穿透式监管风险预警办法(参考模板)
第一章 总则
第一条【制定目的与依据】
为规范集团公司穿透式监管风险预警工作的全流程管理,建立“预警—派单—核查—处置—整改—验收—销号”的闭环管理机制,确保风险早发现、早预警、早处置,根据《关于加强中央企业穿透式监管的指导意见(试行)》(国资发监督规〔2026〕2号)、《关于做好2026年中央企业内部控制体系建设与监督工作有关事项的通知》(国资厅监督〔2026〕15号)及《中央企业违规经营投资责任追究实施办法》(国资委令第46号)等政策文件要求,依据《穿透式监管体系建设管理办法》和《穿透式监管规则模型管理办法》,结合企业实际,制定本办法。
第二条【适用范围】
本办法适用于集团公司总部及各级全资、控股子企业穿透式监管风险预警信息的触发、派单、核查、处置、整改、验收、销号及督办等全流程管理活动。境外企业、分公司及纳入合并报表范围的重要参股企业参照本办法执行。
第三条【定义】
本办法所称风险预警,是指智能化穿透式监管平台中的规则模型自动运行,依据预设的规则逻辑和预警阈值,对全量业务数据进行扫描分析,识别出偏离正常范围或违反合规义务的异常情形后,自动生成预警信息并推送至相关责任主体的过程。
本办法所称预警工单,是指平台依据预警信息自动生成的标准化核查处置任务单,包含预警编号、触发时间、风险等级、风险场景描述、涉及的规则模型编号、数据依据、核查要求、处置时限等内容。
本办法所称预警处置闭环,是指从预警信息触发、自动派单、核查确认、处置整改、验收销号到举一反三的全过程管理,实现“发现一个问题、完善一批制度、防范一类风险”。
第四条【基本原则】
风险预警工作遵循以下基本原则:
(一)分级管控原则。依据风险等级实行差异化处置——高风险事项提级管理、快速响应,中风险事项按程序核查处置,低风险事项纳入常规跟踪管理。
(二)及时闭环原则。预警信息触发后,在规定时限内完成派单、核查、处置和反馈,确保每一个预警事项都有回应、有处置、有结果。
(三)权责对等原则。预警信息的核查处置责任明确到具体部门和岗位,核查结果和处置质量纳入绩效考核。
(四)举一反三原则。对预警暴露的制度缺陷和系统漏洞,推动制度完善和规则模型迭代,实现从个案处置向系统性预防的转变。
第五条【与上位制度关系】
本办法是《穿透式监管体系建设管理办法》的配套专项制度。本办法在基本管理办法的基础上,对风险预警触发后的处置流程、职责分工、时限要求、质量标准和考核评价进行专项细化。
第二章 组织与职责
第六条【内控合规部门职责】
内控合规部门是风险预警工作的统筹管理部门,承担以下职责:
(一)负责风险预警工作的整体规划和制度建设;
(二)负责预警信息的分级审核和派单统筹,对高风险预警进行提级管理;
(三)负责对核查处置结果进行质量审核,确认预警事项是否得到实质性解决;
(四)负责建立和维护统一的问题台账和风险“全息画像”,实行动态更新管理;
(五)负责对逾期未处置、处置质量不达标的事项进行督办;
(六)负责定期编制风险预警运行分析报告,向领导小组报告预警趋势和突出问题;
(七)负责牵头组织预警事项的举一反三工作,推动制度完善和规则模型迭代。
第七条【业务部门职责】
各业务部门是预警信息核查处置的责任主体,承担以下职责:
(一)负责接收本业务领域内的预警工单,在规定时限内完成核查确认;
(二)负责对核查确认的预警事项制定整改方案并组织实施;
(三)负责在规定时限内向内控合规部门反馈核查结果、处置进展和整改完成情况;
(四)负责对本业务领域预警事项进行根因分析,提出制度完善和流程优化建议;
(五)配合内控合规部门完成预警事项的验收销号。
