【可復(fù)制】《合規(guī)管理體系要求及使用指南》（GB／T35770-2022）

CCSAD2GB/T35770—2022/ISO37301:2021代黃GB/T35770—2017合規(guī)管理體系要求及使用指南2022-10-12發(fā)布2022-10-12實(shí)施國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)目次前言 5引言 71范圍 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4組織環(huán)境 4.1理解組織及其環(huán)境 4.2理解相關(guān)方的需要和期望 4.3確定合規(guī)管理體系的范圍 4.4合規(guī)管理體系 4.5合規(guī)義務(wù) 4.6合規(guī)風(fēng)險(xiǎn)評(píng)估 5領(lǐng)導(dǎo)作用 5.1領(lǐng)導(dǎo)作用和承諾 5.1.1治理機(jī)構(gòu)和最高管理者 5.1.2合規(guī)文化 5.1.3合規(guī)治理 5.2合規(guī)方針 5.3崗位、職責(zé)和權(quán)限 5.3.1治理機(jī)構(gòu)和最高管理者 5.3.2合規(guī)團(tuán)隊(duì) 5.3.3管理者 5.3.4人員 6策劃 6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施 6.2合規(guī)目標(biāo)及其實(shí)現(xiàn)的策劃 6.3針對(duì)變更的策劃 7.2能力 7.2.1通則 7.2.2聘用過(guò)程 7.2.3培訓(xùn) 7.5文件化信息 7.5.1通則 7.5.2文件化信息的創(chuàng)建和更新 7.5.3文件化信息的控制 8.1運(yùn)行的策劃和控制 8.2確立控制和程序 8.3提出疑慮 8.4調(diào)查過(guò)程 9績(jī)效評(píng)價(jià) 9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià) 9.1.1通則 9.1.2合規(guī)績(jī)效的反饋來(lái)源 9.1.3指標(biāo)的開(kāi)發(fā) 9.1.4合規(guī)報(bào)告 9.1.5記錄保存 9.2內(nèi)部審核 9.2.1通則 9.2.2內(nèi)部審核方案 9.3管理評(píng)審 9.3.1通則 9.3.2管理評(píng)審輸入 9.3.3管理評(píng)審結(jié)果 10.1持續(xù)改進(jìn) 10.2不符合與糾正措施 (資料性)本文件使用指南 A.1背景和范圍 A.1.1概述 A.2規(guī)范性引用文件 A.3術(shù)語(yǔ)和定義 A.4組織環(huán)境 A.4.1理解組織及其環(huán)境 A.4.2理解相關(guān)方的需要和期望 A.4.3確定合規(guī)管理體系的范圍 A.4.4合規(guī)管理體系 A.4.5合規(guī)義務(wù) A.4.6合規(guī)風(fēng)險(xiǎn)評(píng)估 A.5領(lǐng)導(dǎo)作用 A.5.1領(lǐng)導(dǎo)作用和承諾 A.5.3崗位、職責(zé)和權(quán)限 A.6策劃 A.6.1風(fēng)險(xiǎn)與機(jī)會(huì)的應(yīng)對(duì)措施 A.6.2合規(guī)目標(biāo)及其實(shí)現(xiàn)的策劃 A.7支持 A.7.2能力 A.7.3意識(shí) A.7.4溝通 A.7.5文件化信息 A.8運(yùn)行 A.8.1運(yùn)行的策劃和控制 A.8.2確立控制和程序 A.9績(jī)效評(píng)價(jià) A.9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià) A.10.2不符合與糾正措施 附錄NA(資料性)補(bǔ)充使用指南 NA.1合規(guī)義務(wù) NA.1.3法院判決、檢察決定、指導(dǎo)性案例和司法解釋 NA.1.4強(qiáng)制性標(biāo)準(zhǔn) NA.2合規(guī)文化 NA.2.1合規(guī)文化的價(jià)值 NA.2.2合規(guī)文化的建立、維護(hù)、推廣和實(shí)施 NA.3數(shù)字化與合規(guī)管理 NA.3.1概述 NA.3.2理解組織及其環(huán)境的數(shù)字化變革 NA.3.3在合規(guī)管理體系中應(yīng)用數(shù)字技術(shù) NA.4管理體系一體化融合 NA.4.2融合的范圍、方法與路徑 參考文獻(xiàn) 前言本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。——更改了文件類型，由指南類管理體系標(biāo)準(zhǔn)修改為要求類管理測(cè)量、監(jiān)視、治理機(jī)構(gòu)、合規(guī)風(fēng)險(xiǎn)、合規(guī)義務(wù)、合規(guī)、不合規(guī)、程序本文件等同采用ISO37301:2021《合規(guī)管理體系要求及使用指——術(shù)語(yǔ)3.14增加了注，對(duì)要求做了進(jìn)一步解釋；——術(shù)語(yǔ)3.28增加了注，對(duì)組織價(jià)值觀進(jìn)行了解釋；——考慮到本文件在我國(guó)的適用性，增加了附錄NA(資料性)。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中國(guó)標(biāo)準(zhǔn)化研究院提出并歸口。本文件起草單位：中國(guó)標(biāo)準(zhǔn)化研究院、北京大成律師事務(wù)所、中國(guó)石油天然氣集團(tuán)有限公司、中標(biāo)合信(北京)認(rèn)證有限公司、中建科技集團(tuán)有限公司、北京在禮合規(guī)信息技術(shù)有限公司、北京大成(上海)律師事務(wù)所、中國(guó)工商銀行股份有限公司、中國(guó)質(zhì)量認(rèn)證中心、通標(biāo)標(biāo)準(zhǔn)技術(shù)服務(wù)有限公司、中國(guó)信息通信研究院、北京康柏漢森醫(yī)藥科技咨詢有限責(zé)任公司、北京申永企業(yè)管理咨詢有限公司、上海段和段律師事務(wù)所、山東魯源節(jié)能認(rèn)證技術(shù)工程有限公司。本文件主要起草人：王益誼、杜曉燕、徐永前、吳學(xué)靜、蔣漢才、李近宇、王耕杰、王超、張利賓、李鐵男、胡國(guó)輝、陳立彤、樊光中、牛娜娜、張怡、王培勛、辛斌、李文宇、劉翠東、任建芝、劉紅霞、盧博宇、姚竹新、呂菊萍、張波、溫利峰、張大春、尹云霞、逢華。本文件所代替文件的歷次版本發(fā)布情況為：——2017年首次發(fā)布為GB/T35770-2017:——本次為第一次修訂。為獲得長(zhǎng)遠(yuǎn)發(fā)展，組織需基于相關(guān)方的需要和期望確立并維護(hù)合規(guī)文化。因此，合規(guī)是實(shí)現(xiàn)組織成功和持續(xù)發(fā)展的基石和機(jī)會(huì)。合規(guī)是一個(gè)持續(xù)的過(guò)程，也是組織履行其義務(wù)的結(jié)果。合規(guī)的可持續(xù)性體現(xiàn)在將合規(guī)融入組織文化以及為組織工作的人的行為和意識(shí)。合規(guī)管理在保持獨(dú)立性的同時(shí)，最好與組織的其他管理過(guò)程、運(yùn)行需求和程序相結(jié)合。一個(gè)全面有效的合規(guī)管理體系，能證實(shí)組織承諾并致力于遵守相關(guān)法律、監(jiān)管要求、行業(yè)準(zhǔn)則和組織標(biāo)準(zhǔn)，以及良好治理標(biāo)準(zhǔn)、普遍接受的最佳實(shí)踐、道德規(guī)范和社區(qū)期望。組織的領(lǐng)導(dǎo)層運(yùn)用核心價(jià)值觀、普遍接受的良好治理方法、道德規(guī)范和社會(huì)準(zhǔn)則來(lái)塑造組織的合規(guī)之道。將合規(guī)融入為組織工作的人員的行為取決于組織各層級(jí)的領(lǐng)導(dǎo)作用、組織的清晰價(jià)值觀以及組織對(duì)促進(jìn)合規(guī)行為措施的認(rèn)可和實(shí)施。如果組織的各層級(jí)不能做到上述各點(diǎn)，則面臨不合規(guī)的風(fēng)險(xiǎn)。在許多司法管轄區(qū)，法院在對(duì)違反相關(guān)法律的行為做出適當(dāng)處罰的決定時(shí)，根據(jù)組織的合規(guī)管理體系考慮了其合規(guī)承諾。因此，監(jiān)管部門(mén)和司法機(jī)構(gòu)也能利用本文件對(duì)標(biāo)而受益。通過(guò)推行具有約束力的價(jià)值觀和實(shí)施適當(dāng)?shù)暮弦?guī)管理，組織將更加確信其可以有效維護(hù)自身誠(chéng)信，避免或盡量減少違反組織的合規(guī)義務(wù)。因此，誠(chéng)信和有效合規(guī)是組織實(shí)現(xiàn)良好勤勉管理的關(guān)鍵要素。合規(guī)還有助于組織履行社會(huì)責(zé)任。本文件的目標(biāo)之一是協(xié)助組織開(kāi)發(fā)和傳播積極的合規(guī)文化。建議組織將合規(guī)相關(guān)風(fēng)險(xiǎn)的有效及合理管理視為可追求和利用的機(jī)會(huì)，因其為組織提供下列優(yōu)勢(shì)：——增加業(yè)務(wù)機(jī)會(huì)、促進(jìn)可持續(xù)發(fā)展；——保護(hù)并提升組織的聲譽(yù)和信譽(yù)；——考慮各相關(guān)方的期望；——證實(shí)組織切實(shí)有效管理其合規(guī)風(fēng)險(xiǎn)的承諾；——提升第三方對(duì)組織取得持續(xù)成功的信心；——最大限度地降低違規(guī)行為導(dǎo)致的風(fēng)險(xiǎn)及相應(yīng)的成本和聲譽(yù)損失。本文件規(guī)定了合規(guī)管理體系的要求，并提供了使用指南和推薦做法。本文件中的要求與指南旨在具有適應(yīng)性，根據(jù)組織合規(guī)管理體系規(guī)模和成熟度的不同，以及組織活動(dòng)和目標(biāo)所處的環(huán)境、性質(zhì)及其復(fù)雜程度的不同，其實(shí)施方式有所不同。本文件適用于加強(qiáng)其他管理體系的合規(guī)相關(guān)要求的履行，有助于提升組織對(duì)所有合規(guī)義務(wù)的統(tǒng)籌管理。圖1概述了合規(guī)管理體系的常見(jiàn)要件。誠(chéng)信文化符合聲譽(yù)價(jià)值道德規(guī)范原則誠(chéng)信良好治理匹配透明問(wèn)責(zé)可持續(xù)各級(jí)承諾管理不合規(guī)管理不合規(guī)持續(xù)改進(jìn)合規(guī)方針崗位和職責(zé)義務(wù)和風(fēng)險(xiǎn)改進(jìn)策劃改進(jìn)建立書(shū)執(zhí)行檢查執(zhí)行內(nèi)部審核管理評(píng)審監(jiān)視和測(cè)量提出疑慮調(diào)查過(guò)程支持能力和意識(shí)溝通和培訓(xùn)運(yùn)行控制和程序文件化組織及其環(huán)境法律社會(huì)文化數(shù)字化賬務(wù)結(jié)構(gòu)環(huán)境相關(guān)方圖1合規(guī)管理體系要件本文件使用如下能愿動(dòng)詞：——“應(yīng)”表示要求；——“宜”表示推薦；——“可”表示允許；——“能”表示能力或可能性。本文件“注”的信息是理解或說(shuō)明相關(guān)要求的指南。附錄A提供了本文件的使用指南，附錄NA提供了本文件的補(bǔ)充使用指南。合規(guī)管理體系要求及使用指南本文件規(guī)定了組織建立、開(kāi)發(fā)、實(shí)施、評(píng)價(jià)、維護(hù)和改進(jìn)有效的合規(guī)管理體系的要求，并提供了指南。本文件適用于所有類型的組織，不論其類型、規(guī)模、性質(zhì)，也不論其是公共的、私營(yíng)的或非營(yíng)利性的。如果組織內(nèi)沒(méi)有設(shè)立獨(dú)立的治理機(jī)構(gòu)，則本文件中規(guī)定的所有關(guān)于治理機(jī)構(gòu)的要求都適用于最高管理者。2規(guī)范性引用文件本文件沒(méi)有規(guī)范性引用文件。3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。為實(shí)現(xiàn)目標(biāo)(3.6),由職責(zé)、權(quán)限和相互關(guān)系構(gòu)成自身功能的一個(gè)人或一組人。注1:組織的概念包括但不限于個(gè)體經(jīng)營(yíng)者、公司、集團(tuán)公司、商行，企事業(yè)單位、行政機(jī)構(gòu)、合伙企業(yè)、慈善機(jī)構(gòu)或研究機(jī)構(gòu)，或上述組織的部分或組合，無(wú)論是否具有法人資格，公有或私有。注2:如果組織是大型實(shí)體的某個(gè)組成部分，那么,術(shù)語(yǔ)“組織”僅指在合規(guī)管理體系(3.4)范圍內(nèi)的這個(gè)組成部分。利益相關(guān)方stakeholder(許用術(shù)能夠影響決策或活動(dòng)、受決策或活動(dòng)影響或自認(rèn)為受決策或活動(dòng)影響的個(gè)人或組織(3.1)。在最高層指揮和控制組織(3.1)的一個(gè)人或一組人。注1:最高管理者有權(quán)在組織內(nèi)部授權(quán)和提供資源。注2:如果管理體系(3.4)的范圍僅覆蓋組織的某個(gè)組成部分，那么最高管理者是指揮和控制該部分的一個(gè)人或一組人。