“4組織環境—4.6合規風險評估”解讀和應用指導材料GB∕T35770-2022《合規管理體系要求及使用指南》之7：“4組織環境—4.6合規風險評估”解讀和應用指導材料GB∕T35770-2022GB∕T35770-2022《合規管理體系要求及使用指南》4.6合規風險評估組織應基于合規風險評估，識別、分析和評價其合規風險。組織應通過將其合規義務與活動、產品、服務以及運行的相關方面關聯，來識別合規風險。組織應評估與外包的和第三方的過程相關的合規風險。組織應定期評估合規風險，并在組織環境發生重大變化時進行評估。組織應保留有關合規風險評估和應對合規風險措施的成文信息。組織環境本條款的目的或意圖；組織能夠建立健全的風險管理機制，確保合規管理體系的有效運行，降低合規風險對組織運營的影響，保障組織的可持續發展。具體包括：全面識別合規風險：通過將合規義務與組織的活動、產品、服務及運行過程緊密關聯，系統地梳理和識別所有潛在的合規風險點，確保無遺漏；深入分析合規風險：對識別出的合規風險進行深入分析，明確其發生的原因、潛在后果及影響程度，為風險評估提供科學依據；科學評價合規風險：根據分析結果，對合規風險進行排序和分級，確定風險的重要性和優先級，為制定風險應對措施提供依據；動態監控與及時響應：建立定期評估機制，對合規風險進行持續監控，并在組織環境發生重大變化時及時進行再評估，確保風險管理的時效性和有效性。保留成文信息：保留有關合規風險評估和應對措施的成文信息，以便于后續審核、追溯及持續改進，同時為證明組織合規管理的有效性和成熟度提供依據。合規風險評估相關術語；風險：不確定性對目標的影響。核心概念：風險在合規管理體系中指的是不確定性對組織目標實現的影響。這里的“不確定性”是核心，它指的是那些尚未發生、但有可能發生并影響組織目標實現的因素或事件；影響性質：風險的影響可以是正面的（即帶來意外的好處或機會）也可以是負面的（即導致損失或不利影響）。在合規管理體系中，我們更關注負面影響的風險，因為它們可能導致組織面臨法律、經濟或聲譽等方面的損失；影響是對預期的偏離——正面的或負面的。風險的影響表現為對組織預期目標的偏離。這種偏離可以是好的（正面影響），也可以是壞的（負面影響）。在合規管理體系中，主要關注的是那些可能導致不利偏離的風險。不確定性的本質：不確定性是一種狀態，指對某個事件、事件的后果或可能性缺乏甚至部分缺乏相關信息、理解或知識；不確定性是風險的根源。它源于我們對未來事件、事件的后果或可能性的信息掌握不足。在合規管理體系中，這種不確定性可能源于法律法規的變化、市場環境的不穩定、組織內部管理的缺陷等多種因素。風險特性描述：風險通常通過潛在事件及其可能帶來的后果來描述。這些潛在事件可能是法律法規的變更、市場競爭的加劇、內部管理的失誤等；而后果則可能是經濟損失、法律處罰、聲譽損害等。了解這些潛在事件和后果，有助于我們更準確地識別和評估風險。風險表述方式：通常，風險以某個事件的后果（包括情況的變化）及其發生的可能性的組合來表述。例如，“由于未能及時更新環保設備，組織可能面臨環保處罰的風險，該風險發生的可能性為中等”。這種表述方式有助于我們更直觀地理解風險的大小和緊迫性，從而采取相應的應對措施。合規風險：因未遵守組織合規義務而發生不合規的可能性及其后果。因未遵守組織合規義務而發生不合規的可能性及其后果。定義核心：合規風險指由于組織未能履行其合規義務而可能導致的不合規事件發生的可能性和這些事件一旦發生所帶來的后果。這個定義強調了合規風險的雙重特性，即發生不合規的可能性和這種可能性一旦成為現實所產生的具體后果；合規義務的關聯：合規風險直接關聯到組織的合規義務。