| name | internal-compliance-risk-identification |
| description | 当需要对企业内部的合规管理体系进行系统性审查,识别制度缺漏、流程缺陷和数据隐私合规风险时触发此技能。
典型触发场景包括但不限于:
- 企业委托律师或合规顾问进行内部合规风险评估
- 企业拟上市、并购或接受监管检查前进行合规自查
- 发生合规事件后,需要排查管理体系中的系统性缺陷
- 企业建立或更新合规管理体系时,需要评估现有制度与法律法规的匹配度
- 用户要求审查企业内部规章制度、核心业务流程或隐私政策协议的合规性
本技能覆盖三大审查维度:制度体系完整性审查、业务流程控制有效性审查、个人信息保护合规性审查。
|
内部合规风险识别
概述表格
| 项目 | 内容 |
|---|
| 能力编号 | 14 |
| 能力名称 | 内部合规风险识别 |
| 能力类型 | 合规审查 |
| 核心功能 | 从制度体系、业务流程、数据隐私三个维度识别企业内部合规缺口 |
| 输入 | 企业规章制度文件、业务流程描述/流程图、隐私政策协议、企业所属行业信息 |
| 输出 | 结构化合规风险清单(含问题描述、法律依据、风险等级、整改建议) |
| 关联能力 | 法律规范效力检查(确认适用法规的现行有效性)、法条检索(补充法规依据) |
| 风险等级 | 高(合规漏洞可能导致行政处罚、民事责任或刑事责任) |
法律声明
重要提示:
- 本技能提供的合规风险识别为辅助性分析,不构成正式法律意见书。
- 合规审查结论依赖于企业提供信息的完整性和真实性,信息不完整可能导致遗漏重大风险。
- 不同行业(金融、医疗、互联网、能源等)存在特殊的监管规则,需结合行业特殊规定进行审查。
- 涉及跨境数据传输、反垄断、反贿赂等特殊领域的合规问题,建议另行委托专项审查。
- 整改建议应经执业律师或合规专业人士审核后实施。
一、核心概念
1.1 三大审查维度
内部合规风险识别
├── 维度一:制度体系完整性审查
│ └── 核心问题:企业是否建立了覆盖全部合规义务的内部规章制度?
├── 维度二:业务流程控制有效性审查
│ └── 核心问题:核心业务流程中的控制节点是否完备、执行是否有效?
└── 维度三:个人信息保护合规性审查
└── 核心问题:隐私政策协议及数据处理活动是否符合《个人信息保护法》等法规?
1.2 合规风险等级定义
| 等级 | 标记 | 定义 | 典型情形 |
|---|
| 重大风险 | 🔴 | 违反强制性法律规定,可能导致行政处罚、刑事责任或重大民事赔偿 | 未建立反洗钱制度(金融机构)、未履行网络安全等级保护义务 |
| 重要风险 | 🟡 | 违反监管规定或行业规范,可能导致监管措施、罚款或声誉损失 | 采购流程缺少三方比价、隐私政策未告知保存期限 |
| 一般风险 | 🟢 | 制度不完善或执行不到位,存在合规隐患但短期内不会导致严重后果 | 制度更新滞后于法规修订、审批权限设置不够细化 |
1.3 常见合规义务来源
| 来源类型 | 示例 | 效力层级 |
|---|
| 法律 | 《公司法》《个人信息保护法》《反不正当竞争法》 | 最高 |
| 行政法规 | 《网络数据安全条例》 | 高 |
| 部门规章 | 证监会规章、银保监会规章、工信部规章 | 高 |
| 司法解释 | 最高法关于个人信息保护的司法解释 | 高 |
| 行业标准 | 各行业自律规范、技术安全标准 | 中 |
| 地方性法规 | 各地数据条例、消费者保护条例 | 中(地域限制) |
二、完整工作流程
阶段一:准备与信息收集
步骤 1:确认企业基本信息
- 企业名称、统一社会信用代码
- 所属行业(决定适用的特殊监管规则)
- 企业规模(影响合规义务的强度和范围)
- 业务区域(是否涉及跨境经营、多地经营)
- 本次审查范围:制度审查 / 流程审查 / 隐私审查 / 全部
步骤 2:收集审查所需材料
| 审查维度 | 所需材料 |
|---|