注3:本文件中，“最高管理者”指最高級(jí)別的執(zhí)行管理層。組織(3.1)為確立方針(3.5)和目標(biāo)(3.6)以及實(shí)現(xiàn)這些目標(biāo)的過(guò)程(3.8)所形成的相互關(guān)聯(lián)或相互作用的一組要件。注1:一個(gè)管理體系可能針對(duì)一個(gè)或幾個(gè)主題。注2:管理體系要件包括組織的結(jié)構(gòu)、崗位和職責(zé)、策劃和運(yùn)行。由最高管理者(3.3)正式表述的組織(3.1)的意圖和方向。注：方針也可能由組織的治理機(jī)構(gòu)(3.21)正式表述。要實(shí)現(xiàn)的結(jié)果。注1:目標(biāo)可能是戰(zhàn)略的、戰(zhàn)術(shù)的或運(yùn)行的。注2:目標(biāo)可能涉及不同的主題(如財(cái)務(wù)、健康和安全、環(huán)境)。它們可能存在于不同層面，諸如組織整體層面或項(xiàng)目、產(chǎn)品、服務(wù)或過(guò)程(3.8)層面。注3:目標(biāo)能夠用其他方式表述，如：預(yù)期的結(jié)果、宗旨、運(yùn)行準(zhǔn)則，合規(guī)(3.26)目標(biāo)或使用其他有類似含義的詞(如：終點(diǎn)或指標(biāo))。注4:在合規(guī)管理體系(3.4)中，組織(3.1)設(shè)定的合規(guī)目標(biāo)與合規(guī)方針(3.5)保持一致，以實(shí)現(xiàn)特定的結(jié)果。不確定性對(duì)目標(biāo)(3.6)的影響。注1:影響是對(duì)預(yù)期的偏離——正面的或負(fù)面的。注2:不確定性是一種狀態(tài)，是指對(duì)某個(gè)事件、事件的后果或可能性缺乏甚至部分缺乏相關(guān)信息、理解或知識(shí)。注3:通常，風(fēng)險(xiǎn)以潛在事件(見(jiàn)ISOGuide73的定義)和后果(見(jiàn)的定義)或二者的組合來(lái)描述其特性。注4:通常，風(fēng)險(xiǎn)以某個(gè)事件的后果(包括情況的變化)及其發(fā)生的可能性(見(jiàn)ISOGuide73的定義)的組合來(lái)表述。使用或轉(zhuǎn)化輸入以實(shí)現(xiàn)結(jié)果的一組相互關(guān)聯(lián)或相互作用的活動(dòng)。注：某個(gè)過(guò)程的結(jié)果是稱為輸出，還是稱為產(chǎn)品或服務(wù)，取決于相關(guān)應(yīng)用知識(shí)和技能實(shí)現(xiàn)預(yù)期結(jié)果的本領(lǐng)。組織(3.1)需要控制和維護(hù)的信息及其載體。組織(3.1)需要控制和維護(hù)的信息及其載體。注1:文件化信息能夠以任何形式和載體存在，且來(lái)源不限。注2:文件化信息可能涉及：——管理體系(3.4),包括相關(guān)過(guò)程(3.8);——為組織運(yùn)行而創(chuàng)建的信息(文件);——實(shí)現(xiàn)的結(jié)果的證據(jù)(記錄)?？蓽y(cè)量的結(jié)果。注1:績(jī)效可能涉及定量的或定性的結(jié)果。注2:績(jī)效可能與活動(dòng)、過(guò)程(3.8)、產(chǎn)品、服務(wù)、體系或組織(3.1)提高績(jī)效(3.11)的循環(huán)活動(dòng)。完成策劃的活動(dòng)和實(shí)現(xiàn)策劃的結(jié)果的程度。規(guī)定的、不言而喻的或有義務(wù)履行的需要或期望。注1:不言而喻的或有義務(wù)履行的需要或期望是指需求。其中，“不言而喻”是指組織(3.1)和相關(guān)方(3.2)的慣例或一般做法，不言而喻的需要或期望是不用說(shuō)就明白的。注2:規(guī)定的需要或期望是指要求，也就是符合GB/T1.1-2020中定義的要求，即表達(dá)聲明符合該文件需要滿足的客觀可證實(shí)的準(zhǔn)則。注3:規(guī)定的需要或期望是指要求，例如文件化信息(3.10)中。滿足要求(3.14)。未滿足要求(3.14)。注：不符合不一定是不合規(guī)(3.27)。為了消除不符合(3.16)的原因并預(yù)防再次發(fā)生所采取的措施。獲取審核證據(jù)并對(duì)其進(jìn)行客觀評(píng)價(jià)，以確定審核準(zhǔn)則滿足程度所進(jìn)行的系統(tǒng)的、獨(dú)立的過(guò)程(3.8)。注1:審核可能為內(nèi)部(第一方)審核或外部[第二方或第三方(3.30)]審核，也可能為多體系審核(合并兩個(gè)或多個(gè)主題)。注2:內(nèi)部審核由組織(3.1)自行實(shí)施或代表組織的外部機(jī)構(gòu)實(shí)施。注3:“審核證據(jù)”和“審核準(zhǔn)則”的定義見(jiàn)ISO19011。注4:獨(dú)立性能通過(guò)對(duì)正在被審核的活動(dòng)免于承擔(dān)責(zé)任或無(wú)偏見(jiàn)和利益沖突來(lái)證實(shí)。確定數(shù)值的過(guò)程(3.8)。確定體系、過(guò)程(3.8)或活動(dòng)的狀態(tài)。注：確定狀態(tài)可能需要檢查、監(jiān)督或嚴(yán)格觀察。對(duì)組織(3.1)的活動(dòng)、治理、方針(3.5)負(fù)有最終職責(zé)和權(quán)限的一個(gè)人或一組人，最高管理者(3.3)向其報(bào)告并對(duì)其負(fù)責(zé)。注1:并不是所有的組織，尤其是小型組織，都會(huì)有一個(gè)獨(dú)立于最高管理者的治理機(jī)構(gòu)。注2:治理機(jī)構(gòu)可能包括但不限于董事會(huì)、董事會(huì)委員會(huì)、監(jiān)事會(huì)或受托人。在國(guó)家法律或?qū)嵺`中被確認(rèn)為工作關(guān)系的個(gè)人，或依賴于組織(3.1)活動(dòng)的任何合同關(guān)系中的個(gè)人。對(duì)合規(guī)(3.26)管理體系(3.4)運(yùn)行負(fù)有職責(zé)、享有權(quán)限的一個(gè)人或一組人。注：最好指定一人負(fù)責(zé)合規(guī)管理體系的監(jiān)督。因未遵守組織(3.1)合規(guī)義務(wù)(3.25)而發(fā)生不合規(guī)(3.27)的可能性及其后果。組織(3.1)強(qiáng)制性地必須遵守的要求(3.14),以及組織自愿選擇遵履行組織(3.1)的全部合規(guī)義務(wù)(3.25)。未履行合規(guī)義務(wù)(3.25)。貫穿整個(gè)組織(3.1)的價(jià)值觀、道德規(guī)范、信仰和行為(3.29),并與組織結(jié)構(gòu)和控制系統(tǒng)相互作用，產(chǎn)生有利于合規(guī)(3.26)的行為規(guī)注：價(jià)值觀是組織所崇尚的文化的核心，是組織行為的基本原則。影響顧客、員工、供應(yīng)商、市場(chǎng)和社區(qū)結(jié)果的舉動(dòng)和實(shí)踐。獨(dú)立于組織(3.1)的個(gè)人或機(jī)構(gòu)。注：所有業(yè)務(wù)伙伴都是第三方，但并非所有第三方都是業(yè)務(wù)伙伴。為進(jìn)行某項(xiàng)活動(dòng)或過(guò)程(3.8)所規(guī)定的途徑。4組織環(huán)境4.1理解組織及其環(huán)境組織應(yīng)確定與其宗旨相關(guān)的，并影響其實(shí)現(xiàn)合規(guī)管理體系預(yù)期結(jié)果的能力的內(nèi)部和外部事項(xiàng)。為此，組織應(yīng)結(jié)合諸多事項(xiàng)，包括但不限于：——業(yè)務(wù)模式，包括組織活動(dòng)和運(yùn)行的戰(zhàn)略、性質(zhì)、規(guī)模、復(fù)雜——與第三方業(yè)務(wù)關(guān)系的性質(zhì)和范圍；——法律和監(jiān)管環(huán)境；——社會(huì)、文化、環(huán)境背景；——內(nèi)部結(jié)構(gòu)、方針、過(guò)程、程序和資源，包括技術(shù)；——自身的合規(guī)文化。4.2理解相關(guān)方的需要和期望——與合規(guī)管理體系有關(guān)的相關(guān)方；——這些相關(guān)方的有關(guān)需求；——哪些需求將通過(guò)合規(guī)管理體系予以解決。4.3確定合規(guī)管理體系的范圍組織應(yīng)確定合規(guī)管理體系的邊界和適用性，以確立其范圍。注：合規(guī)管理體系的范圍旨在理清組織面臨的主要合規(guī)風(fēng)險(xiǎn)，以及合規(guī)管理體系適用的地理和/或組織邊界，尤其當(dāng)組織是較大實(shí)體的一部分時(shí)。組織應(yīng)根據(jù)以下內(nèi)容確定合規(guī)管理體系的范圍：——4.1提及的內(nèi)部和外部事項(xiàng)；——4.2、4.5和4.6提及的需求。范圍應(yīng)作為文件化信息可獲取。4.4合規(guī)管理體系組織根據(jù)本文件的要求，應(yīng)建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)合規(guī)管理體系，包括所需的過(guò)程及其相互作用。合規(guī)管理體系應(yīng)反映組織的價(jià)值觀、目標(biāo)、戰(zhàn)略和合規(guī)風(fēng)險(xiǎn)，并且應(yīng)結(jié)合組織環(huán)境(見(jiàn)4.1)。4.5合規(guī)義務(wù)組織應(yīng)系統(tǒng)識(shí)別來(lái)源于組織活動(dòng)、產(chǎn)品和服務(wù)的合規(guī)義務(wù)，并評(píng)估其對(duì)運(yùn)行所產(chǎn)生的影響。組織應(yīng)建立過(guò)程以：a)識(shí)別新增及變更的合規(guī)義務(wù)，確保持續(xù)合規(guī)；b)評(píng)價(jià)已識(shí)別的變更的義務(wù)所產(chǎn)生的影響，并對(duì)合規(guī)義務(wù)管理實(shí)施必要的調(diào)整。組織應(yīng)維護(hù)其合規(guī)義務(wù)的文件化信息。4.6合規(guī)風(fēng)險(xiǎn)評(píng)估組織應(yīng)基于合規(guī)風(fēng)險(xiǎn)評(píng)估，識(shí)別、分析和評(píng)價(jià)其合規(guī)風(fēng)險(xiǎn)。組織應(yīng)通過(guò)將其合規(guī)義務(wù)與活動(dòng)、產(chǎn)品、服務(wù)以及運(yùn)行的相關(guān)方面關(guān)聯(lián)，來(lái)識(shí)別合規(guī)風(fēng)險(xiǎn)。組織應(yīng)評(píng)估與外包的和第三方的過(guò)程相關(guān)的合規(guī)風(fēng)險(xiǎn)。組織應(yīng)定期評(píng)估合規(guī)風(fēng)險(xiǎn)，并在組織環(huán)境發(fā)生重大變化時(shí)進(jìn)行評(píng)組織應(yīng)保留有關(guān)合規(guī)風(fēng)險(xiǎn)評(píng)估和應(yīng)對(duì)合規(guī)風(fēng)險(xiǎn)措施的文件化信5領(lǐng)導(dǎo)作用5.1領(lǐng)導(dǎo)作用和承諾5.1.1治理機(jī)構(gòu)和最高管理者治理機(jī)構(gòu)和最高管理者應(yīng)通過(guò)以下方面證實(shí)其對(duì)合規(guī)管理體系——確保合規(guī)方針和合規(guī)目標(biāo)得以確立，并與組織的戰(zhàn)略方向一——確保將合規(guī)管理體系要求融入組織的業(yè)務(wù)過(guò)程；——確保合規(guī)管理體系所需的資源可獲??；——就有效的合規(guī)管理的重要性以及符合合規(guī)管理體系要求的——確保合規(guī)管理體系實(shí)現(xiàn)其預(yù)期結(jié)果；——指導(dǎo)和支持人員為合規(guī)管理體系的有效性作出貢獻(xiàn)；——支持其他相關(guān)崗位在職責(zé)范圍內(nèi)證實(shí)其領(lǐng)導(dǎo)作用。注：本文件中提到的“業(yè)務(wù)”能夠廣義地理解為涉及組織宗旨的治理機(jī)構(gòu)和最高管理者應(yīng)：——確立和堅(jiān)持組織的價(jià)值觀；——確保制定并實(shí)施方針、過(guò)程和程序，以實(shí)現(xiàn)合規(guī)目標(biāo)：——確保能及時(shí)獲知合規(guī)事件，包括不合規(guī)情況，并確保采取適——確保維護(hù)合規(guī)承諾，并妥善處理不合規(guī)和不合規(guī)行為；——視情況確保合規(guī)責(zé)任在工作職責(zé)說(shuō)明中得到體現(xiàn)；——任命或提名合規(guī)團(tuán)隊(duì)(見(jiàn)5.3.2);——確保根據(jù)8.3確立了提出和解決疑慮的機(jī)制。5.1.2合規(guī)文化組織應(yīng)在其內(nèi)部各個(gè)層級(jí)建立、維護(hù)并推進(jìn)合規(guī)文化。治理機(jī)構(gòu)、最高管理者和管理者應(yīng)證實(shí)，對(duì)于整個(gè)組織所要求的最高管理者應(yīng)鼓勵(lì)創(chuàng)建和支持合規(guī)的行為，應(yīng)阻止且不容忍損害合規(guī)的行為。治理機(jī)構(gòu)和最高管理者應(yīng)確保下列原則得到實(shí)施：——合規(guī)團(tuán)隊(duì)?wèi)?yīng)能直接接觸治理機(jī)構(gòu)；——合規(guī)團(tuán)隊(duì)的獨(dú)立性；——合規(guī)團(tuán)隊(duì)具有適當(dāng)?shù)臋?quán)限和能力。