GB∕T 35770-2022《 合规管理体系 要求及使用指南》之7：“4组织环境-4.6合规风险评估”专业深度解读和应用指导材料（雷泽佳编写2025D0）

GB∕T35770-2022《合规管理体系要求及使用指南》之7：“4组织环境-4.6合规风险评估”专业深度解读和应用指导材料GB∕T35770-2022《合规管理体系要求及使用指南》之7：“4组织环境-4.6合规风险评估”专业深度解读和应用指导材料（雷泽佳编制-2025D0）GB∕T35770-2022《合规管理体系要求及使用指南》 GB∕T35770-2022《合规管理体系要求及使用指南》4组织环境4.6合规风险评估组织应基于合规风险评估，识别、分析和评价其合规风险。组织应通过将其合规义务与活动、产品、服务以及运行的相关方面关联，来识别合规风险。组织应评估与外包的和第三方的过程相关的合规风险。组织应定期评估合规风险，并在组织环境发生重大变化时进行评估。组织应保留有关合规风险评估和应对合规风险措施的文件化信息。“4.6合规风险评估”术语、定义与涵义解读“4.6合规风险评估”核心术语、定义与涵义解读表术语定义涵义解读合规风险评估对组织合规风险进行识别、分析和评价的全过程；是合规管理体系实施的基础，也是分配适当和充足的资源与过程以管理已识别合规风险的基础。“合规风险评估”是4.6条款的核心对象，明确了合规风险评估的本质是“识别、分析、评价”三环节的有机结合。其核心作用是为合规管理体系提供“基础支持”——一方面通过系统评估明确组织面临的合规风险全貌，另一方面为资源分配（如人力、财力投向高风险领域）提供依据，确保合规管理活动有的放矢。评估过程需覆盖所有与合规义务相关的活动、产品、服务及运行，且需关联外包与第三方过程，同时响应组织环境变化，是后续合规风险应对措施制定的前置前提。（新增：评估方法可参考ISO31000与IEC31010标准）。合规风险因组织未遵守合规义务而可能面临的负面影响；能以不遵守组织合规方针与义务的后果和不合规发生的可能性来表征，包括固有合规风险和剩余合规风险。“合规风险”是4.6条款评估的直接对象，明确了合规风险的本质是“不合规的负面影响”。需从两个维度理解：一是“风险表征”，需同时考虑“不合规后果”（如个人/环境伤害、经济损失、民事/刑事责任等）和“发生可能性”，二者共同决定风险等级；二是“风险类型”，需区分“固有合规风险”（无任何控制措施时的风险）和“剩余合规风险”（现有措施无法控制的风险），前者是评估起点，后者是评估终点，需判断其是否处于组织可接受范围。（新增：风险评估应结合不合规的根本原因、后果及其发生的可能性）。合规义务组织必须遵守的法律、法规和其他强制性要求，以及组织自愿承担的承诺（如行业规范、客户约定、社会责任承诺等）。“合规义务”是4.6条款中“识别合规风险”的核心关联依据，明确了合规风险的“源头”是“义务的违反”。其关键作用是作为“关联纽带”——组织需将合规义务与自身活动、产品、服务、运行逐一匹配，若某一活动与特定合规义务不匹配（即存在违反义务的可能），则构成合规风险。需注意，合规义务既包括“法定强制要求”（如《民法典》《环境保护法》），也包括“自愿承诺”（如组织公开的合规声明），二者均需纳入评估范围，避免遗漏。（新增：合规义务应定期更新，特别是当法律环境或组织战略发生变化时）。活动组织所进行的工作或步骤。“活动”是4.6条款中“合规义务关联对象”之一，明确了组织运营中产生合规风险的“动态载体”。“活动”涵盖组织全价值链的各类工作（如研发、生产、采购、营销、人力资源管理等），需结合每项活动的具体流程，匹配对应的合规义务（如生产活动需关联安全生产法规、营销活动需关联广告法），进而识别活动中可能违反义务的环节（如生产流程未符合安全操作规范），确保合规风险识别无死角。（新增：活动应按流程、岗位、部门等多个维度进行分类识别）。产品在组织和顾客之间未发生任何交易的情况下，组织能够向顾客提供的输出；包括有形产品（如硬件、软件）和无形产品（如数据）。“产品”是4.6条款中“合规义务关联对象”之一，明确了组织输出中产生合规风险的“有形/无形载体”。需覆盖产品全生命周期（设计、生产、存储、运输、销售、报废）的合规义务（如设计阶段需符合产品质量标准、报废阶段需符合环保处置法规），识别各阶段可能的不合规风险（如产品设计未满足强制性安全标准、报废处理未符合固废管理规定），确保产品全流程合规。（新增：应特别关注产品出口涉及的国际合规义务，如出口管制、制裁清单等）。服务至少有一项活动必须在组织和顾客之间进行的输出；通常是无形的，且在服务提供过程中完成。“服务”是4.6条款中“合规义务关联对象”之一，明确了组织输出中产生合规风险的“交互性载体”。需聚焦服务提供的“交互过程”（如服务沟通、服务交付、售后服务），匹配对应的合规义务（如服务沟通需符合消费者权益保护法、售后服务需符合合同约定），识别过程中可能的不合规风险（如服务承诺未兑现、服务过程泄露客户隐私），确保服务交互全流程合规。（新增：服务交付中涉及数据处理的，应重点关注《个人信息保护法》《数据安全法》等法规要求）。运行组织为实现目标而开展的持续的过程和活动；包括组织日常运营的核心流程、支持流程及管理流程。“运行”是4.6条款中“合规义务关联对象”之一，明确了组织长期运营中产生合规风险的“持续性载体”。“运行”更强调“过程的持续性”（如设备持续运行、财务流程持续执行、人力资源管理持续开展），需结合运行过程的稳定性要求，匹配对应的合规义务（如设备运行需符合特种设备安全法规、财务流程需符合会计法），识别长期运行中可能的合规风险（如设备未定期检测、财务核算不合规），确保组织运营的持续性合规。（新增：应特别关注自动化运行过程中可能引发的合规盲区）。外包组织将其部分活动或过程委托给外部方进行的安排；外包不免除组织对该活动或过程的合规责任。“外包”是4.6条款中“特殊风险评估对象”，明确了组织外部协作中产生合规风险的“传导路径”。核心要点是“责任不转移”——即使活动外包，组织仍需对该活动的合规性负责，因此需评估外部方的合规能力（如资质、过往合规记录）、外包过程的合规控制（如合同中的合规条款、对外包方的监督机制），识别外包可能带来的合规风险（如外包方违反环保法规导致组织被追责），确保外包过程的合规性可控。（新增：应建立外包合规风险评估清单，并定期更新）。第三方与组织的活动、产品、服务或运行相关，但不属于组织自身的个人或实体；包括外包方、供应商、合作伙伴、客户等。“第三方”是4.6条款中“关联风险评估对象”，明确了组织外部关联方中产生合规风险的“主体范围”。需聚焦第三方与组织的“关联性”——第三方的行为可能直接或间接导致组织不合规（如供应商提供不合规原料导致组织产品不合格、合作伙伴不正当竞争牵连组织），因此需评估第三方的合规风险水平、与第三方交互过程中的合规控制措施，识别第三方可能传导的合规风险，确保外部关联活动的合规性。（新增：建议对高风险第三方进行合规尽职调查）。组织环境组织所处的内外部情况；内部环境包括治理结构、文化、资源、流程等，外部环境包括法律、监管、市场、社会、技术等因素。“组织环境”是4.6条款中“评估触发条件”之一，明确了合规风险评估的“动态调整依据”。其核心作用是“触发再评估”——当组织环境发生“重大变化”（如外部法规修订、内部战略调整、市场环境突变）时，原有的合规风险可能发生变化（如新增合规义务、原有风险等级升级），因此需及时启动合规风险再评估，确保评估结果与组织环境相适应，避免因环境变化导致合规风险失控。（新增：组织环境应定期监测，建立动态评估机制）。重大变化可能导致组织合规义务、活动、产品、服务或运行发生实质性改变，进而影响合规风险水平的变化；包括新的/变化的活动/产品/服务、组织结构/战略变化、合规义务变更、并购、不合规事件等。“重大变化”是4.6条款中“非定期评估的触发点”，明确了合规风险评估需“动态响应”的场景。需判断变化是否“实质性影响合规风险”——例如，新业务开展可能新增合规义务、合规义务修订可能改变原有风险等级、并购可能整合新的合规风险源，此类变化均需触发合规风险再评估，确保评估的时效性和准确性，避免因未及时响应变化导致合规风险遗漏。（新增：应在组织内部建立“变化识别与评估机制”）。合规方针组织关于合规管理的总体意图和方向的声明；包括组织对合规的承诺、合规管理的目标、对合规风险的态度及可接受的合规风险水平。“合规方针”是4.6条款中“风险评价的基准依据”，明确了合规风险评估的“战略导向”。其核心作用是“设定评价标准”——合规风险评价需将评估得出的风险水平与合规方针中“可接受的合规风险水平”对比，判断风险是否需应对（如高于可接受水平的风险需优先处理）。同时，合规方针中的“合规承诺”（如“零重大合规事故”）也为风险评估设定了目标，确保评估结果与组织合规战略一致。不合规组织未遵守其合规义务的情况；包括实际发生的不合规行为、已发现的不合规隐患及潜在的不合规趋势。“不合规”是4.6条款中“风险分析的核心依据”，明确了合规风险的“表现形式”。需注意“广义覆盖”——不仅包括已发生的不合规事件（如被监管处罚），还包括未发生但存在隐患的情况（如流程漏洞可能导致不合规），甚至包括近乎不合规的临界状态。即使单一不合规事件，也可能表明组织环境发生实质性变化，需触发合规风险再评估，避免因忽视小的不合规导致风险扩大。（新增：应建立不合规事件的分级响应机制）。近乎不合规组织的活动、产品、服务或运行接近未遵守合规义务的临界状态，但尚未构成正式不合规的情况；是不合规的“预警信号”。“近乎不合规”是4.6条款中“风险预警的关键指标”，明确了合规风险的“前置信号”。其核心作用是“预防前置”——需主动识别此类临界状态（如某流程操作接近违反法规要求、某产品指标接近不合格标准），分析其产生原因（如人员操作不熟练、标准理解偏差），并采取预防措施（如加强培训、修订操作规范），避免其发展为正式不合规，降低合规风险发生概率。（新增：应将其纳入风险监控指标，建立预警系统）。固有合规风险组织在未采取任何相应合规风险处理措施的非受控状态下，所面临的全部合规风险。“固有合规风险”是4.6条款中“风险评估的起点”，明确了组织活动本身固有的合规风险水平。其核心作用是“建立基准”——需在未考虑任何控制措施的前提下，识别组织因活动、产品、服务等与合规义务不匹配而面临的全部风险，为后续制定应对措施提供原始参考（如某活动固有风险等级高，则需优先制定强效控制措施），避免因先入为主考虑控制措施导致风险识别不全面。（新增：应区分不同业务单元的固有风险特征）。剩余合规风险组织现有的合规风险处理措施无法有效控制的合规风险。“剩余合规风险”是4.6条款中“风险评估的终点”，明确了现有控制措施后的风险残留情况。其核心作用是“判断风险可接受性”——需将剩余合规风险与组织“能接受的合规风险水平”对比，若剩余风险超出可接受范围，则需补充或优化应对措施；若在可接受范围，则需纳入日常监视。需注意，剩余风险并非“无需管理”，仍需持续监控，避免因控制措施失效导致风险升级。（新增：应建立剩余风险的持续监控机制，并定期向管理层汇报）。合规风险源可能引发组织不合规，进而产生合规风险的各类因素或来源；包括内部因素（如流程缺陷、人员能力不足）和外部因素（如法规变化、第三方不合规）。“合规风险源”是4.6条款中“风险识别的核心对象”，明确了合规风险的“根本来源”。需按“维度拆解”识别风险源：按部门维度（如财务部门的税务风险源、生产部门的安全风险源）、按岗位维度（如采购岗位的供应商合规风险源、法务岗位的合同合规风险源）、按活动类型维度（如研发活动的知识产权风险源、销售活动的广告合规风险源），形成“合规风险源清单”，确保风险识别从源头切入，避免碎片化。（新增：建议建立风险源数据库，便于长期跟踪和动态更新）。合规风险情况由合规风险源引发的，可能导致组织不合规的具体情景或状态；需明确风险源、不合规行为、可能后果的对应关系。“合规风险情况”是4.6条款中“风险识别的具体落地形式”，明确了合规风险的“情景化表达”。需基于合规风险源界定具体风险情景（如“供应商未提供合规原料（风险源）→组织使用不合规原料生产（不合规行为）→产品不合格被监管处罚（后果）”），形成“合规风险情况清单”。此举可将抽象的风险源转化为具体可分析的情景，为后续“可能性分析”“后果分析”提供明确对象，确保风险分析不空洞。（新增：建议采用场景模拟、案例分析等方式丰富风险情况描述）。能接受的合规风险水平组织在合规方针中设定的，愿意承担的合规风险限度；反映组织对合规风险的容忍度，需结合组织规模、行业特性、合规目标及利益相关者期望确定。“能接受的合规风险水平”是4.6条款中“风险评价的核心标尺”，明确了合规风险“是否需应对”的判断标准。需注意“动态适配”——该水平并非固定不变，需随组织环境变化（如行业监管趋严、组织战略升级）调整；同时，需覆盖所有合规风险领域（即使低风险领域，也需明确可接受水平），避免因“风险等级低”而忽视合规义务。此外，该水平需在组织内部达成共识，确保风险评价结论的一致性和权威性。文件化信息组织需控制和保持的，作为证据的信息及其载体；包括记录、程序文件、评估报告、风险清单、应对措施方案等。“文件化信息”是4.6条款中“合规性证据要求”，明确了合规风险评估过程需“可追溯、可验证”的载体。需保留两类文件化信息：一是“评估过程文件”（如风险识别记录、分析报告、评价结果），证明评估过程的系统性和合规性；二是“应对措施文件”（如应对方案、实施记录），证明已识别风险得到有效管理。文件化信息需受控管理（如版本控制、保存期限），确保在监管检查、内部审核时可追溯，满足合规管理体系的证据要求。（新增：文件化信息应采用电子化管理，便于检索与共享）。“4.6合规风险评估”目的和意图解析“4.6合规风险评估”目的和意图说明表解析维度“4.6合规风险评估”目的和意图说明本条款总体核心目的和意图定位1)建立组织合规管理体系的基础性、核心决策支持机制，通过系统化、结构化的合规风险识别、分析与评价，明确组织面临的固有合规风险与剩余合规风险边界，为合规管理体系的建立、实施、维护和改进提供底层依据；2)贯彻“以风险为基础”的合规管理理念，确保组织所有合规义务（法定强制要求与自愿承诺）得到覆盖，最终支持组织在动态内外部环境中持续合规运营，实现战略目标与合规目标的协同。核心价值和预期结果/成效/收益1)系统识别合规风险源，全面掌握风险全貌：通过将合规义务与组织活动、产品、服务、运行相关方面逐一关联，结合部门、岗位、活动类型等多维度拆解，识别所有潜在合规风险源，界定合规风险情况并形成清单，明确固有合规风险（无控制措施时的风险）与剩余合规风险（现有措施无法控制的风险）的差异，帮助组织建立合规风险“全景认知”，避免风险遗漏或碎片化识别；

