标准PLUS | 合规管理体系实施中的合规风险管控

企业合规管理是企业以有效防控合规风险为目的，以提升依法合规经营管理水平为导向，以企业和员工的经营管理行为为对象，开展的有组织、有计划的管理活动。合规风险管控是合规管理实施的基础。为帮助企业理解ISO 37301:2021《合规管理体系 要求及使用指南》，通过实施标准分配适当的资源和过程，及时、有效识别、评估和应对合规风险。本文根据标准内容对合规风险管控的相关知识进行简要介绍。

一、合规风险的含义

企业合规风险指企业及其员工因不符合组织的合规要求而发生违规的可能性及其后果，如引发法律责任、受到监管处罚、承担经济或者声誉损失，以及其他负面影响等。

根据企业采取措施的情况，合规风险可分为固有合规风险和剩余合规风险。其中，固有合规风险是指企业在未采取任何应对措施的非受控状态下所面临的全部合规风险；剩余合规风险是指企业现有的应对措施无法有效控制的合规风险。

合规风险管控不意味着企业在合规风险较低的情况下就接受违规，而是企业通过合理分配资源和过程，能够优先处理更高级别的风险，并最终覆盖所有合规风险，实现对所有已识别合规风险全面、及时、有效的监视和处理。

二、合规风险管控的内容

（一）合规风险识别

企业应全面系统地梳理经营管理活动中存在的合规义务，将合规义务与其活动、产品、服务及运行的各个方面联系起来，从而充分识别源自部门、职能、经营活动以及第三方相关过程的合规风险。此外，企业应定期识别合规风险源，还可在此基础上建立合规风险源库。

（二）合规风险评估

根据企业的规模、目标、市场环境及其风险状况，企业应确定合规风险评估准则和处置优先级。企业在确定处置优先级时，应考虑违规的根本原因、来源、后果发生的可能性及其影响程度。

合规风险评估的详细程度和水平，取决于企业的风险情况、内外部环境、规模和目标，并随着具体的细分领域（如环境、财务、社会）变化。

合规风险评估的时机可为定期和不定期，当企业所处的环境发生重大变化时应对合规风险进行重新评估。重大变化的情形包括：组织结构或战略调整；外部重大事件（如金融经济环境、市场条件、债务和客户关系等）发生；合规义务变化；活动、产品或服务更新；并购；违规（即使是单一或未遂的违规事件也可能构成情势的实质变化）。

（三）合规风险应对

企业应建立合规风险应对机制，基于合规风险评估结果，针对不同的合规风险，采取适当的控制和处置措施。在此基础上，企业应制定风险应急预案，强化日常演练，不断提升重大合规风险应对处置能力。对于典型性、普遍性和可能产生较严重后果的风险，企业应及时发布合规风险预警。当发生重大合规风险事件时，企业各部门应加强协同配合，及时采取措施，妥善处置，最大限度降低损失，（必要时）应及时报告有关监管机构。

风险管控的具体方法可参考ISO 31000《风险管理 原则与实施指南》、ISO/IEC 31010《风险管理 风险评估技术》两个国际标准。