第1部分：GB∕T35770-2022合規(guī)管理體系之“組織環(huán)境”過程有效性評價操作指引GB∕T35770-2022合規(guī)管理體系之1：“組織環(huán)境”過程有效性評價操作指引（雷澤佳編制-2025A0）GB∕T35770-2022合規(guī)管理體系之“4.1理解組織及其環(huán)境”過程有效性評價操作指引表4.1-1：與“4.1理解組織及其環(huán)境”相關的方針和程序、行為和文化評價操作指引4.1條文級別內容描述具體評價操作要點評價所需文件和記錄組織應確定與其宗旨相關的，并影響其實現(xiàn)合規(guī)管理體系預期結果的能力的內部和外部因素。為此，組織應結合諸多因素，包括但不限于：-業(yè)務模式，包括組織活動和運行的戰(zhàn)略、性質、規(guī)模、復雜性和可持續(xù)性；-與第三方業(yè)務關系的性質和范圍；-法律和監(jiān)管環(huán)境；-經(jīng)濟狀況；-社會、文化、環(huán)境背景；-內部結構、方針、過程、程序和資源，包括技術；-自身的合規(guī)文化。1級未建立“理解組織及其環(huán)境”的程序（包括確定與宗旨相關的內外部因素、識別影響合規(guī)管理體系預期結果能力的因素，以及關聯(lián)業(yè)務模式、第三方關系、法律監(jiān)管等核心因素）。1)查閱組織合規(guī)管理體系文件，確認是否存在專門針對“理解組織及其環(huán)境”的程序文件；

2)訪談合規(guī)職能負責人及核心業(yè)務部門負責人，核實是否有開展內外部因素識別、分析的制度化流程；

3)檢查是否有任何與業(yè)務模式、第三方關系、法律監(jiān)管等因素相關的分析記錄，確認無相關程序支撐。1)組織合規(guī)管理體系文件清單（確認無“理解組織及其環(huán)境”程序）；

2)合規(guī)職能及業(yè)務部門負責人訪談記錄（核實無相關程序）；

3)無相關內外部因素分析記錄的證實材料。2級已建立“理解組織及其環(huán)境”的程序（包括確定內外部因素、關聯(lián)核心因素），但程序不完整（如未覆蓋業(yè)務模式的可持續(xù)性、第三方關系范圍或合規(guī)文化等要素）；該程序未在業(yè)務活動中實施或實施不一致（如僅部分部門執(zhí)行，或執(zhí)行頻次、內容不統(tǒng)一）。1)組織應確定與其宗旨相關的，并影響其實現(xiàn)合規(guī)管理體系預期結果的能力的內部和外部因素。為此，組織4.1理解組織及其環(huán)境；2)組織應確定與其宗旨相關的，并影響其實現(xiàn)合規(guī)管理體系預期結果的能力的內部和外部因素；3)為此，組織應結合諸多因素，包括但不限于：-業(yè)務模式，包括組織活動和運行的戰(zhàn)略、性質、規(guī)模、復雜性和可持續(xù)性；-與第三方業(yè)務關系的性質和范圍；-法律和監(jiān)管環(huán)境；-經(jīng)濟狀況；-社會、文化、環(huán)境背景；-內部結構、方針、過程、程序和資源，包括技術；-自身的合規(guī)文化。1)不完整的“理解組織及其環(huán)境”程序文件（標注遺漏的核心因素）；

2)抽查的業(yè)務部門實施記錄（顯示未執(zhí)行或不一致）；

3)一線員工訪談記錄（驗證對程序的知曉度和執(zhí)行情況）。3級已建立“理解組織及其環(huán)境”的全面程序，明確規(guī)定以下內容：

1)職責：明確牽頭部門（如合規(guī)部）、配合部門（如戰(zhàn)略部、法務部、業(yè)務部門）的具體職責；

2)分析范圍：覆蓋影響合規(guī)管理體系預期結果的內部因素（內部結構、資源、合規(guī)文化等）和外部因素（法律監(jiān)管、經(jīng)濟狀況、社會文化背景等），并關聯(lián)業(yè)務模式（戰(zhàn)略、規(guī)模、可持續(xù)性）、第三方關系性質范圍；

3)相關方需求：明確需考慮的內外部相關方（如監(jiān)管機構、客戶、供應商、員工）及其需求；

4)輸入資源：規(guī)定分析所需的信息來源（如法律法規(guī)數(shù)據(jù)庫、行業(yè)報告、內部經(jīng)營數(shù)據(jù)）；

5)已在部分業(yè)務（如核心產(chǎn)品線、主要區(qū)域市場）中開展分析，或僅對部分內外部因素（如僅分析法律環(huán)境，未分析經(jīng)濟狀況）進行分析，并建立、維護適當?shù)奈募畔ⅰ?)評審程序文件，驗證是否完整包含職責、范圍、相關方需求、輸入資源四大要素，且范圍覆蓋4)1條款所有核心因素；

2)檢查部分業(yè)務的分析記錄，確認是否針對核心業(yè)務/區(qū)域開展，或是否存在內外部因素分析不全面的情況；

3)核實文件化信息（如分析報告、因素清單）的建立與維護情況，確認信息可追溯；

4)訪談牽頭部門負責人，了解程序設計的合理性及部分實施的原因（如資源限制、業(yè)務優(yōu)先級）。1)完整的“理解組織及其環(huán)境”程序文件；

2)部分業(yè)務/因素的內外部環(huán)境分析報告（標注覆蓋的業(yè)務范圍或因素）；

3)內外部相關方清單及需求記錄；

4)分析所需輸入資源（如法律法規(guī)清單、行業(yè)報告）的存檔文件；

5)牽頭部門負責人訪談記錄。4級1)已建立第3級規(guī)定的全面程序，并根據(jù)以往實踐（如過往分析發(fā)現(xiàn)的問題、行業(yè)案例、監(jiān)管反饋）進行調整（如優(yōu)化分析頻次、補充新興業(yè)務的分析維度）；

2)已按照程序在所有業(yè)務（包括非核心業(yè)務、海外業(yè)務）中全面實施“理解組織及其環(huán)境”活動，包括確定內外部因素、關聯(lián)核心要素、識別相關方需求；

3)已建立、維護并更新文件化信息，以反映分析中的變化（如法律修訂、業(yè)務模式調整導致的因素變更）。1)評審程序文件的修訂記錄，確認是否基于以往實踐（如2023年分析報告中的改進建議）進行調整，調整內容是否合理；

2)抽查所有業(yè)務部門（含非核心、海外業(yè)務）的實施記錄，驗證是否全面覆蓋，無遺漏業(yè)務領域；

3)檢查文件化信息的更新記錄，確認是否根據(jù)內外部變化（如新規(guī)發(fā)布、業(yè)務擴張）及時調整因素清單或分析結論；

4)訪談業(yè)務部門負責人，核實程序在全業(yè)務范圍內的執(zhí)行一致性。1)程序文件修訂記錄（含修訂依據(jù)，如以往分析報告、行業(yè)案例）；

2)所有業(yè)務部門的內外部環(huán)境分析報告（覆蓋全業(yè)務范圍）；

3)文件化信息更新記錄（如法律修訂后的因素調整、業(yè)務擴張后的第三方關系分析補充）；

4)業(yè)務部門負責人訪談記錄（驗證執(zhí)行一致性）。5級1)已建立第3級規(guī)定的全面程序，并完全嵌入組織過程（如融入戰(zhàn)略規(guī)劃、年度經(jīng)營計劃制定流程）；

2)程序得到持續(xù)監(jiān)視（如季度檢查）和評價（如年度評審），持續(xù)改進（如優(yōu)化分析工具、補充數(shù)字化分析手段）并適應內外部環(huán)境變化參數(shù)（如監(jiān)管政策更新、市場競爭加?。?/p>

3)已根據(jù)內外部因素變化（如新技術應用、社會文化趨勢變更）定期重新開展并更新分析；

調整更新后的文件化信息能滿足組織各職能部門（如戰(zhàn)略部用于規(guī)劃、法務部用于合規(guī)風險評估）的需求。1)評審組織戰(zhàn)略規(guī)劃、年度經(jīng)營計劃流程文件，確認“理解組織及其環(huán)境”活動是否作為必要環(huán)節(jié)嵌入；

2)檢查程序監(jiān)視記錄（如季度檢查報告）和評價記錄（如年度評審會議紀要），驗證持續(xù)改進措施（如引入數(shù)字化分析平臺）的落地情況；

3)核實定期更新記錄（如半年度/年度重新分析報告），確認是否響應內外部變化（如AI技術應用對業(yè)務模式的影響、ESG政策對社會文化背景分析的補充）；

4)抽查各職能部門（戰(zhàn)略、法務、采購）使用文件化信息的記錄（如引用分析報告的規(guī)劃文件、風險評估報告），確認信息滿足需求。1)戰(zhàn)略規(guī)劃、年度經(jīng)營計劃流程文件（標注“理解組織及其環(huán)境”的嵌入環(huán)節(jié)）；

2)程序監(jiān)視記錄（季度檢查報告）、評價記錄（年度評審紀要）及改進措施落地證實（如數(shù)字化分析平臺采購合同）；

3)定期更新的內外部環(huán)境分析報告（含變化因素的識別與應對）；

4)各職能部門使用文件化信息的記錄（如規(guī)劃文件、風險評估報告的引用標注）。表4.1-2：與“4.1理解組織及其環(huán)境”相關的“結果和影響”評價操作指引4.1條文級別內容描述具體評價操作要點評價所需文件和記錄組織應確定與其宗旨相關的，并影響其實現(xiàn)合規(guī)管理體系預期結果的能力的內部和外部因素。為此，組織4.1理解組織及其環(huán)境組織應確定與其宗旨相關的，并影響其實現(xiàn)合規(guī)管理體系預期結果的能力的內部和外部因素。為此，組織應結合諸多因素，包括但不限于：-業(yè)務模式，包括組織活動和運行的戰(zhàn)略、性質、規(guī)模、復雜性和可持續(xù)性；-與第三方業(yè)務關系的性質和范圍；-法律和監(jiān)管環(huán)境；-經(jīng)濟狀況；-社會、文化、環(huán)境背景；-內部結構、方針、過程、程序和資源，包括技術；-自身的合規(guī)文化。1級影響組織實現(xiàn)合規(guī)管理體系預期結果能力的內外部因素（包括業(yè)務模式、第三方關系、法律監(jiān)管等4)1條款所列核心因素，及相關方及其要求）尚未確定，無任何識別或分析結果。1)查閱組織合規(guī)管理體系相關記錄（如風險評估報告、年度總結），確認是否存在內外部因素的識別清單或分析結論；