注1:直接接觸包括：向治理機(jī)構(gòu)的直接匯報(bào)線、定期提交報(bào)告注2:獨(dú)立性是指合規(guī)團(tuán)隊(duì)的運(yùn)行不受任何不當(dāng)干擾和/或壓力。5.2合規(guī)方針治理機(jī)構(gòu)和最高管理者應(yīng)確立合規(guī)方針，該方針：a)適合于組織的宗旨，b)為設(shè)定合規(guī)目標(biāo)提供框架，c)包括滿足適用需求的承諾，d)包括持續(xù)改進(jìn)合規(guī)管理體系的承諾?！c組織的價(jià)值觀、目標(biāo)和戰(zhàn)略保持一致；——要求遵守組織的合規(guī)義務(wù)；——根據(jù)5.1.3支持合規(guī)治理原則；——提及并描述合規(guī)職能；——概述不遵守組織的合規(guī)義務(wù)、方針、過(guò)程和程序的后果；——鼓勵(lì)提出疑慮，并且禁止任何形式的報(bào)復(fù)；——用通俗易懂的語(yǔ)言書(shū)寫(xiě)，易于所有人員理解其原則和意圖；——被適當(dāng)?shù)貙?shí)施和執(zhí)行；——作為文件化信息可獲??；——在組織內(nèi)予以溝通；——視情況，可被相關(guān)方獲取。5.3崗位、職責(zé)和權(quán)限5.3.1治理機(jī)構(gòu)和最高管理者治理機(jī)構(gòu)和最高管理者應(yīng)確保在組織內(nèi)分配并溝通相關(guān)崗位的職責(zé)和權(quán)限。治理機(jī)構(gòu)和最高管理者應(yīng)分配職責(zé)和權(quán)限，以便：a)確保合規(guī)管理體系符合本文件的要求；b)獲得合規(guī)管理體系績(jī)效的報(bào)告。治理機(jī)構(gòu)應(yīng)：——確保根據(jù)合規(guī)目標(biāo)的實(shí)現(xiàn)情況對(duì)最高管理者進(jìn)行衡量；——對(duì)最高管理者運(yùn)行合規(guī)管理體系的情況進(jìn)行監(jiān)督?！獮榻?、制定、實(shí)施、評(píng)價(jià)、維護(hù)和改進(jìn)合規(guī)管理體系配置足夠且適當(dāng)?shù)馁Y源；——確保建立及時(shí)有效的合規(guī)績(jī)效報(bào)告制度；——確保戰(zhàn)略和運(yùn)行目標(biāo)與合規(guī)義務(wù)相協(xié)同；——確立和維護(hù)問(wèn)責(zé)機(jī)制，包括紀(jì)律處分和結(jié)果；——確保合規(guī)績(jī)效與人員績(jī)效考核掛鉤。5.3.2合規(guī)團(tuán)隊(duì)合規(guī)團(tuán)隊(duì)?wèi)?yīng)負(fù)責(zé)合規(guī)管理體系的運(yùn)行，包括：——推進(jìn)識(shí)別合規(guī)義務(wù)；——編制合規(guī)風(fēng)險(xiǎn)評(píng)估文件(見(jiàn)4.6);——使合規(guī)管理體系與合規(guī)目標(biāo)保持一致；——監(jiān)視和測(cè)量合規(guī)績(jī)效；——分析和評(píng)價(jià)合規(guī)管理體系的績(jī)效，以確認(rèn)是否需要采取糾正——確立合規(guī)報(bào)告和文件化制度；——確保按策劃的時(shí)間間隔對(duì)合規(guī)管理體系進(jìn)行評(píng)審(見(jiàn)9.2和——確立提出疑慮和確保疑慮得到解決的制度?！男幸炎R(shí)別的合規(guī)義務(wù)的職責(zé)在整個(gè)組織內(nèi)得到適當(dāng)分配；——合規(guī)義務(wù)與方針、過(guò)程和程序的整合；——所有相關(guān)人員按要求接受培訓(xùn)；——確立合規(guī)績(jī)效指標(biāo)?！谷藛T可獲得與合規(guī)方針、過(guò)程和程序有關(guān)的資源；——就合規(guī)相關(guān)事項(xiàng)向組織提供建議。注：合規(guī)團(tuán)隊(duì)的特定職責(zé)并不免除其他人員的合規(guī)責(zé)任。組織應(yīng)確保合規(guī)團(tuán)隊(duì)能接觸：——高級(jí)決策者，并有機(jī)會(huì)在決策早期提出建議；——組織的所有層級(jí)；——所有人員、文件化信息和所需的數(shù)據(jù)；——專家關(guān)于相關(guān)法律、法規(guī)、準(zhǔn)則和組織標(biāo)準(zhǔn)提出的建議。管理者應(yīng)通過(guò)以下方式對(duì)其職責(zé)范圍內(nèi)的合規(guī)工作負(fù)責(zé)：配合和支持合規(guī)團(tuán)隊(duì)，并鼓勵(lì)人員也這么做；確保在其控制下的所有人員都遵守組織的合規(guī)義務(wù)、方針、過(guò)程和程序；識(shí)別其運(yùn)行中的合規(guī)風(fēng)險(xiǎn)并進(jìn)行溝通；在其職責(zé)范圍內(nèi)將合規(guī)義務(wù)融入現(xiàn)有的業(yè)務(wù)實(shí)踐和程序；參加并協(xié)助合規(guī)培訓(xùn)活動(dòng)；培養(yǎng)人員的合規(guī)意識(shí)，指導(dǎo)他們滿足培訓(xùn)和能力要求；鼓勵(lì)并支持人員提出合規(guī)疑慮，并防止任何形式的報(bào)復(fù)；根據(jù)要求積極參與合規(guī)相關(guān)事件和事項(xiàng)的管理、解決；確保一經(jīng)確認(rèn)需要采取糾正措施時(shí)，適當(dāng)?shù)募m正措施能得到推薦和實(shí)施。所有人員應(yīng)：——遵守組織的合規(guī)義務(wù)、方針、過(guò)程和程序；——報(bào)告合規(guī)疑慮、問(wèn)題和漏洞；——根據(jù)要求參加培訓(xùn)。6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施在策劃合規(guī)管理體系時(shí)，組織應(yīng)根據(jù)4.1提及的事項(xiàng)和4.2提及的需求，并確定需要應(yīng)對(duì)的風(fēng)險(xiǎn)和機(jī)會(huì)，以便：——確保合規(guī)管理體系能夠?qū)崿F(xiàn)預(yù)期結(jié)果，——預(yù)防或減少不利影響，——實(shí)現(xiàn)持續(xù)改進(jìn)。在策劃合規(guī)管理體系時(shí)，組織應(yīng)結(jié)合：——其合規(guī)目標(biāo)(見(jiàn)6.2),——經(jīng)識(shí)別的合規(guī)義務(wù)(見(jiàn)4.5),——合規(guī)風(fēng)險(xiǎn)評(píng)估結(jié)果(見(jiàn)4.6)。a)應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)會(huì)的措施；1)將措施納入合規(guī)管理體系過(guò)程并實(shí)施，2)評(píng)價(jià)這些措施的有效性。6.2合規(guī)目標(biāo)及其實(shí)現(xiàn)的策劃組織應(yīng)在相關(guān)職能和層級(jí)上確立合規(guī)目標(biāo)。a)與合規(guī)方針一致；b)可測(cè)量(如果可行);c)體現(xiàn)適用的需求；f)視情況予以更新；g)作為文件化信息可獲取。策劃如何實(shí)現(xiàn)合規(guī)目標(biāo)時(shí)，組織應(yīng)確定：——要做什么,——由誰(shuí)負(fù)責(zé)，——何時(shí)完成，——如何評(píng)價(jià)結(jié)果。6.3針對(duì)變更的策劃當(dāng)組織確定需要變更合規(guī)管理體系時(shí)，應(yīng)對(duì)這些變更的實(shí)施進(jìn)行組織應(yīng)結(jié)合：變更目的及其潛在后果；合規(guī)管理體系設(shè)計(jì)和運(yùn)行的有效性；足夠的資源的可獲取性；職責(zé)和權(quán)限的分配或再分配。7支持為建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)合規(guī)管理體系，組織應(yīng)確定并提7.2能力——確定在其控制下工作、影響合規(guī)績(jī)效的人員所需的能力；——確保這些人員在適當(dāng)?shù)慕逃⑴嘤?xùn)或經(jīng)驗(yàn)的基礎(chǔ)上勝任工——適用時(shí)，采取措施獲得所需的能力，并評(píng)價(jià)所采取措施的有效性。適當(dāng)?shù)奈募畔?yīng)作為能力證據(jù)可獲取。注：適當(dāng)?shù)拇胧┛赡馨?，例如：向現(xiàn)有人員提供培訓(xùn)、指導(dǎo)或重新分配工作；或者聘用或勞務(wù)雇用能夠勝任的人員。7.2.2聘用過(guò)程組織應(yīng)針對(duì)其所有人員開(kāi)發(fā)、確立、實(shí)施和維護(hù)以下過(guò)程：a)要求人員遵守組織的合規(guī)義務(wù)、方針、過(guò)程和程序，作為人員的聘用條件；b)在聘用后的適當(dāng)期間內(nèi)，新聘用人員能獲得合規(guī)方針的副本或者有渠道獲得合規(guī)方針，并獲得關(guān)于合規(guī)方針的培訓(xùn)；c)對(duì)于違反組織合規(guī)義務(wù)、方針、過(guò)程和程序的人員，應(yīng)采取適當(dāng)?shù)募o(jì)律處分。作為聘用過(guò)程的一部分，組織應(yīng)結(jié)合崗位和人員可能引發(fā)的合規(guī)風(fēng)險(xiǎn)，在任何聘用、調(diào)動(dòng)和晉升之前按要求進(jìn)行盡職調(diào)查。組織應(yīng)實(shí)施對(duì)績(jī)效目標(biāo)、績(jī)效獎(jiǎng)金和其他激勵(lì)措施進(jìn)行定期評(píng)審的過(guò)程，以驗(yàn)證是否有適當(dāng)?shù)拇胧﹣?lái)防止鼓勵(lì)不合規(guī)。7.2.3培訓(xùn)組織應(yīng)定期對(duì)有關(guān)人員進(jìn)行培訓(xùn)，培訓(xùn)應(yīng)在聘用開(kāi)始時(shí)和組織策劃的時(shí)間間隔實(shí)施。培訓(xùn)應(yīng)：a)適合于人員的崗位及其面臨的合規(guī)風(fēng)險(xiǎn)；b)進(jìn)行有效性評(píng)估；c)進(jìn)行定期評(píng)審。結(jié)合已識(shí)別的合規(guī)風(fēng)險(xiǎn)，組織應(yīng)確保實(shí)施程序?qū)Υ斫M織開(kāi)展業(yè)務(wù)并可能給組織帶來(lái)合規(guī)風(fēng)險(xiǎn)的第三方進(jìn)行培訓(xùn)，提高其合規(guī)意識(shí)。培訓(xùn)記錄應(yīng)作為文件化信息予以保留。7.3意識(shí)在組織控制下工作的人員應(yīng)知道：——合規(guī)方針；——他們對(duì)合規(guī)管理體系有效性的貢獻(xiàn)，包括改善合規(guī)績(jī)效帶來(lái)——不符合合規(guī)管理體系要求的后果；——提出合規(guī)疑慮的方法和程序(見(jiàn)8.3);——工作崗位的合規(guī)義務(wù)與合規(guī)方針的關(guān)系；——支持合規(guī)文化的重要性。7.4溝通組織應(yīng)確定與合規(guī)管理體系有關(guān)的內(nèi)部和外部溝通，包括：a)溝通什么,——結(jié)合溝通需求，綜合考慮溝通的多樣性和潛在障礙；——確立溝通的過(guò)程，確保結(jié)合了相關(guān)方的意見(jiàn)；——在確立溝通過(guò)程時(shí)：應(yīng)將其合規(guī)文化、合規(guī)目標(biāo)和義務(wù)納入溝通內(nèi)容；應(yīng)確保所溝通的合規(guī)信息與來(lái)源于合規(guī)管理體系的信息一致且——對(duì)與合規(guī)管理體系相關(guān)的溝通內(nèi)容進(jìn)行回應(yīng)；——視情況，保留文件化信息作為其溝通的證據(jù)；——在組織的各層級(jí)和職能內(nèi)部溝通與合規(guī)管理體系有關(guān)的信息，視情況包括合規(guī)管理體系的變更；——確保人員能在溝通過(guò)程中為合規(guī)管理體系的持續(xù)改進(jìn)做出——確保人員能在溝通過(guò)程中提出合規(guī)疑慮(見(jiàn)8.3);——通過(guò)組織確立的溝通過(guò)程，對(duì)外溝通包括其合規(guī)文化、合規(guī)目標(biāo)和義務(wù)在內(nèi)的與合規(guī)管理體系相關(guān)的信息。7.5文件化信息組織的合規(guī)管理體系應(yīng)包括：a)本文件要求的文件化信息；b)組織確定的，對(duì)于合規(guī)管理體系有效性所必需的文件化信息。注：不同組織的合規(guī)管理體系文件化信息的程度可能不同，取決——組織的規(guī)模及其活動(dòng)、過(guò)程、產(chǎn)品和服務(wù)的類型；——過(guò)程及其相互作用的復(fù)雜度；——人員的能力。7.5.2文件化信息的創(chuàng)建和更新在創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模骸獦?biāo)記和說(shuō)明(例如，標(biāo)題、日期、作者或文件編號(hào)),——形式(例如，語(yǔ)言文字、軟件版本、圖形)和載體(例如，紙質(zhì)的、電子的),——針對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)。