企业建立合规管理体系，实施合规管理建设的核心是合规风险管理。而合规风险管理，本质上是对合规风险进行识别、评估、处置、应对、监测、预警、监督、检查、沟通、协调并持续改进的过程。

兰台理解，合规风险识别与评估，是国有企业内部主动预防和控制合规风险的有效方法。它既是建立合规管理体系的起点，也是运行合规管理体系的前提，体现了企业合规风险管理的质量和水平，影响着企业合规管理目标的实现。

由此，本文从合规风险识别与评估的含义、类别、方式展开分析，并结合工作实践，对合规风险识别与评估工作的开展提出了相应思考和建议，以期能为实务工作提供借鉴。

《中央企业合规管理办法》第3条对合规风险的定义是：企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。

国家/国际标准《合规管理体系 指南》GB/T 35770-2022/ISO37301:2021第3.24对合规风险（Compliance risk）的定义是：因未遵守组织合规义务而发生不合规的可能性及其后果。

兰台理解，合规风险，与合规义务（要求）相互对应。简言之，合规风险是因企业或其员工违反合规义务（要求）而引发的风险。

基于此，笔者对于“合规义务”、“合规风险”、“合规风险识别”、“合规风险评估”的内容归纳如下：

根据我们和企业的交流，以及实际进行过的合规风险处置案件，我们总结出三大原因、十大要点来说明为什么要做合规风险识别与评估：

1.遵守法律法规

企业必须遵守所在国家或地区的法律法规和行业标准。合规风险识别与评估有助于确保组织了解并遵守所有相关要求，避免因违反规定而受到法律制。某跨国药企在进入新兴市场时，通过合规风险识别，确保其产品符合当地药品监管机构的要求，避免了因违规而面临的巨额罚款和产品召回。

2.满足监管要求

在某些行业，如金融、医药等，监管机构可能要求企业展示其合规风险管理监管的能力，合规风险识别与评估是满足这些要求的关键步骤。在GDPR(欧洲通用数据保护条例)实施后，某全球著名互联网电商企业迅速在全球范围内调整其隐私政策和数据处理流程，确保符合新法规要求。

3.应对法律诉讼和责任

在发生法律诉讼时，企业能够展示其已经进行了合规风险识别和采取了相应诉讼的风险控制措施，这可能有助于减轻责任或影响诉讼结果。某化工企业在面临环境污染诉讼时，展示了其在生产过程中的合规风险管理举例记录，包括环境影响评估和污染控制措施，这有助于减轻其在诉讼中的责任。

1.支持战略决策

企业合规风险识别与评估可以为企业提供关键信息，帮助管理层在战略规划战略决策和决策过程中考虑合规因素，确保企业的长期可持续发展。某能源公司在考虑投资新的海外项目时，进行了全面的合规风险评估，包括反垄断、国际贸易规则以及当地的环境法规和劳工法，确保项目符合国际标准，支持了公司的可持续发展战略。

2.内部控制和治理

合规风险识别与评估是内部控制和治理的重要组成部分， 有助于建立有效的内部控制体系，防止欺诈和不当行为。某大型制造企业通过建立合规风险识别与评估机制，发现了内部采购过程中的腐败行为，及时采取措施，加强了内部控制，防止了进一步的财务损失。

3.预防并减少损失

通过识别并评估潜在的合规风险，企业可以采取预防措施，减少因不合规行为可能导致的财务损失、业务中断或声誉损害。某境内电线电缆制造企业通过建立下游合作商审查机制以识别骗取出口增值税的风险并终止高危业务。

结合《指南》的规定，从实践角度而言，我们建议合规风险识别与评估至少可以通过以下六大步骤进行，同时我们将给出每个步骤中的一些细节内容：

及时对该领域相关的内容进行梳理，包括但不限于法律法规、指导性案例、外部合同、监管指南等，同时定期拜访相关监管部门、参加行业协会及业务论坛，及时了解行业监管动态。同时结合已暴露的风险，反向梳理出验收流程的合规义务。

这一步骤是基于合规义务，全面识别企业可能面临的合规风险，包括这些风险的风险源、风险事件、风险原因及后果等核心风险要素，最终制作合规风险清单并建立合规风险库。

1.确定风险识别方法：如内部访谈法、问卷调查法、分析案例法等等；

2.围绕关键岗位和业务流程进行识别：如分析各个岗位的职责内容和权力清单，找出关键岗位人员在行使权力过程中可能触及的合规风险点；将合规风险融入到日常运营的各个环节，通过绘制详细的业务流程图，审视每个步骤中可能出现的不合规操作或管理漏洞；

3.归纳合规风险要素：通过前述方法对照合规义务，梳理出风险事件、风险原因、风险后果等风险等核心要素（具体参见本文Q4部分的内容）；

4.建立风险清单：通过将前述风险要素予以列明，对风险予以详细描述，如就风险源而言，可对特定的法规条款、业务操作或外部事件进行列明；同时还应根据风险的性质（如财务、运营、声誉）和影响（如直接损失、间接影响）进行分类。

这一步骤系根据风险清单及企业当前的应对措施，非必须合规风险发生的可能性及潜在后果的影响程度，确定风险大小及重要性等级，这一步主要从定性分析和定量分析出发：

1、定性分析：此方法一般用来预估后果的影响程度，一般就某个风险后果列为“严重、一般、轻微”或者通过1-5进行分级。

2、定量分析：此方法一般用来预估可能性，一般从损失金额、人员伤亡等重大后果方面分析，可能性一般也可以通过1-5进行分级。

这一步骤主要通过将前述的风险发生可能性及潜在后果的影响程度作为横纵坐标，绘制风险矩阵图，根据评估结果将风险分类为低、中、高等级。一般高等级的合规风险是超过合规义务底线，且后果十分严重，企业需要立即应对。

这一步骤是汇总了前述所有内容，包括合规风险背景、评估范围、评估过程、合规风险清单、合规风险矩阵图、合规风险建议等内容，最终汇总成风险评估报告/清单。

通过这些细化的步骤，企业可以更系统地识别和管理合规风险，确保合规管理体系的有效性和适应性。这不仅有助于企业避免法律和财务风险，还能提升企业的市场竞争力和声誉。

健全的合规管理体系与有效的合规管理工作，应当致力于通过事前预防与事中管控，有效避免企业在经营管理中面临的多重风险，包括监管处罚、负面舆情事件、涉及大案要案等。从企业内部的文件建设角度来看，持续内化的合规管理工作，能够帮助员工树立良好的规范意识，抑制违规冲动，改善精神面貌。企业发展与企业合规相融共生，合规的风帆必将助力企业稳健远航。