| 制度体系审查 | 现行全部内部规章制度文件清单及正文 |
| 业务流程审查 | 核心业务流程的书面操作指引、流程图、相关表单样本 |
| 隐私合规审查 | 现行隐私政策协议全文、数据处理活动说明、第三方合作清单 |
阶段二:制度体系完整性审查
步骤 3:梳理企业应遵守的合规义务
- 根据企业所属行业,识别适用的法律法规清单
- 从法律法规中提取对企业具有约束力的合规义务
- 将合规义务分类(如:公司治理、劳动用工、安全生产、数据保护、反商业贿赂等)
步骤 4:建立制度-法规对照矩阵
| 合规义务类别 | 应建制度 | 现有制度 | 制度状态 |
|---|
| 数据保护 | 《数据安全管理制度》 | 《信息安全管理办法》 | 🟡 部分覆盖 |
| 反商业贿赂 | 《反商业贿赂合规制度》 | (无) | 🔴 缺失 |
步骤 5:审查现有制度内容的合规性
对已建立的制度,逐项审查:
- 制度内容是否与现行法律法规一致(无冲突、无过时条款)
- 制度规定的责任主体是否明确
- 制度规定的操作流程是否具体、可执行
- 制度是否规定了违规后果和问责机制
步骤 6:输出制度缺失审查结果
对每项发现的问题,按以下格式输出:
**问题编号:** G-01
**问题类型:** 制度缺失
**合规义务:** 建立反商业贿赂合规制度
**法律依据:** 《反不正当竞争法》第7条、第19条
**风险等级:** 🔴 重大
**问题描述:** 企业未建立反商业贿赂专项制度,销售人员佣金政策未经合规审核,存在商业贿赂风险敞口。
**整改建议:**
1. 制定《反商业贿赂合规制度》,明确禁止性行为清单
2. 建立经销商/代理商准入审查机制
3. 对销售人员进行反商业贿赂培训
4. 建立礼品、招待、佣金审批登记制度
**整改优先级:** 高
阶段三:业务流程控制有效性审查
步骤 7:获取并还原业务流程
- 获取业务部门提供的书面操作指引或流程图
- 若无书面文件,通过访谈还原流程,明确以下要素:
- 流程起点与终点
- 各环节名称及先后顺序
- 每个环节的参与岗位及职责
- 每个环节的审批人及审批权限
- 每个环节产生的记录表单或系统日志
- 绘制流程还原图(标注岗位、审批节点、单据流向)
步骤 8:识别应设未设的合规控制节点
对照法律法规及行业规范,判断流程中是否缺失以下关键控制节点:
| 控制节点 | 适用场景 | 缺失风险 |
|---|
| 供应商/合作方准入审核 | 采购、外包、合作 | 资质不符、利益关联 |
| 利益冲突申报 | 涉及关联交易、个人利益 | 利益输送、自我交易 |
| 三方比价或招标 | 采购金额达到规定标准 | 价格虚高、腐败风险 |
| 合同法律审核 | 签约前 | 条款不利、权利缺失 |
| 用印审批与登记 | 印章使用 | 印章滥用、合同伪造 |
| 验收与确认 | 货物/服务交付 | 质量不符、数量短缺 |
| 异常事项报告与处理 | 流程偏离正常路径 | 风险隐瞒、损失扩大 |
步骤 9:检查不相容岗位分离
不相容岗位是指根据内部控制要求,不能由同一人担任的岗位。常见的不相容岗位:
| 岗位组合 | 风险说明 |
|---|
| 采购申请与采购审批 | 自行申请、自行批准,缺乏监督 |
| 选择供应商与验收货物 | 可能选择关联供应商并放松验收标准 |
| 资金支付与账务记录 | 可能挪用资金并篡改账目 |
| 合同签订与合同审核 | 可能签订不利于公司的合同 |
| 用印申请与用印审批 | 可能私自用印 |
检查方法:
- 获取岗位人员名单,检查不相容岗位是否由不同人员担任
- 若因人员不足无法分离,检查是否有替代性控制措施(如定期轮岗、交叉复核、系统留痕)
步骤 10:评估审批权限设置合理性
- 审批权限是否按金额/风险等级分级设置
- 大额或高风险事项是否有更高层级审批要求
- 临时授权审批是否有事后追认机制
- 审批权限是否以书面形式明确,避免口头授权
步骤 11:检查记录留存可追溯性
