陈瑞华：企业合规风险评估的基本问题 | 法学论坛202404

【作者】陈瑞华（法学博士，北京大学法学院教授、博士生导师)

【来源】北大法宝法学期刊库《法学论坛》2024年第4期（文末附本期期刊目录）。因篇幅较长，已略去原文注释。

内容提要：合规管理是一种以风险为导向的管理活动。为开展有效的合规管理，需要建立一种科学的合规风险评估机制。合规风险评估应建立在准确界定合规风险领域的前提之下，确保企业发现合规风险所发生的法律适用领域，由此限定合规风险评估的基本范围。在此基础上，合规风险评估可以包括合规风险识别、分析和评价三个环节，企业在这些环节中需要完成合规风险点的确认、合规风险原因的揭示以及合规风险等级的划定等工作，并确定合规风险管理的优先顺序。企业运用合规风险评估的结果，可以根据成比例原则，建立一套有针对性的合规风险预防、监控和应对体系，达到有效控制合规风险、预防违法违规行为发生的管理目标。

关键词：合规风险评估；合规风险领域界定；合规风险识别；合规风险分析；合规风险评价

目次 一、问题提出 二、合规风险领域界定 三、合规风险识别 四、合规风险分析 五、合规风险评价 六、合规风险评估的可持续性 七、以合规风险评估为基础的合规管理 结语

一

问题提出

目前，对于企业合规的性质和功能问题的理解，存在两种不同的理论模式：一是以管理为导向的合规模式，二是以风险为导向的合规模式。前者通常盛行于企业的自主性合规管理之中，将合规界定为“企业遵从规则”，注重合规义务的全面梳理，追求实现全面覆盖企业员工、业务和流程的“全面依法依规经营目标”。后者则普遍存在于涉案企业的合规整改过程之中，将合规视为一种“合规风险控制体系”，强调根据企业所面临的合规风险来建立专项合规计划，以期实现一种有效预防、监控和应对合规风险的合规目标。

根据以管理为导向的模式，合规风险是指企业“违反合规义务”的可能性，一般分为两个构成要素：一是“违规可能性”，也就是企业内部发生违反各种规范行为的可能性，这种规范可以包括“外部法律法规”“内部规章制度”以及“道德伦理规范”；二是“损失可能性”，亦即企业因为上述违规行为受到外部制裁、处罚、经济损失、声誉损失以及其它各种不利后果的可能性。据此，合规风险被视为一种高于法律风险的企业风险。

而根据以风险为导向的模式，合规风险尽管来源于法律风险，却不是一般的法律风险，而是一种可能给企业带来重大不利后果或者灾难性损失的战略风险。在战略风险防控方面，企业一般会将合规风险与“决策风险”“经营风险”“财务风险”相提并论，关注企业因重大违法违规行为而遭受行政处罚、刑事追究或国际金融制裁的可能性。首先，在“违规可能性”的界定上，合规风险主要是指企业违反行政法规、刑事法律或国际金融规则的可能性。至于一般意义上的民事法律风险或者道德风险，则不属于合规风险防控的对象。其次，在“损失可能性”的确认方面，合规风险主要是指企业受到行政处罚、刑事追究、国际金融机构制裁以及相应资格剥夺的可能性。那些违反行政法规的企业行为，所带来的后果通常是监管部门的行政处罚；那些构成犯罪的企业行为，会使企业遭受定罪判刑的后果；那些触犯国际金融机构行为准则的企业行为，可能使企业受到暂时或永久的制裁。而上述三种违法违规行为，有可能使企业在受到处罚和制裁的基础上，遭受进一步的“附随性后果”，也就是特许经营资格被剥夺或限制的后果。至于企业因一般违法违规行为可能受到的民事责任追究、经济损失或者所谓的“声誉损失”，则不属于合规风险的范围。

无论对合规风险作出怎样的界定，企业通常都将合规管理视为一种“以风险为基础的管理工作”，将合规风险评估作为建立有效合规管理体系的前提和基础。但是，究竟何谓“合规风险评估”，“合规风险评估”与“风险识别”有何关系，“合规风险评估”与“合规风险领域界定”有何关系？对于这些问题，无论是中外相关合规管理指引，还是国际合规文件，都只是作出了较为笼统的规定。例如，英国反腐败法律将“风险评估原则”视为有效合规管理的六项“充分程序原则”之一，强调企业应对可能发生的腐败风险的性质和严重性进行定期评估，并确保评估是有根据的和可记录在案的。法国反腐败法律将“合规风险识别”列为有效合规管理的“三大支柱”之一，要求企业应通过风险识别，对所存在的腐败风险作出具体的确认、评估，并采取分级管理措施。在风险识别的前提下，企业应根据对腐败风险确认、评估和优先排序的结果，设计、部署并实施反腐败计划，达到有效预防腐败风险、监测违规事件以及补救制度缺陷的目标。美国刑事司法部门和监管部门在反海外腐败法律中，将“合规风险评估”视为评价企业合规计划有效性的重要因素，要求企业不应对所有合规风险一视同仁，而应将合规管理资源集中投入到存在高风险的领域，并对那些“真诚实施一种全面的和基于风险的合规计划的企业给予实质性的奖励”。上述三个国家的反腐败法律文件，已经涵盖“在反腐败领域中开展具体合规风险评估”的要求，并将这一要求视为有效合规计划的重要内容或标准。但是，对于企业在反腐败领域内进行合规风险识别和评估的具体要求、方法和步骤却没有给出明确的解释。

又如，国际标准组织发布的《合规管理体系——要求和使用指南》（ISO 37301），将合规风险定义为“因不符合组织合规义务而发生不合规的可能性及其后果”。该文件要求企业“应基于合规风险评估、识别、分析和评价其合规风险”，包括将其合规义务与其活动、产品、服务以及运营的相关方面联系起来，“识别合规风险”，定期“评估合规风险”，并在情势或组织环境发生重大变化时再进行评价。该文件尽管强调了合规风险评估和识别的重要性，但对于风险评估的内涵和外延并没有作出清晰的界定。

再如，我国国务院国有资产管理委员会发布的《中央企业合规管理办法》，将合规管理视为一种“以有效防控合规风险为目的”的管理活动，要求中央企业业务和职能部门“开展合规风险识别评估，编制风险清单和应对预案”，“定期梳理重点岗位合规风险”，“及时报告合规风险”，要求合规管理部门“组织开展合规风险识别、预警和应对处置”。该文件还要求中央企业针对“反垄断”“反商业贿赂”“生态保护”“安全生产”“劳动用工”“税务管理”“数据保护”等重点领域，以及合规风险较高的业务，制定合规管理具体制度或者专项指南。这一文件强调了合规风险识别和评估的重要性，也向企业提出了确定“重点合规风险领域”的要求，这是难能可贵的。但是，对于合规风险评估和识别的方式方法，特别是合规风险领域确定与合规风险评估的关系，却没有作出具体的说明。

