GB∕T 35770-2022《 合规管理体系 要求及使用指南》之7：“4组织环境-4.6合规风险评估”解读和应用指导材料（雷泽佳编写2024B1）

“4组织环境—4.6合规风险评估”解读和应用指导材料GB∕T35770-2022《合规管理体系要求及使用指南》之7：“4组织环境—4.6合规风险评估”解读和应用指导材料GB∕T35770-2022GB∕T35770-2022《合规管理体系要求及使用指南》4.6合规风险评估组织应基于合规风险评估，识别、分析和评价其合规风险。组织应通过将其合规义务与活动、产品、服务以及运行的相关方面关联，来识别合规风险。组织应评估与外包的和第三方的过程相关的合规风险。组织应定期评估合规风险，并在组织环境发生重大变化时进行评估。组织应保留有关合规风险评估和应对合规风险措施的成文信息。组织环境本条款的目的或意图；组织能够建立健全的风险管理机制，确保合规管理体系的有效运行，降低合规风险对组织运营的影响，保障组织的可持续发展。具体包括：全面识别合规风险：通过将合规义务与组织的活动、产品、服务及运行过程紧密关联，系统地梳理和识别所有潜在的合规风险点，确保无遗漏；深入分析合规风险：对识别出的合规风险进行深入分析，明确其发生的原因、潜在后果及影响程度，为风险评估提供科学依据；科学评价合规风险：根据分析结果，对合规风险进行排序和分级，确定风险的重要性和优先级，为制定风险应对措施提供依据；动态监控与及时响应：建立定期评估机制，对合规风险进行持续监控，并在组织环境发生重大变化时及时进行再评估，确保风险管理的时效性和有效性。保留成文信息：保留有关合规风险评估和应对措施的成文信息，以便于后续审核、追溯及持续改进，同时为证明组织合规管理的有效性和成熟度提供依据。合规风险评估相关术语；风险：不确定性对目标的影响。核心概念：风险在合规管理体系中指的是不确定性对组织目标实现的影响。这里的“不确定性”是核心，它指的是那些尚未发生、但有可能发生并影响组织目标实现的因素或事件；影响性质：风险的影响可以是正面的（即带来意外的好处或机会）也可以是负面的（即导致损失或不利影响）。在合规管理体系中，我们更关注负面影响的风险，因为它们可能导致组织面临法律、经济或声誉等方面的损失；影响是对预期的偏离——正面的或负面的。风险的影响表现为对组织预期目标的偏离。这种偏离可以是好的（正面影响），也可以是坏的（负面影响）。在合规管理体系中，主要关注的是那些可能导致不利偏离的风险。不确定性的本质：不确定性是一种状态，指对某个事件、事件的后果或可能性缺乏甚至部分缺乏相关信息、理解或知识；不确定性是风险的根源。它源于我们对未来事件、事件的后果或可能性的信息掌握不足。在合规管理体系中，这种不确定性可能源于法律法规的变化、市场环境的不稳定、组织内部管理的缺陷等多种因素。风险特性描述：风险通常通过潜在事件及其可能带来的后果来描述。这些潜在事件可能是法律法规的变更、市场竞争的加剧、内部管理的失误等；而后果则可能是经济损失、法律处罚、声誉损害等。了解这些潜在事件和后果，有助于我们更准确地识别和评估风险。风险表述方式：通常，风险以某个事件的后果（包括情况的变化）及其发生的可能性的组合来表述。例如，“由于未能及时更新环保设备，组织可能面临环保处罚的风险，该风险发生的可能性为中等”。这种表述方式有助于我们更直观地理解风险的大小和紧迫性，从而采取相应的应对措施。合规风险：因未遵守组织合规义务而发生不合规的可能性及其后果。因未遵守组织合规义务而发生不合规的可能性及其后果。定义核心：合规风险指由于组织未能履行其合规义务而可能导致的不合规事件发生的可能性和这些事件一旦发生所带来的后果。