本文件按照GB/T 1.1—2020(《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
本文件代替GB/T 35770—2017《合规管理体系 指南》,与GB/T 35770—2017相比,除结构调整和编辑性改动外,主要技术变化如下:
00001—— 更改了文件类型,由指南类管理体系标准修改为要求类管理体系标准;
00002—— 修改了方针、过程、要求、合格、不合格、纠正措施、审核、测量、监视、治理机构、合规风险、合规义务、合规、不合规、程序的术语和定义(见3.5、3.8、3.14、3.15、3.16、3.17、3.18、3.19、3.20、 3.21、3.24、3.25、3.26、3.27、3.31,2017 年版的 2.8、2.10、2.13、2.32、2.33、2.35、2.31、2.30、2.29、 2.4、2.12、2.16、2.17、2.18、2.25)。
本文件等同采用ISO 37301:2021(《合规管理体系 要求及使用指南》。与ISO 37301:2021相比,本文件做了下列最小限度的编辑性改动:
00003—— 术语3.14增加了注,对要求做了进一步解释;
00004—— 术语3.28増加了注,对组织价值观进行了解释;
00005—— 考虑到本文件在我国的适用性,增加了附录NA(资料性)。
清注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国标准化研究院提出并归口。
本文件起草单位:中国标准化研究院、北京大成律师事务所、中国石油天然气集团有限公司、中标合信(北京)认证有限公司、中建科技集团有限公司、北京在礼合规信息技术有限公司、北京大成(上海)律师事务所、中国工商银行股份有限公司、中国质量认证中心、通标标准技术服务有限公司、中国信息通信研究院、北京康柏汉森医药科技咨询有限责任公司、北京申永组织管理咨询有限公司、上海段和段律师事务所、山东鲁源节能认证技术工程有限公司。
本文件主要起草人:王益谊、杜晓燕、徐永前、吴学静、蒋汉才、李近宇、王耕杰、王超、张利宾、李铁男、胡国辉、陈立彤、樊光中、牛娜娜、张怡、王培勋、辛斌、李文宇、刘翠东、任建芝、刘红霞、卢博宇、姚竹新、吕菊萍、张波、温利峰、张大春、尹云霞、逢华。
本文件所代替文件的历次版本发布情况为:
00006—— 2017年首次发布为GB/T 35770—2017;
00007—— 本次为第一次修订。
为获得长远发展,组织需基于相关方的需要和期望确立并维护合规文化。因此,合规是实现组织成功和持续发展的基石和机会。
合规是一个持续的过程,也是组织履行其义务的结果。合规的可持续性体现在将合规融入组织文化以及为组织工作的人的行为和意识。合规管理在保持独立性的同时,最好与组织的其他管理过程、运行需求和程序相结合。
一个全面有效的合规管理体系,能证实组织承诺并致力于遵守相关法律、监管要求、行业准则和组织标准,以及良好治理标准、普遍接受的最佳实践、道德规范和社区期望。
组织的领导层运用核心价值观、普遍接受的良好治理方法、道德规范和社会准则来塑造组织的合规之道。将合规融入为组织工作的人员的行为取决于组织各层级的领导作用、组织的清晰价值观以及组织对促进合规行为措施的认可和实施。如果组织的各层级不能做到上述各点,则面临不合规的风险。在许多司法管辖区,法院在对违反相关法律的行为做出适当处罚的决定时,根据组织的合规管理体系考虑了其合规承诺。因此,监管部门和司法机构也能利用本文件对标而受益。
通过推行具有约束力的价值观和实施适当的合规管理,组织将更加确信其可以有效维护自身诚信,避免或尽量减少违反组织的合规义务。因此,诚信和有效合规是组织实现良好勤勉管理的关键要素。合规还有助于组织履行社会责任。
本文件的目标之一是协助组织开发和传播积极的合规文化。建议组织将合规相关风险的有效及合理管理视为可迫求和利用的机会,因其为组织提供下列优势:
00008—— 增加业务机会、促进可持续发展;
00009—— 保护并提升组织的声誉和信誉;
00010—— 考虑各相关方的期望;
00011—— 证实组织切实有效管理其合规风险的承诺;
00012—— 提升第三方对组织取得持续成功的信心;
00013—— 最大限度地降低违规行为导致的风险及相应的成本和声誉损失。
本文件规定了合规管理体系的要求,并提供了使用指南和推荐做法。本文件中的要求与指南旨在具有适应性,根据组织合规管理体系规模和成熟度的不同,以及组织活动和目标所处的环境、性质及其复杂程度的不同,其实施方式有所不同。
本文件适用于加强其他管理体系的合规相关要求的履行,有助于提升组织对所有合规义务的统筹管理。
图1概述了合规管理体系的常见要件。
本文件使用如下能愿动词:
00014—— “应”表示要求;
00015—— “宜”表示推荐;
00016—— “可”表示允许;
00017—— “能”表示能力或可能性。
本文件“注”的信息是理解或说明相关要求的指南。
附录A提供了本文件的使用指南,附录NA提供了本文件的补充使用指南。
000011 范围
本文件规定了组织建立、开发、实施、评价、維护和改进有效的合规管理体系的要求,并提供了指南。本文件适用于所有类型的组织,不论其类型、规模、性质,也不论其是公共的、私营的或非营利性的。如果组织内没有设立独立的治理机构,则本文件中规定的所有关于治理机构的要求都适用于最高管理者。
000012 规范性引用文件
本文件没有规范性引用文件。
000013 术语和定义
下列术语和定义适用于本文件。
组织organization
为实现目标(3.6),由职责、权限和相互关系构成自身功能的一个人或一组人。
注1:组织的概念包括但不限于个体经营者、公司、集团公司、商行,企事业单位、行政机构、合伙组织、慈善机构或研究机构,或上述组织的部分或組合,无论是否具有法人资格,公有或私冇。
注2:如果组织是大型实体的某个组成部分,那么,术语“组织"仅指在合规管理体系(3.4)范围内的这个组成部分。
相关方interested party(优先术语)
相关方stakeholder(许用术语)
能够影响决策或活动、受决策或活动影响或自认为受决策或活动影响的个人或组织(3.1)。
最高管理者top management
在最高层指挥和控制组织(3.1)的一个人或一组人。
注1:最高管理者有权在组织内部授权和提供资源。
注2:如果管理体系(3.4)的范围仅覆盖组织的某个组成部分,那么最高管理者是指挥和控制该部分的一个人或一組人。
注3:本文件中,“最高管理者”指最髙级别的执行管理层。
管理体系 management system
组织(3.1)为确立方针(3.5)和目标(3.6)以及实现这些目标的过程(3.8)所形成的相互关联或相互作用的一组要件。
注1:一个管理体系可能针对一个或几个主题。
注2:管理体系要件包括组织的结构、岗位和职责、策划和运行。
方针policy
由最高管理者(3.3)正式表述的组织(3.1)的意图和方向。
注:方针也可能由组织的治理机构(3.21)正式表述。
目标 objective
要实现的结果。
注1:目标可能是战略的、战术的或运行的。
注2:目标可能涉及不同的主题(如财务、健康和安全、环境)。它们可能存在于不同层面,诸如组织整体层面或项目、产品、服务或过程(3.8)层面。
注3:目标能够用其他方式表述,如:预期的结果、宗旨、运行准则,合规(3.26)目标或使用其他有类似含义的词(如:终点或指标)。
注4:在合规管理体系(3.4)中,组织(3.1)设定的合规目标与合规方针(3.5)保持一致,以实现特定的结果。
