Enterprisecompliancem2023-08-10發(fā)布深圳市市場監(jiān)督管理局發(fā)布I III IV 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3 3 3 4 5 5 5 5 6 6 6 7 7 7 7 8 8 8 8 8 8 9 9 9 9 10 10 10 10 12 13 14 16本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定避免或減少因不合規(guī)行為給企業(yè)帶來的損失，也有利于塑造良好的企業(yè)形象。我國于2017年等同采用ISO19600:2014《合規(guī)管理體系指南》，制定了GB/T35770—2017《合規(guī)管理體系指南》。2021年發(fā)布的國際標準ISO37301:2021《合規(guī)管理體系要求及使用指南》及2022年10月12日發(fā)布的國家標準GB/T35770—2022《合規(guī)管理體系要求及使用指南》，規(guī)定了合規(guī)1企業(yè)合規(guī)管理體系對企業(yè)的經(jīng)營管理活動享有最終決策權(quán)限的一個人或一首席合規(guī)官chiefcompli24基本原則4.1有效適宜原則顧成本與效率，能有效運行且能達成企業(yè)合規(guī)管理目標，4.2全面覆蓋原則貫穿決策、執(zhí)行、監(jiān)督、反饋等各個環(huán)節(jié)，體4.3客觀獨立原則4.4協(xié)同聯(lián)動原則4.5公開易得原則5.2理解利益相關(guān)方的需求和期望5.3確定合規(guī)管理體系的適用范圍35.3.1企業(yè)應(yīng)確定合規(guī)管理體系的邊界和適用性，以確立注：合規(guī)管理體系的范圍旨在理清企業(yè)面臨的主要合規(guī)風(fēng)險，以及合規(guī)管理體系適用的國家、地域、行業(yè)和/或企5.3.2確定合規(guī)管理體系范圍的相關(guān)信息5.4建立合規(guī)管理體系導(dǎo)者證實其對合規(guī)管理體系的領(lǐng)導(dǎo)作用和承諾的a)明確合規(guī)管理是企業(yè)健康發(fā)展的基石，確定合規(guī)方針和目標，并與企業(yè)價值觀、目標和戰(zhàn)略b)確保合規(guī)作為企業(yè)的核心價值觀之一，合規(guī)文化成為企業(yè)文化的核心組成部分；d)確保建立合規(guī)工作與員工績效、考核及職級晉升等掛鉤的管理機制；f)確保為企業(yè)合規(guī)管理工作配置充分、適當且可用的資源和技術(shù)支持。決策層應(yīng)對合規(guī)管理的有效性負責，履行的合規(guī)管理b)審議批準合規(guī)管理體系建設(shè)方案、合規(guī)管理工作年度報告以及合規(guī)管理基本制度等文件；管理層向最高領(lǐng)導(dǎo)者和決策層負責，履行的合規(guī)職4c)擬訂合規(guī)管理基本制度，組織制定合規(guī)管理具體制度，批準合規(guī)管理工作年度計劃；a)對本部門規(guī)章制度、合同等文件及經(jīng)營管理活動進行合規(guī)審查；b)建立并完善本部門業(yè)務(wù)合規(guī)管理制度和流程，編制合規(guī)風(fēng)險清單和應(yīng)對預(yù)案；c)梳理重點崗位的合規(guī)風(fēng)險，將合規(guī)要求納入d)組織開展合規(guī)風(fēng)險識別評估，及時向合規(guī)管理部門報告合規(guī)風(fēng)險，組織或配合開展合規(guī)風(fēng)險6.2.5.1合規(guī)管理部門是企業(yè)合規(guī)工作的牽頭部門，應(yīng)在企業(yè)相關(guān)管理制度