7.5.3文件化信息的控制應(yīng)控制合規(guī)管理體系和本文件要求的文件化信息，以確保其：a)在需要的場(chǎng)所和時(shí)間均可獲得并適于使用；b)得到充分保護(hù)(例如，防止泄密、不當(dāng)使用或完整性受損)。為了控制文件化信息，組織應(yīng)開(kāi)展以下適用的活動(dòng)：——分發(fā)、訪問(wèn)、檢索和使用；——存儲(chǔ)和防護(hù)，包括保持易讀性；——對(duì)變更的控制(例如，版本控制);——保留和處置。對(duì)于組織確定的，策劃和運(yùn)行合規(guī)管理體系必要的、來(lái)自外部的文件化信息，應(yīng)視情況進(jìn)行識(shí)別，并予以控制。注：訪問(wèn)可能意味著只允許查看文件化信息的權(quán)限，或者允許并授權(quán)查看和變更文件化信息的權(quán)限。8運(yùn)行8.1運(yùn)行的策劃和控制為滿足要求和實(shí)施第6章確定的措施，組織應(yīng)通過(guò)以下方式策劃、實(shí)施和控制所需的過(guò)程：——對(duì)過(guò)程確立準(zhǔn)則；——按照準(zhǔn)則對(duì)過(guò)程實(shí)施控制。文件化信息應(yīng)根據(jù)必要程度可獲取，以便確認(rèn)過(guò)程已按照策劃得到實(shí)施。組織應(yīng)控制已策劃的變更，并評(píng)審非預(yù)期變更的后果，必要時(shí)采取措施減輕不利影響。組織應(yīng)確保與合規(guī)管理體系相關(guān)的，由外部提供的產(chǎn)品、過(guò)程或服務(wù)受控。注：對(duì)組織運(yùn)行的外包不會(huì)免除組織的法律責(zé)任或合規(guī)義務(wù)。組織應(yīng)確保第三方過(guò)程得到控制和監(jiān)視。8.2確立控制和程序組織應(yīng)實(shí)施控制以管理其合規(guī)義務(wù)和相關(guān)合規(guī)風(fēng)險(xiǎn)。應(yīng)對(duì)這些控制進(jìn)行維護(hù)、定期評(píng)審和測(cè)試，以確保其持續(xù)有效。注：測(cè)試控制是指實(shí)施經(jīng)過(guò)設(shè)計(jì)的活動(dòng)以檢驗(yàn)控制是否按照既定目的運(yùn)行，或者不能被規(guī)避，或者切實(shí)有效地降低風(fēng)險(xiǎn)的后果或可能8.3提出疑慮組織應(yīng)確立、實(shí)施并維護(hù)一個(gè)報(bào)告過(guò)程，以鼓勵(lì)和促進(jìn)(在有合理理由相信信息真實(shí)的情況下)報(bào)告試圖、涉嫌或?qū)嶋H存在的違反合規(guī)方針或合規(guī)義務(wù)的行為。該過(guò)程應(yīng)：——在整個(gè)組織內(nèi)可見(jiàn)并可訪問(wèn)；——對(duì)報(bào)告保密；——接受匿名報(bào)告；——保護(hù)報(bào)告者免于遭受打擊報(bào)復(fù)；——便于人員獲得建議。組織應(yīng)確保所有人員了解報(bào)告程序、了解其自身的權(quán)利和保障機(jī)制，并能運(yùn)用相關(guān)程序。8.4調(diào)查過(guò)程組織應(yīng)開(kāi)發(fā)、確立、實(shí)施并維護(hù)過(guò)程，以評(píng)估、評(píng)價(jià)、調(diào)查有關(guān)涉嫌或?qū)嶋H的不合規(guī)情形的報(bào)告，并做出結(jié)論。這些過(guò)程應(yīng)確保能公平、公正的做出決定。調(diào)查過(guò)程應(yīng)由具備相應(yīng)能力的人員獨(dú)立進(jìn)行，且避免利益沖突。組織應(yīng)視情況利用調(diào)查結(jié)果改進(jìn)合規(guī)管理體系(見(jiàn)第10章)。組織應(yīng)定期向治理機(jī)構(gòu)或最高管理者報(bào)告調(diào)查的次數(shù)和結(jié)果。組織應(yīng)保留有關(guān)調(diào)查的文件化信息。9績(jī)效評(píng)價(jià)9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)9.1.1通則組織應(yīng)對(duì)合規(guī)管理體系進(jìn)行監(jiān)視，以確保實(shí)現(xiàn)合規(guī)目標(biāo)。組織應(yīng)確定：——需要監(jiān)視和測(cè)量什么;——適用的監(jiān)視、測(cè)量、分析和評(píng)價(jià)的方法，以確保有效的結(jié)果；——何時(shí)實(shí)施監(jiān)視和測(cè)量；——何時(shí)對(duì)監(jiān)視和測(cè)量的結(jié)果進(jìn)行分析和評(píng)價(jià)。文件化信息應(yīng)作為結(jié)果證據(jù)可獲取。組織應(yīng)評(píng)價(jià)合規(guī)績(jī)效和合規(guī)管理體系的有效性。9.1.2合規(guī)績(jī)效的反饋來(lái)源組織應(yīng)確立、實(shí)施、評(píng)價(jià)和維護(hù)能夠使其從多種渠道尋求并獲取合規(guī)績(jī)效反饋的過(guò)程。組織應(yīng)對(duì)信息進(jìn)行分析和嚴(yán)格評(píng)估，以確認(rèn)不合規(guī)的根本原因，確保采取適當(dāng)?shù)拇胧?，并?.6要求的定期風(fēng)險(xiǎn)評(píng)估中反映上述信息。9.1.3指標(biāo)的開(kāi)發(fā)組織應(yīng)開(kāi)發(fā)、實(shí)施和維護(hù)一套適當(dāng)?shù)闹笜?biāo)，以幫助組織評(píng)價(jià)其合規(guī)目標(biāo)的實(shí)現(xiàn)情況并評(píng)估合規(guī)績(jī)效。9.1.4合規(guī)報(bào)告組織應(yīng)確立、實(shí)施和維護(hù)合規(guī)報(bào)告的過(guò)程，以確保：a)界定適當(dāng)?shù)膱?bào)告準(zhǔn)則；b)確立定期報(bào)告的時(shí)間表；c)實(shí)施非常規(guī)報(bào)告機(jī)制以便于臨時(shí)報(bào)告；c)實(shí)施非常規(guī)報(bào)告機(jī)制以便于臨時(shí)報(bào)告；d)實(shí)施保證信息準(zhǔn)確性和完整性的機(jī)制和過(guò)程；e)向組織中合適的職能或板塊提供準(zhǔn)確和完整的信息，以便及時(shí)采取預(yù)防、糾正和補(bǔ)救措施。合規(guī)團(tuán)隊(duì)向治理機(jī)構(gòu)或最高管理者提交的任何報(bào)告內(nèi)容均應(yīng)受到充分保護(hù)，以防止被修改。9.1.5記錄保存組織應(yīng)保留合規(guī)活動(dòng)準(zhǔn)確且實(shí)時(shí)的記錄，以協(xié)助監(jiān)視和評(píng)審合規(guī)過(guò)程，并證實(shí)其符合合規(guī)管理體系要求。組織應(yīng)在策劃的時(shí)間間隔內(nèi)實(shí)施內(nèi)部審核，以便為合規(guī)管理體系1)組織自身對(duì)合規(guī)管理體系的要求；2)本文件的要求。b)是否得到了有效地實(shí)施和維護(hù)。組織應(yīng)策劃、確立、實(shí)施和維護(hù)審核方案，包括頻次、方法、職責(zé)、策劃要求和報(bào)告。組織應(yīng)根據(jù)相關(guān)過(guò)程的重要性和以往審核的結(jié)果，確立內(nèi)部審核方案。a)界定每次審核的目標(biāo)、準(zhǔn)則和范圍；b)選擇審核員并實(shí)施審核，以確保審核過(guò)程的客觀性和公正性；c)確保向相關(guān)管理者和管理層報(bào)告審核結(jié)果。注1:相關(guān)管理者可能包括合規(guī)團(tuán)隊(duì)、最高管理者和治理機(jī)構(gòu)。文件化信息應(yīng)作為實(shí)施審核方案和審核結(jié)果的證據(jù)可獲取。注2:管理體系審核指南見(jiàn)ISO19011。治理機(jī)構(gòu)和最高管理者應(yīng)在策劃的時(shí)間間隔內(nèi)對(duì)組織的合規(guī)管理體系進(jìn)行評(píng)審，以確保合規(guī)管理體系持續(xù)的適宜性、充分性和有效9.3.2管理評(píng)審輸入a)以往管理評(píng)審所采取措施的狀況；b)與合規(guī)管理體系有關(guān)的外部和內(nèi)部事項(xiàng)的變化；c)與合規(guī)管理體系有關(guān)的相關(guān)方需要和期望的變化；d)關(guān)于合規(guī)績(jī)效的信息，包括以下方面的趨勢(shì)：1)不符合、不合規(guī)與糾正措施，2)監(jiān)視和測(cè)量的結(jié)果，3)審核結(jié)果；e)持續(xù)改進(jìn)的機(jī)會(huì)?！弦?guī)方針的充分性；——合規(guī)團(tuán)隊(duì)的獨(dú)立性；——合規(guī)目標(biāo)的達(dá)成度；——資源的充分性；——合規(guī)風(fēng)險(xiǎn)評(píng)估的充分性；——現(xiàn)有控制和績(jī)效指標(biāo)的有效性；——與提出疑慮的人員、相關(guān)方溝通，包括反饋(見(jiàn)9.1.2)和——調(diào)查(見(jiàn)8.4);——報(bào)告機(jī)制的有效性。9.3.3管理評(píng)審結(jié)果管理評(píng)審的結(jié)果應(yīng)包括持續(xù)改進(jìn)的機(jī)會(huì)，以及變更合規(guī)管理體系的任何需要的決定。文件化信息應(yīng)作為管理評(píng)審結(jié)果證據(jù)可獲取。10改進(jìn)10.1持續(xù)改進(jìn)組織應(yīng)持續(xù)改進(jìn)合規(guī)管理體系的適宜性、充分性和有效性。10.2不符合與糾正措施發(fā)生不符合或不合規(guī)時(shí)，組織應(yīng)：a)對(duì)不符合或不合規(guī)做出反應(yīng)，并且如適用：1)采取控制和糾正措施，2)處置后果；b)通過(guò)以下活動(dòng)評(píng)價(jià)采取措施的需要，以消除產(chǎn)生不符合和/或不合規(guī)的原因，避免其再次發(fā)生或在其他地方發(fā)生：1)評(píng)審不符合和/或不合規(guī)，2)確定產(chǎn)生不符合和/或不合規(guī)的原因，3)確定是否存在或可能發(fā)生類似的不符合和/或不合規(guī)；c)實(shí)施任何所需的措施；d)評(píng)審所采取的任何糾正措施的有效性；e)如必要，變更合規(guī)管理體系。糾正措施應(yīng)與不符合和/或不合規(guī)產(chǎn)生的影響相適應(yīng)。文件化信息應(yīng)作為以下事項(xiàng)的證據(jù)可獲取：——不符合和/或不合規(guī)的性質(zhì)和所采取的任何后續(xù)措施；——任何糾正措施的結(jié)果。(資料性)本文件使用指南A.1背景和范圍本文件使用指南的目的是指明組織在實(shí)施合規(guī)管理體系時(shí)能采用的方法和措施類型。本指南不是全面性或規(guī)范性文件，組織建立符合本文件要求的合規(guī)管理體系也沒(méi)有義務(wù)實(shí)施本指南中的所有建議。組織宜就其所面臨的合規(guī)風(fēng)險(xiǎn)的性質(zhì)和程度采取合理步驟，以履組織能夠選擇將合規(guī)管理體系作為一個(gè)單獨(dú)的體系來(lái)實(shí)施，但理想情況是將其與其他管理體系一起實(shí)施，例如風(fēng)險(xiǎn)、反賄賂、質(zhì)量、A.1.2范圍任何規(guī)模、復(fù)雜度或產(chǎn)業(yè)的組織都能應(yīng)用本文件，通過(guò)遵守其要求創(chuàng)建合規(guī)管理體系。這將便于組織理解其環(huán)境、業(yè)務(wù)運(yùn)行、由此產(chǎn)生的義務(wù)和合規(guī)風(fēng)險(xiǎn)，并幫助他們實(shí)施合理的步驟來(lái)履行義務(wù)。本文件正文中的每項(xiàng)要求都需要被遵守。但本附錄的指南僅為建議。在實(shí)踐中，小型組織通常更容易根據(jù)本文件實(shí)施合規(guī)管理體系，因?yàn)樗鼈儧](méi)有那么復(fù)雜。中小型組織通過(guò)使用本文件中要求的原則增強(qiáng)其組織的合規(guī)實(shí)踐。本文件提到了治理機(jī)構(gòu)和最高管理者，并界定了這兩個(gè)術(shù)語(yǔ)在各種語(yǔ)境和位置中的含義。本文件能供所有組織使用，因此如果某個(gè)特定組織沒(méi)有使用這兩個(gè)術(shù)語(yǔ)，那么請(qǐng)留意這兩個(gè)術(shù)語(yǔ)的使用意圖：本文件中的要求或指導(dǎo)將適用于在該組織最高層擁有該職責(zé)和權(quán)限的一個(gè)人或一組人。本文件無(wú)規(guī)范性引用文件。使用者能參考參考文獻(xiàn)了解其他信息以及與合規(guī)相關(guān)的國(guó)際標(biāo)準(zhǔn)。本文件采用了ISO開(kāi)發(fā)的高層結(jié)構(gòu)(HLS)1),以提高其管理體系國(guó)際標(biāo)準(zhǔn)之間的一致性。HLS設(shè)定了組成ISO管理體系標(biāo)準(zhǔn)(MSS)核心的章條順序、共用術(shù)語(yǔ)和定義以及相同的核心條款。這意味著，一些定義能以不熟悉的方式使用。所提供的定義能在使用本文件時(shí)給予澄清說(shuō)明。MSS的這種共用方法增加了此類標(biāo)準(zhǔn)對(duì)使用者的價(jià)值。