從國企到民企,合規風險排查怎么做?
作者:吳乙婕 2025-03-14在當今全球經濟一體化、市場競爭愈發激烈的大背景下,企業面臨的內外部環境日益復雜。隨著法律法規體系的不斷完善,監管力度持續加強,合規管理已成為企業生存發展的“必修課”。2025年3月13日,工業和信息化部等15部門辦公廳(秘書局、辦公室、綜合司)發布《關于促進中小企業提升合規意識加強合規管理的指導意見》(以下簡稱“意見”),強調促進中小企業加強合規管理,是堅持全面依法治國基本方略的內在要求,也是推動中小企業持續健康發展的重要基礎,并提出具體指導意見。
關于促進中小企業提升合規意識加強合規管理的指導意見
(工信廳聯企業〔2025〕14號內容概覽)
分類 | 具體內容 |
總體要求 | 以習近平新時代中國特色社會主義思想為指導,深入貫徹習近平總書記關于促進中小企業發展的系列重要指示批示精神,落實黨的二十大和二十屆二中、三中全會精神,以促進中小企業高質量發展為主線,堅持問題導向、需求牽引,系統觀念、法治思維,部門協同、上下聯動,引導中小企業增強合規意識、加強合規建設、提升合規管理水平,防范生產經營風險。到2030年,中小企業合規發展環境進一步優化,中小企業合規服務工作體系基本形成,企業基本具備適應高質量發展要求的合規管理意識和能力,依法合規經營水平顯著提升,合規成為中小企業核心競爭力的重要組成部分。 |
明確合規管理重點領域 | 1. 勞動用工合規:遵守勞動法,完善用工制度,保障員工權益,提供職業健康安全保障,合理使用職工教育經費。 |
統籌推進中小企業合規管理體系建設 | 1. 提升企業合規意識:開展宣傳活動,解讀法規政策,推廣典型案例,將合規納入培訓內容。 |
閱讀原文:
工業和信息化部等15部門辦公廳(秘書局、辦公室、綜合司)關于促進中小企業提升合規意識加強合規管理的指導意見
無論是國企還是民企,合規管理都已成為企業競爭力的重要組成部分。合規風險排查對于企業而言,是從“零散應對”到“系統治理”的起點,2022年2月28日,國資委召開中央企業強化合規管理專題推進會,明確提出要開展全級次、全領域、全方位的合規風險排查,基于相關要求,首輪合規管理體系建設過程中“大而全”的風險庫相繼在各大央國企中落地,隨著合規管理走向深水區,國有企業面臨從“專項行動排查”到“常態化治理”的轉型難題;而對民企而言,尤其是中小企業,由于缺乏專業的人才團隊,單純依靠內部人員發現風險難度較大;加之對法律法規和行業政策的了解不夠及時和深入,容易在經營過程中觸碰底線紅線,且無法對風險進行有效的防控和應對,陷入“無從下手”的困境。《意見》要求各地“要組織服務機構為中小企業開展合規風險排查、合規培訓、合規診斷、咨詢輔導、合規體系建設、維權服務等多層次合規服務”。“堅持問題導向,解決企業痛點難點。……組織研究開發中小企業合規自檢工具,匯集中小企業合規管理典型案例,為中小企業提供參考。”
合規風險排查能夠幫助企業全面梳理經營管理中的合規風險點,實現從被動應對風險到主動防范風險的轉變。同時,還能為企業迅速鎖定風險的重要領域和高發環節,進而為開展合規管理工作指明方向,節省潛在的合規成本,提升企業的運營效率和經濟效益,增強企業在市場中的競爭力,為企業的長遠發展奠定堅實基礎。進入強監管時代,無論是國有企業還是民營企業,都迫切需要構建“自主識別+專業賦能”的合規管理新模式,以應對日益復雜的合規挑戰。
本文將從實操角度,解析如何通過“內外協同”的合規風險排查模式,破解當前企業合規管理的難題。
一、合規風險全面排查的三大現實困境
1. 風險識別“靜態化”