风险 risk
不确定性对目标(3.6)的影响。
注1:影响是对预期的偏离正面的或负面的。
注2:不确定性是一种状态,是指对某个事件、事件的后果或可能性缺乏甚至部分缺乏相关信息、理解或知识。
注3:通常,风险以潜在事件(见ISO Guide 73的定义)和后果(见ISO Guide 73的定义)或二者的组合来描述其特性。
注4:通常,风险以某个事件的后果(包括情况的变化)及其发生的可能性(见ISO Guide 73的定义)的组合来表述。
过程 process
使用或转化输入以实现结果的一组相互关联或相互作用的活动。
注:某个过程的结果是称为输出,还是称为产品或服务,取决于相关语境。
能力 competence
应用知识和技能实现预期结果的本领。
成文信息 documented information
组织(3.1)需要控制和维护的信息及其载体。
注1:成文信息能够以任何形式和载体存在,且来源不限。
注2:成文信息可能涉及:
00018—— 管理体系(3.4),包括相关过程(3.8);
00019—— 为组织运行而创建的信息(文件);
00020—— 实现的结果的证据(记录)。
绩效 performance
可测量的结果。
注1:绩效可能涉及定量的或定性的结果。
注2:绩效可能与活动、过程(3.8)、产品、服务、体系或组织(3.1)的管理有关。
持续改进 continual improvement
提高绩效(3.11)的循环活动。
有效性 effectiveness
完成策划的活动和实现策划的结果的程度。
要求/需求 requirement
规定的、不言而喻的或有义务履行的需要或期望。
符合 conformity
满足要求(3.14)。
不符合 nonconformity
未满足要求(3.14)。
注:不符合不一定是不合规(3.27)。
纠正措施 corrective action
为了消除不符合(3.16)的原因并预防再次发生所采取的措施。
审核 audit
获取审核证据并对其进行客观评价,以确定审核准则满足程度所进行的系统的、独立的过程(3.8)。
注1:审核可能为内部(第一方)审核或外部[第二方或第三方(3.30)]审核,也可能为多体系审核(合并两个或多个主题)。
注2:内部审核由组织(3.1)自行实施或代表组织的外部机构实施。
注3:“审核证据”和“审核准则”的定义见ISO 19011。
注4:独立性能通过对正在被审核的活动免于承担责任或无偏见和利益冲突来证实。
测量 measurement
确定数值的过程(3.8)。
监视 monitoring
确定体系、过程(3.8)或活动的状态。
注:确定状态可能需要检査、监督或严格观察。
治理机构 governing body
对组织(3.1)的活动、治理、方针(3.5)负有最终职责和权限的一个人或一组人,最高管理者(3.3)向其报告并对其负责。
注1:并不是所有的组织,尤其是小型组织,都会有一个独立于最高管理者的治理机构。
注2:治理机构可能包括但不限于萤事会、萤事会委员会、监事会或受托人。
人员 personnel
在国家法律或实践中被确认为工作关系的个人,或依赖于组织(3.1)活动的任何合同关系中的个人。
合规团队 compliance function
对合规(3.26)管理体系(3.4)运行负有职责、享有权限的一个人或一组人。
注:最好指定一人负责合规管理体系的监督。
合规风险 compliance risk
因未遵守组织(3.1)合规义务(3.25)而发生不合规(3.27)的可能性及其后果。
合规义务 compliance obligations
组织(3.1)强制性地必须遵守的要求(3.14),以及组织自愿选择遵守的要求。
合规 compliance
履行组织(3.1)的全部合规义务(3.25)。
不合规 noncompliance
未履行合规义务(3.25)。
合规文化 compliance culture
贯穿整个组织(3.1)的价值观、道徳规范、信仰和行为(3.29),并与组织结构和控制系统相互作用,产生有利于合规(3.26)的行为规范。
注:价值观是组织所崇尚的文化的核心,是组织行为的基本原则。
行为 conduct
影响顾客、员工、供应商、市场和社区结果的举动和实践。
第三方 third party
独立于组织(3.1)的个人或机构。
注:所有业务伙伴都是第三方,但并非所有第三方都是业务伙伴。
程序 procedure
为进行某项活动或过程(3.8)所规定的途径。
[来源:GB/T 19000—2016,3.4.5]
组织应确定与其宗旨相关的,并影响其实现合规管理体系预期结果的内部和外部因素,为此,组织 应综合诸多因素,包括但不限于:
00021—— 业务模式,包括组织活动和运行的战略、性质、规模、复杂性和可持续性; 与第三方业务关系的性质与范围;
00022—— 法律和监管环境;
00023—— 经济状况;
00024—— 社会、文化、环境背景;
00025—— 内部结构、方针、过程、程序和资源,包括技术;
00026—— 自身的合规文化。
000014.2.1 组织应理解可能影响合规管理体系、受合规管理体系影响或认为受合规管理体系影响的人或组 织的需求和期望。
000014.2.2 有些需求是强制性的,如法律、法规、许可、执照以及政府或法院措施。
000014.2.3 有些相关方的需求和期望是非强制性的,但组织希望通过签订协议或合同的形式自愿采纳, 这种情况下这些需求和期望就会成为合规义务。
00027—— 政府和政府机构;
00028—— 监管机构;
00029—— 客户;
00030—— 承包商;
00031—— 第三方中介机构;
00033—— 非政府组织;
00034—— 社会团体;
00035—— 业务伙伴。
00036—— 合规管理体系的相关方
00037—— 这些相关方的需求
00038—— 哪些需求将通过合规管理体系予以解决。
4.3.1 组织应确定合规管理体系的边界和适用性,以确定其范围。
4.3.2 合规管理体系宜合理且与组织规模相匹配,宜考虑组织合规的风险性质与程度。
4.3.3 确定合规管理体系的范围时和决定组织采纳哪些要求时,宜理解组织所处环境和相关方的利益
需求。
4.3.4 组织选择在整个组织,组织内具体单元,或具体职能部门实施合规管理体系的时候,具有自由 度和灵活性。
4.3.5 合规管理体系应在组织所有不同单元的组织中实施,以避免道德行为和合规方法的双重标准。
4.4.1 根据本文件的要求,组织应建立、实施、维护和持续改进合规管理体系。合规管理体系应反映 组织的价值观、 目标、战略和合规风险。
4.4.2 合规管理体系是一个框架,该框架是基本架构、方针、过程和程序的有机组合,其目的是实现 预期的合规结果,并发挥预防作用,发现和应对不合规行为。
4.4.3 合规管理体系框架具有结构性特征,先建立必要的基础结构,而在其上构建合规管理体系。合 规管理体系需要通过方针、过程和程序的实施使其运行,并对其进行维护和持续改进。
4.4.4 合规管理体系也不能完全避免发生错误,但应有相应的措施对错误做出适当的反应,包括对过 程、体系和受影响方的补救。
4.4.5 合规管理体系宜以良好治理、匹配性、完整性、透明、问责制和可持续性等原则为基础。
4.4.6 合规管理体系应作为成文信息提供。
4.5.1 组织应将合规义务作为确立、制定、实施、评估、维护和改进其合规管理体系的基础。
4.5.2 组织强制性遵守的合规义务包括:
00039—— 法律法规;
