发生不合规行为的不确定性，即可能发生不公正、不公平的合同谈判与签订行为。因此，监管部门也更大力度地制定并颁布宣传具体法律法规，以应对打击企业违规行为。

合规风险的存在是一个相对概念，它是比照“合规义务”履行的不确定性而产生的风险。假如企业没有承担“合规义务”，就无所谓“合规风险”；反之，承担的“合规义务”越多，未履行或者违反合规义务而导致的“合规风险”也就越大。同时，如果承担的“合规义务”标准越高，履行的不确定性就越大，未能达到合规义务要求而导致的“合规风险”发生的概率也越高。

合规义务是企业追求的商业行为价值水平的综合反映。不同的企业，因为其生产经营管理水平、规模、复杂性、结构、运营的方式和市场竞争地位不同，所坚守的商业行为价值标准不同，从而主动承担的“合规义务”也各不相同。除了强制性的合规要求以外，合规承诺有高有低，对应的合规风险点也有多有少。从有利于企业长期健康、持续发展的角度出发，企业必须承担足够多的“合规义务”。

当前，世界各国严厉处罚各种不合规行为，这意味着在国际监管环境中开展业务的跨国公司管理者们面临着一个共同挑战——防范合规风险。而在中国的“一带一路”建设和“走出去”战略的背景下，越来越多的中国企业也需要在国际业务中应对这样的挑战，“管理合规风险”因国际化而越来越有难度。随着企业生产经营全球化，强制性的合规要求会因为东道国和所在地的叠加而越来越复杂，合规承诺也会因为所在地的市场竞争环境不同而出现本土化调整，合规风险也就更加复杂化。因此，在当前全球强化合规的大环境以及我国“一带一路”建设与“走出去”战略背景下，中国企业更需要建立合规管理体系，依法合规地经营，保护企业、利益相关方和雇员。

0.2.2　合规风险分类

有什么样的合规义务，就有什么样的合规风险。

根据合规义务的内容不同，可以将合规风险分成三大类：行为不合伦理道德规范要求风险、行为不合企业自行承诺风险、行为不合国家法律法规社区规定风险：

a. 行为不合伦理道德规范要求风险可能包括但不限于，商业贿赂风险、操纵市场价格风险、不道德欺诈风险、不廉洁腐败风险、舞弊风险、对产品不负责任风险、违背企业核心价值观风险、血汗工厂蔑视人权风险等。

b. 行为不合企业自行承诺风险可能包括但不限于，与相关方信息沟通风险、相关方要求识别响应风险、产品技术风险、产品质量风险、售后服务风险、产品功能持久性风险、产品节能风险、产品绿色风险、产品智能化风险、产品人性化设计风险、产品技术专利风险、产品知识产权风险、商业秘密风险、资产保值增值风险等。

c. 行为不合国家法律法规社区规定风险包括但不限于，违反商业法规风险、生产安全风险、职业健康安全风险、环境风险、社会责任风险、风俗信仰文化冲突风险、社区冲突风险、社会治安风险、政治风险等。

根据合规风险可能发生的地点还可以将合规风险分为：

a. 可能发生在岗位上的合规风险，是指岗位人员在履行岗位授予的职责过程中对合规目标产生影响的不确定性；

b. 可能发生在流程上的合规风险，是指在流程运行过程中，流程某环节中的人员行为对合规目标产生影响的不确定性。

事实上，合规风险一旦发生，既存在于某个岗位上，又同时存在于某个流程的某个环节。但这样分类的好处在于，从岗位定义的合规风险，适合于科层制管理体系比较健全、强调岗位管理和岗位履行职责的企业开展基于岗位合规风险识别评估、建立合规管理体系；从流程定义的合规风险，适合于流程型管理体系比较完善的企业开展基于流程合规风险识别评估、建立合规管理体系。

0.2.3　合规风险分布特征

由于合规风险与合规义务是一一对应关系，而合规风险是未履行或违反合规义务的不确定性导致的，所以合规义务分布在何处，这种不确定性就在何处，合规风险就源于何处。因此，合规义务的分布特征同时也是合规风险的分布特征。

那么，合规义务的分布是否有特征？经过多年对不合规案例事实的研究发现，权力是对利益分配的支配力，权力是利益分配的焦点，合规义务主要是用来规范权力的正确行使，即规范利益的合理分配。没有权力（利益分配）的地方，也就没有必要制定合规义务对行为进行约束和规范，因为行使权力的过程实质上是分配利益的过程，利益分配过程中就可能存在利益纷争与不公平公正分配利益的情形。为约束与规范利益分配，维护公正公平，监管机构就会出台有关的强制性的合规要求，所以有权力（利益分配）的地方，就存在合规义务。由此可见，合规义务的分布是由权力的分布来决定的。

