汇业评论

1.全面性合规风险识别。企业在下列情况下，需要对企业经营管理的各个领域开展全面的、彻底的合规风险识别：企业新设；企业合规风险发生频率高且涉及不同业务领域或者多个业务部门和专业职能部门；企业投资并购其它企业（尤其是投资并购境外企业）而对目标企业进行全面性合规风险识别；企业合并；企业改制、重组；企业上市；等等。

2.专项合规风险识别，即根据合规管理计划，或者在外部环境或者内部环境发生变化时，对企业经营管理的某一领域、某一经营项目或活动，或者对某一业务部门或者专业职能部门，开展专门的合规风险识别。企业在发生下列情况时，须开展专项合规风险识别：战略调整，组织机构改变，引入新的或者扩展产品业务领域，开拓新的市场（尤其是境外市场），合规规范被修改或废止或者颁行新的合规规范，颁行新的合规管理制度或业务合规流程，出现重大不合规情况等。

二、合规风险分析和评价

根据我国《合规管理体系指南》第3.6条，合规风险分析和评价是企业通过分析不合规的原因、来源、后果的严重程度、不合规及其后果发生的可能性进行分析和研究，并对合规风险等级与企业能够并愿意接受的合规风险水平进行分析和评估。

对企业风险进行分析评价的方法和模型很多。就企业合规风险而言，我们推荐使用RPN（Risk Priority Number）的SOD风险系数评估法，从风险的严重程度（Severity）、发生的可能性和频率（Occurrence）以及可探测度（Detection，即根据企业现有规章制度识别和监测到合规风险的可能性）三个方面对风险进行评估和打分，确定合规风险系数的高低。每一方面分为1到10个等级。一般来说，如果一个合规风险的严重程度高于8分，或者RPN三个方面的得分乘积高于100，就说明其风险系数很高，系重大合规风险。

合规风险分析和评价，需要基于合规风险清单，对企业各合规风险做充分的调查研究，掌握大量、准确的数据和资料，并在此基础上对每一合规风险进行评估。完成合规风险分析和评价，须按合规风险系数等级对合规风险进行整理、排序，对重大合规风险进行专项研究和分析，厘清合规管理缺陷，制作合规风险评估报告。

三、合规风险应对

根据合规风险分析与评价结果，确定风险应对措施和解决方案，制定风险应对措施清单并落实执行。

风险应对措施包括（但不限于）：制定和执行整改及防控目标和计划；制定、修改和完善企业内部合规规范；与存在重大合规风险的部门管理层商谈，明确合规风险应对措施和职责，纳入绩效考核指标；对相关业务模式、业务流程进行整改和完善；开展专项合规培训与合规活动；严格问责，对违规行为进行违规调查和处置；等等。

对于重大合规风险，须对应对措施的启动、执行及效果进行持续跟踪与监督，直至合规风险消除。如果风险应对措施执行不力或者效果不佳，需要及时预警与核查，提出合规风险应对改进建议，加强合规应对力度。

四、合规风险监测

合规风险监测是运用风险监测方法，对监测领域的合规状态及合规风险的形成进行动态监督和测试，提供风险预警，并对合规风险的防控的改进提供基础信息依据。

合规风险的监测领域，在横向方面可以是某一管理领域（如公司治理、劳动管理、网络安全管理）或者某一业务领域（如采购、营销、产品开发、物流）；在纵向方面可以是某一外部合规规范（如适用的法律、行业监管规则等）的遵守，或者企业某一内部规章制度（如管理制度、业务流程）的执行等。

实施合规风险监测，需要确定监测领域和监测重点，制定监测计划（如监测频率、监测期限等），设计监测指标，组成监测小组并明确职责分工，制作监测报告。

通常将合规风险监测级别划分为正常、关注、特别关注、风险预警与风险形成等五个级别，并用不同颜色标示（通常将预警级别标示为橙色，将风险形成标示为红色）。如果形成合规风险（尤其是重大合规风险），则需要及时进行风险识别、分析和评价，并采取风险应对措施。

五、持续改进

合规风险管理是动态和持续的管理过程，绝非一蹴而就。企业在发展，合规管理的外部环境和内部环境不断发生变化，要求企业周而复始地、持续地进行合规风险管理。企业通过持续的合规风险管理，循环往复，使合规风险管理的各个环节形成有效的闭环，并不断改进和提高合规管理水平，有效防控和应对合规风险，确保企业安全、稳定、持续经营。

六、合规风险信息管理