合规管理体系建设指南（雷泽佳编制-2023）

目次TOC\o"1-3"\h\u128371范围 332752规范性引用文件 442793术语和定义（略） 5113994组织环境 5309274.1理解组织及其环境 5126734.2理解相关方的需要和期望 6309104.3确定合规管理体系的范围 7126054.4合规管理体系 8303464.5合规义务 10199615领导作用 11139825.1领导作用和承诺 11166475.2合规方针 15248835.3岗位、职责和权限 16238505.4合规风险评估 19173476策划 22288456.1应对风险和机遇的措施 22141446.2合规目标及其实现的策划 25279736.3针对变更的策划 2663807支持 27112697.1资源 27294417.2能力 2756087.3意识 2970527.4沟通 29321957.5成文信息 308068运行 3278298.1运行的策划和控制 32313448.2确立控制和程序 3724518.3提出疑虑 38113948.4调查过程 39269809绩效评价 40157799.1监视、测量、分析和评价 40277499.2内部审核 44146069.3管理评审 463019610改进 48347110.1持续改进 483047210.2不符合与纠正措施 48合规管理体系建设指南范围本标准规定了组织建立、开发、实施、评价、维护和改进有效的合规管理体系的要求，并提供了指南。本标准适用于所有类型的组织，不论其类型、规模、性质，也不论其是公共的、私营的或非营利性的。如果组织内没有设立独立的治理机构，则本标准中规定的所有关于治理机构的要求都适用于最高管理者。适用范围规定了组织建立、开发、实施、评价维护和改进有效的合规管理体系的要求，并提供了使用指南；适用于所有类型、规模、性质和行业的组织，不论其是公共的、私营的或非营利性的；适用于组织内没有设立独立的治理机构或最高管理者。按照GB/T35770标准建立、开发、实施、评价、维护和改进合规管理体系的目的提升合规能力：可以有效地落实合规要求，传播积极的合规文化，不断地进行自我检视与调整，提升内部自查自纠能力和整体管理水平，提升合规能力，降低违规风险；提升竞争能力：组织通过合规管理体系的有效实施，应对不断变化的监管环境、业务增长或地域范围，识别适用的合规义务、评估合规风险并保持及时更新，制定相应措施管控合规事务，保持业务连续性，从而提升竞争能力，降低市场风险；合规是实现组织成功和持续发展的基石和机会：一个全面有效的合规管理体系能证实组织承诺并致力于遵守相关法律、监管要求行业准则等方面的合规义务。保护并提升组织的声誉和信誉：合规有助于组织履行社会责任，增强顾客、第三方对组织取得持续成功的信心，赢得合规的良好信誉，为贸易、交流与合作提供便利，获取更多商业机会。有助于更好地履行社会责任，更好地满足相关方的需求和期望；证实组织切实有效管理其合规风险的承诺,最大限度地降低不合规导致的风险及相应的成本和声誉损失。GB/T35770—2022至少有四种应用方式：作为各类组织自我声明符合的依据。各类组织通过实施GB/T35770，建立并运行合规管理体系，一方面使得组织的行为以及行为结果合规，另一方面在需要时还能够据此标准追溯组织是否符合了合规管理体系规定的内容或证实是否达到了合规要求;作为认证机构开展认证的依据。GB/T35770规定了合规管理体系的要求，并提供了建议做法和指南，认证机构在认证活动中，可以直接应用或者在其认证技术规范中明确GB/T35770作为组织符合合规管理体系要求的认证依据;作为政府机构监管的依据。政府机构可以将GB/T35770确立的合规管理理念应用于行政监管活动，通过对组织的合规管理体系运行情况评价结果来匹配相应的监管手段和措施，实施精准监管;作为司法机关对违规企业量刑与监管验收的依据。可以将GB/T35770确立的合规管理体系要求作为司法机关对涉及违规企业量刑的考量依据，可以作为落实依法不捕不诉不提出判实刑建议等司法意见、制定合规指引、督促企业合规整改和第三方监管验收的依据。主要技术变化标准类型；由指南类管理体系标准修订为要求类管理体系标准，标准正文中的条款相应地全部使用要求型条款表述。修改了合规义务的定义，明确合规义务覆盖组织自愿选择遵守的要求。技术内容将合规管理体系所涉及的组织内的个体扩大至所有人员；强化了合规治理原则；强调合规管理体系有效性；增加了人员聘用过程、提出合规疑虑和调查过程的要求等等。规范性引用文件本标准没有规范性引用文件。【理解与实施要点】与ISO37301；2021的关系等同采用ISO37301；2021《合规管理体系要求及使用指南》，技术内容与ISO37301一致考虑到在我国的适用性，GB35770-2022增加了资料性附录NA，对合规义务、合规文化、数字化与合规管理及管理体系一体化融合做了补充、提示或进一步的细化与解释。与GB/T35770—2022相关的一些标准和要求包括：ISO37001反贿赂管理体系–要求和使用指南GB/T36000-2015社会责任指南((ISO26000；2010,MOD)GB/T39604-2020社会责任管理体系要求及使用指南GB/T27914-2023风险管理法律风险管理指南((ISO31022；2020,MOD)ISO37002-2021举报管理体系指南ISO37000-2021组织治理指南ISOIEC27001-2022信息安全、网络安全和隐私保护信息安全管理体系要求ISO27701-2019ISO/IEC27001和ISO/IEC27002在隐私信息管理的扩展要求和指南GB/T29490-2023企业知识产权合规管理体系要求中央企业合规管理办法（国务院国有资产监督管理委员会令第42号，2022年10月1日正式实施）世界银行集团《世界银行集团廉政合规指南》术语和定义合规履行组织的全部合规义务。注：合规义务指组织强制性地必须遵守的要求（如国家法律法规、监管规定、行业准则和国际条约、规则），以及组织自愿选择遵守的要求(如公司章程、相关规章制度、对内外商业道德承诺等）。合规风险因未遵守组织合规义务而发生不合规的可能性及其后果。注：后果包括组织及其人员不合规（违规）行为引发法律责任（如法律制裁或监管处罚）、造成经济或者声誉损失以及其他负面影响。合规管理以有效防控合规风险为目的，以组织及其人员经营管理行为为对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。组织环境理解组织及其环境对组织环境的理解和分析，是确保组织策划、实施、运行和改进适合本组织自身的有效合规管理体系的前提。本条的目的是协助组织对可能影响其合规管理体系的重要事项确立高层次（例如：战略性）的理解；组织环境：指对组织建立和实现其目标产生影响的各种外部和内部因素和条件的组合；这些外部和内部因素可涉及各种正面（积极）和负面（消极）要素或条件;组织环境包括以下3个方面的各种外部和内部因素：与其组织宗旨相关的因素：组织宗旨可被表述为包括其愿景、使命、方针和目标。影响组织实现合规管理体系预期结果的能力的因素；与其合规风险和合规目标相关的因素。组织环境包括外部环境和内部环境：内外部环境是指组织设定并实现自身目标所依赖的环境；外部环境；与第三方业务关系的性质和范围；法律和监管环境:组织最明确的合规义务的来源；经济状况；社会、文化、环境背景。内部环境。业务模式，包括组织活动和运行的战略、性质、规模、复杂性和可持续性；内部结构、方针、过程、程序和资源（包括技术）；自身的合规文化。将所确定的内部和外部因素作为重要输入用于指导合规管理体系的策划、实施、运行和改进。理解相关方的需要和期望相关方；相关方是指可影响组织的决策或活动、受组织的决策或活动所影响、或自认为受组织的决策或活动影响的个人或组织；有关相关方是指若其需求和期望未能满足，将对组织实现其合规管理体系预期结果产生重大风险的那些相关方。