《经营者反垄断合规指南》（国反垄发〔2020〕1号）第三条将合规风险定义为：经营者及其员工因反垄断不合规行为，引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。《中央企业合规管理办法（公开征求意见稿）》第三条亦将合规风险界定为中央企业及其员工因不合规行为，引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性及其后果。参考上述定义，我们认为，行政合规风险是指企业及其员工因不合规行为所引发的受到行政处罚等法律后果。

本文尝试从以下两个方面对“合规风险”这一概念做进一步的分析。

（1）所合之“规”

从文义上看，“合规”具有“合乎规定”的意思，其中“规”的含义，目前理论和实践中存在多种理解。结合《司法部办公厅关于加强公司律师参与企业合规管理工作的通知》（司办通〔2021〕98号）相关规定，我们认为，企业所合之“规”主要包括如下几种含义：一是企业在经营过程中要遵守法律、法规、规章、行政规范性文件、国际条约监管规则、政策要求；二是企业要遵守行业准则、商业惯例、道德规范；三是企业要遵守自身所制定的规章制度。

虽然种类繁多，但在行政合规体系建设中，所合之规主要还是法律、法规、规章及行政规范性文件，因为其比较明确具体，有着强制约束力和相应的责任后果，自然也是合规的重点。因此，在行政合规语境下，主要在第一层含义上理解所合之“规”。故而，行政合规风险主要指企业及其员工因违反法律、法规、规章及行政规范性文件的行为所引发的受到行政处罚等的法律后果。

（2）与相近概念的比较

一般而言，企业在日常经营过程中可能会面临三个方面的风险：一是经营风险；二是合规风险；三是法律风险。[1]三种风险之间的关系如下：

范畴最小但也最严重的风险是“法律风险”，即企业违反法律法规等所面临的风险，主要包括监管处罚风险、刑事风险；“法律风险”之外是“合规风险”，“合规风险”的范畴大于“法律风险”，因为“符合法律法规”仅是“合规”的第一层含义；“合规风险”之外，还有运营风险也即商业风险，很多企业的经营行为，本身没有违法违规，但是因为市场的变化与风险，最终也可能导致企业遭受损失。

但是，如前所述，在行政合规语境下，合规风险主要是指违反相关法律、法规、规章、行政规范性文件等所引发的法律后果，法律风险主要是监管处罚风险。

2.行政合规风险的类型

在行政合规语境下，合规风险是指企业及其员工因不合规行为所引发的受到相关行政处罚等法律后果。结合《中华人民共和国行政处罚法》（下称“《行政处罚法》”）第九条，监管处罚风险主要包括以下类型：

第一，名誉罚，包括警告、通报批评等。警告系行政处罚中最轻的一种，一般适用于较为轻微的违法行为。通报批评系新增的处罚种类之一，指行政机关对违法企业在一定范围内通过书面批评加以谴责和告诫，避免其再犯的一种处罚种类。目前，《中华人民共和国慈善法》等近十部法律均规定了通报批评的行政处罚。此外，证券监管领域中运用较多的公开谴责[2]也属于通报批评[3]。

第二，财产罚，包括罚款、没收违法所得、没收非法财物等。罚款系最为常用、最普遍的行政处罚种类。没收违法所得指行政机关依法将企业因从事违法行为而获得的金钱收入予以没收的一种处罚种类。在违法所得的计算标准上，根据《行政处罚法》第二十八条，违法所得指的是实施违法行为所取得的金额，原则上不扣除成本；确应扣除成本的，应由法律、行政法规和部门规章作出规定[4]。

第三，资格罚，包括暂扣许可证件、降低资质等级、吊销许可证件等。降低资质等级系新增的处罚种类之一，指行政机关依法对违反行政管理秩序的企业所取得的行政许可由较高等级降低为较低等级，从而限制其生产经营活动范围。目前，《中华人民共和国城乡规划法》《中华人民共和国建筑法》《建设工程质量管理条例》等多部法律、法规和规章规定了降低资质等级的行政处罚。