00040—— 许可、执照或者其他形式的授权;
00041—— 监管机构发布的命令、条例或指南;
00042—— 法院判决或行政决定;
4.5.3 组织自愿选择遵守的合规义务包括:
00043—— 与社会团体或非政府组织签订的协议;
00044—— 与公共权利机构签订的协议;
00045—— 自愿性标准或环境承诺;
00046—— 签署合同产生的义务;
00047—— 相关组织的和产业的标准等。
4.5.4 组织应按部门、职能和不同类型的活动来识别合规义务, 以便确定受到这些合规义务影响的主体。
4.5.5 组织可以通过以下方式获取关于法律和其他合规义务变更信息:
00048—— 列出相应的监管部门并对其发布信息进行跟踪;
00049—— 成为专业团体会员;
00050—— 订阅相关信息服务;
00051—— 参加行业论坛和研讨会;
00052—— 监管部门网站;
00053—— 与监管部门会晤;
00054—— 与法律顾问洽商;
00055—— 监视合规义务来源(如监管声明和法院判决)等。
4.5.6 组织可采取基于风险管理的方法,即首先识别出与业务相关的最重要的合规义务,然后关注所 有其他合规义务。
4.5.7 在适当的情况下,组织应建立并维护一个单独文件,列出所有合规义务,并定期更新。
4.5.8 除列出合规义务外,该文件还应包括;
00056—— 合规义务的影响;
00057—— 合规义务的管理;
00058—— 与合规义务相关的控制措施;
00059—— 风险评估等。
4.6.1 组织应对合规风险进行评估、识别、分析并采取应对措施。
4.6.2 组织应将其合规义务与其活动、产品、服务以及运行联系起来, 以识别合规风险。
4.6.3 组织应评估外包和第三方相关的合规风险。
4.6.4 组织应定期评估合规风险,并在组织所处的环境发生重大变化时进行再评估:
00060—— 当出现新的活动、产品或服务时,或它们产生变更时;
00061—— 组织结构或战略变化;
00062—— 重大的外部变化,如金融、经济环境、市场条件、债务和客户关系;
00063—— 合规义务发生改变;
00064—— 并购;
00065—— 不合规(即使是单一不合规事件也可能构成合规义务的实质性变化)。
4.6.5 组织应保持合规风险评估和应对措施相关的成文信息。
4.7.1 对所识别的合规风险一般可分为三类:重大风险、中等风险、一般风险。
a) 重大风险;
法律、法规、政策以及地方法治环境的重大变化对经营活动产生的风险;监管机构出具的各类处罚 决定、监管意见、风险提示等情况;向监管机构报送证明性材料、专项汇报材料、监管意见落实整改情 况、各类合规材料等;业务开展过程中存在的违反法律、法规、政策的重大风险信息;各类制度文件中 存在的不符合法律、 法规、政策要求的情况;因合规问题导致组织被诉的情况;其他应被确定为重要 合规风险的事项。
b) 中等风险;
组织经营活动中新出现的风险或原有风险的变化;既定合规风险应对方案执行情况及执行效果发生 变化,不能全部达到原来目标;对组织经营可能存在一定影响,但影响较小或未来造成直接损失较小; 其他可以被认定为中等合规风险的事项。
c) 一般风险。
除上述重要风险、中等风险外,组织对推动合规管理、提升合规管理水平、保障公司健康发展相关 的,但影响较小,需要通过加强管理等方式进行完善的事项,作为一般合规风险事项进行管理。
4.7.2 合规风险还可以分为固有风险和剩余风险。固有风险是指组织未采取任何合规风险处理措施情 况下所面临的合规风险。剩余风险是现有的合规风险处理措施无法有效控制的仍然存在的合规风险。
000015 领导作用
5.1.1.1 治理机构和最高管理者应从以下方面发挥其对合规管理体系的领导作用并做出承诺:
00067—— 确保合规管理体系的要求融入业务过程;
00068—— 确保配置了合规管理体系所需的资源;
00069—— 就合规管理的重要性和符合合规要求的重要性进行沟通;
00070—— 确保合规管理实现预期结果;
00071—— 指导和支持合规管理人员提升合规管理体系的有效性;
00072—— 持续改进。
5.1.1.2 治理机构和最高管理者应:
00073—— 确立和坚持组织的价值观;
00074—— 确保制定的方针按确定的程序实施, 以实现合规目标;
00075—— 确保能够及时获知合规事件,包括不合规情况,并确保采取适当措施;
00076—— 确保遵守合规承诺,并妥善处理不合规事项和违规行为;
00077—— 确保合规责任在工作职责中得到适当体现;
00078—— 任命和提名主要合规管理人员;
00079—— 确保建立了提出和解决疑虑的机制。
5.1.2.1 组织应在各个层级建立、维护并推广合规文化。治理机构、最高管理者和管理者应对组织合 规共同行为准则做出积极的、明示的、一致且持续的承诺。
5.1.2.2 最高管理者应鼓励、倡导和支持合规行为,应阻止、不容忍不合规的行为及损害合规的行为。
5.1.2.3 支持合规文化发展的要素包括: 发布清晰的价值观;
00080—— 管理层遵守价值观并积极实施;
00081—— 不论其职务,保持不合规处理中的一致性;
00082—— 在指导、辅导和领导中以身作则;
00083—— 录用关键职能的人员时应进行适当的评估,包括尽职调查;
00084—— 在入职培训或新员工训练中强调合规和组织价值观;
00085—— 持续进行合规培训,包括对所有人员和相关利益方的培训;
00086—— 持续就合规问题进行沟通;
00087—— 建立绩效考核体系并将合规表现与绩效工资挂钩;
00088—— 对合规管理绩效和结果予以明确认可;
00089—— 对故意或因疏忽而违反合规义务的情况给予即时惩戒;
00090—— 将合规义务和每个岗位联系起来,强调合规是实现组织目标的途径;
00091—— 在内部和外部就合规进行公开和适当的沟通。
5.1.2.4 合规文化的形成体现于以下方面的实现程度:
00092—— 上述事项得以实施;
00093—— 相关方相信上述事项已经实施;
00094—— 组织员工理解合规义务与自身工作和所在业务单元的相关性;
00095—— 组织各层级都按照要求对不合规采取补救并采取纠正措施;
00096—— 重视合规职能所扮演的角色及其目标;
00097—— 组织员工应受到鼓励向包括最高管理者和治理机构在内的管理层提出疑虑。
5.1.2.5 组织应实现:
a) 测量其合规文化;
b) 寻求所有员工的意见, 以确定他们是否感知到治理机构、最高管理者和中层管理者对合规的 承诺;
c) 根据组织合规文化制定行动计划。
合规治理应遵循以下原则:
00098—— 合规职能部门能够直接接触治理机构和最高管理者。如有需要,他们能够绕过组织中的其他 人直接与最有权采取行动的人沟通。例如,合规职能部门能够直接向 CEO 报告或向董事会报 告;
00099—— 合规职能部门应是独立的、可以自由行动、不受垂直管理者的干涉;
00100—— 合规职能部门拥有必要的权限。合规职能部门应不是一个能够被上级否决或被其修改报告或 信息的初级部门。合规职能部门能够根据需要指导其他员工。合规职能部门应有“发言权 ”, 以申明和提出合规疑虑;
00101—— 合规职能部门应有足够的资源来支持组织执行合规管理体系的必要工作和职责,包括获取相 应的技术以使合规管理体系能够全面和有效地支持组织实现其合规目标。
000015.2 合规方针
000015.2.1 治理机构和最高管理者应确立合规方针,该方针应遵循:
a) 符合组织的宗旨;
b) 为实现合规目标设定框架;
