一、核心概念
1.1 三大审查维度
内部合规风险识别
├── 维度一:制度体系完整性审查
│ └── 核心问题:企业是否建立了覆盖全部合规义务的内部规章制度?
├── 维度二:业务流程控制有效性审查
│ └── 核心问题:核心业务流程中的控制节点是否完备、执行是否有效?
└── 维度三:个人信息保护合规性审查
└── 核心问题:隐私政策协议及数据处理活动是否符合《个人信息保护法》等法规?
1.2 合规风险等级定义
| 等级 | 标记 | 定义 | 典型情形 |
|---|
| 重大风险 | 🔴 | 违反强制性法律规定,可能导致行政处罚、刑事责任或重大民事赔偿 | 未建立反洗钱制度(金融机构)、未履行网络安全等级保护义务 |
| 重要风险 | 🟡 | 违反监管规定或行业规范,可能导致监管措施、罚款或声誉损失 | 采购流程缺少三方比价、隐私政策未告知保存期限 |
| 一般风险 | 🟢 | 制度不完善或执行不到位,存在合规隐患但短期内不会导致严重后果 | 制度更新滞后于法规修订、审批权限设置不够细化 |
1.3 常见合规义务来源
| 来源类型 | 示例 | 效力层级 |
|---|
| 法律 | 《公司法》《个人信息保护法》《反不正当竞争法》 | 最高 |
| 行政法规 | 《网络数据安全条例》 | 高 |
| 部门规章 | 证监会规章、银保监会规章、工信部规章 | 高 |
| 司法解释 | 最高法关于个人信息保护的司法解释 | 高 |
| 行业标准 | 各行业自律规范、技术安全标准 | 中 |
| 地方性法规 | 各地数据条例、消费者保护条例 | 中(地域限制) |