从国企到民企,合规风险排查怎么做?
作者:吴乙婕 2025-03-14在当今全球经济一体化、市场竞争愈发激烈的大背景下,企业面临的内外部环境日益复杂。随着法律法规体系的不断完善,监管力度持续加强,合规管理已成为企业生存发展的“必修课”。2025年3月13日,工业和信息化部等15部门办公厅(秘书局、办公室、综合司)发布《关于促进中小企业提升合规意识加强合规管理的指导意见》(以下简称“意见”),强调促进中小企业加强合规管理,是坚持全面依法治国基本方略的内在要求,也是推动中小企业持续健康发展的重要基础,并提出具体指导意见。
关于促进中小企业提升合规意识加强合规管理的指导意见
(工信厅联企业〔2025〕14号内容概览)
分类 | 具体内容 |
总体要求 | 以习近平新时代中国特色社会主义思想为指导,深入贯彻习近平总书记关于促进中小企业发展的系列重要指示批示精神,落实党的二十大和二十届二中、三中全会精神,以促进中小企业高质量发展为主线,坚持问题导向、需求牵引,系统观念、法治思维,部门协同、上下联动,引导中小企业增强合规意识、加强合规建设、提升合规管理水平,防范生产经营风险。到2030年,中小企业合规发展环境进一步优化,中小企业合规服务工作体系基本形成,企业基本具备适应高质量发展要求的合规管理意识和能力,依法合规经营水平显著提升,合规成为中小企业核心竞争力的重要组成部分。 |
明确合规管理重点领域 | 1. 劳动用工合规:遵守劳动法,完善用工制度,保障员工权益,提供职业健康安全保障,合理使用职工教育经费。 |
统筹推进中小企业合规管理体系建设 | 1. 提升企业合规意识:开展宣传活动,解读法规政策,推广典型案例,将合规纳入培训内容。 |
阅读原文:
工业和信息化部等15部门办公厅(秘书局、办公室、综合司)关于促进中小企业提升合规意识加强合规管理的指导意见
无论是国企还是民企,合规管理都已成为企业竞争力的重要组成部分。合规风险排查对于企业而言,是从“零散应对”到“系统治理”的起点,2022年2月28日,国资委召开中央企业强化合规管理专题推进会,明确提出要开展全级次、全领域、全方位的合规风险排查,基于相关要求,首轮合规管理体系建设过程中“大而全”的风险库相继在各大央国企中落地,随着合规管理走向深水区,国有企业面临从“专项行动排查”到“常态化治理”的转型难题;而对民企而言,尤其是中小企业,由于缺乏专业的人才团队,单纯依靠内部人员发现风险难度较大;加之对法律法规和行业政策的了解不够及时和深入,容易在经营过程中触碰底线红线,且无法对风险进行有效的防控和应对,陷入“无从下手”的困境。《意见》要求各地“要组织服务机构为中小企业开展合规风险排查、合规培训、合规诊断、咨询辅导、合规体系建设、维权服务等多层次合规服务”。“坚持问题导向,解决企业痛点难点。……组织研究开发中小企业合规自检工具,汇集中小企业合规管理典型案例,为中小企业提供参考。”
合规风险排查能够帮助企业全面梳理经营管理中的合规风险点,实现从被动应对风险到主动防范风险的转变。同时,还能为企业迅速锁定风险的重要领域和高发环节,进而为开展合规管理工作指明方向,节省潜在的合规成本,提升企业的运营效率和经济效益,增强企业在市场中的竞争力,为企业的长远发展奠定坚实基础。进入强监管时代,无论是国有企业还是民营企业,都迫切需要构建“自主识别+专业赋能”的合规管理新模式,以应对日益复杂的合规挑战。
本文将从实操角度,解析如何通过“内外协同”的合规风险排查模式,破解当前企业合规管理的难题。
一、合规风险全面排查的三大现实困境
1. 风险识别“静态化”