2)管控外包与第三方过程风险，确保合规责任无盲区：针对外包及第三方过程，明确“外包不免除组织合规责任”的核心原则，评估外部方合规能力（如资质、过往合规记录）、外包合同合规条款有效性及监督机制，避免因第三方不合规（如供应商提供不合规原料、外包方违反环保法规）导致组织被追责，实现从内部运营到外部协作的全链条合规覆盖；

3)建立动态评估机制，响应环境变化：通过“定期评估+重大变化触发再评估”的双重机制，确保风险评估时效性。其中，重大变化包括新的/变化的活动/产品/服务、组织结构/战略调整、合规义务变更、并购、不合规事件（含单一不合规）、近乎不合规及外部金融经济环境/市场条件突变等场景，帮助组织主动适配环境变化，防止“静态评估”导致的风险失控；

4)保留文件化信息，满足合规证据与追溯要求：要求保留两类文件化信息——一是“评估过程文件”（风险识别记录、分析报告、评价结果），证明评估的系统性；二是“应对措施文件”（应对方案、实施记录），证明风险已受控；同时需对文件化信息进行受控管理（如版本控制、保存期限），优先采用电子化管理便于检索与共享，为内部审核、监管检查、责任追溯提供可验证的证据支持，满足合规管理体系的证据性要求；