第八条【信息化部门职责】
信息化部门承担以下职责:
(一)负责保障智能化监管平台的稳定运行,确保预警信息的实时生成和准确推送;
(二)负责预警工单派发、跟踪、催办等系统功能的开发和运维;
(三)负责核查处置过程中的数据查询和数据质量问题的技术支撑;
(四)配合内控合规部门完成预警处置相关数据统计和分析的技术实现。
第九条【审计部门职责】
审计部门承担以下职责:
(一)参与重大预警事项的独立核查和验证;
(二)对涉及违规问题的预警事项,按程序启动专项审计;
(三)对整改完成的事项进行独立验收,确认整改是否到位。
第十条【纪检监察机构职责】
纪检监察机构承担以下职责:
(一)接收内控合规部门移送的涉及违规违纪的预警线索;
(二)依据相关规定,对涉嫌违规违纪问题启动责任追究程序。
第十一条【子企业职责】
各级子企业承担以下职责:
(一)负责接收涉及本企业的预警工单,在规定时限内完成核查确认和处置整改;
(二)保证向监管平台报送数据的真实性、完整性和及时性,确保预警判断有可靠的数据基础;
(三)按规定向集团反馈预警处置进展和整改结果;
(四)对本企业范围内预警事项暴露的制度缺陷,及时启动本级制度修订。
第三章 预警分级与触发
第十二条【风险等级划分】
预警信息依据风险程度和影响范围,分为以下三个等级:
(一)高风险预警(红色):涉及重大违规、重大资产损失风险、系统性风险、可能引发严重不良影响的事项,以及涉及《中央企业违规经营投资责任追究实施办法》追责情形的预警。
(二)中风险预警(黄色):涉及一般性违规、内部控制缺陷、一定金额的资产损失风险,或多次出现的同类异常情形。
(三)低风险预警(蓝色):涉及流程偏差、数据异常但尚未造成实质影响的事项,或需要持续关注的一般性提示。
风险等级的初始判定,由规则模型依据预设的预警阈值自动完成。预警阈值的设定和调整按《穿透式监管规则模型管理办法》执行。
第十三条【预警信息构成】
每条预警信息至少包含以下要素:
(一)预警编号:唯一标识该预警事项的编号;
(二)触发时间:规则模型触发预警的时间戳;
(三)风险等级:红、黄、蓝三级中的一级;
(四)所属领域:产权、投资、财务、资金、薪酬分配、金融、采购与供应链、军品业务、合同、境外十大重点领域之一;
(五)涉及的规则模型:触发该预警的规则模型编号及版本号;
(六)风险场景描述:该预警对应的具体风险情形;
(七)数据依据:触发预警所依据的具体数据及其来源;
(八)涉及主体:预警事项涉及的具体子企业、业务单元或岗位;
(九)处置时限:完成核查和处置的截止时间。
第十四条【预警触发方式】
预警信息通过以下方式触发:
(一)规则模型自动触发。智能化监管平台中的规则模型按预设频率(实时、每日、每周)自动扫描全量数据,发现符合预警条件的情形时自动生成预警信息。
(二)人工补充触发。通过专项检查、审计、巡视巡察、举报等途径发现的问题,经内控合规部门审核确认后,可手工录入为预警事项,纳入统一的问题台账管理。
(三)外部信息触发。收到国资委、审计署等外部监管机构的提示函、通报等,经内控合规部门评估后录入为预警事项。
第四章 派单与核查
第十五条【自动派单机制】
预警信息触发后,智能化监管平台依据《穿透式监管关键事项权责清单》中明确的处置责任主体,自动生成预警工单并推送至相应责任岗位。派单遵循以下规则:
(一)高风险预警自动推送至内控合规部门负责人和集团公司分管领导,同时抄送相关业务部门;
(二)中风险预警自动推送至相关业务部门负责人和内控合规部门;
(三)低风险预警自动推送至相关业务部门具体岗位,抄送内控合规部门。
第十六条【预警签收】