组织应识别并确定相关方及其对组织的影响；组织应确定与规管理体系有关的相关方，相关方可以是组织内部或外部的；内部相关方示例：治理机构、管理层、员工；内部职能，诸如风险管理、内部控制、内部审核、人力资源等。外部相关方示例：政府和政府机构、监管机构、上下级组织；工会；所有者、股东、投资者；顾客（如客户、消费者、最终用户或受益人等）；合作伙伴（如承包商、供应商、业务伙伴等）；同业者、所参加的社会团体（行业和专业协会等）和行业商会、地方社团、媒体、学术界；竞争对手；银行、金融机构、保险机构；知识产权所有人；非政府组织；第三方中介机构;社会和社区团体等。组织应确定这些相关方的有关需求和期望；强制性的需要和期望（包括法律、法规、许可、执照以及政府或法院措施等正式要求）；其他非强制性的需要和期望（即非正式的自愿要求，一旦组织决定采纳，这些需要和期望就会成为合规义务）；组织应哪些需求将通过合规管理体系予以解决。确定合规管理体系的范围确定合规管理体系的范围就是组织确立其合规管理体系所适用的物理边界和组织边界（包括适用的地理和/或组织边界）和适用性，以确定其范围；合规管理体系的范围宜合理且与组织相匹配，组织选择在整个组织，组织内具体单元，或具体职能部门实施合规管理体系的时候，具有自由度和灵活性。合规管理体系应在组织所有不同单元的组织中实施，以避免道德行为和合规方法的双重标准；在确定合规管理体系的范围时，组织应考虑：对对组织环境的理解（即4.1中提及的各种外部和内部因素）；4.2中提及的相关方的需求和期望；组织面临的主要合规风险的性质和程度。GB/T35770标准适用性裁剪：本标准的全部要求适用于组织确定的合规管理体系范围，组织应实施本标准的全部要求。组织若确定本标准的某些要求不适用于其合规管理体系范围，应说明理由。根据组织的业务类型，本标准第8章相关要求的适用性调整，以不影响组织履行合规义务的能力,不影响组织防范合规风险、实现合规价值、增强组织实现合规管理体系预期结果为前提；范围应作为成文信息可获取；组织的规管理体系范围应作为成文信息，可获得并得到保持；这种成文信息可采用组织所确定的适合其需求的方法加以保持，如手册或网站。合规管理体系合规管理体系是一个框架，该框架是基本结构、方针、过程和程序的有机组合，其目的是实现预期的合规结果，并发挥作用以预防、发现和响应不合规；合规管理体系宜以良好治理、平衡、诚信、透明、责任和可持续性等原则为基础等原则为基础,确保实现诚信、文化、符合、声誉、价值、伦理等目标；组织应按照GB/T35770标准的要求，应用策划-实施-检查-处置（PDCA）循环(见“基于PDCA循环合规管理体系框架图”)和基于风险的方法，建立、实施、保持和持续改进合规管理体系，包括所需过程及其相互作用；建立、实施、维护和持续改进合规管理体系应考虑以下方面：组织的价值观；组织的目标、战略；4.1中提及的各种外部和内部因素；4.2中提及的相关方的需求和期望；4.6中经风险评估组织面临的主要合规风险。

图2：基于PDCA循环合规管理体系框架图合规义务合规义务包括：组织强制性地必须遵守的要求,包括；相关国家或地区的法律法规；许可、执照或其他形式的授权；监管机构发布的命令、条例或指南；法院司法解释、司法惯例、判例法以及司法裁决或行政决定；适用的国际条约、公约和协议。组织自愿选择遵守的要求（即合规承诺），包括：与社会团体或非政府组织签订的协议；与公共权力机构和客户签订的协议；组织的要求，如组织的方针、程序、规章制度、承诺等；有效治理原则；自愿的原则、规程或或道德准则；自愿性标志或环境承诺；与组织签署合同或协议产生的义务；相关行业标准、准则等。系统全面地识别合规义务合规义务主要来源于组织(包括部门和职能）的活动、产品、服务以及运行相关的法律和监管要求。应首先识别出与业务相关的最重要的合规义务，然后关注所有其他合规义务（帕累托原则）；识别合过义务应考虑4.1中提及的各种外部和内部因素；4.2中提及的相关方的需求和期望，尤其是确定这些需求和期望中哪些是或将可能成为合规义务。识别新增及变更的合规义务，确保持续合规。具体途径与方式包括；列入相关监管部门收件人名单；成为专业团体的会员；订阅相关信息服务；参加行业论坛和研讨会；监视监管部门网站；与监管部门会晤；与法律顾问洽商；监视合规义务来源（如监管声明和法院判决）。采取基于风险的思维，评估合规义务对运行所产生的影响：评价已识别的合规义务（包括新增及变更的义务）所产生的影响。对合规义务管理实施必要的调整：合规义务是变化的，具有动态属性，需要组织实时更新和维护；若合规义务变化，相应的管理措施也应及时加以调整；组织应保持和保留其合规义务的成文信息。组织应建立并保持一个单独文件（如登记册、清单），列出其所有合规义务，并确立定期更新该文件的过程。除列出合规义务外，该文件还宜包括但不限于：合规义务的影响；合规义务的管理；与合规义务相关的控制；风险评估。领导作用领导作用和承诺治理机构和最高管理者治理机构和最高管理者治理机构；对组织的活动、治理、方针负有最终职责和权限的一个人或一组人，最高管理者向其报告并对其负责；并不是所有的组织（尤其是小型组织）都会有一个独立于最高管理者的治理机构；治理机构可能包括（但不限于党委、董事会、监事会或受托人、合规管理委员会或风险管理委员会】合规领导小组等）。最高管理者：在最高层指挥和控制组织的一个人或一组人，如主要负责人、经营管理层（含副总经理、总法律顾问、首席合规官等）；最高管理者有权在组织内部授权和提供资源。如果管理体系的范围仅覆盖组织的某个组成部分，那么最高管理者是指挥和控制该部分的一个人或一組人。本标准中，“最高管理者”指最髙级别的执行管理层。治理机构和最高管理者证实其领导作用和承诺（治理机构和最高管理者的合规管理职责）治理机构和最髙管理者宜认识到有效合规管理的战略重要性。治理机构和最高管理者应通过以下方面清楚、明确地证实其对合规管理体系的领导作用和承诺：以身作则，坚持并积极、明确地支持组织合规与合规管理体系建设；确保合规方针和合规目标得以确立，并与组织的战略方向一致；确保将合规管理体系要求融入组织的业务过程；确保合规管理体系所需的资源可获取；就有效的合规管理的重要性以及符合合规管理体系要求的重要性进行沟通；所有管理层一致向人员传达一个清晰的信息（通过文字和措施证实）：组织会履行它的合规义务；以清晰并令人信服的声明向所有人员和有关的相关方广泛沟通关于合规的承诺，并有措施支持；定期评审合规管理体系（建议至少每年一次）,确保合规管理体系实现其预期结果；指导和支持人员为合规管理体系的有效性作出贡献；及时采取纠正措施，促进持续改进合规管理体系和合规绩效；支持其他相关岗位在职责范围内证实其领导作用。治理机构和最高管理者应：确立和坚持组织的核心价值观；确保制定并实施方针、过程和程序（批准合规方针），以实现合规目标；确保能及时获知合规事件，包括不合规情况，并确保釆取适当措施；确保维护合规承诺(最高管理者对确保组织充分实现关于合规的承诺承担责任)，并妥善处理不合规和不合规行为；必要时确保合规责任在工作职责说明中得到体现,向其所有管理层级分配合规责任并要求他们负责；任命或提名合规团队（见5.3.2）；确保根据8.3确立了提岀和解决疑虑的机制。合规文化合规文化：贯穿整个组织的价值观、道徳规范、信仰和行为，并与组织结构和控制系统相互作用，产生有利于合规的行为规范。合规是组织核心价值观之一，合规文化成为组织文化的核心组成部分。价值观是组织所崇尚的文化的核心，是组织行为的基本原则，是在形成组织文化中发挥作用以及确定什么对组织重要时的原则和/或思维模式，且价值观支持组织的使命和愿景，它回答“我的处事原则是什么?”