2)訪談合規(guī)職能及核心業(yè)務部門，核實是否有任何關于內外部因素的討論或結論；

3)檢查是否有相關方需求識別記錄，確認無任何相關結果。1)合規(guī)管理體系記錄清單（確認無內外部因素識別記錄）；

2)合規(guī)職能及業(yè)務部門訪談記錄（核實無相關分析結果）；

3)無相關方需求識別記錄的證實材料。2級影響組織實現(xiàn)合規(guī)管理體系預期結果能力的內外部因素（含核心因素、相關方要求）在確定時存在不一致，如：

1)不同部門對同一因素（如法律環(huán)境）的識別結果沖突（A部門認為某法規(guī)適用，B部門認為不適用）；

2)相關方要求識別不統(tǒng)一（如銷售部門識別客戶合規(guī)要求，采購部門未識別供應商合規(guī)要求）；

3)分析結果未關聯(lián)業(yè)務模式、第三方關系等核心要素，導致結論碎片化。1)收集不同部門的內外部因素識別記錄，對比同一因素的識別結果，確認是否存在沖突；2)檢查相關方需求識別記錄，驗證是否存在部門間識別范圍不統(tǒng)一的情況；3)分析現(xiàn)有結論是否關聯(lián)4)1條款核心要素，確認是否碎片化；4)訪談部門負責人，了解不一致的原因（如信息不共享、理解差異）。1)不同部門的內外部因素識別記錄（標注沖突內容）；

2)相關方需求識別記錄（標注部門間識別差異）；

3)部門負責人訪談記錄（說明不一致原因）。3級1)影響組織實現(xiàn)合規(guī)管理體系預期結果能力的內外部因素僅被部分確定，或僅針對某些業(yè)務活動確定（如僅確定核心業(yè)務的法律環(huán)境，未確定非核心業(yè)務的經(jīng)濟狀況）；

2)僅在某些業(yè)務活動（如國內業(yè)務）中識別相關方并考慮其要求和關切，未覆蓋全業(yè)務相關方。1)檢查內外部因素識別清單，確認是否僅覆蓋部分因素（如缺經(jīng)濟狀況、社會文化背景）或部分業(yè)務；

2)抽查非核心業(yè)務/區(qū)域的記錄，驗證是否存在因素未確定的情況；

3)核實相關方識別記錄，確認是否僅覆蓋部分業(yè)務的相關方（如缺海外客戶、本地供應商）；

4)訪談合規(guī)職能人員，了解部分確定的原因（如資源有限、優(yōu)先級設定）。1)部分內外部因素識別清單（標注未覆蓋的因素或業(yè)務）；

2)非核心業(yè)務/區(qū)域的無識別記錄證實；

3)部分相關方識別記錄（標注未覆蓋的相關方類型）；

4)合規(guī)職能人員訪談記錄。4級1)影響組織實現(xiàn)合規(guī)管理體系預期結果能力的內外部因素（包括所有核心因素、全業(yè)務相關方及其要求）已針對所有相關業(yè)務（含核心/非核心、國內/海外）確定；

2)已對確定的因素進行主動管理（如針對法律環(huán)境變化制定應對措施、針對第三方關系風險建立管控流程）。1)檢查內外部因素識別清單，確認是否覆蓋4)1所有核心因素及全業(yè)務范圍；

2)評審相關方需求清單，驗證是否包含所有業(yè)務相關的內外部相關方（監(jiān)管機構、客戶、供應商、員工等）；

3)檢查主動管理記錄（如應對法律變化的措施文件、第三方管控流程），確認因素已被管理；

4)訪談業(yè)務部門負責人，核實管理措施的執(zhí)行情況。1)全業(yè)務范圍的內外部因素識別清單（覆蓋所有核心因素）；

2)全業(yè)務相關方需求清單；

3)內外部因素主動管理文件（如法律應對措施、第三方管控流程）；

4)業(yè)務部門負責人訪談記錄（驗證措施執(zhí)行）。5級1)影響組織實現(xiàn)合規(guī)管理體系預期結果能力的內外部因素（含核心因素、相關方要求）已基于全面分析確定，分析內容包括對法律（如新規(guī)解讀）、文化（如本地習俗對業(yè)務的影響）、技術（如數(shù)字化轉型風險）和業(yè)務環(huán)境（如商業(yè)模式創(chuàng)新）的綜合考慮；

2)已根據(jù)內外部環(huán)境變化（如監(jiān)管政策更新、市場競爭加劇）定期評審和更新分析結果；

3)組織內受影響的人員（如業(yè)務一線員工、中層管理者）參與內外部因素分析的確定過程，并對其影響（如合規(guī)風險、業(yè)務機會）有清晰理解；

4)已征詢外部相關方（如監(jiān)管機構、行業(yè)協(xié)會、核心客戶）意見，將其對合規(guī)管理體系的要求納入分析。1)評審分析報告，確認是否包含法律、文化、技術、業(yè)務環(huán)境的綜合分析，是否有跨維度關聯(lián)（如技術轉型對法律合規(guī)的影響）；

2)檢查評審和更新記錄（如年度評審報告、變更通知單），確認是否響應內外部變化；

3)查閱人員參與記錄（如分析會議簽到表、員工意見收集表），并訪談部分員工，驗證其對因素影響的理解程度；

4)檢查外部相關方意見征詢記錄（如監(jiān)管溝通紀要、客戶問卷反饋），確認合規(guī)要求已納入分析。1)包含法律、文化、技術、業(yè)務環(huán)境的綜合內外部環(huán)境分析報告；

2)內外部因素評審記錄（年度報告）及更新記錄（變更通知單）；

3)人員參與分析的會議簽到表、意見收集表，及員工訪談記錄；

4)外部相關方（監(jiān)管機構、客戶等）意見征詢紀要或問卷反饋文件。GB∕T35770-2022合規(guī)管理體系之“4.2理解相關方的需要和期望”過程有效性評價操作指引表4.2-1：與“4.2理解相關方的需要和期望”相關的方針和程序、行為和文化評價操作指引4.2條文級別內容描述具體評價操作要點評價所需要的文件和記錄（證據(jù)性材料）組織應確定：

-與合規(guī)管理體系有關的相關方；

-這些相關方的有關需求；

-哪些需求將通過合規(guī)管理體系予以解決1級未建立“理解相關方的需要和期望”的專項程序（包括未明確識別與合規(guī)管理體系有關的相關方、確定其需求、界定體系需解決需求的流程）。1)查閱組織合規(guī)管理體系程序文件集，確認是否存在針對“理解相關方的需要和期望”的專門程序文件（如《相關方識別與需求管理程序》）；

2)訪談合規(guī)職能人員及核心業(yè)務部門負責人，了解是否知曉“識別相關方、確定需求、界定體系解決范圍”的具體流程；

3)檢查是否有任何與相關方識別、需求分析相關的制度性文件片段，判斷是否存在程序雛形。1)組織合規(guī)管理體系程序文件清單及全文；

2)合規(guī)職能人員、核心業(yè)務部門負責人訪談記錄；

3)組織現(xiàn)有制度文件（如《合規(guī)管理制度匯編》）中與相關方相關的內容片段。2級已建立“理解相關方的需要和期望”的程序，但程序不完整（如未明確相關方識別的范圍/方法、未規(guī)定需求收集的渠道/頻率、未界定體系解決需求的判斷標準）；且該程序未在業(yè)務活動中實施或實施不一致。1)評審已有的《相關方識別與需求管理程序》等文件，對照4.2條款要求，核查是否缺失“相關方識別范圍”“需求收集渠道”“體系解決需求判斷標準”等核心內容；

2)抽樣選取2-3個業(yè)務部門（如銷售、采購、生產(chǎn)），檢查其是否按照程序開展相關方識別、需求收集工作，查看是否存在業(yè)務部門未實施或實施流程不一致的情況（如A部門識別了客戶，B部門未識別）；

3)訪談業(yè)務部門執(zhí)行人員，了解程序實施過程中是否因內容缺失導致操作困難。1)《相關方識別與需求管理程序》等相關文件；

2)抽樣業(yè)務部門的工作記錄（如部門例會紀要、業(yè)務流程記錄）；

3)業(yè)務部門執(zhí)行人員訪談記錄；

4)程序實施情況的初步檢查記錄。3級1)已建立“理解相關方的需要和期望”的全面程序，并規(guī)定如下：

-相關方識別、需求確定、體系解決需求界定的職責分工（如合規(guī)部門牽頭、業(yè)務部門配合）；

-相關方識別的范圍（包括內部相關方：員工、管理層；外部相關方：客戶、供應商、監(jiān)管機構、行業(yè)協(xié)會等）；

-需求收集的渠道（如客戶調研、供應商座談會、員工問卷、監(jiān)管溝通記錄）；

-體系解決需求的判斷標準（如是否屬于合規(guī)義務范疇、是否影響體系預期結果）；

2)已在部分業(yè)務中開展相關活動（如僅在客戶服務、采購業(yè)務中識別相關方并分析需求），或僅對部分相關方的需求進行確定，并已建立和維護適當?shù)奈募畔ⅰ?)評審程序文件，確認是否完整包含“職責分工、識別范圍、收集渠道、判斷標準”四大核心要素，且內容符合4.2條款要求；

2)核查“部分業(yè)務實施”的證據(jù)，抽樣選取已實施業(yè)務部門（如客戶服務部）和未實施業(yè)務部門（如行政部），對比分析相關工作記錄，判斷實施范圍的局限性；

3)檢查文件化信息（如相關方清單、需求登記表）的完整性，確認是否僅覆蓋部分相關方（如僅記錄客戶需求，未記錄監(jiān)管機構需求）；

4)訪談程序制定人員，了解程序設計的邏輯及未全面實施的原因。1)《相關方識別與需求管理程序》（完整版本）；

2)已實施業(yè)務部門的相關方清單、需求收集記錄（如客戶調研問卷、供應商溝通紀要）；

3)未實施業(yè)務部門的工作記錄（如部門工作計劃、業(yè)務流程文件）；

4)相關方需求文件化信息臺賬（如Excel表格、系統(tǒng)記錄）；

5)程序制定人員訪談記錄。4級1)已建立第3級規(guī)定的全面程序，并根據(jù)以往實踐（如過往相關方需求處理案例、程序實施問題反饋）進行調整（如優(yōu)化需求收集渠道、更新相關方識別范圍）；

2)已按照程序，在所有業(yè)務中全面實施“理解相關方的需要和期望”活動（包括所有業(yè)務部門均開展相關方識別、需求收集、體系解決需求界定）；

3)已建立、維護并更新適當?shù)奈募畔?，以反映相關方、需求及體系解決范圍的變化（如新增監(jiān)管要求導致相關方需求更新時，及時修訂文件）。1)查閱程序修訂記錄（如修訂通知單、修訂說明），確認是否基于以往實踐（如202X年需求處理案例、202X年程序實施反饋報告）進行調整，且調整內容貼合4.2條款落地需求；