预警工单推送后,接收责任人应在1个工作日内完成签收确认。超时未签收的,平台自动发送催办提醒;超2个工作日仍未签收的,平台自动升级催办,并通报至上一级负责人。
第十七条【核查确认时限】
接收预警工单的责任人应在规定时限内完成核查确认:
(一)高风险预警:3个工作日内完成核查;
(二)中风险预警:5个工作日内完成核查;
(三)低风险预警:7个工作日内完成核查。
核查内容包括:
(一)核实预警所依据的数据是否真实、准确;
(二)核实异常情形是否确实存在,是否存在合理商业理由;
(三)评估该异常情形的影响程度和潜在风险;
(四)初步判断是否存在违规行为或管理缺陷。
核查完成后,责任部门应在平台上提交《预警核查确认单》,如实记录核查过程、核查结论和拟采取的处置措施。
第十八条【核查结论类型】
核查结论分为以下三类:
(一)属实:确认预警事项反映的异常情形真实存在,需要进一步处置;
(二)误报:经核查确认预警事项不属实,属于数据错误、规则模型误判或存在合理解释;
(三)部分属实:预警事项部分属实,需要对属实部分进行处置。
对判定为“误报”的预警事项,核查责任人应在核查确认单中详细说明误报原因。内控合规部门定期汇总误报案例,作为规则模型迭代优化的输入依据。
第五章 处置与整改
第十九条【分级处置】
预警事项经核查确认属实或部分属实后,按照以下方式分级处置:
(一)高风险预警:由内控合规部门牵头,相关业务部门配合,立即启动专项处置方案。涉及重大违规问题的,按程序移送纪检监察机构或审计部门。涉及重大经营风险事件的,按照《中央企业重大经营风险事件报告工作规则》及时向国资委报告。
(二)中风险预警:由相关业务部门负责处置,内控合规部门跟踪督办。业务部门应在核查确认后10个工作日内完成处置,提交处置结果报告。
(三)低风险预警:由相关业务部门纳入日常管理,在核查确认后15个工作日内完成处置或明确持续观察计划。
第二十条【整改方案制定】
对需要整改的预警事项,责任部门应在核查确认后5个工作日内制定整改方案。整改方案应包括:
(一)整改目标:明确需要解决的具体问题;
(二)整改措施:逐条列出具体整改行动;
(三)责任人和责任部门:明确每项整改措施的责任主体;
(四)完成时限:明确每项整改措施的完成时间节点;
(五)验收标准:明确整改完成后的验证标准。
第二十一条【整改实施】
责任部门应按照整改方案逐项落实整改措施。整改过程中,应在平台上动态更新整改进展。内控合规部门对整改过程进行跟踪督办。
整改的基本要求:
(一)立行立改:对能够立即纠正的问题,应当即纠正;
(二)制度补漏:对因制度缺陷导致的问题,应及时启动制度修订程序;
(三)流程优化:对因流程缺陷导致的问题,应及时优化业务流程和控制节点;
(四)系统完善:对因系统功能不足导致的问题,应及时提出系统优化需求。
第二十二条【整改时限】
整改完成时限根据问题的复杂程度确定,原则上不超过以下时限:
(一)高风险预警事项整改:30个工作日内完成;
(二)中风险预警事项整改:20个工作日内完成;
(三)低风险预警事项整改:15个工作日内完成。
因特殊情况需要延期的,责任部门应在原定时限届满前3个工作日内向内控合规部门提交延期申请,说明延期理由和新的完成时限,经内控合规部门审核同意后方可延期。原则上延期不得超过一次,延期时长不超过原定时限。
第二十三条【整改验收】
整改完成后,按照以下程序进行验收:
(一)责任部门完成整改后,在平台上提交《整改完成报告》,逐项说明整改措施的落实情况、整改效果和佐证材料;
(二)内控合规部门组织验收,高风险预警事项的验收应邀请审计部门共同参与;
