轉載。

（一）合規風(fēng)險識別與評估的概念

企業(yè)建立合規管理體系，實(shí)施合規管理建設的核心是合規風(fēng)險管理。而合規風(fēng)險管理，本質(zhì)上是對合規風(fēng)險進(jìn)行識別、評估、處置、應對、監測、預警、監督、檢查、溝通、協(xié)調并持續改進(jìn)的過(guò)程。具體而言：

企業(yè)，尤其是國有企業(yè)開(kāi)展合規風(fēng)險識別與評估的目的，在于識別企業(yè)潛在的合規風(fēng)險行為，采取積極的管理措施管理風(fēng)險，以避免合規目標的無(wú)法達成。基于合規風(fēng)險識別評估的結果，企業(yè)將采取必要的措施管控合規風(fēng)險，或在內部有效地開(kāi)展預防性合規管理工作，使企業(yè)能在業(yè)務(wù)所在地區/所在國合規地開(kāi)展業(yè)務(wù)、誠信經(jīng)營(yíng)，從而實(shí)現企業(yè)的合規目標。提升企業(yè)品牌形象，避免和減少監管機構的處罰。合規風(fēng)險識別與評估，有助于企業(yè)內形成合規風(fēng)險意識，幫助組織及時(shí)制定風(fēng)險應對措施，從而避免企業(yè)違反法律法規和企業(yè)合規承諾，實(shí)現企業(yè)合規目標，進(jìn)而為實(shí)現企業(yè)可持續發(fā)展提供必要條件。

合規風(fēng)險識別與評估，是國有企業(yè)內部主動(dòng)預防和控制合規風(fēng)險的有效方法。它既是建立合規管理體系的起點(diǎn)，也是運行合規管理體系的前提，體現了企業(yè)合規風(fēng)險管理的質(zhì)量和水平，影響著(zhù)企業(yè)合規管理目標的實(shí)現。

（二）合規風(fēng)險識別與評估前的準備

（三）合規風(fēng)險識別與評估的重點(diǎn)內容

根據《合規管理體系指南》第 3.6 條提出的合規風(fēng)險識別與評估要求，國有企業(yè)開(kāi)展合規風(fēng)險識別與評估，需要重點(diǎn)理解以下 5 個(gè)方面的內容：

?企業(yè)應識別自身的合規風(fēng)險

企業(yè)應當將其合規義務(wù)與活動(dòng)、產(chǎn)品、服務(wù)及運營(yíng)方面聯(lián)系起來(lái)，確認可能發(fā)生不合規的情況，從而識別合規風(fēng)險。

?企業(yè)應查明不合規的原因并明確其后果

企業(yè)在分析合規風(fēng)險時(shí)，應考慮不合規的原因、起因及其后果的嚴重性，以及不合規和相關(guān)后果發(fā)生的可能性。比如，后果可能包括對個(gè)人和環(huán)境的傷害、經(jīng)濟損失、聲譽(yù)損失及行政責任等。

?在風(fēng)險評估中，需要比較分析流程中發(fā)現的合規風(fēng)險等級及企業(yè)能夠并愿意接受的合規風(fēng)險等級

基于這一比較，企業(yè)可以確定任務(wù)的優(yōu)先級，并在此基礎上確定實(shí)施控制措施的必要性以及控制措施的程度水平。

?企業(yè)應定期對合規風(fēng)險進(jìn)行再評估

特別是，當出現新的或更改的活動(dòng)、產(chǎn)品或服務(wù)時(shí)；組織的結構或戰略發(fā)生變更時(shí)；重要的外部變化，如金融經(jīng)濟環(huán)境、市場(chǎng)情況、負債和客戶(hù)關(guān)系變化時(shí)；合規義務(wù)變化時(shí)和出現不合規行為時(shí)。

?合規風(fēng)險評估細節的程度和水平取決于企業(yè)的風(fēng)險狀況、環(huán)境、規模和目標

特定的具體方面可能會(huì )有所差異（如環(huán)境、財務(wù)和社會(huì )），同時(shí)企業(yè)需要對發(fā)現的所有合規風(fēng)險/場(chǎng)景進(jìn)行監控、更正和糾正，高、中、低級合規風(fēng)險評估只是企業(yè)將主要精力和資源放在優(yōu)先級更高的鋒線(xiàn)上，并最終涵蓋所有的合規風(fēng)險。