国企:合规管理强化年专项行动推进以来,国有企业普遍率先完成首轮合规风险排查,由于合规风险排查要求既全面又精细,大部分国企主要依赖于外部机构进行排查、进而形成风险清单,制定了“模板化”的风险库。然而,通过持续的跟踪观察,我们发现,很多一线员工未能真正掌握风险识别的方法,在实际工作中,习惯于沿用年度固定清单,没有结合新业务、新政策进行动态更新。例如,随着城市更新项目在各地的推进,这类项目涉及土地征收、规划变更、居民安置等复杂环节,存在诸多合规风险点,如土地征收程序不合法、补偿标准不符合规定等。REITs(房地产投资信托基金)作为新兴金融业务,涉及资产证券化、税收政策等复杂领域,若不及时关注并更新风险库,就可能在业务开展过程中面临税务风险、信息披露风险等。
民企:民营企业普遍缺乏系统化的风险识别能力。在日常经营中,往往凭借经验和直觉判断风险,没有科学的风险识别机制。很多民营企业在遭遇行政处罚或诉讼后才意识到存在合规问题,这种被动应对的方式使得企业遭受巨大损失。例如,某企业参与政府采购项目投标,收到中标通知书后,向招标人提交了《弃标函》构成中标后无正当理由拒不与采购人签订政府采购合同,受到行政处罚。此外,由于缺乏风险识别意识,民营企业在拓展新业务、进入新市场时,容易忽视潜在的合规风险,导致业务开展受阻。以某跨境电商企业为例,因未建立数据出境合规审查机制,导致核心业务被暂停三个月。
2. 部门协同“形式化”
国企:部分业务部门将填报《合规风险识别清单》视为额外负担,只是应付了事,没有认真梳理本部门业务流程中的风险点,导致填报的信息不准确、不完整。而合规管理部门在汇总清单时,缺乏与业务部门的有效沟通和协作,难以深入了解实际业务情况,难以对风险点进行核实和补充。这种“闭门造车”的方式使得风险排查工作无法真正发挥作用,无法全面准确地识别企业面临的风险。
民企:由于规模相对较小,往往没有设立专职的合规岗位,风险排查职责不明确。在风险排查过程中,主要依赖管理者的个人洞察力,而管理者精力有限,不可能对企业的所有业务进行深入细致的了解,这就导致很多关键风险点被遗漏。例如,在某民营企业的营销活动中,营销部门为了追求业绩,在广告宣传中使用了一些可能涉嫌虚假宣传的用语,但由于没有专人负责审核营销方案的合规性,企业管理者也未及时发现,最终被监管部门处罚,企业声誉受损。
3. 工具方法“原始化”
国企:部分国有企业在合规风险排查中仍依赖 Excel 手工统计风险数据。随着企业业务规模的不断扩大,数据量呈爆发式增长,Excel 手工统计不仅效率低下,而且容易出现人失误。更重要的是,这种方式无法实现风险数据的穿透分析,难以从海量数据中挖掘出潜在的风险关联和趋势。例如,在企业的供应链管理中,涉及众多供应商的信息、采购订单、合同数据等。使用 Excel 手工统计,很难对这些数据进行实时分析,无法及时发现供应商资质异常、合同履行过程中的潜在风险等问题。
民企:民营企业在合规风险排查方面,更多地依赖人工经验,缺乏标准化的工具支持,存在主观性强、准确性低的问题。而且,随着企业业务的不断拓展和法律法规的日益完善,人工经验已经无法满足企业对合规风险排查的要求。例如,在企业的财务管理中,单纯依靠财务人员的经验判断数据的真实性和合规性,很难发现一些隐藏较深的财务税收风险。相比之下,一些先进的企业已经开始利用大数据、人工智能等技术手段构建风险排查工具,能够实现对风险的实时监控和预警,而民营企业在这方面的差距明显,导致其在风险排查的效率和准确性上远远落后于竞争对手。
二、合规律师视角:风险排查的“PDCA+”实战路径
基于服务大量国企开展合规体系建设最佳实践,对照《意见》的相关要求,我们提出“全周期、穿透式”排查方法论,这不仅适用于国有企业,也给民营企业提供有益参考:
PLAN(计划及筹备阶段)——搭建“三维风险雷达”