(三)验收通过的,予以销号;验收不通过的,退回责任部门继续整改,并在5个工作日内重新提交验收。
验收标准:
(一)问题已得到实质性解决,违规行为已纠正;
(二)损失已挽回或风险已化解;
(三)制度和流程已完善,同类问题不再发生;
(四)相关责任人已按程序处理(如适用)。
第六章 问题台账与全息画像
第二十四条【问题台账管理】
内控合规部门建立统一的问题台账,对全部预警事项实行全过程记录和动态管理。问题台账应包含以下信息:
(一)预警事项的基本信息(编号、触发时间、等级、领域等);
(二)核查过程和结论;
(三)处置措施和整改进展;
(四)验收结果和销号时间;
(五)举一反三成果(制度修订、流程优化、规则迭代等)。
问题台账实行动态更新,每季度至少全面复核一次,确保台账信息的准确性和完整性。
第二十五条【风险全息画像】
基于问题台账和预警数据,内控合规部门会同信息化部门,为各子企业、各重点领域建立风险“全息画像”。风险全息画像应整合以下多源数据:
(一)各领域预警触发频率和分布;
(二)预警事项的核查结论分布(属实率、误报率);
(三)各子企业的预警处置时效和整改闭环率;
(四)重复出现的同类问题及其根因;
(五)历史违规问题和追责情况。
风险全息画像每季度更新一次,作为评价子企业内控有效性和穿透监管能力的重要依据。
第二十六条【预警趋势分析】
内控合规部门每季度编制《风险预警运行分析报告》,内容应包括:
(一)本期预警总体情况(预警数量、等级分布、领域分布、趋势变化);
(二)各领域、各子企业预警处置情况(签收率、核查及时率、处置及时率、整改闭环率);
(三)典型预警案例(含处置成功案例和误报案例分析);
(四)规则模型运行效果评估(命中率、准确率分析);
(五)存在的突出问题和工作改进建议。
报告报领导小组审阅,并作为《穿透式监管规则模型管理办法》中规则模型定期迭代的输入依据。
第七章 督办与问责
第二十七条【逾期督办】
对超过规定时限未完成核查、处置或整改的预警事项,启动督办程序:
(一)首次逾期:平台自动发送催办提醒至责任人和责任部门负责人;
(二)逾期3个工作日:内控合规部门向责任部门发出书面《督办通知单》,同时抄送分管领导;
(三)逾期5个工作日:内控合规部门提请领导小组副组长约谈责任部门负责人;
(四)逾期10个工作日:内控合规部门提请领导小组组长约谈责任部门分管领导,并在全集团范围内通报。
第二十八条【低质量退回】
对核查不认真、处置不到位、整改不彻底的预警事项,内控合规部门有权退回并要求重新办理:
(一)核查结论缺乏充分证据支撑的,退回重新核查;
(二)整改措施未触及问题根本的,退回重新制定整改方案;
(三)整改验收不通过的,退回继续整改。
同一事项被退回两次以上的,内控合规部门应提级办理,由内控合规部门直接组织核查处置。
第二十九条【责任追究】
对以下情形,依据《中央企业违规经营投资责任追究实施办法》等规定追究相关单位和人员责任:
(一)对预警事项故意隐瞒、虚假核查、虚假整改的;
(二)因预警处置不力导致风险扩大、造成资产损失的;
(三)多次逾期且无正当理由,经督办仍不整改的;
(四)对同一类问题反复出现、屡改屡犯的。
对涉嫌违纪违法的,移送纪检监察机构或司法机关查处。
第八章 举一反三与持续改进
第三十条【举一反三机制】
对预警事项暴露出的共性问题和制度缺陷,建立举一反三机制:
(一)个案分析:每个预警事项销号后,责任部门应在10个工作日内完成根因分析,判断问题是个案还是系统性问题;
(二)系统排查:对判断为系统性问题的,内控合规部门应组织相关业务部门在全集团范围内进行排查,查找同类问题;