综上所述，权力、合规义务和合规风险的分布规律存在内在的一致性和对应关系。权力的分布特征决定合规义务的分布特征，合规义务的分布特征决定合规风险的分布特征。根据对不合规案例事实的统计分析，审核权、市场客服与销售权、人事权、采购权、放行权、计量权、财务资金权和拥有关键信息权等八项权力密切影响行为的合规性，决定着合规风险的分布规律。八项权力的具体内涵如下：

第一项权力——审核权。审核权是组织里最重要的一项权力，分布于组织内部各个管理科层的大大小小的“领导”岗位。决定一件事情做还是不做、现在做还是推迟到以后做、同意还是不同意等方面的权力叫作审核权，它是组织最高管理层对权力在组织内部各个管理科层的逐级授予的权力，各岗位的“领导”在授权范围内代表组织行使签字的权力，也可以叫签字权。如对企业的市场客服与销售、人事、采购、放行、计量、财务资金收支等具体业务工作是否值得开展的预判，或者形成的工作方案、阶段工作成果、最终工作成果需要得到组织的认可，则需要由在授权范围的各级“领导”审核确认。审核权的关键在于掌握组织是否在做正确的事情。

第二项权力——市场客服与销售权。市场客服与销售权是具有销售需求的盈利组织一项重要的业务权力。企业把自己生产的产品卖给特定客户的过程中产生的权力即市场客服与销售权。企业是供应者，特定客户是需求者，在市场上，同类产品供应者和拥有同样需求的客户，两者构成供应和需求力量对比关系。当供过于求时，供应方处于定价和被选择的谈判弱势地位，需求方处于定价和选择的谈判强势地位，对于供应方来说，如何获得客户的选择和确定销售价格是市场客服与销售权的关键；当供不应求时，供应方处于定价和被选择的谈判强势地位，需求方处于定价和选择的谈判弱势地位，对于供应方来说，如何获得比较高的销售价格是市场客服与销售权的关键。市场客服与销售权是企业实现收入和产品变现的关键权力。

第三项权力——人事权。人事权是企业人力资源管理的专门权力，负责组织正常运行所需要的人力资源开发、管理和运用。人力作为企业组织正常生产经营所需要的生产要素，需要专门的管理和协调工作。组织里，所有与人有关联关系的工作内容都与人之间的利益分配有关系，人事权的本质是决定组织内部人员生存空间、环境、质量的变量。人是组织里最活跃的生产经营要素，也是感情动物，时刻受到人感情活动的影响是人事权力的最大特征。

第四项权力——采购权。采购权在组织里普遍存在，是在组织从组织以外获得生存持续补给的工作中存在的权力。采购是组织——特别是企业组织——正常生产活动从社会、大自然中获得各类生产要素的基本经济活动。企业作为供应者需要为特定客户提供产品，那么供应者需要在市场上获得生产特定客户所需产品的原始生产要素；这种生产要素在市场上进行交易，因而也存在供应和需求力量对比关系。当供不应求时，需求方处于需求定价和选择供应方的谈判弱势地位，供应方处于定价和选择需求方的谈判强势地位，对于需求方来说，确定采购价格和找到对应价格的供应商是采购权的关键；当供过于求时，需求方处于定价和选择的谈判强势，供应方处于定价和选择的谈判弱势地位，对于需求方来说，如何获得比较低的采购价格和找到有供应能力的供应方是采购权的关键。采购权是企业现金变为原材料产品后形成价格成本的关键权力。

第五项权力——放行权。放行权是采购后续的重要业务权力。采购来的产品能否满足企业生产经营需要，需要经过质量、技术、安全等方面的把关。按照国家和行业的标准或者组织拟定的特定标准，检验评价采购来的产品，只有合格的产品才能够被放行。放行权是采购的产品进入企业生产环节的关键权力。

第六项权力——计量权。计量权是紧随放行权后的一项业务权力。计量权是对所采购的、经过检验放行的产品，形成组织对供应方的应付款项的过程。计量权是企业现金变为原材料产品后形成数量成本的关键权力。