合規義務是組織必須遵守的法律法規、行業標準、內部規章制度等要求。當組織未能滿足這些要求時，就可能面臨合規風險；合規風險的關鍵要素；不合規的可能性：指在特定情境下，組織因未履行合規義務而發生不合規事件的風險概率。這種可能性可能受到多種因素的影響，包括但不限于組織的合規管理水平、外部監管環境的變化、業務活動的復雜性等；不合規后果的嚴重性：不合規事件一旦發生，可能會給組織帶來多方面的負面影響，包括但不限于法律處罰、經濟損失、聲譽損害、業務中斷以及其他負面影響等。這些后果的嚴重性取決于不合規事件的具體性質、影響范圍以及組織的應對措施等因素。表4.6-1：合規風險后果分類及說明后果種類描述法律與監管后果行政處罰包括罰款、沒收違法所得，吊銷執照或許可證、業務限制等刑事責任可能面臨刑事起訴、監禁或罰金監管措施監管機構可能采取警告、禁止令、業務整改要求等措施財務與經濟后果財務損失直接經濟損失，如罰款、賠償、合同違約等信譽損害聲譽受損，影響客戶關系和市場地位市場份額下降由于信譽受損或監管限制導致市場份額減少運營與管理后果業務中斷不合規行為可能導致業務暫停或中斷管理層變動高層管理人員可能被解聘或更迭內部審查加強需要加強內部合規審查和監控社會與環境后果社會責任缺失違反社會責任原則，對社會造成負面影響環境破壞可能涉及環境法規的違反，導致環境破壞公眾信任喪失公眾對組織或行業的信任度下降其他潛在后果投資者信心下降對于上市公司而言，可能導致投資者信心受損，股價下跌合作伙伴關系受損影響與供方、客戶或其他合作伙伴的關系國際形象受損對于跨國組織而言，可能影響其在國際市場上的形象和地位合規風險包括合規風險源、風險事件、合規目標、合規風險影響四個要素。合規風險源：可能引發合規風險的各種因素或來源；風險事件：導致合規風險實際發生的具體事件或行為；合規目標：為降低合規風險而設定的目標；合規風險后果（影響）：指合規風險實際發生后對組織產生的影響或后果。合規風險包括固有合規風險和剩余合規風險。固有風險：固有風險是組織在沒有任何風險管理干預前的初始風險狀態，即組織在未實施任何合規風險控制措施時，可能面臨的合規風險水平。剩余風險：剩余風險是在組織已經實施了一系列合規風險控制措施后，仍然未能完全消除或降低到可接受水平的合規風險；固有合規風險和剩余合規風險主要區別在于組織是否已經采取了相應的合規風險處理措施。固有合規風險是風險管理的起點，而剩余合規風險則是風險管理效果的衡量標準之一。法律風險：由法律、法規以及合同事項導致的風險。法律風險是因法律、法規的規定以及合同中的約定所產生的潛在不利后果或責任的風險。這種風險源于組織在經營管理、交易、決策等活動中未能充分理解、遵守或妥善應對相關法律、法規以及合同事項的要求；法律風險通常包括法律環境變化風險、違規風險、違約風險、侵權風險、怠于行使權利風險、行為不當風險；合同風險：合同是雙方或多方之間達成的具有法律約束力的協議。如果合同中的條款未能得到妥善履行，或者合同內容存在模糊、不明確的地方，就可能會引發合同糾紛，導致一方或多方承擔違約責任或經濟損失。法律風險的不確定性：由于法律環境的不斷變化以及法律解釋的不確定性，組織在面臨法律問題時可能難以準確預測結果。這種不確定性增加了法律風險的復雜性和管理的難度。