- 每个环节是否产生书面或电子记录
- 记录是否完整保存、是否可追溯至具体操作人员及操作时间
- 电子审批系统是否留有操作日志,日志是否防篡改
- 纸质单据是否有编号管理、归档制度
- 记录保存期限是否符合法规要求
步骤 12:输出业务流程审查结果
**问题编号:** P-01
**问题类型:** 控制节点缺失
**流程节点:** 供应商选择
**法律依据:** 《企业内部控制基本规范》第29条
**风险等级:** 🔴 重大
**问题描述:** 无供应商准入审核机制,业务人员可自行确定供应商,无资质审查、背景调查环节。
**整改建议:**
1. 建立供应商准入流程,由采购部或指定部门对供应商资质进行审核
2. 形成合格供应商名录,定期更新
3. 对新增供应商进行背景调查,排除利益关联
**整改优先级:** 高
阶段四:个人信息保护合规性审查
步骤 13:获取并审查隐私政策协议
获取企业现行有效的隐私政策协议全文(包括网站版、App版、小程序版等所有版本)。
步骤 14:逐项审查隐私合规要点
| 审查项 | 审查要点 | 法律依据 |
|---|
| 处理合法性 | 是否明确告知处理目的、方式、种类;是否取得用户同意(或具备其他合法基础) | 《个人信息保护法》第13-17条 |
| 最小必要原则 | 收集的个人信息范围是否与提供产品/服务所必需;是否存在过度收集 | 《个人信息保护法》第6条 |
| 同意机制 | 首次使用时是否取得用户自愿、明确的同意;是否提供拒绝选项;是否区分基本功能与扩展功能 | 《个人信息保护法》第14、16条 |
| 敏感个人信息 | 收集生物识别、金融账户、行踪轨迹等敏感信息前,是否取得用户的单独同意 | 《个人信息保护法》第29条 |
| 告知完整性 | 是否告知处理目的、方式、保存期限;保存期限难以确定的,是否说明确定方法 | 《个人信息保护法》第17条 |
| 第三方共享 | 向第三方提供个人信息是否取得单独同意;是否以清单形式列明第三方名称、共享信息种类、目的 | 《个人信息保护法》第23条;《网络数据安全管理条例》第21条 |
| SDK披露 | 嵌入的第三方SDK是否列明名称、包名、收集信息类型、目的;是否可便捷访问SDK条款 | 《个人信息保护法》第17条 |
| 用户权利保障 | 是否告知用户查阅、复制、更正、删除、撤回同意、注销账号的方式和路径 | 《个人信息保护法》第44-47条 |
| 跨境传输 | 向境外提供个人信息是否具备合法基础(安全评估、标准合同、认证之一) | 《个人信息保护法》第38-43条 |
| 未成年人保护 | 处理不满14周岁未成年人信息是否取得监护人同意、是否有专门规则 | 《个人信息保护法》第31条 |
步骤 15:输出隐私合规审查结果
**问题编号:** D-01
**问题类型:** 告知内容不完整
**审查项:** 保存期限告知
**法律依据:** 《个人信息保护法》第17条
**风险等级:** 🟡 重要
**问题描述:** 隐私政策未明确告知各类个人信息的保存期限,仅表述为"实现目的所需时间内",不符合法律关于告知保存期限的要求。
**整改建议:**
1. 补充各类信息的保存期限说明
2. 对难以确定保存期限的信息,明确保存期限的确定方法(如"订单完成后保留5年,其后删除或匿名化")
**整改优先级:** 中
阶段五:汇总与报告
步骤 16:汇总全部合规风险
- 将三个维度的审查结果统一编号(制度类G-XX、流程类P-XX、数据类D-XX)
- 按风险等级排序(🔴 重大 → 🟡 重要 → 🟢 一般)
- 统计各类风险数量
步骤 17:生成合规风险审查报告
# 内部合规风险审查报告
**审查对象:** XXX公司
**所属行业:** XXX
**审查日期:** YYYY-MM-DD
**审查范围:** 制度体系完整性 / 业务流程控制有效性 / 个人信息保护合规性
## 一、审查结论摘要
| 风险等级 | 数量 |
|----------|------|
