GB∕T 35770-2022《 合规管理体系 要求及使用指南》之16：“8运行-8.2确立控制和程序”解读和应用指导材料（雷泽佳编写2024B1）

“8运行-8.2确立控制和程序”解读和应用指导材料GB∕T35770-2022《合规管理体系要求及使用指南》之16：“8运行-8.2确立控制和程序”解读和应用指导材料GB∕T35770-2022GB∕T35770-2022《合规管理体系要求及使用指南》8.2建立控制和程序组织应实施控制以管理其合规义务和相关合规风险。应对这些控制进行保持、定期评审和测试，以确保其持续有效。注：测试控制是指实施经过设计的活动以检验控制是否按照既定目的运行，或者不能被规避，或者切实有效地降低风险的后果或可能性。运行建立控制和程序目的和意图；确保组织通过实施、保持、定期评审和测试控制，有效管理其合规义务和相关风险，以确保合规义务的履行，防止、发现和纠正不合规行为，并设计足够严格的控制以促进在特定活动和运行环境中实现合规。“8.2建立控制和程序”和“8.1运行的策划和控制”的主要区别与联系：章节主要内容主要区别主要联系8.2建立控制和程序-组织应实施控制以管理合规义务和风险。-对控制进行保持、定期评审和测试，确保持续有效。-测试控制包括检验控制是否按目的运行、是否被规避、是否有效降低风险。-侧重于内部控制的建立和维护，以及对控制有效性的验证。-强调通过测试活动来确保控制措施的长期有效性。-两者都关注于确保合规管理体系的有效运行。-8.2中的控制措施是8.1中运行策划和控制的基础。8.1运行的策划和控制-对过程进行策划、实施和控制，以满足合规要求和措施。-确立过程准则并按准则实施控制。-控制成文信息的可获取性，确保过程按策划实施。-控制和评审已策划的变更，确保第三方过程受控。-侧重于对组织运行过程的整体策划和控制。-强调过程管理的系统性、规范性和可控性。-8.1中的过程策划和控制依赖于8.2中建立的有效控制措施。-两者共同确保合规管理体系在组织运营中的有效实施和监控。（1）主要区别总结：8.1侧重于对组织整体运行过程的策划、实施和控制，确保所有过程都按照既定的准则和合规要求进行，从而满足组织的合规需求和目标。重点在于过程的系统管理和监控；8.2主要关注于内部控制措施的建立、保持、评审和测试，以确保这些控制措施能够持续有效地管理合规义务和相关风险。重点在于通过测试来验证控制的有效性。（2）主要联系总结：两者都是合规管理体系的重要组成部分，共同确保合规管理体系在组织运营中的有效实施和持续改进；8.1中的过程策划和控制依赖于8.2中建立的控制措施，通过系统化的过程管理来确保控制措施在实际运营中得到有效执行和监控；8.2中建立的有效控制措施为8.1中的过程策划和控制提供了基础，确保控制措施能够融入并支撑组织运行过程的管理。建立支持合规管理程序应考虑的因素：将合规义务纳入程序；全面性：组织在开发支持合规管理的程序时，应考虑将所有相关的合规义务全面纳入其中，包括但不限于计算机系统、表格、报告系统、合同以及其他法律文件等各个环节；整合性：合规义务应无缝整合到组织的日常运营和管理流程中，确保每一个步骤和环节都符合法律法规、行业标准及内部规章制度的要求；动态更新：随着法律法规、行业标准及内部规章制度的不断更新和变化，组织需确保合规程序能够及时进行相应调整，以保持与最新合规要求的一致性。与组织中其他评审和控制职能的一致性；协同性：合规管理程序的开发需与组织中其他评审和控制职能保持高度一致，避免产生冲突或重复劳动。这要求组织内部各部门之间建立有效的沟通机制，确保信息共享和协同作业；整合性：在设计合规程序时，应考虑如何与其他评审和控制职能进行整合，以实现资源的最优配置和管理效率的最大化。