轉(zhuǎn)載。

（一）合規(guī)風險識別與評估的概念

企業(yè)建立合規(guī)管理體系，實施合規(guī)管理建設的核心是合規(guī)風險管理。而合規(guī)風險管理，本質(zhì)上是對合規(guī)風險進行識別、評估、處置、應對、監(jiān)測、預警、監(jiān)督、檢查、溝通、協(xié)調(diào)并持續(xù)改進的過程。具體而言：

企業(yè)，尤其是國有企業(yè)開展合規(guī)風險識別與評估的目的，在于識別企業(yè)潛在的合規(guī)風險行為，采取積極的管理措施管理風險，以避免合規(guī)目標的無法達成。基于合規(guī)風險識別評估的結(jié)果，企業(yè)將采取必要的措施管控合規(guī)風險，或在內(nèi)部有效地開展預防性合規(guī)管理工作，使企業(yè)能在業(yè)務所在地區(qū)/所在國合規(guī)地開展業(yè)務、誠信經(jīng)營，從而實現(xiàn)企業(yè)的合規(guī)目標。提升企業(yè)品牌形象，避免和減少監(jiān)管機構(gòu)的處罰。合規(guī)風險識別與評估，有助于企業(yè)內(nèi)形成合規(guī)風險意識，幫助組織及時制定風險應對措施，從而避免企業(yè)違反法律法規(guī)和企業(yè)合規(guī)承諾，實現(xiàn)企業(yè)合規(guī)目標，進而為實現(xiàn)企業(yè)可持續(xù)發(fā)展提供必要條件。

合規(guī)風險識別與評估，是國有企業(yè)內(nèi)部主動預防和控制合規(guī)風險的有效方法。它既是建立合規(guī)管理體系的起點，也是運行合規(guī)管理體系的前提，體現(xiàn)了企業(yè)合規(guī)風險管理的質(zhì)量和水平，影響著企業(yè)合規(guī)管理目標的實現(xiàn)。

（二）合規(guī)風險識別與評估前的準備

（三）合規(guī)風險識別與評估的重點內(nèi)容

根據(jù)《合規(guī)管理體系指南》第 3.6 條提出的合規(guī)風險識別與評估要求，國有企業(yè)開展合規(guī)風險識別與評估，需要重點理解以下 5 個方面的內(nèi)容：

?企業(yè)應識別自身的合規(guī)風險

企業(yè)應當將其合規(guī)義務與活動、產(chǎn)品、服務及運營方面聯(lián)系起來，確認可能發(fā)生不合規(guī)的情況，從而識別合規(guī)風險。

?企業(yè)應查明不合規(guī)的原因并明確其后果

企業(yè)在分析合規(guī)風險時，應考慮不合規(guī)的原因、起因及其后果的嚴重性，以及不合規(guī)和相關后果發(fā)生的可能性。比如，后果可能包括對個人和環(huán)境的傷害、經(jīng)濟損失、聲譽損失及行政責任等。

?在風險評估中，需要比較分析流程中發(fā)現(xiàn)的合規(guī)風險等級及企業(yè)能夠并愿意接受的合規(guī)風險等級

基于這一比較，企業(yè)可以確定任務的優(yōu)先級，并在此基礎上確定實施控制措施的必要性以及控制措施的程度水平。

?企業(yè)應定期對合規(guī)風險進行再評估

特別是，當出現(xiàn)新的或更改的活動、產(chǎn)品或服務時；組織的結(jié)構(gòu)或戰(zhàn)略發(fā)生變更時；重要的外部變化，如金融經(jīng)濟環(huán)境、市場情況、負債和客戶關系變化時；合規(guī)義務變化時和出現(xiàn)不合規(guī)行為時。

?合規(guī)風險評估細節(jié)的程度和水平取決于企業(yè)的風險狀況、環(huán)境、規(guī)模和目標

特定的具體方面可能會有所差異（如環(huán)境、財務和社會），同時企業(yè)需要對發(fā)現(xiàn)的所有合規(guī)風險/場景進行監(jiān)控、更正和糾正，高、中、低級合規(guī)風險評估只是企業(yè)將主要精力和資源放在優(yōu)先級更高的鋒線上，并最終涵蓋所有的合規(guī)風險。