2)覆蓋所有業(yè)務部門（如銷售、采購、生產(chǎn)、行政、財務），檢查每個部門的相關方識別記錄、需求收集記錄，確認是否均按照程序執(zhí)行；

3)檢查文件化信息的更新記錄，如當監(jiān)管機構發(fā)布新合規(guī)要求時，是否及時更新相關方（監(jiān)管機構）的需求描述，以及體系解決該需求的具體措施文件；

4)訪談合規(guī)職能人員，了解程序調整的決策依據(jù)及全面實施的保障措施1)《相關方識別與需求管理程序》（含修訂記錄、修訂說明）；

2)以往實踐材料（如202X年相關方需求處理案例集、202X年程序實施反饋報告）；

3)所有業(yè)務部門的相關方清單、需求收集記錄（如員工問卷、監(jiān)管溝通函件）；

4)文件化信息更新記錄（如臺賬修訂日志、文件版本更新記錄）；

5)合規(guī)職能人員訪談記錄5級1)已建立第3級規(guī)定的全面程序，并完全嵌入組織過程（如融入業(yè)務部門年度計劃制定流程、合規(guī)風險評估流程）；

2)該程序得到持續(xù)監(jiān)視（如定期檢查各部門實施情況）和評價（如季度評審程序有效性），持續(xù)改進（如根據(jù)行業(yè)新規(guī)、業(yè)務拓展優(yōu)化程序）并適應組織內外部環(huán)境的變化參數(shù)（如進入新市場新增當?shù)叵嚓P方、新技術應用帶來新需求）；

3)已根據(jù)內外部事項變化（如監(jiān)管政策調整、業(yè)務模式創(chuàng)新），定期重新開展并更新“理解相關方的需要和期望”活動；

4)調整更新后的文件化信息，以滿足組織各職能部門（如合規(guī)部、業(yè)務部、管理層）的需求（如為管理層提供相關方需求摘要報告，為業(yè)務部門提供具體需求執(zhí)行清單）。1)檢查組織核心業(yè)務流程文件（如《年度計劃制定流程》《合規(guī)風險評估流程》），確認“理解相關方的需要和期望”程序是否作為必要環(huán)節(jié)嵌入，且有明確的執(zhí)行節(jié)點；

2)查閱程序監(jiān)視記錄（如月度合規(guī)檢查報告中關于相關方管理的章節(jié)）、評價記錄（如季度程序有效性評審會議紀要）、改進記錄（如程序優(yōu)化方案及實施跟蹤表），確認持續(xù)改進機制有效運行；

3)核查內外部事項變化后的更新記錄，如進入新市場后新增當?shù)亟?jīng)銷商相關方的識別記錄、新技術應用后員工數(shù)據(jù)安全需求的更新記錄；

4)檢查調整后的文件化信息是否分職能適配，如為管理層提供的《202X年相關方核心需求摘要》、為銷售部門提供的《客戶合規(guī)需求執(zhí)行清單》；

5)訪談管理層及各職能部門負責人，了解程序嵌入后的實用性及文件化信息的適配性。1)組織核心業(yè)務流程文件（《年度計劃制定流程》《合規(guī)風險評估流程》）；

2)程序監(jiān)視記錄（月度合規(guī)檢查報告）、評價記錄（季度程序有效性評審紀要）、改進記錄（程序優(yōu)化方案及跟蹤表）；

3)內外部事項變化后的更新材料（如新市場相關方識別報告、新技術應用需求分析報告）；

4)分職能的文件化信息（管理層需求摘要、業(yè)務部門執(zhí)行清單）；

5)管理層及各職能部門負責人訪談記錄。表4.2-2：與“4.2理解相關方的需要和期望”相關的“結果和影響”評價操作指引4.2條文級別內容描述具體評價操作要點評價所需要的文件和記錄（證據(jù)性材料）組織應確定：

-與合規(guī)管理體系有關的相關方；

-這些相關方的有關需求；

-哪些需求將通過合規(guī)管理體系予以解決1級與合規(guī)管理體系有關的相關方未識別、相關方的有關需求未確定、哪些需求通過體系解決未界定，即未形成任何與4.2條款要求相關的結果1)查閱組織所有與合規(guī)管理相關的報告（如合規(guī)風險評估報告、管理評審報告），確認是否存在相關方識別、需求確定的內容；

2)訪談合規(guī)職能負責人及核心業(yè)務部門負責人，了解是否能列舉出至少3類與合規(guī)管理體系有關的相關方（如監(jiān)管機構、客戶、員工）及對應的核心需求；

3)檢查是否有任何記錄（如會議紀要、工作筆記）提及“體系需解決的相關方需求”，判斷是否存在結果雛形。1)組織合規(guī)風險評估報告、管理評審報告（近1-2年）；

2)合規(guī)職能負責人、核心業(yè)務部門負責人訪談記錄；

3)組織合規(guī)相關會議紀要、員工工作筆記（抽樣）。2級與合規(guī)管理體系有關的相關方識別不一致（如A部門識別“供應商”為相關方，B部門未識別）、相關方需求確定不一致（如對“客戶需求”，銷售部門認為是“產(chǎn)品合規(guī)性”，客服部門認為是“投訴響應速度”）、體系解決需求界定不一致（如部分需求有的部門認為需體系解決，有的認為無需解決）1)抽樣選取3-4個業(yè)務部門，收集各部門識別的相關方清單、確定的需求列表、界定的體系解決需求范圍，對比分析是否存在不一致項；

2)針對不一致項（如“供應商是否為相關方”“客戶需求定義差異”），訪談對應部門負責人，了解不一致的原因；

3)檢查是否有因不一致導致的問題記錄（如因未識別供應商需求導致的合規(guī)風險事件）。1)抽樣業(yè)務部門的相關方清單、需求列表、體系解決需求界定表；

2)業(yè)務部門負責人訪談記錄（針對不一致項）；

3)因識別/確定/界定不一致導致的問題記錄（如合規(guī)風險事件報告、客戶投訴記錄）。3級1)與合規(guī)管理體系有關的相關方僅被部分確定（如僅識別外部相關方，未識別內部員工、管理層）、相關方需求僅被部分確定（如僅確定客戶的產(chǎn)品合規(guī)需求，未確定其數(shù)據(jù)安全需求）、體系解決需求僅被部分界定（如僅界定客戶需求需體系解決，未界定監(jiān)管機構需求）；

2)僅在某些業(yè)務活動（如銷售業(yè)務）中識別相關方并考慮其要求和關切，其他業(yè)務活動（如行政、財務）未開展。1)核查組織已有的相關方清單，對照“內部+外部”相關方分類（內部：員工、管理層、股東；外部：客戶、供應商、監(jiān)管機構、行業(yè)協(xié)會），判斷是否存在遺漏類別；

2)針對已識別的相關方（如客戶），檢查需求記錄是否覆蓋“合規(guī)義務相關需求”（如產(chǎn)品合規(guī)、數(shù)據(jù)安全、合同合規(guī)），判斷是否存在需求缺失；

3)檢查體系解決需求的界定文件，確認是否僅覆蓋部分相關方需求，未覆蓋監(jiān)管機構、員工等關鍵相關方需求；

4)抽樣選取已實施（銷售）和未實施（行政）業(yè)務部門，對比其業(yè)務活動記錄，確認未實施部門是否未開展相關工作。1)組織已有的相關方清單、相關方需求記錄；

2)體系解決需求界定文件（如《相關方需求-體系解決映射表》）；

3)銷售部門（已實施）、行政部門（未實施）的業(yè)務活動記錄（如銷售業(yè)務流程記錄、行政部門工作計劃）；

4)相關方需求缺失導致的潛在風險分析記錄（如有）。4級與合規(guī)管理體系有關的相關方（內部+外部所有類別）已針對所有相關業(yè)務確定（如銷售、采購、生產(chǎn)、行政等業(yè)務均識別相關方）；

相關方的有關需求（所有合規(guī)義務相關需求）已針對所有相關業(yè)務確定；

哪些需求通過合規(guī)管理體系解決已針對所有相關業(yè)務界定；

已對相關方、需求及體系解決范圍開展主動管理（如定期檢查需求變化、及時調整體系解決措施）1)覆蓋所有業(yè)務部門，檢查每個部門的相關方識別記錄，確認是否均包含內部+外部相關方，且無類別遺漏；

2)核查所有相關方的需求記錄，確認是否覆蓋“法律法規(guī)要求、監(jiān)管要求、行業(yè)規(guī)范、倫理準則”等合規(guī)義務相關需求，且無關鍵需求缺失；

3)檢查《相關方需求-體系解決映射表》，確認所有相關方需求均已界定“是否由體系解決”，且界定邏輯清晰（如基于合規(guī)風險等級）；

4)查閱主動管理記錄（如季度相關方需求評審會議紀要、需求變化跟蹤表），確認是否定期跟蹤并調整1)所有業(yè)務部門的相關方識別記錄（如部門相關方清單）；

2)所有相關方的需求記錄（如監(jiān)管要求臺賬、客戶合規(guī)需求清單、員工合規(guī)需求問卷結果）；

3)《相關方需求-體系解決映射表》；

4)主動管理記錄（季度相關方需求評審紀要、需求變化跟蹤表）；

5)相關方需求管理的成效記錄（如因主動管理避免的合規(guī)風險事件報告）5級與合規(guī)管理體系有關的相關方、其需求及體系解決范圍已基于全面分析確定，分析內容包括對法律（如當?shù)睾弦?guī)法規(guī)）、文化（如區(qū)域商業(yè)習俗）、技術（如數(shù)字化轉型需求）和業(yè)務環(huán)境（如業(yè)務拓展方向）的考慮；已根據(jù)內外部環(huán)境變化（如監(jiān)管政策更新、市場競爭加?。?，對相關方、需求及體系解決范圍進行評審和更新；組織內受影響的人員（如業(yè)務部門執(zhí)行人員、合規(guī)專員）參與相關方及需求的確定過程，并對其影響有清晰理解；已征詢外部相關方（如客戶、監(jiān)管機構、行業(yè)協(xié)會）意見，將其對合規(guī)管理體系的要求納入需求范圍。1)查閱相關方及需求的全面分析報告，確認是否包含“法律、文化、技術、業(yè)務環(huán)境”四維度分析內容（如分析當?shù)胤ㄒ?guī)對監(jiān)管機構需求的影響、區(qū)域文化對客戶需求的影響）；

2)核查內外部環(huán)境變化后的評審更新記錄（如監(jiān)管政策更新后對監(jiān)管機構需求的修訂報告、市場競爭加劇后對客戶需求的補充分析）；

3)訪談組織內受影響人員（業(yè)務執(zhí)行人員、合規(guī)專員），了解是否參與過相關方/需求確定工作，能否清晰闡述相關方需求對自身工作的影響；

4)檢查外部相關方意見征詢記錄（如客戶合規(guī)需求座談會紀要、監(jiān)管機構溝通函件、行業(yè)協(xié)會反饋意見），確認是否將其意見納入需求范圍。1)相關方及需求全面分析報告（含法律、文化、技術、業(yè)務環(huán)境分析章節(jié)）；