例如，可以将合规审查与内部审计、风险管理等职能相结合，形成一体化的管理体系；标准化：通过制定统一的标准和流程，确保各项评审和控制活动在遵循各自专业领域要求的同时，也符合整体的合规管理框架。持续监视和测量；实时监控：组织应建立持续监视和测量机制，对合规程序的执行情况进行实时监控。这有助于及时发现并纠正潜在的不合规行为，确保合规管理体系的有效运行；量化评估：通过量化指标对合规程序的执行效果进行评估，可以更加直观地了解合规管理的实际成效。例如，可以设定合规培训参与率、合规审查通过率等具体指标进行监测和分析；反馈机制：建立有效的反馈机制，确保监视和测量结果能够及时反馈给相关部门和人员，为后续的改进和优化提供依据。评估和报告（包括管理监督），以确保雇员遵守程序；定期评估：组织应定期对合规程序的执行情况进行评估，检查雇员是否严格遵守相关程序和规定。这有助于发现并解决潜在的问题和隐患；管理监督：加强对合规程序执行过程的管理监督，确保各项控制措施得到有效落实。管理监督应涵盖从程序制定到执行的全过程，形成闭环管理；报告制度：建立完善的报告制度，要求相关部门和人员定期向管理层报告合规程序的执行情况。这有助于管理层全面了解合规管理现状，及时作出决策和调整。识别、报告和上报针对不合规的情况与不合规的风险的具体安排。预警机制：建立不合规情况的预警机制，及时发现并识别潜在的不合规行为和风险点。通过预警机制，组织可以迅速采取措施进行干预和纠正，防止问题进一步恶化；报告流程：明确不合规情况和风险的报告流程，确保相关人员能够按照规定的程序和要求进行报告。报告流程应简单明了、易于操作，避免给报告人带来不必要的困扰和负担；处理机制：针对报告的不合规情况和风险点，组织应建立相应的处理机制。处理机制应明确责任部门、处理流程和时限要求等关键要素，确保问题能够得到及时有效的解决。同时，还应加强对处理结果的跟踪和评估，确保整改措施得到有效落实并取得预期效果。合规控制包括：清晰、实用且易于遵守的文件化运行方针、过程、程序和工作指示；清晰性：文件化的运行方针、过程、程序和工作指示必须明确无误，确保所有涉及人员能够迅速且准确地理解其内容和要求。这种清晰性不仅有助于减少误解，还能提高执行的效率和准确性；实用性：这些文件化的内容应紧密结合组织的实际情况，具有高度的实用性。它们应当能够直接指导实际操作，解决具体问题，而非仅仅是理论上的阐述或泛泛而谈；易于遵守：为了促进合规，这些方针、过程、程序和工作指示必须设计成易于员工理解和遵守的形式。这包括使用通俗易懂的语言，避免专业术语的滥用，以及确保流程步骤的逻辑性和连贯性。系统和例外报告；建立明确的报告制度：制定详细的报告编写、提交和审批流程，确保每个环节都有章可循；系统性报告；目的：系统性报告旨在通过定期、全面的方式，收集和汇总组织在合规管理方面的执行情况；内容：这些报告应涵盖所有关键的合规领域和环节，如财务、税务、人力资源、环境保护等，确保无遗漏。例外报告。定义：例外报告是针对那些超出正常范围或预期之外的情况而特别编写的报告；触发条件：当组织发现任何违反合规政策、程序或法律法规的行为，或遇到可能影响合规状态的重大事件时，应触发例外报告的编写；内容：例外报告应详细描述事件的经过、原因、影响及已采取或拟采取的应对措施。利用信息技术手段：引入自动化报告工具或系统，减少人工错误，提高报告效率和准确性。批准；正式认可过程：批准是指对控制程序和活动的正式认可和授权过程。这通常意味着相关程序和活动在经过内部审查、修订和完善后，得到了适当的授权和许可，可以正式实施；确保合规性：通过批准过程，组织可以确保所有控制程序和活动都符合相关法律法规、行业标准以及组织内部的合规政策和程序。