c) 有落实的承诺;
d) 有持续改进合规体系的承诺。
00102—— 与组织的价值观、 目标和战略一致;
00103—— 要求遵守组织的合规义务;
00104—— 支持合规治理原则;
00105—— 清晰阐述合规职能;
00106—— 概述不遵守合规义务的后果;
00107—— 鼓励提出疑惑,并且禁止任何形式的报复;
00108—— 用通俗易懂的语言书写,易于所有员工理解;
00109—— 被实施和执行;
00110—— 作为成文信息可获取;
00111—— 在组织内传达;
00112—— 适宜时,便于相关方获取。
000015.2.4 合规方针不应是个独立的文件,应有其他文件的支持,包括运行方针和过程。
a) 具体的区域或属地义务;
b) 组织的战略、 目标、文化和治理方法;
c) 组织结构;
d) 不合规风险的性质和等级;
e) 内部方针和程序;
f) 行业标准等。
00113—— 使命宣言;
00114—— 总体方针声明;
00115—— 管理以及责任和资源的分配;
00116—— 标准合规程序;
00117—— 审计、尽职调查等。
5.3.1.1 治理机构的积极参与和监督是合规管理不可或缺的组成部分。
5.3.1.2 为确保合规管理体系有效,治理机构和最高管理者需要以身作则,积极、明确地支持合规与 合规管理体系。
5.3.1.3 许多组织根据其规模可以设立合规管理的总负责人。该负责人可以兼任组织其他职务。
5.3.1.4 最高管理者应鼓励和支持合规的行为,而不容忍侵害合规的行为。
5.3.1.5 最高管理者应确保:
00118—— 组织对合规的承诺与其价值观、 目标和战略一致
00119—— 帮助所有员工认识到实现与自己相关的合规目标的重要性
00120—— 建立一种鼓励报告不合规和不会受到报复的环境
00121—— 将合规纳入更广泛的组织文化和文化变更举措中
00122—— 识别不合规并及时采取行动予以纠正
00123—— 运行目标和指标不会影响合规行为。
5.3.1.6 最高管理者应按计划的时间间隔(每季度或每月)检查合规管理体系的绩效,以确保合规管 理体系实现其目标。
5.3.1.7 最高管理者应通过制定标准并对合理监督做出承诺从而实现合规管理的有效性。最高管理者 应了解合规管理体系的内容和运行,并应确保组织拥有有效的合规管理体系所需要的程序。
5.3.2.1 合规职能应负责合规管理体系的运行,包括:
00124—— 促进识别合规义务;
00125—— 记录对合规风险的评估;
00126—— 使合规管理体系与合规目标保持一致;
00127—— 监督和测量合规绩效;
00128—— 分析和评估合规管理体系的绩效,以决定是否需要采取纠正措施;
00129—— 建立合规报告和记录制度;
00130—— 按计划对合规管理体系进行评审;
00131—— 建立提出疑虑以及确保疑虑得到解决的机制。
5.3.2.2 合规职能应监督:
00132—— 有效地分配相关的职责,以履行已经识别的合规义务;
00133—— 合规义务的履行已经被纳入方针、过程和程序;
00134—— 所有相关人员按要求接受培训;
00135—— 建立合规绩效指标。
5.3.2.3 合规职能应:
00136—— 向相关人员提供与合规方针、过程和程序有关的资源;
00137—— 可以就合规相关事宜向组织提供建议。
5.3.2.4 组织应确保合规职能能够:
00138—— 接触最高管理者,并在决策过程中有早期提出建议的机会;
00139—— 接触组织的所有层级;
00140—— 接触所有需要的人员、成文信息和数据;
00141—— 可以就相关法律、法规、政策和组织标准收集专家意见。
管理者应通过以下方式对其职责范围内的合规工作负责:
00142—— 配合和支持合规职能,并鼓励员工共同参与;
00143—— 确保其管理范围内的所有人员都遵守组织的合规义务、方针、过程和程序; 识别其运行中的合规风险并进行沟通;
00144—— 在其职责范围内将合规义务融入现有的商业惯例和程序;
00145—— 参加并协调合规培训活动;
00146—— 培养员工的合规意识,指导他们进行培训并达到相关能力要求;
00147—— 鼓励并支持员工提出合规疑虑,并防止任何形式的报复;
00148—— 根据要求积极参与合规问题的管理、解决;
00149—— 确保纠正措施能够得到推荐并实施。
组织所有员工应:
00150—— 遵守组织的合规义务、方针、过程和程序;
00151—— 报告合规的疑虑、问题和漏洞;
00152—— 根据要求参加培训。
000016.1.1 组织进行合规管理体系策划时,应结合 4.1 理解组织及其所处的环境中提及的因素和 4.2 理解 相关方的需求和期望中提及的需求,并确定需要应对的风险和机会,从而:
00153—— 确保合规管理能实现预期结果;
00154—— 预防或减少非预期的影响;
00155—— 实现持续改进。
00156—— 其合规目标(见 6.2);
00157—— 经识别的合规义务(见 4.5);
00158—— 合规风险评估结果(见 4.6)。
a) 应对风险和机会的措施;
b) 将措施纳入合规管理体系并实施;
c) 评价这些措施的有效性。
000016.1.4 合规管理体系的策划是在战略层面上展开的,而运行策划则是针对运行层面的。
000016.1.5 策划的目的是预测可能发生的情况和后果,因此策划具有预防性。根据合规风险评估的结果, 组织应策划在不利影响发生之前处理它们,以及如何从有利条件或环境中获益。
000016.1.6 策划还应包括将对合规管理体系必要或有益的行动融入业务活动和过程中。还应策划评估合规 管理体系有效性的方法包括技术方法、内部审核或管理评审。
000016.2.1 组织应在相关职能和层级上建立合规目标。
a) 与合规方针一致;
b) 可量测(如果可行);
c) 反映适用的需求;
d) 予以监视;
e) 予以传达;
f) 视情况予以更新;
g) 作为成文信息可获取。
00159—— 做什么;
00160—— 需要什么资源;
00161—— 谁负责;
00162—— 何时完成;
00163—— 结果如何评价。
000016.2.4 组织应确定实现合规目标所需的行动、时间和责任人。应定期监视、记录、评估和更新合规目 标及实现目标的进度。
000016.3.1 当确定需要变更合规管理体系时,组织应有计划地实施变更。
00164—— 变更的目的及其可能的后果;
00165—— 合规管理体系设计和运行的有效性;
00166—— 足够的资源的可获取性;
00167—— 职责和权限的分配或再分配。
为建立、实施、维护和持续改进合规管理体系,组织应确定并提供所需的资源。资源包括财力、人 力和技术资源,包括获得外部咨询和获得专业技能的机会,也包括获得组织基础设施、技术发展情况等 信息,还包括合规管理、法律义务方面的最新参考资料。
组织应:
00168—— 确定在其管理下的员工具有实现合规绩效的能力
00169—— 确保这些员工接受适当培训并获得相应经验从而能够胜任相关工作
00170—— 采取有效措施帮助员工获得必要的能力并评估措施的有效性
00171—— 能力应能够被证明并作为成文信息可获取。
7.2.2.1 组织应针对其所有员工制定、建立、实施和保持以下过程:
a) 将遵守组织的合规义务、方针、过程和程序作为员工的聘用条件;
b) 确保新入职员工有渠道获得合规方针,并获得合规方针培训;
c) 对于违反组织合规义务、方针、过程和程序的员工,应采取适当的纪律处分。
7.2.2.2 组织应结合岗位和员工可能引发的合规风险在聘用、调动和晋升之前按要求进行尽职调查。