它對(duì)于選擇運(yùn)行一個(gè)(有時(shí)稱為“融合”)管理體系的組織特別有用，該體系能同時(shí)滿足兩個(gè)或多個(gè)MSS的要求。沒(méi)有采用MSS或合規(guī)管理框架的組織能很容易地采用本文件作為其組織內(nèi)的獨(dú)立指南。有關(guān)MSS和核心內(nèi)容的更多信息，請(qǐng)?jiān)L問(wèn)：https:注：1)2021年發(fā)布的“ISO/IEC導(dǎo)則，第1部分，2021,《ISO綜合補(bǔ)充件ISO專用程序》”中已經(jīng)將“高層結(jié)構(gòu)”修改為“協(xié)調(diào)結(jié)A.4組織環(huán)境A.4.1理解組織及其環(huán)境本條的目的是協(xié)助組織對(duì)可能影響其合規(guī)管理體系的重要事項(xiàng)確立高層次(例如：戰(zhàn)略性)的理解。所獲得的知識(shí)將用于指導(dǎo)合規(guī)管理體系的策劃、實(shí)施、運(yùn)行和改這是評(píng)審組織所有可獲得信息的過(guò)程，這些信息包括：該組織做什么、在哪里做、如何以及為什么做。外部以及關(guān)鍵因素將基于它們對(duì)組織在合規(guī)義務(wù)方面產(chǎn)生的影響被予以評(píng)估。最明確的合規(guī)義務(wù)來(lái)源于組織運(yùn)行的法律和監(jiān)管環(huán)境，而義務(wù)或風(fēng)險(xiǎn)也可能來(lái)源于本文件中提及的其他因素。組織還宜結(jié)合可能產(chǎn)生影響的相關(guān)未來(lái)趨勢(shì)。宜結(jié)合內(nèi)部因素。本文件中列舉了一些示例。列表并不詳盡，可能還有其他與組織相關(guān)的因素。A.4.2理解相關(guān)方的需要和期望組織宜對(duì)可能影響合規(guī)管理體系、受合規(guī)管理體系影響或自認(rèn)為受合規(guī)管理體系影響的人或組織的需要和期望確立理解。有些需要和期望是強(qiáng)制性的，因?yàn)樗鼈円驯患{入正式要求，如法律、法規(guī)、許可、執(zhí)照以及政府或法院措施。此外還可能有其他未包當(dāng)明確指出相關(guān)方的其他需要和期望，并且組織決定將通過(guò)簽訂協(xié)議或合同的形式自愿采納的情況下，這些需要和期望就會(huì)成為義務(wù)。一旦組織決定采納，這些需要和期望就會(huì)成為合規(guī)義務(wù)。外部相關(guān)方的示例有：——政府和政府機(jī)構(gòu)；——客戶；——承包商；——第三方中介機(jī)構(gòu)；——所有者、股東、投資者；——非政府組織；——社會(huì)和社區(qū)團(tuán)體；——業(yè)務(wù)伙伴。內(nèi)部相關(guān)方的示例有：——員工；——內(nèi)部職能，諸如風(fēng)險(xiǎn)管理、內(nèi)部控制、內(nèi)部審核、人力資源A.4.3確定合規(guī)管理體系的范圍確定合規(guī)管理體系的范圍就是組織確立其合規(guī)管理體系所適用的物理邊界和組織邊界。在這個(gè)過(guò)程中，組織選擇在整個(gè)組織、組織內(nèi)特定單元或特定職能內(nèi)部實(shí)施合規(guī)管理體系時(shí)，具有自由度和靈活性。通常情況下，合規(guī)管理體系會(huì)在整個(gè)組織中實(shí)施，如果組織由多個(gè)組織組成，合規(guī)管理體系會(huì)在所有組織中實(shí)施，這樣做的目的是為了避免在道德操守和合規(guī)方面的雙重標(biāo)準(zhǔn)。合規(guī)管理體系的范圍宜合理且與組織相匹配，宜考慮組織所面臨的合規(guī)風(fēng)險(xiǎn)的性質(zhì)和程度。確立合規(guī)管理體系的范圍和確定組織將采納哪些需求時(shí)，宜結(jié)合對(duì)組織環(huán)境的理解和有關(guān)的相關(guān)方的需求。合規(guī)管理體系是一個(gè)框架，該框架是基本結(jié)構(gòu)、方針、過(guò)程和程序的有機(jī)組合，其目的是實(shí)現(xiàn)預(yù)期的合規(guī)結(jié)果，并發(fā)揮作用以預(yù)防、發(fā)現(xiàn)和響應(yīng)不合規(guī)。通常，合規(guī)管理體系框架具有結(jié)構(gòu)性特征：在必要的基礎(chǔ)上構(gòu)建這個(gè)體系。該體系需要通過(guò)方針、過(guò)程和程序的實(shí)施來(lái)使其運(yùn)行，且對(duì)其進(jìn)行維護(hù)和持續(xù)改進(jìn)。合規(guī)管理體系包含諸多要件。其中某些要件是為滿足預(yù)期行為而設(shè)計(jì)，某些要件用于防止非預(yù)期行為而設(shè)計(jì)，而某些要件用于監(jiān)視組織的合規(guī)績(jī)效或在發(fā)生不合規(guī)時(shí)提出警告。合規(guī)管理體系無(wú)法完全避免錯(cuò)誤的發(fā)生，但有相應(yīng)的過(guò)程確保對(duì)錯(cuò)誤做出適當(dāng)?shù)姆磻?yīng)，包括對(duì)過(guò)程、體系和受影響方的補(bǔ)救。合規(guī)管理體系宜以良好治理、匹配性、誠(chéng)信、透明、問(wèn)責(zé)制和可持續(xù)性等原則為基礎(chǔ)。合規(guī)管理體系宜作為文件化信息提供。A.4.5合規(guī)義務(wù)組織宜將合規(guī)義務(wù)作為建立、開(kāi)發(fā)、實(shí)施、評(píng)價(jià)、維護(hù)和改進(jìn)其合規(guī)管理體系的基礎(chǔ)。組織強(qiáng)制遵守的要求能包括：——法律法規(guī)；——許可、執(zhí)照或其他形式的授權(quán)；——監(jiān)管機(jī)構(gòu)發(fā)布的命令、條例或指南；——法院判決或行政決定；——條約、公約和協(xié)議。組織自愿選擇遵守的要求能包括：——與社會(huì)團(tuán)體或非政府組織簽訂的協(xié)議；——與公共權(quán)力機(jī)構(gòu)和客戶簽訂的協(xié)議；——組織的要求，如方針和程序；——自愿的原則或規(guī)程；——自愿性標(biāo)志或環(huán)境承諾；——與組織簽署合同產(chǎn)生的義務(wù)；——相關(guān)組織的和產(chǎn)業(yè)的標(biāo)準(zhǔn)。組織宜按部門(mén)、職能和不同類型的組織性活動(dòng)來(lái)識(shí)別合規(guī)義務(wù)，以便確定誰(shuí)受到這些合規(guī)義務(wù)的影響。獲取關(guān)于法律和其他合規(guī)義務(wù)變更信息的過(guò)程能包括：——列入相關(guān)監(jiān)管部門(mén)收件人名單；——成為專業(yè)團(tuán)體的會(huì)員；——訂閱相關(guān)信息服務(wù)；——參加行業(yè)論壇和研討會(huì)；——監(jiān)視監(jiān)管部門(mén)網(wǎng)站；——與監(jiān)管部門(mén)會(huì)晤；——與法律顧問(wèn)洽商；——監(jiān)視合規(guī)義務(wù)來(lái)源(如監(jiān)管聲明和法院判決)。組織宜采取基于風(fēng)險(xiǎn)的方法，即組織宜首先識(shí)別出與業(yè)務(wù)相關(guān)的最重要的合規(guī)義務(wù)，然后關(guān)注所有其他合規(guī)義務(wù)(帕累托原則)。適宜時(shí)，組織宜確立并維護(hù)一個(gè)單獨(dú)文件(如登記冊(cè)或日志),列出其所有合規(guī)義務(wù)，并確立定期更新該文件的過(guò)程。除列出合規(guī)義務(wù)外，該文件還宜包括但不限于：——合規(guī)義務(wù)的影響；——合規(guī)義務(wù)的管理；——與合規(guī)義務(wù)相關(guān)的控制；——風(fēng)險(xiǎn)評(píng)估。合規(guī)風(fēng)險(xiǎn)評(píng)估構(gòu)成了合規(guī)管理體系實(shí)施的基礎(chǔ)，也是分配適當(dāng)和充足的資源和過(guò)程，以便對(duì)已識(shí)別的合規(guī)風(fēng)險(xiǎn)進(jìn)行管理的基礎(chǔ)。合規(guī)風(fēng)險(xiǎn)能夠以不遵守組織的合規(guī)方針與義務(wù)的后果和不合規(guī)發(fā)生的可能性來(lái)表征。合規(guī)風(fēng)險(xiǎn)包括固有合規(guī)風(fēng)險(xiǎn)和剩余合規(guī)風(fēng)險(xiǎn)。固有合規(guī)風(fēng)險(xiǎn)是指組織在未采取任何相應(yīng)合規(guī)風(fēng)險(xiǎn)處理措施的非受控狀態(tài)下所面臨的全部合規(guī)風(fēng)險(xiǎn)。剩余合規(guī)風(fēng)險(xiǎn)是指組織現(xiàn)有的合規(guī)風(fēng)險(xiǎn)處理措施無(wú)法有效控制的合規(guī)風(fēng)險(xiǎn)。組織宜結(jié)合不合規(guī)的根本原因、來(lái)源、后果及其發(fā)生的可能性，來(lái)分析合規(guī)風(fēng)險(xiǎn)。后果可能包括，例如個(gè)人和環(huán)境傷害、經(jīng)濟(jì)損失、名譽(yù)損失、行政管理變更以及民事和刑事責(zé)任。合規(guī)風(fēng)險(xiǎn)識(shí)別包括合規(guī)風(fēng)險(xiǎn)源的識(shí)別和合規(guī)風(fēng)險(xiǎn)情況的界定。組織宜根據(jù)部門(mén)職責(zé)、崗位職責(zé)和不同類型的組織活動(dòng)，識(shí)別各部門(mén)、職能和不同類型的組織活動(dòng)中的合規(guī)風(fēng)險(xiǎn)源。組織宜定期識(shí)別合規(guī)風(fēng)險(xiǎn)源，并界定每個(gè)合規(guī)風(fēng)險(xiǎn)源對(duì)應(yīng)的合規(guī)風(fēng)險(xiǎn)情況，開(kāi)發(fā)合規(guī)風(fēng)險(xiǎn)源清單和合規(guī)風(fēng)險(xiǎn)情況清單。風(fēng)險(xiǎn)評(píng)估涉及將組織能接受的合規(guī)風(fēng)險(xiǎn)水平與合規(guī)方針中設(shè)定的合規(guī)風(fēng)險(xiǎn)水平進(jìn)行比較。發(fā)生下列情形時(shí)，宜對(duì)合規(guī)風(fēng)險(xiǎn)進(jìn)行周期性再評(píng)估：——新的或變化的活動(dòng)、產(chǎn)品或服務(wù)；——組織結(jié)構(gòu)或戰(zhàn)略變化；——重大的外部變化，如金融經(jīng)濟(jì)環(huán)境、市場(chǎng)條件、債務(wù)和客戶——重大的外部變化，如金融經(jīng)濟(jì)環(huán)境、市場(chǎng)條件、債務(wù)和客戶——合規(guī)義務(wù)變更；——并購(gòu)；——不合規(guī)(即使是單一的不合規(guī)事件也能構(gòu)成情況的實(shí)質(zhì)變化)和近乎不合規(guī)。合規(guī)風(fēng)險(xiǎn)評(píng)估的詳細(xì)程度和水平取決于組織的風(fēng)險(xiǎn)情況、環(huán)境、規(guī)模和目標(biāo)，并能隨著具體的細(xì)分領(lǐng)域(如：環(huán)境、財(cái)務(wù)、社會(huì))變基于風(fēng)險(xiǎn)方法的合規(guī)管理并不意味著在合規(guī)風(fēng)險(xiǎn)較低的情況下組織就接受不合規(guī)。它有助于組織集中主要注意力和資源優(yōu)先處理更高級(jí)別風(fēng)險(xiǎn)，最終覆蓋所有合規(guī)風(fēng)險(xiǎn)。所有已識(shí)別的合規(guī)風(fēng)險(xiǎn)/情況都會(huì)得到監(jiān)視和處理。在進(jìn)行風(fēng)險(xiǎn)評(píng)估(相關(guān)指導(dǎo)見(jiàn)ISO31000)時(shí)，宜注意適當(dāng)?shù)募夹g(shù)A.5領(lǐng)導(dǎo)作用A.5.1領(lǐng)導(dǎo)作用和承諾A.5.1.1治理機(jī)構(gòu)和最高管理者有效的合規(guī)要求治理機(jī)構(gòu)和最高管理者的積極承諾，并貫穿于整對(duì)于合規(guī)管理體系而言，治理機(jī)構(gòu)和最高管理者清楚、明確地證實(shí)其對(duì)實(shí)現(xiàn)合規(guī)管理體系目標(biāo)的承諾是至關(guān)重要的。不合規(guī)能對(duì)業(yè)務(wù)造成負(fù)面影響，如聲譽(yù)受損、喪失經(jīng)營(yíng)許可、喪失機(jī)會(huì)和巨大成本。因此，治理機(jī)構(gòu)和最高管理者宜認(rèn)識(shí)到有效合規(guī)管理的戰(zhàn)略重要性。本文件列出了諸多領(lǐng)導(dǎo)層能證實(shí)其承諾的方式。最根本的方式是通過(guò)積極和顯而易見(jiàn)的支持來(lái)建立和維護(hù)合規(guī)管理體系。