（一）企業(yè)要識別合規(guī)風險，首先必須識別合規(guī)義務。

合規(guī)義務就像一把“尺子”，一把企業(yè)衡量自身生產(chǎn)經(jīng)營行為正確性的尺子。有了尺子，才能度量出企業(yè)生產(chǎn)經(jīng)營行為過程中可能出現(xiàn)的合規(guī)偏差，也就是合規(guī)風險。根據(jù)《合規(guī)管理體系 指南》中給出的“合規(guī)義務”的定義，合規(guī)義務應包括合規(guī)要求，可包括合規(guī)承諾。

合規(guī)要求是企業(yè)必須遵守的義務，具有強制性。在市場經(jīng)濟中，國家監(jiān)管機構(gòu)從維護市場經(jīng)濟健康、有序發(fā)展的需要出發(fā)，制定了許多強制性的法律法規(guī)等要求。

合規(guī)承諾是企業(yè)選擇遵守的要求，具有自愿性。由于市場競爭激烈，企業(yè)為獲得股東、顧客、供應商等相關方的信賴,對自身生產(chǎn)經(jīng)營過程和產(chǎn)品品質(zhì)進行的若干承諾。

（二）企業(yè)識別合規(guī)風險，還要注意合規(guī)義務的維護。

現(xiàn)實中，合規(guī)要求和合規(guī)承諾不是一成不變的，需要時刻關注并將新的合規(guī)要求和承諾納入合規(guī)義務清單文件中。企業(yè)應當制定適當?shù)牧鞒虂碜R別新的和變更的法律、法規(guī)和規(guī)則以及其他的合規(guī)義務，以確保企業(yè)持續(xù)合規(guī)。為了獲得合規(guī)義務來源變化信息，企業(yè)可采取如下措施：與監(jiān)管部門會面；與法律、合規(guī)顧問交流；跟蹤監(jiān)管部門的網(wǎng)站動態(tài)；參加行業(yè)論壇和研討會；訂閱相關信息服務；確保自己是專業(yè)組織會員；確保自己在監(jiān)管機構(gòu)收件人列表中。

以上八種措施均是為企業(yè)維護合規(guī)義務提供了信息溝通的渠道，可以說，合規(guī)義務維護的重點是建立好合規(guī)義務信息溝通渠道。企業(yè)有必要制定相應的企業(yè)合規(guī)義務動態(tài)維護管理流程，以便及時跟蹤法律、法規(guī)、規(guī)范和其他合規(guī)義務的出臺和變更。

與作為識別和建立本企業(yè)的書面合規(guī)義務內(nèi)容清單的合規(guī)義務識別清單相類似，在合規(guī)義務維護方面，企業(yè)應當建立動態(tài)維護本企業(yè)的書面合規(guī)義務內(nèi)容清單——合規(guī)義務持續(xù)識別維護清單。在合規(guī)義務持續(xù)識別維護清單中，企業(yè)應當在上一輪次識別的合規(guī)義務識別清單的基礎之上，注明增加、刪除和調(diào)整的合規(guī)義務情況，并描述其對企業(yè)的影響，最終確認企業(yè)是否將上一輪次識別的合規(guī)義務繼續(xù)納入合規(guī)義務范圍。

（三）企業(yè)識別合規(guī)風險，需要綜合運用各種方法。

識別合規(guī)風險的方法，即是把合規(guī)義務與企業(yè)的活動、產(chǎn)品、服務和運行（企業(yè)的經(jīng)營管理行為）聯(lián)系起來，運用一些具體手段，如基于過往案例、基于專家經(jīng)驗，基于歸納推理，基于頭腦風暴等方式，發(fā)現(xiàn)和列舉出企業(yè)存在的合規(guī)風險。以下是一些常用的合規(guī)風險識別技術與方法：

這些合規(guī)風險識別技術與方法，通過提供若干識別合規(guī)風險的角度，能夠為企業(yè)構(gòu)建符合自身經(jīng)營管理需求的合規(guī)風險識別框架。

