二、完整工作流程
阶段一:准备与信息收集
步骤 1:确认企业基本信息
- 企业名称、统一社会信用代码
- 所属行业(决定适用的特殊监管规则)
- 企业规模(影响合规义务的强度和范围)
- 业务区域(是否涉及跨境经营、多地经营)
- 本次审查范围:制度审查 / 流程审查 / 隐私审查 / 全部
步骤 2:收集审查所需材料
| 审查维度 | 所需材料 |
|---|---|
| 制度体系审查 | 现行全部内部规章制度文件清单及正文 |
| 业务流程审查 | 核心业务流程的书面操作指引、流程图、相关表单样本 |
| 隐私合规审查 | 现行隐私政策协议全文、数据处理活动说明、第三方合作清单 |
阶段二:制度体系完整性审查
步骤 3:梳理企业应遵守的合规义务
- 根据企业所属行业,识别适用的法律法规清单
- 从法律法规中提取对企业具有约束力的合规义务
- 将合规义务分类(如:公司治理、劳动用工、安全生产、数据保护、反商业贿赂等)
步骤 4:建立制度-法规对照矩阵
| 合规义务类别 | 应建制度 | 现有制度 | 制度状态 |
|---|---|---|---|
| 数据保护 | 《数据安全管理制度》 | 《信息安全管理办法》 | 🟡 部分覆盖 |
| 反商业贿赂 | 《反商业贿赂合规制度》 | (无) | 🔴 缺失 |
步骤 5:审查现有制度内容的合规性
对已建立的制度,逐项审查:
- 制度内容是否与现行法律法规一致(无冲突、无过时条款)
- 制度规定的责任主体是否明确
- 制度规定的操作流程是否具体、可执行
- 制度是否规定了违规后果和问责机制
步骤 6:输出制度缺失审查结果
对每项发现的问题,按以下格式输出:
**问题编号:** G-01
**问题类型:** 制度缺失
**合规义务:** 建立反商业贿赂合规制度
**法律依据:** 《反不正当竞争法》第7条、第19条
**风险等级:** 🔴 重大
**问题描述:** 企业未建立反商业贿赂专项制度,销售人员佣金政策未经合规审核,存在商业贿赂风险敞口。
**整改建议:**
1. 制定《反商业贿赂合规制度》,明确禁止性行为清单
2. 建立经销商/代理商准入审查机制
3. 对销售人员进行反商业贿赂培训
4. 建立礼品、招待、佣金审批登记制度
**整改优先级:** 高阶段三:业务流程控制有效性审查
步骤 7:获取并还原业务流程
- 获取业务部门提供的书面操作指引或流程图
- 若无书面文件,通过访谈还原流程,明确以下要素:
- 流程起点与终点
- 各环节名称及先后顺序
- 每个环节的参与岗位及职责
- 每个环节的审批人及审批权限
- 每个环节产生的记录表单或系统日志
- 绘制流程还原图(标注岗位、审批节点、单据流向)
步骤 8:识别应设未设的合规控制节点
对照法律法规及行业规范,判断流程中是否缺失以下关键控制节点:
| 控制节点 | 适用场景 | 缺失风险 |
|---|---|---|
| 供应商/合作方准入审核 | 采购、外包、合作 | 资质不符、利益关联 |
| 利益冲突申报 | 涉及关联交易、个人利益 | 利益输送、自我交易 |
| 三方比价或招标 | 采购金额达到规定标准 | 价格虚高、腐败风险 |
| 合同法律审核 | 签约前 | 条款不利、权利缺失 |
| 用印审批与登记 | 印章使用 | 印章滥用、合同伪造 |
| 验收与确认 | 货物/服务交付 | 质量不符、数量短缺 |
| 异常事项报告与处理 | 流程偏离正常路径 | 风险隐瞒、损失扩大 |
步骤 9:检查不相容岗位分离
不相容岗位是指根据内部控制要求,不能由同一人担任的岗位。常见的不相容岗位:
| 岗位组合 | 风险说明 |
|---|---|
| 采购申请与采购审批 | 自行申请、自行批准,缺乏监督 |
| 选择供应商与验收货物 | 可能选择关联供应商并放松验收标准 |
| 资金支付与账务记录 | 可能挪用资金并篡改账目 |
| 合同签订与合同审核 | 可能签订不利于公司的合同 |
| 用印申请与用印审批 | 可能私自用印 |
检查方法:
- 获取岗位人员名单,检查不相容岗位是否由不同人员担任
- 若因人员不足无法分离,检查是否有替代性控制措施(如定期轮岗、交叉复核、系统留痕)
步骤 10:评估审批权限设置合理性
- 审批权限是否按金额/风险等级分级设置
- 大额或高风险事项是否有更高层级审批要求
- 临时授权审批是否有事后追认机制
- 审批权限是否以书面形式明确,避免口头授权
步骤 11:检查记录留存可追溯性
- 每个环节是否产生书面或电子记录
- 记录是否完整保存、是否可追溯至具体操作人员及操作时间
- 电子审批系统是否留有操作日志,日志是否防篡改
- 纸质单据是否有编号管理、归档制度