中明確合規(guī)管理部門的地a)組織起草合規(guī)管理基本制度和具體制度規(guī)定、合規(guī)管理工作年度計劃、合規(guī)管理工作年度報d)組織或協(xié)助各部門開展合規(guī)培訓(xùn)，受理合規(guī)咨詢和合規(guī)溝通事宜，推進合規(guī)信息化建設(shè)；e)依據(jù)最高領(lǐng)導(dǎo)者和決策層的授權(quán)，規(guī)劃設(shè)計合規(guī)管理體系，協(xié)助監(jiān)督層或第三方機構(gòu)開展合h)受理職責范圍內(nèi)的違規(guī)舉報，組織或參與對違規(guī)事件的6.2.5.2首席合規(guī)官向企業(yè)最高領(lǐng)導(dǎo)者和決策層負責，領(lǐng)導(dǎo)合規(guī)管理部門組織開展企業(yè)的合規(guī)管理工監(jiān)督層負責監(jiān)督合規(guī)管理體系的有效運行，履行的合規(guī)職責包括b)在職權(quán)范圍內(nèi)對違規(guī)事件進行調(diào)查6.3.1合規(guī)方針應(yīng)確立企業(yè)開展合規(guī)管理體系建設(shè)的首要原則和行動承諾，由企業(yè)最高領(lǐng)導(dǎo)者和決策56.3.4合規(guī)方針應(yīng)用通俗易懂的語言書寫以便于所有員工能理解其原則和目的，并以恰當?shù)姆绞较騿T企業(yè)應(yīng)在其內(nèi)部各個層級建立、維護并推進合規(guī)文化，措施a)最高領(lǐng)導(dǎo)者、決策層和管理層以身作則，遵循和落實合規(guī)價值觀，倡導(dǎo)和推行合規(guī)文化；b)建立制度化、常態(tài)化的合規(guī)培訓(xùn)機制，制定年度合規(guī)培訓(xùn)計劃，將合規(guī)作為合規(guī)管理重點人c)通過制定合規(guī)手冊、簽訂合規(guī)承諾書、開展合規(guī)宣誓等方式將合規(guī)理念傳遞至全體員工，確d)通過合規(guī)建設(shè)情況公開披露、宣傳等方式，將合規(guī)文化傳遞至利益相關(guān)方，確保其了解企業(yè)e)建立合規(guī)績效考核體系并運行實施，將績效考核結(jié)果與薪酬待遇、職務(wù)任免等掛鉤；f)建立合規(guī)獎勵機制，鼓勵員工提出改進合規(guī)管理的意見和建議；g)建立健全合規(guī)人才的選拔、培養(yǎng)和任用機制。7.1.1合規(guī)目標確定了企業(yè)合規(guī)管理實現(xiàn)的結(jié)果，企業(yè)應(yīng)在相關(guān)職能和層級上確立合規(guī)目標。合規(guī)目6b)全面系統(tǒng)梳理企業(yè)經(jīng)營管理活動中存在的合規(guī)風(fēng)險，建立合規(guī)風(fēng)險臺賬；7.2.2.1企業(yè)應(yīng)定期、及時開展全面合規(guī)風(fēng)險評估，并將結(jié)果納入企業(yè)風(fēng)險評估報告，且應(yīng)根據(jù)法律7.2.2.2企業(yè)應(yīng)在合規(guī)風(fēng)險識別（見7.2.1）的基礎(chǔ)上對合規(guī)風(fēng)險發(fā)生的可能性、影響程度等進行分b)可能存在的專家觀點中的分歧，及風(fēng)險評估中數(shù)據(jù)或模型的局限性；c)風(fēng)險評估首先采用定性分析，初步了解風(fēng)險等級和揭示主要風(fēng)險，適時進行更具體和定量的d)風(fēng)險后果和可能性通過專家意見、結(jié)果建模、實驗研究推導(dǎo)等方式確定。注：風(fēng)險評估方法見GB/T24353—2022。