值得一提的是，這些技術、方法往往是綜合運用的。如：事件庫法作為企業(yè)內(nèi)部和外部合規(guī)咨詢團隊最常用的合規(guī)風險識別方法，往往需要輔之以其他方法甚至是合規(guī)管理工作，包括（1）問卷調(diào)查法、訪談調(diào)研、頭腦風暴法、德爾菲法、檢查表法；（2）合規(guī)管理評估以及合規(guī)管理部門在合規(guī)日常工作中發(fā)現(xiàn)的需要引起足夠重視的合規(guī)風險或問題；（3）內(nèi)、外部審計、紀檢、監(jiān)控等活動中發(fā)現(xiàn)的合規(guī)風險事件等；以及（4）員工舉報等。此外，還需要關注和收集違規(guī)案例以及相關司法判例、同類企業(yè)過去識別和發(fā)生的合規(guī)問題及違規(guī)案例。

（四）企業(yè)合規(guī)風險識別小結(jié)

前述分析，可以看到，合規(guī)義務與合規(guī)風險之間的緊密關系?？偨Y(jié)來說：

1.合規(guī)義務的多與少與企業(yè)本身密切相關。對于企業(yè)來說，來自監(jiān)管機構(gòu)頒布的法律、法規(guī)等強制性合規(guī)要求都是必須遵循的。它們是企業(yè)固有的合規(guī)風險，關鍵在于企業(yè)是否主動承擔這些合規(guī)要求。合規(guī)承諾就不同了，它是企業(yè)對市場、客戶、監(jiān)管機構(gòu)等相關方的主動承諾。合規(guī)承諾不是越多越好，也不是越少越好，最適宜于企業(yè)健康發(fā)展、基業(yè)長青的合規(guī)承諾才是最好的。因此，企業(yè)管理層要從經(jīng)濟適度出發(fā)，在滿足國家監(jiān)管機構(gòu)制定的法律、法規(guī)等強制性合規(guī)要求的基礎上，從適合其企業(yè)經(jīng)營管理水平、規(guī)模、復雜性、結(jié)構(gòu)和運營的方式出發(fā)，進行主動的合規(guī)承諾，最終制定企業(yè)合規(guī)義務文件。

2.合規(guī)義務決定合規(guī)風險。《合規(guī)管理體系指南》第 2.12 條，“合規(guī)風險，是不確定性對合規(guī)目標的影響”。在市場經(jīng)濟環(huán)境中，企業(yè)的生產(chǎn)經(jīng)營行為應該遵循合規(guī)義務，一旦違反合規(guī)義務，就存在不確定性，便產(chǎn)生合規(guī)風險。不合規(guī)是指未履行合規(guī)義務或者違反組織合規(guī)義務。假如企業(yè)沒有承擔合規(guī)義務，就無所謂的合規(guī)風險。企業(yè)承擔的合規(guī)義務越多，未履行或者違反合規(guī)義務而導致的合規(guī)風險就越大。此外，企業(yè)承擔的合規(guī)義務標準越高，履行的不確定性也就越大，未能達到合規(guī)義務要求而導致的合規(guī)風險發(fā)生的概率也越高。

3.在企業(yè)生產(chǎn)經(jīng)營過程中，由于合規(guī)義務的存在，員工行為對合規(guī)義務遵循的不確定性導致了合規(guī)風險的產(chǎn)生。可以說，合規(guī)義務分布在何處，不確定就在何處，合規(guī)風險就源于何處。而合規(guī)義務的分布是由權(quán)力的分布來決定。權(quán)力是對利益分配的支配力，權(quán)力是利益分配的焦點。合規(guī)義務是用來規(guī)范權(quán)力的正確行使、規(guī)范利益的合理分配的。因此，有權(quán)力（利益分配）的地方，就存在合規(guī)義務。違規(guī)行為的“鐵三角定律”：權(quán)力+不良動機+業(yè)務機會=合規(guī)風險發(fā)生。

（一）企業(yè)合規(guī)風險評估，首先需要進行合規(guī)風險分析。

合規(guī)風險分析是要增進對合規(guī)風險的了解，為風險評價和應對提供支持。合規(guī)風險分析根據(jù)目的、可獲得的信息數(shù)據(jù)和資源，可以有不同的詳細程度，可以是定性、定量的分析，也可以是這些分析的組合。合規(guī)風險分析是在風險識別的基礎上，考慮不合規(guī)發(fā)生的原因、后果及發(fā)生可能性等因素，最后形成合規(guī)風險列表清單。

