Internal Compliance Risk Identification

# 内部合规风险识别

## 概述表格

| 项目 | 内容 |
|------|------|
| **能力编号** | 14 |
| **能力名称** | 内部合规风险识别 |
| **能力类型** | 合规审查 |
| **核心功能** | 从制度体系、业务流程、数据隐私三个维度识别企业内部合规缺口 |
| **输入** | 企业规章制度文件、业务流程描述/流程图、隐私政策协议、企业所属行业信息 |
| **输出** | 结构化合规风险清单（含问题描述、法律依据、风险等级、整改建议） |
| **关联能力** | 法律规范效力检查（确认适用法规的现行有效性）、法条检索（补充法规依据） |
| **风险等级** | 高（合规漏洞可能导致行政处罚、民事责任或刑事责任） |

## 法律声明

> **重要提示：**
> 1. 本技能提供的合规风险识别为辅助性分析，不构成正式法律意见书。
> 2. 合规审查结论依赖于企业提供信息的完整性和真实性，信息不完整可能导致遗漏重大风险。
> 3. 不同行业（金融、医疗、互联网、能源等）存在特殊的监管规则，需结合行业特殊规定进行审查。
> 4. 涉及跨境数据传输、反垄断、反贿赂等特殊领域的合规问题，建议另行委托专项审查。
> 5. 整改建议应经执业律师或合规专业人士审核后实施。

## 一、核心概念

### 1.1 三大审查维度

```
内部合规风险识别
├── 维度一：制度体系完整性审查
│   └── 核心问题：企业是否建立了覆盖全部合规义务的内部规章制度？
├── 维度二：业务流程控制有效性审查
│   └── 核心问题：核心业务流程中的控制节点是否完备、执行是否有效？
└── 维度三：个人信息保护合规性审查
    └── 核心问题：隐私政策协议及数据处理活动是否符合《个人信息保护法》等法规？
```

### 1.2 合规风险等级定义

| 等级 | 标记 | 定义 | 典型情形 |
|------|------|------|----------|
| **重大风险** | 🔴 | 违反强制性法律规定，可能导致行政处罚、刑事责任或重大民事赔偿 | 未建立反洗钱制度（金融机构）、未履行网络安全等级保护义务 |
| **重要风险** | 🟡 | 违反监管规定或行业规范，可能导致监管措施、罚款或声誉损失 | 采购流程缺少三方比价、隐私政策未告知保存期限 |
| **一般风险** | 🟢 | 制度不完善或执行不到位，存在合规隐患但短期内不会导致严重后果 | 制度更新滞后于法规修订、审批权限设置不够细化 |

### 1.3 常见合规义务来源

| 来源类型 | 示例 | 效力层级 |
|----------|------|----------|
| 法律 | 《公司法》《个人信息保护法》《反不正当竞争法》 | 最高 |
| 行政法规 | 《网络数据安全条例》 | 高 |
| 部门规章 | 证监会规章、银保监会规章、工信部规章 | 高 |
| 司法解释 | 最高法关于个人信息保护的司法解释 | 高 |
| 行业标准 | 各行业自律规范、技术安全标准 | 中 |
| 地方性法规 | 各地数据条例、消费者保护条例 | 中（地域限制） |

## 二、完整工作流程

### 阶段一：准备与信息收集

#### 步骤 1：确认企业基本信息

- **企业名称**、**统一社会信用代码**
- **所属行业**（决定适用的特殊监管规则）
- **企业规模**（影响合规义务的强度和范围）
- **业务区域**（是否涉及跨境经营、多地经营）
- **本次审查范围**：制度审查 / 流程审查 / 隐私审查 / 全部

#### 步骤 2：收集审查所需材料

| 审查维度 | 所需材料 |
|----------|----------|
| 制度体系审查 | 现行全部内部规章制度文件清单及正文 |
| 业务流程审查 | 核心业务流程的书面操作指引、流程图、相关表单样本 |
| 隐私合规审查 | 现行隐私政策协议全文、数据处理活动说明、第三方合作清单 |

### 阶段二：制度体系完整性审查

#### 步骤 3：梳理企业应遵守的合规义务

1. 根据企业所属行业，识别适用的法律法规清单
2. 从法律法规中提取对企业具有约束力的合规义务
3. 将合规义务分类（如：公司治理、劳动用工、安全生产、数据保护、反商业贿赂等）