7.2.2.3 组织应对绩效目标、绩效奖金和其他激励措施进行定期评审, 以验证是否有适当的措施来防 止不合规。
7.2.3.1 组织应定期对有关人员进行培训,可以在聘用开始时和组织预先规划好的时间点实施。
7.2.3.2 培训应:
a) 与职责和员工面临的合规风险相适应;
b) 进行有效性评估;
c) 进行定期评估。
7.2.3.3 基于已识别的合规风险,组织可依照程序对代表其业务并可能给其带来风险的第三方进行培 训,提高其合规意识。
7.2.3.4 培训记录应作为成文信息予以保留。
7.2.3.5 当下列情况出现时,应考虑再次进行合规培训:
00172—— 职位或职责的改变;
00173—— 内部方针、过程和程序的变更;
00174—— 组织结构的改变;
00175—— 合规义务的改变,特别是法律要求和相关方需求的改变;
00176—— 活动、产品或服务的改变;
00177—— 监视、审核、评审、投诉等环节产生了不合规问题,包括相关方反馈。
000017.3 意识
00179—— 他们对合规管理体系有效性的贡献,包括改善合规绩效带来的效益;
00180—— 不符合合规管理体系要求的后果;
00181—— 提出合规疑虑的方法和程序;
00182—— 工作岗位的合规义务与合规方针的关系;
00183—— 合规文化的重要性。
00184—— 培训;
00185—— 与最高管理者沟通;
00186—— 获得易于参照执行和容易获得的参考资料;
00187—— 定期更新合规问题等。
000017.4.1 组织应进行与合规管理体系有关的内部和外部沟通,包括沟通什么,何时沟通,和谁沟通,如 何沟通。
00188—— 综合考虑沟通的多样性和潜在障碍;
00189—— 在沟通过程中,确保考虑相关方的意见;
00190—— 在沟通过程中 :
a) 应将合规文化、合规目标和义务纳入沟通内容;
b) 应确保沟通中的合规管理体系的信息一致且可信。
00191—— 对与合规管理体系内容相关的沟通内容进行回应;
00192—— 保留适宜的成文信息作为其沟通的证据;
00193—— 在组织的各个层级和职能内部进行沟通,沟通内容包括与合规管理体系有关的信息,也包括 合规管理体系变更的情况;
00194—— 确保员工能在沟通过程中为合规管理体系的持续改进做出贡献;
00195—— 确保员工能在沟通过程中提出疑虑;
00196—— 建立对外沟通渠道并传播包括合规文化、合格目标和义务在内的与合规管理体系相关的信息; 根据组织的方针,采取面向所有相关方的务实的对外沟通方式;
00197—— 沟通应坚持透明、适当、可信、响应、可访问和清晰的原则。
组织的合规管理体系应包括:
a) 本文件要求的成文信息;
b) 确定的、对于合规管理体系有效性来说必要的成文信息。
组织创建和更新成文信息时,应确保:
00198—— 予以适当标识和说明(例如:标题、 日期、作者或参考编号);
00199—— 使用适当的形式(例如,语言、软件版本、图形)和载体(例如纸质的、 电子的); 对适用性和充分性进行适当的评审和判断。
7.5.3.1 组织应控制本文件所要求的成文信息, 以确保成文信息:
a) 无论何时何处需要时都易于和适于取用;
b) 得到充分地保护(例如,避免泄露机密、不当使用或失去完整性)
7.5.3.2 为控制成文信息,适当时,组织应进行以下活动:
00200—— 分发、访问、检索和使用;
00202—— 对变更的控制(例如,版本控制);
00203—— 保留和处置。
7.5.3.3 适当时,应识别和控制由组织确定的,对合规管理体系的策划和运行来说必要的来自外部的 成文信息。
000018.1.1 组织应策划、实施、控制以满足合规要求以及实施第 6 条所确定的措施所需的过程,具体通过 以下方式:
00204—— 对过程确立准则;
00205—— 按照准则对过程实施控制。
000018.1.2 运行控制的一个基本要素是制定行为准则,其中规定了组织合规义务的全面承诺。行为准则应 适用于所有人员并使其能够获得和使用。
000018.1.3 运行控制是针对可能导致偏离合规方针或违反合规义务的情况而实施的。这些情况可能与所有 业务情况、活动或过程(例如:生产、安装、服务、维护)或承包商、供应商或销售商有关。
000018.1.4 控制的程度取决于所履行的职能的重要性或复杂性、不合规的潜在后果、相关的或可能的技术支持。
000018.1.5 当运行控制失效时,则有必要采取措施来处理不期望的结果或影响。
000018.1.6 如果组织活动中使用第三方或外包,组织应对其进行尽职调查, 以确保组织对合规的标准和承 诺不会降低。组织应确保签订适当的服务水平协议(SLAs)以规定服务提供者的合规义务。
000018.1.7 一个良好的外包过程应考虑以下几点: 初步和持续的尽职调查;
00206—— 实施适当的控制;
00207—— 进行持续的监视;
00208—— 对法律/合同协议的适当审查;
00209—— 考虑服务水平协议;
00210—— 使用基于本文件被认证的第三方。
000018.1.8 在与第三方订立合同时,组织应采取措施,以确保其采购、运行和财务方面得以适当管理。根 据组织和交易的规模,组织实施的采购、运行、商业和其他非财务控制措施能够降低合规风险。
000018.2.1 组织需要有效的控制, 以确保组织的合规义务得以履行,不合规得以防止、发现和纠正。控制 的设计应足够严格,以促进在特定的组织活动和运行环境中实现合规义务。在可能情况下,这种控制应 嵌入组织的正常经营过程中。
00211—— 清晰、实用且易于遵守的文件化方针、过程、程序和工作指示;
00212—— 系统报告和例外报告;
00213—— 批准;
00214—— 分离不相容的岗位和职责;
00215—— 自动化过程;
00216—— 年度合规计划;
00217—— 人员绩效计划;
00218—— 合规评估和审核;
展示管理层承诺和模范行为,以及其他促进合规行为的措施;
就员工的行为(标准、价值观、行为准则)进行积极、公开和频繁的沟通。
000018.2.3 在制定支持合规管理的程序时,应考虑到:
将合规义务纳入程序,包括计算机系统、表格、报告系统、合同等;
00219—— 与组织的其他评审和控制职能保持一致;
00220—— 持续监视和测量;
00221—— 评估和报告(包括管理监督), 以确保员工遵守程序;
00222—— 识别、报告和上报针对不合规情况的具体安排。
000018.3.1 组织应建立、实施并保持一个鼓励并有助于对试图、涉嫌或实际存在的,违反合规方针或合规 义务的行为(基于合理理由相信信息真实性的情况下)进行举报的过程。
00223—— 在整个组织内可知可用
00224—— 对举报保密
00225—— 接受匿名举报
00226—— 保护举报者免于遭受打击报复
00227—— 方便举报的进行。
000018.3.3 组织应确保所有员工了解举报程序、了解自身的权利和保障机制,并能够运用相关程序。
000018.4.1 组织应通过评估、评价、调查形成有关涉嫌或实际的不合规情形的报告,并做出结论。这些过 程应确保公平、公正地做出决定。
000018.4.2 调查过程应由具备相应能力的人员独立进行,且避免利益冲突。
000018.4.3 适当时,组织应利用调查结果改进合规管理体系。
000018.4.4 组织应定期向治理机构或最高管理者报告调查的次数和结果。
000018.4.6 有效的合规管理体系的一个特点是具有功能良好的机制, 以便及时、彻底地调查对本组织、其 他人员或有关第三方不当行为的任何指控或怀疑。