很显然，在合规风险评估的定义、内涵、外延、方式方法及其与合规风险的关系等问题上，上述法律文件都没有给出具体的说明，甚至在不少方面还存在认识模糊和冲突解释的问题。对于这些问题，我们有必要根据企业合规管理的有效实践，结合相关制度的最新发展情况，作出理论上的总结和概括。

本文所提出并论证的主要观点是，企业合规风险评估是企业针对特定领域内可能发生的违法违规情况，考虑到这些情况可能给企业带来的处罚、制裁以及资格剥夺等重大不利后果，对合规风险作出识别、分析和评价的活动；在企业开展合规风险评估之前，应首先进行“合规风险领域界定”工作，也就是对企业存在合规风险的专门法律领域作出准确的确认，这是企业建立专项合规计划的基础，也是有效开展合规风险评估的前提；在准确界定合规风险领域的前提下，企业可以将合规评估工作分解为“风险识别”“风险分析”和“风险评价”三个基本环节，以便找出企业所面临的“合规风险点”，揭示企业发生合规风险的“内生性结构原因”，并对企业各种合规风险作出等级划分，设定合规风险管理的优先顺序。根据上述合规风险评估的结果，企业所开展的合规风险管理和控制，就有可能实现有效预防、监控和应对合规风险的目标。

二

合规风险领域界定

实践经验表明，企业的违法违规行为通常都发生在特定的领域之中。企业在实施“违法违规行为”的同时，也触犯了特定领域的法律法规。例如，企业违反国家反垄断法律所实施的行为，通常被称为“垄断行为”；企业违反国家反洗钱法律所实施的行为，一般被视为“洗钱行为”；企业违反环境资源保护法律所实施的行为，被视为“环保违法行为”；企业违反国家网络安全、数据安全、个人信息保护等法律所实施的行为，被视为“网络数据违法行为”；企业违反国家税收征管领域法律所实施的行为，一般被称为“税收违法行为”，等等。企业只要有可能实施上述特定领域的违法违规行为，并具有受到各种处罚、制裁或资格剥夺的可能性，就都被认为存在特定领域的合规风险。

所谓合规风险领域，是指企业合规风险发生的具体法律范围。在合规管理实践中，合规风险领域界定通常不被视为“合规风险评估”的有机组成部分。但是，合规风险领域界定却是合规风险评估的前提，也是建立专项合规计划的基础，更是企业开展有效合规管理的保障。首先，对合规风险领域的准确界定，意味着企业不是笼统地发现“发生违法违规行为”的可能性，而是发现那些可能发生的违法违规行为的具体形态和类型。唯有在合规风险领域得到确定的前提下，企业才能开展有实质意义的风险识别、分析和评价。其次，对合规风险领域的界定，是企业建立专项合规计划的根据。原则上，企业要管控特定领域的合规风险，就要建立相对应的专项合规计划。例如，对于发生在税收征管、环境资源保护、知识产权保护、安全生产、网络数据、反商业贿赂等领域的违法违规行为，企业就需要建立相对应的税收合规计划、环保合规计划、知识产权保护合规计划、安全生产合规计划、网络数据合规计划、反商业贿赂合规计划。再次，准确界定合规风险领域，才能确保企业将有限的合规资源投入到特定的合规管理领域中，贯彻最高层承诺原则，发布专门性的合规册和员工手册，开展有针对性的风险评估、尽职调查、合规培训、合规承诺、合规报告、合规举报等风险管理活动，建立有针对性的风险预防、监控和应对体系，有效地防范相同或相似违法违规行为再次发生。

那么，究竟如何准确地进行合规风险领域界定活动呢？本文根据企业开展合规整改和自主性合规的不同场景，对此作出简要分析。

（一）合规整改

企业在发生违法违规行为后，一旦受到行政执法调查、刑事追诉或者国际金融机构的执法行动，就有可能与行政监管部门、司法机关或国际金融机构达成某种和解协议。根据这种协议，企业在满足特定要求的前提下，作出开展合规整改的承诺，在通过合规监督考察验收后，可以换取行政监管部门、司法机关或国际金融机构的宽大处理。在涉案企业开展合规整改的场景中，应当如何界定合规风险领域呢？

原则上，企业违法违规行为的发生，意味着企业合规风险的爆发，也就是企业实际上发生了违法违规行为，因此受到行政处罚、刑事追究或国际金融制裁的可能性大大增加。在行政监管部门、司法机关或国际金融机构的监管下，涉案企业会根据自身违法违规的类型，来确立合规风险领域，并进而建立或完善特定的专项合规计划。例如，2021年以来，阿里巴巴、美团、扬子江药业等诸多企业，都曾因违反国家反垄断法而面临国家市场监管部门的执法调查。这些企业将其合规风险确定为“违反反垄断法的合规风险”，并据此将建立反垄断合规计划作为其合规整改的目标。又如，深圳某公司因为涉嫌实施走私普通货物的犯罪行为，先后接受深圳公安机关的侦查和检察机关的审查起诉。在检察机关启动合规监督考察程序后，该企业将“走私”确立为合规风险领域，并将建立进出口合规计划确立为合规整改的专项领域。再如，湖南某建工集团曾因在申请贷款的招投标过程中存在欺诈行为，受到世界银行的执法调查，并被作出附解除条件的停止参与招投标资格的制裁。该企业在与世界银行达成和解协议后，将“违反诚信行为”列为合规风险领域，并将建立“诚信合规计划”作为专项合规整改的领域。

从有效合规整改的角度看，涉案企业应严格限定合规风险领域，将相应的专项合规计划的建立和执行，作为合规整改工作的重中之重。考虑到涉案企业开展合规整改受到考察期限的严格限制，企业能够投入的合规管理资源也十分有限，也面临着来自行政部门、司法机关或国际金融机构的合规整改压力，因此，涉案企业在合规整改中只能按照两个步骤确定合规风险领域：一是将企业已经实施的违法违规行为作为合规风险领域；二是将企业可能实施的同一领域的类似违法违规行为作为合规风险领域。超出上述范围的违法违规可能性，通常不被列为涉案企业的合规风险领域。

（二）自主性合规

相对于合规整改而言，那些开展自主性合规的企业，在界定合规风险领域时就面临更大困难。这种企业通常并没有发生违法违规行为，也没有接受行政部门、司法机关或国际金融机构的执法调查，更不存在受到各种处罚、制裁或资格剥夺的现实可能性。它们要么因为行政监管部门、行业协会提出了建立合规管理体系的监管要求，要么出于增强商业竞争优势的考虑，而自行开展了合规管理体系建设活动。

通常情况下，企业建立合规管理体系的时机，都不是在企业成立之初，而是在生产经营过程中发现自身存在重大合规风险之后。企业之所以要建立合规管理体系，主要是因为发现自身的生产经营活动存在两方面的可能性：一是存在发生特定违法违规行为的可能性；二是存在受到行政处罚、刑事追究或国际金融制裁的可能性。企业只要对上述两种可能性有所觉察，并作出科学理性的评估，就有可能确定自身的合规风险领域。从企业合规管理的实践来看，企业可以从三个视角来发现自身的合规风险领域：一是内部视角，二是外部视角，三是比较视角。