國企:合規管理強化年專項行動推進以來,國有企業普遍率先完成首輪合規風險排查,由于合規風險排查要求既全面又精細,大部分國企主要依賴于外部機構進行排查、進而形成風險清單,制定了“模板化”的風險庫。然而,通過持續的跟蹤觀察,我們發現,很多一線員工未能真正掌握風險識別的方法,在實際工作中,習慣于沿用年度固定清單,沒有結合新業務、新政策進行動態更新。例如,隨著城市更新項目在各地的推進,這類項目涉及土地征收、規劃變更、居民安置等復雜環節,存在諸多合規風險點,如土地征收程序不合法、補償標準不符合規定等。REITs(房地產投資信托基金)作為新興金融業務,涉及資產證券化、稅收政策等復雜領域,若不及時關注并更新風險庫,就可能在業務開展過程中面臨稅務風險、信息披露風險等。
民企:民營企業普遍缺乏系統化的風險識別能力。在日常經營中,往往憑借經驗和直覺判斷風險,沒有科學的風險識別機制。很多民營企業在遭遇行政處罰或訴訟后才意識到存在合規問題,這種被動應對的方式使得企業遭受巨大損失。例如,某企業參與政府采購項目投標,收到中標通知書后,向招標人提交了《棄標函》構成中標后無正當理由拒不與采購人簽訂政府采購合同,受到行政處罰。此外,由于缺乏風險識別意識,民營企業在拓展新業務、進入新市場時,容易忽視潛在的合規風險,導致業務開展受阻。以某跨境電商企業為例,因未建立數據出境合規審查機制,導致核心業務被暫停三個月。
2. 部門協同“形式化”
國企:部分業務部門將填報《合規風險識別清單》視為額外負擔,只是應付了事,沒有認真梳理本部門業務流程中的風險點,導致填報的信息不準確、不完整。而合規管理部門在匯總清單時,缺乏與業務部門的有效溝通和協作,難以深入了解實際業務情況,難以對風險點進行核實和補充。這種“閉門造車”的方式使得風險排查工作無法真正發揮作用,無法全面準確地識別企業面臨的風險。
民企:由于規模相對較小,往往沒有設立專職的合規崗位,風險排查職責不明確。在風險排查過程中,主要依賴管理者的個人洞察力,而管理者精力有限,不可能對企業的所有業務進行深入細致的了解,這就導致很多關鍵風險點被遺漏。例如,在某民營企業的營銷活動中,營銷部門為了追求業績,在廣告宣傳中使用了一些可能涉嫌虛假宣傳的用語,但由于沒有專人負責審核營銷方案的合規性,企業管理者也未及時發現,最終被監管部門處罰,企業聲譽受損。
3. 工具方法“原始化”
國企:部分國有企業在合規風險排查中仍依賴 Excel 手工統計風險數據。隨著企業業務規模的不斷擴大,數據量呈爆發式增長,Excel 手工統計不僅效率低下,而且容易出現人失誤。更重要的是,這種方式無法實現風險數據的穿透分析,難以從海量數據中挖掘出潛在的風險關聯和趨勢。例如,在企業的供應鏈管理中,涉及眾多供應商的信息、采購訂單、合同數據等。使用 Excel 手工統計,很難對這些數據進行實時分析,無法及時發現供應商資質異常、合同履行過程中的潛在風險等問題。
民企:民營企業在合規風險排查方面,更多地依賴人工經驗,缺乏標準化的工具支持,存在主觀性強、準確性低的問題。而且,隨著企業業務的不斷拓展和法律法規的日益完善,人工經驗已經無法滿足企業對合規風險排查的要求。例如,在企業的財務管理中,單純依靠財務人員的經驗判斷數據的真實性和合規性,很難發現一些隱藏較深的財務稅收風險。相比之下,一些先進的企業已經開始利用大數據、人工智能等技術手段構建風險排查工具,能夠實現對風險的實時監控和預警,而民營企業在這方面的差距明顯,導致其在風險排查的效率和準確性上遠遠落后于競爭對手。
二、合規律師視角:風險排查的“PDCA+”實戰路徑
基于服務大量國企開展合規體系建設最佳實踐,對照《意見》的相關要求,我們提出“全周期、穿透式”排查方法論,這不僅適用于國有企業,也給民營企業提供有益參考:
PLAN(計劃及籌備階段)——搭建“三維風險雷達”