000018.4.7 有效的调查机制能查明不当行为的根源、合规管理的漏洞和责任缺失的原因,包括管理者、最 高管理者和治理机构之间的责任缺失。缜密的根源分析涉及不合规的程度和普遍性,牵扯到的人员,以 及严重性、持续时间和频率。
000018.4.8 组织应确保调查是公正和独立的,且应酌情考虑设立独立的委员会来监督调查活动并确保调查 的完整性和独立性。
000018.4.9 组织应建立关于调查的报告机制,包括调查报告的级别。
000018.4.10 即使法律不要求组织报告不合规行为,组织也应考虑主动向监管机构披露不合规行为,以减轻 不合规行为的后果。
9.1.1.1 组织应对合规管理体系进行监视,以确保合格目标的实现。
9.1.1.2 组织应确定:
00228—— 需要被监视和测量的对象;
00229—— 适用的监视、测量、分析和评价方法,以确保有效的结果;
00230—— 何时应实施监视和测量;
00231—— 何时应对监视和测量的机构进行分析和评价;
00232—— 成文信息作为结果证据可获取。
9.1.1.3 组织应评价合规绩效及合规管理体系的有效性。
9.1.1.4 合规管理体系的监视通常包括:
00233—— 培训的有效性;
00234—— 控制的有效性;
00235—— 有效分配履行合规义务的职责;
00236—— 合规义务的时效性;
00237—— 解决先前发现的合规缺陷的有效性;
00238—— 未按计划进行内部合规检查的情况;
00239—— 针对合规风险对业务战略进行审查, 以便适当更新。
9.1.1.5 合规绩效监视通常包括:
00240—— 不合规和“近乎不合规 ”(即未造成负面影响的事件)的情况;
00241—— 未履行合规义务的情况;
00242—— 未实现目标的情况;
00243—— 合规文化现状;
00244—— 确立的领先和滞后指标。
9.1.2.1 组织应能够从多种渠道获取合规绩效反馈。组织应对绩效反馈信息进行分析和严格评估,以 确定不合规的根本原因,确保采取适当的措施,并在 4.6 要求的定期风险评估中反映上述信息。
9.1.2.2 合规绩效反馈来源包括:
00245—— 人员(例如:通过举报工具、求助热线、反馈、意见箱);
00246—— 顾客(例如:通过投诉处理系统);
00247—— 第三方;
00248—— 供应商;
00249—— 承包商;
00250—— 监管机构;
00251—— 过程控制日志和活动记录(包括电子版和纸质版)。
9.1.2.3 合规绩效反馈包括:
00252—— 合规问题;
00253—— 不合规和合规疑虑;
00254—— 新出现的合规问题;
00255—— 持续的监管和组织的变更;
00256—— 对合规有效性和绩效的评论。
9.1.2.4 信息收集方法包括:
00257—— 出现或识别出不合规的特别报告;
00258—— 通过热线、投诉和其他反馈渠道(包括举报)获得的信息;
00259—— 非正式讨论、研讨会和分组座谈会;
00260—— 抽样和诚信实验,如神秘购物;
00261—— 感知调查的结果;
00262—— 直接观察、正式访谈、工厂巡视和检查;
00263—— 审核和评审;
00264—— 相关方面质询、培训期间的反馈(特别是员工的反馈)
9.1.2.5 应建立信息的分类、存储和检索系统。信息分类类目包括:
00265—— 来源;
00266—— 部门;
00267—— 不合规描述;
00268—— 义务类别;
00269—— 指标;
00270—— 严重性;
00271—— 实际或潜在影响。
9.1.3.1 组织应制定、实施和保持一套合适的指标,以帮助组织评估其合规目标的实施程度和合规绩
效。
9.1.3.2 指标包括:
00272—— 经过有效培训的员工比例;
00273—— 监管机构介入的频率;
00274—— 反馈机制的使用(包括用户对这些机制价值的评论)。
9.1.3.3 反映性指标包括:
00275—— 按类型、区域和频率报告已识别的问题和不合规;
00276—— 不合规的后果,包括对经济补偿、罚款和其他处罚、补救成本、声誉或员工时间成本影响的 估价;
00277—— 报告和采取纠正措施所花费的时间。
9.1.3.4 预测性指标包括:
00278—— 不合规导致的潜在损失/收益(收入、安全、声誉等);
00279—— 不合规趋势(基于过去趋势预测不合格率)。
9.1.4.1 组织应建立、实施和保持合规报告的过程,以确保: a) 适当的报告准则;
b) 制定定期报告的时间表;
c) 建立非常规报告机制以便于临时报告;
d) 实施保证信息准确性和完整性的机制和过程;
e) 向组织中适合的职能提供准确和完整的信息, 以便及时采取预防、纠正和补救措施。
9.1.4.2 合规职能向治理机构和最高管理者提交的报告内容均应受到充分保护, 以防止被修改。
9.1.4.3 合格报告应包括:
00280—— 组织按要求向任何监管机构通报的任何事项;
00281—— 合规义务变化及其对组织的影响,以及为了履行新义务拟采取的措施和方法; 对合规绩效的测量,包括不合规和持续改进;
00282—— 可能的不合规的数量和详细内容,以及对它们的分析;
00283—— 采取的纠正措施;
00284—— 合规管理体系的有效性、业绩和趋势的信息;
00285—— 与监管机构的接触和关系进展;
00286—— 审核和监视活动的结果;
00287—— 监视行动计划的执行,特别是那些源自审核报告或监管要求的行动计划。
9.1.4.4 合规方针应鼓励及时报告超出常规报告时间范围的重大事件。
9.1.5.1 组织应保留合规活动的记录,以监视和评审合规过程,并表明其符合合规管理体系要求。
9.1.5.2 记录保存应包括对合规问题、宣称的不合规以及解决措施的记录和分类。
9.1.5.3 记录应以清晰、容易辨认和便于检索的方式保存。
9.1.5.4 记录应受到保护, 以免被增加、删除、修改、未经授权使用或隐藏。
9.1.5.5 组织和合规管理体系记录包括:
00288—— 合规绩效信息,包括合规报告; 不合规及纠正措施的详细内容;
00289—— 对合规管理体系的评审和审核的结果。
组织应在策划的时间间隔实施内部审核,为对合规管理体系进行以下判断提供信息:
a) 是否符合组织自身对合规管理体系的要求,及本文件的要求 ;
b) 是否得到有效地实施和维护。
9.2.2.1 组织应策划、制定、实施和维护一个或多个审核方案,包括频次、方法、职责、策划要求和
报告。
9.2.2.2 在制定内部审核方案时,组织应结合相关过程的重要性和以往审核结果。
9.2.2.3 组织应:
a) 界定每次审核的目标、准则和范围;
b) 选择审核员并实施审核,以确保审核过程客观公正;
c) 确保将审核结果报告给相关管理者和管理层。
9.2.2.4 审核职能无论其是内部的还是外部的,都应免于利益冲突并保存独立性。
治理机构和最高管理者应在策划的时间间隔内组织合规管理体系的评审,以确保合规管理体系持续 的适用性、充分性和有效性。
9.3.2.1 管理评审应包括下列内容:
a) 以往管理评审所采取措施的情况;
b) 与合规管理体系有关的外部和内部的变化;
c) 与合规管理体系有关的相关方需求和期望的变化;
d) 关于合规绩效的信息,包括不符合、不合规与纠正措施,监视和测量的结果,审核结果; e) 持续改进的机会。
9.3.2.2 管理评审应考虑:
00290—— 合规方针的充分性;
00291—— 合规职能的独立性;