5)支持风险导向决策，优化资源配置效率：基于风险分析结果（结合不合规后果、发生可能性及根本原因），将风险水平与合规方针中“能接受的合规风险水平”对比，明确风险优先级；优先将人力、财力等资源投向高风险领域，同时确保低风险领域不被忽视（需覆盖所有合规风险），避免资源错配；评估过程可参考GB∕T24353-2022《风险管理——指南》与GB∕T27921-2023《风险管理——风险评估技术》，提升决策的科学性与合规管理整体效能。“4.6合规风险评估”条款与其他条款条款逻辑关联关系分析“4.6合规风险评估”与GB∕T35770-2022其他条款条款逻辑关联关系分析表4.6子条款主题事项关联GB∕T35770其他条款逻辑关联关系分析关联性质说明基于合规风险评估识别、分析和评价合规风险4.1理解组织及其环境组织需先通过4.1识别影响合规管理体系的内外部因素（如法律监管环境、业务模式、合规文化、气候变化等），这些因素是合规风险识别、分析的核心输入；组织环境的评审结果直接决定风险评估的范围和重点，无环境理解则无法精准定位风险源。信息输入关系识别合规风险4.5合规义务4.5要求组织系统识别并维护合规义务（含强制性要求与自愿性承诺），而4.6明确“通过将合规义务与活动、产品、服务及运行相关方面关联”识别合规风险——即“未履行合规义务”是合规风险的核心来源，4.5识别的义务清单是4.6风险识别的直接依据；合规义务是风险评估的基础，需按部门、职能关联义务与风险。依据关系识别合规风险6.1应对风险和机遇的措施4.6合规风险评估的结果（如风险等级、风险类型、潜在影响）是6.1策划应对措施的直接输入：组织需基于评估结果确定“需优先应对的合规风险”及“可利用的合规机遇”，并将风险应对措施纳入合规管理体系过程；策划应对措施需结合合规风险评估结果，确保措施针对性。信息输入关系评估外包和第三方过程的合规风险8.1运行的策划和控制4.6要求评估外包及第三方过程的合规风险，而8.1明确“组织应确保第三方过程得到控制和监视”——风险评估结果直接指导8.1的运行控制策划，如针对高风险第三方制定尽职调查流程、签订含合规义务的服务水平协议（SLA）、建立持续监视机制；外包过程的风险评估是避免合规标准降低的关键前提。依据与行动关系定期评估和变化时评估6.3针对变更的策划当组织发生6.3所述的变更（如活动/产品变更、组织结构调整、战略变化）时，需按4.6要求重新开展合规风险评估，评估结果作为6.3变更策划的核心依据——确保变更过程中新增的合规风险被识别并纳入控制；“组织结构或战略变化、新的活动/产品”需触发风险再评估，与6.3变更策划形成流程衔接。流程顺序与衔接关系保留文件化信息7.5文件化信息4.6要求保留合规风险评估及应对措施的文件化信息，需符合7.5的全流程要求：7.5.1明确此类信息为体系有效性必需的文件化信息，7.5.2要求对信息进行标记、评审和批准，7.5.3要求控制信息的访问、存储、防护（如防止篡改）及检索；“合规风险登记册”为核心文件化信息，需按7.5要求维护。信息输出与控制关系合规风险评估的整体过程5.1.1治理机构和最高管理者5.1.1要求治理机构和最高管理者“确保维护合规承诺并妥善处理不合规”“监督合规管理体系运行”，而4.6合规风险评估的过程及结果需向治理机构汇报——治理机构需基于评估结果审查风险应对措施的充分性，最高管理者需依据评估结果配置资源；治理机构需通过风险评估结果监督管理层的合规责任履行，形成监督闭环。监督与依据关系合规风险评估的整体过程5.3.2合规团队5.3.2明确合规团队的核心职责包括“编制合规风险评估文件（见4.6）”“监督合规义务与方针、程序的整合”“确立合规绩效指标（关联风险评估结果）”——合规团队是4.6合规风险评估的主导执行方，负责评估过程的组织、结果的审核及与其他过程的衔接；合规团队应具备“设计、实施合规风险评估”的能力，确保评估质量。职责分配与执行保障关系合规风险评估的整体过程7.1资源4.6合规风险评估结果（如高风险领域、复杂风险类型）直接指导7.1的资源配置——组织需为高风险领域优先分配资源（如合规专家、技术工具、培训预算），为风险评估过程本身配置必要的人力（如专业评估人员）和技术资源（如风险分析工具）；风险评估是“分配适当和充足资源”的基础，与7.1形成资源配置的依据闭环。决策与资源配置关系合规风险评估的整体过程9.1监视、测量、分析和评价4.6合规风险评估的结果（如风险等级、控制有效性结论）是9.1的关键输入：9.1需基于评估结果“监视合规风险的控制情况”“测量合规绩效（如高风险领域合规率）”“分析不合规的根本原因（关联风险源）”；“合规风险评估结果用于评估体系有效性”，9.1.2将风险评估结果列为合规绩效反馈的核心来源。支持与依据关系合规风险评估的整体过程9.3管理评审9.3.2明确管理评审的输入需包括“合规风险评估的充分性”，4.6合规风险评估的整体过程及结果（如风险变化趋势、应对措施有效性）需提交管理评审——治理机构和最高管理者通过评审评估风险评估过程的适宜性、风险应对措施的有效性，进而决定合规管理体系的改进方向；管理评审需基于风险评估结果识别“需监视的潜在不合规领域”，确保体系持续适配风险。信息输入与评审依据关系合规风险评估的整体过程10.2不符合与纠正措施4.6合规风险评估中识别的“潜在不合规风险”或“已发生不合规的风险根源”，是10.2启动纠正措施的前置条件——组织需针对评估发现的不合规风险（如未履行义务的风险）分析根本原因，制定并实施纠正措施；“分析不合规信息需结合风险评估结果”，以确保纠正措施能覆盖风险根源，形成“风险识别-纠正-风险控制”的闭环。前序过程和后续过程接口关系“4.6合规风险评估”条款核心涵义解析（理解要点解读）；“4.6合规风险评估”条款核心涵义解析表子条款原文子条款核心涵义解析（理解要点详细解读）组织应基于合规风险评估，识别、分析和评价其合规风险。(1)合规风险评估的基础性与核心流程定位。本条款明确合规风险评估是组织开展合规风险管理的“底层基础”，也是合规管理体系有效运行的逻辑起点。其核心要求是组织必须通过“合规风险评估”这一系统性、结构化过程，而非零散排查，完成合规风险的“识别、分析、评价”三项核心任务，三者呈递进关系：

1)识别：全面发现组织面临的潜在合规风险，确保无遗漏；

2)分析：深入剖析风险的成因、发生可能性及潜在后果；

3)评价：结合组织合规方针判定风险等级，明确优先级。

(2)风险表征与类型界定：合规风险需以“不遵守组织合规方针与义务的后果”和“不合规发生的可能性”双重维度表征，且需区分“固有合规风险”（未采取任何控制措施时的全部风险）与“剩余合规风险”（现有措施无法控制的风险），二者共同构成风险评估的完整范畴。

(3)评估方法的规范性：参考见GB∕T24353-2022《风险管理——指南》和GB/T27921-2023《风险管理风险评估技术》，合规风险评估需采用科学方法，确保过程的客观性与可重复性，为后续资源分配（如人力、财力投向高风险领域）和风险应对提供可靠依据。组织应通过将其合规义务与活动、产品、服务以及运行的相关方面关联，来识别合规风险。(1)合规风险识别的核心逻辑：“义务-业务”映射。本条款确立合规风险识别的根本路径——以“合规义务”为源头，将其与组织的“活动、产品、服务、运行”逐一关联匹配。若某一业务环节与特定合规义务不匹配（存在违反义务的潜在可能），即构成合规风险，确保识别过程“靶向性”而非盲目排查。

