GB∕T 35770-2022《 合规管理体系 要求及使用指南》之14：“7支持”解读和应用指导材料（雷泽佳编写2024B1）

“7支持”解读和应用指导材料GB∕T35770-2022《合规管理体系要求及使用指南》之14：“7支持”解读和应用指导材料GB∕T35770-2022GB∕T35770-2022《合规管理体系要求及使用指南》7.1资源为建立、实施、维护和持续改进合规管理体系，组织应确定并提供所需的资源。支持资源本条款的目的或意图；通过提供所需要的资源，确保组织提供建立、实施、保持和持续改进合规管理体系及其有效运行所需的资源；确保资源应当以及时和有效的方式提供，适合组织运营和风险控制的需要，合规风险应对不会因资源缺乏而被搁置或受到影响，资源的分配应当考虑。资源相关术语；资源：为了运行和实现目标，组织在需要时可供使用的所有资产，包括人员、资金、设备设施与物资、信息、知识与技术、外部资源等。最高管理者有权在组织内提供资源，运用资源确保管理体系有效实施，达到目标；资源既可以是有形的，也可以是无形的。资源类别；财务资源：确保有足够的资金支持合规管理体系的建立、运行和改进，包括培训费用、咨询费用、系统维护费用等；人力资源：配备具有合规管理专业知识的人员，并确保他们具备履行职责所需的技能和经验。人力资源的合理安排是体系有效运行的关键；技术资源：提供必要的信息技术、系统工具等支持合规管理活动，如合规管理系统、数据分析工具等，以提高管理效率和准确性；外部资源和专业技能；外部咨询：组织应积极寻求外部专业咨询机构的支持，以获取最新的合规动态、最佳实践和解决方案；专业技能：通过培训、引进人才等方式，确保组织内部具备满足合规管理需求的专业技能。组织基础设施：包括办公设施、信息系统、沟通渠道等，为合规管理体系的运行提供必要的物质和技术支持；职业发展情况：关注员工的职业发展，提供合规管理相关的培训和发展机会，激励员工积极参与合规管理活动，提高整体合规意识和能力；同期参考材料：确保组织能够获取最新的合规管理与法律义务相关的参考材料，如法律法规、行业准则、国际标准等，以便及时调整和完善合规管理体系。资源的确定和提供；资源保障的必要性：合规管理体系的有效建立、实施、维护和持续改进依赖于充足资源的保障。这些资源是体系运行不可或缺的基础；为建立、实施、保持和持续改进合规管理体系，组织应确定并提供所需的资源；在确定资源的过程中，组织可运用基于风险的思维，考虑对资源的提供进行成本收益分析。组织应就所需的资源（包括来自外部的资源）做出决策，并应采取必要的措施以确保提供所需资源；在考虑未来活动时，组织应重视资源的可获得性和适用性。组织应经常评价现有资源的使用情况，以确定改进其用途、优化过程、实施新技术从而降低风险的机会；确定并提供所需的资源应考虑以下资源需求的输入信息相匹配；组织战略；活动、产品或服务的性质和组织规模和业务复杂性；相关方需求和期望（包括合规管理专家的意见和建议）；满足有关合规义务的需要；需要应对的合规风险或风险控制的需要；组织当前和未来的资源配置需求；现有的内部资源的能力和制约因素（如预算、资源数量、时间安排）；从外部获得资源的需求（可获得性和适用性）信息；资源配置（可获得性和适用性）的评审结果。评价资源可获得性和适用性：在考虑未来活动时，组织应重视资源的可获得性和适用性。组织应经常评价现有资源的使用情况，以确定改进其用途、优化过程、实施新技术从而降低风险的机会；定期对资源充分性和适宜性进行评审；定期对其资源需求、配置及其适宜性和充分性进行评审，可结合管理评审进行，评审时应充分考虑：合规义务的满足程度；风险识别、风险评价和风险控制过程的结果和需求；合规专家的意见；相关方的意见；计划的变更、新的项目和运行等。在评价资源的充分性时，在某种程度上可通过将合规目标的预期效果与实际结果在某种程度上的比较来评审资源的充分性。强化合规管理信息化建设：将合规要素融入信息系统：组织在推进信息化建设时，应确保合规管理的各项要素，如合规制度、历史案例、培训资料以及违规行为记录等，都被有效地整合到信息系统中；在合规管理体系中应用数字技术：组织在建立、开发、实施、保持、评价和改进合规管理体系时，应合理应用数字技术，提升合规管理体系的有效性；组织应对应用数字技术形成的管理工具进行测试、优化和不断升级，以提高这些工具的准确性和适用性，并将其与组织的数字化业务过程相融合；在合规管理体系中应用数字技术的基础是获得完整准确的数据。