維度1:合規對標——風險識別從“靜態”向“動態”轉變
合規對標要求企業定期更新風險庫,結合新業務、新政策動態調整風險清單。隨著ai的廣泛應用,企業本地知識庫的部署更將有助于合規義務的動態更新,通過ai檢索,全面梳理國家法律法規、行業監管規定以及企業內部規章制度,明確自身在各個業務領域的合規義務。在前期梳理的基礎上,每季度或半年更新、核查一次合規義務庫;例如,2025年開年之際,安徽省國有金融資本投資管理有限公司通過本地化部署DeepSeek-R1深度推理模型,成功構建安徽省新興產業引導基金政策知識庫。
民營企業如不具備成熟的數字化管理基礎,也可以通過外部的機構輔導加之現有的ai模型和工具,制作詳細的合規義務清單,將抽象的法律法規和制度要求轉化為具體的、可操作的合規事項,為后續的風險排查提供明確的標準和依據。
維度2:業務解構
業務解構是將企業的業務流程進行拆解,分析每個環節可能存在的合規風險點,將風險識別嵌入業務流程,避免部門協同“形式化”。
以房地產開發企業為例,其業務流程涵蓋土地獲取、規劃設計、項目建設、市場營銷、物業管理等多個階段。在土地獲取階段,可能存在土地出讓程序不合法、土地閑置等風險,涉及的部門主要有投資發展部、法務部等;規劃設計階段,規劃變更未履行法定程序、設計方案不符合規范等風險較為突出,關聯部門包括設計部、規劃管理部門等;項目建設階段,工程質量不合格、安全生產事故等風險不容忽視,工程部、質量監督部門是主要責任部門;市場營銷階段,虛假宣傳、違規銷售等問題可能出現,營銷部、法務部需重點關注;物業管理階段,物業服務不到位、侵犯業主權益等風險需要防范,物業公司、客服部門應承擔相應責任。
通過拆解業務流程,繪制這樣的合規風險地圖,企業可以直觀地了解業務流程中各個環節的風險狀況,便于有針對性地開展風險排查和防控工作。
維度3:數據穿透
數據穿透是利用企業內部的各類數據資源,解決工具方法“原始化”問題,通過數據分析和挖掘,提升風險識別的效率和準確性。OA/審批表單等工具包含了企業各項業務的審批流程和決策信息,通過分析審批記錄,可以發現是否存在審批流程不規范、越權審批等問題。例如將 OA 審批記錄中的采購審批流程與采購合同進行對比,查看審批流程是否符合規定,合同簽訂是否經過了必要的審批環節;同時,結合工程簽證單和銷售臺賬的數據,交叉驗證工程項目的實際進度與銷售情況是否匹配,從而發現潛在的風險線索,提高風險排查的準確性和全面性。
Do(實施階段)——實施“五步穿透法”
Step 1:自查自檢
設計《業務部門/業務事項風險自評問卷》或以風險庫以及同行業、同類型企業相關合規風險時間為檢驗進行自查。《意見》明確勞動用工合規作為中小企業合規管理的重點領域之一,以精簡版的企業勞動用工基礎風險排查為例。
風險類別 | 風險事項 | 后果 | 是否存在 | 整改建議/要求 |
招聘入職環節 | 招聘廣告含 “限男性”“35 周歲以下” 等歧視性表述 | 人社部門罰款(最高 3 萬元) 被起訴民事賠償 | 改用 “適應高強度工作”“具備相關經驗” 等中性描述 | |
未在用工之日起 1 個月內簽訂書面勞動合同 | 第 2 個月起支付雙倍工資(最長 11 個月) | 入職當天簽署合同,電子合同需經員工實名認證 | ||
試用期約定超過法定上限(例:3 年合同試用期不得超 6 個月) | 超期部分按轉正工資標準賠償 | 根據合同期限匹配試用期(勞動合同法第 19 條) | ||
勞動合同管理 | 工作地點寫 “全國”“服從公司調配” 等模糊條款 | 單方調崗可能被認定無效,需賠償損失 | 明確具體城市 + 約定 “因經營需要調整時協商變更” | |
