行之有效的企业合规风险管理体系，主要由以下几个部分组成：①法律风险的识别与评估，它是法律风险管理的基础也是关键；②法律风险管理行为，是指把合规风险管理付诸实践的一切相关行为，包括：实施行为的组织架构，这是人的基础；与法律风险管理有关的制度与流程，这是制度的基础：合规管理行为运行机制，以及法律风险管理相关的反馈与改进行为等；③企业法治文化建设，它是渗透着法治精神的经营理念、制度规范、物质环境在企业的具体体现，乃是企业依法经营管理、依法建章立制、法治宣传教育、维护合法权益和员工自觉守法的总和。

（一）合规风险识别与评估

正如前章的行业性合规风险量化研究显示，合规风险的识别与评估构成合规风险管理体系建立的前提和基础。在企业不断改革创新时期，建立有效的合规风控体系已成为企业治理的基石。更好把法律工作融入企业经营管理，将合规风控更好与企业生产经营、管理活动之间深度融合，建立基于风险等级及转化机制的最大公约数，已成为企业亟待解决的重要问题。

其中，系统识别是有效防控的基础。企业合规风险识别，是指对企业各业务单元、经营活动、业务流程中存在的所有合规风险进行查找与辨别，并对应归入相应风险类型的过程。它需要运用结构化的识别模型，考虑行业属性和企业自身特点，深入了解企业的具体经营管理，按职权查风险、按风险设防线和按权力定流程，构建起立体化合规风险防控体系。其原则是“有岗位就有风险”“有权力就有风险”，职责履行到哪里，风险就排查到哪里。商业合规风险存在于各个职位、各个环节的各项工作业务中，风险识别是实施合规风控的第一阶段，通过严谨周密的尽职调查，全面了解企业情况与相关背景资料，收集企业各类历史行为或正在实行行为的信息，为整体上识别企业合规风险提供全方位的基础资料，有利于发现企业管理制度以及经营行为中存在的合规风险。尽职调查的内容应具有全面性，包括但不限于企业中与其生产、经营、管理有关的人和事，同时重点应聚焦在对企业具体行为具有决策、控制或者直接影响作用的高级管理人员和关键岗位人员，调查方法包括数据收集、问卷调查、面对面访谈、现场考察、调查验证等。编制职权目录，全面梳理部门、单位各个岗位的各类职权，摸清权力范围，编制职权目录和权力流程图。查找权力运行中的风险点，以界定工作职权为基础，从梳理工作流程人手，通过岗位自查、部门互查、组织核查的方法，全面深入查找法律风险可能存在和发生的环节，以权力运行为主线，重点查找个人岗位、部门职权、单位职责三个层次和领导干部岗位、中层管理岗位、一般管理岗位、操作技能岗位四个层面，分级排查风险，不留死角，不留空白、不留盲点。

接下来，还要对风险进行科学评估并分级分类。科学评估是有效防控的前提。在评估一个合规风险点对企业的影响时，要将企业可能承担的责任义务与企业的实际情况联系，甚至与企业整体的目标和发展战略联系起来，把合规风险对企业的最终影响加以科学评价，列出合规风险清单。通常而言，企业合规风险的识别是一种定性分析，提示了企业在不同的环节或者流程中存在的合规风险。但面对数量庞大的各类合规风险点，并不是所有的都需要在第一时间采取措施加以应对，在诸如效率、资金等多种因素的制约下，如何选择对各种合规风险的处理方式成为企业发展的困境。此时需要对合规风险进行定量分析，主要应该包括三个部分：风险发生的可能性、风险的影响程度、风险损失期望值，即在一定的时间范围内风险发生频次的高低，对企业可能造成的损失以及综合评价后对风险严重程度的判断。在此基础上实行风险等级管理，并结合岗位对于企业的重要程度、业务量的多少、权力的集中程度和发生违规行为的可能性等要素制定分类风险防控措施，明确风险责任，最大程度上进行合规风险的预防。

（二）法律风险管理行为

法律风险管理行为是合规风控体系的落地要求。商业合规风险防控体系是在横向、纵向两个维度上的构建。横向上体现“三位”，即加强合规风险管理制度建设，落实合规风险管理工作机制，以及建立合规风险管理信息系统；纵向上体现为内部管理一体化，即合规风险管理与全面风险管理、内控管理一体化推进，以确保合规风险防控目标顺利实现。