(2)关键概念的范围界定：

1)合规义务：涵盖法定强制要求（如《民法典》《环境保护法》）与自愿承诺（如行业规范、客户约定、社会责任声明），需定期更新以响应法律环境或战略变化；

2)关联对象细化：

-活动：覆盖研发、生产、采购、营销、人力资源等全价值链流程；

-产品：覆盖设计、生产、存储、运输、销售、报废全生命周期；

-服务：聚焦服务沟通、交付、售后等交互过程（尤其关注数据处理相关的《个人信息保护法》要求）；

-运行：包括核心流程、支持流程及管理流程的持续开展（如设备运行、财务核算）。

(3)风险源与风险情况清单要求：组织需根据“部门职责、岗位职责、活动类型”细分维度，识别各领域的“合规风险源”（如流程缺陷、人员能力不足、外部法规变化），并界定每个风险源对应的“合规风险情况”（如“供应商未提供合规原料→产品不合格被监管处罚”的具体情景），最终形成并定期更新《合规风险源清单》与《合规风险情况清单》，确保识别过程可追溯、可迭代。组织应评估与外包的和第三方的过程相关的合规风险。(1)外包与第三方风险的特殊性及评估必要性：本条款聚焦组织外部协作中的合规风险盲区，核心原则是“外包不免除组织合规责任”——即使组织将部分活动委托外部方（如外包方、供应商、合作伙伴），仍需对该过程的合规性承担最终责任，因此必须将其纳入合规风险评估范围。

(2)评估的核心维度。

1)外部方合规能力评估：审查第三方的资质证书、过往合规记录（如是否存在监管处罚）、内部合规管理体系建设情况；

2)过程控制有效性评估：分析外包合同中的合规条款（如是否明确合规义务传递要求）、组织对外包过程的监督机制（如定期审核、绩效监控）；

3)不合规传导风险评估：识别第三方行为可能导致组织不合规的情景（如外包方违反环保法规导致组织被连带追责、供应商提供不合规原料导致产品质量风险），分析“不合规的根本原因、后果及发生可能性”。组织应定期评估合规风险，并在组织环境发生重大变化时进行评估。(1)双重评估触发机制：定期性+动态响应。本条款确立合规风险评估的“持续适配”原则，通过两种机制确保评估结果的时效性与准确性：

1)定期评估：根据组织规模、风险复杂度设定固定周期（如季度、年度），确保风险识别与管理的常态化，避免“一次性评估”导致的风险失控；

2)重大变化触发再评估：当组织环境发生实质性改变时，需立即启动评估，避免因环境变化导致风险遗漏。

(2)“重大变化”的具体场景。“重大变化”包括但不限于：

-业务层面：新的/变化的活动、产品或服务（如开展跨境业务）；

-组织层面：组织结构调整、战略方向变更、并购重组；

-外部环境层面：合规义务变更（如法规修订）、金融经济环境突变、市场条件变化、客户关系重大调整；

-风险事件层面：发生不合规事件（即使单一事件也可能表征环境实质变化）、出现“近乎不合规”的临界状态（如流程操作接近违规标准）。

(3)评估详细程度的适配性：评估的详细程度需结合组织的“风险情况、内外部环境、规模及目标”调整，且可根据细分领域（如环境合规、财务合规、数据合规）差异化设计，确保资源投入与风险复杂度匹配。组织应保留有关合规风险评估和应对合规风险措施的文件化信息。(1)文件化信息的核心作用：可追溯性与证据性：本条款强调合规风险评估过程的“可验证性”，要求组织保留相关文件化信息，既是合规管理体系运行的“证据支撑”（如应对监管检查、内部审核），也是风险应对效果复盘、体系持续改进的“基础依据”；

(2)文件化信息的范围与管理要求：

1)文件化信息分类：

-评估过程文件：风险识别记录（如风险清单）、风险分析报告（如可能性与后果分析表）、风险评价结果（如风险等级矩阵、优先级排序表）；

-应对措施文件：风险应对方案（如规避、降低、转移风险的具体计划）、应对措施实施记录（如培训签到表、合同修订版）、应对效果验证记录。

2)文件化信息管理要求：

-受控管理：需进行版本控制（防止篡改）、设定保存期限（满足法规与审核要求）；

-便捷性要求：优先采用电子化管理（如建立风险信息系统），便于检索、共享与追溯；

-全覆盖要求：所有已识别的合规风险（无论等级高低）的评估与应对信息均需保留，确保“无风险遗漏记录”，且需证明所有风险均被持续监视和处理。实施“4.6合规风险评估”应开展的核心活动要求；实施“4.6合规风险评估”应开展的核心活动要求说明表子条款主题事项所需开展的核心活动核心活动具体实施要点及要求说明需采用的工具/技术/方法开展核心活动时需特别注意事项基于合规风险评估识别、分析和评价其合规风险开展系统性合规风险识别、分析与评价活动，区分固有与剩余风险-建立统一的合规风险识别、分析与评价标准，明确风险识别范围需覆盖组织全业务领域；

-采用分级分类方法（如按业务部门、风险领域）对合规风险进行结构化管理；

-基于PDCA框架持续开展评估循环：计划（设定评估周期与范围）、执行（开展识别分析）、检查（验证评估准确性）、改进（优化评估标准）；

-分析不合规的根本原因（如流程缺陷、人员能力不足）、潜在后果（如人身伤害、经济损失、刑事责任）及发生可能性；

-制定合规风险评价矩阵，明确风险等级划分标准（如高、中、低三级，结合后果严重程度与发生可能性）；

-明确固有合规风险（无控制措施时的全部风险）与剩余合规风险（现有措施后无法控制的风险）的边界；

-引入定量与定性相结合的评估方法，对高风险领域优先采用定量分析（如财务损失估算）。-合规风险识别：头脑风暴法、德尔菲技术）、合规风险登记表；

-合规风险分析：故障树分析（FTA）、事件树分析（ETA））；

-合规风险评价：风险矩阵、风险热力图、风险评分法；

-固有/剩余风险对比分析表。-不得遗漏高风险领域（如数据合规、反腐败、安全生产）；

-应确保评估结果可测量、可追溯，每一项风险均需对应具体业务环节；

-应避免主观判断偏差，对定性分析结果需经跨部门（如业务、法务、风控）复核；

-需定期（如年度）更新风险评价标准，适配法规与业务变化；

-需结合GB/T24353-2022《风险管理——指南》和GB/T27921-2023《风险管理——风险评估技术》开展评估；

-即使合规风险较低，也不得接受不合规。将合规义务与活动、产品、服务及运行相关方面关联以识别合规风险构建合规义务与业务全维度的映射机制，形成风险源与风险情况清单-梳理组织全部合规义务清单：覆盖法定强制要求（如《民法典》《个人信息保护法》《环境保护法》）与自愿承诺（如行业规范、客户约定、社会责任声明），并定期（如季度）更新；

-按活动全价值链（研发、生产、采购、营销、人力资源等）、产品全生命周期（设计、生产、存储、运输、销售、报废）、服务交互过程（沟通、交付、售后）、运行持续过程（设备运行、财务核算、数据处理）维度，逐一关联合规义务；

-建立义务-活动映射图或义务-风险图谱，标注每个关联环节的风险点（如生产活动关联《安全生产法》要求，对应“未按规范操作导致工伤”风险）；

-识别并记录每个关联环节的合规风险源（如流程缺陷、人员能力不足、外部法规变化）及对应的合规风险情况（如“供应商未提供合规原料→产品不合格被监管处罚”的具体情景）；

-形成《合规风险源清单》与《合规风险情况清单》，明确风险源类别、风险情景描述、关联义务，且每半年复核更新一次。-合规义务清单模板（含义务类型、来源、适用范围、更新日期字段）；

-合规义务-业务映射工具（如Visio、思维导图软件）；

-合规风险源清单模板（按部门、岗位、活动类型分类）；

-合规风险情况清单模板（含风险源、不合规行为、后果字段）；

-业务流程图结合风险点标注。-避免遗漏义务来源（如地方性法规、国际条约、行业自律规范）；

-防止义务与业务脱节，需联合业务部门（如生产、销售）共同开展关联分析；

-注意义务变化的动态管理，法规更新后15日内完成与业务的重新关联；

-关联过程需覆盖外包及第三方相关的活动、产品、服务（与“评估外包和第三方风险”条款呼应）；

-对产品出口业务，需额外关联出口管制、制裁清单等国际合规义务。评估与外包的和第三方的过程相关的合规风险建立外包与第三方全流程合规风险管控机制，明确组织最终责任-建立第三方合规尽职调查机制：在合作准入阶段，审查第三方的资质证书（如行业许可、资质认证）、过往合规记录（如近3年监管处罚、客户投诉）、内部合规管理体系建设情况（如是否制定合规手册、配备合规人员）；

-审查外包合同中的合规条款：确保合同明确合规义务传递要求（如第三方需遵守组织适用的法规）、不合规责任划分（如第三方违约导致组织损失的赔偿条款）、合规监督权利（如组织有权开展合规审计）；

