| name | internal-compliance-risk-identification |
| description | 内部合规风险识别——从制度体系/业务流程/数据隐私三维度识别企业内部合规缺口。 适用情形:合规风险评估/上市前合规自查/并购前合规审查/监管检查前自查/建立合规管理体系。 核心:三大审查维度(制度完整性+流程控制+个人信息保护),三级风险评级(🔴重大/🟡重要/🟢一般)。 注意:不同行业(金融/医疗/互联网/能源)有特殊监管规则,需结合行业特殊规定审查。
|
| argument-hint | [企业基本信息] [行业] [制度文件/流程描述] → 合规风险清单 + 整改建议 |
| legal_frame | cn-mainland |
| last_reviewed | "2026-06-13T00:00:00.000Z" |
| version | 1.0.0 |
| risk_level | high |
| references | [{"name":"internal-compliance-risk-identification","source":"THUYRan/Legal-Skills-Chinese"}] |
| trigger_phrases | ["合规风险","内部合规","风险识别","合规检查","内控风险"] |
/internal-compliance-risk-identification — 内部合规风险识别
三大审查维度
内部合规风险识别
├── 维度一:制度体系完整性
│ └── 企业是否建立了覆盖全部合规义务的内部规章制度?
├── 维度二:业务流程控制有效性
│ └── 核心业务流程中的控制节点是否完备、执行是否有效?
└── 维度三:个人信息保护合规
└── 隐私政策及数据处理活动是否符合《个人信息保护法》?
风险等级
| 等级 | 标记 | 定义 | 典型情形 |
|---|
| 重大风险 | 🔴 | 违反强制性法律规定,可能导致处罚/刑事责任/重大民事赔偿 | 未建立反洗钱制度、未履行网络安全等级保护义务 |
| 重要风险 | 🟡 | 违反监管规定,可能导致监管措施/罚款/声誉损失 | 采购流程缺少三方比价、隐私政策未告知保存期限 |
| 一般风险 | 🟢 | 制度不完善或执行不到位,存在隐患但短期不会导致严重后果 | 制度更新滞后、审批权限设置不够细化 |
合规义务来源
| 来源 | 示例 | 效力层级 |
|---|
| 法律 | 公司法/个人信息保护法/反不正当竞争法 | 最高 |
| 行政法规 | 网络数据安全条例 | 高 |
| 部门规章 | 证监会/银保监会/工信部规章 | 高 |
| 司法解释 | 最高法相关司法解释 | 高 |
| 行业标准 | 行业自律规范/技术安全标准 | 中 |
| 地方性法规 | 各地数据条例/消费者保护条例 | 中(地域) |
工作流程
维度一:制度体系完整性审查
步骤1:确认企业基本信息
- 名称/统一社会信用代码/所属行业
步骤2:建立合规义务清单
对照适用的法律法规,建立应具备的制度清单
步骤3:核查现有制度
- 是否覆盖全部合规义务
- 制度内容是否符合法规要求
- 制度是否现行有效(无修订滞后)
步骤4:评估制度执行
- 是否有配套流程
- 是否定期培训
- 是否有监督检查机制
维度二:业务流程控制有效性审查
步骤1:梳理核心业务流程
- 采购流程
- 销售流程
- 人力资源流程
- 财务流程
- 合同管理流程
步骤2:识别关键控制节点
- 审批节点
- 复核节点
- 记录节点
步骤3:评估控制有效性
- 控制是否真正执行
- 执行是否留下痕迹
- 异常情况如何处理
维度三:个人信息保护合规审查
步骤1:梳理数据处理活动
- 收集:哪些个人信息/为什么收集/如何收集
- 存储:存储在哪里/存储多久/如何保护
- 使用:如何使用/是否对外提供
- 共享:提供给哪些第三方/基于什么法律基础
步骤2:核查隐私政策合规性
- 是否明确告知用户信息收集范围
- 是否说明保存期限
- 是否说明用户权利(访问/更正/删除)
- 是否说明跨境传输(如有)
步骤3:核查技术安全措施
- 加密措施
- 访问控制
- 审计日志
输出格式
## 内部合规风险评估报告
### 企业信息
| 项目 | 内容 |
|------|------|
| 企业名称 | |
| 所属行业 | |
| 评估日期 | |
---
### 一、制度体系完整性
| 应有制度 | 现有状态 | 风险等级 | 差距分析 | 整改建议 |
|---------|---------|---------|---------|---------|
| | | | | |
---
### 二、业务流程控制有效性
| 业务流程 | 关键控制节点 | 执行状态 | 风险等级 | 整改建议 |
|---------|------------|---------|---------|---------|
| | | | | |
---
### 三、个人信息保护合规
| 合规项目 | 现状 | 风险等级 | 整改建议 |
|---------|------|---------|---------|
| 收集告知 | | | |
| 保存期限 | | | |
| 用户权利 | | | |
| 跨境传输 | | | |
| 技术安全 | | | |
---
### 综合风险评级
| 维度 | 🔴重大 | 🟡重要 | 🟢一般 |
|------|-------|-------|-------|
| 制度体系 | | | |
| 流程控制 | | | |
| 数据隐私 | | | |
**总体评级:** 🔴高风险 / 🟠中等风险 / 🟡低风险
引用说明
本skill方法论来自 THUYRan/Legal-Skills-Chinese/internal-compliance-risk-identification,
THUYRan原版9444字,GCL精简至约220行。