这个定义强调了合规风险的双重特性，即发生不合规的可能性和这种可能性一旦成为现实所产生的具体后果；合规义务的关联：合规风险直接关联到组织的合规义务。合规义务是组织必须遵守的法律法规、行业标准、内部规章制度等要求。当组织未能满足这些要求时，就可能面临合规风险；合规风险的关键要素；不合规的可能性：指在特定情境下，组织因未履行合规义务而发生不合规事件的风险概率。这种可能性可能受到多种因素的影响，包括但不限于组织的合规管理水平、外部监管环境的变化、业务活动的复杂性等；不合规后果的严重性：不合规事件一旦发生，可能会给组织带来多方面的负面影响，包括但不限于法律处罚、经济损失、声誉损害、业务中断以及其他负面影响等。这些后果的严重性取决于不合规事件的具体性质、影响范围以及组织的应对措施等因素。表4.6-1：合规风险后果分类及说明后果种类描述法律与监管后果行政处罚包括罚款、没收违法所得，吊销执照或许可证、业务限制等刑事责任可能面临刑事起诉、监禁或罚金监管措施监管机构可能采取警告、禁止令、业务整改要求等措施财务与经济后果财务损失直接经济损失，如罚款、赔偿、合同违约等信誉损害声誉受损，影响客户关系和市场地位市场份额下降由于信誉受损或监管限制导致市场份额减少运营与管理后果业务中断不合规行为可能导致业务暂停或中断管理层变动高层管理人员可能被解聘或更迭内部审查加强需要加强内部合规审查和监控社会与环境后果社会责任缺失违反社会责任原则，对社会造成负面影响环境破坏可能涉及环境法规的违反，导致环境破坏公众信任丧失公众对组织或行业的信任度下降其他潜在后果投资者信心下降对于上市公司而言，可能导致投资者信心受损，股价下跌合作伙伴关系受损影响与供方、客户或其他合作伙伴的关系国际形象受损对于跨国组织而言，可能影响其在国际市场上的形象和地位合规风险包括合规风险源、风险事件、合规目标、合规风险影响四个要素。合规风险源：可能引发合规风险的各种因素或来源；风险事件：导致合规风险实际发生的具体事件或行为；合规目标：为降低合规风险而设定的目标；合规风险后果（影响）：指合规风险实际发生后对组织产生的影响或后果。合规风险包括固有合规风险和剩余合规风险。固有风险：固有风险是组织在没有任何风险管理干预前的初始风险状态，即组织在未实施任何合规风险控制措施时，可能面临的合规风险水平。剩余风险：剩余风险是在组织已经实施了一系列合规风险控制措施后，仍然未能完全消除或降低到可接受水平的合规风险；固有合规风险和剩余合规风险主要区别在于组织是否已经采取了相应的合规风险处理措施。固有合规风险是风险管理的起点，而剩余合规风险则是风险管理效果的衡量标准之一。法律风险：由法律、法规以及合同事项导致的风险。法律风险是因法律、法规的规定以及合同中的约定所产生的潜在不利后果或责任的风险。这种风险源于组织在经营管理、交易、决策等活动中未能充分理解、遵守或妥善应对相关法律、法规以及合同事项的要求；法律风险通常包括法律环境变化风险、违规风险、违约风险、侵权风险、怠于行使权利风险、行为不当风险；合同风险：合同是双方或多方之间达成的具有法律约束力的协议。如果合同中的条款未能得到妥善履行，或者合同内容存在模糊、不明确的地方，就可能会引发合同纠纷，导致一方或多方承担违约责任或经济损失。法律风险的不确定性：由于法律环境的不断变化以及法律解释的不确定性，组织在面临法律问题时可能难以准确预测结果。这种不确定性增加了法律风险的复杂性和管理的难度。