（1）体系化合规管理组织架构。企业高管层要率先认识到合规风险在经营管理中的重要地位，将之列入企业管理的长效机制，把各项合规风险的防范措施纳入日常经营管理的制度和流程。企业尤其是大中型企业，有必要仿效国企样板典型示范，建立专门的合规法务部门，配齐专职的合规法务人员。做好法律防控，必须做好事前预防和事中控制，只有充分发挥公司合规法务部门和专业人员的作用，对企业经营进行法律调查、风险评估、可行性论证，对具体经营管理环节提示法律风险及提供法律意见，在各个经营生产环节嵌入法律管理，才能有效以法律倒逼企业的合规化良性运行。(www.daowen.com)

（2）健全的合规风险管理制度。企业必须加强制度体系建设，使依法治企有章可循。须将日常工作纳入动态合规管理流程，使企业经营处于合规管理监管范围。合规风险防控与其他风险防控也是一样，是需要系统、具体地去识别并防控，一定要整体化、立体化的来看待合规风险，并对每个风险制定制度，可以适度让一个制度针对一个合规风险，简洁明快及可接受性强，形成一对一制度体系，让企业合规管理更加规范化运行。

（3）持续性合规风险管理机制。企业需按照自我约束、自我发展和自我完善合规风控原则，将合规风险防控纳入经济运行考核体系，与管理层绩效挂钩。很多企业年初都会与部门和下属单位以及子公司签订安全目标责任书和廉洁从业目标责任书，合规风险责任书也需要纳入企业的管理体系中，部门、单位和子公司要在企业本部的指导下，做好合规风险防控，形成齐抓共管、责任明晰的合规风险管理体系。同时，要建立成熟的考核体系，考核体系不仅要涵盖部门，更要与领导人员的绩效挂钩，提高企业合规风险防控的积极性和主动性。尤其针对做得好的部门、单位和个人，更要给予适当的奖励，不断激发合规风险防控的积极性和创造性。

（4）要进行反溯和持续改进。为了开展好合规风险防控，企业要结合对各下属单位和子公司开展例行审计，实行实时检查和专项检查相结合的方式，并通过检查和整改工作，进一步规范合规风控，提升整体合规风控水准。企业还需要根据自身运行情况，建立和完善自身战略目标适应的风险等级，将潜在的风险进行等级划分，对于高风险潜在事件高度关注及持续跟踪。在风险划分的基础之上提出有效的解决措施。合规风险点还要定时更新，以确保风险点能跟上企业深改与发展，真正做到事前预防和消除纠纷隐患。

（三）合规风控文化建设

刚性的系统和监督，难以从源头上杜绝所有员工的违规行为，而是必须通过软文化来将合规意识渗透到每位员工。企业与企业、企业与个人和企业与内部，都有应当存在适当的内部政策来进行规范和调整。风控文化建设可以促进企业内控，改善经营决策的质量来降低合规风险程度，从根本上杜绝管理层不正当的关联交易，以及基于内部信息优势侵害他人权益等类似违规行为。

合规风控文化的关键在于“有效控制性”这一理念的普适性形成。包括：企业内部的关键部门、关键岗位手中所掌握的重要资源和信息，需要有明确的制度制约，并有专业部门进行监督。避免管理层凌驾于制度之上采取不正当手段，从而减少各个层级的违规违纪违法行为，提高资源整合效率。内控活动中，管理人员和组织管理部门可以充分运用不同手段和方法，形成有效的立体化管理控制，同时推动合规风险管理活动的切实执行和动态调整。基于这种“有效控制性”，逐步形成特色企业合规文化。企业可以加大法律宣传力度、定时进行培训和考核、建立法治宣传阵地等手段，将合规意识潜移默化地植入员工的内心，让员工对企业文化和管理的高度认同，这样能从根本上防范与之相关的合规风险。同时，领导管理层的合规意识要不断加强，充分认识合规风险管理在经营管理中的重要地位，让法律工作从单纯的事务性工作转变为管理型和操作性并重的工作，提高合规风险监管的效率。当然，更直接的方法通过提升薪酬和福利，吸引、加强法律和财务人才引进，形成强有力的组合式合规团队，让团队来营造和维护企业特有的合规文化。