组织的最高管理者在合规文化建设方面应该履行的职责：宣传组织对合规的承诺并建立合规意识，以激励员工接受合规管理体系；调整组织对合规的承诺，使其与组织的价值观、目标和战略保持一致，以便恰当地定位合规；鼓励所有员工接受、实现他们所负责或应负责的合规目标；创造一个鼓励报告不合规并且报告的员工不会受到报复的环境；鼓励员工提出有利于持续改进合规绩效的建议；确保合规已融入更广泛的组织文化及文化改变的计划；迅速识别并采取措施纠正或解决不合规情形；确保组织方针、程序和过程支持并鼓励合规；确保运行目标和指标不会危害合规行为；支持合规文化发展的因素和具体做法：管理层积极并显而易见地实施和遵守价值观；不论职位，对不合规的一致性处理；在指导、辅导和领导中以身作则；对潜在的关键职能的人员进行适当的聘用前评估，包括尽职调查；在入职培训或新员工训练中强调合规和组织价值观；持续进行合规培训，包括更新面向所有人员和有关的相关方的培训；持续就合规问题进行沟通；绩效考核体系，结合对合规行为的评估，并将合规表现与绩效工资挂钩，以实现合规关键绩效措施和结果；对合规管理业绩和结果予以明确认可；最高管理者应鼓励创建和支持合规的行为，应阻止且不容忍损害合规的行为。对故意或因疏忽而违反合规义务的情况给予即时和适当的处分；在组织的战略和个人岗位之间建立清晰的联系，强调合规是实现组织结果所必不可少的；在内部和外部就合规进行公开和适当的沟通。组织应在其内部各个层级建立、维护并推进合规文化。措施包括但不限于：最高领导者、决策层和管理层以身作则，遵循和落实合规价值观，倡导和推行合规文化；建立制度化、常态化的合规培训机制，制定年度合规培训计划，将合规作为合规管理重点人员培训的必修内容和任职上岗的必备要求；通过制定合规手册、签订合规承诺书、开展合规宣誓等方式将合规理念传递至全体员工，确保其了解合规义务；通过合规建设情况公开披露、宣传等方式，将合规文化传递至利益相关方，确保其了解组织的合规要求；建立合规绩效考核体系并运行实施，将绩效考核结果与薪酬待遇、职务任免等挂钩；建立合规奖励机制，鼓励员工提出改进合规管理的意见和建议；建立健全合规人才的选拔、培养和任用机制。治理机构、最高管理者和管理者应证实，对于整个组织所要求的共同行为准则，其做出了积极的、明示的、一致且持续的承诺。从以下方面验证良好合规文化的实现程度：查看上述事项是否得到充分实施；询问员工是否充分了解与其自身活动和所在业务部门活动相关的合规义务（从组织到个人）；询问相关方（尤其是员工）是否相信上述事项已得到充分实施；查看组织各层级是否按要求针对不合规事项进行“自主”补救，并采取相应的措施；询问和查看合规团队所扮演的角色及其目标是否得到重视；查看员工是否有能力或主动向相应的管理层提出合规疑虑或问题；查询员工在向相应的管理层提出合规疑虑时是否能够受到鼓励等。合规治理合规团队：指对合规管理体系运行负有职责、享有权限的一个人或一组人。对大中型国企而言，合规管理组织架构涉及党委、纪委、董事会、董事长、监事会、经理层、总经理、合规管理委员会、首席合规官、合规部、业务部门和职能部门、纪检监察部、内部审计部等机构和岗位（如合规主管、专职合规管理员）；最好指定一人（如管理者代表、分管合规的领导）负责合规管理体系的监督。治理机构和最高管理者应确保合规治理建立在以下基本原则基础上：合规团队应能直接接触治理机构和最高管理者：直接接触包括：向治理机构的直接汇报线、定期提交报告以及参加其会议；合规团队的独立性：独立性是指合规团队的运行不受任何不当干扰和/或压力，规团队不与组织结构或其他要件冲突，他们可以自由行动、不受垂直管理者的干涉；合规团队具有适当的权限和能力：合规团队在权限上不是一个能被上级否决或被其修改报告或信息的初级部门。合规团队能根据需要指导其他员工。合规团队宜有“发言权”，以申明和提出合规疑虑；合规团队有足够的资源：资源的提供能支持组织不受限制地执行合规管理体系的必要工作和职责，包括获得技术以使合规管理体系能全面和有效地支持组织实现其合规目标。合规方针“合规方针”的定义；由最高管理者正式发布的、关于履行组织全部合规义务的宗旨和方向。合规方针确立了组织实现合规的首要原则和行动承诺。它设定了要求的职责和绩效水平，并设定了对行动进行评估的期望；治理机构和最高管理者应确立合规方针，该方针：适合于组织的宗旨；为设定合规目标提供框架；包括满足适用需求的承诺；包括持续改进合规管理体系的承诺。合规方针应：与组织的价值观、目标和战略保持一致；规定与组织的规模、性质、复杂性及其环境有关的合规管理体系的应用和环境；要求遵守组织的合规义务：合规方针应与因其范围和活动而产生的合规义务相适应；根据5.1.3支持合规治理原则，包括对内外部相关方的关系进行管理的原则；提及并描述合规职能，合规与其他职能（如与治理、风险、审核和法务）的结合程度；概述不遵守组织的合规义务、方针、过程和程序的后果；鼓励提出疑虑，并且禁止任何形式的报复；用通俗易懂的语言书写，易于所有人员理解其原则和意图；合规方针应由治理机构批准；被适当地实施和执行；作为成文信息可获取；在组织内予以沟通；必要时，可被相关方获取。合规方针示例1依法合规：严格遵守国家法律法规、监管规定、行业准则、公司章程、相关规章制度以及国外相关法律法规，合法合规开展商业活动。诚信经营：以诚信经营为原则，履行合同义务，推行健康诚信的商业文化，积极营造和谐的商业发展环境。人人有责：合规是集团全体员工共同的责任，管理层要以上率下，发挥“领头羊”作用，凡不履行合规义务的，均按照相关法律法规及规章制度承担责任。强化监督：鼓励合作伙伴、员工、社会各方报告、投诉、举报违规行为，诚挚接受社会监督，遏制各种违法违规行为。合规方针示例2合规创造价值。企业坚持诚信经营、恪守商业道德，通过合规建设化解各类合规风险，从而减少或避免遭受法律制裁与监管处罚；企业重视并持续培养合规文化，树立商业信誉，塑造品牌价值，从而吸引优质商业伙伴，增加交易机会，为企业行稳致远保驾护航。

合规保障发展。合规管理是企业正常运行的基础要求，在企业党委的领导下，企业构筑合规管理的“三道防线”，各司其职、各负其责，切实保障合规管理有序有效运行。同时，企业持续健全合规管理体系，不断完善现代企业治理和经营机制，保障企业高质量发展。

合规人人有责。合规从高层做起，各级管理人员要率先垂范，发挥带头作用；合规须全员参与，企业员工应当全面遵守法律法规、监管规定及企业规章制度等合规要求，不断提升主动合规的意识和行为自觉；集团重视员工行为管理、强调抵制违规行为，严格执纪问责，凡违规者均应当依据法律法规和公司相关规章制度承担相应责任。

合规强化监督。企业鼓励、支持员工、客户和供应商报告、投诉、举报违法违规行为，企业对报告、投诉、举报人的身份和举报事项严格保密，保护其不遭受打击报复。针对问题和线索及时开展调查，公正处理违法违规行为，坚决遏制违法违规行为。岗位、职责和权限治理机构和最高管理者治理机构的积极参与和监督是有效合规管理体系不可或缺的组成部分。治理机构（合规管理委员会）和最高管理者应确保在组织内分配并沟通相关岗位的职责和权限。治理机构和最高管理者应分配职责和权限，以便：a） 确保合规管理体系符合本标准的要求；b） 获得合规管理体系绩效的报告。治理机构应：确保根据合规目标的实现情况对最高管理者进行衡量；对最高管理者运行合规管理体系的情况进行监督。最高管理者应：为使合规管理体系有效，治理机构和最高管理者需要以身作则，坚持并积极、明确地支持合规与合规管理体系；为建立、制定、实施、评价、维护和改进合规管理体系配置足够且适当的资源；最高管理者应鼓励创造和支持合规的行为，而不宜容忍侵害合规的行为；确保建立及时有效的合规绩效报告制度，创造一种鼓励报告不合规并使报告的员工不会受到报复的环境；确保战略和运行目标与合规义务相协同；确保识别不合规并即时采取行动予以纠正或处理；确立和维护问责机制，包括纪律处分和结果；确保按策划的时间间隔（例如：每季度或每月）评审合规管理体系的绩效，以确保合规管理体系实现其目标；确保合规绩效与人员绩效考核挂钩。合规团队合规团队可包括首席合规官/合规负责人、合规归口管理部门（法律事务部门、风险防控部门）、业务管理部门等；合规团队宜拥有权限、地位和独立性。同时合规团队会与管理层一起合作。