刑事法律风险识别管理规定

刑事法律风险识别管理规定第一章总则1.1立法依据本规定以《中华人民共和国刑法》《刑事诉讼法》《监察法》《数据安全法》《个人信息保护法》《中央企业合规管理办法》及行业监管规章为直接上位法依据，结合公司《全面风险管理制度》《内部控制手册》制定。1.2适用范围适用于公司总部、境内外子公司、代表处、项目部、合资公司及其他实际控制主体（以下统称“各单位”）在经营、投资、融资、采购、销售、数据处理、人事管理、商业伙伴合作等全部业务环节中的刑事法律风险识别、评估、处置与持续改进。1.3术语定义（1）“刑事法律风险”：指因单位或员工行为涉嫌违反刑法规定，导致单位或责任人被立案侦查、强制措施、起诉、定罪、罚金、没收财产、吊销许可、市场禁入、声誉损失及其他连带损失的盖然性。（2）“风险事件”：指已触发刑事立案标准或已被公安机关、监察机关、检察机关、海关、税务、外汇、市场监管、网信、证监、银保监等有权机关正式调查、讯问、取证、冻结、扣押、搜查、留置的情形。（3）“高风险岗位”：指经评估年度刑事风险指数≥80分的岗位，包括但不限于销售、采购、招投标、政府事务、资金审批、数据合规、海外代表、驻外财务、商务接待、礼品审批、印章管理、废料处置、物流通关、投融资、并购、证券事务、信息披露、研发试验、环保安全、质量检验、人事招聘、薪酬福利、内部审计、纪检监察。1.4管理目标（1）年度零刑事立案；（2）风险事件24小时内报告率100%；（3）高风险岗位人员合规培训覆盖率100%，考试合格率≥95%；（4）重大风险整改完成率100%，整改周期≤30日；（5）外部监管处罚金额占营业收入比例≤0.01%。第二章组织与职责2.1三道防线模型（1）第一道防线：业务部门负责人为刑事风险第一责任人，对业务真实、单据完整、流程合规负直接责任。（2）第二道防线：法律合规部下设“刑事合规中心”（以下简称“中心”），统筹风险识别、评估、预警、整改、培训、考核、信息系统建设。（3）第三道防线：审计部、纪委办公室独立监督，对第一、二道防线有效性进行年度专项审计，直接向董事会审计与风险委员会报告。2.2刑事合规中心职责（1）制定并动态更新《刑事风险清单》《高风险岗位清单》《禁止性行为清单》；（2）每季度组织风险排查，出具《刑事风险评估报告》；（3）建立并维护“刑事合规信息系统”（KCIS），实现风险数据实时采集、红黄蓝三色预警、整改闭环；（4）对重大交易、商业模式、新产品、新市场进行合规评审，出具《刑事合规意见书》；（5）统一对接外部执法机关，建立7×24小时应急热线；（6）建立外部律师库、法医学鉴定库、电子数据取证服务商库，签署保密与应急服务协议；（7）制定并演练《刑事突发事件应急预案》，每年至少组织一次全流程沙盘推演。2.3各单位职责（1）设置专职或兼职“刑事合规联络员”（不得由法务兼任），名单报中心备案；（2）每月5日前通过KCIS提交《月度风险自查表》；（3）对高风险岗位人员实施“AB角”轮岗、强制休假、离任审计；（4）配合中心完成访谈、调证、数据抓取、系统镜像、现场核查；（5）收到《整改通知书》后3日内提交整改方案，30日内完成整改并上传佐证。第三章风险识别方法与工具3.1风险识别维度（1）罪名维度：商业贿赂、职务侵占、挪用资金、合同诈骗、非法集资、内幕交易、泄露内幕信息、操纵证券期货市场、虚假广告、侵犯公民个人信息、计算机信息系统犯罪、污染环境、重大责任事故、走私、洗钱、拒不支付劳动报酬、串通投标、非法经营、强迫交易、敲诈勒索、聚众扰乱社会秩序等42类高频罪名。（2）流程维度：市场开发、招投标、合同签署、履约、结算、售后、投诉、退货、索赔、废料处置、资金收付、发票、税务、海关、物流、礼品、捐赠、赞助、差旅、招聘、离职、并购、上市、信息披露、研发测试、数据出境、云服务、算法推荐、用户注销。（3）主体维度：员工、前员工、劳务派遣、实习生、董事、监事、高管、股东、实际控制人、商业伙伴、供应商、经销商、代理商、居间人、合资方、被并购方、政府客户、国有企事业单位、国际组织、外国公职人员、行业协会、第三方平台、黑客、竞争对手。3.2识别工具（1）KCIS系统：内置1,200个风险指标、3,000条案例库、200份裁判文书模板，支持OCR识别合同、发票、邮件、聊天记录、银行流水、物流单据，自动比对异常特征。