根据商业合规的风险管理常见方案，合规风险评估路径的逻辑内涵，主要包括以下几种类型：

（一）按照立法体系或法律关系

事先将商业合规的风险分为刑事法律风险、民事法律风险、行政法律风险，按此路径开展调研和评估工作。商业刑事法律风险，往往不仅关乎企业的生死存亡，更与企业负责人或职业者的个人法律风险相关联。一般而言，员工治理、财务管理、融资业务、市场运作、生产质量、环境资源等都是产生刑事合规责任的爆发点。商业民事法律风险，是企业日常经营中比较司空见惯的问题，诸如合同纠纷、劳动纠纷等，降低民事法律风险可以提高质效，降低成本。行政法律风险，则是企业与政府管理之间的行政争议，包括行政许可侵权、行政处罚侵权、行政强制侵权、行政收费侵权等，企业全生命周期离不开政府部门的管理、指导和监督，行政法律风险的离不开自身检查，按程序履职是最好的降低风险手段。

理论上，以法律关系或立法体系可以涵盖商业经营管理的各个方面，但在实践中缺乏一定的操作性，无法与企业经营过程或者明确目标相契合。

（二）按照业务流程

商事业务是企业生命底线，更是企业经营的重中之重。企业经营过程中要努力完成预期目标，但是，企业进行资源配置去实现这种目标的差异和差距，就是企业运作中的不确定性，这种不确定性表现为企业经营风险。那么，业务流程是企业为了实现特定价值目标组织人财物力共同完成的一系列活动，组织中最重要的是人员的工作方式及其构成日常操作的活动，活动的外在表现就是业务行为。商业合规法律风险不是孤立存在的，而是会依附于某一具体行为，加强企业内部控制，特别是对业务流程各个环节的排查，就是对构成这一业务流程的行为合规风险进行识别，目标更加明确、识别更加具体。对于商事业务流程的风险识别，包括固定流程和机动流程。固定流程的风险识别是静态的、流程节点的审查，主要针对常见稳定的业务流程；机动流程的风险识别是动态的流程节点的审查，主要针对临时新增的业务流程，或者灵活变通的额外业务节点。以业务流程作为风险识别的实施路径，即可发现企业既有合规风险，又可发现新增业务节点可能存在的合规风险；既能够贴近企业实际运用，又能够全面梳理和防范企业经营风险。

（三）按照组织架构(www.daowen.com)

一切工作的核心都是以人为本，无论业务流程还是企业管理流程，需要在一定的组织框架下由相应岗位负责人实施。不同企业、不同部门会存在不同的组织架构，大型的集团型企业更是在外部统一管理下内部组织层次交错。常见的组织架构有金字塔形结构、扁平式结构、智慧型结构。不同组织架构形成的业务和管理逻辑自有差异，基于逻辑内涵差异所形成的合规风险随之相异。因此，从企业组织架构角度实施商业合规的风险评估相对全面，尽可能减少识别的疏漏。

（四）按照管理制度

制度决定流程和流程决定组织，将流程与制度整合到一个逻辑框架内，可以让制度更加明确地体现在各个组织活动之中，无论是对于企业的运营操作还是合规风险控制，都将会变得更为明朗清晰。“企业生产经营过程中的每一个环节都有制度作为参考依照，有制度为经营保驾护航，会让管理流程更简洁更规范，也就能够拥有更多的能源和动力作为健康可持续发展的资本。”^[1]通过对业务和管理流程的梳理，明确流程运行中应遵守的规范和规定及相应的权责，“以流程与职能、制度一致为目标，将静态的、详尽的制度内容变为按顺序执行的、显性化和规范化的动态过程，实现每个环节、每个部门在规定的时限内按照规定行使权力、履行职能，形成联动互通、协同并行的工作机制。”^[2]因此，管理制度能够从业务、组织和制度等层面实现以业务为驱动、组织为内核、流程为主线、制度为节点的综合风险防控体系。

聚焦在商业合规的风险防控上，从企业管理制度出发，可以对整个业务流程和组织架构实施规范性识别，对企业的生成经营活动进行有的放矢的审查，目的是为了控制风险、降低成本、提供服务质量、提升工作效率、增加市场反应速度，以实现提高企业市场竞争力和经营效益的有序组合。

基于商业合规风险评估体系的科学性、导向性、适应性和操作性等原则，因地制宜、实事求是的选择适宜评估路径，其出发点都是寻求数据来源，选定数据分析方法，以主客观结合的方式，表现合规风险识别结果。