合规团队应负责合规管理体系的运行，包括：推进识别合规义务；编制合规风险评估文件（见4.6）；使合规管理体系与合规目标保持一致；监视和测量合规绩效；分析和评价合规管理体系的绩效，以确认是否需要采取纠正措施；确立合规报告和文件化制度；确保按策划的时间冋隔对合规管理体系进行评审（见9.2和9.3）；确立提出疑虑和确保疑虑得到解决的制度。合规管理团队的主要职责除了上面列示的内容，还包括以下内容。研究起草合规管理计划、基本制度和具体制度规定；持续关注合规义务的变化情况，组织开展合规风险识别和预警，参与组织重大事项的合规审查和风险应对；组织开展合规检查与考核，对制度和流程进行合规评价，督促整改违规行为并持续改进；指导所属单位或部门的合规管理工作；受理职责范围内的违规举报，组织或参与对违规事件的调查，并提出处理建议；组织或协助业务部门、人力资源部门开展合规培训。合规团队应监督：履行已识别的合规义务的职责在整个组织内得到适当分配；合规义务与方针、过程和程序的整合；所有相关人员按要求接受培训；确立合规绩效指标。合规团队应：使人员可获得与合规方针、过程和程序有关的资源；就合规相关事项向组织提供建议。注：合规团队的特定职责并不免除其他人员的合规责任。组织应确保合规团队能接触：高级决策者，并有机会在决策早期提出建议；组织的所有层级；所有人员、成文信息和所需的数据；专家关于相关法律、法规、准则和组织标准提出的建议。管理者所有管理者都在合规管理体系方面发挥作用。管理者应通过以下方式对其职责范围内的合规工作负责：配合和支持合规团队，并鼓励人员也这么做；确保在其控制下的所有人员都遵守组织的合规义务、方针、过程和程序；识别其运行中的合规风险并进行沟通；在其职责范围内将合规义务融入现有的业务实践和程序；参加并协助合规培训活动；培养人员的合规意识，指导他们满足培训和能力要求；鼓励并支持人员提出合规疑虑，并防止任何形式的报复；根据要求积极参与合规相关事件和事项的管理、解决；确保一经确认需要采取纠正措施时，适当的纠正措施能得到推荐和实施。工作人员所有工作人员应：了解自己的合规职责并有效地执行这些职责;遵守组织的合规义务、方针、过程和程序；根据要求参加培训（包括企业内部举办的合规培训和外部举办的合规培训）;应积极主动地洞察不足与改进，报告合规疑虑、问题和漏洞，以促进合规管理体系的绩效。合规风险评估合规风险：组织及其员工因不合规行为，引发法律责任、受到相关处罚、造成经济或声誉损失及其他负面影响的可能性。合规风险包括合规风险源、风险事件、合规目标、合规风险影响四个要素。合规风险评估概述合规风险评估作用：合规风险评估构成了合规管理体系实施的基础，也是分配适当和充足的资源和过程，以便对已识别的合规风险进行管理的基础；有助于组织集中主要注意力和资源优先处理更高级别风险，最终覆盖所有合规风险；合规风险评估基本过程：组织应评估（识别、分析和评价）其合规风险，基本过程如图3：风险评估基本流程图。合规风险评估两个阶段：包括初始全面风险评估和定期评估。初始全面风险评估：风险评估涉及将组织能接受的合规风险水平与合规方针中设定的合规风险水平进行比较；定期评估：风险是不断变化的，组织应定期评估合规风险，并在组织环境发生重大变化时进行评估。发生下列情形时，应对合规风险进行周期性再评估：新的或变化的活动、产品或服务；组织结构或战略变化；重大的外部环境变化，如金融经济环境、市场条件、债务和客户关系；合规义务（如新的法治合规要求和法治合规承诺）变更；并购；发生法律诉讼、投诉、行政处罚、产品查封下架、行业禁入等现象；不合规（即使是单一的不合规事件也能构成情况的实质变化）和近乎不合规。合规风险评估的详细程度和水平：这取决于组织的风险情况、环境、规模和目标以及组织的风险评估能力，并能随着具体的细分领域（如：环境、财务、社会）变化。形成成文信息：组织应保留有关合规风险评估和应对合规风险措施的成文信息。合规风险评估的实施合规风险识别；识别范围：除了评估组织内部的合规风险，还要评估与外包过程及第三方过程相关的合规风险；合规风险识别的方法合规义务决定合规风险。先识别合规义务，然后将其合规义务与活动、产品、服务以及运行的相关方面关联，来识别合规风险；基于合规义务和合规目标，从不同领域、不同维度全面识别组织可能面临的合规风险。合规风险识别包括合规风险源的识别和合规风险情况的界定；定期识别合规风险源：根据部门职能职责、岗位职责和不同类型的组织活动，识别各部门、职能和不同类型的组织活动中的合规风险源，形成“合规风险源清单”；合规风险情况的界定：界定每个合规风险源对应的合规风险情况（包括风险事件、风险原因、不遵守组织的合规方针与义务的后果、不合规发生的可能性），形成“合规风险情况清单”。后果可能包括个人和环境伤害、经济损失、声誉受损、丧失经营许可、丧失机会和巨大成本、行政管理变更以及民事和刑事责任等；描述这些风险的风险源、风险事件、风险原因及后果，建立“合规风险清单”，包括合规风险点的描述、合规风险成因的分析（合规风险源分析）、合规风险影响（风险发生后果分析和风险发生可能性分析）等内容。合规风险分类：包括固有合规风险和剰余合规风险。固有合规风险：指组织在未采取任何相应合规风险处理措施的非受控状态下所面临的全部合规风险，固有合规定风险示例；企业设呦报嘲不谤风险;出资、增资、减资法律风险；股东主体与权益法律风险;董事、监事、高管人员及股东会、董事会、监事会法律风险；;股权转让、并购重组法律风险;业务经营法律风险;财务与税务法律风险；合同管理法律风险;重大资产管理法律风险;投融资与担保法律风险；人力资源管理风险;产品质量与安全生产法律风险；环境保护法律风险；关联交易与同业竞争法律风险；知识产权法律风险;知识产权和商业秘密法律风险;企业刑事法律风险；企业网络安全与数据法律风险;企业反贿赂法律风险;企业反垄断法律风险;诉讼、仲裁、行政法律风险；企业解散法律风险。剩余合规风险是指组织现有的合规风险处理措施无法有效控制的合规风险。合规风险分析（分析已识别的风险）：组织应结合不合规的根本原因、来源、后果及其发生的可能性和已有的控制措施，从合规风险发生的可能性和潜在后果的影响程度来综合评估各个合规风险，并对所有的合规风险进行排序，必要时，可以绘制组织的合规风险分布图。合规风险评价（评价风险的重要性）：根据各个合规风险的大小和重要性，或者组织所制订的年度合规计划的重点工作领域，对合规风险进行分级，必要时，可以绘制组织的合规风险热力图；编制合规风险评估报告：根据上述评估结果，提出相应的合规风险应对措施和建议，帮助组织有效地应对合规风险，然后编制合规风险评估报告，必要时，可以编制组织的合规风险控制矩阵。策划应对风险和机遇的措施合规管理体系策划的目的;在策划合规管理体系时，组织应根据4.1提及的事项和4.2提及的需求，并确定需要应对的风险和机遇，以便：确保合规管理体系能够实现预期结果；预防或减少不利影响；实现持续改进。合规管理体系策划的步骤第1步：识别合规义务：考虑组织所处的内外部环境、相关方的需求和期望、合规管理体系的范围等，识别组织的合规义务第2步：风规风险评估：根据合规义务识别结果，识别、分析与合规义务相对应的合规风险，并对风险进行评估第3步：策划应对风险和机遇的措施：根据合规风险评估结果，着手合规风险的应对工作，制定合规风险应对措施，将相关应对措施纳入合规管理体系并加以实施，将被认为对合规管理体系必要或有益的行动融入业务活动和过程中，使组织能从有助于合规的有利条件或环境中获益第4步：评估合规风险应对措施的有效性：包括监视、测量技术、内部审核或管理评审等合规管理体系策划的输入在策划合规管理体系时，组织应考虑以下输入：组织所处的内外部环境、相关方的需求和期望、合规管理体系的范围；合规目标（见6.2）；经识别的合规义务（见4.5）；合规风险评估结果（见4.6）。应对风险和机遇的措施的策划组织应策划以下活动：应对这些风险和机遇的措施；根据合规风险类型制定和选择合规风险应对方案，制定合规风险的应对措施，同时应注意针对风险水平合理分配资源；对于可能造成重大资产损失或严重不良影响的重大合规风险事件，应制定和实施合规应急预案，最大程度化解风险、降低损失。