所谓“内部视角”，是指企业通过对自身经营活动所存在风险的调查，发现那些可能发生合规风险的领域。传统上，企业可以根据自身的业务范围、行业特点、经营情况等来确定合规风险领域。但这种做法往往会造成风险领域设定过于宽泛，无法找到企业特有的风险领域。实践中，一些企业在考虑上述因素的同时，还会对企业的风险领域进行专项调查。这种调查通常可以通过以下方式展开：通过员工访谈，发现可能存在的风险事项；通过对商业交易记录、合同、发票等材料的审核，发现可能存在违法违规的业务环节；通过对既往发生违法违规行为和接受执法调查事项的调查，发现历史上曾经发生过合规风险的领域；通过对企业涉及诉讼的案例情况的调查，发现企业在遵从法律法规方面的薄弱环节。例如，西门子公司通过风险调查活动，在商业贿赂合规风险之外，又找到了三种合规风险领域。中兴公司通过风险调查活动，在进出口管制合规风险之外，又找到了商业贿赂、数据保护这两大合规风险领域。

所谓“外部视角”，是指企业根据法律法规的最新进展和监管环境的最新变化，来发现那些自身经营活动容易出现合规风险的领域。通常而言，新的法律法规一旦颁布，就有可能给企业的合规经营提出更加严格的要求，也使得企业在一些新的领域中面临着较为突出的合规风险。例如，我国2023年以来在医疗领域开展了“反腐败风暴”，立法机关修改了刑法中有关贿赂犯罪的刑罚条款。这种立法发展使得医疗企业的商业贿赂合规风险陡然上升。建立反商业贿赂合规管理体系已经成为医疗企业合规管理的重中之重。与此同时，监管部门在特定时期内一旦提出新的监管要求，加大对特定领域的违法违规行为的惩治力度，就会使得企业在特定领域内面临新的合规风险。例如，2022年以来，公安机关在全国范围内开展反电信网络诈骗行动，加大了对相关犯罪行为的打击力度，采取了一种预防性监管的执法方式。因此，那些从事电信和网络经营的企业通常会将反网络电信诈骗列为新的合规风险。

所谓“比较视角”，是指企业通过对从事相同行业、开展相同业务或者经营方式相似的其他企业进行比较，发现自身的合规风险领域。在我国，行政部门、司法机关普遍存在“选择性执法”的情况，对于企业的违法违规行为采取有选择的立案调查方式。例如，对于普遍实施商业贿赂行为的医疗企业，对于普遍出现串通投标行为的建筑工程企业，对于普遍发生虚开增值税专用发票行为的小型企业，无论是行政监管部门还是侦查机关，都很难将违法违规企业全部加以查处。在此背景下，一旦那些从事相同行业或相似业务的企业，接受了行政执法调查、刑事追诉或者国际金融机构的执法行动，那么，相关企业就应考虑进行合规风险的调查，根据其他企业的经验教训，确定本企业的合规风险领域。

当然，经过上述三种合规风险领域的调查，企业有可能发现同时存在若干项合规风险领域。考虑到企业合规管理资源的有限性，为实现有效合规管理的目标，企业还应对多项合规风险进行综合考量。在实践中，任何企业在经营过程中都会面临着种类各异、程度不同的“合规风险”，这种风险有可能是潜在的，也有可能是现实的；有可能是宏观层面的，也有可能是微观层面的；有可能是一种“内部发生违法违规的可能性”，也有可能是一种“受到刑事处罚的可能性”。有的合规专业人士将那种宏观的、潜在的、概括的企业违法违规可能性，称为“抽象性合规风险”，而将那种微观的、纯粹的、现实的因违法违规遭受处罚的可能性，称为“具象性合规风险”。对于这种具象性合规风险，也有人将其概括为“系统性合规风险”，也就是现实的、迫在眉睫的以及可能给企业带来重大损失的合规风险。例如，对于西门子公司而言，经过合规整改工作，洗钱、数据违规最终被视为与商业贿赂具有同等危害程度的“系统性合规风险”，该公司据此将合规管理扩展到反洗钱和数据保护等领域之中。又如，中兴公司经过合规整改过程，最终将侵犯数据隐私和商业贿赂列为与违反进出口管制法律具有同等危害后果的“系统性合规风险”，并据此将合规管理引入到数据保护和反商业贿赂这两个领域之中。

三

合规风险识别

所谓合规风险识别，是指企业在界定合规风险领域的前提下，对自身所存在的合规风险所进行的调查和确认活动。企业的合规风险有可能发生在各种不同的决策机制、管理环节、业务流程和工作岗位之中。两个企业即便在同一领域内存在合规风险，如同样在税收征管领域存在合规风险，那些存在风险的机制、环节、流程、岗位等也往往是各不相同的。一种科学有效的合规风险评估活动，应当首先对这些存在风险的机制、环节、流程、岗位等进行准确全面的识别，然后才谈得上对这些风险进行有效管控。这就如同医生的诊疗活动一样，合规风险识别就相当于医生对病情的诊断活动，在找到发生病情的身体部位之后，才能进行进一步的诊断和治疗活动。

从企业合规风险评估的实践来看，合规风险识别意味着对具体合规风险的发现和确认，也就是要找到存在特定合规风险的机制、环节、流程和岗位。本文以商业贿赂风险的识别为例，对此作出简要的描述。很多企业所发生的商业贿赂行为，通常与企业的诸多管理机制存在密不可分的关系。一位多年从事企业首席合规官工作的专业人员曾介绍过这类风险识别工作，“一旦合规范围确定了，在开始风险识别的过程中，我们需要识别这个范围内有哪些风险，这些风险会涉及的业务、部门和人员。例如，我们确定风险的范围是违反美国《反海外腐败法》的行为，在风险识别的过程中，我们会列出与之相关的风险：利用第三方行贿，设立账外资金；过度地宴请公务人员，以开会的名义请公务人员去景区度假，等等”。

由此可见，企业的商业贿赂行为可以发生在决策、管理、业务等各个环节。例如，企业法定代表人或实际控制人设立账外资金，开设“小金库”，为实施行贿提供了便利；企业公私不分，公款私用，或者高级管理人员利用私人账户实施不法行为；企业财务人员随意接受发票报销充账；企业的供应商、代理商、分销商或居间商以企业名义贿赂公务人员；企业的销售人员以行贿作为销售产品的手段，等等。

