✨温馨提示:
文末,iLaw团队精心准备「《数据合规尽职调查清单》」《数据交易合规评估规范》内容详实充分,如有需要,欢迎扫描下方二维码添加iLaw小助理,发送本文链接进行领取~
近期,智识君为本所律师开展了《律师如何进行合规风险排查评估服务》培训讲座,有企业向智识君咨询合规风险排查相关事宜。
为便于企业在合规管理体系建设后,构建常态化的合规风险排查运行机制,特制订本指南,供国资国企参考!
关联链接:
合规27 | 合规风险识别评估预警机制,国有企业合规管理的“内功”
合规42 | 合规工具:合规风险库管理标准
合规风险排查,是企业合规管理体系的重要组成部分,其目的是识别、评估和控制企业在经营管理过程中可能面临的合规风险。
本指南规定了企业开展合规风险排查的要求及实施指南,涵盖风险识别、评估、应对及持续改进的全过程。本文件适用于各类企业(包括国有企业、上市公司、民营企业及外资企业)建立合规风险排查机制,适用于法律服务机构提供合规风险排查服务的参考依据。
-
《合规管理体系要求及使用指南》(GB/T 35770-2022/ISO 37301:2021)
-
《中央企业合规管理办法》(国务院国资委令第42号)
-
《中央企业全面风险管理指引》(国资发改革〔2006〕108号)
-
《关于促进中小企业提升合规意识加强合规管理的指导意见》等。
企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或声誉损失及其他负面影响的可能性。注:合规风险包括固有风险(未采取控制措施时的风险)和剩余风险(现有控制措施无法完全消除的风险)。
企业强制遵守的法律法规、监管要求,以及自愿遵守的行业准则、内部规章制度等。
系统识别、评估企业经营管理活动中潜在合规风险的过程,包括制度审查、流程分析、人员访谈及整改建议。
从合规风险处理措施的控制性进行分类,合规风险分为固有合规风险和剩余合规风险。具体如下:
——固有合规风险:指企业在未采取任何相应合规风险处理措施的非受控状态下所面临的全部合规风险。
例如:制造企业在生产过程中未遵循环保法规,导致废水排放超标。如果该企业没有建立相关的合规制度或监测机制,那么其面临的环境违法风险即为固有合规风险。
——剩余合规风险:指企业现有的合规风险处理措施无法有效控制的合规风险。
例如:金融机构已经建立了内部审计制度以监控合规性,但由于审计人员的专业能力不足,或者审计频率不够,导致某些潜在的合规问题未被及时发现和处理。这种情况下,尽管有合规措施,但仍然存在未能有效控制的合规风险,即为剩余合规风险。
从合规风险的类型进行分类,合规风险包括违法风险、违规风险、违反内部规章制度及流程规范的风险、违反行业职业操守或行为准则的风险、国际制裁风险、违反党内法规风险等。具体如下:
——违法风险,违反法律、行政法规、行政规章、地方性法规、规范性文件等导致的法律责任风险,包括民事风险、行政风险及刑事风险。
例如:《民法典》规定:“违反法律、行政法规的强制性规定的民事法律行为无效”,即存在民事行为无效风险;违反《安全生产法》规定,未尽安全生产管理职责的,存在责令限期改正、罚款、停产停业整顿等行政处罚风险;盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密,情节严重的,则可能涉及《刑法》侵犯商业秘密罪,有涉及有期徒刑及罚金的刑事责任风险。
——违规风险,违反国资监管规定等导致的监管责任风险。
例如:《企业国有资产法》规定,在涉及关联方交易、国有资产转让等交易活动中,当事人恶意串通,损害国有资产权益的,该交易行为无效;《企业国有资产交易监督管理办法》规定,如若国有企业有关人员违反规定越权决策、批准相关交易事项,或者玩忽职守、以权谋私致使国有权益受到侵害的,涉及人员处分,赔偿责任等违规责任风险。
——违反内部规章制度及流程规范的风险:即,违反企业章程,以及内部的管理规范、制度、标准、办法、守则等导致的责任风险。