（一）企業(yè)要識別合規風(fēng)險，首先必須識別合規義務(wù)。

合規義務(wù)就像一把“尺子”，一把企業(yè)衡量自身生產(chǎn)經(jīng)營(yíng)行為正確性的尺子。有了尺子，才能度量出企業(yè)生產(chǎn)經(jīng)營(yíng)行為過(guò)程中可能出現的合規偏差，也就是合規風(fēng)險。根據《合規管理體系 指南》中給出的“合規義務(wù)”的定義，合規義務(wù)應包括合規要求，可包括合規承諾。

合規要求是企業(yè)必須遵守的義務(wù)，具有強制性。在市場(chǎng)經(jīng)濟中，國家監管機構從維護市場(chǎng)經(jīng)濟健康、有序發(fā)展的需要出發(fā)，制定了許多強制性的法律法規等要求。

合規承諾是企業(yè)選擇遵守的要求，具有自愿性。由于市場(chǎng)競爭激烈，企業(yè)為獲得股東、顧客、供應商等相關(guān)方的信賴(lài),對自身生產(chǎn)經(jīng)營(yíng)過(guò)程和產(chǎn)品品質(zhì)進(jìn)行的若干承諾。

（二）企業(yè)識別合規風(fēng)險，還要注意合規義務(wù)的維護。

現實(shí)中，合規要求和合規承諾不是一成不變的，需要時(shí)刻關(guān)注并將新的合規要求和承諾納入合規義務(wù)清單文件中。企業(yè)應當制定適當的流程來(lái)識別新的和變更的法律、法規和規則以及其他的合規義務(wù)，以確保企業(yè)持續合規。為了獲得合規義務(wù)來(lái)源變化信息，企業(yè)可采取如下措施：與監管部門(mén)會(huì )面；與法律、合規顧問(wèn)交流；跟蹤監管部門(mén)的網(wǎng)站動(dòng)態(tài)；參加行業(yè)論壇和研討會(huì )；訂閱相關(guān)信息服務(wù)；確保自己是專(zhuān)業(yè)組織會(huì )員；確保自己在監管機構收件人列表中。

以上八種措施均是為企業(yè)維護合規義務(wù)提供了信息溝通的渠道，可以說(shuō)，合規義務(wù)維護的重點(diǎn)是建立好合規義務(wù)信息溝通渠道。企業(yè)有必要制定相應的企業(yè)合規義務(wù)動(dòng)態(tài)維護管理流程，以便及時(shí)跟蹤法律、法規、規范和其他合規義務(wù)的出臺和變更。

與作為識別和建立本企業(yè)的書(shū)面合規義務(wù)內容清單的合規義務(wù)識別清單相類(lèi)似，在合規義務(wù)維護方面，企業(yè)應當建立動(dòng)態(tài)維護本企業(yè)的書(shū)面合規義務(wù)內容清單——合規義務(wù)持續識別維護清單。在合規義務(wù)持續識別維護清單中，企業(yè)應當在上一輪次識別的合規義務(wù)識別清單的基礎之上，注明增加、刪除和調整的合規義務(wù)情況，并描述其對企業(yè)的影響，最終確認企業(yè)是否將上一輪次識別的合規義務(wù)繼續納入合規義務(wù)范圍。

（三）企業(yè)識別合規風(fēng)險，需要綜合運用各種方法。

識別合規風(fēng)險的方法，即是把合規義務(wù)與企業(yè)的活動(dòng)、產(chǎn)品、服務(wù)和運行（企業(yè)的經(jīng)營(yíng)管理行為）聯(lián)系起來(lái)，運用一些具體手段，如基于過(guò)往案例、基于專(zhuān)家經(jīng)驗，基于歸納推理，基于頭腦風(fēng)暴等方式，發(fā)現和列舉出企業(yè)存在的合規風(fēng)險。以下是一些常用的合規風(fēng)險識別技術(shù)與方法：

這些合規風(fēng)險識別技術(shù)與方法，通過(guò)提供若干識別合規風(fēng)險的角度，能夠為企業(yè)構建符合自身經(jīng)營(yíng)管理需求的合規風(fēng)險識別框架。

值得一提的是，這些技術(shù)、方法往往是綜合運用的。如：事件庫法作為企業(yè)內部和外部合規咨詢(xún)團隊最常用的合規風(fēng)險識別方法，往往需要輔之以其他方法甚至是合規管理工作，包括（1）問(wèn)卷調查法、訪(fǎng)談?wù){研、頭腦風(fēng)暴法、德?tīng)柗品?、檢查表法；（2）合規管理評估以及合規管理部門(mén)在合規日常工作中發(fā)現的需要引起足夠重視的合規風(fēng)險或問(wèn)題；（3）內、外部審計、紀檢、監控等活動(dòng)中發(fā)現的合規風(fēng)險事件等；以及（4）員工舉報等。此外，還需要關(guān)注和收集違規案例以及相關(guān)司法判例、同類(lèi)企業(yè)過(guò)去識別和發(fā)生的合規問(wèn)題及違規案例。