这种针对商业贿赂风险的识别，也可以适用于其他合规风险领域。通过合规风险识别，企业可以找到存在违法违规可能性的“合规风险点”。这些“合规风险点”可以表现为具体的“风险机制”“风险环节”“风险流程”“风险岗位”“风险人员”，企业据此可以形成专门的“合规风险清单”。例如，企业的董事会、监事会、执行团队、实际控制人实施违规行为，这种发生在决策过程中的合规风险点，就属于“合规风险机制”。又如，企业在发票管理、合同管理、财务报销、宴请、礼品、捐赠等管理环节存在纵容违法违规行为的情况，这些合规风险点就属于“合规风险环节”。再如，企业在招投标、进出口、采购、销售、污染物处置等业务流程上存在违法违规行为，这些合规风险点就属于“合规风险流程”。还有，那些在企业特定岗位从事决策、管理和经营的人员，如法定代表人、实际控制人、高管、财务人员、生产人员、销售人员、招投标负责人员、污染物处置人员、分支机构负责人等，由于存在不同程度的合规风险，就可能属于处于“合规风险岗位”的“合规风险人员”。

那么，究竟如何准确全面地识别企业的合规风险点呢？在这方面，很多企业都有一些较为成熟的经验，但也存在一些原则性的分歧。其中，争议的核心问题主要有两个方面：一是在合规整改与自主性合规中，合规风险识别究竟有何区别？二是合规风险识别与合规义务梳理具有何种关系？要解决这两个问题，需要区分合规整改与自主性合规这两个场景，根据企业合规实践经验，提出可行的合规风险识别思路。

（一）合规整改

合规整改是企业在相关部门的监督考察下所开展的事后合规建设工作。与自主性合规相比，这种合规整改具有两个突出的特征：一是企业的合规风险已经显现，合规风险领域已经非常明确，专项合规计划的建设目标已经确定；二是企业在合规监管人的监督下开展合规整改工作，合规整改的有效性要接受行政部门、司法机关或国际金融机构的评估验收。在此情形下，企业的合规风险识别就要采取循序渐进的方式，也就是先识别已经发生违法违规行为的管理环节、业务流程、风险岗位和风险人员，再进一步识别可能发生违法违规行为的合规风险点。

在合规整改过程中，涉案企业通常会开展内部调查，向监督考察部门提交企业自查报告。该项报告需要对企业所发生的违法违规情况展开调查，查明发生违规行为的具体管理和业务环节，找出实施违法行为的主管人员和其他责任人员。例如，在发生虚开增值税发票案件中，涉案企业可能存在多方面的“合规风险点”，例如实际控制人独断专行，存在“票货分离”的经营模式，没有入库单和出库单，发票随意开具，合同虚构交易情况，居间商以高额回扣引诱，等等。在很多情况下，行政部门或侦查机关在执法调查或刑事侦查中，都会对案件事实作出一定的调查，查明涉案企业的基本行政违法事实或犯罪事实。这种记录行政执法或刑事侦查活动的案卷，也会对涉案企业已经存在的合规风险点作出一定程度的揭示。

当然，涉案企业的合规整改，不仅要预防相同违法违规行为的再次发生，还要避免再次发生相似的违法违规行为。以虚开增值税发票案件为例，企业不仅要防范该犯罪行为再次发生，还要预防与其相关的危害社会管理的类似违法犯罪行为再次发生。据此，企业不仅要发现已经存在的合规风险点，还要识别出那些具有现实性、紧迫性并可能带来重大损失的合规风险。要识别出这种合规风险，就需要运用科学的风险识别方法，从两个角度开展风险识别工作：一是根据相关法律法规的要求，列出本领域内主要的风险类型，如企业除存在虚开发票风险以外，还可能有偷税、抗税、逃避追缴欠税、骗取出口退税等违法违规的可能性。二是针对上述合规风险类型，企业应进行有针对性的合规风险识别，找出存在现实违规可能性的决策流程、管理环节、业务模式、管理岗位、风险人员。这种针对其他合规风险的识别，可以采取与自主性合规场景下大致相同的合规风险识别方法。

（二）自主性合规

依照合规实务人员的经验，在没有发生违法违规事件的情况下，合规风险识别可以通过“合规风险识别数据库”的建立来展开，而建立这一数据库的前提则是“建立合规义务库”，明确风险识别的合规义务来源。这是因为，企业合规风险与合规义务具有“一体两面”的特征，违反合规义务即形成合规风险，识别合规风险的前提应是明确合规义务。在明确合规义务方面，企业不仅要梳理那些现行的必须遵守和自愿遵守的法律法规和其他规范，还要跟踪这些法律法规和其他规范的出台和变化，保持法律风险义务来源的持续更新，确保企业持续合规。

相对于那种动辄强调“合规义务是合规管理的前提和基础”的观点来看，上述观点显得更为切合企业合规管理的实际情况。毕竟，这种观点也认同合规风险识别建立在合规风险领域界定的基础上，而确定了具体的合规风险领域，再进行合规风险识别，就具有更强的针对性和可操作性了。但需要注意的是，即便在某一较为具体的合规风险领域内，合规义务梳理也是一项十分繁重的工作。以反腐败合规领域为例，无论是国家通过的法律、法规、部门规章，还是企业自行发布的管理规范，以及相关的国际公约、行业惯例和伦理道德规范，有关反腐败的行为准则可以涵盖几十个业务环节，数量可能多达数百个条文之多。企业将这些种类繁多、数量惊人的“反腐败规范”逐一梳理出来，并将其纳入“合规义务库”之中，这当然有助于企业对照上述规范的要求，结合企业的业务和管理流程，来全面地识别“合规风险点”。但是，这种对照合规义务来识别合规风险的做法，可能会带来诸多问题，其中最为突出的是可能识别出大量“抽象的合规风险点”，也就是那些存在潜在的、概括的和轻微的违法违规可能性的风险点，而无法发现那些“具象的合规风险点”，亦即那种存在现实的、紧迫的和重大的违法违规可能性的风险点。

为确保识别出那些具象的合规风险点，企业在对某一领域的合规义务作出梳理之后，应当对合规义务作出必要的分类：将那些不遵守即可能带来严重不利后果的强制性义务，作为合规风险识别的重中之重；将那些即便不遵守也只会带来轻微后果的强制性合规义务，作为合规风险识别的次要义务。至于那些企业即便不能遵守也不会带来任何制裁或处罚后果的自愿性合规义务，企业通常不必作为合规风险识别的根据。

根据诸多企业开展合规管理的实践经验，合规风险识别通常可以采用以下基本方法：一是调研访谈法，也就是通过对各部门负责人和关键岗位员工的个别访谈，来发现合规风险点的方法；二是问卷调查法，通过向高管、员工、分支机构人员、客户、第三方合作伙伴等发放问卷，根据所填写问卷的内容来梳理合规风险点；三是案例梳理法，也就是通过收集本企业历史上发生过的违法违规案例来找到合规风险点的方法，包括分析本企业可能面临的诉讼、行政处罚等风险及其产生原因，整理出法律风险事件与具体行为；四是飞行检查法，也就是在药品、食品、医疗器械等监管领域，由监管部门或上级母公司实施的随机性抽查方法，据此发现企业的决策管理环节、业务流程、关键岗位、重点人员是否存在违法违规的可能性。