例如:《公司法》规定了董事、高管人员的禁止行为,如存在违反公司章程的规定或者未经股东会、股东大会同意,与本公司订立合同或者进行交易,则所得收入应当归公司所有;《劳动合同法》中规定劳动者存在严重违反规章制度的,用人单位可以解除劳动合同;《重庆市市属国有重点企业违规经营投资责任追究实施办法(试行)》中亦规定内控及风险管理制度未执行或执行不力,对经营投资重大风险未能及时分析、识别、评估、预警、应对和报告,亦涉及组织处理、扣减薪酬、禁入限制、纪律处分、移送国家监察机关或司法机关等责任风险。
除前述三类典型风险类型之外,还包括违反行业职业操守或行为准则的合规风险,尤其是金融行业将面临通报、行业禁入等惩戒风险;违反国际条约或规则可能面临国际制裁风险;违反党内法规等将面临党内处分等。
根据(GB/T 35770-2022/ISO 37301:2021)《合规管理体系要求及使用指南》A.4.6 合规风险评估的要求:
合规风险排查(等同于合规风险识别),包括合规风险源的识别和合规风险情况的界定。具体要求如下:
(1)合规风险源的识别:企业应根据部门职责、岗位职责和不同类型的组织活动,识别各部门和职能中存在的合规风险源。这意味着不同部门可能面临不同的合规风险,因此需要进行针对性的分析。
(2)合规风险情况的界定:企业需要界定每个合规风险源所对应的合规风险情况。这包括明确每个风险源可能导致的具体风险情境及其影响。
根据《中央企业合规管理办法》(国务院国资委令第42号)第二十条的规定,央国企应当建立合规风险识别评估预警机制。具体要求如下:
(1)识别:全面梳理经营管理活动中的合规风险,建立合规风险数据库。
(2)评估:对风险发生的可能性、影响程度及潜在后果进行评估。
(3)预警:对典型性、普遍性或可能产生严重后果的风险及时预警。
目前各地国资委出台的相关合规建设政策,原则上要求国有企业开展全级次、全方位的合规风险排查,针对发现的问题,落实各部门的合规管理责任,以下看上制定整改方案,以上率下及时完成整改(如重庆市国资委《市属国有重点企业“合规体系建设强化年”专项行动方案》)。
如:《金融机构合规管理办法》(国家金融监督管理总局令2024年第7号)第三十六条规定:金融机构全体员工应当遵守与其履职行为有关的合规规范,积极识别、控制其履职行为的合规风险,主动配合金融机构和监管机构开展合规管理,并对其履职行为的合规性承担责任。
如:工信部等15部门出台的《关于促进中小企业提升合规意识加强合规管理的指导意见》(工信厅联企业〔2025〕14号)规定:……全国工商联“助微计划"专项行动、创新型成长型民营企业赋能行动等,组织服务机构为中小企业开展合规风险排查等多层次合规服务等。
对于企业而言,合规风险排查系以系统性、动态性方法识别、评估及监控企业合规风险,贯穿企业全生命周期。
(1)预防性:提前预警潜在风险,避免法律责任与经济损失;
(2)动态性:结合法规变化与业务发展,定期或不定期更新排查机制;
(3)针对性:不同的企业类型(国企、上市公司、民企等)可确定不同的排查重点。
例如:央国企在合规管理体系建立后,合规风险排查将进入常态化治理阶段;上市公司则更侧重于在信息披露等环节有合规风险排查的需求;大型民企/外企根据不同的治理需求进一步完善机制;而国家提倡中小型民企展开合规风险排查,完善合规管理体系。
切割责任边界,明确违规行为责任主体;通过中立评价客观识别管理漏洞,降低法律与声誉风险。
提升合规管理效能,优化业务流程与内控制度;助力企业建立“合规即竞争力”的战略优势。
主动应对监管要求,避免行政处罚与合规成本激增;为上市、并购等重大事项提供合规背书等。
根据智识君团队的合规辅导经验,企业可由合规委员会、首席合规官、合规管理部门统筹各部门(也可委托律所等合规辅导机构)参考以下总体流程开展合规风险排查:
根据《中央企业合规管理办法》(国务院国资委令第42号)相关规定:
企业主要负责人作为推进法治建设第一责任人,应当切实履行依法合规经营管理重要组织者、推动者和实践者的职责,积极推进合规管理各项工作;首席合规官对企业主要负责人负责,领导合规管理部门组织开展相关工作,指导所属企业加强合规管理。企业合规管理部门牵头负责本企业合规管理工作,主要履行组织开展合规风险识别、预警和应对处置等职能。