2)內外部環(huán)境變化后的評審更新記錄（監(jiān)管政策修訂報告、市場競爭需求補充分析）；

3)組織內受影響人員（業(yè)務執(zhí)行人員、合規(guī)專員）訪談記錄及參與工作的簽到表/會議紀要；

4)外部相關方意見征詢記錄（客戶座談會紀要、監(jiān)管溝通函件、行業(yè)協(xié)會反饋）；

5)納入外部意見后的需求更新文件（如修訂后的客戶需求清單、監(jiān)管需求臺賬）。GB∕T35770-2022合規(guī)管理體系之“4.3確定合規(guī)管理體系的范圍”過程有效性評價操作指引表4.3-1：與“4.3確定合規(guī)管理體系的范圍”相關的方針和程序、行為和文化評價操作指引4.3條文級別內容描述具體評價操作要點評價所需要的文件和記錄4.3確定合規(guī)管理體系的范圍組織應確定合規(guī)管理體系的邊界和適用性，以確立其范圍。注：合規(guī)管理體系的范圍旨在理清組織面臨的主要合規(guī)風險，以及合規(guī)管理體系適用的地理和/或組織邊界，尤其當組織是較大實體的一部分時。組織應根據(jù)以下內容確定合規(guī)管理體系的范圍：-4.1提及的內部和外部因素；-4.2、4.5和4.6提及的需求。范圍應作為文件化信息可獲取。1級未建立“確定合規(guī)管理體系范圍”的專門程序，未明確范圍確定的輸入要素（4.1內外部因素、4.2/4.5/4.6相關需求）、邊界界定方法及文件化要求。1)查閱組織合規(guī)管理體系程序文件，確認是否存在針對“確定合規(guī)管理體系范圍”的獨立程序或專項條款；

2)訪談合規(guī)職能人員及核心業(yè)務部門負責人，了解是否有明確的范圍確定流程；

3)檢查是否存在任何與范圍確定相關的策劃記錄，確認無相關程序支撐。1)組織合規(guī)管理體系程序文件（如《合規(guī)管理手冊》《合規(guī)體系策劃程序》）；

2)合規(guī)職能與業(yè)務部門負責人訪談記錄；

3)體系策劃階段的會議紀要、工作記錄。2級已建立“確定合規(guī)管理體系范圍”的程序，但程序不完整（如未明確4.1內外部因素的具體分析維度、未關聯(lián)4.2/4.5/4.6的需求輸入、未界定地理/組織邊界的判斷標準）；程序未在全業(yè)務活動中實施或實施不一致（如部分業(yè)務單元未參與范圍確定、地理邊界覆蓋不全）。1)評審范圍確定程序文件，檢查是否包含“輸入要素（4.1/4.2/4.5/4.6）、邊界界定方法、實施流程、文件化要求”等核心內容，識別缺失項；

2)抽查不同業(yè)務單元（如總部/分支機構、核心業(yè)務/支持業(yè)務）的范圍確定執(zhí)行記錄，判斷實施一致性；

3)驗證程序中是否明確“組織為較大實體一部分時的范圍劃分規(guī)則”，檢查是否落實。1)《合規(guī)管理體系范圍確定程序》及配套制度；

2)不同業(yè)務單元的范圍確定執(zhí)行記錄（如部門參與清單、邊界確認表）；

3)較大實體（如集團）的組織架構文件及范圍劃分相關溝通記錄。3級已建立全面的“確定合規(guī)管理體系范圍”程序，具體包括：

1)輸入要素：明確需納入4.1內外部因素（如政策法規(guī)、行業(yè)規(guī)范、組織戰(zhàn)略、相關方訴求）、4.2相關方需求、4.5合規(guī)義務、4.6合規(guī)風險的分析要求；

2)邊界界定：明確地理邊界（如國內/國際業(yè)務區(qū)域）、組織邊界（如總部/子公司/外包業(yè)務）的判斷標準及優(yōu)先級規(guī)則；

3)實施流程：規(guī)定范圍確定的責任部門（如合規(guī)部牽頭、業(yè)務部門配合）、時間節(jié)點（如體系建立/變更時）、評審機制；

4)文件化：要求形成《合規(guī)管理體系范圍說明書》，明確邊界、適用業(yè)務及排除項；

已創(chuàng)建并維護上述程序及范圍文件化信息，但未全面覆蓋外包/第三方業(yè)務的范圍界定。1)逐項評審范圍確定程序，驗證“輸入要素、邊界界定、實施流程、文件化”四大核心模塊的完整性；

2)檢查《合規(guī)管理體系范圍說明書》，確認是否清晰描述邊界（地理/組織）、適用業(yè)務及主要合規(guī)風險關聯(lián)關系；

3)訪談合規(guī)職能人員，了解程序中是否針對外包/第三方業(yè)務的范圍界定提出要求，驗證是否存在遺漏；

4)抽查范圍文件的維護記錄，確認信息是否最新（如近1年內是否有版本更新）。1)《合規(guī)管理體系范圍確定程序》（含流程框圖、責任分工表）；

2)《合規(guī)管理體系范圍說明書》（含版本記錄、審批記錄）；

3)4.1內外部因素分析報告、4.2相關方需求清單、4.5合規(guī)義務清單、4.6合規(guī)風險清單（作為范圍確定的輸入證據(jù)）；

4)范圍文件維護記錄（如版本更新日志、審批單）。4級第3級規(guī)定的全面程序已建立，并根據(jù)過往范圍確定實踐（如歷史變更案例、內外部審核反饋）進行調整優(yōu)化，具體包括：

1)補充外包業(yè)務、第三方合作過程的范圍界定要求（如明確外包業(yè)務納入范圍的判斷標準：風險等級、管控責任歸屬）；

2)新增“范圍重新確定”觸發(fā)條件：組織內外部環(huán)境發(fā)生重大變化（如業(yè)務擴張、法規(guī)更新）、發(fā)生重大不合規(guī)事件時需啟動范圍評審；

3)完善文件化信息的更新機制：明確范圍變更時的評審流程、審批權限及通知路徑；

已創(chuàng)建、維護并更新上述程序及范圍文件化信息，確保覆蓋全業(yè)務場景。1)對比程序的歷史版本（如近2年的修訂記錄），驗證是否基于實踐反饋新增“外包/第三方范圍界定”“范圍重新確定觸發(fā)條件”等內容；

2)檢查外包/第三方業(yè)務的范圍界定記錄（如外包合同合規(guī)評審表、第三方業(yè)務范圍納入清單），確認程序落地情況；

3)抽查“范圍重新確定”的案例（如業(yè)務擴張、法規(guī)更新時），驗證是否按程序啟動評審并更新文件；

4)檢查范圍文件的分發(fā)記錄，確認相關業(yè)務部門（含外包管理部門）是否獲取最新版本。1)《合規(guī)管理體系范圍確定程序》修訂記錄（含修訂說明、審批意見）；

2)外包業(yè)務/第三方合作的范圍界定記錄（如合規(guī)評審表、范圍納入審批單）；

3)范圍重新確定的觸發(fā)事件記錄（如業(yè)務擴張方案、法規(guī)更新通知）、評審會議紀要、范圍文件更新版本；

4)范圍文件分發(fā)記錄（如部門簽收單、系統(tǒng)發(fā)布日志）。5級第3級規(guī)定的全面程序已建立并完全嵌入組織管理過程（如與戰(zhàn)略規(guī)劃、業(yè)務審批、體系評審流程深度融合），具體包括：

1)程序優(yōu)化：基于內外部環(huán)境變化（如全球化布局、監(jiān)管趨嚴）持續(xù)監(jiān)視和評價程序有效性，新增“跨區(qū)域業(yè)務范圍協(xié)同界定”“新興業(yè)務（如數(shù)字化業(yè)務）范圍預判”等要求；

2)目標導向：程序中明確范圍確定需對齊合規(guī)管理體系質量目標（如范圍覆蓋完整性、風險關聯(lián)準確性），并建立優(yōu)化機制；

3)動態(tài)管理：當組織業(yè)務、內外部環(huán)境變化及不合規(guī)發(fā)生時，自動觸發(fā)范圍重新評估流程（如通過合規(guī)風險預警系統(tǒng)聯(lián)動）；

4)文件化：范圍文件化信息實時更新，與組織架構圖、業(yè)務流程圖、合規(guī)義務清單動態(tài)關聯(lián)，確?？勺匪?；

5)已建立程序持續(xù)改進機制，確保適應內外部環(huán)境變化。1)評審組織戰(zhàn)略規(guī)劃流程、業(yè)務審批流程，驗證范圍確定程序是否作為前置環(huán)節(jié)（如業(yè)務新增前需先進行范圍界定）；

2)檢查跨區(qū)域業(yè)務（如跨國子公司）的范圍協(xié)同記錄，驗證是否按程序開展多維度邊界界定；

3)測試合規(guī)風險預警系統(tǒng)，確認是否能觸發(fā)范圍重新評估（如法規(guī)更新時自動推送范圍評審任務）；

4)驗證范圍文件與組織架構圖、業(yè)務流程圖的關聯(lián)關系，檢查是否實時同步更新；

5)查閱程序持續(xù)改進記錄（如年度評審報告、改進措施跟蹤表），確認有效性評價及優(yōu)化情況。1)組織戰(zhàn)略規(guī)劃文件、業(yè)務審批流程文件（含范圍確定前置要求）；

2)跨區(qū)域業(yè)務范圍協(xié)同界定記錄（如區(qū)域合規(guī)會議紀要、邊界確認函）；

3)合規(guī)風險預警系統(tǒng)觸發(fā)記錄、范圍重新評估任務單及完成記錄；

4)范圍文件與組織架構圖、業(yè)務流程圖的關聯(lián)更新日志；

5)程序年度評審報告、持續(xù)改進措施跟蹤表（含有效性評價數(shù)據(jù)）。表4.3-2：與“4.3確定合規(guī)管理體系的范圍”相關的“結果和影響”評價操作指引4.3條文級別內容描述具體評價操作要點評價所需要的文件和記錄4.3確定合規(guī)管理體系的范圍組織應確定合規(guī)管理體系的邊界和適用性，以確立其范圍。注：合規(guī)管理體系的范圍旨在理清組織面臨的主要合規(guī)風險，以及合規(guī)管理體系適用的地理和/或組織邊界，尤其當組織是較大實體的一部分時。組織應根據(jù)以下內容確定合規(guī)管理體系的范圍：-4.1提及的內部和外部因素；-4.2、4.5和4.6提及的需求。范圍應作為文件化信息可獲取。1級未確定合規(guī)管理體系的范圍，未形成任何關于邊界、適用性、主要合規(guī)風險關聯(lián)的成果；無范圍相關文件化信息。1)檢查組織是否存在《合規(guī)管理體系范圍說明書》及任何邊界界定記錄，確認無相關成果；

