企业对内、外部环境进行初步分析，是风险识别评估的出发点。在时间频率上，每年12月，企业对本单位过去1年各业务合规情况进行评审，从执法强度高的合规义务和企业业务领域、市场领域进行矩阵分析。当公司内外管理环境发生重大变化时，也应该及时进行合规风险形势评审。
    企业在确定需要加强合规风险管理的关键业务、岗位范围，进行企业合规风险形势评审，关注合规风险发生的实际分布和实际敞口变化后，可形成《公司合规风险形势评审表》。基于以上步骤，笔者总结了九步搞定风险识别、分析和评估的方法。
    第一步，关注企业内外部环境。合规风险形势评审内容在企业内部要关注：企业生产经营是否出现新的或更改的活动、产品或服务；组织的结构或战略是否发生变更；企业内部是否发生重大不合规行为，包括是否发生重大违反合规要求的从业行为，是否发生重大违反合规承诺的从业行为，是否发生重大违反公司制度的行为，企业内控测试是否存在重大不合格项，公司专项审计是否存在重大问题；公司合规目标是否实现等。
    外部要关注：企业所在的环境是否发生重要的外部变化。比如，金融经济环境、市场情况、负债和客户关系的变化；重要合规义务的变化；执法强度和趋势变化等。
    评审完成后，报合规部负责人审核后报区域合规官审批，即可进入第二步骤。
    第二步，明确企业合规方针和目标。制定开展某业务合规风险识别评估的工作方案，形成《关于开展XX业务合规风险识别评估的通知》。企业只有依据明确的合规方针和目标，才能确定与企业实际情况、生存发展需求相对应的确切风险环境，并据此制定合规风险识别评估方案。
    第三步，识别合规风险源——形成“合规风险源内容清单”。根据公司XX业务流程制度规定和部门业务分工、岗位职责和授权，全面清理和确定对管理和服务对象承担的各类工作职责，识别对应的合规风险源内容，形成“合规风险源内容清单”。合规风险源内容清理方法以关键业务流程为单元，或者以岗位为单元。
    第四步，定义合规风险。有了“合规风险源内容清单”，就如同找到了合规风险的来源。根据“合规风险源内容清单”识别企业风险。
    彻底的合规风险识别将提高合规风险透明度，同时也是企业愿意改善合规经营的有力证明。在工作方法上，在所列出的合规风险源内容清单中，以小组讨论、头脑风暴、案例启发、业务座谈等形式，识别对应合规风险源内容可能触发的风险表现类型，即不合规事件的发生情形，并描述出来，合规风险就定义出来了。
    第五步，合规风险分析。根据可能触发的风险表现类型——不合规情形定义的合规风险，结合合规风险源对应的工作事项的实施特征，进行合规风险分析，分析其产生不合规的原因、不合规的后果、合规风险源发生频次等。
    第六步，评估合规风险，确定合规风险系数。在合规风险分析基础上，评估其对业务目标影响、对合规目标的影响程度，确定合规风险系数，从而形成风险排序。合规风险系数评估可以采取目标影响评估法。在前面分析结果的基础上，评估不合规对业务目标的影响，同时评估对合规目标的影响。一般按照影响目标是否实现、不影响目标实现但产生有形损失和不影响目标实现但引起负面无形影响3个程度进行评估，产生有形损失包括受到经济处罚，负面无形影响包括撤掉企业产品金质奖章等。
    第七步，风险排序，确定风险应对计划。通过对已识别的企业合规风险和确定的合规风险系数进行排序，确定待处理的合规风险点，并对应到合规风险源，企业进而能够确定其年度合规应对计划的重点业务环节、重点工作岗位，工作组也可以据此拟定风险应对措施计划。
    第八步，风险应对措施制定。根据合规风险点所在的不同业务步骤、岗位和合规风险系数，依据公司制度规定的工作目标、工作步骤和工作方法，结合合规要求、合规承诺，有针对性地制定合规风险管理措施。对不同风险系数的合规风险的应对措施应区别制定，重点加强对合规风险系数高的合规风险点的防控。制定合规风险控制措施时，特别要注意的是，合规风险的管理重点在于对合规风险源的管理和合规风险源发生频次的降低。
    对于新的合规义务，企业若无相对应的制度措施进行应对，将面临全部固有的合规风险。企业需要针对经识别分析评估后的合规风险，制定风险控制措施，形成新的制度。对于原有合规义务，或者合规义务发生变化，以及企业内部发生产品、战略、组织架构、岗位职责等变化，尽管企业有现成的制度，但是可能存在残留的剩余合规风险。因此，我们需要对企业现有的控制制度进行合规风险控制效果评估，评估是否存在剩余合规风险，再决定是否需要针对所识别的剩余合规风险，采取补充的控制管理措施，。
    第九步，合规风险控制措施植入企业流程制度。根据制定的合规风险控制措施，融入到对应的企业流程制度，并发布、培训宣传贯彻和执行。