应对措施合规风险应对措施具体内容1事前控制措施1.1岗位职责分拆，直接降低风险(特定措施)针对超高风险等级的岗位，可以将该岗位里的某一个、两个职责移到另一个岗位，直接降低该岗位的固有风险1.2设定风险预警阈值，到线预警可以设定工作事项实施在一定时间区间内，违反制度规定的次数上限，比如事不过三，违反制度出现3次为上限，达到3次上限，即启动由公司内部纪检监察等部门落实组织的专门监督检查1.3设定业务管理控制目标，目标监测可以设定工作事项所在的业务流程上的管理控制目标，也叫考核目标。当目标没有实现的时候，业务主管部门落实应查找目标没有实现的原因，并排除因为贿赂舞弊原因引起的目标未实现情形，主要防控那些引起业务管理控制目标都不能够实现的重大贿赂舞弊事件发生1.4场景投入监控设施(特定措施)比如是看管库房，就可以装监控摄像头。比如收购原材料现场可以安装监控摄像头1.5业务过程透明化措施，如全程留痕、全程记录模板等制定工作表单模板，将权力行使全过程均记录下来，记录的方式可以是机器自动记录，可以是全程摄像。也可以是文字、数字记录等1.6工作事项分解、多人制衡可以将工作事项再细分，由2人，或多人前后配合完成，或者不再分解一件事由2人，或多人同时见证完成1.7制定利益分配、资源调配程序和分由于该工作事项的实施结果是将利益分配给某人。或将资源调配给某方因此要把这种是否分配给某人、是否调配给某方的“评判工作标准”明确最大限度地避免执行人自立标准、主观评判、臆断的“评判工作标准”客观性，或最大限度地提高“否”的“评判工作标准”客观性。同时，明确行使权力的时间长度.并考虑是否适应再增加复核、1.8制定工作方式方法由于该工作事项的实施结果是将利益分配给某人，或将资源调配给某方因此要把这种利益分配给某人、资源调配给某方的“工作方式方法”明确最大限度地避免执行人主观地做。包括明确工作依据、组织形式、方法技巧施)涉及利益管理活动的工作事项，比如出纳管理现金业务事项，究竟具体如何管理。应很仔细地描述。以防止现金管理舞弊、贪污等问题。这样的具体管理方法包括：明确利益活动管理的工作日记录：明确交接班具体规则和标准；明确盘点工作规范等1.10制定利益冲突应当规定清楚如何处理出现的利益冲突、比如在出现利益冲突时，明确“当事人自我申报，填写《利益冲突事项回避申请表》1.11签订廉洁承诺书，或廉洁协议书核心是明确廉洁责任，一且发生，采取对应的处罚标准，就可以廉洁承谱书或廉洁协议书为凭据1.12教育可以建立教育制度，并且定期教育提醒，比如参观监狱等1.13采取物理隔离技术(特定措施)这里主要是针对关键信息、利益管理活动，可以将其锁在某个空间，防人员接触到2.1增加专业性复核环节业务人员把事情做完后，或中间环节，另一个同样专业的人员再复核一次认为业务做正确了后。再继续进行后面的工作。与1.7配合使用2.2增加嵌入式监督环节业务人员把事情做完后。或中间环节，另一个专门从事监督的人员监督分析是否存在舞弊、作假的情形，排除后，再继续进行后面的工作。与1.7配合使用。2.3不定期突击审计纳入审计内容范围，审计人员用专业的审计方法，对其工作过的事项进行审计，并且采取不事先通知就突然审计的方式2.4不定期监督检查纳入监督内容范围，监督人员用专业的监督方法，对其工作过的事项进行监督，看其是否存在舞弊、作假和贿赂、腐败的情况，并且是采取不事先通知就突然去监督检查的方式2.5定期强制轮岗纳入人力部门落实的定期轮岗的范围2.6定期控制目标考核考核部门落实每年年底或半年一次的目标考核2.7定期在特定范围公示、公开，收集意见将过去一段时间的工作事项实施情况，向工作事项的潜在利益相关方公示出来，公布信息收集渠道，接受他们的质询和举报3.1实施离岗责任审计将该岗位纳入例行审计覆盖范围，该岗位的人调离该岗位时，应对其自上岗以来的工作进行离岗审计3.2定期专项审计将该岗位纳入审计范围，对该岗位某段时间的工作进行阶段审计评价3.3建立违规问责标准将该工作事项的违规情形，根据严重程度不同，明确不同的处罚标准b） 如何：将措施纳入合规管理体系过程（业务活动和过程）并实施；评价合规风险应对措施的有效性。合规目标及其实现的策划组织应在相关职能和层级上确立合规目标。合规目标应：与合规方针一致：为设定合规目标提供框架；可测量（如果可行）：目标应以一种可测量其结果的方式来明确；体现适用的要求；予以监视；予以沟通；必要时予以更新；作为成文信息可获取。合规目标示例通过合规管理体系的科学设计和高效运行，营造合规文化，促进全员合规、全业务合规，系统规避合规风险，为建设世界一流企业、实现基业长青奠定合规基础。策划如何实现合规目标时，组织应确定：要做什么，需要什么资源，由谁负责，何时完成，如何评价结果。What要做什么策划确定实现目标所需的行动或措施由谁负责责任人：分配治理机构和最高管理者、合规团队、管理者及工作人员合规职责和权限When何时完成相关的时间表：对应开始时间、持续多久等如何评价结果根据要求定期监视、记录、评估和更新目标的状态和进度Howmuch需要什么资源对应具体需要多少人、多少钱等针对变更的策划合规管理体系的变更意味着在合规要求、合规义务、合规风险、合规资源等方面发生改变，这将直接影响组织合规的有效性。当组织确定需要变更合規管理体系时，应对这些变更的实施进行策划。在策划合规管理体系变更时应考虑：变更目的及其潜在后果；合规管理体系设计和运行的有效性；足够的资源的可获取性；职责和权限的分配或再分配。当对合规管理体系作出变更时，组织宜考虑这些变更对合规管理体系、运行、资源可用性、合规风险评估、组织的合规义务及其持续改进过程的影响。支持资源为建立、实施、维护和持续改进合规管理体系，组织应确定并提供所需的资源。资源包括财务、人力和技术资源，以及获得外部咨洵和专业技能的机会、组织基础设施、职业发展情况、技术和关于合规管理与法律义务的同时期参考材料。合规资源应与组织规模和业务复杂性相匹配。能力总则组织应确定在其控制下工作、影响合规绩效的人员所需的能力；“能力”指运用知识和技能实现预期结果的本领。能力需要知识、经验和技能，以便人员能以有效的方式履行其职能;组织应为所有人员确定完成其任务所需的能力；组织应确立能力证据（例如：岗位描述、职位说明），以便担任该职位时进行考量。组织应确保这些人员在适当的教育、培训或经验的基础上胜任工作；适用时，组织应采取措施以便确保维持现有能力和根据需要获得新的能力，适当的措施可能包括，例如：向现有人员提供培训;对员工的工作或操作进行指导；对不称职的员工进行重新分配工作；聘用或劳务雇用能够胜任的人员。组织应评价所采取措施的有效性；适当的成文信息应作为能力证据可获取。聘用过程组织应针对其所有人员开发、确立、实施和保持以下过程：在聘用条件中要求被聘用人员遵守组织的合规义务、方针、过程和程序等；在聘用后的适当期间内，新聘用人员能获得合规方针的副本或者有渠道获得合规方针，并获得关于合规方针的培训；制定违反合规义务、方针的处理程序，对于违反组织合规义务、方针、过程和程序的人员，应采取适当的纪律处分。作为聘用过程的一部分，组织应结合岗位和人员可能引发的合规风险，在任何聘用、调动和晋升之前按要求进行尽职调査。在聘用或提拔现有关键职能的人员之前，组织宜进行聘用、调动和晋升前前评估(包括尽职调查)，包括推荐信或者背景调查。结合合规管理重点人员的合规风险，在员工聘用、调动和晋升前进行尽职调查将合规管理作为管理人员、重点岗位人员和新入职人员培训必修内容，在培训中强调合规和组织价值观；在员工入职后，为员工提供合规相关制度文件的副本或其获取渠道，并提供相关培训；组织应实施对绩效目标、绩效奖金和其他激励措施进行定期评审的过程，以验证是否有适当的措施来防止鼓励不合规。培训组织应定期对有关人员进行培训，培训应在聘用开始时和组织策划的时间间隔实施。将合规培训纳入员工培训计划；开展多种形式的合规培训，必要时可聘请外部专家对员工进行培训。