7.2.2.3當發(fā)生下列情形時，企業(yè)應(yīng)對合規(guī)風(fēng)險進a)新的或變化的活動、產(chǎn)品或服務(wù)；b)組織結(jié)構(gòu)或戰(zhàn)略變化；c)重大外部變化，如金融經(jīng)濟環(huán)境、市場條件、債務(wù)和客戶關(guān)系；者和決策層統(tǒng)籌領(lǐng)導(dǎo)，明確牽頭部門，相關(guān)部門7.3.1當企業(yè)確定需要變更合規(guī)管理體系時，應(yīng)對變更實b)合規(guī)管理體系的設(shè)計和運行的有效性；7a)在聘用條件中要求被聘用人員遵守企業(yè)的合規(guī)義務(wù)、方針等，同時有權(quán)對任何違反企業(yè)合規(guī)b)在員工入職后，為員工提供合規(guī)相關(guān)制度文件的副本或其獲取c)制定違反合規(guī)義務(wù)、方針的處理程序；d)按照附錄A的要求，結(jié)合合規(guī)管理重點人員的合規(guī)風(fēng)險，在員工聘用、調(diào)動和晉升前進行盡8.2.1企業(yè)應(yīng)建立制度化、常態(tài)化、全員化b)將代表企業(yè)開展業(yè)務(wù)并可能給企業(yè)帶來合規(guī)風(fēng)險的第三方納入合規(guī)培c)針對不同培訓(xùn)對象開展有針對性的合規(guī)培訓(xùn)，與員工的崗位及其面8.2.2培訓(xùn)記錄應(yīng)作為文件化信息予以8.3.1企業(yè)應(yīng)建立內(nèi)外部的溝通渠道，溝通內(nèi)容及方式包括但不限于：a)在企業(yè)內(nèi)部各層級公開和傳達合規(guī)管理方針及合規(guī)管理制度、合規(guī)文化，確保員工了解并遵b)與外部監(jiān)管機構(gòu)、商業(yè)伙伴等利益相關(guān)方進行合規(guī)事項的溝通協(xié)調(diào)，促進雙方的理解和良好c)企業(yè)在建立溝通時應(yīng)將其合規(guī)文化、合規(guī)目標和義務(wù)納入溝通內(nèi)容，同時確保所溝通的合規(guī)d)確保并鼓勵員工在溝通過程中就合規(guī)事項提出疑慮，并明確告知員工合規(guī)報告途徑；e)確保并鼓勵員工在溝通過程中提出合規(guī)管理體系改進建議；8.4.1企業(yè)應(yīng)建立涵蓋所有部門、全體員工及全業(yè)務(wù)流程的合規(guī)考核機制。企業(yè)應(yīng)鼓勵員工提供違規(guī)8.4.2企業(yè)應(yīng)將合規(guī)管理的有效性和履職行為的合規(guī)性等合規(guī)管理情況，納入對部門和員工的綜合考核，并將合規(guī)管理工作的考核結(jié)果，作為績效考核、員工晉升、評先選優(yōu)等工作的重8通、咨詢、舉報、調(diào)查等的相關(guān)信息和文件記錄。該文件化信b)得到充分保護（例如，防止泄密、不當使用b)將合規(guī)要求嵌入業(yè)務(wù)經(jīng)營流程，強化對9.1合規(guī)審查與檢查9.1.2企業(yè)應(yīng)建立健全合規(guī)檢查制度，制定合規(guī)檢查計劃并實施。注：合規(guī)檢查是指合規(guī)管理部門不定期對企業(yè)部門和所屬企業(yè)的經(jīng)營9.1.3企業(yè)應(yīng)對違規(guī)事件或行為采取措施，對違規(guī)問題進行整改，并通過健全規(guī)章制度、優(yōu)化業(yè)務(wù)流9.2合規(guī)調(diào)查9.2.1合規(guī)管理部門應(yīng)就舉報線索在合理范圍內(nèi)及時組織開展合規(guī)調(diào)查，合規(guī)調(diào)查前應(yīng)制定適當?shù)恼{(diào)9.2.2合規(guī)調(diào)查可采用內(nèi)部調(diào)查、外聘第三方調(diào)查等調(diào)查形式，依據(jù)事項的復(fù)雜程度與嚴重程度，邀9.2.4合規(guī)調(diào)查結(jié)束后，依據(jù)違規(guī)處理與問責機9.2.5企業(yè)應(yīng)保留有關(guān)調(diào)查的文件化信息。