承諾的水平標(biāo)示為下列事項(xiàng)的實(shí)現(xiàn)程度：——治理機(jī)構(gòu)和所有管理層通過(guò)自己的行動(dòng)和決定，積極證實(shí)他們承諾建立、開(kāi)發(fā)、實(shí)施、評(píng)價(jià)、維護(hù)和改進(jìn)的是一個(gè)有效且及時(shí)響——合規(guī)方針由治理機(jī)構(gòu)正式批準(zhǔn)；——最高管理者對(duì)確保組織充分實(shí)現(xiàn)關(guān)于合規(guī)的承諾承擔(dān)責(zé)任；——所有管理層一致向人員傳達(dá)一個(gè)清晰的信息(通過(guò)文字和措施證實(shí)):組織會(huì)履行它的合規(guī)義務(wù)；——以清晰并令人信服的聲明向所有人員和有關(guān)的相關(guān)方廣泛溝通關(guān)于合規(guī)的承諾，并有措施支持；——合規(guī)團(tuán)隊(duì)的員工具有體現(xiàn)有效合規(guī)的重要性的適當(dāng)能力、身份權(quán)限和獨(dú)立性，而且可以直接接觸治理機(jī)構(gòu)；——通過(guò)對(duì)所有人員和有關(guān)的相關(guān)方開(kāi)展意識(shí)提升活動(dòng)和培訓(xùn)，為建立、開(kāi)發(fā)、實(shí)施、評(píng)價(jià)、維護(hù)和改進(jìn)強(qiáng)勁的合規(guī)文化提供適當(dāng)?shù)摹结?、過(guò)程和程序不僅反映法律要求，還反映自愿性準(zhǔn)則和——組織向其所有管理層級(jí)分配合規(guī)責(zé)任并要求他們負(fù)責(zé)；——定期評(píng)審合規(guī)管理體系(建議至少每年一次);——組織的合規(guī)績(jī)效持續(xù)改進(jìn)；——及時(shí)采取糾正措施；——治理機(jī)構(gòu)和最高管理者遵守組織的合規(guī)管理體系。支持開(kāi)發(fā)合規(guī)文化的因素包括：——一系列已發(fā)布的清晰的價(jià)值觀；——管理層積極并顯而易見(jiàn)地實(shí)施和遵守價(jià)值觀；——不論職位，對(duì)不合規(guī)的一致性處理；——在指導(dǎo)、輔導(dǎo)和領(lǐng)導(dǎo)中以身作則；——對(duì)潛在的關(guān)鍵職能的人員進(jìn)行適當(dāng)?shù)钠赣们霸u(píng)估，包括盡職——在入職培訓(xùn)或新員工訓(xùn)練中強(qiáng)調(diào)合規(guī)和組織價(jià)值觀；——持續(xù)進(jìn)行合規(guī)培訓(xùn)，包括更新面向所有人員和有關(guān)的相關(guān)方——持續(xù)就合規(guī)問(wèn)題進(jìn)行溝通；——績(jī)效考核體系，結(jié)合對(duì)合規(guī)行為的評(píng)估，并將合規(guī)表現(xiàn)與績(jī)效工資掛鉤，以實(shí)現(xiàn)合規(guī)關(guān)鍵績(jī)效措施和結(jié)果；——對(duì)合規(guī)管理業(yè)績(jī)和結(jié)果予以明確認(rèn)可；——對(duì)故意或因疏忽而違反合規(guī)義務(wù)的情況給予即時(shí)和適當(dāng)?shù)摹诮M織的戰(zhàn)略和個(gè)人崗位之間建立清晰的聯(lián)系，強(qiáng)調(diào)合規(guī)是實(shí)現(xiàn)組織結(jié)果所必不可少的；——在內(nèi)部和外部就合規(guī)進(jìn)行公開(kāi)和適當(dāng)?shù)臏贤?。合?guī)文化的形成體現(xiàn)于下列方面的實(shí)現(xiàn)程度：——上述事項(xiàng)得以實(shí)施；——相關(guān)方(特別是組織的人員)相信上述事項(xiàng)已實(shí)施；——人員理解合規(guī)義務(wù)與自身活動(dòng)和所在業(yè)務(wù)單元活動(dòng)的相關(guān)——組織所有適當(dāng)層級(jí)都按照要求自主應(yīng)對(duì)不合規(guī)并采取糾正——重視合規(guī)團(tuán)隊(duì)的崗位及其目標(biāo)；——人員有能力且受到鼓勵(lì)向包括最高管理者和治理機(jī)構(gòu)在內(nèi)的適當(dāng)?shù)墓芾韺犹岢龊弦?guī)疑慮。a)衡量其合規(guī)文化；b)尋求所有人員的意見(jiàn)，以確定他們是否感知到治理機(jī)構(gòu)、最高管理者和中層管理者對(duì)合規(guī)的承諾；c)根據(jù)組織合規(guī)文化指標(biāo)的結(jié)果，確立行動(dòng)計(jì)劃。合規(guī)治理建立在以下基本原則基礎(chǔ)上。合規(guī)團(tuán)隊(duì)能直接接觸治理機(jī)構(gòu)和最高管理者。如有需要，他們能繞過(guò)組織中的其他人直接與一個(gè)或多個(gè)最有權(quán)采取行動(dòng)的人溝通。這直接裨益治理機(jī)構(gòu)和最高管理者，便于他們履行職責(zé)。這種接觸宜是有計(jì)劃和系統(tǒng)性的。例如，合規(guī)團(tuán)隊(duì)能直接向首席執(zhí)行官報(bào)告和間接向?qū)徍宋瘑T會(huì)、主席或整個(gè)董事會(huì)報(bào)告。合規(guī)團(tuán)隊(duì)宜是獨(dú)立的，不與組織結(jié)構(gòu)或其他要件沖突。他們可以自由行動(dòng)、不受垂直管理者的干涉。合規(guī)團(tuán)隊(duì)擁有權(quán)限。合規(guī)團(tuán)隊(duì)在權(quán)限上不是一個(gè)能被上級(jí)否決或被其修改報(bào)告或信息的初級(jí)部門(mén)。合規(guī)團(tuán)隊(duì)能根據(jù)需要指導(dǎo)其他員工。合規(guī)團(tuán)隊(duì)宜有“發(fā)言權(quán)”,以申明和提出合規(guī)疑慮。合規(guī)團(tuán)隊(duì)有足夠的資源來(lái)支持組織不受限制地執(zhí)行合規(guī)管理體系的必要工作和職責(zé)，包括獲得技術(shù)以使合規(guī)管理體系能全面和有效地支持組織實(shí)現(xiàn)其合規(guī)目標(biāo)。A.5.2合規(guī)方針合規(guī)方針確立了組織實(shí)現(xiàn)合規(guī)的首要原則和行動(dòng)承諾。它設(shè)定了要求的職責(zé)和績(jī)效水平，并設(shè)定了對(duì)行動(dòng)進(jìn)行評(píng)估的期望。該方針宜與組織活動(dòng)產(chǎn)生的合規(guī)義務(wù)相適應(yīng)。合規(guī)方針宜由治理機(jī)構(gòu)批準(zhǔn)。合規(guī)方針宜規(guī)定：——與組織的規(guī)模、性質(zhì)、復(fù)雜性及其環(huán)境有關(guān)的合規(guī)管理體系的應(yīng)用和環(huán)境；——合規(guī)與其他職能的結(jié)合程度，如與治理、風(fēng)險(xiǎn)、審核和法務(wù)；——對(duì)內(nèi)外部相關(guān)方的關(guān)系進(jìn)行管理的原則。合規(guī)方針不宜是一個(gè)獨(dú)立的文件，宜得到其他文件的支持，包括運(yùn)行方針和過(guò)程。如有必要，宜將合規(guī)方針?lè)g成其他語(yǔ)言。合規(guī)方針宜適合于組織因其范圍和活動(dòng)而產(chǎn)生的合規(guī)義務(wù)。開(kāi)發(fā)合規(guī)方針，宜結(jié)合：a)具體的國(guó)際、區(qū)域或?qū)俚亓x務(wù)；b)組織的戰(zhàn)略、目標(biāo)、文化和治理方法；d)與不合規(guī)相關(guān)的風(fēng)險(xiǎn)的性質(zhì)和等級(jí)；e)采用的標(biāo)準(zhǔn)、準(zhǔn)則、內(nèi)部方針和程序；——使命宣言；——總體方針聲明；——管理戰(zhàn)略以及責(zé)任和資源的分配；——標(biāo)準(zhǔn)合規(guī)程序；——審核、盡職調(diào)查和合規(guī)。A.5.3.1治理機(jī)構(gòu)和最高管理者治理機(jī)構(gòu)的積極參與和監(jiān)督是有效合規(guī)管理體系不可或缺的組成部分。這有助于確保人員充分理解組織的合規(guī)方針、合規(guī)運(yùn)行程序以及這些方針和程序如何應(yīng)用于他們的工作，并確保他們有效地履行合規(guī)義務(wù)。為使合規(guī)管理體系有效，治理機(jī)構(gòu)和最高管理者需要以身作則，堅(jiān)持并積極、明確地支持合規(guī)與合規(guī)管理體系。許多組織視其規(guī)模也有合規(guī)管理的全面負(fù)責(zé)人，盡管該負(fù)責(zé)人可能有其他崗位或職能，例如現(xiàn)有的委員會(huì)、組織的單元或合規(guī)專家的外包要件。最高管理者宜鼓勵(lì)創(chuàng)造和支持合規(guī)的行為，而不宜容忍侵害合規(guī)的行為?！M織對(duì)合規(guī)的承諾與其價(jià)值觀、目標(biāo)和戰(zhàn)略一致，以便適當(dāng)——鼓勵(lì)所有員工承認(rèn)實(shí)現(xiàn)其負(fù)責(zé)或負(fù)有責(zé)任的合規(guī)目標(biāo)的重——?jiǎng)?chuàng)造一種鼓勵(lì)報(bào)告不合規(guī)并使報(bào)告的員工不會(huì)受到報(bào)復(fù)的——將合規(guī)納入更廣泛的組織文化和文化變更舉措中；——識(shí)別不合規(guī)并即時(shí)采取行動(dòng)予以糾正或處理；——運(yùn)行目標(biāo)和指標(biāo)不會(huì)影響合規(guī)行為。最高管理者宜參考關(guān)鍵績(jī)效指標(biāo)和其他關(guān)鍵信息并按策劃的時(shí)間間隔(例如：每季度或每月)評(píng)審合規(guī)管理體系的績(jī)效，以確保合規(guī)管理體系實(shí)現(xiàn)其目標(biāo)。合規(guī)管理體系的有效性要求最高管理者通過(guò)制定標(biāo)準(zhǔn)和實(shí)施合理監(jiān)督做出承諾。最高管理者宜了解合規(guī)管理體系的內(nèi)容和運(yùn)行，并宜確保組織擁有有效的合規(guī)管理體系所需的足夠的過(guò)程。許多組織都由專門(mén)人員(例如：合規(guī)官)負(fù)責(zé)日常合規(guī)管理，有些組織還設(shè)有跨職能合規(guī)委員會(huì)來(lái)協(xié)調(diào)整個(gè)組織的合規(guī)工作。合規(guī)團(tuán)隊(duì)會(huì)與管理層一起合作。并非所有的組織都創(chuàng)建獨(dú)立的合規(guī)團(tuán)隊(duì)；一些組織將此職能分配至現(xiàn)有崗位或職能外包。外包時(shí)，組織不宜將全部合規(guī)職能分配給第三方。即使組織將部分職能外包，也宜考慮維護(hù)組織對(duì)這些職能的權(quán)限并對(duì)其進(jìn)行監(jiān)督。分配合規(guī)管理體系職責(zé)，宜考慮確保合規(guī)團(tuán)隊(duì)證實(shí)：——誠(chéng)信和對(duì)合規(guī)的承諾；——有效的溝通和影響力；——有能力接受建議和指導(dǎo)；——具備設(shè)計(jì)、實(shí)施和維護(hù)合規(guī)管理體系的相關(guān)能力；——具備面對(duì)測(cè)試和挑戰(zhàn)的信心、業(yè)務(wù)知識(shí)和經(jīng)驗(yàn)；——以戰(zhàn)略性、積極的方式對(duì)待合規(guī)；——有足夠的時(shí)間來(lái)滿足合規(guī)崗位的需求。合規(guī)團(tuán)隊(duì)宜擁有權(quán)限、地位和獨(dú)立性。權(quán)限意味著合規(guī)團(tuán)隊(duì)被治理機(jī)構(gòu)和最高管理者授予足夠的權(quán)力。地位意味著其他人員很可能傾聽(tīng)和尊重他/她的意見(jiàn)。獨(dú)立性意味著合規(guī)團(tuán)隊(duì)盡可能地不親自參與可能暴露在合規(guī)風(fēng)險(xiǎn)之下的活動(dòng)。合規(guī)團(tuán)隊(duì)履行其崗位不宜存在利益沖突。A.5.3.3管理者最高管理者的職責(zé)不宜被視為免除其他各級(jí)管理者的合規(guī)職責(zé)，因?yàn)樗泄芾碚叨荚诤弦?guī)管理體系方面發(fā)揮作用。因此，明確設(shè)定他們各自的職責(zé)并列入其崗位描述之中很重要。管理者的合規(guī)職責(zé)必然會(huì)根據(jù)權(quán)限的級(jí)別、影響力和其他因素而有所不同，如組織的性質(zhì)和規(guī)模。然而，一些職責(zé)很可能在不同的組織中是通用的。所有人員都宜履行合規(guī)義務(wù)。人員宜確保了解自己的合規(guī)職責(zé)并有效地執(zhí)行這些職責(zé)。對(duì)此，人員將通過(guò)合規(guī)管理體系的要件獲得支持，如培訓(xùn)、方針和程序以及行為準(zhǔn)則。人員宜積極主動(dòng)地洞察不足與改進(jìn)，以促進(jìn)合規(guī)管理體系的績(jī)A.6策劃A.6.1風(fēng)險(xiǎn)與機(jī)會(huì)的應(yīng)對(duì)措施合規(guī)管理體系的策劃是在戰(zhàn)略層面上開(kāi)展的，而運(yùn)行策劃則是針對(duì)運(yùn)行層面的策劃和控制開(kāi)展的。策劃的目的是預(yù)測(cè)可能發(fā)生的情況和后果，因此它是預(yù)防性的。根據(jù)合規(guī)風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織宜策劃如何在不利影響發(fā)生之前應(yīng)對(duì)它們，以及如何從支持合規(guī)管理體系有效性的有利條件或環(huán)境中獲策劃還宜包括確定如何將被認(rèn)為對(duì)合規(guī)管理體系必要或有益的行動(dòng)融入業(yè)務(wù)活動(dòng)和過(guò)程中。這種融入能通過(guò)目標(biāo)設(shè)定、運(yùn)行控制或其他具體條款(例如：資源規(guī)定、能力)實(shí)現(xiàn)。