在合规风险评估（见4.6）合规管理体系运行（见8）、合规培训（见7.2.3）合规绩效评价（见9）以及合规管理体系的持续改进（见1O）等方面需要组织对相关数据和信息进行收集、分析，并运用于对组织的合规管理；数字技术在合规管理体系中的应用可包括但不限于以下方面：合规义务和相关案件数据库；合规风险数据库（包括组织对以往违规行为的总结报告）；合规培训系统（包括线上课件、自我考试等过程）；合同管理和财务系统；信息和数据搜索与分析工具（例如对组织外部合规相关领域立法和执法趋势的跟踪和分析、对组织内部过往违规事件进行行为模式及发生原因的分析）；数据分析和示险看板（例如合同履约率的数据分析和示险看板产品）。利用信息化手段强化流程管控：组织需要定期审视其业务流程，识别出潜在的合规风险点。随后，通过信息化手段，将这些合规要求和风险防控措施嵌入到业务流程中；实现信息系统的互联互通与数据共享：为了提高管理效率和准确性，组织应确保合规管理信息系统能够与其他关键信息系统（如财务、投资、采购等）实现互联互通，实现数据的共用和共享，提高信息的使用价值；利用先进技术实现实时动态监测：借助大数据、人工智能等先进技术，组织可以对重点领域和关键节点进行实时动态的监测。GB∕T35770-2022GB∕T35770-2022《合规管理体系要求及使用指南》7.2能力7.2.1总则组织应：——确定在其控制下工作、影响合规绩效的人员所需的能力；——确保这些人员在适当的教育、培训或经验的基础上胜任工作；——适用时，采取措施获得所需的能力，并评价所采取措施的有效性。适当的成文信息应作为能力证据可获取。注：适当的措施可能包括，例如：向现有人员提供培训、指导或重新分配工作；或者聘用或劳务雇用能够胜任的人员。7.2.2聘用过程组织应针对其所有人员开发、确立、实施和维护以下过程：a） 要求人员遵守组织的合规义务、方针、过程和程序，作为人员的聘用条件；b） 在聘用后的适当期间内，新聘用人员能获得合规方针的副本或者有渠道获得合规方针，并获得关于合规方针的培训；c） 对于违反组织合规义务、方针、过程和程序的人员，应采取适当的纪律处分。作为聘用过程的一部分，组织应结合岗位和人员可能引发的合规风险，在任何聘用、调动和晋升之前按要求进行尽职调査。组织应实施对绩效目标、绩效奖金和其他激励措施进行定期评审的过程，以验证是否有适当的措施来防止鼓励不合规。7.2.3培训组织应定期对有关人员进行培训，培训应在聘用开始时和组织策划的时间间隔实施。培训应：a） 适合于人员的岗位及其面临的合规风险；b） 进行有效性评估；c） 进行定期评审。结合已识别的合规风险，组织应确保实施程序对代表组织开展业务并可能给组织带来合规风险的第三方进行培训，提高其合规意识。培训记录应作为成文信息予以保留。能力总则本条款的目的或意图；确保组织具备运行和控制其过程以及有效实施合规管理体系所需的合适的人员；确定组织中可能影响组织合规绩效的工作或活动所要求的能力，并确保从事这些工作或开展这些活动的人员具备相应的能力。能力相关术语；能力：指运用知识和技能实现预期结果的本领。知识、经验和技能的运用：为了有效履行职能，人员需要拥有相关的知识、经验和技能。这些要素共同构成了人员的能力基础，使其能够以高效和有效的方式执行任务；能力的来源：人员的能力可以通过多种途径获得，包括正式的教育培训（包括非正式的在岗学习）和经验积累等。能力与资格的关系：在某些情况下，能够证明自身能力的人员可能指的是那些具备特定资格或认证的人员。这些资格或认证可以是行业认可的证书、许可证或其他形式的正式认可。能力获得：获得能力的持续过程。培训提供和开发知识、技能和行为方式以满足要求的过程。培训是获得能力的重要途径，组织应重视并投入资源于培训，以确保其人员具备实现合规所需的能力。确定人员所需的能力；组织应确定在其控制下工作、影响合规绩效的人员所需的能力。治理机构、管理者和负有合规义务的人员应有能力有效履行其义务；组织必须识别哪些角色和职责对于合规管理是关键的，并确定这些人员为有效执行其任务所需的具体能力；确定完成任务所需的专业技能和知识：组织应为所有相关人员确定完成其工作任务所需的专业技能和知识，确保组织能够顺利地提供其产品和服务，同时满足合规要求；组织应建立能力证据，如岗位描述和职位说明，详细列出每个职位所需的能力和资质，以便在招聘、评估和培训时进行参考。确保人员基于适当的教育、培训或经验胜任工作：组织有责任确保其人员具备适当的教育、培训或经验背景，从而胜任其工作；组织需要实施有效的培训和发展计划，以确保人员具备所需的能力，并能够在实践中持续提升；组织应定期评估人员的能力，以确保他们始终能够满足合规管理体系的要求。