對于合規(guī)風險列表清單，應達到下列標準：

1.風險描述：簡單且準確地描述風險，風險可能在什么情況下以什么方式發(fā)生以及風險對既定目標的影響。

2.風險發(fā)生原因：明確會導致風險發(fā)生的真正原因。

3.風險發(fā)生結(jié)果：說明風險發(fā)生后在哪些方面，以及以怎樣的方式造成影響。具體可以考慮但不限于以下因素：

（1）后果的類型，包括財產(chǎn)類的損失和非財產(chǎn)類的損失（商譽損失、企業(yè)形象受損）等；

（2）后果的嚴重程度，包括財產(chǎn)損失金額的大小、非財產(chǎn)損失的影響范圍、利益相關者的反應等。合規(guī)風險發(fā)生結(jié)果的定量分析示例如下。

示例分為三個維度進行，每個維度可以進一步細化為若干評分標準；影響程度分為三個等級，分別賦予 1-9 分，得分越高意味風險程度越大。

4.風險發(fā)生可能性：說明風險發(fā)生的概率大小。對風險發(fā)生可能性的量化分析，可以從以下 5 個維度進行，每個維度可進一步細化為若干評分標準：

（1）內(nèi)部合規(guī)規(guī)范的完善程度；

（2）合規(guī)規(guī)范的執(zhí)行力度；

（3）人員相關合規(guī)素養(yǎng)；

（4）外部監(jiān)管執(zhí)行力度；

（5）違規(guī)行為一年內(nèi)已發(fā)生的次數(shù)。

合規(guī)風險發(fā)生可能性的定量分析示例如下。實力分為五個維度進行，每個維度可以進一步細化為若干評分標準；影響程度分為三個等級，分別賦予 1-5 分，表示發(fā)生可能性依次加強，得分越高以為風險發(fā)生的可能性越大。

4.風險發(fā)生可能性：說明風險發(fā)生的概率大小。對風險發(fā)生可能性的量化分析，可以從以下 5 個維度進行，每個維度可進一步細化為若干評分標準：

（1）內(nèi)部合規(guī)規(guī)范的完善程度；

（2）合規(guī)規(guī)范的執(zhí)行力度；

（3）人員相關合規(guī)素養(yǎng)；

（4）外部監(jiān)管執(zhí)行力度；

（5）違規(guī)行為一年內(nèi)已發(fā)生的次數(shù)。

合規(guī)風險發(fā)生可能性的定量分析示例如下。實力分為五個維度進行，每個維度可以進一步細化為若干評分標準；影響程度分為三個等級，分別賦予 1-5 分，表示發(fā)生可能性依次加強，得分越高以為風險發(fā)生的可能性越大。

最后形成合規(guī)風險列表清單。合規(guī)風險列表清單示例如下：

（二）完成合規(guī)風險分析后，還需要進行合規(guī)風險評價。

合規(guī)風險評價，是將風險分析的結(jié)果與企業(yè)能夠接受的風險水平相比較，或者在各種風險分析結(jié)果之間進行比較，以確定風險的等級。風險評價應滿足風險應對的需要，否則應做進一步的風險分析。風險評價是利用風險分析過程中獲得的對風險的認識，設定合規(guī)風險的優(yōu)先等級，對未來的行動進行決策。

最簡單的風險評價，是將風險分為兩種：需要應對的和無需應對的。但這樣的方式難于全面反映情況，而且兩類風險的界限本身也不好確定。

常見的評價是依照企業(yè)對風險的容忍程度，將風險分為三個區(qū)域：

1.不可接受區(qū)域。在該區(qū)域內(nèi)，無論相關活動可帶來什么收益，風險等級都是無法承受的，不惜一切代價進行風險應對；

2.中間區(qū)域。對該區(qū)域內(nèi)風險的應對要考慮應對措施的成本與收益，并衡量機遇和潛在后果；

3.廣泛可接受區(qū)域。該區(qū)域的風險很小，無需采取任何應對措施。

風險評價后，需要進行決策。決策時應包括的內(nèi)容有：（1）某個風險是否需要應對；（2）風險的應對優(yōu)先等級；（3）應該采取哪種途徑。決策要參考法律、財務、道德等因素。對于風險評價，可把風險后果分析、可能性分析等結(jié)合起來，對風險進行排序，形成一個風險等級表，也可形成一個風險坐標圖。