約定 “加班需審批,未經審批不視為加班” | 實際加班仍需支付 1.5-3 倍工資(以考勤記錄為準) | 超時工作無論是否審批均需結算,嚴控加班時長 | ||
合同到期未及時續簽,員工繼續工作超 1 個月 | 視為訂立無固定期限合同 支付雙倍工資 | 設置合同到期前 30 天預警機制 | ||
薪酬與社保 | 工資條未明確列明加班費、補貼、扣款等明細 | 發生爭議時企業承擔舉證不能責任 | 采用銀行轉賬 + 電子工資單雙記錄,員工簽字確認 | |
強制員工簽署 “自愿放棄社保” 聲明 | 補繳社保 0.5-3 倍滯納金 員工可隨時辭職索償 | 僅特殊崗位(如超齡人員)可協商購買商業保險替代 | ||
以 “補貼”“報銷” 等形式拆分工資規避繳費基數 | 按實際工資總額補繳社保 行政處罰 | 社保基數至少按當地最低標準足額繳納 | ||
工時與休假管理 | 實行 “996”“大小周” 未履行民主程序 | 員工可主張休息日加班費(200% 工資) | 工時制度需經職工代表大會通過并公示 | |
病假期間按最低工資 80% 發放待遇 | 需補足當地最低工資標準 支付 25% 經濟補償金 | 病假工資不得低于最低工資的 80% 且需提前書面約定 | ||
年休假逾期未休直接作廢 | 按 3 倍日工資支付未休補償 | 提前 30 天書面通知休假安排,留存簽收記錄 | ||
離職管理重災區 | 以 “末位淘汰” 為由直接解除勞動合同 | 構成違法解除,支付 2N 賠償金(N = 工作年限) | 績效考核需證明員工 “不勝任” 且經培訓 / 調崗仍不合格 | |
離職證明添加 “嚴重違紀”“與公司存在糾紛” 等描述 | 賠償員工因此造成的就業損失 | 僅記載勞動合同期限、崗位等基本信息(勞動合同法第 50 條) | ||
未在解除合同時一次性付清工資、經濟補償金 | 按應付金額 50%-100% 加付賠償金 | 離職當日完成工資結算并書面確認 | ||
特殊用工模式風險 | 勞務派遣工占比超過用工總量 10% | 人社部門責令限期整改,逾期按每人 5000 元罰款 | 關鍵崗位轉正式用工,動態監控派遣比例 | |
外包人員實際接受公司直接考勤管理 | 被認定事實勞動關系,承擔用人單位責任 | 外包合同需明確 “第三方獨立管理”,不介入具體考核 | ||
實習生連續使用超過 6 個月 | 被認定勞動關系,補簽合同 補繳社保 | 簽訂實習協議,期限不超過 6 個月,注明 “非勞動關系” | ||
新型風險預警 | 居家辦公未約定考勤方式及工傷認定標準 | 工作時間突發疾病可能被認定為工傷 | 簽訂補充協議,明確 “線上打卡 + 工作事故報告流程” | |
使用 AI 監控系統收集員工隱私數據 | 侵犯個人信息 | 監控范圍限于工作區域,需經職工代表大會同意 |
Step 2:穿行測試
穿行測試是對企業的業務流程進行抽樣檢查,以驗證業務流程是否符合相關法律法規和企業內部規章制度的要求。以勞動合同管理為例,隨機抽查N份勞動合同,檢查其中試用期的約定是否符合《勞動合同法》的規定。檢查試用期的工資是否符合法律要求,試用期內解除勞動合同的條件是否合法也是檢查的重點。通過穿行測試,及時發現業務流程中存在的潛在風險點,為企業完善內部管理提供依據。
Step 3:人員訪談
人員訪談是通過與企業內部相關人員進行面對面交流,了解企業的經營管理情況和潛在的合規風險。在進行人員訪談時,可以采用突擊式訪談的方式,以獲取更真實、準確的信息。對財務總監開展“突擊式訪談”:“是否存在通過個人賬戶收付款情形?”除了財務總監,還可以對其他關鍵崗位人員進行訪談,如采購部門負責人、銷售部門經理等,了解他們在業務操作過程中是否遇到過合規問題,以及企業在內部控制方面存在的漏洞,為風險排查提供更全面的信息。