表4.6-2：合规风险与法律风险之间区别说明表合规风险法律风险关注点组织未遵守合规义务的可能性及后果由法律、法规及合同事项导致的潜在不利后果或责任来源法律法规的变化；内部控制的缺失；员工行为的不当；第三方合作伙伴的不合规未能充分理解、遵守或应对法律、法规及合同要求；合同履行不当或合同内容不明确后果法律责任、行政处罚、经济或声誉损失、其他负面影响法律责任、经济损失、声誉损害、合同纠纷；其他不利后果管理重点确保组织行为与既定规范一致；建立和维护有效的合规管理体系跟踪和解读法律法规；合同管理；识别和评估法律风险；制定法律风险应对策略不确定性较少涉及法律环境的变化和法律解释的不确定性法律环境的变化和法律解释的不确定性增加了风险管理的复杂性说明：合规风险与法律风险在范围上有所重叠，但并非简单的包含关系。合规风险更广泛，涉及组织内外各方面，如法律法规、行业规范、内部控制和道德规范等，强调组织经营的合法性和正当性。而法律风险主要关注组织与外部法律的关系，如合同纠纷、知识产权等，范围相对较窄。两者有重叠部分，如因违规而受处罚，但各自也有独立的风险，如声誉损失主要属于合规风险，合同纠纷则属于法律风险。合规风险评估：合规风险评估是合规风险识别、合规风险分析和合规风险评价的全过程。定义核心：合规风险评估是一个系统性的过程，它包括合规风险识别、合规风险分析和合规风险评价三个主要阶段。这一过程旨在通过系统性的方法，全面、准确地识别、分析和评价组织面临的合规风险。风险识别：风险识别是合规风险评估的第一步，组织需要将合规义务与活动、产品、服务以及运行的相关方面紧密关联，从而系统地梳理和识别潜在的合规风险点；风险分析：风险分析是在风险识别的基础上，对识别出的合规风险进行深入剖析，明确风险的发生原因、潜在后果以及影响程度；风险评价：风险评价是对分析结果的进一步处理，通过对合规风险进行排序和分级，确定风险的重要性和优先级。合规风险评估的基本要求整个合规风险评估过程需要遵循系统性、全面性、动态性和参与性等原则，确保评估结果的准确性和有效性；组织应评估外包和第三方相关的合规风险；评估的必要性；外包服务和第三方合作过程中往往存在较高的合规风险，组织应特别关注这些方面的风险评估；评估外包和第三方相关的合规风险是组织合规管理体系的重要组成部分。通过评估，组织可以更好地了解其合作伙伴的合规状况，识别潜在的合规问题，并采取相应的措施来降低风险；评估的范围。评估应涵盖所有与外包和第三方相关的合规风险，包括但不限于法律法规遵守情况、合同条款的合规性、商业道德和反腐败要求等。评估还应关注外包和第三方服务过程中的关键环节，如数据保护、知识产权保护、反洗钱等，以确保这些环节的合规性；基于风险方法的合规管理并不意味着在合规风险较低的情况下组织就接受不合规。即使某些合规风险被评估为较低，组织仍然需要保持高度的合规意识和警惕性。因为合规风险可能会随着时间、环境或业务活动的变化而发生变化，原本被认为是低风险的事项可能会突然变得高风险。所有已识别的合规风险/情况都会得到监视和处理。在进行风险评估（相关指导见ISO31000）时，应注意适当的技术（见IEC31010）。与外包的和第三方的过程相关的合规风险示例风险类别具体风险点与外包的和第三方的过程相关的合规风险描述法律与合规性风险合规义务未履行外包或第三方过程未能充分履行法律法规、行业标准或合同约定的合规义务法律变更相关法律法规的变更导致外包或第三方过程不再符合最新要求运营风险业务中断外包或第三方服务的中断对组织的正常运营产生严重影响服务质量外包或第三方提供的服务质量不达标，影响组织的整体运营效果数据安全与隐私风险数据泄露外包或第三方在处理敏感数据时存在泄露风险隐私保护第三方未能充分保护个人隐私信息，违反数据保护法规财务风险成本超支外包或第三方服务的实际成本超过预算财务欺诈第三方存在财务欺诈行为，如虚报费用、挪用资金等声誉