表4.6-2：合規風險與法律風險之間區別說明表合規風險法律風險關注點組織未遵守合規義務的可能性及后果由法律、法規及合同事項導致的潛在不利后果或責任來源法律法規的變化；內部控制的缺失；員工行為的不當；第三方合作伙伴的不合規未能充分理解、遵守或應對法律、法規及合同要求；合同履行不當或合同內容不明確后果法律責任、行政處罰、經濟或聲譽損失、其他負面影響法律責任、經濟損失、聲譽損害、合同糾紛；其他不利后果管理重點確保組織行為與既定規范一致；建立和維護有效的合規管理體系跟蹤和解讀法律法規；合同管理；識別和評估法律風險；制定法律風險應對策略不確定性較少涉及法律環境的變化和法律解釋的不確定性法律環境的變化和法律解釋的不確定性增加了風險管理的復雜性說明：合規風險與法律風險在范圍上有所重疊，但并非簡單的包含關系。合規風險更廣泛，涉及組織內外各方面，如法律法規、行業規范、內部控制和道德規范等，強調組織經營的合法性和正當性。而法律風險主要關注組織與外部法律的關系，如合同糾紛、知識產權等，范圍相對較窄。兩者有重疊部分，如因違規而受處罰，但各自也有獨立的風險，如聲譽損失主要屬于合規風險，合同糾紛則屬于法律風險。合規風險評估：合規風險評估是合規風險識別、合規風險分析和合規風險評價的全過程。定義核心：合規風險評估是一個系統性的過程，它包括合規風險識別、合規風險分析和合規風險評價三個主要階段。這一過程旨在通過系統性的方法，全面、準確地識別、分析和評價組織面臨的合規風險。風險識別：風險識別是合規風險評估的第一步，組織需要將合規義務與活動、產品、服務以及運行的相關方面緊密關聯，從而系統地梳理和識別潛在的合規風險點；風險分析：風險分析是在風險識別的基礎上，對識別出的合規風險進行深入剖析，明確風險的發生原因、潛在后果以及影響程度；風險評價：風險評價是對分析結果的進一步處理，通過對合規風險進行排序和分級，確定風險的重要性和優先級。合規風險評估的基本要求整個合規風險評估過程需要遵循系統性、全面性、動態性和參與性等原則，確保評估結果的準確性和有效性；組織應評估外包和第三方相關的合規風險；評估的必要性；外包服務和第三方合作過程中往往存在較高的合規風險，組織應特別關注這些方面的風險評估；評估外包和第三方相關的合規風險是組織合規管理體系的重要組成部分。通過評估，組織可以更好地了解其合作伙伴的合規狀況，識別潛在的合規問題，并采取相應的措施來降低風險；評估的范圍。評估應涵蓋所有與外包和第三方相關的合規風險，包括但不限于法律法規遵守情況、合同條款的合規性、商業道德和反腐敗要求等。評估還應關注外包和第三方服務過程中的關鍵環節，如數據保護、知識產權保護、反洗錢等，以確保這些環節的合規性；基于風險方法的合規管理并不意味著在合規風險較低的情況下組織就接受不合規。即使某些合規風險被評估為較低，組織仍然需要保持高度的合規意識和警惕性。因為合規風險可能會隨著時間、環境或業務活動的變化而發生變化，原本被認為是低風險的事項可能會突然變得高風險。所有已識別的合規風險/情況都會得到監視和處理。在進行風險評估（相關指導見ISO31000）時，應注意適當的技術（見IEC31010）。與外包的和第三方的過程相關的合規風險示例風險類別具體風險點與外包的和第三方的過程相關的合規風險描述法律與合規性風險合規義務未履行外包或第三方過程未能充分履行法律法規、行業標準或合同約定的合規義務法律變更相關法律法規的變更導致外包或第三方過程不再符合最新要求運營風險業務中斷外包或第三方服務的中斷對組織的正常運營產生嚴重影響服務質量外包或第三方提供的服務質量不達標，影響組織的整體運營效果數據安全與隱私風險數據泄露外包或第三方在處理敏感數據時存在泄露風險隱私保護第三方未能充分保護個人隱私信息，違反數據保護法規財務風險成本超支外包或第三方服務的實際成本超過預算財務欺詐第三方存在財務欺詐行為，如虛報費用、挪用資金等聲譽風險負面輿論外包或第三方的不當行為引發負面輿論，損害組織聲譽和品牌形象信任危