在合規管理中，合規義務的劃定和合規風險的評估是建立有效和適用的合規管理體系的基礎，尤其在企業首次啟動合規管理時，應當在此部分花費重點精力，做好合規輪廓的精確勾勒，那么其后在此基礎上建立的合規管理體系才能水到渠成。

合規管理以最大限度平衡企業經營與違規風險為目標，其方法分三個層次展開：道德與合規價值觀、法律規范等具體條款。當前ISO 19600：2014合規管理體系指南（以下簡稱“指南”）以及國標GB/T 35770-2017為我們提供了參考標準。國標GB/T 35770-2017將于2018年8月1日起正式實施。指南中明確了合規管理的流程，并且從組織背景、領導、策劃、支持、運行、績效評價、改進等方面全面梳理合規管理的方式及內容。

了解企業所處的外部合規風險區域

對于合規管理方法在企業治理中的體現，重中之重的是識別合規義務、評估合規風險，這是體系流程的核心, 是指導企業明確合規管理內容界限，合理分配合規管理資源，成功建立合規體系的第一步。合規管理強調適用性，而其適用性的體現就在于對合規風險準確的判定，對風險進行主動管控。

企業所應承擔的合規義務是通過劃定其所處的合規管理區域來識別的，通過有效的問題排查，得出結論。相應的義務性問題可以從企業的性質、經營環境、所處行業、所在地區、經營特點、利益相關方的需求等進行劃定，通過對于義務性問題的排查，結合相應的法律法規，初步劃定企業的合規義務。

了解企業所處的內部合規風險區域

在劃定企業外部合規義務輪廓后，再來看企業內部對于合規管控的能力，主要反映在對各個風險要點的控制中。對于企業內部管控的風險，可以依照企業的職能部門分別進行判定，如財務管理、業務經營、行政管理、人力資源管理、政府關系管理中的違規風險等等。將各個職能部門在日常運營中涉及到的合規管理有關的操作進行匯總，逐一判定。

了解業務經營相關的合規風險

業務經營是企業的重中之重，而合規管理在業務經營中的地位不言而喻。要在保證業績的前提下減少經營中的違規風險，建議可以從以下幾個方面進行把控：壟斷及不正當競爭，操縱設置行業門檻；控制縱向供應鏈；非法獲取競爭對手商業信息；內幕信息泄露遭處罰；決策人違規接受額外好處；貪污組織利益；違規占用組織資源造成的后果；違規贈與客戶額外好處；銷售人員工資和獎金制度不合理造成的后果；商業伙伴（渠道商、供應商、供應商、旅行社、報關商等）沒有進行合規監控和管理；無透明的采購公示平臺；采購決策缺乏合規性判斷等。

了解人力資源相關的風險

人員管理是保證企業能否與適合的員工共同發展的關鍵。從合規層面來看，企業除了找到能力匹配的人之外，還需要對人員的合規因素考量。

從筆者的調研中發現很多企業在以下人員管理的合規工作中應當有所加強：人員盡職調查的有效性；員工或其親屬自營或非自營企業與組織競爭、或受雇于組織有業務往來的公司的管控；對員工在其他組織兼職的管控。在薪酬方面，也有一些企業在業績評估規則、薪資浮動、獎金制度等方面不公平、不透明給組織帶來負面后果等。同時，一些企業也缺乏對合規信息的更新培訓和溝通，使員工對于合規意識的加強有所滯后。

了解財務相關的合規風險

財務與合規管控密不可分。其中財務管控不僅包含對于企業合規性管理，也同時包含財務人員本身行為的合規性。財務欺詐作為違規風險的高發地帶一直是合規管控的重點，一些企業的財務人員從未簽署透明做賬的書面承諾，近些年財務欺詐案件頻發給企業帶來巨大損失。除財務欺詐之外，一些企業欠缺對資金來源的審核以及對收付款賬戶的審核，同時也無定期內部或外部審計，更沒有對發生費用前后的合規性審批與復核，無疑也增加了違規風險發生的可能性。

此外，一些企業在經營時忽視了對基本資質、必備證照的管理，從而導致主體違規，得不償失。在進行政府業務，涉及政府關系處理時，有的企業依然用“拉關系”的老辦法，忽略法律法規、黨風黨紀，對相應決策人提供過分好處、違反招投標規范等行為，無疑是鋌而走險。而企業最好的管控方式應當是提前設置好相應的政策和管控流程，預防違規風險的發生。