Step 4:外部印證
外部印證是利用外部信息資源,對企業內部的風險排查結果進行驗證和補充。例如,通過企查查等第三方平臺檢索合作供應商的涉訴記錄,如果發現供應商存在與圍標串標相關的訴訟案件,就需要進一步核實企業在招投標過程中是否存在與該供應商勾結、圍標串標的情況。此外,還可以通過查詢政府監管部門的網站、行業協會的信息平臺等,獲取與企業業務相關的外部信息,如行業動態、監管政策變化等,將這些信息與企業內部的風險排查情況相結合,拓寬風險排查的渠道,提高風險排查的準確性和可靠性。
Step 5:數據建模
有條件的企業可以利用數據分析技術,建立風險指標模型,對企業的合規風險進行量化評估。以勞動用工風險為例,建立“勞動用工風險指標模型”,通過比對員工花名冊與社保繳納記錄的匹配度,評估企業在勞動用工方面的合規風險。如果員工花名冊中的人數與社保繳納記錄中的人數不一致,或者社保繳納基數與員工實際工資不符,就可能存在未依法為員工繳納社會保險的風險。此外,還可以通過分析員工的加班時長、工資發放記錄等數據,評估企業是否存在違反勞動法律法規的情況,如拖欠加班費、未足額支付工資等。通過數據建模,將復雜的風險問題轉化為具體的數據指標,便于企業進行風險監測和預警,及時采取措施防范風險。
Check(驗證階段)——設計“風險量化評估矩陣”
使用“風險影響程度×發生概率”雙維度評估法,劃分紅、黃、藍三個風險等級區域。紅色區域代表高風險,即風險發生概率高且影響程度大的風險,這類風險一旦發生,可能會對企業造成重大的經濟損失、聲譽損害甚至法律責任,如重大合同違約、安全生產事故等。對于紅色區域的風險,企業應立即啟動應急預案,采取最嚴格的防控措施,調配最優質的資源進行應對,確保風險得到及時有效的控制。
黃色區域代表中風險,這類風險發生概率適中,影響程度相對較大,或者發生概率較高但影響程度較小,如一般性的合同糾紛、稅務風險等。針對黃色區域的風險,企業需要制定詳細的應對計劃,明確責任部門和責任人,定期跟蹤風險的變化情況,根據風險的發展態勢及時調整應對策略。
藍色區域代表低風險,即風險發生概率低且影響程度較小的風險,如辦公設備采購中的小金額違規操作等。雖然這類風險對企業的影響相對較小,但也不能忽視,企業應建立日常的監控機制,定期對藍色區域的風險進行梳理和評估,防止低風險演變為中高風險。
Act(改進階段)——輸出落地管理的清單
清單式管理通過任務條目化、流程標準化提升執行效率,實現責任清晰、風險可控的精細化管控;同時促進知識沉淀與持續改進,為組織管理提供可視化、可追溯的科學工具。合規風險排查后的清單落地不完全等同于合規管理體系建設中常提到的三張清單(合規風險識別清單、崗位合規職責清單、流程管控清單),在風險排查后,輸出可落地、可操作的清單通常包括《合規風險排查清單》以識別風險,《整改任務/建議清單》以要求整改閉環。《流程再造建議清單》以優化流程強化管控,從而實現合規風險有效管控和企業合規運營。
《合規風險排查清單》是企業合規管理的重要知識庫,它以業務條線為脈絡,系統地整理和歸納了各類合規風險相關信息。在構建過程中,企業全面收集和梳理歷史上發生的合規風險案例,無論是因合同糾紛導致的經濟損失,還是因違反環保法規而遭受的行政處罰,都詳細記錄在案。同時,針對每一個風險點,都明確列出對應的法律法規依據,甚至是相關的行業標準和地方規定,讓員工清楚了解企業在安全生產方面的法律義務和責任。應對預案則是風險庫的核心內容之一。對于每一類風險,都制定了詳細的應對策略和操作流程。當風險發生時,企業能夠迅速啟動預案,有條不紊地采取應對措施。以應對市場價格波動風險為例,預案中明確規定了如何進行市場監測、價格調整的觸發條件、與供應商和客戶的溝通機制等,確保企業在面對風險時能夠及時、有效地做出反應,降低損失。