-分析外包过程的合规控制有效性：检查组织对外包过程的监督机制（如月度合规绩效监控、季度现场审核、年度合规评估），验证控制措施是否能覆盖关键风险点；

-识别第三方行为导致组织不合规的传导风险情景（如外包方违反环保法规导致组织被连带追责、供应商提供不合规原料导致产品质量风险）；

-建立外包与第三方合规风险分级管理机制：按风险等级（高、中、低）设定不同管控频率（高风险第三方实施年度尽职调查+半年度监督，中风险实施年度复核，低风险实施年度评估）；

-监控第三方合规表现与整改情况：对发现的合规问题，要求第三方限期整改，并跟踪整改验证结果，对整改不力的第三方启动退出程序。-第三方合规尽职调查清单（含资质、合规记录、体系建设、风险传导情景等模块）；

-外包合同合规审查清单（含义务传递、责任划分、监督权利字段）；

-外包过程合规监督检查表（含绩效监控、现场审核要点）；

-合规风险传导情景分析模板（含风险源、传导路径、后果字段）；

-第三方合规绩效指标（KPI）（如合规问题整改率、合规审计通过率）。-明确“外包不免除组织合规责任”的核心原则；

-应重点关注数据安全（《数据安全法》）、反腐败（《反不正当竞争法》）、劳工权益（《劳动法》）等高风险领域的第三方合规风险；

-对涉及数据处理的第三方，需额外评估数据收集、存储、传输环节的《个人信息保护法》合规风险；

-第三方合规风险评估结果需纳入供应商准入、考核及退出机制，形成闭环管理；

-不得因外包或第三方合作而简化自身合规管控流程，需保留对外包过程的最终监督权。定期评估合规风险并在组织环境发生重大变化时进行评估实施“定期评估+事件驱动”双机制，确保评估时效性与准确性-确定定期评估周期：根据组织规模与风险复杂度设定（大中型组织建议季度评估+年度全面评估，小型组织建议半年度评估+年度全面评估），并纳入年度合规工作计划；

-明确“重大变化”的具体触发情景：新的/变化的活动/产品/服务（如开展跨境电商业务）、组织结构或战略变化（如业务线调整、并购重组）、重大外部变化（金融经济环境突变、市场条件恶化、核心客户关系变更）、合规义务变更（如法规修订、标准更新）、并购活动（含收购、参股）、不合规事件（即使单一事件也需触发）、近乎不合规状态（如流程操作接近违反法规）；

-建立重大变化识别机制：指定合规部门作为责任部门，通过订阅法规数据库、跟踪行业动态、收集业务部门反馈等方式，监控内外部环境变化，发现触发情景后3日内启动再评估；

-编制再评估流程与责任分工：明确再评估的牵头部门（合规部）、配合部门（业务部门、法务部）、输出成果（《合规风险再评估报告》）、审批流程（如管理层审批）；

-记录再评估结果与整改措施：对比再评估前后的风险等级变化，对新增风险、升级风险制定应对措施，明确责任部门与完成时限。-合规风险定期评估日程表（含评估周期、责任部门、输出成果字段）；

-组织环境变化监控清单（含内部变化：战略、结构、业务；外部变化：法规、经济、市场字段）；

-重大变化触发条件判定表（含情景描述、判定标准、触发时限字段）；

-再评估流程图（含启动、分析、报告、审批环节）；

-《合规风险再评估报告》模板（含风险变化分析、新增风险清单、应对措施建议模块）。-“近乎不合规”状态需作为合规风险预警信号，立即启动专项再评估，不得拖延；

-并购活动需分阶段开展评估：尽职调查阶段（并购前）开展合规风险预评估，并购整合后3个月内完成全面再评估；

-定期评估与事件驱动评估的结果需相互衔接，避免重复评估或遗漏风险（如年度评估已覆盖的风险，若未发生重大变化，无需在季度评估中重复分析）；

-评估结论应能直接指导合规资源分配，高风险领域优先配置人力、财力资源；

-不得因“定期评估”而忽视“重大变化触发评估”，需建立双机制联动台账。保留有关合规风险评估和应对合规风险措施的文件化信息建立合规风险评估文件化信息全生命周期管理机制，确保可追溯、可验证-明确文件化信息范围：包括两类核心文件：•评估过程文件：风险识别记录（如风险清单、访谈记录）、风险分析报告（如可能性与后果分析表、根本原因分析记录）、风险评价结果（如风险等级矩阵、优先级排序表）；•应对措施文件：风险应对方案（如规避、降低、转移风险的具体计划）、应对措施实施记录（如培训签到表、合同修订版、审计报告）、应对效果验证记录（如风险等级复查记录）；

-制定文件化信息管理要求：实施版本控制（标注版本号、修改日期、修改人，防止篡改）、设定保存期限（至少满足法规要求及内部审计周期，通常不低于3年，涉及重大合规事件的文件保存期限不低于10年）、明确访问权限（管理层可查看全部文件，业务部门仅查看相关领域文件，外部审计机构需经审批后访问）；

-优先采用电子化管理：建立合规风险信息系统或电子文档管理系统（EDMS），实现文件化信息的分类存储、快速检索、权限控制、操作追溯；

-确保评估和应对记录可追溯：每一项风险均需对应完整的评估记录与应对记录，形成“风险-评估-应对-验证”的闭环追溯链；

-定期审查文件化信息的完整性：每年度开展一次文件审查，检查评估记录与应对记录的对应关系，确保无风险遗漏记录，对缺失文件及时补充。-合规风险评估过程记录模板（含识别、分析、评价模块，标注记录人、记录日期）；

-风险应对措施实施跟踪表（含措施内容、责任部门、完成时限、验证结果字段）；

-电子文档管理系统（EDMS）（支持版本控制、权限管理、检索、审计追踪功能）；

-合规风险文件化信息审查清单（含完整性、准确性、追溯性检查要点）；

-合规风险评估报告模板（含评估范围、方法、结果、结论字段）。-文件化信息应完整、准确，不得伪造或篡改，需能证明评估过程的系统性与合规性，满足内部审核、监管检查的证据要求；

-应注意信息保密与数据安全：对涉及商业秘密（如客户信息、核心技术）或敏感信息（如合规风险报告）的文件，需采取加密存储、访问日志追踪、离职人员权限回收等安全措施；

-必须保留关键证据（如访谈记录、审核报告、整改验证文件）以备审计或审查，不得随意删除；

-文件系统应支持版本管理与权限控制，避免未经授权的修改或访问；

-文件化信息的销毁需符合《数据安全法》《档案法》等法规要求，制定销毁清单并经审批后实施，禁止随意丢弃。“4.6合规风险评估”实施工作流程；“4.6合规风险评估”实施工作流程表一级流程二级流程三级流程流程输入活动步骤实施和控制要求要点描述流程责任人流程输出合规风险识别确定评估范围与对象明确组织活动、产品、服务及运行相关方面与合规义务的关联性-组织架构图

-合规义务清单（含法定要求与自愿承诺）

-业务流程描述文件

-组织环境分析报告（含内外部环境因素）-基于组织职能、业务线、产品类型、服务范围等维度，系统识别所有涉及合规义务的活动，确保覆盖研发、生产、采购、营销、人力资源、财务等全价值链环节；

-将合规义务与具体业务流程、岗位职责、外包活动、第三方合作流程进行逐一关联匹配，标注每个关联环节的义务类型（法定/自愿）与适用场景；

-对照适用的法律法规、行业规范、国际标准、客户约定等，验证合规义务的完整性与时效性；

-识别跨部门、跨业务线的合规风险交叉点（如供应链合规涉及采购、法务、生产多部门），明确协同评估责任；

-参考GB/T27921-2023《风险管理—风险评估技术》中的检查表法、分层分类法，确保识别范围无遗漏。合规管理部门负责人（牵头）、各业务部门负责人（配合）-风险识别范围清单

-合规义务与业务关联分析表

-评估范围确认函识别合规风险源识别合规风险源并界定合规风险情况-合规义务与业务关联表

-各业务部门提交的风险初步清单

-过往不合规事件记录（含处罚、整改情况）

-第三方合作清单（含外包方、供应商、合作伙伴）-从内部（流程缺陷、制度漏洞、人员能力不足、执行偏差）与外部（法律变更、监管趋严、客户诉求变化、第三方不合规）两个维度，系统梳理可能引发不合规的风险源；

