商业合规风险的量化模型中，所谓“三维度”分别指合规风险发生的可能性、合规风险发生后的影响程度，以及对于该风险点现有的应对程度。三维度的打分数据，是通过对企业各下属单位及部门业务人员及法务人员进行问卷调查而取得。调查问卷的具体情况如下：

（一）合规风险发生的可能性

商业合规风险发生的可能性，是指在维持公司目前的管理模式和水平的条件下，风险点发生的概率大小，抑或者是发生的频率高低。“合规风险发生可能性”设定为5个等级：“几乎不可能”（发生概率＜10%或发生频率极少），“不太可能”（10%≤发生概率＜25%或发生频率少），“可能”（25%≤发生概率＜50%或发生频率中等），“很可能”（50%≤发生概率＜75%或发生频率高），“基本确定（发生概率≥75%或发生频率极高）”，分别对应分值1～5分。对于在企业运营过程中常见的合规风险点，企业业务人员虽然未必能从合规视角对风险点进行认知，但第一线的业务人员依据自身业务经验，对风险点可能爆发的频次和概率的评估往往最为精准。

对于企业运营过程中不常见，或是从未发生但有隐患的风险点的发生可能性，企业业务人员难以掌控，还需要依托外部专家进行评估。企业运营业务人员和专家对合规风险发生的可能性进行评估时，需重点考虑以下因素：①外部监管的完善性。对于该风险点是否有完善的法律法规进行规制，相关法律法规的执行程度是否到位？②内控制度的完善性：对于该风险点是否企业内部有完善的内控制度进行规制，相关制度的执行程度是否到位？③追溯与预期。对与曾经发生过的风险点及其事后应对措施进行评估，对没有发生过的风险点进行频次的预估？④责任归口：该风险点是否有明确的责任承担人员或部门，是否有被明确在工作岗位职责之中？⑤可控程度：该风险点得到关注后是否能在何种长度的时间段内能被防范应对？

（二）合规风险的影响程度(www.daowen.com)

合规风险的影响程度，是指风险点发生后会对公司产生的不利影响水平的高低。不利影响程度越高，则企业合规风险爆发时的损失就越大。“合规风险的影响程度”设定为5个等级：“很低”“低”“中”“高”“很高”，分别对应分值1～5分。企业合规风险点的影响程度需要评估人，即掌握风险点所涉及的具体合规知识，还需要对企业合规风险影响程度具有系统性了解，因此，对评估人员的专业性有较高要求。企业运营业务人员和专家对合规风险发生的影响程度进行评估时，需重点考虑以下因素：①财务类损失。该风险点的发生会对企业造成何种程度的财务损失？②其他类损失（声誉、企业形象、员工满意度等）。该风险点的发生会对企业造成哪些类型的非财务类损失，损失的深度和广度又在何处？

（三）合规风险的现有应对程度

合规风险的现有应对程度，是指企业对已识别出的风险点在事前预防、事中应对及事后管理方面的应对状况。把企业面临合规风险的现有应对程度加入评估体系，是为了便于管理者对企业合规风险的现有管理状况进行更精细了解。该指标主要是对公司的合规风险内控制度的完善程度进行评估；同时，也会对部分非制度的应对措施进行考量。“合规风险的现有应对程度”设定为5个等级：“已基本解决相关风险”“有完善的内控制度和应对措施，并且易于执行”“有内控制度和应对措施，但执行较为困难”“有内控制度和应对措施，但无法执行”具备风险意识，但无内控制度或措施防控”“尚无风险意识”，分别对应分值0～5分。合规法律风险的现有应对程度的评估主要依托于企业一线业务人员，企业运营业务人员和专家对合规风险发生的现有应对程度进行评估时，需重点考虑以下因素：①是否充分意识到该风险点的严重程度和防控目标？②已有的内控制度或应对措施是否具有合理性和实操性？③已有的内控制度或应对措施是否能够进一步完善，是否已经是现有条件下的最佳解决方案？④已有的内控制度和应对措施是否明确了责任人，能否有效保证应对的执行情况。