四

合规风险分析

在准确识别出合规风险之后，企业的合规风险评估就进入“合规风险分析”阶段。所谓合规风险分析，是指企业对识别出来的合规风险进行因果关系分析，找到合规风险的主要成因，并对各种成因所造成的危害后果进行科学的分析。在这方面，很多开展过合规整改的涉案企业都已经具有了较为成熟的经验。开展自主性合规的企业，可进行适当的借鉴和参考。

（一）合规整改

原则上，企业因为违法违规行为而接受行政执法调查、刑事追诉或者国际金融机构的执法行动之后，为避免遭受重大损失，往往会努力与后者达成以合规整改换取宽大处理的和解协议。这种协议达成后，涉案企业通常需要开展合规内部调查，提交相应的自查报告，揭示违法违规行为发生的“内生性结构原因”。与企业发生违法行为的外部诱因不同，这种“内生性结构原因”，一般是指企业在决策、经营、财务、业务等各种管理流程上存在结构性的缺陷，并直接或者间接地造成各种合规风险的发生。考虑到涉案企业的合规整改工作，通常是在行政监管部门、司法机关或国际金融机构的监督考察下展开的，因此，这些企业唯有准确全面地诊断出合规风险的结构性成因，据此进行有针对性的合规纠错和体系化的合规构建，才能通过上述机构或部门的合规评估验收。

涉案企业在合规整改中所进行的合规内部调查工作，其实就是一种典型的“合规风险分析”工作。通过这种内部调查工作，企业通常可以从多个方面找到违法违规行为发生的内生性结构原因。根据我国检察机关开展合规整改的基本经验，这种内生性结构原因一般有四个方面：一是涉案企业在治理结构上存在严重缺陷，如股东会、董事会、监事会、执行团队在权力配置上出现问题，造成企业领导、监督和制约机制的失灵，导致出现违法违规情况；二是企业在管理制度上出现重大漏洞，如在人事、薪酬、财务、审计、合规管理等环节存在重大问题，导致重大业务或产品立项得不到及时的合规性审查，违规业务得不到及时的识别和否决，违规人员得不到及时的惩戒；三是企业在业务流程上出现重大隐患，如在生产、销售、进出口、招投标、污染物处置、发票、合同、发展客户、第三方商业伙伴的招录等流程上出现严重制度性缺陷，造成决策层、执行团队、分支机构、员工等违法违规行为的发生；四是企业的商业模式或运营方式出现“违法违规要素”，甚至包含着特定的“犯罪基因”，导致出现结构性的违法违规行为，如采取“票货分离”的发票管理模式，在招投标方面长期依赖商业伙伴的“围标”或“陪标”模式，在开采或采购矿产资源方面依赖于“无证开采”或“越界开采”等方式，在获取数据信息方面依赖于“网络爬虫”等非法获取手段，在进出口业务的开展中依赖于虚报进出口货物数量的代理商，等等。

在涉案企业的合规整改过程中，行政部门、司法机关或国际金融机构通常会责令企业承担各种带有惩罚性的义务，对其合规整改施加强大的压力，企业唯有进行实质性的整改，才能通过合规考察，获得较为宽大的处理。正因为如此，涉案企业往往能够通过全面的内部调查，揭示出自身违规行为的结构性成因，这有助于企业合规风险分析工作的有效展开。

（二）自主性合规

在企业开展自主性合规的场景下，在没有行政部门、司法机关或国际金融机构外部监督考察的情况下，企业究竟应如何开展合规风险分析工作呢？

按照主流的合规管理理论，企业需要区分“合规风险源”与“合规风险情形”，后者相当于本文前述的“合规风险点”，前者则属于“潜在引起风险发生的单个或多个叠加的因素”。进行合规风险评估，除了要准确识别企业存在合规风险的管理环节和业务流程之外，还要深入探索容易促成这些风险发生的风险源头或制约因素，并制作合规风险源清单。按照一些合规管理专业人士的经验，根据众多企业所发生的违规案例的数据分析，可以总结出一种“合规风险源识别法”，也就是围绕着企业岗位职责内容，按照岗位关键权力，识别出企业内部各岗位人员所掌握的权力和权力情况，并将其作为企业的合规风险源。具体而言，各类企业在生产经营中凡是需要行使审批权、市场客服与销售权、人事权、采购权、放行权、计量权、财务资金权和拥有关键信息权等权力的场合，都属于企业的合规风险源。当然，某一部门或人员行使这些权力本身，只是造成合规风险发生的条件之一。这些部门或人员在行使这些权力过程中，只要存在不良的动机，再加上出现适当时机，就有可能导致不合规行为的发生。也即“权力+不良动机+业务机会=不合规行为的发生”。

这种“合规风险源识别理论”的提出，不仅提供了一种合规风险识别的方法，而且对于揭示合规风险的成因具有较大的参考价值。与合规整改相比，企业在自主性合规场景下开展合规风险分析活动，具有一定的局限性，也就是很难根据违法违规行为的形态和类型，来探究企业发生违规事件的“内生性结构原因”。既然违法违规事件并没有发生，那又何来因果关系追溯呢？合规理论研究者在识别具体合规风险点后，提出了上述“合规风险源识别法”，试图从企业内部权力行使和分布的角度，揭示合规风险发生的根源，从而找到企业发生合规风险的结构性原因。这显然是一种有益的理论探索。

但是，仅仅将企业内部重要权力的行使和分布情况作为“合规风险的源头”，这可能只是找到了合规风险的潜在制约因素，而并没有准确揭示出合规风险发生的结构性原因。根据企业合规整改的经验，企业之所以出现违法违规的现实可能性，除了企业内部权力配置存在重大缺陷的原因以外，还可能与管理制度存在重大漏洞、业务流程具有严重隐患、商业模式具有“违法因素”或“犯罪基因”等具有程度不同的关系。例如，企业之所以在反商业贿赂方面存在合规风险，可能是因为采购管理流程中存在制度漏洞，如企业没有建立良好的供应商认证流程，包括没有建立针对供应商的尽职调查、风险评估、信用名单、合规培训以及退出名录等方面的管理机制。又如，企业之所以在税收管理方面存在合规风险，可能在于企业没有建立“票货合一”的经营管理模式，包括没有建立票货合一的出库单和入库单制度，没有建立针对供应商的资格审查机制，没有建立针对交易、发票、合同等环节的合规性审查机制，更没有建立与发票管理密切相关的合规举报、合规投诉、一票否决、合规稽查、合规惩戒等机制。

由此，那些开展自主性合规的企业，要建立有效的合规管理体系，在探索所谓的“合规风险源识别”过程中，还可以借鉴涉案企业合规整改的经验，通过开展合规内部调查，从治理结构、管理制度、业务流程、商业模式等不同方面，找到发生合规风险的结构性原因。唯有发现这些结构性原因，企业才能进行有针对性的合规制度纠错，消除上述导致违法违规事件发生的制度因素，从根本上消除违法违规事件在同一领域中再次发生的可能性。这是走向有效合规管理的必由之路。