这有助于防止程序中的缺陷或漏洞，降低合规风险；明确责任：批准过程还明确了各层级、各部门在执行控制程序和活动中的责任和义务。这有助于确保每个人都清楚自己的职责范围，并在出现问题时能够迅速找到责任人；提高执行效率：经过批准的控制程序和活动具有更高的权威性和可信度，能够更有效地指导实际操作。这有助于提高执行效率，减少不必要的误解和冲突。分离不相容的岗位和职责；定义与目的：不相容岗位和职责的分离是指将那些如果由同一人担任可能会产生利益冲突或欺诈风险的岗位职责分配给不同的人员或部门。这一措施旨在通过合理的职责划分，形成相互制约和平衡的机制，降低内部风险；识别不相容岗位：组织应明确哪些岗位和职责在职责履行过程中存在潜在的冲突或风险，如授权与执行、审核与记录、采购与验收等；合理划分职责：基于风险评估结果，对不相容的岗位和职责进行合理划分，确保每项业务活动都经过适当的授权、审批、执行、记录和审核等环节。明确职责界限：通过制定清晰的岗位职责说明书或内部控制手册，明确各岗位的职责范围、权限边界以及相互之间的制约关系。自动化过程；技术驱动：自动化过程依赖于先进的信息技术和软件系统，通过预设的规则和算法自动执行合规检查、审批、记录等任务；适用场景：自动化过程适用于各种需要重复性、规则性操作的合规场景，如财务审批、采购管理、合同管理、员工权限管理等；流程定制：根据组织的具体业务流程和合规要求，定制自动化流程和规则，确保系统能够准确、高效地执行合规任务。年度合规计划；定义与目的：年度合规计划是组织为落实合规管理体系要求，针对下一年度制定的系统性工作计划。它明确了合规工作的目标、任务、责任人和时间表，是指导全年合规活动的重要依据；核心内容。目标设定：年度合规计划首先需明确下一年度的合规工作目标，这些目标应与组织的整体战略和业务需求紧密相关，具体、可量化且可实现；任务分解：为实现合规目标，年度合规计划需将总体任务分解为具体的行动计划，包括合规培训、风险评估、审核检查、文化建设等多个方面；责任分配：明确各项任务的责任人和参与部门，确保每项任务都有明确的执行主体和责任人，避免责任不清或相互推诿；时间表制定：为每项任务设定具体的时间节点和完成期限，确保合规工作按计划有序推进。人员绩效计划；合规绩效指标：制定与合规管理相关的具体、可量化的绩效指标，如合规培训参与度、合规政策知晓率、违规事件报告次数等，以便客观评价员工的合规表现；评价标准与方法：确立公正、透明的评价标准和方法，确保绩效考核结果的客观性和公正性。可以采用自评、互评、上级评价等多种方式相结合，以全面反映员工的合规绩效；奖惩机制：根据绩效考核结果，建立相应的奖惩机制。对于合规表现优秀的员工给予表彰和奖励，如晋升机会、奖金等；对于违规行为则采取相应的惩罚措施，如警告、罚款、降职甚至解雇等，以示惩戒。合规评估和审核；合规评估：通过收集和分析相关数据，评估组织在合规政策执行、程序遵循、风险控制等方面的现状。评估范围应覆盖所有关键业务领域和环节，确保无遗漏；合规审核：由具备专业知识和独立性的审核团队进行，通过审查文件、访谈相关人员、观察业务流程等方式，对合规管理体系的有效性进行验证。审核应关注合规管理体系的设计、实施、监控和改进过程，确保其与组织目标和外部要求保持一致。证实的管理层承诺和模范行为，以及其他促进合规行为的措施；证实的管理层承诺：管理层对合规管理的明确承诺是建立有效合规管理体系的基石。这种承诺不仅体现在口头声明上，更应通过实际行动来证实。管理层需要积极参与合规活动，支持合规政策的制定和实施，为全体员工树立榜样；模范行为；表现：管理层的模范行为体现在他们日常工作中严格遵守合规政策，积极履行合规职责，勇于承担合规责任。他们不仅自己要做到合规，还要鼓励和指导员工共同遵守合规要求。