维度1:合规对标——风险识别从“静态”向“动态”转变
合规对标要求企业定期更新风险库,结合新业务、新政策动态调整风险清单。随着ai的广泛应用,企业本地知识库的部署更将有助于合规义务的动态更新,通过ai检索,全面梳理国家法律法规、行业监管规定以及企业内部规章制度,明确自身在各个业务领域的合规义务。在前期梳理的基础上,每季度或半年更新、核查一次合规义务库;例如,2025年开年之际,安徽省国有金融资本投资管理有限公司通过本地化部署DeepSeek-R1深度推理模型,成功构建安徽省新兴产业引导基金政策知识库。
民营企业如不具备成熟的数字化管理基础,也可以通过外部的机构辅导加之现有的ai模型和工具,制作详细的合规义务清单,将抽象的法律法规和制度要求转化为具体的、可操作的合规事项,为后续的风险排查提供明确的标准和依据。
维度2:业务解构
业务解构是将企业的业务流程进行拆解,分析每个环节可能存在的合规风险点,将风险识别嵌入业务流程,避免部门协同“形式化”。
以房地产开发企业为例,其业务流程涵盖土地获取、规划设计、项目建设、市场营销、物业管理等多个阶段。在土地获取阶段,可能存在土地出让程序不合法、土地闲置等风险,涉及的部门主要有投资发展部、法务部等;规划设计阶段,规划变更未履行法定程序、设计方案不符合规范等风险较为突出,关联部门包括设计部、规划管理部门等;项目建设阶段,工程质量不合格、安全生产事故等风险不容忽视,工程部、质量监督部门是主要责任部门;市场营销阶段,虚假宣传、违规销售等问题可能出现,营销部、法务部需重点关注;物业管理阶段,物业服务不到位、侵犯业主权益等风险需要防范,物业公司、客服部门应承担相应责任。
通过拆解业务流程,绘制这样的合规风险地图,企业可以直观地了解业务流程中各个环节的风险状况,便于有针对性地开展风险排查和防控工作。
维度3:数据穿透
数据穿透是利用企业内部的各类数据资源,解决工具方法“原始化”问题,通过数据分析和挖掘,提升风险识别的效率和准确性。OA/审批表单等工具包含了企业各项业务的审批流程和决策信息,通过分析审批记录,可以发现是否存在审批流程不规范、越权审批等问题。例如将 OA 审批记录中的采购审批流程与采购合同进行对比,查看审批流程是否符合规定,合同签订是否经过了必要的审批环节;同时,结合工程签证单和销售台账的数据,交叉验证工程项目的实际进度与销售情况是否匹配,从而发现潜在的风险线索,提高风险排查的准确性和全面性。
Do(实施阶段)——实施“五步穿透法”
Step 1:自查自检
设计《业务部门/业务事项风险自评问卷》或以风险库以及同行业、同类型企业相关合规风险时间为检验进行自查。《意见》明确劳动用工合规作为中小企业合规管理的重点领域之一,以精简版的企业劳动用工基础风险排查为例。
风险类别 | 风险事项 | 后果 | 是否存在 | 整改建议/要求 |
招聘入职环节 | 招聘广告含 “限男性”“35 周岁以下” 等歧视性表述 | 人社部门罚款(最高 3 万元) 被起诉民事赔偿 | 改用 “适应高强度工作”“具备相关经验” 等中性描述 | |
未在用工之日起 1 个月内签订书面劳动合同 | 第 2 个月起支付双倍工资(最长 11 个月) | 入职当天签署合同,电子合同需经员工实名认证 | ||
试用期约定超过法定上限(例:3 年合同试用期不得超 6 个月) | 超期部分按转正工资标准赔偿 | 根据合同期限匹配试用期(劳动合同法第 19 条) | ||
劳动合同管理 | 工作地点写 “全国”“服从公司调配” 等模糊条款 | 单方调岗可能被认定无效,需赔偿损失 | 明确具体城市 + 约定 “因经营需要调整时协商变更” | |