五

合规风险评价

针对某一领域的合规风险，企业在开展风险识别和合规风险分析之后，需要对这些合规风险作出定性或定量的评价。所谓“合规风险评价”，是合规风险评估的最后步骤，是指企业根据风险识别和风险分析的结果，从合规风险发生的可能性以及合规风险出现不良后果的概率等方面所作的综合评判。通常在经过风险识别和风险分析活动后，企业会发现即使在同一领域中也会同时存在若干不同的合规风险。例如，在反商业贿赂领域，企业可能会在决策、人事、财务、采购、销售、宴请、礼品、旅行、捐赠等多个环节存在合规风险，甚至存在“关键风险点”。那么，究竟如何对不同的合规风险作出定性或定量的评价呢？这就是合规风险评价机制所要完成的工作。

在实践中，合规风险评价通常是运用比较方法来完成的。具体而言，企业应对多种合规风险进行整合比对，既可以运用定性分析的方法，找出“关键合规风险点”，采取优先管控措施，也可以为不同风险设定不同的数量化分值，划分出不同合规风险的等级，并由此确定合规风险管控的优先顺序。

首先来看定性方法的运用。经过合规风险识别，找到“关键合规风险点”，是一些企业经过多年合规管理实践所提炼出来的有益经验。中兴公司将这种关键合规风险点称为“关键控制点”（KCP）。根据该企业的合规管理经验，在识别和分析具象性合规风险之后，企业需要确定业务流程中的关键控制点。这种关键控制点是指“一个能够预防和消除风险的影响或将其减少到可接受水平的控制措施”，如检查、验证、评审、审核、复核、决策、考核、预算、预警、分析、授权、盘点、不相容职务分离等措施。通常情况下，企业可以通过四个步骤来判断某一风险控制点是否为关键控制点：一是该步骤是否有风险控制措施？二是该步骤是否有专门用于消除风险因素或能够将风险因素降低至可接受风险水平的管控措施？三是判断风险因素的影响是否超出可接受水平？四是判断后续步骤是否可以消除或降低风险发生的影响？通过建立一个判断控制点属性的模型，企业可以判定风险控制点的类型，结合风险评估结果和业务类型来设定“关键控制点”，有效分配合规管理资源，增强风险管控能力。

在识别每个“关键控制点”的基础上，企业需要根据风险的具体内容，制定相应的管控方法。例如，在出口管制合规管理中，具象性合规风险通常涉及主体、国家、物项和最终用途等四个要素，企业需要针对某一具体风险点，来设置相应的KCP管控要求，如“进行受限制主体扫描”“进行尽职调查”“进行受制裁国家或地区筛查”“确认出口授权”，等等。与此同时，企业还要将合规关键控制点的管控要求有效落地。无论是管控方式还是合规工具，都要结合企业业务管理的情况，结合资源状况和管理成本，制定合理有效的合规管控落地方案，最终将合规管控要求嵌入业务，达到合规融入业务流程的效果。

在上述定性方法之外，企业还可以运用数量化的合规风险分析方法。通常，企业合规风险可以从两个维度进行量化评价：一是确定合规风险发生的“概率”，即如果不采取任何合规管理措施，企业发生这种违法违规的情况具有多大程度的可能性？二是不合规可能带来的“影响”，也就是假如发生了上述违法违规行为，企业可能会受到哪些直接或间接的影响，会遭受哪些方面的损失？

企业通过对上述两个维度的评价，就可以作出适当的量化分析：一是根据合规风险发生的概率，将其区分为100%、75%、50%、25%和0%的风险概率；二是根据合规风险对企业业务目标可能造成的影响后果，将不同合规风险设定为“灾难性风险”“非常严重的风险”“严重风险”“重要风险”“轻微风险”。

还有企业按照10分制对合规风险发生的概率做出评分，并将不合规事件所造成的影响换算为特定的经济值或者相关区间。通常，企业通过将合规风险发生的概率与不合规的影响值加以相乘，就可以据此计算出每个已识别合规风险的风险等级。经过对上述岗位、人员、活动和管理方式的风险情况作出评价，企业可以确定最终的合规风险等级。通常情况下，那些发生概率较高、造成的危害后果也较严重的合规风险，可以被列为“高合规风险”。那些发生概率为中等偏上、造成的危害后果也不是最高的合规风险，应被归入“中合规风险”。而那些发生概率较低、造成的危害后果也居于较低百分比的合规风险，则被列为“低合规风险”。

通过上述合规风险等级的量化分析，企业一方面可以对不同合规风险的管控设定有数据支持的优先顺序，另一方面也可以根据不同等级的合规风险投入与之相适应的合规管理资源。原则上，企业应对一切不合规行为采取零容忍的态度，并将其纳入合规风险管控的对象，即便对那些处于较低等级的合规风险，也应采取预防、监控和应对措施。但是，为了对那些发生概率较高、造成危害后果较大的合规风险作出有效的管控，避免企业遭受灾难性的损失，企业应将主要精力和资源优先投入到对高合规风险的管控上面，并最终扩展到全部合规风险的管理。

六

合规风险评估的可持续性

在界定合规风险领域的基础上，企业完成了上述合规风险评估活动，是否就可以一劳永逸了呢？答案是否定的。考虑到合规风险处于不断的发展变化之中，企业对合规风险的评估也应保持适当的连续性，以便对合规风险的变化情况加以识别，对发生这些变化的原因予以揭示，并对合规风险重新作出等级划分，调整合规风险控制的优先顺序。

在企业合规管理实践中，合规风险的变化一般体现在两个方面：一是外部监管环境的改变；二是内部经营活动的变化。

首先，企业的外部监管环境处于不断的变化之中，可能带来企业风险的改变。这种环境变化主要包括以下几个情况（类型）：一是新的法律法规的实施，给企业合规管理提出诸多新的合规义务；二是原有法律法规的修订，使企业违规行为面临受到更严厉处罚的可能性；三是国际贸易、金融、经营环境的变化，使企业在参与海外经营方面面临更为严格的监管要求，增加了受到贸易制裁的风险；四是政府部门对特定行业、业务或经营活动加大监管要求，增加了执法调查的频次，加大了执法力度，使企业面临着受到严厉行政处罚的可能性，等等。

其次，企业自身治理结构、业务、产品、客户、商业活动的变化，也会带来诸多新的合规风险。这种变化可以表现在以下几个方面：一是企业开展了一种新的业务，或者对某一新产品进行了立项，或者在某一地方或某一海外地区设置了分支机构，使企业出现新的合规风险点；二是企业治理结构、组织架构或发展战略发生重大改变，如公司成功上市、组建了董事会、聘任了新的管理团队等，可能使企业在决策领域出现新的风险源；三是企业发展出新的客户，签约了新的供应商、代理商、经销商、居间商等第三方商业伙伴，或者从事重大并购活动，这给企业带来新的合规风险；四是企业出现了一些违法违规行为，或者接受了行政部门的执法调查，司法机关的刑事追诉，或者国际金融机构的执法行动，暴露出自身在合规风险管控方面的重大漏洞和缺陷，等等。