第七项权力——财务资金权。财务资金权是企业里掌握资金流动最重要的权力。凡是与企业财务资金活动有关的记账、直接收支分配等业务内容均涉及财务资金权。

第八项权力——拥有关键信息权。拥有关键信息权是在前面七项权力在行使过程中衍生出来的一项独特的权力。在前面七项权力行使过程中，权力行使者自然会掌握有利信息和不利信息，使得组织之间和组织内部出现信息不对称，这也是拥有关键信息权的基本出发点。利益相关方想获得不对称的重要信息，提高自己的竞争力，因而会产生利益与关键信息的不正当相互交换关系。

以上八项权力是企业在生产经营过程中行使的权力，它们广泛分布于企业各岗位和流程里，并且越高的岗位和越核心的业务流程，拥有的权力也就越大、越多，不合规的可能性就越高，合规风险也就越多。因此，在这些权力行使的过程中，最容易导致不合规风险发生，也最容易产生违反法律法规、违反企业制度、违反企业尊崇的道德价值准则的行为。这些权力在岗位和流程的分布特征，也是合规风险的分布特征，这就是基于岗位和流程的“八项权力识别模型”来识别合规风险的理论基础。只要我们识别出了以上八项权力在生产经营业务中的岗位和流程中的分布情况，并逐一标识出来，就等于识别出了企业最主要的合规风险点。

0.2.4　固有合规风险和剩余合规风险

从是否有管理措施有效管理合规风险出发，合规风险可以分为固有合规风险（Inherent Compliance Risk）和剩余合规风险（Residual Compliance Risk）。

固有合规风险是在没有对应的合规风险管理措施，处于无管控状态下的全部合规风险。固有合规风险是绝对风险，存在合规义务的地方，就存在不遵循和违反合规义务的不确定性，就存在合规风险，在没有任何合规管理措施时，合规风险处于最大值的状态即固有合规风险状态。固有合规风险源自对所有合规义务的不遵循和违反。比如，在企业生产经营决策流程和决策岗位上，假如针对企业生产经营决策的全部合规义务有50项，在企业对生产经营决策流程和决策岗位履行职责方面没有采取任何合规风险管控的前提下，企业生产经营决策流程和决策岗位上的合规风险也有50项，这就是全部决策固有合规风险。

剩余合规风险是在企业当前已有的合规风险管理措施管控下，仍然没有被有效管控的部分合规风险。剩余合规风险是在固有合规风险基础上做了减法的合规风险。存在合规义务的地方，就存在固有合规风险，但是不一定存在剩余合规风险。判断有没有剩余合规风险，必须考察企业为了管理和控制固有合规风险，现已采取了哪些合规风险管理措施，并要证实这些合规风险管理措施是否落实到位和有效，减去已经得到有效管控的合规风险，剩余下来的合规风险即剩余合规风险。因此，如果企业现行合规风险管理措施全面并且全部有效，就不存在剩余合规风险；如果管理措施均无效，或均未落实，那么剩余合规风险就等于固有合规风险。剩余合规风险最小值可以为零，最大值等于固有合规风险。还是以上文的决策合规风险为例。假如针对企业生产经营决策的全部合规义务有50项，企业对生产经营决策流程和决策岗位履行职责方面采取了多个决策管理制度进行决策合规风险管控，假设得到有效管控的合规风险有30项，则企业生产经营决策流程和决策岗位上的合规风险为50项减去30项，剩余20项，即是决策剩余合规风险。

0.3　合规风险识别和评估

合规风险识别、分析和评估的目的是识别企业潜在的合规风险（内部和外部）行为，以便从最经济合理地投入合规管理资源的角度出发，采取积极的管理措施管理合规风险，以达成公司或部门的合规目标。基于合规风险识别、分析和评估的结果，企业应采取必要的、经济的措施管控合规风险，或在内部有效地开展预防性合规工作，使企业能在业务所在地合规地开展业务、诚信经营，从而实现企业的合规目标。合规风险识别、分析和评估有助于在企业内部形成合规风险意识，帮助组织及时制定风险应对措施，从而避免企业违反法律法规和企业合规承诺，实现保障企业可持续发展的合规目标。

0.3.1　《指南》对合规风险识别评估的要求

在《指南》中，对合规风险识别评估的要求如下：

4.6　识别、分析和评估合规风险

组织应识别并评估自身的合规风险。评估可基于正式的合规风险评估或通过其他替代方法实施。合规风险评估构成实施合规管理体系、有计划地分配合适而充足的资源与流程的基础，也可用以管理已经确认的合规风险。