获得人员所需的能力；有多种方式可获得能力，包括通过教育、培训或工作经验获得所需的技能和知识；适用时，采取适当措施以确保其他人员维持现有的能力水平并获得新的能力，包括：向现有人员提供培训：通过定期的培训课程、研讨会或在线学习平台，更新和扩展员工的知识和技能；对员工的工作或操作进行指导：通过导师制度、工作手册或操作流程指南，为员工提供日常工作的指导和支持；对不称职的员工进行重新分配工作：对于无法胜任当前工作的员工，应考虑将其调配至更适合的岗位，以确保组织整体的效率和员工的职业发展；聘用或劳务雇佣能够胜任的人员：在招聘新员工时，应明确岗位要求，确保新员工具备完成工作所需的基本能力和资质。组织应评价所采取措施的有效性；组织在实施了各项能力提升措施后，必须对这些措施的有效性进行评价；组织需要建立一套评估机制，以监控和衡量所采取的培训、指导、工作重新分配以及新员工聘用等措施是否真正提升了员工的能力，并达到了预期的效果；评价的有效性可以通过员工绩效的改善、错误率的降低、客户满意度的提升等指标来衡量。获取与保留成文信息作为能力的证据。能力证明文件及措施记录：组织应确保有足够的能力证明文件（如培训证书、绩效评价报告等），以及记录为维持或提升这些能力所采取的具体措施的文件（如培训计划、指导记录等）；员工能力的成文信息保留：组织需要保留能够证明员工能力的各类成文信息，例如员工的文凭、专业执业证书、个人简历、培训结业证明以及绩效评价记录等。聘用过程本条款的目的或意图；保障合规遵从：确保人员遵循组织的合规要求，从入职开始即融入合规文化；强化合规培训：为新人员提供必要的合规方针和培训，加深其合规意识；维护纪律与标准：对违反合规规定的人员实施纪律处分，以维护组织纪律；预防合规隐患：通过尽职调查评估并降低人员可能带来的合规风险；避免激励误导：确保激励措施不鼓励不合规行为，保持合规性的稳定。聘用过程相关术语；聘用条件：组织对候选人员提出的一系列要求，包括但不限于教育背景、工作经验、技能能力、合规遵从等，作为决定是否聘用的基础；尽职调查：在决定聘用、调动或晋升人员之前，组织进行的一系列详细调查活动，包括查看推荐信、背景调查等，以评估候选人的适任性和潜在风险。明确目的与范围；确定尽职调查旨在评估候选人适任性和风险，明确调查涵盖教育背景、经验、资格及信用等方面；建立规范流程；建立清晰、有序的调查步骤，包括信息收集、核实、分析和报告；多渠道信息收集；结合简历、推荐信及背景调查等，全方位了解候选人背景和能力；信息核实与风险评估；验证信息真实性，分析候选人与岗位的匹配度及潜在风险；确保保密与合规。保障候选人信息安全，遵守法律法规，确保调查过程合法合规；记录与决策：详细记录调查结果，作为招聘决策依据，确保决策明智、风险可控；组织应针对其所有人员开发、建立、实施和保持以下聘用中的合规管理过程：合规作为聘用条件；组织在聘用人员时，必须明确要求人员遵守组织的合规义务、方针、过程和程序，作为人员被聘用的基本条件，确保人员从入职开始就明确并承诺遵循组织的合规要求。新员工的合规获取与培训；新聘用人员在入职后的适当时间内，应能够获得组织的合规方针副本或有途径了解合规方针，并接受相关的培训，确保新员工对组织的合规文化有基本的了解和认识，并能够在实际工作中遵循。违反合规的纪律处分；对于违反组织合规义务、方针、过程和程序的人员，组织应采取适当的纪律处分措施，体现组织对合规的严肃态度，也确保合规管理体系的有效执行。聘用前的尽职调查；作为聘用过程的一部分，组织应结合岗位和人员可能引发的合规风险，在任何聘用、调动和晋升（提拔）之前按要求进行尽职调查，包括推荐信或者背景调查。防止激励不合规的定期评审。组织应定期评审其绩效目标、绩效奖金和其他激励措施，以确保这些措施不会鼓励或导致不合规行为，确保员工的行为始终与组织的合规目标保持一致。培训本条款的目的或意图；提升全员合规意识，确保员工行为符合合规义务的要求，降低组织合规风险，并提升合规绩效；通过适当的专业教育培训，提高员工在各自岗位上的专业技能和知识，使他们能够更好地胜任工作，提高工作效率和质量。培训相关术语；合规培训过程管理：合规培训组织者在完成一个培训项目或培训周期时，对培训各个环节和流程进行策划、实施、改进和质量控制的管理活动，包括确定培训需求、设计策划培训、实施培训、评估培训效果及合规培训档案管理等。