1.全面性合規風險識別。企業在下列情況下，需要對企業經營管理的各個領域開展全面的、徹底的合規風險識別：企業新設；企業合規風險發生頻率高且涉及不同業務領域或者多個業務部門和專業職能部門；企業投資併購其它企業（尤其是投資併購境外企業）而對目標企業進行全面性合規風險識別；企業合并；企業改制、重組；企業上市；等等。

2.專項合規風險識別，即根據合規管理計劃，或者在外部環境或者內部環境發生變化時，對企業經營管理的某一領域、某一經營項目或活動，或者對某一業務部門或者專業職能部門，開展專門的合規風險識別。企業在發生下列情況時，須開展專項合規風險識別：戰略調整，組織機構改變，引入新的或者擴展產品業務領域，開拓新的市場（尤其是境外市場），合規規範被修改或廢止或者頒行新的合規規範，頒行新的合規管理制度或業務合規流程，出現重大不合規情況等。

二、合規風險分析和評價

根據中國《合規管理體系指南》第3.6條，合規風險分析和評價是企業通過分析不合規的原因、來源、後果的嚴重程度、不合規及其後果發生的可能性進行分析和研究，並對合規風險等級與企業能夠並願意接受的合規風險水平進行分析和評估。

對企業風險進行分析評價的方法和模型很多。就企業合規風險而言，我們推薦使用RPN（Risk Priority Number）的SOD風險係數評估法，從風險的嚴重程度（Severity）、發生的可能性和頻率（Occurrence）以及可探測度（Detection，即根據企業現有規章制度識別和監測到合規風險的可能性）三個方面對風險進行評估和打分，確定合規風險係數的高低。每一方面分為1到10個等級。一般來說，如果一個合規風險的嚴重程度高於8分，或者RPN三個方面的得分乘積高於100，就說明其風險係數很高，系重大合規風險。

合規風險分析和評價，需要基於合規風險清單，對企業各合規風險做充分的調查研究，掌握大量、準確的數據和資料，並在此基礎上對每一合規風險進行評估。完成合規風險分析和評價，須按合規風險係數等級對合規風險進行整理、排序，對重大合規風險進行專項研究和分析，釐清合規管理缺陷，制作合規風險評估報告。

三、合規風險應對

根據合規風險分析與評價結果，確定風險應對措施和解決方案，製定風險應對措施清單並落實執行。

風險應對措施包括（但不限於）：製定和執行整改及防控目標和計劃；製定、修改和完善企業內部合規規範；與存在重大合規風險的部門管理層商談，明確合規風險應對措施和職責，納入績效考核指標；對相關業務模式、業務流程進行整改和完善；開展專項合規培訓與合規活動；嚴格問責，對違規行為進行違規調查和處置；等等。

對於重大合規風險，須對應對措施的啟動、執行及效果進行持續跟蹤與監督，直至合規風險消除。如果風險應對措施執行不力或者效果不佳，需要及時預警與核查，提出合規風險應對改進建議，加強合規應對力度。

四、合規風險監測

合規風險監測是運用風險監測方法，對監測領域的合規狀態及合規風險的形成進行動態監督和測試，提供風險預警，並對合規風險的防控的改進提供基礎信息依據。

合規風險的監測領域，在橫向方面可以是某一管理領域（如公司治理、勞動管理、網絡安全管理）或者某一業務領域（如採購、營銷、產品開發、物流）；在縱向方面可以是某一外部合規規範（如適用的法律、行業監管規則等）的遵守，或者企業某一內部規章制度（如管理制度、業務流程）的執行等。

實施合規風險監測，需要確定監測領域和監測重點，製定監測計劃（如監測頻率、監測期限等），設計監測指標，組成監測小組並明確職責分工，制作監測報告。

通常將合規風險監測級別劃分為正常、關注、特別關注、風險預警與風險形成等五個級別，並用不同顏色標示（通常將預警級別標示為橙色，將風險形成標示為紅色）。如果形成合規風險（尤其是重大合規風險），則需要及時進行風險識別、分析和評價，並採取風險應對措施。

五、持續改進

合規風險管理是動態和持續的管理過程，絕非一蹴而就。企業在發展，合規管理的外部環境和內部環境不斷發生變化，要求企業周而復始地、持續地進行合規風險管理。企業通過持續的合規風險管理，循環往復，使合規風險管理的各個環節形成有效的閉環，並不斷改進和提高合規管理水平，有效防控和應對合規風險，確保企業安全、穩定、持續經營。

六、合規風險信息管理

企業合規風險信息管理，是企業合規管理信息系統的重要組成部分。通過企業合規管理信息系統，建立動態合規風險管理信息庫，實現對合規風險識別、分析評價、應對、監督、重大風險預警等的數據化和自動化管理。

七、合規風險管理流程的制度化

合規風險管理是企業合規管理的核心構成要素，有其特定的要求、方法和程序。企業合規管理負責部門須製定專門合規風險管理指南，指導企業的合規風險管理工作。合規風險管理要融入企業經營管理，也要融入企業各業務部門和專業職能部門的管理制度和業務流程。

合規風險是企業風險的一種，企業全面風險管理的方法和流程同樣適用於企業合規風險管理。如果企業已經製定了全面風險管理流程，合規風險管理流程可以在全面風險管理流程的基礎上，根據合規風險管理的特點和特殊要求，作適當的補充性規定。

1. 合規風險、市場風險、信用風險、操作風險、戰略風險、聲譽風險等。

2. 合規風險是指企業在經營過程中未能遵守法律法規、規章制度等規定，導致違法違規的風險；市場風險是指企業在市場競爭中面臨的價格波動、市場需求變化等風險；信用風險是指企業在交易過程中因對方違約、付款困難等原因而遭受的損失；操作風險是指企業在運營過程中因為人為疏忽、技術失誤等原因導致的損失；戰略風險是指企業在製定和執行戰略過程中面臨的不確定性和風險；聲譽風險是指企業在公眾和利益相關者中的形象和信譽受到損害的風險。

3. 除了以上列舉的風險外，企業管理中還存在其他類型的風險，如安全風險、環境風險、人力資源風險等。
企業需要對各種類型的風險進行有效的管理和控制，以保障企業的可持續發展。