機頻繁的外包或第三方問題導致客戶、合作伙伴對組織的信任度下降供應鏈風險供應鏈中斷外包或第三方問題導致整個供應鏈中斷供應商可靠性外包或第三方的可靠性問題影響供應鏈的穩定性和效率道德與社會責任風險腐敗與賄賂第三方涉及腐敗、賄賂等不正當行為環境與社會影響外包或第三方過程對環境和社會產生負面影響特定行業風險監管合規某些行業面臨更高的監管要求，外包或第三方過程需特別關注禁售與制裁向禁售名單上的國家銷售產品或服務面臨法律制裁和經濟損失合同與協議風險合同條款不清外包或第三方合同中的條款模糊不清違約風險第三方違反合同條款，如未按時交付服務、未達到服務標準等整合與協調風險文化沖突外包或第三方與組織存在文化差異，導致溝通障礙和協調困難系統集成外包或第三方系統與組織內部系統存在集成問題合規風險評估應考慮：組織的風險承受度及其對前提和假設的敏感性，并適時與相關方有效地溝通；可能存在的專家觀點中的分歧，及風險評估中數據或模型的局限性；風險評估首先采用定性分析，初步了解風險等級和揭示主要風險，適時進行更具體和定量的分析；風險后果和可能性通過專家意見、結果建模、實驗研究推導等方式確定。合規風險評估基本過程組織應評估（識別、分析和評價）其合規風險，基本過程如圖4.6-1：風險評估基本流程圖。合規風險評估兩個階段：包括初始全面風險評估和定期評估。初始全面風險評估：風險評估涉及將組織能接受的合規風險水平與合規方針中設定的合規風險水平進行比較；定期風險評估：風險是不斷變化的，組織應定期評估合規風險，并在組織環境發生重大變化時進行評估。發生下列以下情形或重大變化時，應對合規風險進行周期性再評估：新的或變化的活動、產品或服務：當組織引入新的活動、產品或服務時，可能會帶來新的合規風險點。同時，現有活動、產品或服務的變更也可能導致合規風險的變化；組織結構或戰略變化：組織結構的調整或戰略方向的變化可能會影響合規風險的分布和重點；組織環境重大變化：金融經濟環境、市場條件、債務和客戶關系等外部因素的變化可能對組織的合規性產生重大影響；合規義務變更：隨著法律法規的不斷更新和完善，組織的合規義務也可能發生變化；并購：并購活動可能涉及多個方面的合規風險，如被并購方的合規歷史、并購過程中的合規程序以及并購后的整合風險等；發生法律訴訟、投訴、行政處罰、產品查封下架、行業禁入等現象：這些事件的發生通常意味著組織在合規方面存在問題或不足；不合規（即使是單一的不合規事件也能構成情況的實質變化）和近乎不合規：不合規事件和近乎不合規現象的發生表明組織的合規管理體系存在漏洞或不足。即使是單一的不合規事件也可能對組織的聲譽、財務狀況和業務發展產生重大影響。合規風險評估的詳細程度和水平，這取決于：組織的風險情況：組織面臨的合規風險種類、數量和嚴重程度直接影響評估的詳細程度；組織環境：內部環境（組織的業務模式、組織結構、文化等因素）以及會影響風險評估的側重點和深度。組織應密切關注外部環境變化，及時調整評估策略和重點。組織規模和目標：規模因素：大型組織由于業務復雜、層級眾多，其合規風險評估通常需要更高的詳細程度和水平。相反，小型組織可能更注重關鍵業務領域的合規風險評估；目標導向：組織的發展目標和戰略規劃也決定了風險評估的重點。例如，處于快速擴張期的企業可能更關注市場準入和競爭合規風險評估。組織的風險評估能力：資源投入：組織在風險評估方面的資源投入直接影響評估的詳細程度和水平。資源充足的組織能夠進行更深入的評估。專業能力：評估團隊的專業能力和經驗也是關鍵因素。具備豐富合規知識和實踐經驗的團隊能夠更準確地識別和管理合規風險。具體的細分領域變化：組織通常涉及多個合規領域（如環境、財務、社會等），不同領域的合規風險特點各異。