2026年合规检查自查管理制度规范

2026年合规检查自查管理制度规范第一章总则1.1为持续夯实公司依法合规经营根基，建立“横向到边、纵向到底”的风险防控网，依据《中华人民共和国公司法》《中央企业合规管理办法》《银行业金融机构合规风险管理指引》等最新监管文件，结合公司“数字合规2.0”战略，特制定本制度。1.2本制度所称“合规检查自查”是指由公司各级机构、子公司、事业部、项目组（以下统称“单元”）在监管检查或内部审计介入前，主动对照外部法规、内部规章、合同义务、行业准则及ESG承诺，对业务、财务、数据、人员、合作方、实物资产六大领域实施的系统性自我核查、自我纠正、自我验证的活动。1.3合规检查自查坚持“谁主管谁负责、谁运营谁自查、谁签字谁终身”原则，实行“自查—整改—复核—销号”闭环管理，确保风险早发现、早预警、早处置。1.4本制度适用于公司全球范围内所有并表实体，包括离岸SPV、VIE协议控制企业、基金托管专户、QFLP载体、联合营公司及承担公司品牌或系统输出的合作云工厂。第二章组织与职责2.1董事会下设合规委员会（以下简称“合委会”），对自查管理制度的有效性负最终责任，具体职责包括：a)审批年度自查计划及预算；b)听取重大合规缺陷汇报，决定问责与免责事项；c)审议自查报告对外披露版本。2.2首席合规官（CCO）由董事会聘任，直接向董事长与合委会双路径汇报，负责：a)制定并动态修订《合规检查自查手册》（以下简称《手册》）；b)建立“合规云图”数据底座，统一风险语言与指标库；c)签发“自查令”，对突发风险启动专项自查；d)对自查质量进行“飞行抽检”，抽检比例不低于年度自查项目的10%。2.3业务单元一把手为本单元自查第一责任人，职责包括：a)组建不少于三人且具备独立性的“自查小组”，其中至少一人持有ISO37301合规师证书；b)保障自查小组对业务系统、财务系统、数据仓库的只读权限及现场访谈权；c)对自查发现的问题在24小时内完成初步定级，72小时内提交整改方案；d)问题销号前暂停相关授权审批，防止“带病运行”。2.4内部审计部对自查结果进行“再监督”，再监督覆盖率不低于20%，重点聚焦高风险领域及上期监管处罚所涉业务。2.5人力资源部将自查履职情况纳入干部年度绩效，占比不低于30%；对隐瞒不报、虚假整改、拖延整改的人员，启动“合规一票否决”，取消当年股权激励授予资格。第三章自查风险分级与清单管理3.1风险分级采用“四维加权”模型：监管关注度（A）、历史损失金额（B）、媒体曝光度（C）、系统可控度（D）。风险值=0.4A+0.3B+0.2C+0.1(5‐D)，计算结果四舍五入取整。风险值≥12为一级（重大），8‐11为二级（重要），4‐7为三级（一般），＜4为四级（轻微）。3.2公司统一维护《合规风险动态清单》，按周滚动更新，清单字段包括：风险代码、风险描述、适用法规、责任部门、上次自查日期、下次自查截止日期、风险级别、是否触发专项审计、监管联系人邮箱。3.3对清单内一级风险，必须实施季度自查；二级风险半年自查；三级风险年度自查；四级风险可结合日常检查进行，但最长间隔不得超过18个月。3.4若外部法规出现“一日两修”等紧急调整，CCO办公室应在6小时内完成清单更新，并通过“合规闪电钉”推送至相关单元负责人。第四章自查流程4.1计划阶段a)每年12月1日前，各单元在“合规云图”中提交下年度《自查计划表》，包括项目名称、范围、预计工时、牵头人、预计开始及结束日期；b)CCO办公室在15日内完成汇总、去重、平衡资源后，形成公司级《年度自查计划》，经合委会批准后发布；c)对计划外事项，CCO可签发“自查令”，要求单元在5个工作日内启动专项自查。4.2准备阶段a)自查小组编制《自查方案》，明确目的、依据、范围、程序、抽样方法、工作量、人员分工、保密要求；b)对涉及个人信息、商业秘密、国家秘密数据的，须同步编制《数据安全影响评估报告》，经数据保护官（DPO）签字；c)自查小组召开进场会，告知被检查对象其享有的申诉权与配合义务，并现场封存关键原始凭证。4.3实施阶段a)采用“顺查、逆查、穿透”三法结合：顺查——从业务发起到资金收回全流程追踪；逆查——从财报科目反向穿透至底账、合同、发票、物流单；穿透——对关键对手方进行工商、司法、舆情、关联关系四层穿透。