2)訪談最高管理者、合規(guī)負責人，了解是否明確合規(guī)管理體系的覆蓋范圍，確認無清晰認知；

3)評估合規(guī)管理活動（如培訓、審核）的覆蓋范圍，確認無明確邊界導致活動無序開展。1)合規(guī)管理體系文件清單（確認無范圍相關文件）；

2)最高管理者、合規(guī)負責人訪談記錄；

3)合規(guī)培訓記錄、內部審核計劃（驗證無明確覆蓋邊界）。2級僅偶爾確定合規(guī)管理體系范圍（如僅在體系建立初期確定1次），且范圍確定結果不一致（如不同業(yè)務部門對邊界理解差異大、地理覆蓋時有時無）；未關聯(lián)4.1/4.2/4.5/4.6需求，未理清主要合規(guī)風險。1)檢查范圍確定記錄，確認是否僅在特定節(jié)點（如體系認證時）開展，無定期維護；

2)抽查不同業(yè)務部門的合規(guī)管理實踐（如風險識別清單、合規(guī)檢查范圍），對比是否與“已確定范圍”一致，識別差異；

3)驗證范圍確定結果是否引用4.1內外部因素分析、4.5合規(guī)義務清單，確認無關聯(lián)；

4)檢查范圍與主要合規(guī)風險的對應關系，確認未理清。1)歷史范圍確定記錄（如體系認證時的范圍文件）；

2)不同業(yè)務部門的合規(guī)風險識別清單、合規(guī)檢查報告；

3)4.1內外部因素分析報告、4.5合規(guī)義務清單（驗證未作為范圍輸入）。3級僅對組織的特定業(yè)務領域（如核心業(yè)務）或發(fā)生不合規(guī)事件的領域確定范圍；范圍覆蓋不完整（如未包含支持業(yè)務、區(qū)域分支機構）；已初步關聯(lián)4.1/4.2/4.5/4.6部分需求，但2)未全面理清主要合規(guī)風險；已形成基礎范圍文件化信息，但更新不及時1)對比組織完整業(yè)務清單（含核心/支持業(yè)務、區(qū)域分支機構），檢查范圍覆蓋的完整性，識別未納入領域；

2)檢查不合規(guī)事件記錄，驗證是否僅在事件發(fā)生后補充確定對應領域范圍；

3)評審范圍文件，確認是否僅引用部分4.1/4.2/4.5/4.6需求（如僅考慮法規(guī)要求，未考慮相關方訴求）；

4)檢查范圍文件的更新時間，確認是否超過1年未更新1)組織完整業(yè)務清單、區(qū)域分支機構清單；

2)不合規(guī)事件記錄及后續(xù)范圍補充確定記錄；

3)范圍文件（含輸入需求引用清單）；

4)范圍文件版本更新日志。4級已對組織全業(yè)務領域（含核心/支持業(yè)務、區(qū)域分支機構）確定范圍，清晰界定地理/組織邊界；已全面關聯(lián)4.1/4.2/4.5/4.6需求，理清主要合規(guī)風險與范圍的對應關系；當組織業(yè)務活動、內外部環(huán)境變更及不合規(guī)發(fā)生時，已及時重新確定范圍；范圍確定結果已作為制定合規(guī)義務履行措施的輸入；已保持范圍文件化信息最新。1)驗證范圍文件是否覆蓋全業(yè)務領域，地理/組織邊界描述是否清晰（如明確子公司、外包業(yè)務的納入/排除理由）；

2)檢查范圍確定過程記錄，確認是否全面引用4.1內外部因素、4.2相關方需求、4.5合規(guī)義務、4.6合規(guī)風險分析結果；

3)抽查業(yè)務變更（如新增產(chǎn)品線）、環(huán)境變更（如法規(guī)更新）、不合規(guī)事件的案例，驗證是否及時啟動范圍重新確定；

4)檢查合規(guī)義務履行措施文件（如風險應對計劃），確認是否引用范圍確定結果作為輸入。1)《合規(guī)管理體系范圍說明書》（含邊界界定說明）；

2)范圍確定過程記錄（含輸入需求引用清單、風險關聯(lián)分析表）；

3)業(yè)務變更/環(huán)境變更/不合規(guī)事件的范圍重新確定記錄（如評審紀要、范圍更新版本）；

4)合規(guī)義務履行措施文件（如風險應對計劃、合規(guī)控制方案）。5級已按照程序定期（如每年1次）確定合規(guī)管理體系范圍，全面覆蓋外包業(yè)務、第三方合作過程；已根據(jù)合規(guī)風險影響程度及發(fā)生可能性，將范圍與合規(guī)風險分類、優(yōu)先級綁定；范圍確定結果已作為資源分配的輸入，用于制定/實施/維護戰(zhàn)略及運行措施；已監(jiān)視“內外部環(huán)境實質性變更與體系修訂”的時間間隔，確保及時重新確定范圍；已根據(jù)風險監(jiān)視結果優(yōu)化范圍及相關系統(tǒng)；已創(chuàng)建并維護范圍與風險、資源、措施的關聯(lián)文件化信息。1)檢查外包業(yè)務、第三方合作過程的范圍納入記錄，驗證是否按程序全覆蓋；

2)評審合規(guī)風險分類及優(yōu)先級清單，確認是否與范圍邊界關聯(lián)（如高風險業(yè)務優(yōu)先納入范圍核心區(qū)）；

3)檢查資源分配計劃（如合規(guī)預算、人員配置），確認是否根據(jù)范圍及風險優(yōu)先級制定；

4)統(tǒng)計“內外部環(huán)境變更（如法規(guī)發(fā)布）至范圍重新確定”的時間間隔，驗證是否符合程序要求（如不超過30天）；

5)檢查合規(guī)風險監(jiān)視報告，確認是否根據(jù)結果優(yōu)化范圍（如低風險業(yè)務調整范圍邊界）；

6)驗證范圍文件與風險清單、資源計劃、措施文件的關聯(lián)關系，確認可追溯。1)外包業(yè)務/第三方合作范圍納入記錄（含風險評估表）；

2)合規(guī)風險分類及優(yōu)先級清單（含范圍關聯(lián)說明）；

3)合規(guī)資源分配計劃（含范圍及風險優(yōu)先級引用依據(jù)）；

4)內外部環(huán)境變更記錄、范圍重新確定時間跟蹤表；

5)合規(guī)風險監(jiān)視報告、范圍優(yōu)化記錄；

6)范圍文件與風險清單、資源計劃、措施文件的關聯(lián)索引表。GB∕T35770-2022合規(guī)管理體系之“4.4合規(guī)管理體系”過程有效性評價操作指引表4.4-1：與“4.4合規(guī)管理體系”相關的方針和程序、行為和文化評價操作指引4.4條文級別內容描述具體評價操作要點評價所需要的文件和記錄組織根據(jù)本文件的要求，應建立、實施、維護和持續(xù)改進合規(guī)管理體系，包括所需的過程及其相互作用。合規(guī)管理體系應反映組織的價值觀、目標、戰(zhàn)略和合規(guī)風險，并且應結合組織環(huán)境(見4.1)。1級1)方針和程序：幾乎未建立合規(guī)管理體系的過程框架，或已有的過程（如體系策劃、過程界定、與價值觀/戰(zhàn)略結合）嚴重不完整；未明確合規(guī)管理體系所需的核心過程（如合規(guī)義務識別、風險評估、運行控制、績效評價）及其相互作用；未考慮組織環(huán)境（4.1，含內部/外部因素、相關方需求）；無統(tǒng)一的體系建立、實施、維護程序。

2)行為和文化：組織內部人員行為無任何與合規(guī)管理體系程序相關的一致性表現(xiàn)；人員未感知組織價值觀、合規(guī)要求對行為的指引；無主動遵循合規(guī)要求的意識，行為隨機且無合規(guī)導向。1)訪談最高管理者、合規(guī)職能負責人（如存在），確認是否啟動合規(guī)管理體系建立工作，是否有體系策劃記錄；

2)查閱是否存在合規(guī)管理體系手冊、過程文件（如程序文件、過程流程圖），確認是否界定核心過程及相互作用；

3)訪談各業(yè)務部門人員，了解是否知曉任何合規(guī)管理程序，觀察人員日常行為是否有統(tǒng)一合規(guī)指引；

4)檢查是否有考慮組織環(huán)境（4.1）的分析文件，確認體系是否結合內外部因素、相關方需求。1)無合規(guī)管理體系手冊、核心過程文件（如無義務識別、風險評估程序）；

2)訪談記錄（顯示最高管理者未部署體系建立，業(yè)務人員無合規(guī)程序認知）；

3)現(xiàn)場觀察記錄（人員行為無合規(guī)一致性，無價值觀/合規(guī)要求指引）；

4)無組織環(huán)境（4.1）分析文件或體系與環(huán)境結合的證據(jù)。2級1)方針和程序：已建立部分合規(guī)管理體系過程（如僅合規(guī)風險評估程序），但實施不一致（如部分部門執(zhí)行、部分不執(zhí)行）；未正式界定所有核心過程及其相互作用（如未明確運行控制與績效評價的銜接）；體系要求未統(tǒng)一傳達（如不同部門有獨立做法，無統(tǒng)一文件）；體系與組織價值觀、目標、戰(zhàn)略的結合不明確；對組織環(huán)境（4.1）的考慮零散且不系統(tǒng)。

2)行為和文化：人員對部分合規(guī)程序（如風險評估）有一定了解，但未系統(tǒng)執(zhí)行（如僅偶爾開展風險評估）；行為未穩(wěn)定反映合規(guī)要求，部分人員遵循、部分人員忽視；未形成初步合規(guī)行為習慣，合規(guī)意識僅停留在“知曉”層面，未轉化為行動。1)查閱已有的合規(guī)管理文件（如零散程序），確認過程覆蓋范圍，檢查是否有統(tǒng)一傳達記錄（如培訓、文件分發(fā)記錄）；

2)訪談不同部門人員，對比各部門對合規(guī)程序的理解和執(zhí)行情況，識別不一致性；

3)檢查體系文件是否提及組織價值觀、目標、戰(zhàn)略，確認關聯(lián)性描述是否缺失；

4)查閱組織環(huán)境（4.1）分析材料，確認體系是否僅部分參考環(huán)境因素（如僅考慮外部法規(guī)，忽略內部文化）。1)零散的合規(guī)程序文件（如僅《合規(guī)風險評估程序》，無運行控制、持續(xù)改進程序）；

