在当今全球经济一体化、市场竞争愈发激烈的大背景下,企业面临的内外部环境日益复杂。随着法律法规体系的不断完善,监管力度持续加强,合规管理已成为企业生存发展的“必修课”。
2025年3月13日,工业和信息化部等15部门办公厅(秘书局、办公室、综合司)发布《关于促进中小企业提升合规意识加强合规管理的指导意见》(以下简称“意见”)
,强调促进中小企业加强合规管理,是坚持全面依法治国基本方略的内在要求,也是推动中小企业持续健康发展的重要基础,并提出具体指导意见。
关于促进中小企业提升合规意识加强合规管理的指导意见
(工信厅联企业〔2025〕14号内容概览)
无论是国企还是民企,合规管理都已成为企业竞争力的重要组成部分。合规风险排查对于企业而言,是从“零散应对”到“系统治理”的起点,2022年2月28日,国资委召开中央企业强化合规管理专题推进会,明确提出要开展全级次、全领域、全方位的合规风险排查,基于相关要求,首轮合规管理体系建设过程中“大而全”的风险库相继在各大央国企中落地,随着合规管理走向深水区,国有企业面临从“专项行动排查”到“常态化治理”的转型难题;而对民企而言,尤其是中小企业,由于缺乏专业的人才团队,单纯依靠内部人员发现风险难度较大;加之对法律法规和行业政策的了解不够及时和深入,容易在经营过程中触碰底线红线,且无法对风险进行有效的防控和应对,陷入“无从下手”的困境。《意见》要求各地“要组织服务机构为中小企业开展合规风险排查、合规培训、合规诊断、咨询辅导、合规体系建设、维权服务等多层次合规服务”。“坚持问题导向,解决企业痛点难点。……组织研究开发中小企业合规自检工具,汇集中小企业合规管理典型案例,为中小企业提供参考。”
合规风险排查能够帮助企业全面梳理经营管理中的合规风险点,实现从被动应对风险到主动防范风险的转变。同时,还能为企业迅速锁定风险的重要领域和高发环节,进而为开展合规管理工作指明方向,节省潜在的合规成本,提升企业的运营效率和经济效益,增强企业在市场中的竞争力,为企业的长远发展奠定坚实基础。
进入强监管时代,无论是国有企业还是民营企业,都迫切需要构建“自主识别+专业赋能”的合规管理新模式,以应对日益复杂的合规挑战。
本文将从实操角度,解析如何通过“内外协同”的合规风险排查模式,破解当前企业合规管理的难题。
1. 风险识别“静态化”
国企:合规管理强化年专项行动推进以来,国有企业普遍率先完成首轮合规风险排查,由于合规风险排查要求既全面又精细,大部分国企主要依赖于外部机构进行排查、进而形成风险清单,制定了“模板化”的风险库。然而,通过持续的跟踪观察,我们发现,很多一线员工未能真正掌握风险识别的方法,在实际工作中,习惯于沿用年度固定清单,没有结合新业务、新政策进行动态更新。例如,随着城市更新项目在各地的推进,这类项目涉及土地征收、规划变更、居民安置等复杂环节,存在诸多合规风险点,如土地征收程序不合法、补偿标准不符合规定等。REITs(房地产投资信托基金)作为新兴金融业务,涉及资产证券化、税收政策等复杂领域,若不及时关注并更新风险库,就可能在业务开展过程中面临税务风险、信息披露风险等。
民企:民营企业普遍缺乏系统化的风险识别能力。在日常经营中,往往凭借经验和直觉判断风险,没有科学的风险识别机制。很多民营企业在遭遇行政处罚或诉讼后才意识到存在合规问题,这种被动应对的方式使得企业遭受巨大损失。例如,某企业参与政府采购项目投标,收到中标通知书后,向招标人提交了《弃标函》构成中标后无正当理由拒不与采购人签订政府采购合同,受到行政处罚。此外,由于缺乏风险识别意识,民营企业在拓展新业务、进入新市场时,容易忽视潜在的合规风险,导致业务开展受阻。以某跨境电商企业为例,因未建立数据出境合规审查机制,导致核心业务被暂停三个月。
2. 部门协同“形式化”
国企:部分业务部门将填报《合规风险识别清单》视为额外负担,只是应付了事,没有认真梳理本部门业务流程中的风险点,导致填报的信息不准确、不完整。而合规管理部门在汇总清单时,缺乏与业务部门的有效沟通和协作,难以深入了解实际业务情况,难以对风险点进行核实和补充。这种“闭门造车”的方式使得风险排查工作无法真正发挥作用,无法全面准确地识别企业面临的风险。
民企:由于规模相对较小,往往没有设立专职的合规岗位,风险排查职责不明确。在风险排查过程中,主要依赖管理者的个人洞察力,而管理者精力有限,不可能对企业的所有业务进行深入细致的了解,这就导致很多关键风险点被遗漏。例如,在某民营企业的营销活动中,营销部门为了追求业绩,在广告宣传中使用了一些可能涉嫌虚假宣传的用语,但由于没有专人负责审核营销方案的合规性,企业管理者也未及时发现,最终被监管部门处罚,企业声誉受损。