- 记录保存期限是否符合法规要求
步骤 12:输出业务流程审查结果
**问题编号:** P-01
**问题类型:** 控制节点缺失
**流程节点:** 供应商选择
**法律依据:** 《企业内部控制基本规范》第29条
**风险等级:** 🔴 重大
**问题描述:** 无供应商准入审核机制,业务人员可自行确定供应商,无资质审查、背景调查环节。
**整改建议:**
1. 建立供应商准入流程,由采购部或指定部门对供应商资质进行审核
2. 形成合格供应商名录,定期更新
3. 对新增供应商进行背景调查,排除利益关联
**整改优先级:** 高阶段四:个人信息保护合规性审查
步骤 13:获取并审查隐私政策协议
获取企业现行有效的隐私政策协议全文(包括网站版、App版、小程序版等所有版本)。
步骤 14:逐项审查隐私合规要点
| 审查项 | 审查要点 | 法律依据 |
|---|---|---|
| 处理合法性 | 是否明确告知处理目的、方式、种类;是否取得用户同意(或具备其他合法基础) | 《个人信息保护法》第13-17条 |
| 最小必要原则 | 收集的个人信息范围是否与提供产品/服务所必需;是否存在过度收集 | 《个人信息保护法》第6条 |
| 同意机制 | 首次使用时是否取得用户自愿、明确的同意;是否提供拒绝选项;是否区分基本功能与扩展功能 | 《个人信息保护法》第14、16条 |
| 敏感个人信息 | 收集生物识别、金融账户、行踪轨迹等敏感信息前,是否取得用户的单独同意 | 《个人信息保护法》第29条 |
| 告知完整性 | 是否告知处理目的、方式、保存期限;保存期限难以确定的,是否说明确定方法 | 《个人信息保护法》第17条 |
| 第三方共享 | 向第三方提供个人信息是否取得单独同意;是否以清单形式列明第三方名称、共享信息种类、目的 | 《个人信息保护法》第23条;《网络数据安全管理条例》第21条 |
| SDK披露 | 嵌入的第三方SDK是否列明名称、包名、收集信息类型、目的;是否可便捷访问SDK条款 | 《个人信息保护法》第17条 |
| 用户权利保障 | 是否告知用户查阅、复制、更正、删除、撤回同意、注销账号的方式和路径 | 《个人信息保护法》第44-47条 |
| 跨境传输 | 向境外提供个人信息是否具备合法基础(安全评估、标准合同、认证之一) | 《个人信息保护法》第38-43条 |
| 未成年人保护 | 处理不满14周岁未成年人信息是否取得监护人同意、是否有专门规则 | 《个人信息保护法》第31条 |
步骤 15:输出隐私合规审查结果
**问题编号:** D-01
**问题类型:** 告知内容不完整
**审查项:** 保存期限告知
**法律依据:** 《个人信息保护法》第17条
**风险等级:** 🟡 重要
**问题描述:** 隐私政策未明确告知各类个人信息的保存期限,仅表述为"实现目的所需时间内",不符合法律关于告知保存期限的要求。
**整改建议:**
1. 补充各类信息的保存期限说明
2. 对难以确定保存期限的信息,明确保存期限的确定方法(如"订单完成后保留5年,其后删除或匿名化")
**整改优先级:** 中阶段五:汇总与报告
步骤 16:汇总全部合规风险
- 将三个维度的审查结果统一编号(制度类G-XX、流程类P-XX、数据类D-XX)
- 按风险等级排序(🔴 重大 → 🟡 重要 → 🟢 一般)
- 统计各类风险数量
步骤 17:生成合规风险审查报告
# 内部合规风险审查报告
**审查对象:** XXX公司
**所属行业:** XXX
**审查日期:** YYYY-MM-DD
**审查范围:** 制度体系完整性 / 业务流程控制有效性 / 个人信息保护合规性
## 一、审查结论摘要
| 风险等级 | 数量 |
|----------|------|
| 🔴 重大风险 | X项 |
| 🟡 重要风险 | X项 |
| 🟢 一般风险 | X项 |
| **合计** | **X项** |
## 二、重大风险清单(🔴)
[列明全部重大风险,每项包含:问题编号、问题描述、法律依据、整改建议、整改期限]
## 三、重要风险清单(🟡)
[列明全部重要风险]
## 四、一般风险清单(🟢)
[列明全部一般风险]
## 五、整改建议汇总
| 序号 | 整改事项 | 责任部门 | 建议完成期限 | 优先级 |
|------|----------|----------|-------------|--------|
| 1 | ... | ... | ... | 高 |
## 六、免责声明
本报告基于审查日企业提供的信息作出,仅供内部合规管理参考,不构成正式法律意见。
特殊行业监管规则需另行专项审查。