培训绩效：根据合规培训需求，设计和开发具体、可以衡量、有针对性、有时效性的考核目标及取得的可测量结果。合规培训记录文件：合规培训过程管理中用以描述培训活动的过程及内容，记载培训活动的结果，具有可追溯性的支持文件。建立培训过程；组织应建立、实施、保持和改进制度化、常态化、全员化且与合规风险相适应的合规培训过程和机制。培训管理流程制定培训计划；合规培训计划的目标：确保员工具备按照组织的合规文化和承诺来履行其岗位职责的能力。合规培训与员工培训计划：组织在制定员工培训计划时，应将合规培训作为一个重要组成部分纳入其中；评估能力差距并提出培训需求；评估能力差距：组织应定期对员工的知识和能力进行差距评估，识别出员工在合规方面的不足和需要提升的地方。评估可以通过问卷调查、面试、测试等方式进行，以确保准确了解员工的实际水平。提出合规培训需求：基于能力差距评估的结果，组织应提出具体的合规培训需求，并形成合规培训需求表，详细列出培训对象、培训项目（内容）、培训时间（学时）等信息。分析培训需求并编制培训计划；分析培训需求：合规团队应负责收集并分析各部门提出的合规培训需求，以确保培训内容的针对性和实用性，包括对培训需求的紧迫性、重要性以及可能的培训效果进行评估；编制合规培训计划：根据培训需求分析的结果，组织应针对自身的特点和需求确定具体的培训项目，并编制详细的合规培训计划，内容包括培训目标、培训内容、培训方式、培训时间、培训师资、培训经费等要素，以确保培训的顺利进行和预期效果的实现。同时，组织应安排专门的经费用于合规培训的实施，将培训预算包括在培训计划之中。教育和培训实施培训的时机；组织应对已发生不当行为的领域进行培训；当出现下列情况时，应考虑进行合规再培训：职位或职责的变化；内部方针、过程和程序的变更；组织结构的变化；合规义务的变更，特别是法律要求和相关方的需求的变化；活动、产品或服务的变化；产生于监视、审核、评审、投诉和不合规的问题，包括相关方反馈。基本要求；沟通未识别的合规风险：合规培训应经过适当设计和执行，使其成为一个有效的沟通平台。通过培训，员工能够了解并识别之前未注意到的合规风险，从而在工作中更加警惕并采取相应的预防措施；针对不同对象的针对性开展培训：培训内容应与员工的岗位及其面临的合规风险相适应。培训应具有针对性，确保员工能够获得与其工作紧密相关的合规知识和技能；对第三方进行合规培训：除了内部员工，代表组织开展业务并可能给组织带来合规风险的第三方也应纳入合规培训范围。通过培训增强这些第三方的合规意识，降低因第三方行为不当而给组织带来的合规风险；采取灵活多样的教育和培训方式：教育和培训应具有足够的灵活性，覆盖一系列技术手段，包括线上培训、线下研讨会、工作坊等多种形式，确保员工能够以最适合自己的方式接受培训；由经验丰富和有资格的人员提供培训：教育和培训的设计、开发和提供应由经验丰富且有资格的人员负责。这些人员应具备深厚的合规知识和实践经验，能够确保培训内容的准确性和实用性；以当地语言提供教育和培训：适用时，教育和培训应以当地语言提供，确保员工能够充分理解培训内容，增强培训效果。培训组织实施。组织应定期对有关人员进行培训，培训应在聘用开始时和组织策划的时间间隔实施。合规培训的内容要点：合规培训的内容包括但不限于以下几个方面：法律法规、行为准则、合规文化、合规制度以及典型案例；多样化的合规培训形式：组织应开展多种形式的合规培训，以适应不同员工的学习需求和偏好；必要时，可以聘请外部专家为员工提供专业培训，以引入新的视角和专业知识；组织应及时评估培训对员工行为或态度的影响程度，以便不断优化和调整培训形式，确保其有效性和吸引力。开展互动式培训：在不合规可能造成严重后果的情况下，互动式培训被认为是最佳的培训形式。通过模拟实际情境、角色扮演、小组讨论等方式，互动式培训能够增强员工对合规要求的理解和记忆，提高他们在实际工作中应对合规挑战的能力。定期评估和评价其有效性；定期评估的重要性；合规培训不仅仅是单次活动，而应是一个持续的过程。为确保培训效果持久且适应不断变化的合规要求，组织需要定期对培训进行评估，通过评估发现培训中的不足，及时进行调整和改进，从而确保合规管理体系的持续有效。有效性评价的目的；有效性评价的核心目的是确认培训是否达到了预期的效果，通过评价可以了解员工在合规方面的实际表现，进而判断培训的有效性。测评的安排与实施。为确保评价的客观性和准确性，组织应在员工接受培训后适时安排测评。