在建立合规管理体系的过程中，很多企业都将合规管理部门设置在“公司法律部门”之下，甚至安排公司法务总监或总法律顾问担任首席合规官（CCO) 。据此，有人认为，所谓企业合规，就等于公司的法律事务。然而，经验显示，企业合规并不等于一般意义上的法律风险防控。在各种法律风险之中，对企业具有致命影响的还是企业因为违反法律法规而受到监管处罚和刑事追究的风险。例如，企业因为实施商业贿赂行为，受到了反不正当竞争部门的调查，或者受到刑事执法机关的立案侦查； 企业因为接受腐败分子或恐怖分子的融资，违反了有关反洗钱的法律，因此受到金融监管部门的调查，或者受到检察机关的起诉； 企业因为违反有关网络安全管理法律，或者存在侵犯个人信息的行为，受到有关监管部门的调查，或者受到法院的刑事审判；企业因为违反有关出口管制的法律，受到监管部门的行政处罚，或者被追究刑事责任； 企业因为排放危险废物，造成污染环境的法定后果，被环境保护部门采取行政处罚，或者被法院予以定罪…… 。而上述行政处罚、刑事追究以及国际组织制裁所带来的最严厉后果，我们将受到这些特定处罚视为一种特殊的“合规风险”，并将其与一般的法律风险区别开来。也正是为了防范这种合规风险，企业才需要设立合规委员会、首席合规官、合规部门等合规组织，并在发布商业行为准则和员工行为手册的前提下，建立专门的合规风险防范、识别和应对体系。由此，企业合规并不是一般意义上的“法律风险防范”，而是专门针对行政监管处罚风险、刑事法律风险以及国际组织制裁风险，所建立的自我监管、自我报告、自我预防和自我整改的公司治理体系。