-结合岗位职责、项目运作流程、外包活动关键节点，识别风险源对应的“触发点”（如采购岗位的供应商资质审核环节）；

-界定每个风险源对应的具体合规风险情况，明确“风险源→不合规行为→潜在后果”的逻辑链（如“供应商未提供合规原料→使用不合规原料生产→产品不合格被监管处罚”）；

-区分合规风险源的类型（流程类、人员类、外部环境类、第三方类），按部门、岗位维度细化，形成多维度风险源矩阵；

-建立《合规风险源清单》与《合规风险情况清单》，明确每个风险项的关联义务编号、业务归属部门，每半年复核更新一次。各业务部门合规员（执行）、合规管理部门（审核）-合规风险源清单

-合规风险情况清单

-风险源-风险情况对应关系表合规风险评估固有风险识别与分析分析未采取控制措施时的合规风险水平-合规风险源清单

-合规风险情况清单

-过往风险事件影响评估报告

-不合规后果案例库（行业/自身案例）-评估每项合规风险可能引发的后果严重程度，覆盖法律责任（民事/行政/刑事责任）、经济损失（直接损失如罚款、间接损失如客户流失）、声誉影响（品牌损害、市场信任度下降）、人员/环境伤害等维度；

-结合历史发生频率、监管检查频次、业务开展规模等，评估风险发生的可能性，采用“高/中/低”定性描述或“1-5分”定量评分；

-结合不合规的根本原因（如制度缺失、监督失效、人员意识不足）进行深度分析，参考GB/T24353-2022《风险管理—指南》中的因果分析方法；

-采用风险矩阵（后果严重程度×发生可能性）对固有风险等级进行初步分级（高/中/低），明确固有风险的边界；

-记录固有风险分析过程中的关键假设（如“假设无任何合规培训时的人员违规可能性”），为后续剩余风险评估提供基准。合规风险评估小组（由合规部、法务部、业务部门、内审部组成）-合规风险分析报告（固有风险部分）

-风险等级初评表（固有风险）

-根本原因分析记录剩余风险评估评估现有控制措施下的合规风险水平-固有风险分析报告

-内部控制清单（含制度、流程、培训、监督机制）

-合规管理制度文件

-审核报告、合规检查记录、培训签到表-对照现有控制措施（如合规制度、操作流程、人员培训、定期检查），逐一验证其是否覆盖固有风险的关键控制点；

-验证控制措施的实际执行效果：通过现场检查（如生产车间合规操作核查）、人员访谈（如岗位合规知识测试）、记录核查（如合同评审记录）等方式，确认措施落地情况，避免仅依赖制度文本判断有效性；

-分析控制措施的局限性（如“季度检查无法覆盖月度业务波动风险”），识别未被有效控制的风险缺口；

-对剩余风险重新应用风险矩阵进行分级，判定是否超出组织“能接受的合规风险水平”（基于合规方针设定）；

-对超出可接受范围的剩余风险，标记为“需优先应对风险”，明确后续措施制定要求。合规风险评估小组、各业务部门合规管理员-合规剩余风险评估报告

-控制措施有效性分析表

-剩余风险等级表（含可接受性判定）风险等级判定与比较判定合规风险等级并与组织风险接受标准比较-固有/剩余风险分析报告

-风险矩阵模型（含等级划分标准）

-组织合规方针文件（含风险偏好、可接受风险水平）

-行业合规风险基准数据（可选）-根据风险矩阵结果，结合组织战略目标（如“零重大合规事故”）、行业监管要求（如高风险领域需从严判定），最终确定风险优先级（如“高风险→立即应对，中风险→限期应对，低风险→持续监视”）；

-将评估得出的风险水平与合规方针中“能接受的合规风险水平”进行对比，形成“风险接受性判定表”，明确“可接受风险”“需应对风险”“需升级上报风险”三类结果；

-识别因组织战略调整、业务扩张、法规修订等导致的风险等级变化（如新增跨境业务需补充国际合规风险评估）；

-对判定为“需应对风险”的项目，初步提出应对方向（如规避、降低、转移、接受），为后续风险应对策划提供依据。合规管理部门负责人（审核）、组织治理机构（如合规委员会，审批高风险事项）-合规风险等级判定表

-风险接受与处理建议报告

-风险优先级排序表外包与第三方风险评估识别并评估外包及第三方过程相关的合规风险-外包合同清单

-第三方合作协议

-第三方合规背景调查报告（含资质、过往合规记录）

-外包过程监督记录

-行业第三方合规风险案例（如供应商不合规牵连组织案例）-基于“外包不免除组织合规责任”原则，明确外包及第三方过程的评估范围（如外包生产、第三方数据处理、供应商原料供应）；

-审查外包合同中的合规条款：验证是否明确合规义务传递要求（如第三方需遵守组织适用法规）、不合规责任划分（如第三方违约导致损失的赔偿条款）、组织监督权利（如合规审核权限）；

-评估第三方的合规能力：审查资质证书（如行业许可、体系认证）、过往合规记录（近3年监管处罚、客户投诉）、内部合规管理体系（如是否配备合规人员、制定合规手册）；

-对涉及数据处理（如第三方IT服务）、反腐败（如合作伙伴商务往来）、安全生产（如外包施工）等高风险领域的第三方，实施专项合规尽职调查；

-识别第三方行为导致组织不合规的传导风险（如外包方违反环保法规导致组织被连带追责），分析“第三方不合规→组织受影响”的路径与可能性，纳入整体风险评估结果。合规管理部门（牵头）、采购部门、业务合作部门（配合）-外包/第三方合规风险评估报告

-第三方合规尽职调查报告（高风险项）

-外包合同合规条款审查意见合规风险评估维护定期与特殊情况下的风险再评估在规定周期或特定事项发生时启动风险再评估-已识别的合规风险清单

-风险等级判定表

-风险应对措施实施记录

-外部环境变化通知（如法规修订、监管通知）

-不合规事件报告、近乎不合规状态记录-建立定期评估机制：根据组织规模与风险复杂度设定周期（大中型组织建议季度评估+年度全面评估，小型组织建议半年度评估+年度全面评估），纳入年度合规工作计划；

-明确“重大变化”触发再评估的具体情景，包括但不限于：

•业务层面：新的/变化的活动、产品或服务（如开展跨境电商业务）；

•组织层面：组织结构调整、战略方向变更、并购重组；

•外部层面：合规义务变更（法规修订、标准更新）、金融经济环境突变、市场条件恶化；

•风险事件层面：发生不合规事件（即使单一事件）、出现“近乎不合规”状态（如流程操作接近违规标准）；

-再评估完成后，需对比评估前后的风险等级变化，对新增风险、升级风险制定专项应对措施，明确整改责任人与完成时限；

-并购活动需分阶段评估：尽职调查阶段开展合规风险预评估，并购整合后3个月内完成全面再评估，识别整合过程中的合规风险（如文化冲突导致的制度执行偏差）。合规管理部门（牵头）、各业务部门（配合提供变化信息）-风险再评估报告

-更新的风险等级表

-新增/升级风险应对措施计划表文件记录与信息管理保留合规风险评估及应对措施相关的文件化信息-合规风险评估全过程记录（识别、分析、评价记录）

-风险应对方案及实施记录

-外部审核/监管检查要求文件

-文件化信息管理程序（含版本控制、保存期限要求）-明确文件化信息的范围，包括两类核心文件：

•评估过程文件：风险识别记录（如访谈记录、风险清单）、风险分析报告（含可能性与后果分析表、根本原因记录）、风险评价结果（等级矩阵、优先级表）；

•应对措施文件：风险应对方案（如规避/降低风险的具体计划）、实施记录（培训签到表、合同修订版、整改报告）、应对效果验证记录（风险等级复查记录）；

-实施文件化信息受控管理：标注版本号、修改日期、修改人（防止篡改），设定保存期限（至少满足法规要求及内部审核周期，通常不低于3年，重大合规事件文件保存不低于10年）；

-优先采用电子化管理系统（如EDMS电子文档管理系统），实现文件分类存储、权限控制（如管理层可查看全部文件，业务部门仅查看相关领域文件）、快速检索、操作追溯（如访问日志）；

-每年度开展一次文件化信息审查，检查记录完整性（如风险与应对记录是否一一对应）、准确性（如风险等级是否更新），对缺失文件及时补充，对过期文件按程序销毁（符合《数据安全法》《档案法》要求）。合规文档管理人员（执行）、合规管理部门（监督）-合规风险评估档案（含全过程文件）

