公司合規(guī)風險評估實務要點全總結(jié)全

企業(yè)合規(guī)風險評估實務要點全總結(jié)（一）企業(yè)合規(guī)風險評估，首先需要進行合規(guī)風險分析。合規(guī)風險分析是要增進對合規(guī)風險的了解，為風險評價和應對提供支持。合規(guī)風險分析根據(jù)目的、可獲得的信息數(shù)據(jù)和資源，可以有不同的詳細程度，可以是定性、定量的分析，也可以是這些分析的組合。合規(guī)風險分析是在風險識別的基礎上，考慮不合規(guī)發(fā)生的原因、后果及發(fā)生可能性等因素，最后形成合規(guī)風險列表清單。

對于合規(guī)風險列表清單，應達到下列標準：1.風險描述：簡單且準確地描述風險，風險可能在什么情況下以什么方式發(fā)生以及風險對既定目標的影響。2.風險發(fā)生原因：明確會導致風險發(fā)生的真正原因。3.風險發(fā)生結(jié)果：說明風險發(fā)生后在哪些方面，以及以怎樣的方式造成影響。具體可以考慮但不限于以下因素：（1）后果的類型，包括財產(chǎn)類的損失和非財產(chǎn)類的損失（商譽損失、企業(yè)形象受損）等；（2）后果的嚴重程度，包括財產(chǎn)損失金額的大小、非財產(chǎn)損失的影響范圍、利益相關(guān)者的反應等。合規(guī)風險發(fā)生結(jié)果的定量分析示例如下。示例分為三個維度進行，每個維度可以進一步細化為若干評分標準；影響程度分為三個等級，分別賦予1-9分，得分越高意味風險程度越大。分析維度得分9510財產(chǎn)損失大小無非財產(chǎn)損失大小很大一般很小無影響范圍廣（全國范圍甚至國際影響）中等（全省或市范圍）較?。ū臼蟹秶蚱髽I(yè)內(nèi)部）無4.風險發(fā)生可能性：說明風險發(fā)生的概率大小。對風險發(fā)生可能性的量化分析，可以從以下5個維度進行，每個維度可進一步細化為若干評分標準：（1）內(nèi)部合規(guī)規(guī)范的完善程度；（2）合規(guī)規(guī)范的執(zhí)行力度；（3）人員相關(guān)合規(guī)素養(yǎng)；（4）外部監(jiān)管執(zhí)行力度；（5）違規(guī)行為一年內(nèi)已發(fā)生的次數(shù)。合規(guī)風險發(fā)生可能性的定量分析示例如下。實力分為五個維度進行，每個維度可以進一步細化為若干評分標準；影響程度分為三個等級，分別賦予1-5分，表示發(fā)生可能性依次加強，得分越高以為風險發(fā)生的可能性越大。

最后形成合規(guī)風險列表清單。合規(guī)風險列表清單示例如下：事項風險描述合規(guī)義務來源對應企業(yè)行為風險發(fā)生原因風險發(fā)生后果風險發(fā)生可能性123（二）完成合規(guī)風險分析后，還需要進行合規(guī)風險評價。合規(guī)風險評價，是將風險分析的結(jié)果與企業(yè)能夠接受的風險水平相比較，或者在各種風險分析結(jié)果之間進行比較，以確定風險的等級。風險評價應滿足風險應對的需要，否則應做進一步的風險分析。風險評價是利用風險分析過程中獲得的對風險的認識，設定合規(guī)風險的優(yōu)先等級，對未來的行動進行決策。最簡單的風險評價，是將風險分為兩種：需要應對的和無需應對的。但這樣的方式難于全面反映情況，而且兩類風險的界限本身也不好確定。

常見的評價是依照企業(yè)對風險的容忍程度，將風險分為三個區(qū)域：

1.不可接受區(qū)域。在該區(qū)域內(nèi)，無論相關(guān)活動可帶來什么收益，風險等級都是無法承受的，不惜一切代價進行風險應對；中間區(qū)域。對該區(qū)域內(nèi)風險的應對要考慮應對措施的成本與收益，并衡量機遇和潛在后果；3.廣泛可接受區(qū)域。該區(qū)域的風險很小，無需采取任何應對措施。風險評價后，需要進行決策。決策時應包括的內(nèi)容有：（1）某個風險是否需要應對；（2）風險的應對優(yōu)先等級；（3）應該采取哪種途徑。決策要參考法律、財務、道德等因素。對于風險評價，可把風險后果分析、可能性分析等結(jié)合起來，對風險進行排序，形成一個風險等級表，也可形成一個風險坐標圖。