测评可以采用多种形式，如问卷调查、知识测试、模拟演练等，以全面检验员工对合规方针、目标和要求的理解程度和遵循情况。通过这些测评，组织可以获取员工在合规方面的真实反馈，为后续的培训和改进提供依据。确保员工理解与遵循。测评的最终目标是确保员工不仅理解合规要求，而且在实际工作中能够自觉遵循这些要求。因此，组织在设计和实施测评时，应着重考察员工对合规知识的运用能力和实际行为表现，以确保他们在面对合规挑战时能够做出正确的判断和决策。定期评审合规培训，适应外部监管与合规义务变化；合规培训的内容并非一成不变。随着外部监管环境的演变和合规义务的调整，组织需要定期对合规培训进行评审，确保其内容与当前的法规、政策和标准保持一致。保留培训的成文信息培训记录的保留与合规性证明：组织需要将所有相关培训记录作为成文信息予以保留，以便在需要时能够提供证据支持其合规管理体系的有效性和持续改进，并帮助组织在未来的培训中进行参考和借鉴，进一步提高培训效果和质量；合规培训的关键记录要素：培训计划、培训实施记录（培训的时间地点和方式、培训人员和培训材料、受训人员的签到表和其他证明其参加培训的有关证明材料等）、培训效果评估记录（测试、培训考试的试卷和结果、问卷或反馈总结）、培训证书（参与者完成培训的证明）、合规义务更新后的培训调整说明、人员培训档案等。GB∕T35770-2022GB∕T35770-2022《合规管理体系要求及使用指南》7.3意识在组织控制下工作的人员应知道：——合规方针；——他们对合规管理体系有效性的贡献，包括改善合规绩效带来的效益；——不符合合规管理体系要求的后果；——提出合规疑虑的方法和程序（见8.3）；——工作岗位的合规义务与合规方针的关系；——支持合规文化的重要性。意识本条款的目的或意图；确保组织内部人员全面理解并践行合规要求，通过提升他们的合规意识和行为，建立和维护一种积极、主动的合规文化，从而保障组织的稳健运营和降低违规风险。意识相关术语；合规意识：指组织内部人员对于合规方针、合规管理体系要求、自身合规职责与权限，以及个人行为对组织安全目标实现的影响等方面的认知和理解，并在此基础上形成的自觉遵守、主动维护合规纪律的心理状态和行为习惯。当人员理解其职责和权限以及其行为如何为实现组织的安全目标作出贡献时，就形成了意识。意识提升活动的普遍性；对组织内部所有人员及与组织有关的相关方进行合规意识的提升。不仅正式员工，还包括临时工、合同工、供方、合作伙伴等都需要接受合规意识的培养。人员应知晓的合规要点；合规方针的普及与理解：组织应确保所有在其控制下工作的人员都能够方便地访问、使用并充分理解合规方针；对合规管理体系的贡献认知：人员应意识到自己在合规管理体系中的作用，以及他们如何通过日常行为和工作绩效来增强体系的有效性；同时，他们也需要了解通过改善合规绩效可以为组织带来的实际效益；违规后果的明确：不符合合规管理体系要求的行为将会带来哪些后果，这是每个员工都需要清晰知道的，确保员工在工作中做出正确的合规决策，避免因不了解规则而导致的违规行为；提出合规疑虑的途径：鼓励员工在面临合规疑虑时能够主动提出；为此，组织需要提供明确的方法和程序，确保员工在发现问题时能够及时、有效地进行反馈；岗位合规义务与合规方针的关系：员工需要理解自己岗位的合规义务是如何与组织的合规方针相联系的；支持合规文化的重要性：强调每个员工在维护和传播合规文化中的重要作用；只有当每个员工都认识到合规的价值并积极参与其中时，组织的合规文化才能真正建立起来。增强合规意识的方法，包括（但不限于）：培训或教育（面对面或在线）：无论是面对面的传统培训方式，还是利用现代技术进行的在线培训，都是增强员工合规意识的有效途径；与最高管理者沟通：与组织的最高管理者保持沟通，可以确保合规信息在组织内部得到及时、准确的传递。易于参照执行和容易获得的参考资料：提供易于参照执行和容易获得的合规参考资料，如合规手册、指南、流程图等，可以帮助员工在实际工作中快速查找和应用合规知识。定期更新合规问题：组织需要定期更新合规问题，确保员工始终掌握最新的合规信息。这可以通过定期发布合规公告、组织合规培训、更新合规参考资料等方式实现。沟通对合规承诺的影响。沟通对合规的承诺将：建立意识并鼓励人员接受合规管理体系：当组织通过内部沟通明确表达对合规的承诺时，这有助于在员工心中建立起对合规重要性的认识；鼓励员工提出有助于持续改进合规绩效的建议：组织鼓励员工对合规管理体系提建议，能激发其参与感和归属感，使其更愿意贡献力量。这种互动助组织及时发现并改进合规问题，提升绩效。