00292—— 合规目标的达成度;
00293—— 资源的充分性;
00294—— 合规风险评估的充分性;
00295—— 现有控制措施和绩效指标的有效性;
00296—— 与提出疑虑的人员、相关方沟通,包括反馈和投诉;
00297—— 调查;
00298—— 报告机制的有效性。
9.3.3.1 管理评审的输出包括与持续改进机会有关的决定和任何需要对合规管理体系进行的修改。
9.3.3.2 成文信息应作为管理评审结果的证据可获取。
9.3.3.3 管理评审还包括以下方面的建议:
00299—— 合规方针以及与它相关的目标、体系、结构和人员所需的改变
00300—— 合规过程的改变, 以确保与运行实践和体系有效整合
00301—— 需监视的未来潜在不合规的区域
00302—— 与不合规相关的纠正措施
00303—— 当前合规体系和长期持续改进目标之间的差距或不足
00304—— 对组织内的示范性合规行为的认可。
0000110.1 持续改进
0000110.1.1 组织应持续改进合规管理体系,使其具有适用性、充分性和有效性。
0000110.1.2 当组织认为有必要对合规管理体系进行变更时,应有计划地实施。
00305—— 变更的目的及其潜在后果;
00306—— 合规管理体系设计和运行的有效性;
00307—— 充足资源的可用性;
00308—— 职责和权限的分配和再分配。
0000110.1.4 合规管理体系的有效性的特点是它具有持续改进和发展的能力。组织的内部、外部环境以及业 务随着时间的推移而变化,其顾客的性质和适用的合规义务也随之变化。
0000110.1.5 合规管理体系的充分性和有效性可通过多种方法进行持续和定期的评估,例如评审和内部审核。
0000110.1.6 当合规管理体系做出改变时,组织也应考虑这些变化对运行、资源可用性、合规风险评估、组织的合规义务及其持续改进过程的影响。
0000110.2.1 发现不符合或不合规时,组织应采取下列措施:
a) 对不符合或不合规做出反应,并采取控制和纠正措施;
b) 对不合规造成的后果进行处理;
c) 通过评估,采取避免其再次发生或在其他地方发生的措施,消除造成不符合或不合规的原因;
d) 评审不符合或不合规,确定造成不符合或不合规的原因;确定是否存在或可能发生类似的不符 合或不合规。
e) 实施任何必要措施;
f) 评审所采取的任何纠正措施的有效性;
g) 如必要,修改合规管理体系;
h) 纠正措施应与不符合或不合规的影响相适应。
0000110.2.2 成文信息应作为以下事项的证据可获取:
00309—— 不符合或不合规的性质及所采取的后续措施;
00310—— 任何纠正措施的结果。
0000110.2.3 未能预防或检测到一次性不合规,并不一定意味合规管理体系在预防和检测不合规时缺乏有效性。
0000110.2.4 来自于分析不符合或不合规的信息能用于考虑:
00311—— 评估产品和服务性能;
00312—— 改进或重新设计产品和服务;
00314—— 再培训员工;
00315—— 重新评估通知相关方的必要性;
00316—— 对潜在不合规问题做出早期预警;
00317—— 重新设计或审查控制;
00318—— 加强通知和逐级报告步骤;
00319—— 沟通有关不合规的事实和组织对不合规的立场。
0000110.2.5 组织应识别导致不遵守方针或程序的行为的根本原因,并更新方针和程序。
4.5提及的合规义务在4.5进行了列举。在我国语境下,有些合规义务需要给予补充和提示,例 如在我国,除法律法规外,强制性遵守的要求还包括强制性标准(见N1.4)、检察决定(见N1.3);而 有些合规义务则需要做进一步的解释、细化和区分.例如“法律法规”在我国司法管辖区体现为不同形式 (见NA丄2);“法院判决”在我国司法管辖区并不具有判例法法域的“遵循先例”的效力,而最高人民法 院的指导性案例和司法解释则对法律在司法运用中提供了非常重要的规范,需要进一步解释、细化和区 分(见N1.3);而组织签署合同所产生的义务既可以成为契约性合规义务,也可通过合同援引外国具 有域外效力的法律成为组织宜遵循的合规义务的一部分(见N1.5)。
4.5中提及的“法律法规”在我国司法管辖区内主要体现为如下形式:现行有效的法律、行政法 规、地方性法规、自治条例和单行条例。其中,法律有广义、狭义两种理解。广义上,法律泛指上述一切 具有法律效力的规范性文件;狹义上,仅指全国人大及其常委会制定的规范性文件。在与法规等一起提 及时,指狭义上的法律。综上,法律法规一般是指立法部门和执法部门(包括行政和监管部门)制定的法 律规范性文件。
4.5中提及的“法院判决”在我国语境下需要做出补充解释和说明。在我国,法院的判决只对其涉及的案件当事人具有约束力,对于其他相同或类似的案件没有约朿力,仅具有参考价值。在法律法规 没有对某个案件涉及的问题做出规定的情况下,法院的判决对于相关方了解司法部门所釆取的强制性要求具有很强的现实指导意义。另外,除了法院判决外,我国的检察院会做出检察决定。检察决定在我国也构成强制遵守的合规义务。
在我国法域内,最高人民法院、最高人民检察院会颁布指导性案例、司法解释,这些会构成组织强制 遵守的合规义务。最高人民法院颁布的指导性案例虽不具备强制约束力,但会成为法院对某些相同或 类似案件进行判决的依据。组织为了解相关法律法规在具体案件适用的标准和边界,也要研究最高人民法院颁布的指导性案例。司法解释是最高人民法院、最高人民检察院为解决审判、检察工作中的“具体应用法律的问题”而依法制定的规范性文件,对司法主体与执法主体具有普遍的约朿力,效力所及的 任何组织和个人都需要遵守。根据2019年修订的《最高人民检察院司法解释工作规定》(高检发办字 〔2019〕55号),司法解释采用解释、规则、规定、批复、决定等形式。根据2021年最高人民法院颁布的 《关于司法解释工作的规定》(法发〔2021〕20号),司法解释的形式分为解释、规定、规则、批复和决定 五种。
强制性标准在我国也构成组织强制遵守的合规义务。强制性标准,一经发布、必须执行,如GB 18384—2020、GB 40554.1—2021、GB 18599—2020 等。
根据4.5组织自愿选择遵守的要求包括“组织的合同安排产生的义务”。这是一种基于契约形成的“合规义务”,这种合规义务来自组织的合作伙伴通过合同条款提出的合规方面的要求。组织一旦选择与这样的合作伙伴进行交易,该组织就要遵守与这个合作伙伴订立的合同所产生的合规义务。合同安排所产生的义务有两种情形,第一种情形是合同条款中直接列明的各项义务;第二种情形是合同条 款中纳入法律、法规、强制性标准等强制性要求,这些要求则成为合规义务。
需要注意的是,我国组织在签署国际业务合同时,宜谨慎识别和控制因纳入外国纳入外国法律、法规(包括技术法规)所带来的合规义务与合规风险。这些外国纳入外国法律、法规(包括技术法规)可能 与我国法律法规某些强制性规定相违背。一旦签署含有这样条款的合同,我国组织就需要考虑这些条款所援引和纳入的具有域外效力的外国法律以及基于我国的法律法规产生的合规义务与合规风险。
合规文化通常由贯穿于整个组织的价值观、道德规范、信仰和行为构成,与组织结构和控制系统相互作用,产生有利于实现组织的使命、愿景和合规目标的一系列行为规范。合规文化反映了组织的治理机构、最高管理者、各级管理层、员工和其他相关方应对合规风险的意识和态度,是合规管理体系不可或缺的重要组成部分。
合规文化的价值在于:
00320—— 提供原则性指引,应对合规风险:在制定合规管理体系应对合规风险的同时,组织宜宣贯自己的价值观、道德规范和信仰,并据此建立原则性指引,以员工手册、行为准则或其他形式呈现出来,使得组织内外部人员在具体规定不清、不全没有具体规定或灰色地带的情况下,根据原则性指引,开展活动,及时应对合规风险;
00321—— 增强主动合规:良好的合规文化可以正面影响人的行为,提升认同感和主动合规意识;有助于组织/各层级及时发现不合规行为并自主采取补救措施;
00322—— 提升合规管理有效性,促进实质性合规:组织通过将支持合规文化发展的因素在合规方针中体现,及与合规管理体系的其他要件共同作用,使得合规文化渗透到组织的各个层级和领域,实现预期合规结果。
建立、维护、推广和实施良好合规文化宜考虑以下方面:
00323—— 最高层定调并以身作则;
00324—— 管理层推动且言行一致;
00325—— 团队内良好的合规氛围;
00326—— 同事间、相关方正面影响。
组织宜依赖于最高层和管理层运用价值观、道德规范和信仰等塑造合规文化,并以身作则积极推行;宜形成鼓励合规、不容忍不合规的团队氛围,以及对不合规行为进行一致性处理;鼓励和推动同事以及与相关方间合规价值观的传递和影响。
合规文化宜通过合规管理体系的实施反映出来,组织才能有效应对合规风险,降低不合规发生的可能性,实现合规目标。
宜从组织及其环境(见4.1 )和组织相关方的需要和期望(见4.2)的角度去理解数字化与合规 管理。
随着数字技术的应用,传统的业务模式和场景正经历数字化转型,涉及交易的签约、交付和支付完 全或很大程度上通过数字化方式完成。消费互联网和产业互联网形成了大型的交易平台。随着交易方 式的电子化和数字化,新的交易规范(包括法律和法规以及商业惯例)随之形成,通过立法或其他形式被 采纳并运用于经济活动中,例如《中华人民共和国民法典》在合同编里增加了有关电子合同的法律规 定,以适应数字经济的发展。数字经济的业务模式和规范的产生,势必产生新的合规义务和合规风险 (见4.5),例如美国、欧盟和我国关于数据的法律法规以及各种规范指引,包括平台经济的反垄断指引、数据出境安全评估指南等。
组织宜基于其数字化的业务模式识别合规义务,对合规风险进行评估(见4.6)并策划如何应对 合规风险。组织宜重视数字经济下的合规义务。
组织在建立、开发、实施、评价、维护和改进合规管理体系时,宜合理应用数字技术,提升合规管理体系的有效性。
组织宜对应用数字技术形成的管理工具进行测试、优化和不断升级,以提高这些工具的准确性和适用性,并将其与组织的数字化业务过程相融合。
在合规管理体系中应用数字技术的基础是获得完整准确的数据。在合规风险评估(见4.6)、合规管理体系运行(见8)、合规培训(见7.2.3)、合规绩效评价(见9)以及合规管理体系的持续改进(见1O)等方面需要组织对相关数据和信息进行收集、分析,并运用于对组织的合规管理。
数字技术在合规管理体系中的应用可包括但不限于以下方面:
00327—— 合规义务和相关案件数据库;
00328—— 合规风险数据库(包括组织对以往违规行为的总结报告);
00329—— 合规培训系统(包括线上课件、自我考试等过程);
00330—— 合同管理和财务系统;
00331—— 信息和数据搜索与分析工具(例如对组织外部合规相关领域立法和执法趋势的跟踪和分析、对组织内部过往违规事件进行行为模式及发生原因的分析);
00332—— 数据分析和示险看板(例如合同履约率的数据分析和示险看板产品)。
组织建立合规管理体系往往涉及与既有体系的融合,可涉及合规管理基础工具的融合,即法律、内控、风险管理等,也可涉及管理体系间的一体化融合,即质量管理体系、环境管理体系、职业健康安全管理体系、能源管理体系、信息安全管理体系、资产管理体系、反贿赂管理体系等。
合规管理体系与相关体系的一体化融合,并非简单的体系、规则等要求叠加,宜将合规管理与相关管理体系的核心要求、方法与标准相结合。一体化融合宜借助既有组织结构、职责、制度、过程与信息化等有效要件。尽量避免诸多要件的重复和多体系独立运行导致的职责交叉、管理低效、管控不利的风险。
一体化融合的范围可涉及治理原则、组织结构与职责、风险识别方法、制度与过程、运行与保障、评价、监督、持续改善和信息化等。一体化融合的方法宜釆取制度对标,即识别所需融合的各个管理体系标准与规则,以融合后的要求为基准对组织开展评价、对标梳理,形成统一的治理要求和体系文件并确保其嵌入组织管理职责、制度及内部业务过程。
组织宜根据自身的治理水平、运行状况、业务特点及行业趋势等,开展内外部评价及一体化融合。确定纳入融合范围的管理模块及管理体系,制定一体化融合的实施计划。
一体化融合的路径一般包括以下方面。
组织宜结合自身管理实践,针对融合需求,收集、整理、汇总各项标准与规则,制定一体化管理体系的原则、目标,以便实施、评价一体化融合工作时有据可依。
组织宜依据一体化管理体系要求开展制度对标,对内部职能、过程及制度进行对标梳理,以确保融合的管理体系能够全面、准确落实到组织的治理体系与日常经营管理中。
c)形成一体化管理体系文件;
体系文件一般包括三个层次,第一层为纲领性文件(如管理手册),第二层为规章制度(如各层级管理制度、办法),第三层为操作规范(如作业指导书)。组织宜根据以下原则形成一体化管理体系文件,即不同标准中相同的要求进行合并,相近的要求进行融合,差异化要求保持独立,并重点关注融合后的体系文件内容是否满足一体化管理体系要求。
d)运行一体化管理体系。
在运行一体化管理体系过程中,组织宜关注体系运行的有效性、各过程、职能的衔接。宜借助合规数字化运行、监督一体化管理体系并实时反馈体系运行情况,确保满足组织预期的目标。
本文件仅为发挥合规管理工具的先进性、最大限度避免体系交叉重叠带来的弊端和风险隐患,并就推进合规管理体系与相关管理体系一体化融合提出一般性原则和实施路径。组织宜根据自身治理情况、行业属性等内外部环境,开展融合工作,融合工作中宜注重合规管理标准、要件和要求的统领性。
[1] GB/T 1.1—2020 标准化工作导则 第1部分:标准化文件的结构和起草规则
[2] GB 18384—2020 电动汽车安全要求
[3] GB 18599—2020 一般工业固体废物贮存和填埋污染控制标准
[4] GB/T 19000—2016 质量管理体系 基础和术语
[5] ISO 导则 73 风险管理 术语
[6] ISO 9000 质量管理体系 基础和术语
[7] GB/T 19001 质量管理体系 要求
[8] GB/T 24001 环境管理体系 要求及使用指南
[9] GB/T 19011 管理体系审核指南
[10] GB/T 22000 食品安全管理体系 食品链中各类组织的要求
[11] GB/T 36000 社会责任指南
[12] GB/T 24353-2022 风险管理 指南
[13] ISO 37001 反贿赂管理体系 要求及使用指南
[14] ISO 37002 举报管理体系 指南
[15] GB/T 22080 信息技术 安全技术 信息安全管理体系 要求
[16] ISO IEC 27001-2022信息安全管理体系要求
[17] GB/T27921-2022 风险管理 风险评估技术
[18] 中华人民共和国民法典(2020年5月28日第十三届全国人民代表大会第三次会议通过)
[19] 最高人民检察院司法解释工作规定(高检发办字[2019]55号)
[20] 《关于司法解释工作的规定》(法发〔2021〕20号)
©2024 深圳市企业合规协会 版权所有 粤ICP备2023089728号-1 技术支持:君维科技
