一、ISO 37301:2021 4.6 标准原文
ISO 37301:2021 4.6 合规风险评估
条款原文:组织应基于合规风险评估,识别、分析和评价其合规风险。组织应将其合规义务与其活动、产品、服务以及运行的相关方面联系起来,以识别合规风险。组织应评估与外包的和第三方的过程相关的合规风险。应定期评估合规风险,并在情形或组织所处环境发生重大变化时进行再评价。组织应保持有关合规风险评估和应对合规风险措施的文件化信息。
条款原文:组织应基于合规风险评估,识别、分析和评价其合规风险。组织应将其合规义务与其活动、产品、服务以及运行的相关方面联系起来,以识别合规风险。组织应评估与外包的和第三方的过程相关的合规风险。应定期评估合规风险,并在情形或组织所处环境发生重大变化时进行再评价。组织应保持有关合规风险评估和应对合规风险措施的文件化信息。
提示:完整原文请参阅 ISO 37301:2021 正式文本
引用:4.6要求组织从“知道有哪些义务”进一步走到“知道最可能在哪些场景出问题、后果多大、现有控制够不够”。
二、条款解读说明
2.1 合规风险评估是体系资源配置和控制设计的依据
没有风险评估,合规管理很容易陷入平均用力:所有要求都写制度、所有场景都搞培训、所有问题都靠审批。ISO 37301第4.6条要求组织基于合规风险评估识别、分析和评价风险,目的就是让组织把资源投入到高风险、高影响和高变化场景上。风险评估做得好,后续6章策划、8章运行控制、9章绩效评价才有重点。
2.2 4.6要求风险评估与具体业务活动相连
| 评估对象 | 标准要求 | 治理重点 | 常见误区 |
|---|---|---|---|
| 活动 | 将义务与活动联系识别风险 | 采购、销售、招投标、用工、数据处理等 | 只做法律层面分析 |
| 产品和服务 | 识别业务输出中的合规风险 | 产品承诺、服务交付、宣传、收费等 | 风险只看内部流程,不看对外结果 |
| 运行方面 | 关注流程、控制、环境和岗位 | 权限、激励、文化、IT系统、记录管理 | 把风险等同于外部处罚 |
| 外包和第三方过程 | 必须评估相关合规风险 | 代理商、中介、外包服务、合作方 | 只评内部,不评第三方链条 |
2.3 合规风险不仅是“被处罚”的风险
很多组织一提合规风险,就只想到罚款、处罚或监管问责。实际上,合规风险还包括合同违约、声誉损失、客户流失、供应链中断、治理失灵、人员问责、招投标资格受限和高管责任等后果。标准要求识别、分析和评价风险,本质上是要评估不合规发生的可能性及其后果,而不只是列处罚条款。
2.4 第三方和外包过程是4.6特别强调的重点
标准专门要求组织评估与外包和第三方过程相关的合规风险,这说明ISO 37301并不接受“风险只发生在组织内部”这种看法。代理商违规、中介不当行为、供应商造假、外包服务留痕不足、合作伙伴违规宣传,都会反向传导给组织。因此,第三方过程不能只在采购环节做形式审查,而应进入风险评估主体范围。
2.5 风险评估必须定期做,也必须在重大变化时重做
标准明确提出定期评估和在重大变化时再评价。这意味着风险评估既有固定周期,也有触发式更新。并购、业务出海、关键监管变化、重大不合规事件、第三方模式变化、组织结构调整、系统升级,都可能导致原有风险判断失效。真正有效的风险评估机制,应能及时反映这些变化,而不是每年机械更新一遍分值。
三、实施要点
3.1 建立风险评估方法论
- 明确风险识别、分析、评价、分级和应对的统一方法。
- 定义可能性、影响程度、控制成熟度和残余风险的评价逻辑。
- 避免不同部门各用一套标准,导致结果不可比。
3.2 从业务流程和场景出发识别风险