-合规风险评估记录表

-文件化信息管理台账（含版本、保存状态）“4.6合规风险评估”实施的证实方式；“4.6合规风险评估”实施活动的证实方式清单（过程审核检查单）核心主题活动事项实施的证实方式证实方式如何实施的要点详细说明所需证据材料名称基于合规风险评估识别、分析和评价合规风险-查阅记录和文件评审

-现场观察或检查

-人员访谈或提问-查阅组织的合规风险清单、风险识别记录、合规义务清单，确认是否覆盖全业务领域，且明确区分固有合规风险（无控制措施时的风险）与剩余合规风险（现有措施无法控制的风险）；

-观察生产/服务现场操作流程（如研发、采购、营销环节），验证是否存在未纳入风险清单的潜在合规风险点（如操作接近违规标准的“近乎不合规”状态）；

-访谈合规官、业务部门负责人及关键岗位人员，确认其是否掌握本领域合规义务（法定+自愿承诺）、风险源及风险评价标准（如风险等级划分依据）；

-检查风险评价过程是否将评估结果与合规方针中“能接受的合规风险水平”对比，明确风险优先级。-合规风险识别记录（含风险源描述）

-合规义务清单（区分法定要求与自愿承诺）

-固有/剩余合规风险分析记录

-合规风险评价矩阵（含风险等级划分标准）

-各部门风险排查表

-岗位合规职责说明书关联合规义务与业务环节识别合规风险-查阅记录和文件评审

-现场观察或检查

-绩效证据分析-查阅《合规义务与业务关联分析表》，确认是否将合规义务（如《个人信息保护法》《环境保护法》、客户约定）与活动（全价值链流程）、产品（全生命周期：设计-报废）、服务（交互过程：沟通-售后）、运行（持续过程：设备运行-财务核算）逐一匹配，标注不匹配的风险点；

-观察业务流程实操（如产品设计评审、服务交付），验证是否按关联分析表执行合规检查（如设计阶段是否核查强制性质量标准）；

-分析近1-2年合规绩效数据（如不合规事件发生率、客户投诉中合规相关占比），验证关联识别的完整性（如未关联的环节是否存在高频不合规）；

-检查是否按部门、岗位、活动类型多维度拆解风险源，形成结构化风险识别框架。-合规义务与活动/产品/服务/运行关联分析表

-风险分析报告（含根本原因、后果及可能性分析）

-风险矩阵图（标注风险等级）

-产品全生命周期合规检查记录

-服务交互过程合规监控记录

-合规绩效分析报告（近1-2年）评估外包与第三方过程的合规风险-查阅记录和文件评审

-第三方证据

-人员访谈或提问-查阅外包合同、第三方合作协议，确认是否明确“外包不免除组织合规责任”条款，是否嵌入合规义务传递要求（如第三方需遵守组织适用法规）及不合规责任划分；

-查阅第三方合规尽职调查报告（高风险第三方需含资质、近3年合规记录、内部合规体系建设情况）、定期合规评估记录（如季度合规绩效监控）；

-获取第三方出具的合规声明、相关资质证书（如ISO37001反贿赂认证）、外部审核报告等客观佐证；

-访谈外包/第三方管理责任人，确认是否建立分级管控机制（高风险第三方：年度尽职调查+半年度监督；中低风险：年度评估），是否跟踪第三方合规问题整改情况；

-检查数据处理类第三方（如IT外包）是否额外评估《数据安全法》《个人信息保护法》相关风险。-外包合同（含合规义务条款）

-第三方合作协议

-第三方合规尽职调查报告（高风险项需专项报告）

-第三方合规声明及资质证书

-外包/第三方合规风险评估记录（含分级管控）

-第三方合规问题整改跟踪记录

-数据处理类第三方的隐私影响评估报告定期及组织环境重大变化时评估合规风险-查阅记录和文件评审

-绩效证据分析

-人员访谈或提问-查阅合规风险评估计划，确认定期评估周期（大中型组织：季度专项+年度全面；小型组织：半年度+年度全面），且已纳入年度合规工作计划；

-查阅“重大变化”触发再评估的记录，验证是否覆盖以下所列明的情景：新的/变化的活动/产品/服务、组织结构/战略变化、并购、合规义务变更、不合规事件（含单一事件）、近乎不合规、重大外部变化（金融经济/市场/客户关系）；

-检查并购活动的分阶段评估记录：并购前尽职调查阶段预评估、并购整合后3个月内全面再评估；

-访谈管理层及合规团队，确认是否建立“重大变化识别机制”（如合规部订阅法规数据库、跟踪行业动态），是否在触发情景后3日内启动再评估；

-分析再评估报告，验证是否对比评估前后风险等级变化，对新增/升级风险制定应对措施。-合规风险定期评估计划及执行记录

-合规风险再评估报告（含风险变化分析）

-重大变化事件记录（并购报告、合规义务变更通知、组织结构调整文件）

-重大变化识别与触发评估机制文件（含责任部门、时限）

-并购前后合规风险评估记录

-再评估后新增/升级风险的应对措施计划保留合规风险评估及应对措施的文件化信息-查阅记录和文件评审

-现场观察或检查

-利用审核工具和方法验证-查阅文件化信息清单，确认覆盖两类核心文件：评估过程文件（风险识别记录、分析报告、评价结果）、应对措施文件（应对方案、实施记录、效果验证记录）；

-检查文件管理是否符合GB/T35770-20227.5要求：实施版本控制（标注版本号、修改日期/人）、设定保存期限（普通文件≥3年，重大合规事件文件≥10年）、明确访问权限（管理层全览、业务部门限相关领域）；

-现场观察电子文档管理系统（如EDMS），验证文件是否分类归档、支持快速检索（如按风险领域、时间维度）；

-利用信息系统审核工具（如合规管理平台），核查文件操作日志（访问、修改、删除记录），确认可追溯；

-检查是否每年度开展文件完整性审查，对缺失文件及时补充。-合规风险评估过程文件（识别记录、分析报告、评价结果）

-合规风险应对措施文件（应对方案、实施记录、效果验证记录）

-文件化信息管理程序（含版本控制、保存期限、访问权限）

-电子文档管理系统（EDMS）截图及操作日志

-年度文件化信息完整性审查记录应用标准化风险评估技术开展评估-查阅记录和文件评审

-人员访谈或提问

-利用审核工具和方法验证-查阅风险评估方法说明文件，确认是否引用GB/T27921-2023推荐技术：如风险识别用头脑风暴法、德尔菲技术、检查表法，风险分析用故障树分析（FTA）、事件树分析（ETA）、因果分析，风险评价用风险矩阵、风险热力图；

-查阅具体技术应用记录，如FMEA合规风险分析报告（含故障模式、影响程度评分）、HAZOP分析记录（针对复杂业务流程）；

-访谈风险评估实施人员，确认是否接受过标准化技术培训（如GB/T27921培训），是否能准确应用技术开展评估；

-利用工具验证（如风险评估软件），检查是否支持技术参数输入（如可能性/后果评分）、自动生成风险等级结果。-合规风险评估方法说明文件（引用GB/T24353/27921）

-风险评估技术应用记录（FMEA报告、HAZOP分析记录、事件树/故障树分析表）

-风险评估人员培训记录（含GB/T27921相关培训）

-风险评估工具/软件操作日志及输出结果（如风险热力图）建立并维护合规风险源与风险情况清单-查阅记录和文件评审

-现场观察或检查

-人员访谈或提问-查阅《合规风险源清单》，确认是否按内部因素（流程缺陷、人员能力不足、制度漏洞）、外部因素（法规变化、第三方不合规、市场环境变化）分类，是否覆盖各部门（财务、生产、营销等）及关键岗位；