风险负面舆论外包或第三方的不当行为引发负面舆论，损害组织声誉和品牌形象信任危机频繁的外包或第三方问题导致客户、合作伙伴对组织的信任度下降供应链风险供应链中断外包或第三方问题导致整个供应链中断供应商可靠性外包或第三方的可靠性问题影响供应链的稳定性和效率道德与社会责任风险腐败与贿赂第三方涉及腐败、贿赂等不正当行为环境与社会影响外包或第三方过程对环境和社会产生负面影响特定行业风险监管合规某些行业面临更高的监管要求，外包或第三方过程需特别关注禁售与制裁向禁售名单上的国家销售产品或服务面临法律制裁和经济损失合同与协议风险合同条款不清外包或第三方合同中的条款模糊不清违约风险第三方违反合同条款，如未按时交付服务、未达到服务标准等整合与协调风险文化冲突外包或第三方与组织存在文化差异，导致沟通障碍和协调困难系统集成外包或第三方系统与组织内部系统存在集成问题合规风险评估应考虑：组织的风险承受度及其对前提和假设的敏感性，并适时与相关方有效地沟通；可能存在的专家观点中的分歧，及风险评估中数据或模型的局限性；风险评估首先采用定性分析，初步了解风险等级和揭示主要风险，适时进行更具体和定量的分析；风险后果和可能性通过专家意见、结果建模、实验研究推导等方式确定。合规风险评估基本过程组织应评估（识别、分析和评价）其合规风险，基本过程如图4.6-1：风险评估基本流程图。合规风险评估两个阶段：包括初始全面风险评估和定期评估。初始全面风险评估：风险评估涉及将组织能接受的合规风险水平与合规方针中设定的合规风险水平进行比较；定期风险评估：风险是不断变化的，组织应定期评估合规风险，并在组织环境发生重大变化时进行评估。发生下列以下情形或重大变化时，应对合规风险进行周期性再评估：新的或变化的活动、产品或服务：当组织引入新的活动、产品或服务时，可能会带来新的合规风险点。同时，现有活动、产品或服务的变更也可能导致合规风险的变化；组织结构或战略变化：组织结构的调整或战略方向的变化可能会影响合规风险的分布和重点；组织环境重大变化：金融经济环境、市场条件、债务和客户关系等外部因素的变化可能对组织的合规性产生重大影响；合规义务变更：随着法律法规的不断更新和完善，组织的合规义务也可能发生变化；并购：并购活动可能涉及多个方面的合规风险，如被并购方的合规历史、并购过程中的合规程序以及并购后的整合风险等；发生法律诉讼、投诉、行政处罚、产品查封下架、行业禁入等现象：这些事件的发生通常意味着组织在合规方面存在问题或不足；不合规（即使是单一的不合规事件也能构成情况的实质变化）和近乎不合规：不合规事件和近乎不合规现象的发生表明组织的合规管理体系存在漏洞或不足。即使是单一的不合规事件也可能对组织的声誉、财务状况和业务发展产生重大影响。合规风险评估的详细程度和水平，这取决于：组织的风险情况：组织面临的合规风险种类、数量和严重程度直接影响评估的详细程度；组织环境：内部环境（组织的业务模式、组织结构、文化等因素）以及会影响风险评估的侧重点和深度。组织应密切关注外部环境变化，及时调整评估策略和重点。组织规模和目标：规模因素：大型组织由于业务复杂、层级众多，其合规风险评估通常需要更高的详细程度和水平。相反，小型组织可能更注重关键业务领域的合规风险评估；目标导向：组织的发展目标和战略规划也决定了风险评估的重点。例如，处于快速扩张期的企业可能更关注市场准入和竞争合规风险评估。组织的风险评估能力：资源投入：组织在风险评估方面的资源投入直接影响评估的详细程度和水平。资源充足的组织能够进行更深入的评估。专业能力：评估团队的专业能力和经验也是关键因素。具备丰富合规知识和实践经验的团队能够更准确地识别和管理合规风险。