约定 “加班需审批,未经审批不视为加班” | 实际加班仍需支付 1.5-3 倍工资(以考勤记录为准) | 超时工作无论是否审批均需结算,严控加班时长 | ||
合同到期未及时续签,员工继续工作超 1 个月 | 视为订立无固定期限合同 支付双倍工资 | 设置合同到期前 30 天预警机制 | ||
薪酬与社保 | 工资条未明确列明加班费、补贴、扣款等明细 | 发生争议时企业承担举证不能责任 | 采用银行转账 + 电子工资单双记录,员工签字确认 | |
强制员工签署 “自愿放弃社保” 声明 | 补缴社保 0.5-3 倍滞纳金 员工可随时辞职索偿 | 仅特殊岗位(如超龄人员)可协商购买商业保险替代 | ||
以 “补贴”“报销” 等形式拆分工资规避缴费基数 | 按实际工资总额补缴社保 行政处罚 | 社保基数至少按当地最低标准足额缴纳 | ||
工时与休假管理 | 实行 “996”“大小周” 未履行民主程序 | 员工可主张休息日加班费(200% 工资) | 工时制度需经职工代表大会通过并公示 | |
病假期间按最低工资 80% 发放待遇 | 需补足当地最低工资标准 支付 25% 经济补偿金 | 病假工资不得低于最低工资的 80% 且需提前书面约定 | ||
年休假逾期未休直接作废 | 按 3 倍日工资支付未休补偿 | 提前 30 天书面通知休假安排,留存签收记录 | ||
离职管理重灾区 | 以 “末位淘汰” 为由直接解除劳动合同 | 构成违法解除,支付 2N 赔偿金(N = 工作年限) | 绩效考核需证明员工 “不胜任” 且经培训 / 调岗仍不合格 | |
离职证明添加 “严重违纪”“与公司存在纠纷” 等描述 | 赔偿员工因此造成的就业损失 | 仅记载劳动合同期限、岗位等基本信息(劳动合同法第 50 条) | ||
未在解除合同时一次性付清工资、经济补偿金 | 按应付金额 50%-100% 加付赔偿金 | 离职当日完成工资结算并书面确认 | ||
特殊用工模式风险 | 劳务派遣工占比超过用工总量 10% | 人社部门责令限期整改,逾期按每人 5000 元罚款 | 关键岗位转正式用工,动态监控派遣比例 | |
外包人员实际接受公司直接考勤管理 | 被认定事实劳动关系,承担用人单位责任 | 外包合同需明确 “第三方独立管理”,不介入具体考核 | ||
实习生连续使用超过 6 个月 | 被认定劳动关系,补签合同 补缴社保 | 签订实习协议,期限不超过 6 个月,注明 “非劳动关系” | ||
新型风险预警 | 居家办公未约定考勤方式及工伤认定标准 | 工作时间突发疾病可能被认定为工伤 | 签订补充协议,明确 “线上打卡 + 工作事故报告流程” | |
使用 AI 监控系统收集员工隐私数据 | 侵犯个人信息 | 监控范围限于工作区域,需经职工代表大会同意 |
Step 2:穿行测试
穿行测试是对企业的业务流程进行抽样检查,以验证业务流程是否符合相关法律法规和企业内部规章制度的要求。以劳动合同管理为例,随机抽查N份劳动合同,检查其中试用期的约定是否符合《劳动合同法》的规定。检查试用期的工资是否符合法律要求,试用期内解除劳动合同的条件是否合法也是检查的重点。通过穿行测试,及时发现业务流程中存在的潜在风险点,为企业完善内部管理提供依据。
Step 3:人员访谈
人员访谈是通过与企业内部相关人员进行面对面交流,了解企业的经营管理情况和潜在的合规风险。在进行人员访谈时,可以采用突击式访谈的方式,以获取更真实、准确的信息。对财务总监开展“突击式访谈”:“是否存在通过个人账户收付款情形?”除了财务总监,还可以对其他关键岗位人员进行访谈,如采购部门负责人、销售部门经理等,了解他们在业务操作过程中是否遇到过合规问题,以及企业在内部控制方面存在的漏洞,为风险排查提供更全面的信息。