（四）企業(yè)合規風(fēng)險識別小結

前述分析，可以看到，合規義務(wù)與合規風(fēng)險之間的緊密關(guān)系?？偨Y來(lái)說(shuō)：

1.合規義務(wù)的多與少與企業(yè)本身密切相關(guān)。對于企業(yè)來(lái)說(shuō)，來(lái)自監管機構頒布的法律、法規等強制性合規要求都是必須遵循的。它們是企業(yè)固有的合規風(fēng)險，關(guān)鍵在于企業(yè)是否主動(dòng)承擔這些合規要求。合規承諾就不同了，它是企業(yè)對市場(chǎng)、客戶(hù)、監管機構等相關(guān)方的主動(dòng)承諾。合規承諾不是越多越好，也不是越少越好，最適宜于企業(yè)健康發(fā)展、基業(yè)長(cháng)青的合規承諾才是最好的。因此，企業(yè)管理層要從經(jīng)濟適度出發(fā)，在滿(mǎn)足國家監管機構制定的法律、法規等強制性合規要求的基礎上，從適合其企業(yè)經(jīng)營(yíng)管理水平、規模、復雜性、結構和運營(yíng)的方式出發(fā)，進(jìn)行主動(dòng)的合規承諾，最終制定企業(yè)合規義務(wù)文件。

2.合規義務(wù)決定合規風(fēng)險。《合規管理體系指南》第 2.12 條，“合規風(fēng)險，是不確定性對合規目標的影響”。在市場(chǎng)經(jīng)濟環(huán)境中，企業(yè)的生產(chǎn)經(jīng)營(yíng)行為應該遵循合規義務(wù)，一旦違反合規義務(wù)，就存在不確定性，便產(chǎn)生合規風(fēng)險。不合規是指未履行合規義務(wù)或者違反組織合規義務(wù)。假如企業(yè)沒(méi)有承擔合規義務(wù)，就無(wú)所謂的合規風(fēng)險。企業(yè)承擔的合規義務(wù)越多，未履行或者違反合規義務(wù)而導致的合規風(fēng)險就越大。此外，企業(yè)承擔的合規義務(wù)標準越高，履行的不確定性也就越大，未能達到合規義務(wù)要求而導致的合規風(fēng)險發(fā)生的概率也越高。

3.在企業(yè)生產(chǎn)經(jīng)營(yíng)過(guò)程中，由于合規義務(wù)的存在，員工行為對合規義務(wù)遵循的不確定性導致了合規風(fēng)險的產(chǎn)生。可以說(shuō)，合規義務(wù)分布在何處，不確定就在何處，合規風(fēng)險就源于何處。而合規義務(wù)的分布是由權力的分布來(lái)決定。權力是對利益分配的支配力，權力是利益分配的焦點(diǎn)。合規義務(wù)是用來(lái)規范權力的正確行使、規范利益的合理分配的。因此，有權力（利益分配）的地方，就存在合規義務(wù)。違規行為的“鐵三角定律”：權力+不良動(dòng)機+業(yè)務(wù)機會(huì )=合規風(fēng)險發(fā)生。

（一）企業(yè)合規風(fēng)險評估，首先需要進(jìn)行合規風(fēng)險分析。

合規風(fēng)險分析是要增進(jìn)對合規風(fēng)險的了解，為風(fēng)險評價(jià)和應對提供支持。合規風(fēng)險分析根據目的、可獲得的信息數據和資源，可以有不同的詳細程度，可以是定性、定量的分析，也可以是這些分析的組合。合規風(fēng)險分析是在風(fēng)險識別的基礎上，考慮不合規發(fā)生的原因、后果及發(fā)生可能性等因素，最后形成合規風(fēng)險列表清單。

對于合規風(fēng)險列表清單，應達到下列標準：

1.風(fēng)險描述：簡(jiǎn)單且準確地描述風(fēng)險，風(fēng)險可能在什么情況下以什么方式發(fā)生以及風(fēng)險對既定目標的影響。