及时评估培训对员工行为或态度的影响程度，以不断优化调整培训形式；合规培训的内容包括但不限于法律法规、行为准则、合规文化、合规制度、典型案例。培训应：a） 适合于人员的岗位及其面临的合规风险；针对不同培训对象开展有针对性的合规培训，与员工的岗位及其面临的合规风险相适应；b） 进行有效性评估；进行有效性评估，企业可在员工接受培训后适时安排测评，确保员工理解、遵循合规方针、目标和要求；c） 进行定期评审；依据外部监管环境变化与合规义务变化，不断更新合规培训内容。培训记录应作为成文信息予以保留。意识对所有人员和有关的相关方开展意识提升活动，不断提高其合规意识，建立浓厚的合规氛围。在组织控制下工作的人员应知道：合规方针；他们对合规管理体系有效性的贡献，包括改善合规绩效带来的效益；不符合合规管理体系要求的后果；提出合规疑虑的方法和程序（见8.3）；工作岗位的合规义务与合规方针的关系；支持合规文化的重要性。提高合规意识的方法包括但不限于：培训或教育（面对面或在线）；与最高管理者沟通；易于参照执行和容易获得的参考资料；定期更新合规问题。沟通沟通可以促进组织内各职能部门和层级间的信息交流，加强理解，提高合规管理体系的有效性。组织应确定与合规管理体系有关的内部和外部沟通，并确保沟通效果。沟通包括：a） 沟通什么（如合规管理方针、合规目标、合规文化、合规义务、合规管理制度等）；b） 何时沟通：确定沟通的时机和条件；c） 与谁沟通（确定需要沟通的有关内外各方，如组织的各层级和职能、外部监管机构、顾客、承包商、供应商、投资者、应急服务机构、非政府组织和周遭人士等）；d） 如何沟通（如网站和电子邮件、新闻稿、广告和定期简报、年度（或其他定期）报告、座谈、非正式讨论、开放日、焦点小组、社区对话、参与社区活动和热线电话等）。组织应：沟通应遵守透明、适当、可信、响应、可接触和清晰的原则；结合沟通需求，综合考虑沟通的多样性和潜在障碍；确立沟通的过程，确保结合了相关方的意见；在确立沟通过程时：•应将其合规文化、合规目标和义务纳入沟通内容；•应确保所沟通的合规信息与来源于合规管理体系的信息一致且可信；对与合规管理体系相关的沟通内容进行冋应；必要时，保留成文信息作为其沟通的证据；在组织的各层级和职能内部沟通与合规管理体系有关的信息，必要时包括合规管理体系的变更；确保人员能在沟通过程中为合规管理体系的持续改进做出贡献（包括提出合规管理体系改进建议）；确保并鼓励员工在沟通过程中就合规事项提出疑虑（见8.3），并明确告知员工合规报告途径；通过组织确立的沟通过程，对外沟通包括其合规文化、合规目标和义务在内的与合规管理体系相关的信息。成文信息总则组织合规管理体系成文信息应包括：a） 本标准要求的成文信息；b） 组织确定的，对于合规管理体系有效性所必需的成文信息。合规管理体系成文信息示例：组织的合规方针和程序；合规管理体系的目标、指标、结构和内容；合规岗位和职责的分配；相关合规义务的登记册（或清单）；合规风险登记册（或清单），并根据合规风险评估过程确定相关措施的优先级；合规审查意见、合规检查原始文件；不合规、近乎不合规和调査的记录；与监管报告要求有关的事项；年度合规计划；人员记录（包括但不限于培训记录）；审核过程、审核时间表及相关审核记录。不同組织的合规管理体系成文信息的程度可能不同，取决于：组织的规模，以及活动、过程、产品和服务的类型；过程及其相互作用的复杂程度；适用的相关方和法律法规的要求；过程的风险程度及应对措施；组织的知识及人员的能力。成文信息的创建和更新在创建和更新成文信息时，组织应确保适当的：标识和说明[如标题、日期、作者、索引编号、版本、修订历史和权限（或其中两种或以上的组合）]；组织应建立文件标识，明确文件修订标识方法；在编辑、评审和批准文件时确保文件修订标识符合要求；对于现行和已发放文件确保其修订状态或修订过程易于识别，如采用受控文件清单、修订一览表及标识等形式对文件修订状态进行控制；形式（例如，语言文字、软件版本、图形）和载体（例如，纸质的、电子的）；（由指定的具有权限的人员）评审和批准，以保持适宜性和充分性，即文件的内容适合于具体情况，且无漏项。成文信息的控制应控制合规管理体系和本标准要求的成文信息，以确保其：在需要的场合和时机，所有相关领域、部门、过程的负责人等都均可获得这些信息并适用；b）得到充分保护（例如，防止泄密、不当使用或完整性受损）。为了控制成文信息，组织应开展以下适用的活动：分发、访问、检索和使用；注：访问可能意味看只允许查看成文信息的权限，或者允许并授权査看和变更成文信息的权限。存储和防护，包括保持易读性；对变更的控制（例如，版本控制）：组织应确保文件的更改得到原审批部门或指定的其他审批部门的评审和批准，该被指定的审批部门应能获取用于做出决定的相关背景资料；保留和处置：应对所保留的、作为符合性证据的成文信息应予以保护，防止非预期的更改。成文信息的保留期限应满足顾客要求和法律法规要求。防止作废文件的非预期使用，将过期作废的文件从发放和使用场所及时收回。若由于法律、法规或其他原因而保留作废文件，应对其进行适当的标识，隔离存放，防止误用。对于组织确定的，策划和运行合规管理体系必要的、来自外部的成文信息，应必要时进行识别，并予以控制。运行运行的策划和控制为满足要求和实施第6章确定的措施（包括实现合规目标的、履行合规义务、应对合规风险和机遇的措施），组织应通过以下方式策划、实施和控制所需的过程：对过程确立准则制定合规管理基本制度（外法内化）：将外部合规要求转化为内部规章制度，明确总体目标、机构职责、运行机制、考核评价、监督问责等内容；针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域，以及合规风险较高的业务，制定合规管理具体制度或者专项指南（见《附录A：重点领域合规管理指引》）；针对涉外业务重要领域，根据所在国家（地区）法律法规等，结合实际制定专项合规管理制度。合规管理准则示例合规管理基本制度：确立合规行为准则，适用于企业及其全体员工；重要合规管理办法：规定具体合规管理行为规范，适用于企业及其全体员工；合规管理工作流程：根据合规管理基本制度和重要合规管理办法，明确合规行为准则和具体合规管理行为规范的执行程序，即合规管理各参与方履行职责的程序，适用于合规管理基本制度和重要合规管理体系的适用范围；合规管理工具：合规管理工作流程中使用的合规管理辅助手段，包括管理表单、问卷、信息化工具等；合规工作方案：根据合规管理制度和实际需要制定的合规管理体系建设方案。按照准则对过程实施控制，例如：合规审查：建立健全合规审查机制，明确审查范围、流程和标准，将合规审查作为必经程序嵌入经营管理流程，确保进行重大事项决策、规章制度制定、重要合同签订、“三重一大”事项重大项目运营等经营管理活动前，未经合规审查不得实施；合规检查：合规管理部门不定期对业务部门的业务活动合规性开展检查；合规咨询：建立合规咨询渠道，确保任何员工在企业经营管理行为中对涉及合规的问题感到疑虑时，可向合规管理部门（法律事务部门）进行咨询并能及时得到回应。对于复杂或专业性强且存在重大合规风险的事项，合规管理部门（法律事务部门）应听取总法律顾问意见，或委托专业机构召开论证会后再形成审核意见；利益冲突管理：实施利益冲突的管理方法包括：采取信息隔离墙、利益冲突回避等措施防范利益冲突事件的发生；存在利益冲突的业务部门的工作人员不得兼任；明确高级管理人员的职责权限，同一高级管理人员原则上不同时分管两个或两个以上存在利益冲突的业务部门；对于已经采取必要措施，仍难以避免利益冲突的，应当对实际存在的和潜在的利益冲突进行充分披露。合规风险预警：在日常经营管理过程中,通过一系列的风险监测、评估和预警手段,及时发现潜在的合规风险,并采取相应的措施进行应对和处理,以保障组织的合规经营。运行控制程度在缺少与业务过程有关的运营控制可能导致偏离合规方针或违反合规义务的情况下，需要对运行进行控制；运行控制范围包括组织所有业务、活动和过程（例如：生产、安装、服务、维护）或承包商、供应商或销售商;控制的程度取决于几个因素，如所履行的职能的重要性或复杂性、不合规的潜在后果、相关的或可用的技术支持。应突出对重点领域或业务）、关键过程或环节和重要人员或岗位的管理。合规管理重点领域和环节：国有企业合规管理重点领域和环节示例重点领域重点环节合规运行控制要求描述针对企业内部业务（22个重点环节）1.公司治理全面落实中国特色现代企业制度和“三重一大”决策制度，强化制度文件的合规审查，保障党委会、董事会、经理层等依据法律规定正确履职，实现党的领导与公司治理有效融合2.合同管理重视合同全过程管理，严抓合同立项环节，审慎选择交易对象并对其进行合规审查；完善合同谈判与起草工作的多部门合作，严格执行合同审核流程协调管理；重视合同履行关键环节把控，关注合同相对方履约情况，及时妥善处理合同纠纷；禁止签署违法违规合同、签署可能导致国有权益受损的合同3.市场交易建立健全招标采购、商贸业务等交易管理制度，严格履行决策程序，突出反欺诈、反商业贿赂、反垄断、