（2）“红黄蓝”预警模型：红色：已触发立案标准或监管调查；黄色：金额≥刑事立案追诉标准50%或6个月内同类异常≥3次；蓝色：金额≥追诉标准30%或首次异常。（3）大数据分析：对接财务ERP、CRM、SRM、OA、HR、资金系统、税控系统、海关单一窗口、反洗钱系统、舆情爬虫，T+1自动跑批。（4）问卷调查：对高风险岗位人员每半年发放《刑事合规匿名问卷》，回收率≥90%，异常回答即时触发访谈。（5）现场核查：中心联合审计、纪检、财务、IT组成4人小组，采用“突击盘点+系统镜像+访谈+无人机拍摄”四合一模式，现场出具《核查底稿》。（6）外部数据：接入中国裁判文书网、执行信息公开网、企查查、天眼查、海关失信企业、税务黑名单、环保处罚、证券市场禁入、联合国制裁、世界银行黑名单、OFAC、BIS实体清单，每日自动比对。第四章风险评估与分级4.1评估指标（1）金额系数（A）：实际或计划金额/刑事立案追诉标准，取最高值；（2）频次系数（B）：近12个月同类异常次数，≥3次取1.5；（3）岗位系数（C）：高风险岗位1.2，一般岗位1.0；（4）整改系数（D）：未整改1.5，整改中1.2，已整改0.8；（5）执法系数（E）：已被调查2.0，曾被处罚1.5，无记录1.0。4.2风险分值风险分值S=A×B×C×D×E×100，四舍五入取整。S≥80为一级（重大），60–79为二级（较大），40–59为三级（一般），＜40为四级（较低）。4.3评估流程（1）系统自动初评：T+1生成《初评报告》；（2）中心复核：3个工作日内完成人工复核，必要时访谈；（3）分级确认：中心总经理审批一级风险，合规总监审批二级风险；（4）报告路径：一级风险24小时内报CEO、董事会审计与风险委员会、纪委；二级风险报分管领导；三级、四级风险留档备查。第五章风险处置与整改5.1处置原则（1）先止损、再调查、后追责；（2）涉嫌犯罪的，不得内部“消化”，立即启动“强制报告”；（3）保护原始数据，立即锁定系统账号、封存物理证据；（4）未经中心书面同意，任何单位或个人不得对外披露调查信息。5.2处置流程（1）事件发现→2小时内口头报告→6小时内书面初报→24小时内正式报告；（2）中心牵头成立“事件调查组”，成员包括法律、审计、IT、人力、业务线，必要时外聘刑辩律师、电子数据鉴定机构；（3）调查组3日内完成《证据清单》《访谈笔录》《资金去向图》《时间轴》，7日内完成《事实调查报告》；（4）对一级风险事件，同步启动“刑事合规内部听证”程序，由3名独立董事、1名外部律师、1名纪委委员组成听证委员会，5日内出具《听证意见》；（5）根据《听证意见》作出：a.移送司法机关：形成《移送函》，附证据光盘2份、纸质证据1套、电子数据哈希值校验报告；b.内部问责：依据《员工奖惩制度》给予警告至解除劳动合同，并追偿损失；c.整改方案：明确责任人、措施、资金、完成时间、验收标准；d.制度修订：对流程缺陷10日内完成制度补丁并发布。5.3整改验收（1）整改完成后由中心组织“回头看”，采用“资料审查+现场抽样+系统穿行测试”三种方法；（2）验收标准：同类风险指标连续3个月低于黄色阈值；（3）未通过验收的，对单位负责人扣减年度绩效20%，并延长整改期15日；（4）验收通过的，出具《整改关闭通知书》，风险关闭。第六章高风险岗位管控6.1岗位清单动态管理中心每年12月更新《高风险岗位清单》，经总经理办公会审议、董事会批准后执行。6.2入职审查（1）背调范围：近10年刑事、行政处罚、失信、诉讼、仲裁、欠税、环保、证券禁入、竞业限制、学术不端；（2）背调机构：必须从公司供应商库选择，签署《背调服务协议》；（3）禁止录用：曾犯贪污、贿赂、侵占、挪用、诈骗、内幕交易、环境污染、重大责任事故等故意犯罪，无论是否缓刑；（4）高管补充：总监及以上须额外提供“无犯罪记录证明”原件，驻外人员须提交驻在国使领馆认证。6.3在职管理（1）合规承诺：每年签署《刑事合规承诺书》，由本人及配偶签字；（2）利益申报：一季度一次，通过KCIS申报本人及近亲属经商、持股、兼职、房产、证券账户、外汇账户、NFT、虚拟币；（3）账户监测：对资金审批、采购、销售、招投标岗位，强制开通银企直联短信提醒，中心后台集中监控；（4）礼品招待：统一使用“礼品招待系统”，事前申请、事中扫码入库、事后影像核销，单人次礼品市价≤200元，年累计≤2,000元；（5）轮岗与休假：高风险岗位每3年必须轮岗，每次轮岗≥6个月；强制休假每年≥10个工作日，休假期间由审计部实施专项审计；（6）培训：每年≥8学时线下+8学时线上，考试满分100分，90分合格，不合格补考一次，仍不合格调岗。