建设合规风险评估五步法

合规风险评估工作的第一步是识别企业的固有风险，尽可能全面地列出企业所可能面临的所有风险。所要识别的风险不能是理论上的风险，而应该是企业生产经营活动中可能遭遇的实际风险敞口，对于特定风险的描述必须准确、详尽并且是书面的。

企业在经营过程中，会面临不同种类的风险，比如战略风险、合规风险、运营风险、财务风险及商誉风险等等。仅仅就合规风险而言，不同行业、经营活动涉及不同地域的企业所面临的合规风险种类也各有不同，因此，每家企业应当根据其自身情况，识别其自身所面临的风险种类。

要想准确识别企业的风险敞口，就要求风险评估人员对企业状况进行评估前尽职调查，通过调查，深入了解企业的组织架构、管理层级、业务模式、营销推广、采购招标、投标流程、生产或施工流程、财务制度、用工、业务部门与业务部门之间以及业务部门与管理部门之间的协作方式、第三方伙伴关系（包括主要供应商、主要客户以及代理商和外部顾问）等等。

在风险识别工作上，仅有外部顾问/律师的努力是不够的，还需要企业内部成员（从最高管理层、部门经理与主管、部门骨干到前线员工）积极参与。企业内部主要团队成员，可以通过开会讨论（有时候是跨部门间，包括IT、战略规划、投资、运营、法务、人力资源、安保、财务、合规等部门）的方式，头脑风暴一下，主要按照三个标准来罗列各自工作范围内所意识到的合规风险：

（1）与企业活动相关联

（2）影响到企业的财务状况

（3）能够与其他风险区分开来管控

通常情况下，作为外部顾问，我们会通过面谈、召开引导会议或者组建跨职能工作小组的方式，让企业内部成员参与到合规风险识别的工作中来。面谈通常适用于工作时间安排比较忙碌的企业领导、高管、董事会成员或者部门的高级经理等。引导会议则可以在相同职能部门成员之间召开，有利于通过相互提醒识别出确切的风险种类。至于跨职能工作小组，举例而言，在识别与信息安全相关的合规风险上，我们可能会将企业技术部门、法务及合规部门、公共关系部门、业务部门、战略规划部门以及行政管理部门的成员聚合在一起，这些不同职能部门的成员就有可能从不同角度，对与信息安全相关的合规风险的成因、后果、可能性及交互作用，提供不同的情报，从而有利于准确地描述、记录相对应的合规风险。

当我们所服务的是超大型、结构复杂并且在地域上呈分布式的企业时，我们也可以采取标准化问卷调查的方式进行合规风险识别。这种问卷调查通常采用哥特曼量表（GuttmanScale）问卷的形式开展。但受限于匿名问卷调查形式本身的固有局限性，所收集到的信息的质量可能较低，因此，在有可能的情况下，问卷方式还是要与跨职能工作小组的方式相结合来使用。