-查阅《合规风险情况清单》，确认每个风险源均对应具体情景（如“供应商未提供合规原料→产品不合格→监管处罚”），明确风险源、不合规行为、后果的逻辑链；

-检查清单更新记录，确认是否每半年复核更新，是否根据合规义务变更、业务变化补充新风险源（如新增跨境业务时补充出口管制风险源）；

-访谈清单维护责任人（如合规专员），确认是否建立清单动态更新机制（如业务部门提报、合规部审核）。-合规风险源清单（分类列明内部/外部风险源）

-合规风险情况清单（含“风险源-不合规行为-后果”对应关系）

-风险源/风险情况清单复核更新记录（每半年）

-清单动态更新机制文件（含提报、审核流程）明确合规风险再评估的触发机制与执行-查阅记录和文件评审

-人员访谈或提问

-绩效证据分析-查阅《合规风险再评估管理办法》，确认是否明确触发情形、触发时限（如发现“近乎不合规”后5日内启动）、责任部门（合规部牵头、业务部门配合）；

-查阅历史触发事件台账，验证是否对“单一不合规事件”“近乎不合规”（如操作接近违规标准）均启动再评估，是否有完整的再评估流程记录（启动申请、分析报告、审批）；

-访谈合规部负责人，确认是否建立触发事件监控机制（如每月收集不合规事件、定期排查“近乎不合规”状态）；

-分析再评估效果，检查再评估后是否有效识别新增风险（如合规义务变更后再评估是否补充新风险点）。-合规风险再评估管理办法（含触发情形、时限、流程）

-再评估触发事件台账（含不合规事件、近乎不合规记录）

-合规风险再评估流程记录（启动申请、分析报告、审批文件）

-再评估效果验证记录（新增风险识别清单）基于风险等级配置资源与确定处理优先级-查阅记录和文件评审

-现场观察或检查

-人员访谈或提问-查阅《合规风险优先级排序表》，确认是否结合“后果严重程度（如刑事责任、经济损失）、发生可能性”确定优先级，高风险项是否标注“优先处理”；

-查阅资源配置记录，验证高风险领域（如数据合规、反腐败）是否优先分配资源：如配备专职合规专家、增加培训预算、采购合规管理工具（如数据脱敏系统）；

-观察高风险领域管控措施落地情况（如反腐败领域是否开展季度合规审计、数据合规领域是否定期开展隐私保护检查）；

-访谈管理层，确认是否将高风险项纳入战略会议议题（如年度经营会议审议高风险应对计划），是否定期跟踪资源投入效果。-合规风险优先级排序表（含后果/可能性评分、优先级等级）

-合规管理资源配置记录（人员、预算、工具采购）

-高风险领域管控措施实施记录（审计报告、检查记录）

-管理层审议高风险应对计划的会议纪要

-资源投入效果评估报告（如高风险领域合规事件下降率）持续监视所有已识别合规风险-查阅记录和文件评审

-绩效证据分析

-利用审核工具和方法验证-查阅《合规风险监视机制文件》，确认是否建立关键风险指标（KRI）：如“不合规事件发生率、第三方合规问题整改率、近乎不合规次数”，是否设定预警阈值（如月度近乎不合规次数＞2次触发预警）；

-查阅KRI监测结果报表（如月度/季度报表），验证是否定期收集数据、分析趋势（如某风险领域KRI持续超标是否启动专项整改）；

-检查剩余风险监视记录，确认是否对“现有措施无法控制的剩余风险”进行持续跟踪（如每季度评估控制措施有效性）；

-利用合规管理平台验证，检查是否支持KRI实时监控、自动预警（如超标时推送通知至责任人），是否生成监视分析报告（含风险趋势、整改建议）。-合规风险监视机制文件（含KRI指标、预警阈值）

-KRI监测结果报表（月度/季度）

-剩余风险监视与评估记录

-合规管理平台预警记录及推送日志

-合规风险监视分析报告（含趋势分析、整改建议）“4.6合规风险评估”过程有效性评价操作；表A：与“4.6合规风险评估”相关的方针和程序、行为和文化评价操作指引（成熟度评价A）4.6条文级别内容描述具体评价操作要点评价所需要的文件和记录4.6合规风险评估组织应基于合规风险评估，识别、分析和评价其合规风险。组织应通过将其合规义务与活动、产品、服务以及运行的相关方面关联，来识别合规风险。组织应评估与外包的和第三方的过程相关的合规风险。组织应定期评估合规风险，并在组织环境发生重大变化时进行评估。组织应保留有关合规风险评估和应对合规风险措施的文件化信息。1级未建立符合“4.6合规风险评估”要求的程序，未覆盖合规风险的识别（含合规义务与活动/产品/服务/运行关联）、分析、评价、监视、定期评估、外包/第三方过程评估及文件化信息保留等任何核心环节。1)检查组织是否存在名称或内容涉及“合规风险评估”的程序文件（如《合规风险评估管理程序》）；

2)确认无任何与“合规义务关联识别风险”“外包/第三方风险评估”“定期评估”相关的制度或流程文件；

3)访谈合规管理牵头部门（如合规部）及业务部门，确认未开展任何合规风险评估程序的策划或制定工作。1)组织现有管理体系文件清单（确认无合规风险评估相关程序）；

2)与合规管理牵头部门、业务部门的访谈记录（证实未建立程序）。2级已制定合规风险评估程序，但程序不完整（如未明确“合规义务与活动/产品/服务/运行关联识别风险”的具体方法，或未包含外包/第三方过程风险评估要求，或未规定定期评估频次及环境变化触发再评估的条件）；程序未在业务活动中全面实施（如仅部分业务部门执行，或执行频次/方法不一致）。1)核查已有的合规风险评估程序文件，对照GB/T35770-2022“4.6”要求，识别缺失环节（如无关联识别流程、无外包评估条款）；

2)抽查至少2个业务部门（如销售部、采购部）的执行记录，确认程序实施的一致性（如部分部门未开展风险评估，或评估方法与程序要求不符）；

3)访谈业务部门负责人，了解程序未全面实施的原因（如流程不清晰、资源不足）。1)不完整的《合规风险评估程序》文件（标注缺失的“4.6”要求环节）；

2)部分业务部门的合规风险评估记录（证实实施不一致）；

3)与业务部门负责人的访谈记录（说明实施问题）。3级1)已建立全面符合“4.6”要求的合规风险评估程序，具体包括：

-明确“合规义务与活动/产品/服务/运行相关方面关联识别合规风险”的流程（如关联矩阵、识别清单模板）；

-包含合规风险的分析（如影响程度、发生可能性）、评价（如风险等级划分）、监视的具体方法；

-规定外包过程（如物流外包）和第三方过程（如供应商合作）的合规风险评估范围、责任部门及流程；

-明确合规风险定期评估频次（如年度评估）及组织环境重大变化（如法规更新、业务扩张）时的再评估触发条件。

2)已创建并维护合规风险评估及应对措施的文件化信息（如评估报告、记录台账）。1)核查《合规风险评估程序》，确认是否完整覆盖“4.6”所有要求（重点验证“关联识别”“外包/第三方评估”“定期及触发式评估”条款）；

2)核查是否提供“合规义务-活动/产品/服务/运行关联识别表”“合规风险分析评价表”等工具模板；

3)抽查外包/第三方过程（如主要供应商）的风险评估记录，确认是否按程序要求执行；

4)核查文件化信息台账，确认评估报告、记录的保存完整性（如近1年的定期评估报告）。1)完整的《合规风险评估程序》文件（含关联识别、外包/第三方评估、定期评估等条款）；

2)合规义务与活动/产品/服务/运行关联识别表、合规风险分析评价表（带填写示例）；

3)外包/第三方过程合规风险评估记录表（如供应商合规风险评估报告）；

4)合规风险评估文件化信息台账（含评估报告、记录的保存路径及版本）。4级已建立第3级规定的全面程序，并根据过往合规风险评估实践（如历史不合规事件、评估偏差）进行优化调整（如细化高风险领域的关联识别维度、优化外包/第三方风险评估指标）；程序明确要求：对外包业务活动（如IT外包）和第三方过程（如代理商合作）的全生命周期（准入、运行、退出）开展合规风险评估；定期（如半年度）及组织环境发生重大变化（如新法规发布、业务重组）或发生不合规事件时，触发合规风险再评估；已创建、维护并更新文件化信息（如动态调整的风险评估报告、外包/第三方评估记录更新日志），以反映合规风险评估的变化。1)核查程序的修订记录，确认是否基于过往评估实践（如202X年不合规事件复盘报告）进行优化（如增加“数据合规”领域的关联识别条款）；

2)核查外包/第三方过程全生命周期评估记录（如准入时的合规尽调报告、运行中的季度风险跟踪表）；

3)核查近1次组织环境重大变化（如《反不正当竞争法》修订）或不合规事件后的再评估记录，确认是否按程序触发评估；

4)核查文件化信息的更新记录（如评估报告的版本更新说明、记录修改日志）。1)《合规风险评估程序》修订记录（含修订依据，如过往评估实践总结）；

2)外包/第三方过程全生命周