9.3合規(guī)報告9.3.1企業(yè)應(yīng)建立、實施并維護合規(guī)報告渠道，確定適宜的報告準則。業(yè)務(wù)及職能部門在經(jīng)營管理活b)合規(guī)義務(wù)變更時對企業(yè)的影響，及企業(yè)對此變更采取的新的措施方案；99.3.2當發(fā)生性質(zhì)嚴重或可能給企業(yè)帶來重大合規(guī)風(fēng)險的事件，合規(guī)管理部門應(yīng)及時9.4合規(guī)舉報與違規(guī)處理9.4.1舉報a)舉報渠道暢通，舉報渠道可包括：舉報信箱、熱線電話、郵箱和第三方平臺；b)指派專人對舉報信息進行收集和管理；c)對舉報內(nèi)容和舉報人進行保密，使其不會受到任何形式的打擊報復(fù)；9.4.2違規(guī)處理a)建立、實施和維護合規(guī)管理體系的內(nèi)部審核管理制度和審核方案，包括頻次、方法、責任、b)規(guī)定每次審核的目標、準則和范圍；d)在實施內(nèi)部審核后，形成合規(guī)內(nèi)部審核報告，保留審核方案、審核結(jié)果及相關(guān)材料的文件化e)確保審核結(jié)果報告提交最高領(lǐng)導(dǎo)者和決策層、相關(guān)管理層、合規(guī)管注1：ISO19011提供了關(guān)于管理b)合規(guī)審核針對違規(guī)和潛在違規(guī)的分析報告、采取的糾正措施和改進措施的情況及實施的效果；c)重大事故、事件、案件、行政處罰d)內(nèi)部舉報及投訴反饋信息，及利益相關(guān)方的e)合規(guī)管理體系的實施和運行情況，實現(xiàn)合規(guī)方針、合規(guī)目標的g)可能影響合規(guī)管理體系的內(nèi)部和外部的環(huán)境變化，包括企業(yè)環(huán)境、相關(guān)法律法規(guī)和其他要求注：邀請外部專家對企業(yè)合規(guī)管理體系的建立和實施效果進行評審，10.3.3.2企業(yè)應(yīng)保留管理評審結(jié)A.1管理人員A.2重要風(fēng)險崗位人員企業(yè)應(yīng)依據(jù)合規(guī)風(fēng)險評估情況明確界定重要風(fēng)險崗位，加強針對性培訓(xùn)，使重要悉并嚴格遵守業(yè)務(wù)涉及的各項規(guī)定，并加強對其的監(jiān)督檢查和違規(guī)行為問責。重要風(fēng)險崗位人A.3境外人員企業(yè)應(yīng)將合規(guī)培訓(xùn)作為境外人員任職、上崗的必備條件，確保遵守我國和所在國A.4新入職人員企業(yè)應(yīng)在員工招聘過程中開展盡職調(diào)查，開展新入職人員的合規(guī)培訓(xùn)，確保其熟A.5其他需要重點關(guān)注的人員其他需要重點關(guān)注的人員應(yīng)視情況開展強化合規(guī)管理意識、合規(guī)培訓(xùn)、監(jiān)督問責等工作企業(yè)應(yīng)強化對企業(yè)章程、規(guī)范等內(nèi)部管理重要文件的合規(guī)審查，把合規(guī)要求融合企業(yè)應(yīng)堅持科學(xué)決策、依法決策的原則，細化各層級決策事項和權(quán)限，將合規(guī)審程序，防范決策風(fēng)險，保障決策依法合規(guī)。對涉及重大事項決策、重要人事任免、重大項目投企業(yè)應(yīng)嚴格執(zhí)行各項合規(guī)管理制度，加強對生產(chǎn)運營重點流程的監(jiān)督檢查，確保企業(yè)應(yīng)遵守廉潔相關(guān)法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則和國際條約、規(guī)則、標準，規(guī)章制度等要求，公開聲明反對任何形式的不廉潔行為，確保以合規(guī)的方式開展業(yè)務(wù)活動。