#### 步骤 4：建立制度-法规对照矩阵

| 合规义务类别 | 应建制度 | 现有制度 | 制度状态 |
|-------------|----------|----------|----------|
| 数据保护 | 《数据安全管理制度》 | 《信息安全管理办法》 | 🟡 部分覆盖 |
| 反商业贿赂 | 《反商业贿赂合规制度》 | （无） | 🔴 缺失 |

#### 步骤 5：审查现有制度内容的合规性

对已建立的制度，逐项审查：
- 制度内容是否与现行法律法规一致（无冲突、无过时条款）
- 制度规定的责任主体是否明确
- 制度规定的操作流程是否具体、可执行
- 制度是否规定了违规后果和问责机制

#### 步骤 6：输出制度缺失审查结果

对每项发现的问题，按以下格式输出：

```markdown
**问题编号：** G-01
**问题类型：** 制度缺失
**合规义务：** 建立反商业贿赂合规制度
**法律依据：** 《反不正当竞争法》第7条、第19条
**风险等级：** 🔴 重大
**问题描述：** 企业未建立反商业贿赂专项制度，销售人员佣金政策未经合规审核，存在商业贿赂风险敞口。
**整改建议：**
1. 制定《反商业贿赂合规制度》，明确禁止性行为清单
2. 建立经销商/代理商准入审查机制
3. 对销售人员进行反商业贿赂培训
4. 建立礼品、招待、佣金审批登记制度
**整改优先级：** 高
```

### 阶段三：业务流程控制有效性审查

#### 步骤 7：获取并还原业务流程

1. 获取业务部门提供的书面操作指引或流程图
2. 若无书面文件，通过访谈还原流程，明确以下要素：
   - 流程起点与终点
   - 各环节名称及先后顺序
   - 每个环节的参与岗位及职责
   - 每个环节的审批人及审批权限
   - 每个环节产生的记录表单或系统日志
3. 绘制流程还原图（标注岗位、审批节点、单据流向）

#### 步骤 8：识别应设未设的合规控制节点

对照法律法规及行业规范，判断流程中是否缺失以下关键控制节点：

| 控制节点 | 适用场景 | 缺失风险 |
|----------|----------|----------|
| 供应商/合作方准入审核 | 采购、外包、合作 | 资质不符、利益关联 |
| 利益冲突申报 | 涉及关联交易、个人利益 | 利益输送、自我交易 |
| 三方比价或招标 | 采购金额达到规定标准 | 价格虚高、腐败风险 |
| 合同法律审核 | 签约前 | 条款不利、权利缺失 |
| 用印审批与登记 | 印章使用 | 印章滥用、合同伪造 |
| 验收与确认 | 货物/服务交付 | 质量不符、数量短缺 |
| 异常事项报告与处理 | 流程偏离正常路径 | 风险隐瞒、损失扩大 |

#### 步骤 9：检查不相容岗位分离

不相容岗位是指根据内部控制要求，不能由同一人担任的岗位。常见的不相容岗位：

| 岗位组合 | 风险说明 |
|----------|----------|
| 采购申请与采购审批 | 自行申请、自行批准，缺乏监督 |
| 选择供应商与验收货物 | 可能选择关联供应商并放松验收标准 |
| 资金支付与账务记录 | 可能挪用资金并篡改账目 |
| 合同签订与合同审核 | 可能签订不利于公司的合同 |
| 用印申请与用印审批 | 可能私自用印 |

**检查方法：**
- 获取岗位人员名单，检查不相容岗位是否由不同人员担任
- 若因人员不足无法分离，检查是否有替代性控制措施（如定期轮岗、交叉复核、系统留痕）

#### 步骤 10：评估审批权限设置合理性

- 审批权限是否按金额/风险等级分级设置
- 大额或高风险事项是否有更高层级审批要求
- 临时授权审批是否有事后追认机制
- 审批权限是否以书面形式明确，避免口头授权

#### 步骤 11：检查记录留存可追溯性

- 每个环节是否产生书面或电子记录
- 记录是否完整保存、是否可追溯至具体操作人员及操作时间
- 电子审批系统是否留有操作日志，日志是否防篡改
- 纸质单据是否有编号管理、归档制度
- 记录保存期限是否符合法规要求

#### 步骤 12：输出业务流程审查结果

```markdown
**问