具体的细分领域变化：组织通常涉及多个合规领域（如环境、财务、社会等），不同领域的合规风险特点各异。因此，评估的详细程度和水平应根据具体领域进行调整。合规风险评估的实施；合规风险识别；合规风险识别的理解：合规风险识别指发现、确认和描述合规风险的过程；合规风险识别的目的：发现和描述能够帮助或阻止组织实现其目标的合规风险；识别合规风险的目的是帮助组织全面、系统、准确地掌握自身面临的合规风险的特征，以便明确下一步合规风险分析的目标和范围。合规风险识别范围：除了评估组织内部的合规风险，还要评估与外包过程及第三方过程相关的合规风险；合规风险识别的方法按4.2的要求识别相关方需求相关方需求的识别：组织应首先识别可能影响其合规管理体系的相关方，包括客户、供应商、监管机构、投资者等。通过理解这些相关方的需求和期望，组织可以更好地把握其合规义务的范围和重点。确保需求的全面性：在识别相关方需求时，组织应确保不遗漏任何可能对合规性产生影响的方面，以确保后续合规义务确定的准确性和完整性。按4.5的要求确定合规义务合规义务的明确：在识别出相关方需求后，组织应根据这些需求和期望，结合法律法规、行业标准等外部要求，明确自身的合规义务。这些义务包括必须遵守的强制性要求以及组织自愿选择遵守的承诺和标准；确保合规义务的时效性：组织应定期更新其合规义务清单，以反映外部环境和相关方需求的变化，确保合规管理体系的有效性和适应性。明确合规目标；目标的具体化：组织应根据其合规义务和战略目标，制定具体的合规目标。这些目标应具有可测量性、可达成性和挑战性，以指导合规管理工作的开展；目标的层级化：合规目标应分解到组织的各个层级和部门，确保每个层级和部门都对其在合规管理体系中的角色和责任有清晰的认识。将组织的合规义务与其活动、产品、服务及运行的相关方面关联起来；关联分析的重要性：通过将合规义务与组织的活动、产品、服务及运行的相关方面关联起来，组织可以更加全面地识别出潜在的合规风险点。这种关联分析有助于组织理解其合规义务在实际业务运营中的具体表现和影响；提升识别准确性：通过关联分析，组织可以更加准确地判断哪些环节或操作可能违反合规义务，从而为后续的风险评估和应对措施制定提供有力支持。基于不同维度、类型和层级的合规目标，全面识别组织可能面临的合规风险。多维度识别：组织应从不同的维度出发，全面识别其可能面临的合规风险。这些维度包括但不限于业务领域、地理位置、时间跨度等。通过多维度识别，组织可以更加全面地把握其合规风险的分布和特征；分类识别：组织还应将识别的合规风险进行分类，以便于管理和应对。常见的分类方式包括按风险类型（如法律风险、操作风险等）、按风险层级（如组织层级、部门层级等）进行分类。通过分类识别，组织可以更加清晰地了解不同类型的合规风险对组织的影响程度和应对策略。。合规风险识别包括合规风险源的识别和合规风险情况的界定；合规风险源的识别：合规风险源定义：指可能导致组织违反法律法规、行业准则或内部政策的活动、行为或情况；持续收集合规义务：组织应建立常态化的机制，持续跟踪和收集与自身业务相关的法律法规、监管规定等合规义务。这包括但不限于国家层面的法律法规、行业规范、国际标准以及自愿性承诺等；对照业务和流程识别风险源：在收集到合规义务后，组织需要将其与现有的业务和流程进行对照分析，识别出可能存在的风险源。这一过程要求组织对其业务和流程有深入的了解，并能够准确判断哪些环节或操作可能违反合规义务。形成“合规风险源清单”：组织应根据其部门职能职责、岗位职责以及不同类型的组织活动来识别这些风险源，形成“合规风险源清单”。