2.風(fēng)險發(fā)生原因：明確會(huì )導致風(fēng)險發(fā)生的真正原因。

3.風(fēng)險發(fā)生結果：說(shuō)明風(fēng)險發(fā)生后在哪些方面，以及以怎樣的方式造成影響。具體可以考慮但不限于以下因素：

（1）后果的類(lèi)型，包括財產(chǎn)類(lèi)的損失和非財產(chǎn)類(lèi)的損失（商譽(yù)損失、企業(yè)形象受損）等；

（2）后果的嚴重程度，包括財產(chǎn)損失金額的大小、非財產(chǎn)損失的影響范圍、利益相關(guān)者的反應等。合規風(fēng)險發(fā)生結果的定量分析示例如下。

示例分為三個(gè)維度進(jìn)行，每個(gè)維度可以進(jìn)一步細化為若干評分標準；影響程度分為三個(gè)等級，分別賦予 1-9 分，得分越高意味風(fēng)險程度越大。

4.風(fēng)險發(fā)生可能性：說(shuō)明風(fēng)險發(fā)生的概率大小。對風(fēng)險發(fā)生可能性的量化分析，可以從以下 5 個(gè)維度進(jìn)行，每個(gè)維度可進(jìn)一步細化為若干評分標準：

（1）內部合規規范的完善程度；

（2）合規規范的執行力度；

（3）人員相關(guān)合規素養；

（4）外部監管執行力度；

（5）違規行為一年內已發(fā)生的次數。

合規風(fēng)險發(fā)生可能性的定量分析示例如下。實(shí)力分為五個(gè)維度進(jìn)行，每個(gè)維度可以進(jìn)一步細化為若干評分標準；影響程度分為三個(gè)等級，分別賦予 1-5 分，表示發(fā)生可能性依次加強，得分越高以為風(fēng)險發(fā)生的可能性越大。

4.風(fēng)險發(fā)生可能性：說(shuō)明風(fēng)險發(fā)生的概率大小。對風(fēng)險發(fā)生可能性的量化分析，可以從以下 5 個(gè)維度進(jìn)行，每個(gè)維度可進(jìn)一步細化為若干評分標準：

（1）內部合規規范的完善程度；

（2）合規規范的執行力度；

（3）人員相關(guān)合規素養；

（4）外部監管執行力度；

（5）違規行為一年內已發(fā)生的次數。

合規風(fēng)險發(fā)生可能性的定量分析示例如下。實(shí)力分為五個(gè)維度進(jìn)行，每個(gè)維度可以進(jìn)一步細化為若干評分標準；影響程度分為三個(gè)等級，分別賦予 1-5 分，表示發(fā)生可能性依次加強，得分越高以為風(fēng)險發(fā)生的可能性越大。

最后形成合規風(fēng)險列表清單。合規風(fēng)險列表清單示例如下：

（二）完成合規風(fēng)險分析后，還需要進(jìn)行合規風(fēng)險評價(jià)。

合規風(fēng)險評價(jià)，是將風(fēng)險分析的結果與企業(yè)能夠接受的風(fēng)險水平相比較，或者在各種風(fēng)險分析結果之間進(jìn)行比較，以確定風(fēng)險的等級。風(fēng)險評價(jià)應滿(mǎn)足風(fēng)險應對的需要，否則應做進(jìn)一步的風(fēng)險分析。風(fēng)險評價(jià)是利用風(fēng)險分析過(guò)程中獲得的對風(fēng)險的認識，設定合規風(fēng)險的優(yōu)先等級，對未來(lái)的行動(dòng)進(jìn)行決策。

最簡(jiǎn)單的風(fēng)險評價(jià)，是將風(fēng)險分為兩種：需要應對的和無(wú)需應對的。但這樣的方式難于全面反映情況，而且兩類(lèi)風(fēng)險的界限本身也不好確定。

常見(jiàn)的評價(jià)是依照企業(yè)對風(fēng)險的容忍程度，將風(fēng)險分為三個(gè)區域：

1.不可接受區域。在該區域內，無(wú)論相關(guān)活動(dòng)可帶來(lái)什么收益，風(fēng)險等級都是無(wú)法承受的，不惜一切代價(jià)進(jìn)行風(fēng)險應對；

2.中間區域。對該區域內風(fēng)險的應對要考慮應對措施的成本與收益，并衡量機遇和潛在后果；

3.廣泛可接受區域。該區域的風(fēng)險很小，無(wú)需采取任何應對措施。

風(fēng)險評價(jià)后，需要進(jìn)行決策。決策時(shí)應包括的內容有：（1）某個(gè)風(fēng)險是否需要應對；（2）風(fēng)險的應對優(yōu)先等級；（3）應該采取哪種途徑。決策要參考法律、財務(wù)、道德等因素。對于風(fēng)險評價(jià)，可把風(fēng)險后果分析、可能性分析等結合起來(lái)，對風(fēng)險進(jìn)行排序，形成一個(gè)風(fēng)險等級表，也可形成一個(gè)風(fēng)險坐標圖。