员工建议贴近实际，能增强体系的实用性。GB∕T35770-2022GB∕T35770-2022《合规管理体系要求及使用指南》7.4沟通组织应确定与合规管理体系有关的内部和外部沟通，包括：a） 沟通什么；b） 何时沟通；c） 与谁沟通；d） 如何沟通。组织应：——结合沟通需求，综合考虑沟通的多样性和潜在障碍；——确立沟通的过程，确保结合了相关方的意见；——在确立沟通过程时：•应将其合规文化、合规目标和义务纳入沟通内容；•应确保所沟通的合规信息与来源于合规管理体系的信息一致且可信；——对与合规管理体系相关的沟通内容进行冋应；——必要时，保留成文信息作为其沟通的证据；——在组织的各层级和职能内部沟通与合规管理体系有关的信息，必要时包括合规管理体系的变更；——确保人员能在沟通过程中为合规管理体系的持续改进做出贡献；——确保人员能在沟通过程中提出合规疑虑（见8.3）；——通过组织确立的沟通过程，对外沟通包括其合规文化、合规目标和义务在内的与合规管理体系相关的信息。沟通本条款的目的或意图；确保组织建立所需的且与合规管理体系相关的内外部沟通过程与机制，确保向所有有关的工作人员和相关方提供相关信息；确保工作人员和相关方能接收到和易于理解这些信息保证沟通及时性、主动性和高效性明确，确保信息内容及时、准确、可靠、传递无误和信息合规；促进组织内各职能部门和层级间的信息交流，以及组织外部相关方能够协调一致，加强理解，确保沟通效果，提高合规管理体系的有效性。沟通相关术语；沟通：指信息的传递与理解过程，涉及发送者、接收者及媒介，旨在建立共识、增进了解或实现特定目标。交流的信息可以是想法、指示或情绪沟通是一个完整闭环，包括发送、接收、理解、反思和反馈。数字化沟通：通过电脑或移动通讯设备等媒介使用社会化媒体，例如微信、QQ、钉钉、公众号、视频平台、音频平台、直播平台、网页、论坛，或者其他即时通讯工具、社交工具、应用程序等传送文本、数据、图像、视频、音频等信息，与人共享资讯和资源或与他人交流的网络互动行为。沟通原则沟通应坚持透明、适当、可信、响应、可接触和清晰的原则。透明性；信息应该公开、诚实地传递，避免隐瞒或误导；透明的沟通有助于建立信任，使所有相关方都能对情况有清晰地了解。适当性；信息的内容和形式应该适合接收者，确保其易于理解和接受；沟通应当考虑文化、语言和背景的差异，以确保信息的恰当传递。可信性；传递的信息必须是准确和可靠的，来源应该经过验证；可信的信息是决策的基础，也是维护组织声誉的关键。响应性；沟通应该是一个双向的过程，接收者的反馈和疑问应得到及时回应；组织应建立机制来收集和处理来自内部和外部的信息反馈。可接触性；沟通渠道应该是多样化和易于访问的，确保所有人都能获得必要的信息；组织应努力消除沟通障碍，特别是在获取关键信息方面。清晰性；信息应简洁明了，避免使用过于复杂或模糊的语言；清晰的沟通有助于减少误解和混淆，提高信息的传递效率。策划沟通组织应确定与合规管理体系有关的内部和外部沟通，并确保沟通效果。沟通包括：为何沟通（沟通的目的），包括：了解每个相关方的特定关注领域；沟通的目的到底是激励性的、技术性的还是资料性的。沟通什么（沟通的内容）：组织的合规文化、合规方针、合规目标、合规义务、合规管理制度等；合规管理体系有关的信息，包括合规管理体系的变更（适用时），确保所沟通的合规信息与来源于合规管理体系的信息一致且可信）。何时沟通（沟通的时机和条件）；与谁沟通（沟通的对象）。组织沟通的目标受众可包括：受合规管理和变更影响的相关方，包括监管机构、顾客承包方、供方、投资者、应急服务机构、非政府组织和周遭人士；可能影响合规管理并导致变更的相关方。如何沟通（沟通的方式）：沟通方法通常因场合不同而有所差异，应根据本组织的方针，采取面向所有相关方的务实的沟通方式；沟通方式可包括网站和电子邮件、新闻稿、广告和定期通讯、年度（或其他定期）报告、非正式讨论、开放日、焦点小组、社区对话、参与社区活动和热线电话。这些方法能促进理解和接受组织对合规的承诺。建立沟通过程，包括：沟通覆盖组织各层级与职能：组织应确保沟通不仅限于高层或特定部门，而是涵盖所有层级和职能，确保信息的全面流通和共享，促进组织整体的协同与一致；沟通前信息敏感性的确认：在传递任何信息之前，组织应先确认其敏感性。