反不正当竟争等合规要求；加强对商贸及供应链企业合规管理，遵循真实贸易原则，不得违规开展融资性贸易或“空转”“走单”等虚假贸易业务；加强对质押融资、存货分类、资金收讫、客户信用、合同管理等重点环节风险控制，切实防范商贸业务风险4.投资管理严格执行国家、省市有关产业政策和市国资委投资监管制度，规范企业投资内部评审管理，建立健全投资项目投前、投中、投后管理制度，完善投资项目评审及风险管控机制，防止违规投资行为，强化违规投资责任追究5.产权管理加强国有资产基础管理，规范产权登记、资产评估、资产交易等事项操作程序，强化闲置资产处置管理，防止国有资产流失；加强混合所有制企业分类监管、优化治理经营机制、强化审计及后评价，不得借混合所有制改革之名行挂靠之实，确保混合所有制改革依法合规6.资本运作进一步规范上市公司国有股权变动行为，加强公司治理和内部控制；发债企业应保证披露信息真实、准确、完整，提升信息披露质量；规范基金管理，健全涵盖“募投管退”全流程的基金管理机制，规范市属国有企业私募股权投资基金行为，有效防范投资风险7.资金管理依法合规筹集和使用资金，发挥财务监管功能，强化对企业财务工作的全方位监管，优化经营性净现金流，提升资金管理水平，提高资金使用效率，保证资金有效流动，降低资金管控风险8.债务风险健全企业债务风险监测、评估、预警、处置机制，“一企一策”设置资产负债率预警线并强化刚性约束；加强企业融资成本管控，通过合理搭配长短期债务、低息债务置换高息债务等方式，持续降低企业财务成本9.融资担保建立健全融资担保管理制度，严格限制融资担保对象，控制超股比融资担保，严格按照持股比例对子企业和参股企业提供担保10.财务税收健全完善财务内部控制体系，严格执行财务事项操作和审批流程，严守财经纪律，强化依法纳税意识，严格遵守税收法律政策11.工程建设建立健全工程建设项目管理体系，突出市场拓展、施工企业内部项目分配、项目实施等重点环节，强化对工程项目承接、分配、质量、进度、安全和建设资金等全过程管控，规范履行施工、监理、设计、合同等管理，保障建设项目依法合规实施12.安全环保严格执行国家安全生产、环境保护法律法规，完善企业生产规范和安全环保制度，落实企业安全环保主体责任，加强监督检查，及时发现并整改违规问题13.产品质量完善质量体系，加强过程控制，严把各环节质量关，提供优质产品和服务14.劳动用工严格遵守劳动法律法规，健全完善市场化选聘和劳动合同管理制度，依法规范招聘及劳动合同签订、履行、变更和解除等事项，加强过程合规审查，强化源头管控，切实保障企业用工，维护劳动者合法权益15.知识产权建立健全知识产权保护体系，及时申请注册知识产权成果，规范实施许可和转让，加强对商业秘密和商标的保护，依法规范使用他人知识产权，防止侵权行为16.信息安全使用安全可靠的网络关键设备和产品，设置与所处行业和规模相匹配的网络安全保障措施，保护自身权益不受侵害；建立健全信息公开及披露制度，采取有效保护措施，防止商业信息与内幕信息泄露，保护业务伙伴和客户的隐私信息；依法合规规范采集、处理、保存和使用个人信息17.数据合规加强企业数据内部管理，确保数据来源合法合规，遵守数据内外部共享传输利用规则，确保数据收集、

处理、保存、便用、传输等依法合规和安全保密18.商业伙伴对重要商业伙伴加强合规管理，可通过签订合规协议、要求作出合规承诺等方式，促进商业伙伴行为合规19.人员管理增强管理人员合规意识，认真履行合规管理职责，强化合规考核与监督问责；加强对重要风险岗位人员管理，定期调整交流，加强监督检查和违规追贵；加强对境外人员管理，将合规培训作为境外人员上岗、任职的必备条件20.礼品与商务接待禁止超规格、超标准或违反法律法规和政策规定接受或送出礼品、接受或组织商务宴请或其他形式接待，维护正常商业关系与市场秩序21.社会捐赠与赞助严格落实审批程序，防止因不当捐赠与赞助导致违反公平竞争，造成社会负面评价与不良效果22.重点环节合规管理制度制定环节：加强对规章制度、改革方案等重要文件的合规审查，确保符合法律法规和监管要求；经营决策环节：严格落实“三重一大”制度，加强对决策事项合规论证把关，保障决策依法合规；生产运营环节：严格执行合规制度，加强重点流程监督检查，确保生产运营照章办事、按章操作针对涉外业务（4个重点环节）1.跨境贸易开展跨境货物和服务贸易，应当全面掌握跨境监管政策，确保经营活动全流程、全方位合规将跨境贸易合规嵌入企业制度和流程，加强对采购、销售、供应、服务等各个环节的贸易监管和合规管理2.跨境工程建设全面掌握境外投标管理、合同管理、项目履约、劳工权益保护、安全生产、环境保护、连带风险管理等方面的具体要求，确保工程项目全流程、全方位合规3.跨境投融资全面掌握项目所在国家（地区）关于市场准入与行业监管、国家安全审查、外汇监管等方面的具体要求，确保经营活动全流程、全方位合规4.跨境数据安全开展跨境数据收集、处理、保存、使用、传输等业务，应当确保数据安全满足相关监管要求，通过必要的安全评估，履行网络安全报告义务等，确保数据活动全流程、全方位合规合规重点人员主要是管理人员、重要风险岗位人员、海外人员、新入职人员以及其他需要重点关注的人员。国有企业合规管理重点人员示例管理人员促进管理人员切实提高合规意识，带头依法依规开展经营管理活动，认真履行承担的合规管理职责，强化考核与监督问责重要风险岗位人员根据合规风险评估情况明确界定重要风险岗位，有针对性加大培训力度，使重要风险岗位人员熟悉并严格遵守业务涉及的各项合规制度，加强监督检查和违规行为追责；海外人员将合规培训作为海外人员任职、上岗的必备条件，确保遵守我国和所在国法律法规等相关规定及合规要求新入职人员加强员工招聘过程中的合规审查，开展新入职人员合规制度和合规要求专题培训，强化源头管控其他需要重点关注的人员当运行控制失效时，则有必要采取措施来应对一切不期望的结果或影响。成文信息应根据必要程度可获取，以便确认过程已按照策划得到实施;组织应控制已策划的变更，并评审非预期变更的后果，必要时采取措施减轻不利影响;组织业务外包不能免除其合规义务，因此组织应确保与合规管理体系相关的，由外部提供的过程、产品和服务受控;一个设计良好的外包过程宜考虑以下几点：启动和持续的尽职调查；实施适当的控制；进行持续的监视；对法律/合同协议的适当评审；考虑服务水平协议；使用基于本文件认证的第三方。对组织运行的外包不会免除组织的法律责任或合规义务。组织应确保第三方过程得到控制和监视。如果组织活动中使用了第三方或外包过程，组织应对其进行有效的尽职调査，以确保组织对合规的标准和承诺不会降低；在与第三方订立合同时，组织宜实施控制，以确保其活动的采购、运行、业务和其他非财务方面得到适当管理。确立控制和程序组织应实施控制以管理其合规义务和相关合规风险，以确保组织的合规义务得以履行，不合规得以防止、发现和纠正。