| 🔴 重大风险 | X项 |
| 🟡 重要风险 | X项 |
| 🟢 一般风险 | X项 |
| **合计** | **X项** |
## 二、重大风险清单(🔴)
[列明全部重大风险,每项包含:问题编号、问题描述、法律依据、整改建议、整改期限]
## 三、重要风险清单(🟡)
[列明全部重要风险]
## 四、一般风险清单(🟢)
[列明全部一般风险]
## 五、整改建议汇总
| 序号 | 整改事项 | 责任部门 | 建议完成期限 | 优先级 |
|------|----------|----------|-------------|--------|
| 1 | ... | ... | ... | 高 |
## 六、免责声明
本报告基于审查日企业提供的信息作出,仅供内部合规管理参考,不构成正式法律意见。
特殊行业监管规则需另行专项审查。
三、输出格式模板
输出 1:单项问题记录卡
**问题编号:** [G/P/D]-[序号]
**问题类型:** [制度缺失/制度内容违规/控制节点缺失/不相容岗位未分离/审批权限不合理/记录留存缺陷/告知不完整/同意机制缺陷/第三方共享违规/用户权利保障不足/其他]
**审查维度:** [制度体系/业务流程/隐私合规]
**涉及制度/流程/政策:** [具体名称]
**法律依据:** [法律名称+条款]
**风险等级:** [🔴/🟡/🟢]
**问题描述:** [具体、可核查的描述]
**整改建议:** [具体、可操作的措施]
**整改优先级:** [高/中/低]
**预计整改工作量:** [如:需制定新制度1项、修订现有制度2项、系统改造1处]
输出 2:合规风险清单汇总表
| 编号 | 维度 | 类型 | 问题简述 | 等级 | 优先级 |
|------|------|------|----------|------|--------|
| G-01 | 制度 | 制度缺失 | 未建立反商业贿赂制度 | 🔴 | 高 |
| P-01 | 流程 | 控制节点缺失 | 供应商选择无准入审核 | 🔴 | 高 |
| D-01 | 数据 | 告知不完整 | 隐私政策未说明保存期限 | 🟡 | 中 |
四、示例
示例 1:采购流程合规审查
输入:
某企业采购流程描述:业务部门提出采购需求→部门负责人审批→业务人员自行寻找供应商(无资质审核、无比价)→业务人员草拟合同→部门负责人签字后用印(无法务审核)→仓库管理员验收并入库→财务付款。5万元以上采购同样由部门负责人审批。用印仅登记日期,不记录合同名称和相对方。采购申请单由业务人员自行保管。
审查输出(节选):
| 编号 | 节点 | 问题 | 等级 | 整改建议 |
|---|
| P-01 | 供应商选择 | 无准入审核、无比价机制 | 🔴 | 建立供应商准入和比价制度 |
| P-02 | 合同签订 | 无法务审核 | 🔴 | 增设合同法律审核节点 |
| P-03 | 审批权限 | 大额采购无分级审批 | 🟡 | 5万→部门负责人;5-20万→副总;20万+→总经理 |
| P-04 | 验收与入库 | 验收与入库岗位未分离 | 🟡 | 由不同人员分别负责 |
| P-05 | 用印管理 | 用印登记信息不完整 | 🟡 | 登记合同名称、相对方、金额、事由 |
| P-06 | 记录留存 | 缺乏统一归档制度 | 🟢 | 建立采购档案管理制度 |
示例 2:隐私政策合规审查
输入:
某App隐私政策要点:用户注册需授权手机号和微信OpenID;使用全球购需提供身份证号;与支付平台、物流服务商共享订单信息;隐私政策未明确说明各类信息保存期限;未说明账号注销的具体路径。
审查输出(节选):
| 编号 | 审查项 | 问题 | 等级 | 整改建议 |
|---|
| D-01 | 敏感信息同意 | 身份证号收集未说明是否取得单独同意 | 🔴 | 全球购首次使用前设置单独同意弹窗 |
| D-02 | 保存期限 | 未明确告知各类信息保存期限 | 🟡 | 补充保存期限或确定方法 |