因此,与高管、合规部门进行提前沟通,是合规风险排查工作开展的应有之义,以便于确定企业合规风险排查的战略目标,所涉业务模式、历史合规问题,以及排查重点等。获取高层支持,了解企业战略与合规痛点。
合规现状调研,是为全面梳理现有制度、流程及历史的合规风险问题。包括但不限于:收集和分析内部文件,包括制度、合同、审计报告等,收集和分析内部文件,包括制度、合同、审计报告等,
合规风险排查应聚焦高风险领域,避免重点不突出,资源浪费。
企业进行合规风险排查时,可参考以下风险排查的重点领域:
企业的合规风险均有差异性,宜结合前期合规现状调研等情况,有针对性地制定排查文本,如调查表单、访谈提纲等。
企业需要注意的是,相较于排查文本形式,更重要的是当地的合规管理政策以及企业本身的经营管理需求。
企业合规风险排查实施方案,一般包括排查目标、排查依据、排查期间,以及排查重点任务、行动要求、保障支持等内容。
企业可以采用多种方法进行合规风险的识别,包括:资料查阅法、问卷调查法、面谈访谈法、历史事件分析法等。
——资料查询法:企业可组织统筹获取相关制度、会议资料、管理报告、外部行业研究、业务台账、法律纠纷案件等文档,查阅、汇总合规风险管理现状信息。通常资料查阅法是合规风险信息识别中必不可少的方法之一。
——问卷调查法:企业可根据合规风险管理目标,确定相应的风险因素,按照类别形成表格,向相关人员发放,获得相关合规风险的重要信息。
——面谈访谈:企业可预先制定访谈提纲,对利益相关者进行访谈并记录相关要点,了解潜在风险,确认合规风险重要信息。
——历史事件分析法:企业可分析曾经发生的对公司经营管理目标造成一定影响的历史事件(例如法律纠纷诉讼案件),进一步剖析导致事件发生的相关风险。
开放式提问:如“请描述本部门合规管理的主要难点。”
情景假设法:如“若发生数据泄露,现有流程能否应对?”
对比分析法:如“投资管理中,您与财务部的职责差异是什么?”
——避免诱导性提问,如:错误示例:“是否存在商业贿赂?”正确示例:“部门如何防控商业贿赂风险?”
——确保客观性与真实性:一是需记录细节,关键信息逐字记录,避免主观臆断;二是交叉验证,通过文件审查、问卷结果验证访谈内容;三是书面认证,重要结论需被访者签字确认等。
——访谈准备:一是明确对象:高管(战略视角)、中层(执行问题)、合规员(实操细节);二是制定提纲:结合业务领域设计问题(如合同、数据安全);三是打消顾虑:承诺保密,不涉及追责问责,营造信任氛围。
——访谈后跟进信息整理:一是分类汇总风险点;二是补充资料,要求被访者提供缺失文件(如制度、流程记录);三是纳入报告,将访谈结果与制度审查、业务流程分析交叉引用。
企业从合规义务中进行合规风险排查,可参考以下路径要求:
一般而言,合规风险排查报告是为管理层全景化展现企业的合规风险状况,为下一步决策提供参考。
报告主要内容包括:合规风险排查的监管要求及背景;合规风险排查的总体综述;合规风险排查的目的、期间及方法;具体合规风险点及提升建议;合规风险排查总体结论等。
在合规风险排查过程中,业务及职能部门与合规管理部门的职责应明确第一、二道防线的不同要求。其中:
(1)业务及职能部门:负责开展合规风险识别评估,定期梳理重点岗位合规风险,将合规要求纳入岗位职责。
(2)合规管理部门:负责组织开展合规风险识别、预警和应对处置,确保合规管理体系的有效运行。
企业应每年定期开展合规风险排查工作,发现问题及时改进。
针对新业务、新规范或重大项目,宜进行专项排查工作。
一个人怎样才能认识自己呢?绝不是通过思考,而是通过实践。尽力去履行你的职责,那你就会立刻知道你的价值(引用自[德]约翰·沃尔夫冈·冯·歌德《歌德的格言和感想集》)
免责. 本文及其内容并不代表iLaw对有关问题的法律意见,同时我们并不保证将会在载明日期之后继续对有关内容进行更新,我们不建议读者仅仅依赖于本文中的全部或部分内容而进行任何决策,因此造成的后果将由行为人自行负责。如果您需要法律意见或其他专家意见,我们建议您向具有相关资格的专业人士寻求专业帮助。