正是因为企业在外部监管环境和内部经营活动方面有可能出现上述各种新的合规风险，因此，要实现有效的合规管理，就需要对合规风险进行持续不断的评估活动。在合规管理实践中，这种持续性风险评估可分为两种方式：一是定期的风险评估；二是临时的风险评估。

定期的风险评估是企业在没有发生重大违法违规事件的情况下所开展的日常性合规管理活动。为预防违法违规事件的发生，企业需要建立一种有效的“合规风险防范流程”，其中，定期的合规风险评估就属于这种防范流程的首要环节。在这种定期风险评估活动中，企业应贯彻最高层承诺的原则，由最高管理层领导、推动、监督和实施这种风险评估；企业应贯彻相称性原则，根据定期合规报告、合规举报、合规审计、合规稽查、合规惩戒等所发现的合规风险，开展有针对性的风险评估工作；企业应对即将签约的客户、第三方合作伙伴、被并购企业开展尽职调查，对其给本企业带来的合规风险进行预测和分析。为防止这种定期风险评估变成一种“例行公事”的流程，甚至“流于形式”，企业需要采取内部合规管理人员与外部合规专家相结合的方式，针对一段时间以来暴露出的合规管理漏洞、缺陷和隐患，就若干较为具体的“合规风险点”，作出准确的识别、分析和评价。不仅如此，在定期的评估过程中，企业假如发现合规风险出现了“跨领域的变化”，如从原有的“反商业贿赂领域”，发展到“反洗钱领域”“网络数据安全领域”或者其他领域，也应考虑对合规风险领域进行重新界定，并考虑是否确立新的专项合规管理计划。一旦发生上述合规风险领域的变化，那么，企业的合规风险评估也应根据该项领域的合规风险变化情况作出新的调整。

所谓临时的风险评估，是指企业在经营过程中发生了临时性的重大事件或变故，为更新和改进合规管理所开展的回应性合规风险评估活动。根据相关国际合规文件的要求，企业在发生紧急情况时应启动这种重新评估程序。例如，企业业务活动发生更新；组织架构或战略发生改变；经济环境、市场状况、负债或客户关系发生重大外部变化；合规义务发生改变；发生并购；企业出现不合规行为，等等。

这种概括尽管不一定适用于所有企业，也不一定适用于同一企业的所有经营场景，却可以为企业开展临时性风险评估提供一种可行的思路。企业发生的紧急事件一般分为两种类型：一是外部合规事件，二是内部合规事件。前者主要是指企业的外部监管环境发生了变化，后者则是指企业的内部经营活动出现了改变。只不过，这种变化和改变来得比较突然，企业来不及通过定期风险评估来加强合规管理。其中，对企业影响最大的突发性事件，应当是企业发生了危机事件，也就是行政部门针对本企业启动了执法调查，司法机关启动了刑事追诉程序或是国际金融机构开始了执法行动。这种突发性事件一旦发生，企业既不应采取被动应对的态度，也不应实施任何违规应对的行为，而应建立并实施一种“危机应对计划”，将临时性风险评估作为危机应对的具体举措。根据有效合规管理的基本要求，企业不仅应建立并运行针对合规风险的防范流程和监控流程，还应针对违法违规事件确立有效的“应对机制”。针对违法违规事件的临时性风险评估，就是这种应对机制的一部分。在此情况下，临时性的合规风险评估，就可以将作为应对机制的“合规内部调查”“反舞弊调查”纳入其中了。

经验表明，任何企业即便建立了较为完善的合规机制，都难以彻底避免发生违法违规行为的风险。有效的合规计划要求企业针对企业的经营情况和所面临的外部环境，进行定期的和临时的合规风险评估，以便对原有的合规政策和程序作出及时的完善和改进。合规风险评估的根本目的，还在于通过持续不断地识别、分析和评价合规风险，适时更新企业的专项合规政策、标准和流程，使其在管控合规风险方面具有更大的针对性和有效性，从而保证合规管理体系与时俱进，在防范合规风险、监控合规管理和应对违规事件等方面发挥可持续的效力。

七

以合规风险评估为基础的合规管理

合规风险评估是企业开展合规管理的一项基础性工作。在企业合规理论和实践中，企业的合规管理甚至直接被称为“合规风险管理”或“合规风险管控”。根据以风险为导向的基本理念，按照所界定、识别和评定出来的合规风险，企业可以设定合规管理的基本目标，贯彻成比例或相称性的原则，建立或完善合规管理体系，并对合规管理的有效性作出科学的评价。据此，可对合规风险评估与合规管理的关系作简要总结。

其一，作为合规风险评估前提的风险领域界定，可以为专项合规计划的确立奠定基础。原则上，企业一旦发现了存在合规风险的法律领域，就应针对这一领域建立相对应的专项合规计划。所谓专项合规计划，是指企业针对特定合规风险领域所建立的专门性合规管理体系。经过风险领域界定活动，企业如果确认在反商业贿赂、数据保护、反洗钱、知识产权保护、税收、进出口或者安全生产领域存在重大合规风险，就可以考虑据此建立相应的反商业贿赂合规计划、数据保护合规计划、反洗钱合规计划、知识产权保护合规计划、税收合规计划、进出口合规计划或者安全生产合规计划。不过，考虑到企业所能投入的合规管理资源的有限性，也基于有效管控合规风险的考虑，企业对专项合规计划的确定，一般都应遵循缓步推进的原则，先将可能带来重大损失的合规风险领域作为合规管理的优选选择，然后再根据合规风险评估的结果，逐步扩大专项合规管理的范围。

其二，根据合规风险评估结果，企业可以为其合规管理设定较为合理的目标。为避免设立不切实际的“全面依法依规经营”的目标，企业应根据所识别的合规风险点以及所评定的合规风险等级，将“有效控制某一领域内的合规风险”作为合规管理的目标。为实现这种有效控制合规风险的目标，企业应设立三个与此密切相关的子目标：一是合规风险的事先防范，也就是有效预防同一领域违法违规事件的发生；二是对企业决策、经营、管理活动的实时监控，发挥事中“雷达预警”的作用；三是对企业违规行为的事后应对，也就是针对企业合规管理漏洞发挥有针对性的制度补救作用。

其三，针对合规风险评估结果，企业可以贯彻相称性原则，根据所识别的风险点和所评定的合规等级，来确定合规风险管控的优先顺序，确定所要投入的合规管理资源，确定合规领导和组织机构，确定合规管理的制度体系。例如，如果经过风险评估，企业发现自身治理结构的缺陷和财务管理流程的漏洞在各种合规风险中居于较高的风险级别，就可以考虑将完善治理结构和改进财务管理作为合规管理的优先事项，加强董事会的监督制约作用，弱化法定代表人、实际控制人或其他高管的财务审批权限，强化企业法人人格的独立性，废止“设立账外资金”或“小金库”的做法，加强对公司账目的内部和外部审计，激活针对财务管理的合规性审查机制，等等。

