企業合規風險評估實務要點全總結（一）企業合規風險評估，首先需要進行合規風險分析。合規風險分析是要增進對合規風險的了解，為風險評價和應對提供支持。合規風險分析根據目的、可獲得的信息數據和資源，可以有不同的詳細程度，可以是定性、定量的分析，也可以是這些分析的組合。合規風險分析是在風險識別的基礎上，考慮不合規發生的原因、后果及發生可能性等因素，最后形成合規風險列表清單。

對于合規風險列表清單，應達到下列標準：1.風險描述：簡單且準確地描述風險，風險可能在什么情況下以什么方式發生以及風險對既定目標的影響。2.風險發生原因：明確會導致風險發生的真正原因。3.風險發生結果：說明風險發生后在哪些方面，以及以怎樣的方式造成影響。具體可以考慮但不限于以下因素：（1）后果的類型，包括財產類的損失和非財產類的損失（商譽損失、企業形象受損）等；（2）后果的嚴重程度，包括財產損失金額的大小、非財產損失的影響范圍、利益相關者的反應等。合規風險發生結果的定量分析示例如下。示例分為三個維度進行，每個維度可以進一步細化為若干評分標準；影響程度分為三個等級，分別賦予1-9分，得分越高意味風險程度越大。分析維度得分9510財產損失大小無非財產損失大小很大一般很小無影響范圍廣（全國范圍甚至國際影響）中等（全省或市范圍）較小（本市范圍或企業內部）無4.風險發生可能性：說明風險發生的概率大小。對風險發生可能性的量化分析，可以從以下5個維度進行，每個維度可進一步細化為若干評分標準：（1）內部合規規范的完善程度；（2）合規規范的執行力度；（3）人員相關合規素養；（4）外部監管執行力度；（5）違規行為一年內已發生的次數。合規風險發生可能性的定量分析示例如下。實力分為五個維度進行，每個維度可以進一步細化為若干評分標準；影響程度分為三個等級，分別賦予1-5分，表示發生可能性依次加強，得分越高以為風險發生的可能性越大。

最后形成合規風險列表清單。合規風險列表清單示例如下：事項風險描述合規義務來源對應企業行為風險發生原因風險發生后果風險發生可能性123（二）完成合規風險分析后，還需要進行合規風險評價。合規風險評價，是將風險分析的結果與企業能夠接受的風險水平相比較，或者在各種風險分析結果之間進行比較，以確定風險的等級。風險評價應滿足風險應對的需要，否則應做進一步的風險分析。風險評價是利用風險分析過程中獲得的對風險的認識，設定合規風險的優先等級，對未來的行動進行決策。最簡單的風險評價，是將風險分為兩種：需要應對的和無需應對的。但這樣的方式難于全面反映情況，而且兩類風險的界限本身也不好確定。

常見的評價是依照企業對風險的容忍程度，將風險分為三個區域：

1.不可接受區域。在該區域內，無論相關活動可帶來什么收益，風險等級都是無法承受的，不惜一切代價進行風險應對；中間區域。對該區域內風險的應對要考慮應對措施的成本與收益，并衡量機遇和潛在后果；3.廣泛可接受區域。該區域的風險很小，無需采取任何應對措施。風險評價后，需要進行決策。決策時應包括的內容有：（1）某個風險是否需要應對；（2）風險的應對優先等級；（3）應該采取哪種途徑。決策要參考法律、財務、道德等因素。對于風險評價，可把風險后果分析、可能性分析等結合起來，對風險進行排序，形成一個風險等級表，也可形成一個風險坐標圖。

合規風險程度示例如下：嚴重性可能性損害程度非常大損害程度一般損害程度小非常可能重大合規風險重大合規風險中等合規風險有可能重大合規風險中等合規風險較低合規風險較低可能中等合規風險較低合規風險較低合規風險

（三）合規風險評估工作的最后，要以合規風險評估報告落地。根據合規風險識別和評估情況，合規風險評估工作最后的落地，應當是一份全面的合規風險評估報告。報告主體應當以部門為單位，如業務部門向合規管理部門報告、合規管理牽頭部門向合規管理委員會報告。報告可分為定期報告、專項報告。合規風險評估報告的內容應當包括：合規風險評估實施概況、合規風險基本評價、存在的合規風險、原因及可能的公司損失，處置建議和應對措施等。具體如下：?1、合規風險評估工作實施概況主要包括：（1）合規風險評估立項選擇的背景和工作目的；（2）開展合規風險評估的相關準備工作，包括工作小組、評估范圍、使用的識別評估工作方法、工作步驟及時間安排、工作要求等；（3）合規風險評估實施過程的具體工作情況。?2、合規風險基本評價主要包括：（1）本次合規風險識別評估已覆蓋的合規風險領域；（2）本次合規風險識別評估總體結果：固有合規風險點數量，剩余合規風險點數量；（3）本次合規風險識別評估中，不同等級的合規風險的情況，如各不同合規風險等級的合規風險數量、需要采取風險管理措施的合規風險數量；（4）對被評估范圍的合規風險管理效果的基本評價。?3、存在的合規風險通過合規風險識別評估，把識別出來的需要采取風險管理措施的合規風險點詳細地列出，這是合規評價報告的核心內容，也是將來企業高管在采取風險管理措施時認可的權威依據。?4、合規風險發生的原因分析。包括權力、外部環境、員工個人原因、制度措施不完善等。需要注意的是，合規風險的發生往往不是由其中一個原因引致的，而是由多個原因共同作用導致的。（1）權力：權力引致了合規風險，主要是從權力出發，列舉出具體的某一項或者幾項權力的不正當行使引致了合規風險；（2）外部環境：被評估領域、崗位或流程所處業務領域在企業外部接口的商業環境狀態及其對企業內部該業務領域、崗位、流程合規履職的影響；（3）員工個人：員工個人不當動機、員工接受合規知識培訓的情況；（4）制度措施：被評估領域、崗位或流程所在的業務領域企業的制度建設現狀。（5）如果近期被評估領域、崗位或流程所處業務領域已經發生過不合規行為或違規行為，則應對發生不合規行為和違規行為的直接原因通過訪談，了解是否