合规风险存在于： 国家安全审查、反垄断审查、贸易管制、知识产权、反商业贿赂、环境保护、行业监管、反不当竞争、劳动用工、诚信合规、财务税收、网络安全与数据护、合作伙伴合规、道德规范以及当地风俗习惯等。

违规责任包括但不限于：

1、刑事责任：员工个人刑事责任（行受贿、贪污挪用、私分等）、单位刑事责任、单位犯罪直接责任人刑事责任、违反境外法律法规导致境外刑事执法和责任、巨额的刑事罚金。

2、行政处罚：监管处罚、罚款、没收违法所得、吊销营业执照、对企业及个人的纪律处罚、企业列入诚信黑名单等政府黑名单、限制或禁止招投标资质、业务运营资质、境外执法机构的处罚（罚款、限制措施、调查等） 。

3、重大损失：贪腐、贿赂、舞弊等行为导致公司资产流失、利益输送导致质次价高的采购、导致重大境外投资损失、上市公司股价下跌、商业模式因合规问题被否定、失去业务、商业机会（禁止参与招标、投标项目等）导致重大商业损失。

4、连带影响：失信、负面报道、重大商誉损失、国际组织黑名单（如世界银行等）、母公司因子公司违规而面临调查和惩处、引发民事诉讼等其他诉讼、上市、发债、新增股份、并购等重大交易受阻、失去合作伙伴，市场竞争力受损。

为什么要合规？不合规行不行？

合规不起诉：比较完善的合规体系可以让企业和高管避免被刑事起诉

企业或高管可能因为本身或企业员工、供应商的不当行为受到刑事风险，比如侵犯商业秘密的风险、 行贿受贿的风险、违规披露、不披露重要信息的风险、逃税罪的风险、重大责任事故罪的风险、污 染环境罪的风险等。

根据企业合规不起诉制度，对于符合一定条件的刑事案件（如涉案企业人员可能判处三年以下有期徒刑的轻微刑事案件、可能判处三年以上十年以下有期徒刑且同时作为从犯、具有自首情节或立功表现的刑事案件）且可能被提起公诉的企业，检察机关若发现该涉案企业具有意愿建立合规体系，矫正其违法犯罪行为的，检察机关可以责令该涉案企业在一定的考验期内，就其违法犯罪事实提出针对性的合规体系搭建计划，推动其企业合规体系的构建与执行，而后检察机关根据对该涉案企业合规计划的验收情况，作出不起诉决定。

企业合规不仅为企业创造价值，也为企业的高管提供了相应的保护。尤其是合规制度中所设定的责任分割制度，防止企业及其高管因供应商、客户、员工的违法犯罪行为而承担刑事责任。

合规管理体系需符合以下国际标准

1、《 OECD跨国企业准则》（首版发布于1976年）

2、美国联邦量刑委员会《针对机构实体联邦量刑指南》（1991）

3、《OECD反对国际商业活动中向海外政府官员行贿行为公约》（1997-11-25）

4、巴塞尔银行监管委员会《合规与银行内部合规部门》（2005-4-29）

5、OECD《内控、道德与合规,最佳实践指南》（2010-2-18）

6、APEC《亚太经合组织高效率公司合规项目基本要素》（2014-11-6）

7、《 ISO19600 – 合规管理体系标准》（2014-12-15）

8、十国集团(G20)/OECD制定的《公司治理原则》（2015-11）

9、国际标准化组织 ISO 37001 《反贿赂管理体系要求及使用指南》（2016-10-16）

10、美国司法部《企业合规有效性评估》（2020-6-1）

11、《ISO 37301 – 合规管理体系 要求及使用指南》替代七年前发布的ISO 19600:2014（2021-4-13）

《中央企业合规管理办法》对企业提出以下6方面的合规管理要求：组织和职责、制度建设、运行机制、合规文化建设、信息化建设及监督问责。

六、合规体系评估五大维度：领导层承诺、风险评估、制度和流程、培训和沟通、监督、稽查和响应。

七、基于ISO37301的体系整合

合规管理更像一把大伞的伞面，它的本质是帮助企业遮风避雨防范风险，降低违规带来的成本和声誉损失。而真实的风险将存在于企业这个完整生态体的各个方面：质量、环境、员工、信息安全、隐私保护，这些都是支撑企业运营的伞骨，伞骨要强韧而牢固， 伞面才能应对更大的未来瞬息万变的生态环境，这是支撑和融合的关系；三个维度三管齐下建立企业独有的合规文化；多体系的融合与整合管理今后会作为企业的新课题。

ISO37301的体系：ISO 37001反商业贿赂

ISO 27701 隐私信息管理

ISO 45001 健康安全管理

ISO 27001 信息安全管理

ISO 9001 质量管理

ISO 1400环境管理

其他