因此，評估的詳細程度和水平應根據具體領域進行調整。合規風險評估的實施；合規風險識別；合規風險識別的理解：合規風險識別指發現、確認和描述合規風險的過程；合規風險識別的目的：發現和描述能夠幫助或阻止組織實現其目標的合規風險；識別合規風險的目的是幫助組織全面、系統、準確地掌握自身面臨的合規風險的特征，以便明確下一步合規風險分析的目標和范圍。合規風險識別范圍：除了評估組織內部的合規風險，還要評估與外包過程及第三方過程相關的合規風險；合規風險識別的方法按4.2的要求識別相關方需求相關方需求的識別：組織應首先識別可能影響其合規管理體系的相關方，包括客戶、供應商、監管機構、投資者等。通過理解這些相關方的需求和期望，組織可以更好地把握其合規義務的范圍和重點。確保需求的全面性：在識別相關方需求時，組織應確保不遺漏任何可能對合規性產生影響的方面，以確保后續合規義務確定的準確性和完整性。按4.5的要求確定合規義務合規義務的明確：在識別出相關方需求后，組織應根據這些需求和期望，結合法律法規、行業標準等外部要求，明確自身的合規義務。這些義務包括必須遵守的強制性要求以及組織自愿選擇遵守的承諾和標準；確保合規義務的時效性：組織應定期更新其合規義務清單，以反映外部環境和相關方需求的變化，確保合規管理體系的有效性和適應性。明確合規目標；目標的具體化：組織應根據其合規義務和戰略目標，制定具體的合規目標。這些目標應具有可測量性、可達成性和挑戰性，以指導合規管理工作的開展；目標的層級化：合規目標應分解到組織的各個層級和部門，確保每個層級和部門都對其在合規管理體系中的角色和責任有清晰的認識。將組織的合規義務與其活動、產品、服務及運行的相關方面關聯起來；關聯分析的重要性：通過將合規義務與組織的活動、產品、服務及運行的相關方面關聯起來，組織可以更加全面地識別出潛在的合規風險點。這種關聯分析有助于組織理解其合規義務在實際業務運營中的具體表現和影響；提升識別準確性：通過關聯分析，組織可以更加準確地判斷哪些環節或操作可能違反合規義務，從而為后續的風險評估和應對措施制定提供有力支持。基于不同維度、類型和層級的合規目標，全面識別組織可能面臨的合規風險。多維度識別：組織應從不同的維度出發，全面識別其可能面臨的合規風險。這些維度包括但不限于業務領域、地理位置、時間跨度等。通過多維度識別，組織可以更加全面地把握其合規風險的分布和特征；分類識別：組織還應將識別的合規風險進行分類，以便于管理和應對。常見的分類方式包括按風險類型（如法律風險、操作風險等）、按風險層級（如組織層級、部門層級等）進行分類。通過分類識別，組織可以更加清晰地了解不同類型的合規風險對組織的影響程度和應對策略。。合規風險識別包括合規風險源的識別和合規風險情況的界定；合規風險源的識別：合規風險源定義：指可能導致組織違反法律法規、行業準則或內部政策的活動、行為或情況；持續收集合規義務：組織應建立常態化的機制，持續跟蹤和收集與自身業務相關的法律法規、監管規定等合規義務。這包括但不限于國家層面的法律法規、行業規范、國際標準以及自愿性承諾等；對照業務和流程識別風險源：在收集到合規義務后，組織需要將其與現有的業務和流程進行對照分析，識別出可能存在的風險源。這一過程要求組織對其業務和流程有深入的了解，并能夠準確判斷哪些環節或操作可能違反合規義務。形成“合規風險源清單”：組織應根據其部門職能職責、崗位職責以及不同類型的組織活動來識別這些風險源，形成“合規風險源清單”。