组织应将其合规义务与活动、产品、服务及运营方面联系起来，确认可能发生不合规的情况，从而识别合规风险。组织应查明不合规的原因并明确其后果。

组织在分析合规风险时，应考虑不合规的起因及其后果的严重性，以及不合规和相关后果发生的可能性。比如，后果可能包括对个人和环境的伤害、经济损失、声誉损失以及行政责任。

在风险评估中，需要比较分析流程中发现的合规风险等级与组织能够并愿意接受的合规风险等级。基于这一比较，组织确定任务的优先级，并在此基础上确定实施控制措施的必要性以及控制措施的程度水平（参见6.1）。

出现以下情况时，应定期对合规风险进行再评估：

—出现新的或更改的活动、产品或服务时；

—组织的结构或战略发生变更时；

—重要的外部变化，比如金融经济环境、市场情况、负债和客户关系；

—合规义务的变化（参见4.5）；

—不合规行为。

注1　合规风险评估细节的程度和水平取决于组织的风险状况、环境、规模和目标，特定的具体方面可能会有所差异（比如环境、财务和社会）。

注2　基于风险的合规管理方法并不意味着在低合规风险场景中，不合规行为就能够被组织接受。这种方法有助于组织将主要精力和资源放在优先级更高的风险上，并最终涵盖所有的合规风险。组织需要对发现的所有合规风险／场景进行监控、更正和纠正。

注3　ISO 31000提供详细的风险评估指导。

可见，《指南》中要求企业在合规风险识别分析评估过程中，理解以下五个方面：

a. 组织应识别自身的合规风险。组织应将其合规义务与活动、产品、服务及运营方面联系起来，确认可能发生不合规的情况，从而识别合规风险。

b. 组织应查明不合规的原因并明确其后果。组织在分析合规风险时，应考虑不合规的起因及其后果的严重性，以及不合规和相关后果发生的可能性。比如，后果可能包括对个人和环境的伤害、经济损失、声誉损失以及行政责任。

c. 在风险评估中，需要比较分析流程中发现的合规风险等级与组织能够并愿意接受的合规风险等级。基于这一比较，结合《指南》6.1的要求，组织可以确定任务的优先级，并在此基础上确定实施控制措施的必要性以及控制措施的程度水平。

d. 组织应定期对合规风险进行再评估，若出现新的或更改的活动、产品、服务，组织的结构或战略发生变更，发生重要的外部变化，如金融经济环境、市场情况、负债和客户关系变化，合规义务变化或出现不合规行为。

e. 合规风险评估细节的程度和水平取决于组织的风险状况、环境、规模和目标，特定的具体方面可能会有所差异（如环境、财务和社会），同时组织需要对发现的所有合规风险／场景进行监控和更正。合规风险的高、中、低级评估只是意味着组织可以将主要精力和资源放在优先级更高的风险上，最终需要涵盖所有的合规风险。

0.3.2　合规风险识别评估流程

按照以上的理解，识别、分析和评估合规风险的工作流程如下。

0.3.2.1　风险识别评估主体

由区域合规官牵头，合规部组织，对应业务部门配合实施，共同建立合规风险管理小组，向公司总部的全球合规办公室报告。合规管理员联合业务部门主管，依据本单位建立和维护的合规义务清单、公司业务制度、岗位职责说明书，以座谈、个别访谈、集体讨论、专家咨询和内部纪检监察、审计、内控测试报告、与其他合规相关的问题信息统计、计算分析等方式进行合规风险形势评审。

合规风险管理小组应该由法律和非法律业务专业人员组成。合规风险包括法律以外的其他合规风险，业务专业人员的加入，能够提高对非法律合规风险的识别与管理。同时，小组成员也要由从总部到一线各层级的代表共同组成，以利于对从总部到一线各层级合规风险的识别与管理。

0.3.2.2　风险识别评估流程

第一步：确定需要加强合规风险管理的关键业务或岗位范围，进行企业合规风险形势评审，关注合规风险的分布和敞口变化，形成《公司合规风险形势评审表》。

企业对自身的了解，包括对企业内、外部环境的初步分析是合规风险识别、分析和评估的出发点。在时间频率上，每年12月，企业对本单位过去一年各业务合规情况进行评审。当公司内外管理环境发生重大变化时，也应该及时进行合规风险形势评审。合规风险形势评审内容包括：企业生产经营是否出现新的或更改的活动、产品或服务；新型业务出现；组织的结构或战略是否发生变更；是否发生重要的企业外部变化，如金融经济环境、市场情况、负债和客户关系等；企业是否有合规义务的变化；企业内部是否发生不合规行为，如违反公司制度、违反合规要求、违反合规承诺、企业内控测试存在不合格项、公司专项审计存在的问题等；公司合规目标是否实现等。