2)部門訪談記錄（顯示程序執(zhí)行差異，如A部門每月做風險評估，B部門每季度做）；

3)無體系文件與價值觀/目標/戰(zhàn)略的關聯(lián)說明；

4)部分組織環(huán)境分析記錄（如僅外部法規(guī)清單，無內部因素分析）；

5)合規(guī)培訓記錄（顯示僅部分人員接受培訓，無統(tǒng)一傳達證據(jù)）。3級1)方針和程序：已建立完整的合規(guī)管理體系并形成文件化信息（如體系手冊、核心過程文件、過程接口圖），明確所需過程（義務識別、風險評估、運行控制、績效評價、持續(xù)改進）及其相互作用；體系文件反映組織價值觀、目標、戰(zhàn)略和合規(guī)風險的核心內容；考慮組織環(huán)境（4.1）的主要因素（如內部文化、外部法規(guī)、關鍵相關方需求）；但未通過內部審核、管理評審等評估方式確認體系是否滿足GB/T35770-2022要求及組織自身需求。

2)行為和文化：人員行為開始反映合規(guī)措施（如按程序開展義務識別、風險評估），但在行為一致性（如不同崗位執(zhí)行深度差異）和有效性（如風險評估未落地管控）方面有較大改進空間；初步形成合規(guī)意識，部分管理人員主動推動合規(guī)行為，但未普及至全體人員。1)查閱合規(guī)管理體系手冊、過程文件、過程接口圖，確認核心過程及相互作用的界定完整性，檢查價值觀/目標/戰(zhàn)略的融入情況；

2)訪談合規(guī)職能人員、業(yè)務部門負責人，了解體系文件是否參考組織環(huán)境（4.1）分析結果，確認未開展體系有效性評估（如無內部審核計劃）；

3)現(xiàn)場觀察不同崗位人員執(zhí)行合規(guī)程序的情況，識別行為一致性差異（如基層員工vs管理層）；

4)檢查是否有合規(guī)行為引導措施（如合規(guī)宣傳、簡單培訓），確認覆蓋范圍。1)合規(guī)管理體系手冊（含過程界定、接口描述、價值觀/目標/戰(zhàn)略關聯(lián)說明）；

2)核心過程文件（義務識別、風險評估、運行控制等程序）；

3)組織環(huán)境（4.1）分析報告（含內外部因素、相關方需求）；

4)訪談記錄（顯示未開展體系有效性評估）；

5)合規(guī)宣傳/培訓記錄（部分覆蓋人員）；

6)現(xiàn)場觀察記錄（行為執(zhí)行一致性差異）。4級1)方針和程序：合規(guī)管理體系過程已融入組織現(xiàn)有業(yè)務過程（如合規(guī)義務識別嵌入業(yè)務流程策劃），通過監(jiān)視（如月度合規(guī)績效跟蹤）、測量（如合規(guī)目標達成率統(tǒng)計）和評價（如季度內部審核）確保過程有效運行；明確核心過程及其相互作用的管控機制（如過程接口責任部門、異常處理流程）；體系動態(tài)反映組織價值觀、目標、戰(zhàn)略和合規(guī)風險的變化（如戰(zhàn)略調整后體系同步修訂）；系統(tǒng)結合組織環(huán)境（4.1），定期評審環(huán)境適配性（如半年一次環(huán)境分析與體系匹配度檢查）。

2)行為和文化：主動通過績效反饋、行為監(jiān)測等方式管理人員行為以符合合規(guī)程序；通過持續(xù)評價（如行為合規(guī)性檢查）和主動調整（如針對性培訓、流程優(yōu)化）增強合規(guī)性，降低合規(guī)風險；道德行為文化初步形成（如鼓勵舉報不合規(guī)行為），人員行為一致性和有效性顯著提升，管理層帶頭踐行合規(guī)，員工主動遵循。1)查閱體系與業(yè)務流程整合文件（如業(yè)務流程內嵌合規(guī)節(jié)點的流程圖），檢查過程相互作用的管控機制（如接口責任清單）；

2)檢查監(jiān)視測量記錄（如合規(guī)績效報表、目標達成率數(shù)據(jù)）、內部審核報告，確認體系評價的規(guī)律性；

3)訪談管理層，了解價值觀/目標/戰(zhàn)略變化后體系的修訂情況（如戰(zhàn)略擴張后體系范圍調整）；

4)查閱組織環(huán)境評審記錄（如半年一次的環(huán)境-體系匹配度報告），確認適配性管理；

5)檢查行為管理措施（如合規(guī)績效與考核掛鉤、舉報機制），訪談員工了解行為自覺性。1)體系與業(yè)務流程整合文件（如含合規(guī)節(jié)點的業(yè)務流程圖、過程接口責任清單）；

2)監(jiān)視測量記錄（合規(guī)績效報表、目標達成率統(tǒng)計）；

3)內部審核報告、管理評審報告（含體系有效性評價）；

4)體系修訂記錄（對應價值觀/目標/戰(zhàn)略變化）；

5)組織環(huán)境-體系匹配度評審報告；

6)行為管理文件（合規(guī)績效考核辦法、舉報機制文件）；

7)員工訪談記錄（行為自覺性反饋）。5級1)方針和程序：合規(guī)管理體系過程完全融入組織核心業(yè)務過程（如合規(guī)風險管控成為業(yè)務決策前置環(huán)節(jié)），建立閉環(huán)持續(xù)改進機制（如基于審核發(fā)現(xiàn)→制定糾正措施→驗證效果→更新體系）；動態(tài)優(yōu)化核心過程及其相互作用（如數(shù)字化工具提升過程銜接效率）；體系實時反映組織價值觀、目標、戰(zhàn)略和合規(guī)風險的動態(tài)變化（如戰(zhàn)略轉型后體系快速適配）；結合組織環(huán)境（4.1）建立實時響應機制（如外部法規(guī)更新24小時內觸發(fā)體系條款評審），通過糾正措施確保體系持續(xù)有效。

2)行為和文化：通過持續(xù)監(jiān)視（如實時行為合規(guī)監(jiān)測系統(tǒng)）、多渠道反饋（如員工意見箱、第三方評估）和動態(tài)調整（如個性化合規(guī)指引），將合規(guī)措施全面嵌入組織行為；人員行為自覺符合合規(guī)程序，道德行為文化成為組織文化核心（如合規(guī)成為晉升重要考量）；行為一致性和有效性達到最佳，員工主動識別合規(guī)改進機會，形成“全員合規(guī)”氛圍。1)查閱體系與核心業(yè)務整合證據(jù)（如業(yè)務決策會議合規(guī)風險前置評審記錄），檢查持續(xù)改進閉環(huán)記錄（糾正措施報告、效果驗證報告）；

2)檢查過程優(yōu)化記錄（如數(shù)字化工具應用方案、過程效率提升數(shù)據(jù)），確認體系對戰(zhàn)略變化的實時響應（如戰(zhàn)略轉型后體系修訂時效）；

3)查閱組織環(huán)境實時響應機制文件（如法規(guī)更新觸發(fā)流程）及執(zhí)行記錄（如法規(guī)更新后體系評審記錄）；

4)檢查行為監(jiān)測系統(tǒng)數(shù)據(jù)、多渠道反饋記錄，訪談員工了解改進建議提交情況；

5)查閱晉升考核文件，確認合規(guī)表現(xiàn)的權重，驗證道德文化融入程度。1)業(yè)務決策合規(guī)前置評審記錄、體系-業(yè)務整合方案；

2)持續(xù)改進閉環(huán)記錄（審核發(fā)現(xiàn)報告、糾正措施計劃、效果驗證報告）；

3)過程優(yōu)化文件（數(shù)字化工具應用方案、效率數(shù)據(jù)）；

4)體系實時修訂記錄（戰(zhàn)略轉型/法規(guī)更新后的體系文件）；

5)組織環(huán)境實時響應機制文件及執(zhí)行記錄；

6)行為監(jiān)測系統(tǒng)數(shù)據(jù)、員工反饋記錄、改進建議采納記錄；

7)晉升考核文件（含合規(guī)表現(xiàn)權重）、全員合規(guī)文化建設方案及實施記錄。表4.4-2：與“4.4合規(guī)管理體系”相關的“結果和影響”評價操作指引條文級別內容描述具體評價操作要點評價所需要的文件和記錄組織根據(jù)本文件的要求，應建立、實施、維護和持續(xù)改進合規(guī)管理體系，包括所需的過程及其相互作用。合規(guī)管理體系應反映組織的價值觀、目標、戰(zhàn)略和合規(guī)風險，并且應結合組織環(huán)境(見4.1)。1級無合規(guī)管理體系運行的明顯影響或可識別結果；體系未對組織價值觀、目標、戰(zhàn)略產(chǎn)生任何支撐作用；未體現(xiàn)合規(guī)風險管控效果（如無任何風險降低或規(guī)避的案例）；未結合組織環(huán)境（4.1）產(chǎn)生可觀測的運行結果（如未響應相關方合規(guī)需求）。1)訪談最高管理者、合規(guī)職能（如存在），確認是否有體系運行后的任何結果反饋（如風險變化、目標進展）；

2)查閱是否存在合規(guī)績效報告、風險管控記錄，確認無任何可量化或定性的體系運行結果；

3)訪談關鍵相關方（如客戶、監(jiān)管機構），了解是否感知組織合規(guī)管理的影響；

4)檢查是否有體系與組織環(huán)境（4.1）結合的結果證據(jù)（如未響應相關方需求的記錄）。1)無合規(guī)績效報告、合規(guī)風險管控記錄；

2)管理層/合規(guī)職能訪談記錄（顯示無體系運行結果）；

3)相關方訪談記錄（未感知合規(guī)管理影響）；

4)無體系與組織環(huán)境結合的結果證據(jù)（如未處理相關方合規(guī)訴求的記錄）。2級合規(guī)管理體系運行結果不一致（如部分業(yè)務單元有合規(guī)風險降低結果，部分無）；與組織目標的對齊是偶然的（如未通過體系策劃實現(xiàn)目標，僅隨機達成）；未穩(wěn)定支撐組織價值觀、戰(zhàn)略（如僅個別項目體現(xiàn)價值觀，無持續(xù)性）；合規(guī)風險管控效果不穩(wěn)定（如同一風險時而管控、時而失控）；未系統(tǒng)結合組織環(huán)境（4.1）產(chǎn)生持續(xù)結果（如偶爾響應相關方需求，無常態(tài)化機制）。1)收集各業(yè)務單元合規(guī)績效數(shù)據(jù)（如合規(guī)事件發(fā)生率、風險降低率），分析結果一致性；

2)對比合規(guī)目標與實際達成情況，訪談業(yè)務負責人確認目標對齊是否為體系策劃結果（非偶然）；

3)查閱合規(guī)風險管控記錄（如同一風險的多次發(fā)生記錄），評估管控穩(wěn)定性；

4)檢查相關方需求響應記錄，確認是否為偶然響應（如無定期響應機制）。1)各業(yè)務單元零散的合規(guī)績效數(shù)據(jù)（如A部門合規(guī)事件減少，B部門無變化）；