還宜策劃評(píng)價(jià)合規(guī)管理體系有效性的措施。這包括監(jiān)視、測(cè)量技術(shù)、內(nèi)部審核或管理評(píng)審。A.6.2合規(guī)目標(biāo)及其實(shí)現(xiàn)的策劃目標(biāo)宜以一種可測(cè)量其結(jié)果的方式來(lái)明確。合規(guī)目標(biāo)舉例：至少每年向相關(guān)人員提供合規(guī)培訓(xùn)。宜確定實(shí)現(xiàn)目標(biāo)所需的行動(dòng)(即“什么”)、相關(guān)的時(shí)間表(即“何時(shí)”)和責(zé)任人(即“誰(shuí)”)。宜根據(jù)要求定期監(jiān)視、記錄、評(píng)估和更新目標(biāo)的狀態(tài)和進(jìn)度。A.7.1資源資源包括財(cái)務(wù)、人力和技術(shù)資源，以及獲得外部咨詢和專業(yè)技能的機(jī)會(huì)、組織基礎(chǔ)設(shè)施、職業(yè)發(fā)展情況、技術(shù)和關(guān)于合規(guī)管理與法律義務(wù)的同時(shí)期參考材料。術(shù)語(yǔ)“能力”指運(yùn)用知識(shí)和技能實(shí)現(xiàn)預(yù)期結(jié)果的本領(lǐng)。能力需要知識(shí)、經(jīng)驗(yàn)和技能，以便人員能以有效的方式履行其職能。組織宜為所有人員確定完成其任務(wù)所需的專業(yè)技能和知識(shí)，以便組織能向顧客提供其產(chǎn)品和服務(wù)。組織宜確立能力證據(jù)(例如：崗位描述、職位說(shuō)明),以便擔(dān)任該職位時(shí)進(jìn)行考量。宜采取措施(例如：培訓(xùn))以便確保維持現(xiàn)有能力和根據(jù)需要獲得新的能力。宜有足夠的能力證明文件以及為維持或獲得這些能力所采取的措施。在聘用或提拔現(xiàn)有人員之前，組織宜進(jìn)行盡職調(diào)查，包括推薦信或者背景調(diào)查。治理機(jī)構(gòu)、管理者和負(fù)有合規(guī)義務(wù)的人員宜有能力有效履行其義務(wù)。有多種方式可獲得能力，包括通過(guò)教育、培訓(xùn)或工作經(jīng)驗(yàn)獲得所需的技能和知識(shí)。培訓(xùn)計(jì)劃的目標(biāo)是確保人員有能力以符合本組織合規(guī)文化和對(duì)合規(guī)的承諾的方式履行其崗位職責(zé)。經(jīng)過(guò)適當(dāng)設(shè)計(jì)和執(zhí)行的培訓(xùn)能為人員提供一個(gè)有效的方式以溝通之前未識(shí)別的合規(guī)風(fēng)險(xiǎn)。教育和培訓(xùn)宜：——在適當(dāng)?shù)那闆r下，基于對(duì)員工知識(shí)和能力差距的評(píng)估；——有足夠的靈活性，覆蓋了一系列技術(shù)，以適應(yīng)組織和人員的不同需要；——由經(jīng)驗(yàn)豐富和有資格的人員進(jìn)行設(shè)計(jì)、開(kāi)發(fā)和提供；——適用時(shí)以當(dāng)?shù)卣Z(yǔ)言提供；——定期評(píng)估和評(píng)價(jià)其有效性。如果不合規(guī)會(huì)造成嚴(yán)重后果，那么互動(dòng)式培訓(xùn)是最好的培訓(xùn)形組織宜對(duì)已發(fā)生不當(dāng)行為的領(lǐng)域進(jìn)行培訓(xùn)。組織宜對(duì)已發(fā)生不當(dāng)行為的領(lǐng)域進(jìn)行培訓(xùn)。當(dāng)出現(xiàn)下列情況時(shí)，宜考慮進(jìn)行合規(guī)再培訓(xùn)：——職位或職責(zé)的變化；——內(nèi)部方針、過(guò)程和程序的變更；——組織結(jié)構(gòu)的變化；——合規(guī)義務(wù)的變更，特別是法律要求和相關(guān)方的需求的變化；——活動(dòng)、產(chǎn)品或服務(wù)的變化；——產(chǎn)生于監(jiān)視、審核、評(píng)審、投訴和不合規(guī)的問(wèn)題，包括相關(guān)A.7.3意識(shí)意識(shí)涉及確保所有人員都能訪問(wèn)、利用并理解合規(guī)方針。提高合規(guī)意識(shí)的方法包括但不限于：——培訓(xùn)(面對(duì)面或在線);——與最高管理者溝通；——易于參照?qǐng)?zhí)行和容易獲得的參考資料；——定期更新合規(guī)問(wèn)題。溝通對(duì)合規(guī)的承諾將：——建立意識(shí)并鼓勵(lì)人員接受合規(guī)管理體系；——鼓勵(lì)員工提出有助于持續(xù)改進(jìn)合規(guī)績(jī)效的建議。宜根據(jù)本組織的方針，采取面向所有相關(guān)方的務(wù)實(shí)的對(duì)外溝通方相關(guān)方包括監(jiān)管機(jī)構(gòu)、顧客、承包商、供應(yīng)商、投資者、應(yīng)急服務(wù)機(jī)構(gòu)、非政府組織和周遭人士。組織宜分配適當(dāng)?shù)馁Y源和具有相關(guān)知識(shí)的人以協(xié)調(diào)和促進(jìn)與監(jiān)管的互動(dòng)。溝通方式可包括網(wǎng)站和電子郵件、新聞稿、廣告和定期通訊、年度(或其他定期)報(bào)告、非正式討論、開(kāi)放日、焦點(diǎn)小組、社區(qū)對(duì)話、參與社區(qū)活動(dòng)和熱線電話。這些方法能促進(jìn)理解和接受組織對(duì)合規(guī)的溝通宜堅(jiān)持透明、適當(dāng)、可信、響應(yīng)、可接觸和清晰的原則?！M織的合規(guī)方針和程序；——合規(guī)管理體系的目標(biāo)、指標(biāo)、結(jié)構(gòu)和內(nèi)容；——合規(guī)崗位和職責(zé)的分配；——相關(guān)合規(guī)義務(wù)的登記冊(cè)；——合規(guī)風(fēng)險(xiǎn)登記冊(cè)，并根據(jù)合規(guī)風(fēng)險(xiǎn)評(píng)估過(guò)程確定相關(guān)措施的——不合規(guī)、近乎不合規(guī)和調(diào)查的記錄；——年度合規(guī)計(jì)劃；——人員記錄，包括但不限于培訓(xùn)記錄；——審核過(guò)程、審核時(shí)間表及相關(guān)審核記錄。文件化信息能包括與監(jiān)管報(bào)告要求有關(guān)的事項(xiàng)。文件化信息可包括各類媒介(數(shù)字的和非數(shù)字的)。宜更新文件化信息以反映內(nèi)部和外部的變化，進(jìn)而確保它們是現(xiàn)行和最新的。文件化信息能以獲取法律建議為目的編制，因此能成為法定豁免權(quán)的行使對(duì)象。A.8運(yùn)行A.8.1運(yùn)行的策劃和控制一個(gè)精心設(shè)計(jì)的合規(guī)管理體系包括各項(xiàng)措施(例如：方針、過(guò)程、程序),使得合規(guī)文化既有內(nèi)容又有效果。這些措施應(yīng)對(duì)并旨在減少合規(guī)風(fēng)險(xiǎn)評(píng)估過(guò)程所識(shí)別的部分風(fēng)險(xiǎn)。運(yùn)行控制的一個(gè)基本要件是行為準(zhǔn)則，其中規(guī)定了本組織對(duì)相關(guān)合規(guī)義務(wù)的全面承諾。行為準(zhǔn)則宜適用于所有人員并使其能夠獲得和使用。宜將基于并源自行為準(zhǔn)則的合規(guī)措施納入本組織的日常運(yùn)行，以培育合規(guī)文化。在缺少與業(yè)務(wù)過(guò)程有關(guān)的運(yùn)營(yíng)控制可能導(dǎo)致偏離合規(guī)方針或違反合規(guī)義務(wù)的情況下，需要對(duì)運(yùn)行進(jìn)行控制。這些情況可能與所有業(yè)務(wù)情況、活動(dòng)或過(guò)程(例如：生產(chǎn)、安裝、服務(wù)、維護(hù))或承包商、供應(yīng)商或銷售商有關(guān)?？刂频某潭热Q于幾個(gè)因素，如所履行的職能的重要性或復(fù)雜性、不合規(guī)的潛在后果、相關(guān)的或可用的技術(shù)支持。當(dāng)運(yùn)行控制失效時(shí)，則有必要采取措施來(lái)應(yīng)對(duì)一切不期望的結(jié)果如果組織活動(dòng)中使用了第三方或外包過(guò)程，組織宜對(duì)其進(jìn)行有效的盡職調(diào)查，以確保組織對(duì)合規(guī)的標(biāo)準(zhǔn)和承諾不會(huì)降低。第三方的一個(gè)例子是產(chǎn)品和服務(wù)的提供以及產(chǎn)品的分銷。組織宜確保簽訂適當(dāng)?shù)姆?wù)水平協(xié)議(SLAs),以規(guī)定服務(wù)提供者的合規(guī)義務(wù)。一個(gè)設(shè)計(jì)良好的外包過(guò)程宜考慮以下幾點(diǎn)：——啟動(dòng)和持續(xù)的盡職調(diào)查；——實(shí)施適當(dāng)?shù)目刂?；——進(jìn)行持續(xù)的監(jiān)視；——對(duì)法律/合同協(xié)議的適當(dāng)評(píng)審；——考慮服務(wù)水平協(xié)議；——使用基于本文件認(rèn)證的第三方。組織實(shí)施的采購(gòu)、運(yùn)行、業(yè)務(wù)和其他非財(cái)務(wù)控制能降低合規(guī)風(fēng)險(xiǎn)。A.8.2確立控制和程序組織需要有效的控制，以確保組織的合規(guī)義務(wù)得以履行，不合規(guī)得以防止、發(fā)現(xiàn)和糾正?？刂频脑O(shè)計(jì)宜足夠嚴(yán)格，以促進(jìn)在特定的組織活動(dòng)和運(yùn)行環(huán)境中實(shí)現(xiàn)合規(guī)義務(wù)。在可能的情況下，這種控制宜嵌入到組織的正常過(guò)程之中?！逦?、實(shí)用且易于遵守的文件化運(yùn)行方針、過(guò)程、程序和工——系統(tǒng)和例外報(bào)告；——批準(zhǔn)；——分離不相容的崗位和職責(zé)；——自動(dòng)化過(guò)程；——年度合規(guī)計(jì)劃；——人員績(jī)效計(jì)劃；——合規(guī)評(píng)估和審核；——證實(shí)的管理層承諾和模范行為，以及其他促進(jìn)合規(guī)行為的措——就員工的預(yù)期行為(標(biāo)準(zhǔn)、價(jià)值觀、行為準(zhǔn)則)進(jìn)行積極、公開(kāi)和頻繁的溝通。在開(kāi)發(fā)支持合規(guī)管理的程序時(shí)，宜考慮：——將合規(guī)義務(wù)納人程序，包括計(jì)算機(jī)系統(tǒng)、表格、報(bào)告系統(tǒng)、合同和其他法律文件；——與組織中其他評(píng)審和控制職能的一致性；——持續(xù)監(jiān)視和測(cè)量；——評(píng)估和報(bào)告(包括管理監(jiān)督),以確保雇員遵守程序；——識(shí)別、報(bào)告和上報(bào)針對(duì)不合規(guī)的情況與不合規(guī)的風(fēng)險(xiǎn)的具體A.8.3提出疑慮適宜時(shí)，宜上報(bào)至最高管理者和治理機(jī)構(gòu)，包括相關(guān)委員會(huì)。即使當(dāng)?shù)胤ㄒ?guī)未作要求，組織也宜考慮開(kāi)發(fā)匿名或保密的舉報(bào)人機(jī)制，以便組織的員工和代理方能報(bào)告不合規(guī)或?qū)で箨P(guān)于不合規(guī)的指導(dǎo)，而不必?fù)?dān)心遭到報(bào)復(fù)。有關(guān)舉報(bào)管理體系的更多指導(dǎo)，見(jiàn)ISO37002。A.8.4調(diào)查過(guò)程有效的合規(guī)管理體系的一個(gè)特點(diǎn)是具有功能良好的機(jī)制，以便及時(shí)、徹底地調(diào)查對(duì)本組織、其人員或有關(guān)第三方不當(dāng)行為的任何指控或懷疑。這包括組織的響應(yīng)文件、采取的一切處分或補(bǔ)救措施，以及結(jié)合經(jīng)驗(yàn)教訓(xùn)對(duì)合規(guī)管理體系的修訂。有效的調(diào)查機(jī)制能確認(rèn)不當(dāng)行為的根源、合規(guī)管理體系的漏洞和責(zé)任缺失的原因，包括管理者、最高管理者和治理機(jī)構(gòu)之間的責(zé)任缺失?？b密的根源分析涉及不合規(guī)的程度和普遍性，牽涉的人員的數(shù)量和水平，以及嚴(yán)重性、持續(xù)時(shí)間和頻率。組織宜確保調(diào)查是公正和獨(dú)立的。適當(dāng)時(shí)，組織宜考慮創(chuàng)建獨(dú)立的委員會(huì)來(lái)監(jiān)督調(diào)查，并保證調(diào)查的完整性和獨(dú)立性。組織宜確立關(guān)于調(diào)查的報(bào)告機(jī)制，包括報(bào)告調(diào)查結(jié)果的級(jí)別。注：法律有時(shí)要求組織報(bào)告不合規(guī)。在這種情況下，監(jiān)管機(jī)構(gòu)根據(jù)適用的法規(guī)或其他商定的方式被告知。即使法律不要求組織報(bào)告不合規(guī)，組織也能考慮主動(dòng)向監(jiān)管機(jī)構(gòu)披露不合規(guī)，以減輕不合規(guī)的后果。