第四，行为罚，包括限制开展生产经营活动、责令停产停业、责令关闭、限制从业等，其中限制开展生产经营活动、责令关闭和限制从业系新增的处罚种类。

限制开展生产经营活动是指行政机关依法对违反行政管理秩序的企业限制其从事新的生产经营活动或者扩大生产经营活动的行政处罚，包括责令停止接受新业务和在一定期限内禁止开展相关生产经营活动。限制开展生产经营活动是对违法企业尚未从事生产经营活动的限制，体现了行政管理精细化趋势[5]。

责令关闭是指行政机关依法对违反行政管理秩序的企业停止全部生产经营活动的行政处罚，是一种较为严厉的行政处罚。目前，《中华人民共和国水污染防治法》《建设项目环境保护管理条例》等多部法律、法规均规定了责令关闭的行政处罚。

限制从业是指行政机关对违反行政管理秩序的公民限制其从事一定职业的行政处罚。实践中，《中华人民共和国药品管理法》《中华人民共和国食品安全法》《中华人民共和国认证认可条例》等多部法律、法规均规定了禁止违法企业的法定代表人、主要负责人等在一定期限内从事相关工作的行政处罚。

第五，自由罚，主要指行政拘留。目前，限制人身自由的行政处罚只能由法律规定，且主要适用于治安管理领域以及引入单位行政违法双罚制的环境保护、药品管理等领域。

此外，除行政处罚外，企业及其员工的不合规行为还会引发其他合规风险，如被采取纳入违法失信名单、行政约谈等行政监管措施。

1.行政合规风险识别与分析的主要流程

企业建立行政合规体系的核心是根据企业生产经营活动实际建立行政合规风险识别、管理、改进和更新的流程制度。其中，合规风险识别与分析是合规体系建立的基础。[6]而要识别合规风险，如前述所分析，企业首先应当在梳理合规义务的基础上，将合规义务与企业日常活动、产品、服务等联系起来，确认可能发生不合规的情况，明确其法律后果。其次，在合规风险评估中，企业应当比较所识别的合规风险等级，从而确定合规管理任务的优先级，进而确定实施合规管理措施的必要性和程度水平。合规风险识别与分析的主要流程包括：

（1）全面梳理企业合规风险清单

企业应当根据自身实际经营业务，在识别合规义务的基础上全面梳理相关领域的合规风险清单。同时，可以根据业务实际，初步识别其中的重大、关键风险。

（2）评估合规风险发生可能性、相应后果及风险等级

结合合规风险清单，企业需要根据合规风险发生可能性和影响性评估合规风险对企业的影响，主要分为合规风险发生可能性、合规风险后果、合规风险等级和对业务影响。

（3）对企业合规风险重新排序整理

根据合规风险识别分析的结果，企业需要对已经识别的合规风险从高频率、高风险到低频率、低风险进行排序，从而确定需要重点开展合规管理的业务领域，并据此制定具体的合规管理方案。

（4）定期更新合规风险清单

出现以下情况时，企业应定期更新合规风险清单：其一，出现新的产品、服务或者产品、服务进行了更新迭代；其二，重要的外部变化，如重要法律、法规、规章发生重大变化等。此外，企业亦可以一定期限为周期更新合规风险清单。

2.行政合规风险识别与评估的方式

如前所述，合规风险的识别可以通过风险清单的方式进行梳理。实践中已有行政机关通过风险清单的方式对企业行政合规风险进行识别、评估与指导的先例。例如，苏州市于2021年11月29日发布了首批《企业行政合规指导清单》，聚焦企业受到行政处罚的“高频”违法行为，根据违法行为出现频率、处罚程度设定相应风险等级，并针对每个合规风险点详细阐述常见违法行为表现、法律依据及违法责任等内容。

通过风险清单这种体系化、矩阵化的梳理，明确合规事项、不合规行为、合规风险后果、合规风险等级、合规风险发生频率、对业务的影响等，企业才能更好地搭建与其生产经营活动相关合规风险的框架结构，使得企业对外部监管要求及合规义务的梳理更加体系化。

以广告业务为例，在梳理合规义务的基础上，根据前述流程对企业（广告主）开展广告业务的主要合规风险（部分）进行识别与评估，具体如下：