评审完成后，报合规部负责人审核后并报区域合规官审批后即可进入第二步骤。一般依据公司每年的年度风险管理计划定期进行公司合规风险形势评审，合规管理员联系业务部门以座谈、个别访谈、集体讨论、专家咨询和内部纪检监察、审计、内控测试报告、与合规问题相关信息统计计算分析等方式，进行合规风险形势评审，可以采取定性与定量相结合的方法。其中，特别要关注公司过去一年内出现的违反廉洁规定事件、亏损单位审计、亏损调查原因反馈涉及的业务范围。同时，公司要关注网站、搜索引擎，通过跟踪关键字关注合规风险与合规要求变化。

第二步：明确企业合规目标，制定开展某业务合规风险识别评估的工作方案，形成《关于开展××业务合规风险识别评估的通知》。

企业只有依据明确的合规目标，才能确定与企业实际情况、生存发展需求相对应的确切合规风险环境，并据此制定方案。工作方案包括合规风险识别评估范围、工作机构与分工、合规风险识别评估方法、需要完成的工作事项与时间要求四个方面的内容。依据合规风险形势评审结果，公司合规管理员起草合规风险识别评估方案，报合规部负责人审核，并报区域合规官审批后即可实施。

第三步：识别合规风险源——权力，形成“权责清单”。

根据公司×××业务流程制度规定和部门业务分工、岗位职责和授权，全面清理和确定对管理和服务对象承担的各类工作职责，识别对应的权力，形成“权责清单”。权责清理方法以岗位为单元（见工具篇将要介绍的方法一），或者以关键业务流程为单元（见工具篇将要介绍的方法二）。其中，方法一依据岗位职责说明书规定的工作职责，形成每个岗位的“权责清单”；方法二则依据业务流程制度规定的工作步骤、责任部门、责任岗位和工作任务，形成每个关键业务流程的“权责清单”。

第四步：定义合规风险。

根据识别的“权责清单”具体权力内容梳理权力对应的合规义务，之后根据合规义务内容识别企业合规风险，彻底的合规风险识别将提高合规风险透明度，同时也是企业意愿改善合规经营方式的有力证明。工作方法上，针对梳理出的合规义务清单，以小组讨论、头脑风暴、案例启发、业务座谈等形式，查找相应的合规义务可能触发的合规风险类型，定义具体的合规风险。

第五步：不合规后果与分析。

根据可能触发的风险类型，推理不合规风险发生可能产生的后果，进行不合规原因、来源查找，并根据以往业务执行情况判断该业务发生频率，以确定合规风险可能发生的次数（合规风险发生机会）。

第六步：评估已识别的风险，确定合规风险等级。

从风险发生可能性（机会）和潜在的消极后果／对企业的影响程度两个维度评估企业风险，确定合规风险等级，从而形成风险排序。合规风险等级评估可以采取目标影响评估法。在不合规后果与分析的基础上，评估不合规后果对业务目标的影响，同时评估对合规目标的影响来确定合规风险等级。一般按照直接影响、间接影响和不影响三个程度进行评估，即按照直接影响——高级、间接影响——中级、不影响——低级确定合规风险等级，并确定组织愿接受的合规风险等级和待处理的合规风险。

目标影响评估法具体指：预估风险发生后果，分析对业务目标和合规目标的影响，按照高、中、低三个级别来评估风险敞口。对业务目标影响分为直接影响、间接影响、不影响三种；对合规目标影响分为直接影响、间接影响、不影响三种；对应地，将合规风险等级分为高、中、低三级。对应关系如表0.3所示。此外，还应结合合规风险对应的业务发生频率，如果业务发生频率高，即使该合规风险发生只是间接影响业务目标或合规目标，也可能将其定义为高合规风险等级。

第七步：风险排序，确定风险应对计划。

通过对已识别的企业合规风险进行排序，确定待处理的合规风险点，企业进而能够确定其年度合规风险应对计划的重点工作领域，工作组也可以据此拟定下一步合规风险应对计划。

第八步：风险应对措施制定。

根据合规风险点所在的不同业务流程步骤、岗位和合规风险等级，依据公司制度规定的工作目标、工作步骤、工作责任主体、工作任务、工作记录、工作标准和工作方法，结合合规要求、合规承诺，有针对性地制定合规风险管理措施。对不同等级合规风险的应对措施应区别制定，重点加强对高等级合规风险点的防控措施的制定。