(三)制度完善:对因制度缺失或制度缺陷导致的问题,纳入制度修订计划;
(四)规则迭代:对因规则模型漏报、误报或阈值不合理导致的问题,按《穿透式监管规则模型管理办法》启动迭代程序。
第三十一条【规则模型迭代触发】
以下情形应触发规则模型的迭代优化:
(一)预警准确率持续低于50%的规则,列入重点调优清单;
(二)同一规则模型连续三个月误报率超过30%的;
(三)通过预警处置发现的新型违规手法,现有规则模型无法覆盖的;
(四)监管政策或企业内部制度发生变更,现有规则逻辑需要相应调整的。
规则模型迭代的具体程序按《穿透式监管规则模型管理办法》执行。
第三十二条【典型预警案例库】
内控合规部门应建立典型预警案例库,定期收集、整理和发布具有代表性的预警处置案例(含成功案例和误报案例),供各业务部门和子企业学习参考。案例库每半年更新一次。
第九章 监督评价
第三十三条【预警工作评价指标】
风险预警工作的运行效能纳入穿透式监管体系运行效能评价,重点评价以下指标:
(一)预警签收率:预警工单在规定时限内完成签收的比例,目标值为100%;
(二)核查及时率:预警事项在规定时限内完成核查的比例,目标值为≥95%;
(三)处置及时率:核查属实事项在规定时限内完成处置的比例,目标值为≥90%;
(四)整改闭环率:预警事项在规定时限内完成整改并销号的比例,目标值为≥85%;
(五)预警准确率:核查确认为属实的预警占全部预警的比例。
上述指标纳入各业务部门、各级子企业的年度绩效考核。具体考核标准由内控合规部门会同人力资源部门制定。
第三十四条【评价结果应用】
风险预警工作评价结果按以下方式应用:
(一)纳入各部门、各子企业穿透式监管体系运行效能评价总分;
(二)评价结果作为资源配置、经营授权、业绩考核、干部任免的重要参考依据;
(三)对预警工作表现突出的单位和个人予以表彰奖励;
(四)对预警工作推进不力、指标长期不达标的单位和个人予以通报批评,并视情节轻重进行约谈或追责。
第十章 附则
第三十五条【细则制定】
内控合规部门应根据本办法制定配套的操作指引和模板工具,包括但不限于:《预警工单核查操作指引》《预警事项整改验收工作指引》等。
第三十六条【解释权】
本办法由集团公司内控合规部门负责解释。
第三十七条【施行日期】
本办法自发布之日起施行。
附件:
附件一:预警工单(模板)
附件二:预警核查确认单(模板)
附件三:整改方案(模板)
附件四:整改完成报告(模板)
附件五:风险预警运行分析报告(模板)
作者声明:本文稿《穿透式监管风险预警办法(参考模板)》系笔者基于穿透式监管领域的研究成果及实务咨询经验,参照国资委相关政策文件精神和企业管理实践,撰写的参考文本。
各企业可根据自身组织架构、业务特点、管理成熟度和信息化水平,对文本内容进行必要的调整和本地化改造,确保制度的适用性。如有相关问题需要探讨或交流,欢迎联系笔者krokso。
作者介绍:陶光辉,律师、高级经济师、法学院客座教授,中国管理科学学会理事、中国人工智能学会会员等。擅长领域:穿透式监管、治理风险与合规(GRC)、全面风险管控数智化升级,法治央企建设等。
推荐课程:如希望系统掌握穿透式监管从政策理解、体系设计到平台落地的全流程方法,推荐《穿透式监管:从体系设计到平台落地全流程》20节线上课。课程涵盖政策解读、制度固化、规则建模、平台架构与追责闭环等内容,配套制度模板、规则逻辑设计等实用资料包,帮助法务合规与信息化团队建立体系化认知。👉 第10课已上线,拆解规章制度体系如何嵌入穿透式监管要求 。即刻报名,掌握从架构到模型、从平台到落地的完整方法论。课程顾问:15010055730(电话/微信)
夜雨聆风