其四，根据合规风险评估结果，企业应确立合规管理的两个步骤，也就是有针对性的制度纠错和体系化的制度构建。企业无效合规的表现之一，就是不考虑合规风险的具体情况，热衷于合规计划的搭建和规章制度的发布。为避免这种“纸面合规”和形式化合规的情况发生，企业应围绕着合规风险评估结果，采取有针对性的合规管控措施：一是针对合规风险分析的结果，采取必要措施，将那些造成合规风险发生的结构性原因逐一加以消除，如消除治理结构的缺陷，堵塞合规管理的漏洞，消除业务流程的隐患，实现经营方式和商业模式的“去违法化”或“去犯罪化”。二是针对合规风险评定的结果，搭建与合规风险相适应的专项合规管理体系，引入包括事先防范、事中监控和事后应对在内的合规风险控制体系，确保企业在建立基础性合规管理平台的基础上，搭建必要的专门性合规管理要素。

其五，企业应针对企业合规风险评估结果，开展合规计划有效性的评价活动，围绕着合规计划制定的有效性、合规计划执行的有效性以及合规计划结果的有效性，来展开合规管理有效性的评估。所谓“合规计划制定的有效性”，是指企业针对其所识别、分析和评定的合规风险，制定有针对性的制度纠错方案，承诺建立体系化的管理制度。所谓“合规计划执行的有效性”，是指企业所承诺的制度纠错和体系搭建，都得到了落实和运行，包括合规风险管控措施被嵌入企业的决策、经营、业务、管理等各个工作流程之中；企业原来发生合规风险的业务活动，得到了及时的合规性审查；企业发生违法违规行为的业务或经营活动，被及时否决或终止；那些实施违法违规行为的员工、管理人员、分支机构人员、第三方合作伙伴等，受到了及时的纪律惩戒。所谓“合规计划结果的有效性”，则是指企业原来存在的合规风险得到了有效管理和控制，实现了事先预防、事中监控和事后补救的合规管理目标。

结语

合规管理是一种以风险为导向的管理活动。为开展有效的合规管理，需要建立一种科学的合规风险评估机制。合规风险评估应建立在合规风险领域界定的前提之下，确保企业首先发现合规风险所发生的法律适用领域，由此限定合规风险评估的基本范围。在此基础上，合规风险评估可以包括合规风险识别、分析和评价等三个基本环节，企业在这些环节上完成合规风险点的确认、合规风险原因的揭示以及合规风险等级的划定等工作，并科学地确定合规风险管理的优先顺序。企业运用合规风险评估的结果，可以贯彻成比例原则，建立一套基于合规风险的风险预防、监控和应对体系，达到有效控制合规风险、防范违法违规行为发生的合规管理目标。

合规风险评估是一项实践性很强的管理活动。企业在这管理过程中创造了诸多有价值的风险管控经验。未来，企业合规理论研究者可以分析这些管理经验，对其进行“去粗取精”“去伪存真”的工作，将其中具有规律性的经验进行理论上的提炼和总结，从而提出具有生命力的合规管理理论。无论如何，企业风险与决策风险、经营风险和财务风险一样，都属于企业不得不投入充足资源加以管控的战略风险。而合规管理也属于企业内部的三大战略风险控制活动之一，为开展有效的合规管理，企业需要从涉案企业合规整改中总结合规风险评估的经验，并将其适用到企业自主性合规管理之中，以提高合规风险评估的科学性和准确性。

-向上滑动，查看完整目录-

《法学论坛》2024年第4期目录

【特别策划·深化涉案企业合规改革】

1.企业合规风险评估的基本问题

陈瑞华（5）

2.涉案企业合规考察期限制度研究

周新（18）

3.法院参与企业合规改革的基本定位

褚福民（31）

4.合规不起诉的公共利益衡量理论

毛逸潇（43）

【学术视点】

5.中华优秀传统道德对中国式法治现代化建设的制度性贡献

张震（56）

6.以法学思维建设和发展党的纪律学

肖金明（67）

【热点聚焦】

7.数字经济下算法共谋风险及反垄断法规制进路

陈兵（80）

8.数据访问限制行为的反垄断法规制

李晓珊（91）

9.论作为法律关系的数据持有

衣俊霖（102）

【法治前沿】

10.自然资源资产产权制度建构的逻辑主线研究

黄锡生、高颖文（115）

11.整体生态观下环境法学对传统法学方法的承袭与突破

唐瑭（126）

12.股权让与担保的商事思维考量与回归

汤璐（136）

13.公私法融合视角下强制性环境标准之环境侵权效力重构

刘卫先、杜雅馨（147）

《法学论坛》由山东省法学会主管主办，以“繁荣法学研究，推进依法治国”为宗旨，遵循“传播新思想、探讨新问题、交流新成果、宣传新法律、介绍新知识”的办刊思路，立足法学研究前沿，坚持法学基础理论研究与法学应用理论研究相合，刊登法学研究的最新成果，积极为推进依法治国，建设社会主义法治国家提供理论支持和智力服务。《法学论坛》是CSSCl来源期刊、中文核心期刊、中国人文社会科学核心期刊、山东省优秀期刊、华东地区优秀期刊。

法宝新AI·智能写作

无论是工作汇报，产品介绍，还是法律研究报告、市场宣传文案，法宝智能写作系统都能为您提供高质量写作支持，满足法律工作者日常学习工作中各类领域的写作需求，提供源源不断的创意与灵感，全面助力您的文案写作。您可以在平台上选择不同的写作模型，输入关键词和要点，即可自动生成文档大纲与内容。平台内嵌法宝V6数据库，让您的内容创作有据可依。与此同时，智能写作平台还支持实时对生成文档进行修改和优化，确保文章撰写的准确性。

—— 系统亮点 ——

“一键生成文章大纲”——输入关键词和内容要求，即可自动生成文章大纲，为您提供创作起点和清晰明了的写作思路。

“智能生成文章内容”——GPT模型结合法宝数据库快速生成逻辑自洽、内容丰富的文章。

“法宝V6数据库支持”——查阅生成结果的相关法律法规、学术期刊等信息。可准确理解法律术语，帮助生成符合要求的法律文件；能够自动匹配对应法律法规，实现法理逻辑处理自动化，增强文章权威性与可信度。法宝智能写作能及时跟踪法律法规的最新变化，避免使用已失效或废止的法律条文作为参考。

责任编辑 | 郭晴晴

审核人员 | 张文硕 毛琛昕

本文声明 | 本文章仅限学习交流使用，如遇侵权，我们会及时删除。本文章不代表北大法律信息网（北大法宝）和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。