这包括评估信息是否涉及机密、隐私或其他敏感内容，从而决定适当的沟通方式和保护措施，防止信息泄露或不当使用；人员在沟通中的持续改进贡献：组织应鼓励并积极确保人员在沟通过程中提供对合规管理体系的改进建议，促进体系的持续优化；人员在沟通中提出合规疑虑：组织应建立开放、透明的沟通环境，使人员能够无顾虑地表达疑虑，并确保这些疑虑得到及时、有效的处理；对合规管理体系相关沟通内容的回应：组织应对与合规管理体系相关的所有沟通内容给予明确、及时地回应，包括解答疑问、处理反馈、采纳建议等，以确保沟通的有效性和闭环管理；分配资源和专业人员协调与监管的互动：为了与监管机构建立有效、顺畅的互动关系，组织应分配必要的资源和具备专业知识的人员来负责这项工作，帮助组织理解并遵守监管要求，同时代表组织与监管机构进行沟通和协调。必要时，保留成文信息作为其沟通的证据。保留必要的沟通记录，记录可以以书面形式、电子形式或其他形式保存，确保安全沟通内容的准确性、完整性和可追溯性并能够反映安全沟通的内容、目的和结果。GB∕T35770-2022GB∕T35770-2022《合规管理体系要求及使用指南》7.5成文信息7.5.1总则组织的合规管理体系应包括：a） 本文件要求的成文信息；b） 组织确定的，对于合规管理体系有效性所必需的成文信息。注：不同組织的合规管理体系成文信息的程度可能不同，取决于：——组织的规模及其活动、过程、产品和服务的类型；——过程及其相互作用的复杂度；——人员的能力。7.5.2成文信息的创建和更新在创建和更新成文信息时，组织应确保适当的：——标记和说明（例如，标题、日期、作者或文件编号），——形式（例如，语言文字、软件版本、图形）和载体（例如，纸质的、电子的）；——针对适宜性和充分性的评审和批准。7.5.3成文信息的控制应控制合规管理体系和本文件要求的成文信息，以确保其：a）在需要的场所和时间均可获得并适于使用；b）得到充分保护（例如，防止泄密、不当使用或完整性受损）。为了控制成文信息，组织应开展以下适用的活动：——分发、访问、检索和使用；——存储和防护，包括保持易读性；——对变更的控制（例如，版本控制）；——保留和处置。对于组织确定的，策划和运行合规管理体系必要的、来自外部的成文信息，应必要时进行识别，并予以控制。注：访问可能意味看只允许查看成文信息的权限，或者允许并授权査看和变更成文信息的权限。成文信息总则成文信息控制的目的或意图；确保合规管理体系文件符合性、充分性、适宜性和有效性；确保各岗位得到并保持最新有效的成文信息，防止失效或作废文件的非预期使用。成文信息相关术语；成文信息：组织需要控制和维护的信息及其载体。成文信息能够以任何形式和载体存在，且来源不限；成文信息可能涉及：管理体系，包括相关过程；为组织运行而创建的信息（文件）；实现的结果的记录（证据材料）。载体可以是纸张，磁性的、电子的、光学的计算机盘片，照片或标准样品，或它们的组合。记录：阐明所取得的结果或提供所完成活动的证据的文件。记录可用于正式的可追溯性活动，并为验证、预防措施和纠正措施提供证据；通常记录不需要控制版本。证据性文件：组织自己产生的，与组织生产经营活动过程相关的各种证明性文件，例如各种记录、报表、审批单、会议记录、生产日志等。证据性文件必须是组织自己产生的内部文件。证据性文件应能够反映组织生产经营活动的真实情况。不同组织的合规管理体系成文信息的程度可能不同，取决于：组织的规模，以及活动、过程、产品和服务的类型；过程及其相互作用的复杂程度；适用的相关方和法律法规的要求；过程的风险程度及应对措施；组织的知识及人员的能力。组织合规管理体系成文信息应包括：GB∕T35770所要求的成文信息；组织确定的，对于合规管理体系有效性所必需的成文信息。合规管理体系成文信息策划清单标准要素标准要求的成文信息合规管理体系运行证据性材料4.1理解组织及其环境合规风险管理程序（包括内外部合规环境分析）内外部合规环境分析报告4.2理解相关方的需求和期望相关方需求和期望识别管理程序相关方清单相关方需求和期望列表相关方需求和期望分析和评审记录4.3确定合规管理体系的范围合规管理体系范围的描述合规管理体系范围界定与适用性评估记录合规管理体系认证范围确认表4.4合规管理体系管理体系建立、实施、评价和改进控制程序合规管理体系初始评审（差异分析）报告合规管理体系建设与优化工作方案（计划）合规管理体系建设、优化与运行情况报告4.5合规义务合规义务确定与合规性评价控制程序法律法规、规章、标准、规范性文件清单合规风险评估记录合规义务清单合规义务应用与沟通（培训）记录合规义务变更与更新记录4.6合规风险评估合规风险管理程序合规风险识别、分析与评价表合规风险（分级管控）清单（含危险源清单、风险分析和评