合規風險源清單序號部門/崗位不同類型的組織活動合規風險源描述相關法律法規/行業準則/內部政策12合規風險情況的界定：對于每個識別出的合規風險源，組織需要進一步界定與之對應的合規風險情況，包括風險事件、風險表現（風險原因）、影響范圍、發生的可能性以及潛在的后果等，建立“合規風險情況清單”。合規風險情況清單序號合規風險源風險事件風險表現（風險原因）影響范圍發生的可能性潛在的后果12合規風險分析（分析已識別的風險）：合規風險分析的理解；合規風險分析：指對識別出的合規風險進行定性或定量分析；合規風險分析是理解風險性質、確定風險水平的過程；合規風險分析是對已經識別出的合規風險進行深入研究的過程，它包括對合規風險的性質進行定性分析以及對合規風險的可能性和潛在影響進行定量分析。合規風險分析的目的；風險分析的目的是理解風險性質及其特征，包括理解對實現目標影響的后果及其可能性、原因和現有控制措施，適當時還包括風險水平。分析的結果為合規風險評價和風險決策（應對策略的制定以及資源配置）提供輸入信息或依據。合規風險分析的實施。組織應結合不合規的根本原因、來源、后果及其發生的可能性和已有的控制措施，來分析合規風險；合規風險可能性分析：對潛在合規風險事件在未來發生的概率進行估計和預測的過程；合規風險后果（影響程度）分析：對潛在合規風險事件一旦發生后，可能給組織帶來的后果進行量化和定性評估的過程。后果可能包括，例如個人和環境傷害、經濟損失、名譽損失、行政管理變更以及民事和刑事責任。合規風險評價（評價風險的重要性）合規風險評價的理解；風險評價的定義：風險評價是指將合規風險分析的結果與組織的合規風險準則相比較，或在各種風險的分析結果之間進行比較，確定風險和/或其大小（風險等級）是否可以接受或容忍的過程；比對分析結果與風險準則：合規風險評價是一個系統性的過程，它涉及將已經通過合規風險分析得到的結果與組織內部設定的合規風險準則進行比對，或將組織能接受的合規風險水平與合規方針中設定的合規風險水平進行比較。從可能性、后果、可控性與現有措施4個方面進行評價：在進行合規風險評價時，組織通常會包括但不限于風險事件發生的可能性、潛在后果的嚴重性、風險的可控性以及現有風險管理措施的有效性等；風險評價的綜合性考慮：評價不僅關注單個風險的大小和嚴重程度，還可能需要在多個風險之間進行比較，以確定風險的相對優先級；確定風險等級并排序：評價結果可能以風險等級的形式呈現，從而幫助組織對不同類型的合規風險進行排序和優先處理。合規風險評價的目的；合規風險評價核心目的在于判斷識別出的合規風險及其潛在影響是否在組織可接受或可容忍的范圍內。合規風險評價可以幫助組織做出合規風險應對的決策；合規風險評價可以幫助組織做出合規風險應對的決策。合規風險評價的實施；合規風險排序：在合規風險分析的基礎上，根據風險事件發生可能性的高低、影響程度的大小以及風險水平的高低，對合規風險進行不同維度的排序；合規風險分級：在合規風險水平排序的基礎上，對照組織設定的合規風險準則，對合規風險進行分級。具體等級劃分的層次可以根據組織的管理需要和風險偏好來設定；表4.6-3：重大風險、中等風險、一般風險定義與說明表風險級別風險級別定義相應風險等級的示例重大風險對組織經營活動產生嚴重影響，可能導致重大損失或法律責任的風險。法律、法規、政策的重大變化對經營活動產生的風險。監管機構出具的處罰決定、監管意見等。向監管機構報送材料存在問題或遺漏。業務開展中的嚴重違法違規行為。制度文件中存在重大違規隱患。因合規問題導致的重大訴訟或仲裁案件。中等風險對組織經營有一定影響，但影響較小或損失較小的風險。經營活動中新出現的風險或原有風險的變化。既定合規風險應對方案執行效果未達預期。輕微違規問題，如個別業務操作中的小問題