影响：管理层的模范行为具有强烈的示范效应，能够激发员工的合规意识，促使员工在日常工作中自觉遵循合规原则，从而推动整个组织的合规文化建设。其他促进合规行为的措施：这些措施可能包括但不限于建立合规激励机制、加强合规培训和宣传、设立合规热线以便员工举报违规行为等。这些措施的共同目标是营造一个鼓励合规、反对违规的组织环境。就员工的预期行为（标准、价值观、行为准则）进行积极、公开和频繁的沟通。员工的预期行为：标准：组织应明确界定员工在工作中应遵循的具体标准，这些标准应涵盖所有与合规相关的方面，如法律法规遵守、道德规范、职业操守等；价值观：组织的核心价值观是指导员工行为的重要准则。通过传达组织的价值观，员工能够更好地理解组织对合规的重视，并自觉将其融入日常工作中；行为准则：制定详细的行为准则，为员工提供明确的行为指导。这些准则应具体、可操作，便于员工理解和执行。积极、公开和频繁的沟通；积极性：组织应主动与员工就合规事宜进行沟通，而非仅仅等待员工询问。通过定期组织合规培训、分享合规案例、发布合规资讯等方式，激发员工的合规意识和参与度；公开性：沟通内容应公开透明，确保所有员工都能获取到相关信息。这有助于消除信息不对称，增强员工的信任感和归属感；频繁性：合规沟通不应是一次性的活动，而应贯穿于员工的日常工作中。通过定期举行合规会议、开展合规问答、设立合规宣传栏等方式，保持合规信息的持续更新和传播。实施方式：多元化沟通渠道：利用企业内部网络、公告栏、邮件通知、会议等多种渠道进行合规沟通，确保信息的广泛传播；互动式沟通：鼓励员工参与合规讨论和反馈，通过问答、论坛等形式增进员工对合规政策的理解和认同。组织应实施控制以管理其合规义务和相关合规风险；《中央企业合规管理办法》提出的12项合规运行机制组织应实施有效的内部控制，采取控制措施降低或消除风险，确保其合规义务得到全面履行，包括（但不限于）以下方面：加强合规风险应对：针对发现的风险制定预案，采取有效措施，及时应对处置。对于重大合规风险事件，合规委员会统筹领导，合规管理负责人牵头，相关部门协同配合，最大限度化解风险、降低损失；合规咨询：建立合规咨询渠道，确保任何员工在经营管理行为中对涉及合规的问题感到疑虑时，可向合规管理部门进行咨询并能及时得到回应；建立明确的合规咨询渠道：确保员工在面临合规问题时能够及时获得帮助和指导的关键。当员工在经营管理行为中遇到涉及合规的疑虑或困惑时，这些渠道应为他们提供方便的咨询途径。确保咨询的有效性：合规管理部门应负责接收和处理员工的咨询，为员工提供准确、及时的回应。及时回应的必要性：当员工提出合规问题时，他们通常需要尽快得到答复，以便继续他们的工作。合规审查；合规审查按照业务涉及内容，由相应业务部门组织；合规审查作为必经程序：应将合规审查视为其经营管理流程中不可或缺的一环。在任何重要的决策或活动之前，都必须进行合规审查；建立健全的审查机制：建立并不断完善其合规审查机制，包括明确审查的范围（即哪些决策或活动需要接受审查）、审查的流程（如何进行审查、涉及哪些部门和人员等），以及审查的标准（用于评估合规性的具体准则或指标）。重大事项前的合规审查：在进行重大事项决策、重要合同签订或重大项目运营等关键经营管理活动之前，组织必须确保已经实施了合规审查；未经审查不得实施：如果某个决策或活动未经合规审查，或者审查结果表明其存在合规风险，那么组织不得实施该决策或活动。利益冲突管理：实施利益冲突的管理方法包括：防范为先：组织应采取措施（如信息隔离、回避等），防范利益冲突事件的发生；人员不兼任：存在利益冲突的业务部门之间，工作人员不能同时任职；高管权限清晰：每位高级管理人员原则上不应同时管理多个有利益冲突的业务部门；充分披露：若利益冲突难以避免，组织应公开相关信息，确保透明。