合規風(fēng)險程度示例如下：

（三）合規風(fēng)險評估工作的最后，要以合規風(fēng)險評估報告落地。

根據合規風(fēng)險識別和評估情況，合規風(fēng)險評估工作最后的落地，應當是一份全面的合規風(fēng)險評估報告。報告主體應當以部門(mén)為單位，如業(yè)務(wù)部門(mén)向合規管理部門(mén)報告、合規管理牽頭部門(mén)向合規管理委員會(huì )報告。報告可分為定期報告、專(zhuān)項報告。

合規風(fēng)險評估報告的內容應當包括：合規風(fēng)險評估實(shí)施概況、合規風(fēng)險基本評價(jià)、存在的合規風(fēng)險、原因及可能的公司損失，處置建議和應對措施等。具體如下：

?1、合規風(fēng)險評估工作實(shí)施概況

主要包括：

（1）合規風(fēng)險評估立項選擇的背景和工作目的；

（2）開(kāi)展合規風(fēng)險評估的相關(guān)準備工作，包括工作小組、評估范圍、使用的識別評估工作方法、工作步驟及時(shí)間安排、工作要求等；

（3）合規風(fēng)險評估實(shí)施過(guò)程的具體工作情況。

?2、合規風(fēng)險基本評價(jià)

主要包括：

（1）本次合規風(fēng)險識別評估已覆蓋的合規風(fēng)險領(lǐng)域；

（2）本次合規風(fēng)險識別評估總體結果：固有合規風(fēng)險點(diǎn)數量，剩余合規風(fēng)險點(diǎn)數量；

（3）本次合規風(fēng)險識別評估中，不同等級的合規風(fēng)險的情況，如各不同合規風(fēng)險等級的合規風(fēng)險數量、需要采取風(fēng)險管理措施的合規風(fēng)險數量；

（4）對被評估范圍的合規風(fēng)險管理效果的基本評價(jià)。

?3、 存在的合規風(fēng)險

通過(guò)合規風(fēng)險識別評估，把識別出來(lái)的需要采取風(fēng)險管理措施的合規風(fēng)險點(diǎn)詳細地列出，這是合規評價(jià)報告的核心內容，也是將來(lái)企業(yè)高管在采取風(fēng)險管理措施時(shí)認可的權威依據。

?4、合規風(fēng)險發(fā)生的原因分析。

包括權力、外部環(huán)境、員工個(gè)人原因、制度措施不完善等。需要注意的是，合規風(fēng)險的發(fā)生往往不是由其中一個(gè)原因引致的，而是由多個(gè)原因共同作用導致的。

（1）權力：權力引致了合規風(fēng)險，主要是從權力出發(fā)，列舉出具體的某一項或者幾項權力的不正當行使引致了合規風(fēng)險；

（2）外部環(huán)境：被評估領(lǐng)域、崗位或流程所處業(yè)務(wù)領(lǐng)域在企業(yè)外部接口的商業(yè)環(huán)境狀態(tài)及其對企業(yè)內部該業(yè)務(wù)領(lǐng)域、崗位、流程合規履職的影響；

（3）員工個(gè)人：?jiǎn)T工個(gè)人不當動(dòng)機、員工接受合規知識培訓的情況；

（4）制度措施：被評估領(lǐng)域、崗位或流程所在的業(yè)務(wù)領(lǐng)域企業(yè)的制度建設現狀。

（5）如果近期被評估領(lǐng)域、崗位或流程所處業(yè)務(wù)領(lǐng)域已經(jīng)發(fā)生過(guò)不合規行為或違規行為，則應對發(fā)生不合規行為和違規行為的直接原因通過(guò)訪(fǎng)談，了解是否：①當事人對業(yè)務(wù)規律認知不夠；②規范合規風(fēng)險的制度不適宜；③當事人對業(yè)務(wù)制度學(xué)習了解不夠；④當事人對工作技能方法掌握不夠；⑤當事人所在業(yè)務(wù)領(lǐng)域的業(yè)務(wù)績(jì)效激勵無(wú)針對性，導致其缺乏工作積極性；⑥業(yè)務(wù)外部市場(chǎng)環(huán)境等方面的不可控原因；⑦當事人員陳述的其他原因。