第九步：风险应对措施植入流程制度。

根据制定的风险应对措施，修改完善对应的公司流程制度并发布执行。

以下为某公司合规风险评估管理流程，如表0.4所示。

0.4　企业内控与风控、合规与法务的关系

近年来，国企、外资企业和民营企业越来越重视企业风控和合规管理，有的企业成立了专门的风控部，有的企业成立了专门的合规部。当然也有一些企业把合规管理职责纳入企业法律事务部，把风控即风险管理职责纳入企业管理部，这样一来，有的企业内控与风控、合规与法律事务管理在企业管理工作中的关系和边界并不清晰，处理好企业内控与风控、合规与法律事务管理的边界关系，对开展合规风险识别评估工作，建立合规管理体系，并融入企业管理体系至关重要。

0.4.1　企业内控

企业内控即企业内部控制。1994年，美国反对虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of the Tradeway Commission，COSO）增补发布的《内部控制——整体框架》中，对内部控制的定义为：“由一个企业的董事长、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：（1）财务报告的可靠性；（2）经营的效果和效率；（3）符合适用的法律和法规。”2002年7月30日，时任美国总统布什签署了《萨班斯－奥克斯利法案》，对渎职和做假账的企业主管实行严厉的制裁，对上市公司实行严厉的监管，以树立上市公司的诚信。《萨班斯－奥克斯利法案》第404条款规定，上市公司编制的年度报告需包括内部控制报告，并声明管理层对于建立和保持充分的内部控制体系与财务报告程序的责任及其有效性评价，并且外部审计师要审核并报告上市公司管理层所做的评价。可见内部控制的着重点是假账、假经营成果、违反法律法规与作弊。防范在账务、经营成果（财务报表）、经营行为上串通舞弊和个人舞弊的风险是内部控制的重点任务。

0.4.2　企业风控

企业风控即企业全面风险控制。2004年，COSO继续提出了企业风险管理整体框架，将企业风险管理定义为：“企业风险管理是一个过程，受企业董事会、管理当局和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。”这个定义依然有很多内部控制的痕迹。在实际工作中，企业风险包括市场宏观政策风险、客户偏好风险、合规风险、技术风险、质量风险、履约能力风险、财务信用风险等。

0.4.3　企业合规

国际标准化组织（ISO）在2014年12月15日发布了国际标准ISO 19600《合规管理体系指南》对“规”的定义为：组织宜以适合其规模、复杂性、结构和运营的方式制定“合规义务”文件。合规义务信息应包括合规要求，可包括合规承诺。前者包括监管机构制定发布的具有强制性的法律法规、监管条例规定等，后者包括组织与社区、公共权力机构、客户签订的协议、组织要求、政策、程序、自愿原则、规程、对环境的承诺等。

王志乐教授（商务部研究院研究员，联合国全球契约组织第十项原则专家组成员，北京新世纪跨国公司研究所所长）认为广义的“合规”有三层含义：第一层是企业在生产经营过程中要遵守法律法规，即企业要遵守公司总部所在地和经营所在地的法律规定及监管规定；第二层是企业经营要遵循企业内部规章制度，包括企业商业行为准则等规章；第三层是企业员工要遵守良好的职业操守和道德规范等。狭义的“合规”是指企业遵守反对商业贿赂方面的规定。

结合以上，合规的“规”应该按照三层含义来理解：第一层是具有强制性的法律法规，即企业总部所在地和经营所在地的具有强制性的法律规定及监管规定；第二层是企业在生产经营活动中写入企业规制的对相关方（客户、股东、监管方、企业内部员工等）的自愿性承诺；第三层是企业要遵守的职业操守、道德规范、公序良俗等，第三层的合规内容不是强制性的，但在社会活动中普遍为大众所认同，具有社会公共约束性。

合规风险即企业组织集体行为和代表企业组织的个人行为是否遵守合规的“规”的不确定性。

从合规的“规”三层含义来看，第一层合规风险和第三层合规风险就全面包含了企业内部控制风险内容，第二层的合规内容则不在内部控制风险内容范围。

0.4.4　企业法律风险

企业在一定的市场环境中参与市场竞争，其行为必须遵循市场监管者的所有法律法规，主要是上文提到的合规的“规”的第一层含义，即企业要在生产经营过程中遵守公司总部所在地和经营所在地的法律规定及监管规定。企业法律风险包含于企业合规风险之中。企业法律风险不等同于企业合规风险，企业法律风险是企业合规风险的一部分。