中国企业国际合规的经验总结之一：合规风险的识别和评估

企业在建立合规管理制度以前，需要先识别和评估自身所面临的几项法律风向，形成等级分明的合规风险清单，以便对应地设计合规管理制度、配置合规管理资源。例如，中国大唐集团海外投资有限公司在识别腐败风险时，采取的方法包括问卷调查、访谈调研、头脑风暴法、检查法、合规管理评估、内部审计、员工举报等。统揽25家企业的合规风险识别方法，可以归纳为以下几种。

第一，分析企业既往记录。企业的历史记录最能够呈现企业的合规风险分布情况，这些记录主要分为内部记录和外部记录两种类型。内部记录包括：企业的业务经营记录；企业往日员工进行的内部举报记录；企业高管、员工构成内部违规，被降薪、降职、警告等处罚的记录；企业管理层作出内部规则调整的记录；企业董事会、监事会等重大会议的决策记录；还有企业进行上市、竞标、贷款等重大经营活动的相关记录等等。外部记录包括：企业被行政制裁或警告的记录，企业涉嫌犯罪案件的记录，企业解决民事纠纷的案件记录，企业受行业协会的监管情况，企业相关负面新闻报道等等。

第二，与企业管理者进行详细交流。企业的董事、高管、经理等经营管理负责人是最了解企业状况的人，对于企业存在的问题及风险有基本预估和预判。实践中，如董事会决议没有合规审查一类的决策性合规风险只有企业高管才能发现。合规负责人员在识别合规风险阶段，需始终与这些管理者保持交流，对企业高层指出的问题进行风险溯源，以确定风险领域，并获得在相关领域实施细致化的风险识别工作的授权。

第三，对员工进行调查访问。员工是企业经营活动的主要执行者，绝大多数的合规风险都隐藏于日常的业务场景中，员工们是最容易发现合规风险的人，但他们经常因法律知识有限或者风险意识较差等原因而不能自行识别这些风险，这就需要专业人士的辅助。实践中，在识别合规风险时，可以依据企业员工的岗位类型，设计并发放风险调查问卷，或者组织员工进行谈话，能够切实了解业务中潜在的合规风险。

第四，分析同行企业动态。同类行业、相似规模、相似地域的企业所面临的合规风险一般具有相似性，虽然企业自身尚未发生违法犯罪事件，但其他企业可能已经被司法和执法部门制裁或陷入相关纠纷。

第五，进行合规风险模拟测验。在基本了解合规风险领域后，也有一些合规人员会开展合规模拟测试，建立线上测试系统，虚拟业务场景，测验风险点的发生概率。

除了以上手段以外，还有许多合规服务机构或者企业探索处理新型的风险发现手段，包括进行邮件敏感词筛查、员工交流系统监控、进行员工心理风险偏好测试等方式，协同实时性地完善和更新合规风险清单。一般而言，企业所面临的风险较多，在识别合规风险后还要对其进行评级和细化，抓住公司经营中的主要风险予以防控，并实时监测合规风险的变化。

来源：中国企业评价协会