合规风险源清单序号部门/岗位不同类型的组织活动合规风险源描述相关法律法规/行业准则/内部政策12合规风险情况的界定：对于每个识别出的合规风险源，组织需要进一步界定与之对应的合规风险情况，包括风险事件、风险表现（风险原因）、影响范围、发生的可能性以及潜在的后果等，建立“合规风险情况清单”。合规风险情况清单序号合规风险源风险事件风险表现（风险原因）影响范围发生的可能性潜在的后果12合规风险分析（分析已识别的风险）：合规风险分析的理解；合规风险分析：指对识别出的合规风险进行定性或定量分析；合规风险分析是理解风险性质、确定风险水平的过程；合规风险分析是对已经识别出的合规风险进行深入研究的过程，它包括对合规风险的性质进行定性分析以及对合规风险的可能性和潜在影响进行定量分析。合规风险分析的目的；风险分析的目的是理解风险性质及其特征，包括理解对实现目标影响的后果及其可能性、原因和现有控制措施，适当时还包括风险水平。分析的结果为合规风险评价和风险决策（应对策略的制定以及资源配置）提供输入信息或依据。合规风险分析的实施。组织应结合不合规的根本原因、来源、后果及其发生的可能性和已有的控制措施，来分析合规风险；合规风险可能性分析：对潜在合规风险事件在未来发生的概率进行估计和预测的过程；合规风险后果（影响程度）分析：对潜在合规风险事件一旦发生后，可能给组织带来的后果进行量化和定性评估的过程。后果可能包括，例如个人和环境伤害、经济损失、名誉损失、行政管理变更以及民事和刑事责任。合规风险评价（评价风险的重要性）合规风险评价的理解；风险评价的定义：风险评价是指将合规风险分析的结果与组织的合规风险准则相比较，或在各种风险的分析结果之间进行比较，确定风险和/或其大小（风险等级）是否可以接受或容忍的过程；比对分析结果与风险准则：合规风险评价是一个系统性的过程，它涉及将已经通过合规风险分析得到的结果与组织内部设定的合规风险准则进行比对，或将组织能接受的合规风险水平与合规方针中设定的合规风险水平进行比较。从可能性、后果、可控性与现有措施4个方面进行评价：在进行合规风险评价时，组织通常会包括但不限于风险事件发生的可能性、潜在后果的严重性、风险的可控性以及现有风险管理措施的有效性等；风险评价的综合性考虑：评价不仅关注单个风险的大小和严重程度，还可能需要在多个风险之间进行比较，以确定风险的相对优先级；确定风险等级并排序：评价结果可能以风险等级的形式呈现，从而帮助组织对不同类型的合规风险进行排序和优先处理。合规风险评价的目的；合规风险评价核心目的在于判断识别出的合规风险及其潜在影响是否在组织可接受或可容忍的范围内。合规风险评价可以帮助组织做出合规风险应对的决策；合规风险评价可以帮助组织做出合规风险应对的决策。合规风险评价的实施；合规风险排序：在合规风险分析的基础上，根据风险事件发生可能性的高低、影响程度的大小以及风险水平的高低，对合规风险进行不同维度的排序；合规风险分级：在合规风险水平排序的基础上，对照组织设定的合规风险准则，对合规风险进行分级。具体等级划分的层次可以根据组织的管理需要和风险偏好来设定；表4.6-3：重大风险、中等风险、一般风险定义与说明表风险级别风险级别定义相应风险等级的示例重大风险对组织经营活动产生严重影响，可能导致重大损失或法律责任的风险。法律、法规、政策的重大变化对经营活动产生的风险。监管机构出具的处罚决定、监管意见等。向监管机构报送材料存在问题或遗漏。业务开展中的严重违法违规行为。制度文件中存在重大违规隐患。因合规问题导致的重大诉讼或仲裁案件。中等风险对组织经营有一定影响，但影响较小或损失较小的风险。经营活动中新出现的风险或原有风险的变化。既定合规风险应对方案执行效果未达预期。轻微违规问题，如个别业务操作中的小问题