《整改任務清單》明確責任部門 / 人員、完成時限、驗收標準,是確保合規風險得到有效整改的關鍵文件。它將整改任務細化到具體的責任部門和責任人,明確規定了完成整改的時間節點,以及驗收整改成果的標準。避免了整改過程中的推諉扯皮現象。每個部門和個人都清楚自己在整改工作中的職責,能夠積極主動地開展工作。完成時限的設定,為整改工作提供了明確的時間約束,促使各部門和責任人加快整改進度,提高工作效率,確保整改任務能夠在規定時間內高質量完成。驗收標準則是衡量整改工作是否達標的重要依據。驗收標準不僅包括整改措施的執行情況,還包括風險指標的改善程度、合規制度的完善程度等。只有當整改工作完全符合驗收標準時,才能認定整改任務完成。例如,在合同管理合規整改中,驗收標準可以包括合同簽訂的合規率達到 95% 以上、合同履行的監控機制有效運行等。
《流程再造建議清單》旨在通過優化企業的業務流程,從源頭上預防合規風險的發生。以在系統增加“超合同付款自動攔截”功能為例,這一功能的實現能夠有效避免因人為疏忽或違規操作導致的超合同付款問題。當付款申請超過合同約定金額時,系統會自動發出預警并攔截付款操作,要求相關人員進行核實和審批。這不僅提高了付款的準確性和合規性,還大大降低了企業的財務風險。此外,流程再造過程中也包括對業務流程的簡化和優化。例如,簡化繁瑣的審批流程,減少不必要的環節,提高工作效率;明確各部門在業務流程中的職責和權限,避免職責不清導致的風險。同時,充分利用信息化技術,實現業務流程的自動化和數字化,提高數據的準確性和實時性,為合規管理提供有力支持。
三、長效化機制建設:從“風險排查”到“合規賦能”
合規風險排查的本質是一場管理變革,其核心目標是從“依賴外腦”的被動模式,轉向“內外協同”的主動治理模式。這一轉變不僅要求企業充分發揮內部人員的積極性和專業性,還需要借助外部專業機構的支持,形成內外合力,共同推動合規管理的質效提升。
1. 激發內部人員的積極性與專業性
企業內部人員是合規管理的第一道防線。通過培育內部“合規哨兵”、建立合規督導機制,企業可以將合規意識融入日常業務流程,讓一線員工成為風險識別的“火眼金睛”。例如,工程部的合規督導員能夠實時監控簽證變更的真實性,財務部的合規專員可以及時發現稅務合規風險。這種“全員合規”的文化,不僅能夠提升風險排查的精準性,還能為企業節省大量的合規成本。
2. 借助外部專業機構的賦能支持
盡管內部人員的參與至關重要,但外部專業機構的支持同樣不可或缺。外部機構能夠為企業提供最新的法律法規解讀、行業最佳實踐以及專業的技術工具,幫助企業彌補內部資源的不足。例如,通過定期開展“合規診斷”,外部律師團隊可以為企業提供動態更新的風險庫和針對性的整改建議,確保企業在復雜的監管環境中始終保持合規。
3. 內外協同,實現合規管理的長效化
合規管理不是一場“運動式”的突擊檢查,而是一項需要長期投入的系統工程。通過內外協同,企業可以構建起“自主識別+專業賦能”的風險治理新模式。內部人員負責日常風險的識別與監控,外部機構提供專業的指導與支持,兩者相輔相成,共同推動企業合規管理從“治已病”向“防未病”轉變。
作為深度參與多地國企及民營企業合規改革的專業團隊,我們深知企業在合規管理中的痛點與需求。企業要實現風險排查從“被動應對”到“主動防御”的轉變,必須打破“單打獨斗”的舊格局,通過 “業務數據化、合規場景化、治理協同化”構建長效機制。業務數據化能夠將企業的業務活動轉化為數據,為合規管理提供數據支持;合規場景化則將合規要求融入到具體的業務場景中,使合規管理更加貼近實際業務;治理協同化強調各部門之間的協同合作,形成合規管理的合力。