b)抽样规则：资金收付类：单笔金额≥100万元或累计≥500万元的交易全查；合同类：年度前十大及随机抽取5%的中小合同；数据跨境传输：近12个月全部出境日志；营销宣传：随机抽取30%的物料及100%的直播回放。c)自查小组每日填写《自查日志》，记录检查步骤、发现线索、被检查人签字确认，日志自动哈希上链存证。4.4报告阶段a)自查结束后5日内，出具《自查报告（初稿）》，内容包括：基本情况、发现事实、风险等级、法规依据、整改建议、责任岗位、预计损失金额；b)被检查对象可在3日内提交书面反馈意见，自查小组对争议事项进行复核，必要时可聘请外部律师出具法律意见；c)终稿经自查小组全体成员、被检查单元一把手、CCO办公室三级会签后生效，并同步上传“合规云图”。4.5整改阶段a)对一级、二级问题，单元应在报告生效之日起15日内提交《整改计划表》，明确整改措施、责任人、资金预算、完成时限、验收标准；b)对三级、四级问题，整改时限不得超过30日；c)整改完成后，由单元内控岗进行验证，出具《整改完成确认书》，并随机抽取20%的样本进行穿行测试；d)CCO办公室对一级问题开展现场复核，复核比例100%；二级问题复核比例50%；三级、四级问题采用远程复核或数据比对。4.6销号阶段a)复核通过的，CCO办公室在“合规云图”中予以销号，并自动生成《合规健康证》，作为该业务后续授权的必要条件；b)复核未通过的，问题等级上调一级，并启动专项审计；c)对连续两次复核未通过的单元，合委会可决定暂停其新业务立项、费用报销及人事晋升。第五章自查方法与工具5.1文档审阅：使用OCR+NLP引擎对合同、发票、报关单、运输单据进行56类关键字段提取，异常匹配率高于15%自动触发人工复核。5.2数据分析：依托公司数据中台，构建228项合规指标，例如“同一客户30日内频繁变更回款账户”“供应商注册资本100万元但年度采购额超5000万元”等，指标阈值由CCO办公室每季度根据监管处罚案例动态调整。5.3现场观察：对仓库、车间、实验室、门店、机房、外协厂实施“四不两直”飞行检查，重点查看环保设施运行、危废标签、消防通道、数据机房双人双锁、样品留存。5.4人员访谈：采用“结构化+压力”双模式，结构化问卷覆盖128个风险场景，压力访谈由持证访谈官执行，全程双录，访谈记录保存7年。5.5系统穿透：对自研系统，由信息安全部提供超级查询账号，可一键导出用户权限、操作日志、接口调用链；对外采系统，要求供应商开放API只读接口，并签署《数据保密与合规协议》。5.6外部大数据：接入14家第三方数据源，包括裁判文书网、执行公开网、知识产权局、海关企业信用系统、环保处罚公示、SEC公告、欧盟REACH清单，实现T+1自动预警。5.7工具管理：所有自查工具须通过公司“合规工具市场”备案，备案字段包括工具名称、版本号、开发商、算法说明、数据来源、隐私影响评估报告、CCO办公室签发的《工具准用证》。禁止使用未经备案的工具，违者按一级违规处理。第六章自查频次与覆盖要求6.1全面自查：每年至少开展一次，覆盖全部业务、全部地域、全部法人实体，时长不少于30个工作日。6.2专项自查：针对新出台法规、重大并购、重大投诉、重大数据泄露、重大负面舆情，在10日内启动，20日内完成。6.3随机自查：CCO办公室通过“合规轮盘”系统，每月随机抽取5%的在营项目，被抽中项目须在7日内完成自查并提交报告。6.4自查覆盖率指标：a)收入占比≥95%；b)资产占比≥98%；c)员工人数占比≥99%；d)数据跨境流量占比≥99.5%。6.5对连续12个月未触发随机自查的单元，强制提高其一级风险项目抽查权重至30%。第七章自查质量控制7.1三级复核机制：自查小组内部交叉复核、单元内控岗复核、CCO办公室飞行抽检复核。7.2质量打分表采用10大维度50项指标，满分100分，低于80分认定为质量不合格，不计入当年合规绩效。7.3对质量不合格的自查项目，CCO办公室可责令返工，返工费用由单元自行承担，并在公司范围内通报。7.4建立“自查质量回溯池”，对连续两次质量不合格的单元，暂停其自查资质6个月，期间由第三方机构代查，费用从单元奖金池中扣除。