| D-03 | 第三方共享 | 未以清单形式列明各第三方具体信息 | 🟡 | 以表格列明第三方名称、共享种类、目的 |
| D-04 | 用户权利 | 未说明注销账号的具体路径 | 🟡 | 补充权利行使操作路径 |
五、常见错误与防范
| 错误类型 | 错误描述 | 后果 | 防范措施 |
|---|
| 法规梳理不全 | 仅检索通用法律,遗漏行业特殊监管规定 | 重大合规风险被遗漏 | 建立行业法规清单,必要时咨询行业专家 |
| 制度-法规对照流于形式 | 只看制度名称,不审查具体内容是否与法规一致 | 制度内容过时或与法规冲突 | 对现有制度进行逐条合规性审查 |
| 访谈对象单一 | 仅访谈法务或合规部门,未访谈业务部门 | 流程实际操作与书面规定不符 | 访谈业务一线人员,获取真实操作信息 |
| 隐私审查范围过窄 | 仅审查隐私政策文本,未核查实际数据处理活动 | 实际处理与政策声明不符 | 要求企业提供数据处理活动说明,对照核查 |
| 整改建议不可操作 | 建议过于笼统(如"加强管理"),无具体措施 | 企业无法执行,问题持续存在 | 整改建议应具体到责任部门、完成期限、验收标准 |
| 忽视跨境合规 | 未识别企业是否存在跨境数据传输活动 | 违反数据出境安全评估义务 | 主动询问企业是否存在境外服务器、境外合作方 |
六、特殊场景处理
6.1 多行业集团企业
对于同时经营多个业务板块(如同时涉及金融、房地产、科技)的集团企业:
- 按业务板块分别梳理适用的监管规则
- 识别集团层面统一制度与板块特殊制度的冲突或空白
- 关注集团内部关联交易、资金调拨等跨板块的合规风险
6.2 拟上市企业
拟上市企业合规审查除一般审查外,还需特别关注:
- 历史沿革中的股权变动合规性
- 关联交易定价公允性
- 劳动用工合规(社保公积金缴纳、劳务派遣比例)
- 环保、安全生产等特殊行业许可
- 税务合规(税收优惠的合法性、转移定价)
6.3 外资企业/跨境经营
- 审查外商投资准入负面清单合规性
- 审查跨境数据传输合规性(安全评估、标准合同、认证)
- 审查本地化存储要求(如地图数据、基因数据、重要数据)
- 关注国际制裁合规(OFAC、欧盟制裁清单)
6.4 数据驱动的互联网企业
- 重点审查算法推荐合规性(是否提供关闭选项、是否进行算法备案)
- 审查自动化决策的透明度(是否告知用户、是否提供申诉渠道)
- 审查大规模个人信息处理活动的个人信息保护影响评估(PIA)
七、质量检查清单
□ 1. 企业所属行业是否已明确?
□ 2. 适用的法律法规清单是否已梳理完整(含行业特殊规定)?
□ 3. 制度-法规对照是否已覆盖全部关键合规义务?
□ 4. 业务流程还原是否基于实际操作(而非仅书面规定)?
□ 5. 不相容岗位分离检查是否已覆盖全部关键流程?
□ 6. 隐私政策审查是否已覆盖全部法定告知事项?
□ 7. 每项风险是否已标注法律依据、风险等级和整改建议?
□ 8. 整改建议是否具体、可操作、已明确责任主体?
□ 9. 重大风险(🔴)是否已全部列明并优先处理?
□ 10. 审查报告是否已包含免责声明和局限性说明?
八、关联技能
| 关联技能 | 关系 | 说明 |
|---|
| 法律规范效力检查 | 前置/并行 | 确认审查所依据的法律法规是否现行有效 |
| 法条检索 | 前置/并行 | 补充检索特定合规义务的法律依据 |
| 法律风险识别 | 互补 | 本技能聚焦管理体系层面的合规缺口,法律风险识别聚焦具体法律行为的合法性 |
九、局限性与风险提示
- 信息依赖性:审查结论完全依赖企业提供的信息,企业故意隐瞒或提供虚假信息将导致重大遗漏。
- 动态变化性:法律法规持续更新,审查结论仅反映审查时点的合规状态。
- 行业特殊性:不同行业的特殊监管规则差异巨大,通用审查清单无法覆盖全部行业特殊要求。
- 深度限制:本技能为合规风险筛查,发现的问题需经专业律师或合规顾问进一步出具正式法律意见。