合规风险预警：建立合规风险识别预警机制：组织应建立一套机制，用于识别和预警合规风险；系统分析合规风险：对于识别出的合规风险，组织应进行深入的系统分析；及时发布风险预警：在分析合规风险的基础上，组织应特别关注那些具有典型性、普遍性以及可能产生较严重后果的风险。一旦识别出此类风险，组织应立即发布预警，确保相关部门和人员及时知晓并采取相应的应对措施。预警的发布应做到及时、准确，确保信息的有效性。建立合规联席会议机制：融合现有管理体系，实现互联互通与信息共享。打破条块分割，将合规管理与现有管理体系相融合，实现互联互通、信息共享；研究提出合规政策，统筹解决重大问题。通过建立合规管理联席会议制度，研究提出合规管理重要政策，统筹解决合规管理重大问题，协调、推进合规管理各项工作；定期召开联席会议，全面部署合规管理工作。联席会议由合规管理负责人召集和主持，通过定期会议等形式研究、指导、协调、部署合规管理各项工作。建立合规报告制度：合规风险事件的报告：当组织内部发生较大的合规风险事件时，合规管理的牵头部门以及与此事件相关的其他部门有责任及时将事件报告给合规管理的负责人和分管领导。对于重大合规风险事件，除了向内部管理层报告外，还需要向国资委和有关部门进行报告，以满足外部监管和合规要求。年度合规管理工作总结与报告：合规管理的牵头部门有责任在每年年底对组织的合规管理工作进行全面的总结，起草年度报告，详细阐述组织在过去一年的合规管理工作情况、取得的成果以及面临的挑战。报告需经过董事会的审议通过，并及时报送给上级主管单位。合规检查和整改机制；合规检查的范围：组织应对所有经营管理活动进行全面的合规检查，确保这些活动严格遵守法律法规、监管机构的各项要求、组织内部的规章制度以及所处行业的规范；合规检查计划的制定与执行：每年年初应当制定合规检查工作计划，并按照工作计划开展合规检查工作。当组织或同行业出现重大合规风险时，还应当安排不定期合规检查；合规检查的流程：制定合规检查工作计划，组建检查小组，收集和评价检查证据，形成检查结论，撰写、审批和下发检查报告，开展合规整改。在不定期合规检查中，根据需要还可能进行危机处理。整改与优化建议：对于合规检查中发现的问题，被检查组织应当制定合规整改方案，积极开展整改工作，并在整改期限内完成整改，提出合规管理优化建议，形成合规管理的闭环。防止、发现和纠正不合规：防止不合规的发生：组织的控制体系能够预防不合规行为的发生，以显著降低不合规行为的风险。及时发现不合规：组织应建立有效的监控和审计机制，以便及时发现任何可能的不合规行为。包括定期对各项活动和运营环节进行合规性检查，以及设置举报渠道，鼓励员工和其他相关方主动报告不合规行为。纠正不合规行为：一旦发现不合规行为，组织应立即采取适当的纠正措施，包括停止不合规行为、进行整改、对责任人进行处罚等。同时，组织还应对不合规行为的原因进行深入分析，以便完善内部控制体系，防止类似行为的再次发生。强化违规问责：建立一套完善的违规行为处罚机制：明确规定哪些行为被视为违规，并为每种违规行为制定相应的处罚措施。处罚应该是公正、透明且与违规行为的严重性相匹配的。明晰违规责任范围与细化惩处标准：不仅要识别违规行为，还要清晰地界定每种违规行为所涉及的责任范围。此外，惩处标准也需要细化，以确保在处理违规事件时有明确的指导依据，避免主观臆断和不公平的处罚。畅通举报渠道与及时调查处理：组织应建立畅通的举报渠道，鼓励员工和其他相关方举报违规行为。一旦收到举报或发现问题线索，应立即开展调查，确保事实真相大白。对于查实的违规行为，必须严肃追究相关人员的责任，以示警诫并维护组织的合规文化。应对这些控制进行维护、定期评审和测试，以确保其持续有效。应对这些合规运行（合规义务和相关合规风险）控制进行维护；维护的重要性：合规运行环境是动态变化的，随