合規(guī)風險程度示例如下：嚴重性可能性損害程度非常大損害程度一般損害程度小非?？赡苤卮蠛弦?guī)風險重大合規(guī)風險中等合規(guī)風險有可能重大合規(guī)風險中等合規(guī)風險較低合規(guī)風險較低可能中等合規(guī)風險較低合規(guī)風險較低合規(guī)風險

（三）合規(guī)風險評估工作的最后，要以合規(guī)風險評估報告落地。根據(jù)合規(guī)風險識別和評估情況，合規(guī)風險評估工作最后的落地，應當是一份全面的合規(guī)風險評估報告。報告主體應當以部門為單位，如業(yè)務部門向合規(guī)管理部門報告、合規(guī)管理牽頭部門向合規(guī)管理委員會報告。報告可分為定期報告、專項報告。合規(guī)風險評估報告的內(nèi)容應當包括：合規(guī)風險評估實施概況、合規(guī)風險基本評價、存在的合規(guī)風險、原因及可能的公司損失，處置建議和應對措施等。具體如下：?1、合規(guī)風險評估工作實施概況主要包括：（1）合規(guī)風險評估立項選擇的背景和工作目的；（2）開展合規(guī)風險評估的相關(guān)準備工作，包括工作小組、評估范圍、使用的識別評估工作方法、工作步驟及時間安排、工作要求等；（3）合規(guī)風險評估實施過程的具體工作情況。?2、合規(guī)風險基本評價主要包括：（1）本次合規(guī)風險識別評估已覆蓋的合規(guī)風險領(lǐng)域；（2）本次合規(guī)風險識別評估總體結(jié)果：固有合規(guī)風險點數(shù)量，剩余合規(guī)風險點數(shù)量；（3）本次合規(guī)風險識別評估中，不同等級的合規(guī)風險的情況，如各不同合規(guī)風險等級的合規(guī)風險數(shù)量、需要采取風險管理措施的合規(guī)風險數(shù)量；（4）對被評估范圍的合規(guī)風險管理效果的基本評價。?3、存在的合規(guī)風險通過合規(guī)風險識別評估，把識別出來的需要采取風險管理措施的合規(guī)風險點詳細地列出，這是合規(guī)評價報告的核心內(nèi)容，也是將來企業(yè)高管在采取風險管理措施時認可的權(quán)威依據(jù)。?4、合規(guī)風險發(fā)生的原因分析。包括權(quán)力、外部環(huán)境、員工個人原因、制度措施不完善等。需要注意的是，合規(guī)風險的發(fā)生往往不是由其中一個原因引致的，而是由多個原因共同作用導致的。（1）權(quán)力：權(quán)力引致了合規(guī)風險，主要是從權(quán)力出發(fā)，列舉出具體的某一項或者幾項權(quán)力的不正當行使引致了合規(guī)風險；（2）外部環(huán)境：被評估領(lǐng)域、崗位或流程所處業(yè)務領(lǐng)域在企業(yè)外部接口的商業(yè)環(huán)境狀態(tài)及其對企業(yè)內(nèi)部該業(yè)務領(lǐng)域、崗位、流程合規(guī)履職的影響；（3）員工個人：員工個人不當動機、員工接受合規(guī)知識培訓的情況；（4）制度措施：被評估領(lǐng)域、崗位或流程所在的業(yè)務領(lǐng)域企業(yè)的制度建設現(xiàn)狀。（5）如果近期被評估領(lǐng)域、崗位或流程所處業(yè)務領(lǐng)域已經(jīng)發(fā)生過不合規(guī)行為或違規(guī)行為，則應對發(fā)生不合規(guī)行為和違規(guī)行為的直接原因通過訪談，了解是否