2)合規(guī)目標文件、目標達成分析記錄（顯示對齊為偶然）；

3)合規(guī)風險重復發(fā)生記錄（如同一違規(guī)行為多次出現(xiàn)）；

4)零散的相關方需求響應記錄（無定期機制文件）；

5)業(yè)務負責人訪談記錄（確認目標對齊非體系策劃）。3級合規(guī)管理體系運行結果與組織目標僅松散對齊（如50%-70%目標達成，偏差無系統(tǒng)改進）；在體系范圍內不具有一致性（如總部與分支機構結果差異顯著）；對組織價值觀、戰(zhàn)略的支撐作用有限（如僅支撐短期戰(zhàn)略，無長期貢獻）；合規(guī)風險管控有一定效果（如高風險領域無重大事件，但中低風險管控不足）；結合組織環(huán)境（4.1）產(chǎn)生的結果深度不足（如僅響應核心相關方需求，忽略次要相關方）。1)開展合規(guī)目標達成率統(tǒng)計（如KPI完成情況），分析偏差原因（如無改進措施）；

2)對比總部與分支機構、不同業(yè)務線的合規(guī)結果（如合規(guī)績效排名），識別一致性差異；

3)查閱戰(zhàn)略支撐分析報告（如合規(guī)對長期戰(zhàn)略的貢獻評估），確認支撐局限性；

4)檢查合規(guī)風險分級管控記錄（如高/中/低風險管控效果數(shù)據(jù)）；

5)訪談次要相關方（如供應商、社區(qū)），了解需求響應情況。1)合規(guī)目標達成率報告、偏差分析記錄（無系統(tǒng)改進措施）；

2)總部與分支機構合規(guī)績效對比表、業(yè)務線合規(guī)結果排名；

3)合規(guī)戰(zhàn)略支撐分析報告（顯示僅支撐短期戰(zhàn)略）；

4)合規(guī)風險分級管控記錄（高風險管控有效，中低風險不足）；

5)次要相關方訪談記錄（需求響應不足）；

6)組織環(huán)境（4.1）相關方需求清單（次要相關方未覆蓋）。4級合規(guī)管理體系運行結果與既定目標完全對齊（如90%以上目標達成，偏差有及時改進）；結果完全融入組織過程（如合規(guī)績效與業(yè)務績效同步考核、同步匯報）；有效支撐組織價值觀、目標和戰(zhàn)略（如合規(guī)成為長期戰(zhàn)略落地的關鍵保障，體現(xiàn)組織社會責任價值觀）；合規(guī)風險得到有效管控（如高/中風險領域無重大事件，低風險發(fā)生率顯著降低）；系統(tǒng)結合組織環(huán)境（4.1）產(chǎn)生持續(xù)穩(wěn)定結果（如定期響應所有相關方需求，適應內外部環(huán)境變化）。1)驗證合規(guī)目標達成率（90%以上）及偏差改進記錄（如糾正措施及時實施）；

2)檢查合規(guī)績效與業(yè)務績效整合證據(jù)（如合并績效報表、同步考核文件）；

3)查閱戰(zhàn)略落地報告（如合規(guī)對市場擴張、品牌建設的貢獻數(shù)據(jù)），確認價值觀體現(xiàn)（如社會責任合規(guī)案例）；

4)分析合規(guī)風險管控趨勢數(shù)據(jù)（如年度高/中/低風險發(fā)生率對比）；

5)檢查相關方需求定期響應記錄（如季度相關方滿意度調查）、環(huán)境變化后的結果調整記錄（如法規(guī)更新后合規(guī)結果適配）。1)合規(guī)目標達成率報告、偏差糾正措施記錄及效果驗證；

2)合規(guī)-業(yè)務合并績效報表、同步考核文件；

3)合規(guī)戰(zhàn)略支撐報告（含市場擴張/品牌建設貢獻數(shù)據(jù)）、社會責任合規(guī)案例；

4)年度合規(guī)風險管控趨勢分析表（高/中/低風險發(fā)生率）；

5)季度相關方滿意度調查記錄（含合規(guī)需求響應評分）；

6)環(huán)境變化后結果調整記錄（如法規(guī)更新后的合規(guī)績效適配報告）。5級合規(guī)管理體系運行結果被整合到持續(xù)改進反饋循環(huán)中（如結果分析→識別體系優(yōu)化點→實施改進→驗證結果提升），驅動體系持續(xù)適配組織環(huán)境（4.1）、價值觀、目標、戰(zhàn)略的變化；合規(guī)風險管控效果持續(xù)提升（如風險發(fā)生率逐年下降，風險應對效率提升）；對組織可持續(xù)發(fā)展產(chǎn)生積極影響（如品牌聲譽提升、合規(guī)溢價、監(jiān)管信任增強）；結果反哺組織戰(zhàn)略優(yōu)化（如基于合規(guī)結果調整市場布局、業(yè)務模式），形成“合規(guī)-戰(zhàn)略-績效”正向循環(huán)。1)檢查持續(xù)改進反饋循環(huán)記錄（如結果分析報告、體系優(yōu)化方案、改進后結果驗證數(shù)據(jù)）；

2)分析合規(guī)風險管控長期趨勢（如3年風險發(fā)生率、應對時效數(shù)據(jù)）；

3)收集組織可持續(xù)發(fā)展證據(jù)（如品牌排名、合規(guī)獎項、監(jiān)管表彰、客戶合規(guī)溢價協(xié)議）；

4)查閱戰(zhàn)略調整文件（如市場布局修訂、業(yè)務模式優(yōu)化），確認是否參考合規(guī)結果；

5)訪談最高管理者，了解“合規(guī)-戰(zhàn)略-績效”循環(huán)的運行情況及價值認知。1)持續(xù)改進反饋循環(huán)記錄（結果分析報告、體系優(yōu)化方案、驗證報告）；

2)3年合規(guī)風險管控趨勢表（發(fā)生率、應對時效）；

3)組織可持續(xù)發(fā)展證據(jù)（品牌排名報告、合規(guī)獎項證書、監(jiān)管表彰文件、合規(guī)溢價協(xié)議）；

4)戰(zhàn)略調整文件（含合規(guī)結果參考說明）；

5)最高管理者訪談記錄（確認“合規(guī)-戰(zhàn)略-績效”正向循環(huán)）；

6)年度合規(guī)價值評估報告（如合規(guī)對營收、聲譽的貢獻量化分析）。GB∕T35770-2022合規(guī)管理體系之“4.5合規(guī)義務”過程有效性評價操作指引表4.5-1：與“4.5合規(guī)義務”相關的方針和程序、行為和文化評價操作指引4.5條文級別內容描述具體評價操作要點評價所需要的文件和記錄4.5合規(guī)義務組織應系統(tǒng)識別來源于組織活動、產(chǎn)品和服務的合規(guī)義務，并評估其對運行所產(chǎn)生的影響。組織應建立過程以：a)識別新增及變更的合規(guī)義務，確保持續(xù)合規(guī)；b)評價已識別的變更的義務所產(chǎn)生的影響，并對合規(guī)義務管理實施必要的調整。組織應維護其合規(guī)義務的文件化信息。1級未建立任何與“系統(tǒng)識別合規(guī)義務、識別新增/變更合規(guī)義務、評價變更影響、維護文件化信息”相關的程序，完全未覆蓋4.5的全部要求。1)核查組織是否存在針對“合規(guī)義務識別、變更管理、影響評價、文件化維護”的專項程序文件（如《合規(guī)義務識別與管理程序》）；

2)訪談合規(guī)職能人員及業(yè)務部門負責人，確認是否有任何非正式的合規(guī)義務管理流程；

3)檢查是否有任何與合規(guī)義務相關的策劃記錄（如會議紀要、工作臺賬）。1)無相關程序文件；

2)無任何合規(guī)義務識別、變更管理的訪談記錄或工作痕跡；

3)無合規(guī)義務文件化信息（如清單、臺賬）。2級已建立部分與“4.5合規(guī)義務”相關的程序，但程序不完整（如僅覆蓋“合規(guī)義務識別”，未覆蓋“新增/變更識別”或“變更影響評價”）；或程序雖包含部分要求，但未在業(yè)務活動中實施（如僅書面規(guī)定，未在生產(chǎn)、銷售等環(huán)節(jié)落地），或實施不一致（如部分業(yè)務部門執(zhí)行，部分不執(zhí)行）。1)評審現(xiàn)有程序文件，確認是否完整覆蓋“系統(tǒng)識別義務（含活動/產(chǎn)品/服務來源）”“識別新增/變更觸發(fā)條件（如法規(guī)更新、業(yè)務擴張）”“評價變更影響的方法”“文件化信息維護”四項核心要求；

2)抽樣檢查業(yè)務部門（如生產(chǎn)部、銷售部）的實施記錄，判斷程序執(zhí)行的一致性（如是否均開展義務識別）；

3)訪談業(yè)務人員，確認是否知曉并執(zhí)行該程序。1)不完整的程序文件（如缺少“變更影響評價”章節(jié)的《合規(guī)義務管理程序》）；

2)零散的實施記錄（如僅某部門的義務識別表，無其他部門記錄）；

3)訪談記錄顯示部分人員不知曉程序要求。3級1)已建立全面覆蓋4.5要求的程序，具體包括：

-系統(tǒng)識別義務：明確從組織活動、產(chǎn)品、服務中識別合規(guī)義務的范圍（如生產(chǎn)環(huán)節(jié)的環(huán)保要求、銷售環(huán)節(jié)的反壟斷要求）；

-新增/變更識別：規(guī)定識別觸發(fā)條件（如每月法規(guī)掃描、業(yè)務變更前評審）及責任部門；

-變更影響評價：明確評價方法（如影響范圍、風險等級判定）；

-文件化維護：規(guī)定合規(guī)義務清單的更新頻率和保存要求。

2)已針對部分活動、產(chǎn)品和服務（如核心業(yè)務線）實施該程序，或僅在不合規(guī)事件發(fā)生后追溯實施，且已創(chuàng)建并維護初步的文件化信息（如基礎合規(guī)義務清單）。1)評審程序文件，確認是否包含上述4項核心內容，且明確“相關方要求分析”（如客戶合規(guī)要求、監(jiān)管機構規(guī)定）；

2)檢查實施記錄，確認是否覆蓋部分業(yè)務領域（如僅覆蓋國內業(yè)務，未覆蓋海外業(yè)務），或是否存在“不合規(guī)后追溯識別”的記錄（如某違規(guī)事件后補充的義務識別表）；

3)核查文件化信息（如合規(guī)義務清單）的完整性（是否包含義務來源、適用范圍、要求內容）及維護痕跡（如版本更新記錄）。1)完整的《合規(guī)義務識別與管理程序》（含相關方要求分析、范圍界定、文件化要求）；