- 围绕采购、销售、费用、数据、招聘、招投标、第三方管理等流程识别具体风险情境。
- 把义务、岗位、激励机制和第三方接口同时纳入分析。
- 避免只列“反舞弊风险、数据风险”这类笼统标签。
3.3 对第三方和外包过程做专项评估
- 分析代理模式、付款方式、尽调深度、授权边界和监控能力。
- 重点关注高风险国家、关键中介、营销合作和外包服务过程。
- 将第三方风险结果直接用于准入、合同和监督设计。
3.4 建立周期性与触发式重评机制
- 按年度或半年度开展常规评估。
- 在法规变化、重大事件、并购重组、业务模式调整时启动专项重评。
- 保留评估结论、应对措施和复评记录。
四、常用工具与实施方法
| 工具/方法 | 适用场景 | 实施重点 | 关键输出 |
|---|---|---|---|
| 合规风险登记册 | 统一管理 | 记录风险场景、原因、后果、控制和等级 | 风险台账 |
| 风险矩阵 | 风险分级 | 按可能性和影响进行评价 | 风险等级图 |
| 场景化工作坊 | 风险识别 | 围绕真实业务和第三方场景开展讨论 | 风险场景清单 |
| 控制有效性测试 | 残余风险分析 | 评估现有控制是否真的发挥作用 | 测试结果 |
| 触发式重评清单 | 动态更新 | 定义何种变化必须重新评估 | 触发规则 |
注意:4.6最容易做成“风险打分表”,但真正重要的是场景、原因、控制和后续措施是否说得清、落得下。
五、典型案例
案例1:企业把合规义务转化为具体风险场景
- 背景:公司已完成义务清单整理,但不知道如何转成实际管理重点。
- 做法:围绕销售返利、渠道佣金、供应商准入和数据处理分别识别风险情境。
- 结果:风险评估从抽象条款转为具体业务场景,后续控制设计更有针对性。
案例2:第三方中介风险长期未评
- 背景:企业通过多家中介拓展业务,但风险评估长期仅覆盖内部流程。
- 问题:真正高风险的外部行为被忽视,体系判断失真。
- 改进:将中介准入、付款、授权和业绩激励纳入专项风险评估,重新配置监控措施。
案例3:重大变化后未重评导致控制失效
- 背景:企业并购后新增多个业务板块,但仍沿用旧版风险地图。
- 问题:新业务和新地域的高风险义务没有被及时识别。
- 改进:建立重大变化触发机制,并购交割后立即开展专项合规风险再评估。
六、成文信息管理要求
4.6明确要求保持有关合规风险评估和应对措施的文件化信息,因此风险评估资料是体系运行的重要证据。
- 建议保留的成文信息
- 合规风险评估方法和分级标准
- 风险登记册和场景分析记录
- 第三方和外包过程专项风险评估材料
- 风险应对措施、责任人和跟踪记录
- 周期评估与重大变化再评估记录
- 管理要求
- 风险评估记录应体现方法、依据、结论和措施,不应只有分值。
- 高风险项应能追溯到对应的控制和资源安排。
- 评估结果应与6章策划、8章控制和9章评价形成闭环。
七、常见误区及踩坑提醒
| 误区 | 常见表现 | 正确做法 |
|---|---|---|
| 风险评估只是打分 | 场景、原因和控制都不清楚 | 围绕真实业务场景识别、分析和评价风险 |
| 合规风险等于处罚风险 | 忽视声誉、合同和治理后果 | 综合评估不合规的多维影响 |
| 只评内部流程 | 第三方和外包链条长期不纳入 | 把第三方过程作为专项重点 |
| 一年一次固定打分足够 | 重大变化后仍沿用旧结果 | 建立周期性和触发式再评估机制 |
| 评估结果不进入后续策划 | 风险报告独立存在,控制和资源不跟进 | 将评估结果直接导入6章和8章管理动作 |
警告:如果4.6没有识别出真正的高风险场景,组织后续很可能投入大量资源,却依然把最危险的地方留成盲区。