合規(guī)風險程度示例如下：

（三）合規(guī)風險評估工作的最后，要以合規(guī)風險評估報告落地。

根據(jù)合規(guī)風險識別和評估情況，合規(guī)風險評估工作最后的落地，應當是一份全面的合規(guī)風險評估報告。報告主體應當以部門為單位，如業(yè)務部門向合規(guī)管理部門報告、合規(guī)管理牽頭部門向合規(guī)管理委員會報告。報告可分為定期報告、專項報告。

合規(guī)風險評估報告的內(nèi)容應當包括：合規(guī)風險評估實施概況、合規(guī)風險基本評價、存在的合規(guī)風險、原因及可能的公司損失，處置建議和應對措施等。具體如下：

?1、合規(guī)風險評估工作實施概況

主要包括：

（1）合規(guī)風險評估立項選擇的背景和工作目的；

（2）開展合規(guī)風險評估的相關準備工作，包括工作小組、評估范圍、使用的識別評估工作方法、工作步驟及時間安排、工作要求等；

（3）合規(guī)風險評估實施過程的具體工作情況。

?2、合規(guī)風險基本評價

主要包括：

（1）本次合規(guī)風險識別評估已覆蓋的合規(guī)風險領域；

（2）本次合規(guī)風險識別評估總體結(jié)果：固有合規(guī)風險點數(shù)量，剩余合規(guī)風險點數(shù)量；

（3）本次合規(guī)風險識別評估中，不同等級的合規(guī)風險的情況，如各不同合規(guī)風險等級的合規(guī)風險數(shù)量、需要采取風險管理措施的合規(guī)風險數(shù)量；

（4）對被評估范圍的合規(guī)風險管理效果的基本評價。

?3、 存在的合規(guī)風險

通過合規(guī)風險識別評估，把識別出來的需要采取風險管理措施的合規(guī)風險點詳細地列出，這是合規(guī)評價報告的核心內(nèi)容，也是將來企業(yè)高管在采取風險管理措施時認可的權(quán)威依據(jù)。

?4、合規(guī)風險發(fā)生的原因分析。

包括權(quán)力、外部環(huán)境、員工個人原因、制度措施不完善等。需要注意的是，合規(guī)風險的發(fā)生往往不是由其中一個原因引致的，而是由多個原因共同作用導致的。

（1）權(quán)力：權(quán)力引致了合規(guī)風險，主要是從權(quán)力出發(fā)，列舉出具體的某一項或者幾項權(quán)力的不正當行使引致了合規(guī)風險；

（2）外部環(huán)境：被評估領域、崗位或流程所處業(yè)務領域在企業(yè)外部接口的商業(yè)環(huán)境狀態(tài)及其對企業(yè)內(nèi)部該業(yè)務領域、崗位、流程合規(guī)履職的影響；

（3）員工個人：員工個人不當動機、員工接受合規(guī)知識培訓的情況；

（4）制度措施：被評估領域、崗位或流程所在的業(yè)務領域企業(yè)的制度建設現(xiàn)狀。

（5）如果近期被評估領域、崗位或流程所處業(yè)務領域已經(jīng)發(fā)生過不合規(guī)行為或違規(guī)行為，則應對發(fā)生不合規(guī)行為和違規(guī)行為的直接原因通過訪談，了解是否：①當事人對業(yè)務規(guī)律認知不夠；②規(guī)范合規(guī)風險的制度不適宜；③當事人對業(yè)務制度學習了解不夠；④當事人對工作技能方法掌握不夠；⑤當事人所在業(yè)務領域的業(yè)務績效激勵無針對性，導致其缺乏工作積極性；⑥業(yè)務外部市場環(huán)境等方面的不可控原因；⑦當事人員陳述的其他原因。