Step 4:外部印证
外部印证是利用外部信息资源,对企业内部的风险排查结果进行验证和补充。例如,通过企查查等第三方平台检索合作供应商的涉诉记录,如果发现供应商存在与围标串标相关的诉讼案件,就需要进一步核实企业在招投标过程中是否存在与该供应商勾结、围标串标的情况。此外,还可以通过查询政府监管部门的网站、行业协会的信息平台等,获取与企业业务相关的外部信息,如行业动态、监管政策变化等,将这些信息与企业内部的风险排查情况相结合,拓宽风险排查的渠道,提高风险排查的准确性和可靠性。
Step 5:数据建模
有条件的企业可以利用数据分析技术,建立风险指标模型,对企业的合规风险进行量化评估。以劳动用工风险为例,建立“劳动用工风险指标模型”,通过比对员工花名册与社保缴纳记录的匹配度,评估企业在劳动用工方面的合规风险。如果员工花名册中的人数与社保缴纳记录中的人数不一致,或者社保缴纳基数与员工实际工资不符,就可能存在未依法为员工缴纳社会保险的风险。此外,还可以通过分析员工的加班时长、工资发放记录等数据,评估企业是否存在违反劳动法律法规的情况,如拖欠加班费、未足额支付工资等。通过数据建模,将复杂的风险问题转化为具体的数据指标,便于企业进行风险监测和预警,及时采取措施防范风险。
Check(验证阶段)——设计“风险量化评估矩阵”
使用“风险影响程度×发生概率”双维度评估法,划分红、黄、蓝三个风险等级区域。红色区域代表高风险,即风险发生概率高且影响程度大的风险,这类风险一旦发生,可能会对企业造成重大的经济损失、声誉损害甚至法律责任,如重大合同违约、安全生产事故等。对于红色区域的风险,企业应立即启动应急预案,采取最严格的防控措施,调配最优质的资源进行应对,确保风险得到及时有效的控制。
黄色区域代表中风险,这类风险发生概率适中,影响程度相对较大,或者发生概率较高但影响程度较小,如一般性的合同纠纷、税务风险等。针对黄色区域的风险,企业需要制定详细的应对计划,明确责任部门和责任人,定期跟踪风险的变化情况,根据风险的发展态势及时调整应对策略。
蓝色区域代表低风险,即风险发生概率低且影响程度较小的风险,如办公设备采购中的小金额违规操作等。虽然这类风险对企业的影响相对较小,但也不能忽视,企业应建立日常的监控机制,定期对蓝色区域的风险进行梳理和评估,防止低风险演变为中高风险。
Act(改进阶段)——输出落地管理的清单
清单式管理通过任务条目化、流程标准化提升执行效率,实现责任清晰、风险可控的精细化管控;同时促进知识沉淀与持续改进,为组织管理提供可视化、可追溯的科学工具。合规风险排查后的清单落地不完全等同于合规管理体系建设中常提到的三张清单(合规风险识别清单、岗位合规职责清单、流程管控清单),在风险排查后,输出可落地、可操作的清单通常包括《合规风险排查清单》以识别风险,《整改任务/建议清单》以要求整改闭环。《流程再造建议清单》以优化流程强化管控,从而实现合规风险有效管控和企业合规运营。
《合规风险排查清单》是企业合规管理的重要知识库,它以业务条线为脉络,系统地整理和归纳了各类合规风险相关信息。在构建过程中,企业全面收集和梳理历史上发生的合规风险案例,无论是因合同纠纷导致的经济损失,还是因违反环保法规而遭受的行政处罚,都详细记录在案。同时,针对每一个风险点,都明确列出对应的法律法规依据,甚至是相关的行业标准和地方规定,让员工清楚了解企业在安全生产方面的法律义务和责任。应对预案则是风险库的核心内容之一。对于每一类风险,都制定了详细的应对策略和操作流程。当风险发生时,企业能够迅速启动预案,有条不紊地采取应对措施。以应对市场价格波动风险为例,预案中明确规定了如何进行市场监测、价格调整的触发条件、与供应商和客户的沟通机制等,确保企业在面对风险时能够及时、有效地做出反应,降低损失。
