合規風險存在於： 國傢安全審查、反壟斷審查、貿易管制、知識產權、反商業賄賂、環境保護、行業監管、反不當競爭、勞動用工、誠信合規、財務稅收、網絡安全與數據護、合作夥伴合規、道德規范以及當地風俗習慣等。

違規責任包括但不限於：

1、刑事責任：員工個人刑事責任（行受賄、貪污挪用、私分等）、單位刑事責任、單位犯罪直接責任人刑事責任、違反境外法律法規導致境外刑事執法和責任、巨額的刑事罰金。

2、行政處罰：監管處罰、罰款、沒收違法所得、吊銷營業執照、對企業及個人的紀律處罰、企業列入誠信黑名單等政府黑名單、限制或禁止招投標資質、業務運營資質、境外執法機構的處罰（罰款、限制措施、調查等） 。

3、重大損失：貪腐、賄賂、舞弊等行為導致公司資產流失、利益輸送導致質次價高的采購、導致重大境外投資損失、上市公司股價下跌、商業模式因合規問題被否定、失去業務、商業機會（禁止參與招標、投標項目等）導致重大商業損失。

4、連帶影響：失信、負面報道、重大商譽損失、國際組織黑名單（如世界銀行等）、母公司因子公司違規而面臨調查和懲處、引發民事訴訟等其他訴訟、上市、發債、新增股份、並購等重大交易受阻、失去合作夥伴，市場競爭力受損。

為什麼要合規？不合規行不行？

合規不起訴：比較完善的合規體系可以讓企業和高管避免被刑事起訴

企業或高管可能因為本身或企業員工、供應商的不當行為受到刑事風險，比如侵犯商業秘密的風險、 行賄受賄的風險、違規披露、不披露重要信息的風險、逃稅罪的風險、重大責任事故罪的風險、污 染環境罪的風險等。

根據企業合規不起訴制度，對於符合一定條件的刑事案件（如涉案企業人員可能判處三年以下有期徒刑的輕微刑事案件、可能判處三年以上十年以下有期徒刑且同時作為從犯、具有自首情節或立功表現的刑事案件）且可能被提起公訴的企業，檢察機關若發現該涉案企業具有意願建立合規體系，矯正其違法犯罪行為的，檢察機關可以責令該涉案企業在一定的考驗期內，就其違法犯罪事實提出針對性的合規體系搭建計劃，推動其企業合規體系的構建與執行，而後檢察機關根據對該涉案企業合規計劃的驗收情況，作出不起訴決定。

企業合規不僅為企業創造價值，也為企業的高管提供瞭相應的保護。尤其是合規制度中所設定的責任分割制度，防止企業及其高管因供應商、客戶、員工的違法犯罪行為而承擔刑事責任。

合規管理體系需符合以下國際標準

1、《 OECD跨國企業準則》（首版發佈於1976年）

2、美國聯邦量刑委員會《針對機構實體聯邦量刑指南》（1991）

3、《OECD反對國際商業活動中向海外政府官員行賄行為公約》（1997-11-25）

4、巴塞爾銀行監管委員會《合規與銀行內部合規部門》（2005-4-29）

5、OECD《內控、道德與合規,最佳實踐指南》（2010-2-18）

6、APEC《亞太經合組織高效率公司合規項目基本要素》（2014-11-6）

7、《 ISO19600 – 合規管理體系標準》（2014-12-15）

8、十國集團(G20)/OECD制定的《公司治理原則》（2015-11）

9、國際標準化組織 ISO 37001 《反賄賂管理體系要求及使用指南》（2016-10-16）

10、美國司法部《企業合規有效性評估》（2020-6-1）

11、《ISO 37301 – 合規管理體系 要求及使用指南》替代七年前發佈的ISO 19600:2014（2021-4-13）

《中央企業合規管理辦法》對企業提出以下6方面的合規管理要求：組織和職責、制度建設、運行機制、合規文化建設、信息化建設及監督問責。

六、合規體系評估五大維度：領導層承諾、風險評估、制度和流程、培訓和溝通、監督、稽查和響應。

七、基於ISO37301的體系整合

合規管理更像一把大傘的傘面，它的本質是幫助企業遮風避雨防范風險，降低違規帶來的成本和聲譽損失。而真實的風險將存在於企業這個完整生態體的各個方面：質量、環境、員工、信息安全、隱私保護，這些都是支撐企業運營的傘骨，傘骨要強韌而牢固， 傘面才能應對更大的未來瞬息萬變的生態環境，這是支撐和融合的關系；三個維度三管齊下建立企業獨有的合規文化；多體系的融合與整合管理今後會作為企業的新課題。

ISO37301的體系：ISO 37001反商業賄賂

ISO 27701 隱私信息管理

ISO 45001 健康安全管理

ISO 27001 信息安全管理

ISO 9001 質量管理

ISO 1400環境管理

其他