（中冶律师企业合规专业团队 张彦立 李世琦） 

         无论是自上而下（问卷调查/访谈）还是自下而上（研讨会）地执行，在设置和定义合规管理措施之前，建立系统的风险识别分析和评估流程(风险排序)非常重要。识别评估合规风险，是企业建立合规管理体系的核心工作内容和工作基础，合规风险识别评估工作质量直接决定合规管理体系的整体水平。

       企业要识别和确定具体的合规风险，首先要识别“合规义务”。合规义务就像度量企业自身生产经营行为是否正确的标尺，有标准才能够知道过程中可能出现的偏差(合规风险)。

       一、合规义务与维护

       合规义务内容包括合规要求和合规承诺。合规要求具有强制性，是企业生产经营行为必须遵守的，而合规承诺更多的是企业自我选择，是对相关方的一种承诺。综合各方考虑，合规义务也即企业内部和外部面临的问题、相关方的强制要求和企业自己为了赢得市场、监管机构的认可而给出的承诺。

       确定了合规义务之后应有相应的落实工作，在企业内部制作并发布合规义务清单，描述影响、确定是否遵循。企业也应制定相应的流程，跟踪法律、法规等的出台和变更，随着内外环境变化调整和更新合规义务清单，以保持合规的持续性。合规义务维护的重点是建立好信息沟通渠道，企业可制定《企业合规义务动态维护管理流程》，并配套《公司合规义务持续识别维护表》以保持动态调整。

       企业合规文件的制定应从经济角度出发，在符合监管机构制定的法律法规的基础上，适当的进行合规承诺。

       二、合规风险分布特征识别与评估

       合规风险与合规义务是一一对应的关系，合规风险是未履行或违反合规义务的不确定性导致的，所以合规义务分布在哪这种不确定性就在哪，合规风险就源于哪，因此，合规义务的分布特征同时也是合规风险分布特征。合规义务主要是用来规范权力的正确行使，权力、合规义务和合规风险存在内在的一致性，权力决定合规义务的分布特征，合规义务决定合规风险的分布特征。从一系列不合规案例事实统计分析发现，市场客服与销售权、审核权、人事权、采购权、放行权、计量权、财务资金权和拥有关键信息权八项权力之间密切影响行为的合规性，决定着合规风险的分布规律。权力的行使最容易导致不合规风险的发生，因此，我们只要通过对这些权力所对应岗位和流程的分布特征进行分析并逐一标记，就可以来识别合规风险的分布，也即基于岗位和流程的“八项权力识别模型”。

       三、合规风险分析与等级评估

       风险识别评估流程也即风险排序。评估流程主要由九步构成，一、确定需要加强合规风险管理的关键业务或岗位范围，形成《公司合规风险形势评审表》；二、明确企业合规目标，形成《关于开展某业务合规风险识别评估的通知》；三、开展权责事项清理，形成权责清单；四、据清单查找合规风险点；五、不合规后果进行梳理分析；六、评估已识别风险，并确定相应风险等级；七、风险排序确定应对方案；八、风险应对措施制定；九、根据制定的措施，对应修改完善公司流程并发布执行。

       风险评估是对公司风险进行推演或预估，并确定它的风险程度。风险程度的测试具有主观性，但仍应依据观事实，从而让评估结果更具参考价值。

       四、合规风险评估报告

       合规风险评估报告是企业或组织建立和维护合规管理体系，建立系统性合规风险管理机制，持续有效地管理风险的充分依据。它可以由专家针对不同的专题分别出具报告，就一个专题而言不需要每一年都进行评估或制作报告，但如果该专题在某一区域或某一时间段内有重大法律变更或重大风险事件发生，那么在这些情况发生后，组织或企业确实应当考虑是否要对风险评估报告进行及时更新，并由专业人士制作新一版的评估报告。报告人类似破产管理人，应由一个集体组成，只是组成人员可能略有差别，除了仍应有律师、审计或其他非法律行业的专家的存在，报告人还应当有业务经理的参与，便于从业务角度来审查报告中的风险评估是否准确。

       报告内容应包括合规风险评估实施概况、合规风险基本评价、现存的合规风险及风险存在原因与可能的损失、处理建议，该建议应综合公司实力采取适当的风险应对措施。报告还应包括企业或公司是否发生了相应风险下的违法违规事件并指出处理后果。合规风险识别评估的进行主要有两种模式，一是流程的决策合规风险识别评估示范、二是基于决策岗位的合规风险识别评估示范，然后结合不同情境对项目进行相应调整后进行具体评估。

       附：不同阶段对应工作表：

       1.1《公司合规义务初始识别表》

       1.2《公司合规义务持续识别维护表》

       2.1《合规风险等级评估表》

       2.2《岗位职责清单表》

       3.1《企业基于流程的合规风险识别分析评估矩阵图》

       3.2《企业基于岗位的合规风险识别分析评估矩阵图》

       4.1《公司决策标准化流程合规风险识别分析评估矩阵图》

       4.2《企业基建分管副总岗位职责履行合规风险识别分析评估矩阵图》

       4.3《企业XXXX业务合规风险识别分析评估矩阵图》

       4.4《合规风险清单》