2)部分業(yè)務領域的合規(guī)義務識別記錄（如核心產(chǎn)品的義務分析表）、不合規(guī)事件后追溯的識別記錄；

3)初步的合規(guī)義務清單（含基礎信息）及版本更新記錄。4級已建立符合3級要求的全面程序，并基于過往實踐（如歷史合規(guī)義務識別偏差、變更影響評價案例）對程序進行優(yōu)化調整（如更新法規(guī)掃描渠道、細化影響評價指標）；已根據(jù)既定時間表（如每月掃描法規(guī)、每季度更新清單），對源自所有活動、產(chǎn)品和服務的強制性合規(guī)義務（如法律法規(guī)、監(jiān)管要求）和部分自愿性合規(guī)義務（如行業(yè)自律規(guī)范、客戶約定）進行系統(tǒng)識別、維護和更新；已建立并動態(tài)更新文件化信息，且文件能反映“合規(guī)義務變更”及“應對調整措施”（如某法規(guī)更新后，清單中新增義務條目，并附應對措施說明）。1)評審程序文件的修訂記錄，確認是否基于過往實踐（如2023年不合規(guī)事件復盤報告）進行優(yōu)化；

2)核查時間表及執(zhí)行記錄（如每月法規(guī)掃描報告、每季度清單更新審批單），確認是否覆蓋所有業(yè)務領域的強制義務及部分自愿義務；

3)檢查合規(guī)義務清單及附件，確認是否包含“義務變更記錄”（如法規(guī)名稱、變更日期）和“應對調整措施”（如流程修訂、培訓計劃）；

4)訪談合規(guī)職能人員，確認對自愿性義務的篩選標準（如是否優(yōu)先納入客戶明確要求的義務）。1)程序文件修訂記錄（附過往實踐分析報告）；

2)既定時間表（如《2025年合規(guī)義務管理工作計劃》）、法規(guī)掃描報告、清單更新審批單；

3)動態(tài)更新的合規(guī)義務清單（含強制/部分自愿義務、變更記錄、應對措施）；

4)關于自愿性義務篩選標準的訪談記錄或書面說明。5級已建立符合3級要求的全面程序，并完全嵌入組織核心過程（如業(yè)務擴張決策流程、新產(chǎn)品研發(fā)流程）；對程序進行持續(xù)監(jiān)視（如每半年評估程序適用性）和評價（如結合外部審核意見優(yōu)化），持續(xù)改進以適應內外部環(huán)境變化（如法規(guī)更新頻繁時縮短掃描周期、海外業(yè)務擴張時增加當?shù)胤ㄒ?guī)識別模塊）；已根據(jù)既定時間表（尤其是業(yè)務活動變更/擴大決策時，如新增產(chǎn)品線、進入新市場前），對所有活動、產(chǎn)品和服務的強制性合規(guī)義務和任何自愿性合規(guī)義務（如行業(yè)最佳實踐、組織承諾的社會責任要求）進行全面識別、維護和更新；已創(chuàng)建并維護更新的文件化信息，該信息可向外部相關方（如監(jiān)管機構、客戶）證實組織持續(xù)跟進合規(guī)義務最新發(fā)展（如提供近3年義務清單更新軌跡、法規(guī)符合性證實）。1)評審組織核心流程文件（如《業(yè)務擴張決策管理辦法》《新產(chǎn)品研發(fā)流程》），確認合規(guī)義務識別與變更管理是否作為必要環(huán)節(jié)嵌入；

2)檢查程序監(jiān)視與評價記錄（如每半年程序適用性評估報告、外部審核整改記錄），確認是否根據(jù)環(huán)境變化（如某國法規(guī)修訂）調整程序；

3)核查業(yè)務變更/擴大決策記錄（如新增產(chǎn)品線可行性報告、海外市場準入分析），確認是否包含合規(guī)義務識別與影響評價內容；

4)檢查文件化信息（如合規(guī)義務清單及證實材料），確認是否可向外部相關方提供追溯（如包含義務來源鏈接、更新日期、審批人）；

5)訪談外部相關方（如客戶、監(jiān)管機構），確認是否認可組織文件化信息的有效性。1)完整的合規(guī)義務清單（含強制/所有自愿義務，且標注與流程/崗位/目標的對應關系）；2)第三方法規(guī)報告、行業(yè)合規(guī)分析等獨立數(shù)據(jù)分析材料；3)合規(guī)資源分配記錄（人員編制表、法規(guī)訂閱合同）；4)義務更新記錄及同步更新的合規(guī)風險評估報告；5)業(yè)務變更/擴大決策中的義務符合性分析報告（如新產(chǎn)品合規(guī)可行性分析）；6)可追溯的文件化信息（含義務來源、更新審批、版本軌跡）。表4.5-2：與“4.5合規(guī)義務”相關的“結果和影響”評價操作指引4.5條文級別內容描述具體評價操作要點評價所需要的文件和記錄4.5合規(guī)義務組織應系統(tǒng)識別來源于組織活動、產(chǎn)品和服務的合規(guī)義務，并評估其對運行所產(chǎn)生的影響。組織應建立過程以：a)識別新增及變更的合規(guī)義務，確保持續(xù)合規(guī)；b)評價已識別的變更的義務所產(chǎn)生的影響，并對合規(guī)義務管理實施必要的調整。組織應維護其合規(guī)義務的文件化信息。1級未確定任何來源于組織活動、產(chǎn)品和服務的合規(guī)義務，完全未滿足4.5“系統(tǒng)識別義務”的核心要求，無任何合規(guī)義務相關的結果輸出。1)核查組織是否存在任何形式的“合規(guī)義務清單”“義務識別表”等結果性文件；

2)訪談業(yè)務部門（如生產(chǎn)、銷售、研發(fā)）負責人，確認是否知曉本部門相關的合規(guī)義務（如環(huán)保、反壟斷、產(chǎn)品質量要求）；

3)檢查是否有因未識別義務導致的不合規(guī)事件記錄（如監(jiān)管處罰、客戶投訴），且無后續(xù)義務識別動作。1)無任何合規(guī)義務清單、識別表等結果文件；

2)訪談記錄顯示業(yè)務部門完全不知曉相關合規(guī)義務；

3)因未識別義務導致的不合規(guī)事件報告（如監(jiān)管處罰決定書），且無后續(xù)識別記錄。2級僅偶爾（如接到監(jiān)管提醒、發(fā)生輕微違規(guī)后）確定合規(guī)義務，且確定結果不一致（如同一類產(chǎn)品在不同時期識別的義務不同，無統(tǒng)一標準）；未評估義務對運行的影響，也未維護文件化信息。1)檢查零散的義務識別記錄（如某一次監(jiān)管提醒后的臨時識別表），確認是否存在“同一業(yè)務義務不一致”的情況（如2023年識別某產(chǎn)品需符合A標準，2025年未識別該標準）；

2)訪談合規(guī)及業(yè)務人員，確認義務識別是否無固定周期/標準，僅依賴外部觸發(fā)；

3)核查是否有義務影響評價記錄（如某義務對生產(chǎn)流程的影響分析），確認是否未開展影響評估。1)零散的臨時合規(guī)義務識別記錄（無統(tǒng)一格式/標準）；

2)訪談記錄顯示義務識別“無固定周期，僅外部觸發(fā)”；

3)無任何合規(guī)義務影響評價記錄。3級僅針對部分活動、產(chǎn)品和服務（如核心業(yè)務線、高風險領域）或僅在不合規(guī)事件發(fā)生后，確定了合規(guī)義務；已初步評估部分義務對運行的影響（如僅評估核心義務的影響）；文件化信息不完整（如僅記錄義務內容，無影響評估結果）。1)檢查合規(guī)義務識別記錄，確認是否僅覆蓋部分業(yè)務（如僅覆蓋國內生產(chǎn)業(yè)務，未覆蓋海外銷售業(yè)務），或僅在不合規(guī)后追溯識別（如某違規(guī)事件后補充的義務清單）；

2)核查影響評估記錄，確認是否僅針對核心義務（如環(huán)保、安全義務）開展評估，未覆蓋一般義務（如廣告合規(guī)義務）；

3)檢查文件化信息，確認是否缺少“影響評估結果”“義務適用范圍”等關鍵內容。1)部分業(yè)務領域的合規(guī)義務識別記錄（如核心產(chǎn)品義務清單）、不合規(guī)事件后追溯的識別記錄；

2)僅覆蓋核心義務的影響評估報告（如環(huán)保義務對生產(chǎn)流程的影響分析）；

3)不完整的文件化信息（如僅含義務名稱，無影響評估、適用范圍）。4級已確定并主動管理（如定期評審、動態(tài)調整應對措施）來源于所有活動、產(chǎn)品和服務的強制性合規(guī)義務和部分自愿性合規(guī)義務；已評價變更義務對運行的影響，并據(jù)此對合規(guī)義務管理實施調整（如某法規(guī)變更后，調整生產(chǎn)流程）；在合規(guī)風險評估中已考慮合規(guī)義務的變更（如風險評估報告中包含“義務變更導致的風險更新”章節(jié)）；已維護完整的文件化信息（含義務內容、影響評估、變更記錄）。1)檢查合規(guī)義務清單及管理記錄（如定期review紀要），確認是否覆蓋所有業(yè)務的強制義務及部分自愿義務，且有主動管理痕跡；

2)核查變更義務的影響評估報告及調整記錄（如某法規(guī)變更后，生產(chǎn)流程修訂文件），確認影響評估與管理調整的關聯(lián)性；

3)評審合規(guī)風險評估報告，確認是否包含“義務變更對風險等級的影響分析”（如某義務新增后，風險等級從“低”升至“中”）；

4)檢查文件化信息，確認是否完整包含義務內容、影響評估結果、變更記錄。1)覆蓋所有業(yè)務的合規(guī)義務清單（含強制/部分自愿義務）、定期review紀要；

2)變更義務的影響評估報告、管理調整記錄（如流程修訂文件、培訓計劃）；

3)包含“義務變更風險分析”的合規(guī)風險評估報告；

4)完整的文件化信息（含義務、影響、變更記錄）。5級已確定并記錄來源于所有活動、產(chǎn)品和服務的強制性合規(guī)義務和任何自愿性合規(guī)義務，且義務與組織運行相關方面（如流程、崗位、業(yè)務目標）完全匹配；基于獨立數(shù)據(jù)分析（如第三方法規(guī)數(shù)據(jù)庫、行業(yè)報告）確定義務，確保義務識別的客觀性；已為“全面、及時確定義務及影響”分配充足資源（如專職合規(guī)人員、法規(guī)訂閱服務）；定期更新義務確定結果，主動識別變更/新增義務及其對業(yè)務活動的影響，并將其納入合規(guī)風險評估（如每季度更新義務清單后，同