A.9績(jī)效評(píng)價(jià)A.9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)監(jiān)視是為了評(píng)估合規(guī)管理體系的有效性和組織的合規(guī)績(jī)效而收合規(guī)管理體系的監(jiān)視通常包括：——控制的有效性(例如通過(guò)抽樣測(cè)試的結(jié)果);——有效分配履行合規(guī)義務(wù)的職責(zé)；——合規(guī)義務(wù)的時(shí)效性；——解決先前識(shí)別的合規(guī)缺陷的有效性；——未按計(jì)劃進(jìn)行內(nèi)部合規(guī)檢查的情況；——針對(duì)合規(guī)風(fēng)險(xiǎn)對(duì)業(yè)務(wù)戰(zhàn)略進(jìn)行評(píng)審，以便適當(dāng)更新。合規(guī)績(jī)效監(jiān)視通常包括：——不合規(guī)和“近乎不合規(guī)”(即未造成負(fù)面影響的事件);——未履行合規(guī)義務(wù)的情況；——未實(shí)現(xiàn)目標(biāo)的情況；——合規(guī)文化現(xiàn)狀；——確立領(lǐng)先的和滯后的指標(biāo)。A.9.1.2合規(guī)績(jī)效的反饋來(lái)源——人員(例如：通過(guò)舉報(bào)工具、求助熱線、反饋、意見(jiàn)箱);——顧客(例如：通過(guò)投訴處理系統(tǒng));——供應(yīng)商；——承包商；——監(jiān)管機(jī)構(gòu)；——過(guò)程控制日志和活動(dòng)記錄(包括電子版和紙質(zhì)版)?！弦?guī)問(wèn)題；——不合規(guī)和合規(guī)疑慮；——新出現(xiàn)的合規(guī)問(wèn)題；——持續(xù)的監(jiān)管和組織的變更；——對(duì)合規(guī)有效性和績(jī)效的評(píng)論。收集信息的方法多種多樣。下面列出的每種方法都與其情況相關(guān)，宜注意選擇適合組織規(guī)模、范圍、性質(zhì)和復(fù)雜性的工具?！霈F(xiàn)或識(shí)別出不合規(guī)的特別報(bào)告；——通過(guò)熱線、投訴和其他反饋渠道(包括舉報(bào))獲得的信息；——非正式討論、研討會(huì)和分組座談會(huì)；——抽樣和誠(chéng)信試驗(yàn)，如神秘購(gòu)物；——感知調(diào)查的結(jié)果；——直接觀察、正式訪談、設(shè)施巡察和檢查；——審核和評(píng)審；——相關(guān)方質(zhì)詢、培訓(xùn)需要和培訓(xùn)期間的反饋(特別是員工的反宜開(kāi)發(fā)信息的分類、存儲(chǔ)和檢索系統(tǒng)。信息管理系統(tǒng)宜同時(shí)收集問(wèn)題和投訴，并允許對(duì)與合規(guī)有關(guān)的問(wèn)題和投訴進(jìn)行分類和分析。分析宜結(jié)合系統(tǒng)性和重復(fù)性的問(wèn)題，以便糾正或改進(jìn)，因?yàn)檫@些可能會(huì)給組織帶來(lái)更難識(shí)別且重大的合規(guī)風(fēng)——來(lái)源；——不合規(guī)描述；——義務(wù)類別；——指標(biāo)；——嚴(yán)重性；——實(shí)際或潛在影響。這一過(guò)程宜體現(xiàn)合規(guī)風(fēng)險(xiǎn)的評(píng)估結(jié)果，以確保各指標(biāo)與組織合規(guī)風(fēng)險(xiǎn)特征具有相關(guān)性。合規(guī)績(jī)效是什么和如何測(cè)量的問(wèn)題在某些方面可能具有挑戰(zhàn)性，但仍是證實(shí)合規(guī)管理體系有效性的重要部分。此外，所需的指標(biāo)將隨著組織的成熟程度，實(shí)施新的和修訂的方案的時(shí)間和程度而變化?！?jīng)過(guò)有效培訓(xùn)的員工比例；——監(jiān)管機(jī)構(gòu)介入的頻率；——反饋機(jī)制的使用(包括用戶對(duì)那些機(jī)制價(jià)值的評(píng)論)?！搭愋汀^(qū)域和頻率報(bào)告的已識(shí)別的問(wèn)題和不合規(guī)；——不合規(guī)的后果，包括對(duì)經(jīng)濟(jì)補(bǔ)償、罰款和其他處罰、補(bǔ)救成本、聲譽(yù)或員工時(shí)間成本影響的估價(jià)；——報(bào)告和采取糾正措施所花費(fèi)的時(shí)間?！噪S著時(shí)間推移目標(biāo)的潛在損失/收益(收入、健康和安全、聲譽(yù)等)測(cè)量的不合規(guī)的風(fēng)險(xiǎn)；——不合規(guī)趨勢(shì)(基于過(guò)去趨勢(shì)的預(yù)期合規(guī)率)。盡管報(bào)告系統(tǒng)性和反復(fù)出現(xiàn)的問(wèn)題非常重要，但是如果一次性不合規(guī)是重大或故意為之的，也能夠予以同等重視。即使一個(gè)小缺陷，也能表明當(dāng)前過(guò)程和合規(guī)管理體系存在嚴(yán)重不足。如果不及時(shí)報(bào)告，則可能造成人們認(rèn)為缺陷不重要并可能導(dǎo)致此類缺陷成為系統(tǒng)性問(wèn)——組織按要求向任何監(jiān)管機(jī)構(gòu)通報(bào)的任何事項(xiàng)；——合規(guī)義務(wù)變更及其對(duì)組織的影響，以及為了履行新義務(wù)，擬——對(duì)合規(guī)績(jī)效的測(cè)量，包括不合規(guī)和持續(xù)改進(jìn)；——可能的不合規(guī)的數(shù)量和詳細(xì)內(nèi)容，以及隨后對(duì)它們的分析；——采取的糾正措施；——合規(guī)管理體系的有效性、業(yè)績(jī)和趨勢(shì)的信息；——與監(jiān)管機(jī)構(gòu)的接觸和關(guān)系進(jìn)展；——審核和監(jiān)視活動(dòng)的結(jié)果；——監(jiān)視行動(dòng)計(jì)劃的完整執(zhí)行，特別是那些源自審核報(bào)告或監(jiān)管要求的行動(dòng)計(jì)劃，或兩者兼而有之。合規(guī)方針宜推進(jìn)即時(shí)報(bào)告超出常規(guī)報(bào)告時(shí)間表范圍的重大事件。記錄保存宜包括對(duì)合規(guī)問(wèn)題和聲稱的不合規(guī)以及為解決它們而采取的步驟的記錄和分類。記錄宜以確保清晰、容易辨認(rèn)和檢索的方式保存。記錄宜受到保護(hù)，以免于被增加、刪除、修改、未經(jīng)授權(quán)使用或隱藏。組織的合規(guī)管理體系記錄包括：——合規(guī)績(jī)效信息，包括合規(guī)報(bào)告；——不合規(guī)及糾正措施的詳細(xì)內(nèi)容；——對(duì)合規(guī)管理體系和采取的措施的評(píng)審和審核的結(jié)果。審核職能，無(wú)論其為內(nèi)部還是外部的，都宜免于利益沖突并保持獨(dú)立性，以履行其崗位職責(zé)。關(guān)于如何對(duì)管理體系進(jìn)行審核的信息見(jiàn)ISO19011。管理評(píng)審還宜包括以下方面的建議：——合規(guī)方針以及與它相關(guān)的目標(biāo)、體系、結(jié)構(gòu)和人員所需的變——合規(guī)過(guò)程的變更，以確保與運(yùn)行實(shí)踐和體系有效整合；——需監(jiān)視的未來(lái)潛在不合規(guī)的領(lǐng)域；——與不合規(guī)相關(guān)的糾正措施；——當(dāng)前合規(guī)體系和長(zhǎng)期持續(xù)改進(jìn)的目標(biāo)之間的差距或不足；——對(duì)組織內(nèi)的示范性合規(guī)行為的認(rèn)可。宜向治理機(jī)構(gòu)提供管理評(píng)審中形成文件的結(jié)果和全部建議的副A.10改進(jìn)合規(guī)管理體系的有效性的特點(diǎn)是它具有持續(xù)改進(jìn)和發(fā)展的能力。組織的內(nèi)部、外部環(huán)境以及業(yè)務(wù)隨著時(shí)間的推移而變化，其顧客的性質(zhì)和適用的合規(guī)義務(wù)也隨之變化。宜通過(guò)多種方法對(duì)合規(guī)管理體系的充分性和有效性進(jìn)行持續(xù)和定期評(píng)估，例如評(píng)審或內(nèi)部審核。組織宜確立措施以評(píng)審其合規(guī)管理體系，并確保其保持最新?tīng)顟B(tài)且適合于其目標(biāo)。在確定支持持續(xù)改進(jìn)的行動(dòng)的程度和時(shí)間尺度時(shí)，組織宜結(jié)合其環(huán)境、經(jīng)濟(jì)因素和其他相關(guān)情況。一些組織對(duì)員工進(jìn)行調(diào)查，以衡量合規(guī)文化，并評(píng)價(jià)控制的強(qiáng)度。持續(xù)改進(jìn)的進(jìn)一步信息來(lái)源可以是顧客調(diào)查的結(jié)果、提出疑慮、定期的監(jiān)視、定期的審核或管理評(píng)審。組織宜結(jié)合此類評(píng)估的結(jié)果和輸出，以確定是否需要或有機(jī)會(huì)變更合規(guī)管理體系。為了有助于確保保持合規(guī)管理體系的完整性及有效性，管理體系各個(gè)要件的變更宜體現(xiàn)此類變更對(duì)整個(gè)管理體系有效性的依賴和影響。當(dāng)對(duì)合規(guī)管理體系作出變更時(shí)，組織宜考慮這些變更對(duì)合規(guī)管理體系、運(yùn)行、資源可用性、合規(guī)風(fēng)險(xiǎn)評(píng)估、組織的合規(guī)義務(wù)及其持續(xù)改進(jìn)過(guò)程的影響。未能預(yù)防或檢測(cè)到一次性不合規(guī)，并不一定意味著合規(guī)管理體系在預(yù)防和檢測(cè)不合規(guī)時(shí)缺乏有效性。分析不符合或不合規(guī)的信息能用于：——評(píng)估產(chǎn)品和服務(wù)性能；——改進(jìn)或重新設(shè)計(jì)產(chǎn)品和服務(wù)；——變更組織慣例和程序；——再培訓(xùn)員工；——重新評(píng)估告知相關(guān)方的需要；——對(duì)潛在不合規(guī)做出早期預(yù)警；——重新設(shè)計(jì)或評(píng)審控制；——加強(qiáng)通知和上報(bào)步驟(內(nèi)部和外部);——溝通有關(guān)不合規(guī)的事實(shí)和組織對(duì)不合規(guī)的立場(chǎng)。組織宜確認(rèn)導(dǎo)致不遵守方針或程序或兩者皆不遵守之行為發(fā)生的根本原因，并根據(jù)所吸取的經(jīng)驗(yàn)教訓(xùn)更新方針和程序。附錄NA(資料性)補(bǔ)充使用指南NA.1合規(guī)義務(wù)4.5提及的合規(guī)義務(wù)在A.4.5進(jìn)行了列舉。在我國(guó)語(yǔ)境下，有些合規(guī)義務(wù)需要給予補(bǔ)充和提示，例如在我國(guó)，除法律法規(guī)外，強(qiáng)制性遵守的要求還包括強(qiáng)制性標(biāo)準(zhǔn)(見(jiàn)NA.1.4)、檢察決定(見(jiàn)NA.1.3);而有些合規(guī)義務(wù)則需要做進(jìn)一步的解釋、細(xì)化和區(qū)分，例如“法律法規(guī)”在我國(guó)司法管轄區(qū)體現(xiàn)為不同形式(見(jiàn)NA.1.2);“法院判決”在我國(guó)司法管轄區(qū)并不具有判例法法域的“遵循先例”的效力，而最高人民法院的指導(dǎo)性案例和司法解釋則對(duì)法律在司法運(yùn)用中提供了非常重要的規(guī)范，需要進(jìn)一步解釋、細(xì)化和區(qū)分(見(jiàn)NA.1.3);而組織簽署合同所產(chǎn)生的義務(wù)既可以成為契約性合規(guī)義務(wù)，也可通過(guò)合同援引外國(guó)具有域外效力的法律成為組織宜遵循的合規(guī)義務(wù)的一部分(見(jiàn)A.4.5中提及的“法律法規(guī)”在我國(guó)司法管轄區(qū)內(nèi)主要體現(xiàn)為如下形式：現(xiàn)行有效的法律、行政法規(guī)、地方性法規(guī)、自治條例和單行條例。其中，法律有廣義、狹義兩種理解。廣義上，法律泛指上述一切具有法律效力的規(guī)范性文件；狹義上，僅指全國(guó)人大及其常委會(huì)制定的規(guī)范性文件。在與法規(guī)等一起提及時(shí)，指狹義上的法律。綜上，法律法規(guī)一般是指立法部門(mén)和執(zhí)法部門(mén)(包括行政和監(jiān)管部門(mén))制定的法律規(guī)范性文件。NA.1.3法院判決、檢察決定、指導(dǎo)性案例和司法解釋A.4.5中提及的“法院判決”在我國(guó)語(yǔ)境下需要做出補(bǔ)充解釋和說(shuō)明。在我國(guó)，法院的判決只對(duì)其涉及的案件當(dāng)事人具有約束力，對(duì)于其他相同或類似的案件沒(méi)有約束力，僅具有參考價(jià)值。在法律法規(guī)沒(méi)有對(duì)某個(gè)案件涉及的問(wèn)題做出規(guī)定的情況下，法院的判決對(duì)于相關(guān)方了解司法部門(mén)所采取的強(qiáng)制性要求具有很強(qiáng)的現(xiàn)實(shí)指導(dǎo)意義。另外，除了法院判決外，我國(guó)的檢察院會(huì)做出檢察決定。檢察決定在我國(guó)也構(gòu)成強(qiáng)制遵守的合規(guī)義務(wù)。在我國(guó)法域內(nèi)，最高人民法院、最高人民檢察院會(huì)頒布指導(dǎo)性案例、司法解釋，這些會(huì)構(gòu)成組織強(qiáng)制遵守的合規(guī)義務(wù)。最高人民法院頒布的指導(dǎo)性案例雖不具備強(qiáng)制約束力，但會(huì)成為法院對(duì)某些相同或類似案件進(jìn)行判決的依據(jù)。組織為了解相關(guān)法律法規(guī)在具體案件適用的標(biāo)準(zhǔn)和邊界，也要研究最高人民法院頒布的指導(dǎo)性案例。司法解釋是最高人民法院、最