《整改任务清单》明确责任部门 / 人员、完成时限、验收标准,是确保合规风险得到有效整改的关键文件。它将整改任务细化到具体的责任部门和责任人,明确规定了完成整改的时间节点,以及验收整改成果的标准。避免了整改过程中的推诿扯皮现象。每个部门和个人都清楚自己在整改工作中的职责,能够积极主动地开展工作。完成时限的设定,为整改工作提供了明确的时间约束,促使各部门和责任人加快整改进度,提高工作效率,确保整改任务能够在规定时间内高质量完成。验收标准则是衡量整改工作是否达标的重要依据。验收标准不仅包括整改措施的执行情况,还包括风险指标的改善程度、合规制度的完善程度等。只有当整改工作完全符合验收标准时,才能认定整改任务完成。例如,在合同管理合规整改中,验收标准可以包括合同签订的合规率达到 95% 以上、合同履行的监控机制有效运行等。
《流程再造建议清单》旨在通过优化企业的业务流程,从源头上预防合规风险的发生。以在系统增加“超合同付款自动拦截”功能为例,这一功能的实现能够有效避免因人为疏忽或违规操作导致的超合同付款问题。当付款申请超过合同约定金额时,系统会自动发出预警并拦截付款操作,要求相关人员进行核实和审批。这不仅提高了付款的准确性和合规性,还大大降低了企业的财务风险。此外,流程再造过程中也包括对业务流程的简化和优化。例如,简化繁琐的审批流程,减少不必要的环节,提高工作效率;明确各部门在业务流程中的职责和权限,避免职责不清导致的风险。同时,充分利用信息化技术,实现业务流程的自动化和数字化,提高数据的准确性和实时性,为合规管理提供有力支持。
三、长效化机制建设:从“风险排查”到“合规赋能”
合规风险排查的本质是一场管理变革,其核心目标是从“依赖外脑”的被动模式,转向“内外协同”的主动治理模式。这一转变不仅要求企业充分发挥内部人员的积极性和专业性,还需要借助外部专业机构的支持,形成内外合力,共同推动合规管理的质效提升。
1. 激发内部人员的积极性与专业性
企业内部人员是合规管理的第一道防线。通过培育内部“合规哨兵”、建立合规督导机制,企业可以将合规意识融入日常业务流程,让一线员工成为风险识别的“火眼金睛”。例如,工程部的合规督导员能够实时监控签证变更的真实性,财务部的合规专员可以及时发现税务合规风险。这种“全员合规”的文化,不仅能够提升风险排查的精准性,还能为企业节省大量的合规成本。
2. 借助外部专业机构的赋能支持
尽管内部人员的参与至关重要,但外部专业机构的支持同样不可或缺。外部机构能够为企业提供最新的法律法规解读、行业最佳实践以及专业的技术工具,帮助企业弥补内部资源的不足。例如,通过定期开展“合规诊断”,外部律师团队可以为企业提供动态更新的风险库和针对性的整改建议,确保企业在复杂的监管环境中始终保持合规。
3. 内外协同,实现合规管理的长效化
合规管理不是一场“运动式”的突击检查,而是一项需要长期投入的系统工程。通过内外协同,企业可以构建起“自主识别+专业赋能”的风险治理新模式。内部人员负责日常风险的识别与监控,外部机构提供专业的指导与支持,两者相辅相成,共同推动企业合规管理从“治已病”向“防未病”转变。
作为深度参与多地国企及民营企业合规改革的专业团队,我们深知企业在合规管理中的痛点与需求。企业要实现风险排查从“被动应对”到“主动防御”的转变,必须打破“单打独斗”的旧格局,通过 “业务数据化、合规场景化、治理协同化”构建长效机制。业务数据化能够将企业的业务活动转化为数据,为合规管理提供数据支持;合规场景化则将合规要求融入到具体的业务场景中,使合规管理更加贴近实际业务;治理协同化强调各部门之间的协同合作,形成合规管理的合力。