控制包括：清晰、实用且易于遵守的文件化运行方针、过程、程序和工作指示；系统和例外报告；批准；分离不相容的岗位和职责；自动化过程；年度合规计划；人员绩效计划；合规评估和审核；证实的管理层承诺和模范行为，以及其他促进合规行为的措施；就员工的预期行为（标准、价值观、行为准则）进行积极、公开和频繁的沟通。这些控制应嵌入到组织的正常过程中，并应对这些控制进行维护、定期评审和测试，以确保其持续有效。注：测试控制是指实施经过设计的活动以检验控制是否按照既定目的运行，或者不能被规避，或者切实有效地降低风险的后果或可能性。在开发支持合规管理的程序时，应考虑：将合规义务纳入程序，包括计算机系统、表格、报告系统、合同和其他法律文件；与组织中其他评审和控制职能的一致性；持续监视和测量；评估和报告（包括管理监督），以确保雇员遵守程序；识别、报告和上报针对不合规的情况与不合规的风险的具体安排。提出疑虑建立合规疑虑报告过程的目的组织应确立、实施并保持一个报告过程，通过建立规范的合规疑虑、问题报告(举报)流程和渠道，建立组织人员愿意报告、报告合规问题、提出合规疑虑的鼓励环境，以鼓励和促进（在有合理理由相信信息真实的情况下）报告试图、涉嫌或实际存在的违反合规方针或合规义务的行为，有助于达到及时发现合规偏离、及时纠正的目的。合规疑虑报告的范围以下情形属于鼓励提出合规疑虑报告的范围:当发现有人企图以不合规的方案、行为预案、计划去行事时，发现的人员可以报告;怀疑工作方案、行为预案、计划，或工作行为是不合规的，发现的人员可以举报;实际已经发生违反合规方针或合规义务的行为，发现的人员可以举报。合规疑虑报告的管理过程建立在整个组织内可见并可访问的合规疑虑报告渠道，如设立违规举报平台，公布举报电话、邮箱或者信箱，相关部门按照职责权限受理违规举报，并就举报问题进行调查和处理；对报告及其处理予以保密：对举报人的身份和举报事项严格保密，对举报属实的举报人可以给予适当奖励；；报告者可以不署名，采取匿名报告；对举报内容和举报人进行保密，使其不会受到任何形式的打击报复；当事人员、责任人员能够及时收到建议，以方便其及时纠正。组织应确保所有人员了解报告程序、了解其自身的权利和保障机制，并能运用相关程序；在适当情况下，可以向治理机构和最高管理者直接上报，不会被中间环节的程序截留举报内容。调查过程调查过程的目的：组织应开发、确立、实施并保持过程，以评估、评价、调査有关涉嫌或实际的不合规情形的报告，并做出结论；有效的调查机制能确认不当行为的根源、合规管理体系的漏洞和责任缺失的原因，包括管理者、最髙管理者和治理机构之间的责任缺失。制定调查方案：合规调查前应制定适当的调查方案，包括但不限于调查范围、调查程序、调查方法等；调查实施合规调查可采用内部调查、外聘第三方调查等调查形式，依据事项的复杂程度与严重程度，邀请法务、审计人员、外部法律专家、律师等参与调查；最高管理者或治理机构应任命或授权个人或小组开展调查，调査应由具备相应能力的人员独立进行，且避免利益冲突，确保能公平、公正的做出决定；合规调查过程中保障被调查对象的合法权益;调查小组应独立、公正地进行调查，随时保持内部沟通和与举报人的沟通，定期报告调查结果，确保信息更新和共享，保留调查工作记录和相关证据材料以备追溯，并注重调查过程中的信息保护。形成调查报告在合规调查实施后，调查小组应当及时制作并形成书面的调查报告，内容主要包括：案件线索信息、调查前期的审批流程、合规调查过程及结果、相关证据、调查结论及处理建议等。调查结果处理合规调查结束后，依据违规处理与问责机制对违规行为进行问责处理；组织应必要时利用调査结果改进合规管理体系（见第10章）；组织应定期向治理机构或最高管理者报告调査的次数和结果。组织应保留有关调査的成文信息。绩效评价监视、测量、分析和评价总则监视和测量的定义：监视可包含持续的检查、监督、严格观察或确定状态，以便识别所要求的或所期望的绩效水平的变化，监视不一定使用监视设备。监视是为了评估合规管理体系的有效性和组织的合规绩效而收集信息的过程；测量通常是指使用特定设备定量或定性地确定被测量对象性质的过程，通常涉及为目标或事件赋值；监视和测量即可定量，也可定性；监视和测量应为分析和评价提供所需的数据和信息。监视和测量可包括：定量或定性的监视和测量；主动性测量（即监视符合性）与被动性绩效测量（能使得趋势得到监视）；例行或常规的监督检查、专项监督检查和综合监督检查。组织应对合规管理体系有效性和合规绩效进行监视（可行时进行测量），对监视和测量的结果进行分析和评价，合理地运用分析和评价结果，以确保实现合规目标。组织应确定：需要监视和测量什么；合规管理体系的监视通常包括：培训的有效性；控制的有效性（例如通过抽样测试的结果）；有效分配履行合规义务的职责；合规义务的时效性；解决先前识别的合规缺陷的有效性；未按计划进行内部合规检査的情况；针对合规风险对业务战略进行评审，以便适当更新。合规绩效监视通常包括：不合规和“近乎不合规”（即未造成负面影响的事件）；未履行合规义务的情况；未实现目标的情况；合规文化现状；确立领先的和滞后的指标。适用的监视、测量、分析和评价的方法，以确保有效的结果。适宜时，组织可考虑利用信息化工具和手段进行监视、测量、分析和评价；何时实施监视和测量；何时对监视和测量的结果进行分析和评价。成文信息应作为结果证据可获取。组织应评价合规绩效和合规管理体系的有效性。合规绩效的反馈来源来源包括：人员（例如：通过举报工具、求助热线、反馈、意见箱）；顾客（例如：通过投诉处理系统）；第三方；供应商；承包商；监管机构；—过程控制日志和活动记录（包括电子版和纸质版）。合规绩效反馈包括：合规问题；不合规和合规疑虑；新出现的合规问题；持续的监管和组织的变更；对合规有效性和绩效的评论。组织应确立、实施、评价和保持能够使其从多种渠道寻求并获取合规绩效反馈的过程；信息收集：收集信息的方法多种多样，包括（但不限于）：出现或识别出不合规的特别报告；通过热线、投诉和其他反馈渠道（包括举报）获得的信息；非正式讨论、研讨会和分组座谈会；抽样和诚信试验，如神秘购物；感知调査的结果；直接观察、正式访谈、设施巡察和检査；审核和评审；相关方质询、培训需要和培训期间的反馈（特别是员工的反馈）。信息分类、整理与汇总,信息分类类目包括：来源；部门；不合规描述；义务类别；指标；严重性；实际或潜在影响。信息分析：组织应对信息进行分析和严格评估，发现以下问题并确认不合规的根本原因，确保采取适当的措施，并在4.6要求的定期风险评估中反映上述信息。组织合规管理中存在的问题;不合规事件和合规疑虑;合规管理中新出现的问题;监管环境和组织内部发生的变化;他人就本组织合规绩效和合规管理体系有效性的看法。指标的开发组织应开发、实施和保持一套适当的指标，以帮助组织评价其合规目标的实现情况并评估合规绩效。指标项目包括：经过有效培训的员工比例；监管机构介入的频率；反馈机制的使用（包括用户对那些机制价值的评论）。反应性指标包括：按类型、区域和频率报告的已识别的问题和不合规；不合规的后果，包括对経济补偿、罚款和其他处罚、补救成本、声誉或员工时间成本影响的估价；报告和采取纠正措施所花费的时间。预测性指标包括：以随着时间推移目标的潜在损失/收益（收入、健康和安全、声誉等）测量的不合规的风险；不合规趋势（基于过去趋势的预期合规率）。合规报告组织应确立、实施和保持合规报告的过程，以确保：界定适当的报告准则；确立定期报告的时间表；实施非常规报告机制以便于临时报告；实施保证信息准确性和完整性的机制和过程；向组织中合适的职能或板块提供准确和完整的信息，以便及时采取预防、纠正和补救措施。合规风险报告人既包括合规管理部门，也包括其他业务部门、职能部门和公司全体员工，报告人应对合规报告的真实性、客观性负责；合规团队向治理机构或最高管理者提交的任何报告内容均应受到充分保护，以防止被修改；业务及职能部门在经营管理活动中发现合规风险，应按有关要求向合规管理部门报告，合规管理部门按要求向最高领导者和决策层报告合规管理情况。当发生性