---
name: internal-compliance-risk-identification
description: >
  内部合规风险识别——从制度体系/业务流程/数据隐私三维度识别企业内部合规缺口。
  适用情形：合规风险评估/上市前合规自查/并购前合规审查/监管检查前自查/建立合规管理体系。
  核心：三大审查维度（制度完整性+流程控制+个人信息保护），三级风险评级（🔴重大/🟡重要/🟢一般）。
  注意：不同行业（金融/医疗/互联网/能源）有特殊监管规则，需结合行业特殊规定审查。
argument-hint: "[企业基本信息] [行业] [制度文件/流程描述] → 合规风险清单 + 整改建议"
legal_frame: cn-mainland
last_reviewed: 2026-06-13
version: 1.0.0
risk_level: high
references:
  - name: internal-compliance-risk-identification
    source: THUYRan/Legal-Skills-Chinese
trigger_phrases:
  - 合规风险
  - 内部合规
  - 风险识别
  - 合规检查
  - 内控风险
---

# /internal-compliance-risk-identification — 内部合规风险识别

## 三大审查维度

```
内部合规风险识别
├── 维度一：制度体系完整性
│   └── 企业是否建立了覆盖全部合规义务的内部规章制度？
├── 维度二：业务流程控制有效性
│   └── 核心业务流程中的控制节点是否完备、执行是否有效？
└── 维度三：个人信息保护合规
    └── 隐私政策及数据处理活动是否符合《个人信息保护法》？
```

## 风险等级

| 等级 | 标记 | 定义 | 典型情形 |
|------|------|------|---------|
| 重大风险 | 🔴 | 违反强制性法律规定，可能导致处罚/刑事责任/重大民事赔偿 | 未建立反洗钱制度、未履行网络安全等级保护义务 |
| 重要风险 | 🟡 | 违反监管规定，可能导致监管措施/罚款/声誉损失 | 采购流程缺少三方比价、隐私政策未告知保存期限 |
| 一般风险 | 🟢 | 制度不完善或执行不到位，存在隐患但短期不会导致严重后果 | 制度更新滞后、审批权限设置不够细化 |

## 合规义务来源

| 来源 | 示例 | 效力层级 |
|------|------|---------|
| 法律 | 公司法/个人信息保护法/反不正当竞争法 | 最高 |
| 行政法规 | 网络数据安全条例 | 高 |
| 部门规章 | 证监会/银保监会/工信部规章 | 高 |
| 司法解释 | 最高法相关司法解释 | 高 |
| 行业标准 | 行业自律规范/技术安全标准 | 中 |
| 地方性法规 | 各地数据条例/消费者保护条例 | 中（地域） |

## 工作流程

### 维度一：制度体系完整性审查

```
步骤1：确认企业基本信息
  - 名称/统一社会信用代码/所属行业

步骤2：建立合规义务清单
  对照适用的法律法规，建立应具备的制度清单

步骤3：核查现有制度
  - 是否覆盖全部合规义务
  - 制度内容是否符合法规要求
  - 制度是否现行有效（无修订滞后）

步骤4：评估制度执行
  - 是否有配套流程
  - 是否定期培训
  - 是否有监督检查机制
```

### 维度二：业务流程控制有效性审查

```
步骤1：梳理核心业务流程
  - 采购流程
  - 销售流程
  - 人力资源流程
  - 财务流程
  - 合同管理流程

步骤2：识别关键控制节点
  - 审批节点
  - 复核节点
  - 记录节点

步骤3：评估控制有效性
  - 控制是否真正执行
  - 执行是否留下痕迹
  - 异常情况如何处理
```

### 维度三：个人信息保护合规审查

```
步骤1：梳理数据处理活动
  - 收集：哪些个人信息/为什么收集/如何收集
  - 存储：存储在哪里/存储多久/如何保护
  - 使用：如何使用/是否对外提供
  - 共享：提供给哪些第三方/基于什么法律基础

步骤2：核查隐私政策合规性
  - 是否明确告知用户信息收集范围
  - 是否说明保存期限
  - 是否说明用户权利（访问/更正/删除）
  - 是否说明跨境传输（如有）

步骤3：核查技术安全措施
  - 加密措施
  - 访问控制
  - 审计日志
```

## 输出格式

```
## 内部合规风险评估报告

### 企业信息
| 项目 | 内容 |
|------|------|
| 企业名称 | |
| 所属行业 | |
| 评估日期 | |

---

### 一、制度体系完整性

| 应有制度 | 现有状态 | 风险等级 | 差距分析 | 整改建议 |
|---------|---------|---------|---------|---------|
| | | | | |

---

### 二、业务流程控制有效性

| 业务流程 | 关键控制节点 | 执行状态 | 风险等级 | 整改建议 |
|---------|------------|---------|---------|---------|
| | | | | |

---

### 三、个人信息保护合规

| 合规项目 | 现状 | 风险等级 | 整改建议 |
|---------|------|---------|---------|
| 收集告知 | | | |
| 保存期限 | | | |
| 用户权利 | | | |
| 跨境传输 | | | |
| 技术安全 | | | |

---

### 综合风险评级

| 维度 | 🔴重大 | 🟡重要 | 🟢一般 |
|------|-------|-------|-------|
| 制度体系 | | | |
| 流程控制 | | | |
| 数据隐私 | | | |

**总体评级：** 🔴高风险 / 🟠中等风险 / 🟡低风险
```

---

## 引用说明

本skill方法论来自 THUYRan/Legal-Skills-Chinese/internal-compliance-risk-identification，
THUYRan原版9444字，GCL精简至约220行。