价结果、风险控制措施等）重大合规风险清单合规风险应对计划（方案）合规风险管控情况检查表5.1领导作用和承诺合规文化建设、保持和推进管理程序合规文化建设推进计划5.2合规方针合规方针合规方针的发布记录合规方针的培训记录合规方针的评审与更新记录合规方针的沟通与反馈记录不合规事件与违反合规方针的记录5.3岗位、职责和权限合规岗位和职责的分配（部门职能职责、职能分配表、岗位说明书）合规责任检查与考核记录违规责任追究（问责）记录6.1应对风险和机会的措施合规管理体系风险和合规风险应对措施制定管理程序合规风险登记册（或清单）6.2合规目标及其实现的策划目标及其实现的策划控制程序年度合规目标清单合规目标行动或实施计划（合规工作计划或合规重点工作分解表、专项合规工作方案）合规目标实现情况检查或统计记录合规目标达成情况督促跟进表/合规目标达成情况记录合规目标管理评审记录合规目标调整记录6.3针对变更的策划管理体系建立、实施、评价和改进控制程序（包括变更的策划）合规管理体系变更计划变更申请与审批记录变更影响评估记录变更（优化）实施方案变更（优化）实施记录变更过程中的沟通与协调记录7.1资源资源管理控制程序（也可按资源类别分别建立控制程序）（按资源分类建立）资源清单资源需求计划或财务预算7.2能力高风险商业伙伴合规培训管理程序

高风险员工合规尽职调查管理程序岗位说明书

合规培训计划合规培训记录合规管理体系重要岗位能力证明

高风险员工合规尽职调查记录

绩效目标、绩效奖金和其他激励措施合规

评审记录7.3意识人员参与和意识管理程序合规意识培训记录7.4沟通内外部沟通管理程序内外部沟通记录7.5文件化信息文件控制程序记录控制程序适用的法律法规、规章、标准、规范性文件清单管理体系文件清单（合规管理体系程序文件清单、合规管理体系工作文件清单）合规管理体系记录表格（样式）清单文件发布和更新记录文件审批与评审记录文件发布、发放（收发文）记录访问权限变更记录文件评审记录文件更改（修订/换版）记录文件更改通知文件使用和管理情况检查8.1运行的策划和控制涉及的业务流程文件、管理系统、记录表格的制定和修改合规运行过程方案计划合规运行过程方案计划实施情况记录和评价总结8.2建立控制和程序年度合规计划

合规审查意见、合规检查原始文件员工绩效计划：

高风险商业伙伴合规尽职调查管理程序

高风险商业伙伴合规尽职调查记录8.3提出疑虑举报管理程序举报登记表举报受理与处理记录8.4调查过程事件报告、调查与处理控制程序与监管报告要求有关事项的记录

不合规事件处理记录合规事件调查报告9.1监视、测量、分析和评价合规绩效监视、测量、分析和评价报告合规绩效监视、测量、分析和评价管理程序

合规控制KPI指标体系

合规危险信号监视记录

合规事件报告9.2内部审核内审管理程序内部审核方案内部审核实施计划内审员名册和培训记录内部审核检查表文件评审记录现场内部审核记录不符合和纠正措施报告内部审核报告（含不符合项分布表或统计图表）9.3管理评审管理评审程序年度管理评审计划管理评审输入材料（报告）管理评审会议记录和会议纪要管理评审报告管理评审决议事项实施和跟踪记录10.1持续改进持续改进控制程序（包括不符合与纠正措施控制）持续改进方案/项目（对策表）持续改进方案/项目评估表持续改进项目（课题）实施和验收记录10.2不符合与纠正措施不合规、近乎不合规和调查的记录不符合和不合规及其纠正措施报告不符合和不合规及其纠正措施清单成文信息的创建和更新在创建和更新成文信息时，组织应确保适当的：标识和说明[如标题、日期、作者、索引编号、版本、修订历史和权限（或其中两种或以上的组合）]；组织应建立文件标识，明确文件修订标识方法；在编辑、评审和批准文件时确保文件修订标识符合要求；对于现行和已发放文件确保其修订状态或修订过程易于识别，如采用受控文件清单、修订一览表及标识等形式对文件修订状态进行控制；形式（例如，语言文字、软件版本、图形）和载体（例如，纸质的、电子的）；（由指定的具有权限的人员）评审和批准，以保持适宜性和充分性，即文件的内容适合于具体情况，且无漏项；更新成文信息以反映内部和外部的变化，进而确保它们是现行和最新的。成文信息的控制成文信息应予以管理和控制，以确保：建立和保持有效的文件收发系统，确保在需要的场合和时机，所有相关领域、部门、过程的负责人等均可获得这些信息并适用；文件应向组织内所有相关人员或受其影响的人员进行传达。文件发放前，应详细统计核实；以保证所有场所能方便获取