3. 工具方法“原始化”
国企:部分国有企业在合规风险排查中仍依赖 Excel 手工统计风险数据。随着企业业务规模的不断扩大,数据量呈爆发式增长,Excel 手工统计不仅效率低下,而且容易出现人失误。更重要的是,这种方式无法实现风险数据的穿透分析,难以从海量数据中挖掘出潜在的风险关联和趋势。例如,在企业的供应链管理中,涉及众多供应商的信息、采购订单、合同数据等。使用 Excel 手工统计,很难对这些数据进行实时分析,无法及时发现供应商资质异常、合同履行过程中的潜在风险等问题。
民企:民营企业在合规风险排查方面,更多地依赖人工经验,缺乏标准化的工具支持,存在主观性强、准确性低的问题。而且,随着企业业务的不断拓展和法律法规的日益完善,人工经验已经无法满足企业对合规风险排查的要求。例如,在企业的财务管理中,单纯依靠财务人员的经验判断数据的真实性和合规性,很难发现一些隐藏较深的财务税收风险。相比之下,一些先进的企业已经开始利用大数据、人工智能等技术手段构建风险排查工具,能够实现对风险的实时监控和预警,而民营企业在这方面的差距明显,导致其在风险排查的效率和准确性上远远落后于竞争对手。
二、合规律师视角:风险排查的“PDCA+”实战路径
基于服务大量国企开展合规体系建设最佳实践,对照《意见》的相关要求,我们提出“全周期、穿透式”排查方法论,这不仅适用于国有企业,也给民营企业提供有益参考:
PLAN(计划及筹备阶段)——搭建“三维风险雷达”
维度1:合规对标
——风险识别从“静态”向“动态”转变
合规对标要求企业定期更新风险库,结合新业务、新政策动态调整风险清单。随着ai的广泛应用,企业本地知识库的部署更将有助于合规义务的动态更新,通过ai检索,全面梳理国家法律法规、行业监管规定以及企业内部规章制度,明确自身在各个业务领域的合规义务。在前期梳理的基础上,每季度或半年更新、核查一次合规义务库;例如,2025年开年之际,安徽省国有金融资本投资管理有限公司通过本地化部署DeepSeek-R1深度推理模型,成功构建安徽省新兴产业引导基金政策知识库。
民营企业如不具备成熟的数字化管理基础,也可以通过外部的机构辅导加之现有的ai模型和工具,制作详细的合规义务清单,将抽象的法律法规和制度要求转化为具体的、可操作的合规事项,为后续的风险排查提供明确的标准和依据。
维度2:业务解构
业务解构是将企业的业务流程进行拆解,分析每个环节可能存在的合规风险点,将风险识别嵌入业务流程,避免部门协同“形式化”。
以房地产开发企业为例,其业务流程涵盖土地获取、规划设计、项目建设、市场营销、物业管理等多个阶段。在土地获取阶段,可能存在土地出让程序不合法、土地闲置等风险,涉及的部门主要有投资发展部、法务部等;规划设计阶段,规划变更未履行法定程序、设计方案不符合规范等风险较为突出,关联部门包括设计部、规划管理部门等;项目建设阶段,工程质量不合格、安全生产事故等风险不容忽视,工程部、质量监督部门是主要责任部门;市场营销阶段,虚假宣传、违规销售等问题可能出现,营销部、法务部需重点关注;物业管理阶段,物业服务不到位、侵犯业主权益等风险需要防范,物业公司、客服部门应承担相应责任。
通过拆解业务流程,绘制这样的合规风险地图,企业可以直观地了解业务流程中各个环节的风险状况,便于有针对性地开展风险排查和防控工作。
维度3:数据穿透
数据穿透是利用企业内部的各类数据资源,解决工具方法“原始化”问题,通过数据分析和挖掘,提升风险识别的效率和准确性。OA/审批表单等工具包含了企业各项业务的审批流程和决策信息,通过分析审批记录,可以发现是否存在审批流程不规范、越权审批等问题。例如将 OA 审批记录中的采购审批流程与采购合同进行对比,查看审批流程是否符合规定,合同签订是否经过了必要的审批环节;同时,结合工程签证单和销售台账的数据,交叉验证工程项目的实际进度与销售情况是否匹配,从而发现潜在的风险线索,提高风险排查的准确性和全面性。
Do(实施阶段)——实施“五步穿透法”
Step 1:自查自检
设计《业务部门/业务事项风险自评问卷》或以风险库以及同行业、同类型企业相关合规风险时间为检验进行自查。《意见》明确劳动用工合规作为中小企业合规管理的重点领域之一,以精简版的企业劳动用工基础风险排查为例。
Step 2:穿行测试
穿行测试是对企业的业务流程进行抽样检查,以验证业务流程是否符合相关法律法规和企业内部规章制度的要求。以劳动合同管理为例,随机抽查N份劳动合同,检查其中试用期的约定是否符合《劳动合同法》的规定。检查试用期的工资是否符合法律要求,试用期内解除劳动合同的条件是否合法也是检查的重点。通过穿行测试,及时发现业务流程中存在的潜在风险点,为企业完善内部管理提供依据。