6.4离任审计（1）范围：全部高风险岗位及敏感岗位；（2）时点：提交离职申请当日冻结系统权限，次日启动审计；（3）内容：资金、合同、发票、礼品、招待、差旅、公章、数据、邮件、聊天记录、网盘、VPN日志；（4）报告：10日内出具《离任审计报告》，发现异常24小时内报中心；（5）追责：若审计发现涉嫌犯罪，暂停办理离职手续，移送调查组。第七章商业伙伴刑事合规管理7.1准入尽调（1）分级：A类（交易金额≥1,000万元或涉及政府、国企、外资、上市公司）、B类（≥100万元）、C类（＜100万元）；（2）A类必须开展“刑事合规专项尽调”，由中心牵头，外聘律师出具《合规尽调报告》，涵盖股东、实际控制人、高管、诉讼、处罚、舆情、制裁、黑白名单；（3）B类采用系统大数据筛查+问卷，黄色及以上风险必须补充现场核查；（4）C类采用系统筛查，红色风险拒绝合作。7.2合同条款（1）所有商业合同必须嵌入《刑事合规条款》，包括：a.反贿赂承诺；b.利益冲突披露；c.配合调查义务；d.违约罚金（合同金额20%或100万元孰高）；e.暂停/终止权；f.黑名单联动；（2）A类合同须由中心法律审核，未经审核财务拒绝付款；（3）合同签署前，供应商关键岗位人员须签署《反贿赂承诺书》并留存身份证、签字影像。7.3持续监控（1）系统每月自动比对合作伙伴风险状态，出现黄色预警立即发函要求说明；（2）出现红色预警，暂停合作、冻结未付款项、启动现场核查；（3）对政府、国企、外资客户，每年更新“受益所有人”信息，发现变化10日内重新尽调。7.4黑名单制度（1）中心建立《刑事合规黑名单》，纳入标准：a.已判刑；b.正被调查且证据充分；c.两次黄色未整改；（2）黑名单同步至SRM、CRM、财务共享系统，自动拦截交易；（3）黑名单期限：永久有效，仅可经董事会特别决议解除。第八章数据与信息保护8.1数据分级按《数据安全法》分为国家核心数据、重要数据、一般数据三级，公司再细分为C1–C5五级，C4、C5级数据泄露可能触发《刑法》第285条非法获取计算机信息系统数据罪。8.2技术措施（1）加密：C4及以上采用国密SM4加密，密钥长度≥256位，密钥托管在HSM；（2）脱敏：生产环境使用动态脱敏，开发测试使用静态脱敏，脱敏算法不可逆；（3）访问控制：基于零信任架构，最小权限+动态授权+多因素认证；（4）日志：用户操作日志保留≥3年，日志哈希值每日上链存证；（5）备份：C4及以上数据每日3份备份，异地200公里以上，加密传输。8.3跨境传输（1）重要数据出境须通过省级网信部门安全评估，获批后方可传输；（2）个人信息出境须做个人信息保护认证或签署标准合同并向省级网信备案；（3）违反上述程序，相关责任人按《个人信息保护法》第66条顶格处罚，并移交公安机关。第九章培训与文化建设9.1培训体系（1）新员工入职3日内完成“刑事合规第一课”线上2学时；（2）高风险岗位每年线下集训1次，邀请资深刑辩法官、检察官、经侦警官授课；（3）董事会、监事会、高管每年参加一次“刑事合规董事会专场”，由红圈所合伙人讲解最新司法解释；（4）海外员工增加《海外反腐败法》《英国反贿赂法》《美国FCPA》案例教学；（5）培训效果评估：现场笔试+案例答辩+系统随机抽考，合格率纳入绩效。9.2文化宣传（1）每年5月设立“刑事合规文化月”，举办知识竞赛、微电影、漫画、脱口秀；（2）设立“廉洁标兵”奖，奖金1万元，优先晋升；（3）建立“合规志愿者”社群，每季度组织一次“合规下午茶”，员工匿名分享风险线索，中心现场答疑。第十章应急预案与演练10.1事件分级（1）特别重大：涉案金额≥5,000万元或可能判处10年以上；（2）重大：≥1,000万元或可能判处5–10年；（3）较大：≥500万元或可能判处3–5年；（4）一般：＜500万元或3年以下。10.2应急组织（1）总指挥：CEO；（2）现场指挥：合规总监；（3）工作组：调查、公关、IT、财务、人力、业务、后勤、安保、医疗；（4）外部支持：刑辩律师、会计师事务所、电子数据鉴定、舆情监测、保险公司。10.3应急流程（1）接报→启动预案→封存证据→报告监