第八章问题整改与问责8.1整改验收标准遵循“五有”原则：有事实依据、有制度更新、有系统控制、有培训记录、有持续监测。8.2对一级问题责任人，视情节给予警告直至解除劳动合同；涉嫌犯罪的，移送司法机关；8.3对二级问题责任人，给予记过、降级、扣减绩效30%‐50%；8.4对三级、四级问题责任人，进行合规约谈、书面检查、扣减绩效10%‐30%；8.5对整改不力、虚假整改、拖延整改的，按照“合规红线”处理，直接责任人三年内不得晋升，单元一把手年度绩效归零。8.6建立“合规黑名单”制度，纳入名单的外部合作方五年内禁止参与招投标；内部员工纳入名单的，限制股权激励、出国（境）审批及评优评先。第九章自查档案管理9.1自查档案包括纸质档案与电子档案，实行“双套制”保管，保存期限不少于15年；涉及证券、期货、反垄断、反洗钱的，保存20年。9.2纸质档案存放于具备防火、防水、防盗、防虫、防磁的“五防”档案室，温度18‐22℃，湿度45‐55%，每季度巡检一次。9.3电子档案采用“3‐2‐1”备份策略：3份副本、2种介质、1份异地，哈希值每6个月校验一次。9.4档案借阅实行“双人审批、限时归还、全程留痕”，借阅时间不得超过10个工作日，确需延期须重新审批。9.5档案销毁须由档案管理部、合规部、审计部三方会签，报合委会批准，采用物理粉碎＋消磁＋酸蚀方式，全程录像并留存销毁报告。第十章信息化与数据治理10.1“合规云图”作为唯一官方平台，集成法规库、风险清单、自查计划、报告、整改、销号、培训、考核八大模块，实现“一键生成监管报送”。10.2平台采用国密SM4加密，敏感字段脱敏展示，权限粒度控制在“字段级”，所有操作日志实时上传区块链，确保不可篡改。10.3建立“合规数据中台”，对接ERP、CRM、SRM、MES、WMS、资金系统、发票系统、物流系统、HR系统，实现T+0数据抓取。10.4对数据质量实行“七性”校验：唯一性、完整性、准确性、一致性、及时性、合规性、可审计性，异常数据自动触发重抽或人工复核。10.5平台每季度发布《合规科技蓝皮书》，分享自查模型、算法、工具更新、监管科技（RegTech）趋势，供行业交流。第十一章培训、宣传与文化建设11.1建立“三级五类”培训体系：a)三级——公司级、单元级、班组级；b)五类——新员工、关键岗位、高管、合作伙伴、外部供应商。11.2培训内容实行“1+N”模式：“1”为合规通识，“N”为专业场景，包括反垄断、FCPA、GDPR、反洗钱、出口管制、数据跨境、ESG、反舞弊、反骚扰。11.3培训形式采用“直播+录播+VR情景+密室逃脱+案例沙盘”，确保平均满意度≥90%，知识掌握度≥85%。11.4建立“合规文化月”，每年9月举办，活动包括：合规知识竞赛、合规脱口秀、合规公益跑、合规短视频大赛、合规达人直播。11.5设立“合规荣誉墙”，对连续3年零处罚、零负面舆情的单元授予“合规红旗单位”，颁发流动红旗及50万元团队奖金。第十二章考核与激励12.1考核指标分为“过程指标”与“结果指标”，权重各占50%。12.2过程指标包括：计划及时率、样本完整率、底稿质量分、整改按时率、培训覆盖率、系统数据上传及时率。12.3结果指标包括：监管处罚金额、监管处罚次数、媒体负面报道条数、客户投诉率、数据泄露事件、反垄断调查次数。12.4考核结果与单元绩效、高管年薪、股权激励、评优评先、干部晋升全面挂钩。12.5对年度考核排名前10%的单元，授予“合规卓越奖”，颁发奖金池300万元；对排名末3位的单元，扣减当年绩效20%，并对一把手进行合规约谈。第十三章监督与举报13.1建立“合规吹哨人”制度，员工、客户、供应商、合作方可通过24小时热线、加密邮箱、匿名信、微信小程序、区块链邮箱等渠道举报。13.2对实名举报并经查证属实的，按挽回损失金额1%‐5%给予奖励，最高不超过100万元；对匿名举报属实的，给予1万元‐10万元奖励。13.3举报人保护实行“三隔离”：身份信息与调查人员隔离、调查流程与业务领导隔离、奖励发放与HR隔离，确保打击报复“零发生”。13.4对打击报复举报人的，一经查实，直接解除劳动合同；涉嫌犯罪的，移送司法机关。13.5建立“合规举报大数据看板”，对举报类型、地域、时间、处理时长、满意度进行多维度分析，每月向合委会汇报。第十四章附则14.1