定符合相關(guān)法律法規(guī)的規(guī)定和程序、且相關(guān)費用控制在規(guī)定范圍內(nèi)的贈禮、招待、贊助、捐利益流通的相關(guān)政策，建立健全企業(yè)與商業(yè)伙伴、政府工作人員等的交往禮儀與規(guī)范。加強和培訓(xùn)，構(gòu)建廉潔合規(guī)的管理機制和措施，防止腐企業(yè)應(yīng)依據(jù)適用的相關(guān)法律法規(guī)、標準規(guī)定的產(chǎn)品使用、安全和其他特性的要求設(shè)計、制造、檢測、計量、運輸、儲存、銷售、售后服務(wù)、回收等環(huán)節(jié)實施產(chǎn)品全生命周期障產(chǎn)品符合相關(guān)法律法規(guī)、標準規(guī)定。企業(yè)應(yīng)建立技術(shù)研發(fā)、生產(chǎn)、應(yīng)用、服務(wù)等方面的管企業(yè)應(yīng)遵守安全生產(chǎn)相關(guān)法律法規(guī)、標準等要求，落實全員安全生產(chǎn)責任制，建體系及安全生產(chǎn)規(guī)章制度、應(yīng)急管理制度、安全教育培訓(xùn)制度，加強安全生產(chǎn)風(fēng)險管控及監(jiān)督企業(yè)應(yīng)遵守環(huán)境保護管理相關(guān)法律法規(guī)要求，明確各級部門、單位和人員的環(huán)境污染治理設(shè)施運行管理和一般工業(yè)固體廢物和危險廢物管理，執(zhí)行相關(guān)環(huán)境保護的管理制度，包境影響評價、污染源監(jiān)測、清潔生產(chǎn)審核評估等。企業(yè)應(yīng)規(guī)范環(huán)境應(yīng)急管理制度，按法律法規(guī)企業(yè)應(yīng)及時依法申請或登記注冊知識產(chǎn)權(quán)成果，對已取得的權(quán)利及時續(xù)展維護。企業(yè)應(yīng)貫徹實施勞動用工相關(guān)法律法規(guī)，建立和完善勞動規(guī)章制度，規(guī)范勞動合變更、競業(yè)禁止約定內(nèi)容、中止和解除，確保勞動用工各環(huán)節(jié)合規(guī)、規(guī)范有序，切實維護企業(yè)企業(yè)應(yīng)依照相關(guān)稅收法律法規(guī)規(guī)定，規(guī)范企業(yè)稅務(wù)管理，完善財務(wù)內(nèi)部管理和監(jiān)業(yè)情況建立財務(wù)決策、財務(wù)決策回避、財務(wù)風(fēng)險管理、財務(wù)預(yù)算管理、資金籌集管理制度。在企業(yè)應(yīng)遵守相關(guān)的法律法規(guī)，采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、以及意外事故。依法保障信息資產(chǎn)的安全，加強信息數(shù)據(jù)的收集、存儲、處理、分發(fā)、刪除等節(jié)的管控，評估數(shù)據(jù)安全風(fēng)險，防范信息安全事件的發(fā)生，降低突發(fā)事件對信息系統(tǒng)的影響，息系統(tǒng)的高可用性。依法建立事件應(yīng)急處置機制，配備應(yīng)急響應(yīng)所需的資源以確保應(yīng)急響應(yīng)機企業(yè)處理個人信息應(yīng)遵守相關(guān)法律法規(guī)，按照權(quán)責一致、目的明確、選擇同意、透明、確保安全、主體參與的原則，制定個人信息保護政策，建立和實施技術(shù)控制、實施控制控制，保