GB∕T35770-2022-2022合規(guī)管理體系之5：“8運行”過程有效性評價操作指引GB∕T35770-2022-2022合規(guī)管理體系之5：“8運行”過程有效性評價操作指引（雷澤佳編制-2025A0）GB∕T35770-2022-2022合規(guī)管理體系之“8.1運行的策劃和控制”過程有效性評價操作指引表8.1-1：與“8.1運行的策劃和控制”相關的方針和程序、行為和文化評價操作指引8.1條文級別內(nèi)容描述具體評價操作要點評價所需文件和記錄為滿足要求和實施第6章確定的措施，組織應通過以下方式策劃、實施和控制所需的過程：

-對過程確立準則；

-按照準則對過程實施控制；

文件化信息應根據(jù)必要程度可獲取，以便確認過程已按照策劃得到實施1級方針和程序：未建立“運行的策劃和控制”相關過程（如過程準則確立、按準則控制的程序），或已建立的過程大多不完整；無相關文件化信息管理程序；行為和文化：組織內(nèi)部人員的行為未反映出與“運行的策劃和控制”相關程序（若有）的任何一致性，人員普遍不了解過程準則及控制要求。1)訪談最高管理者、合規(guī)職能人員及業(yè)務部門負責人，確認是否存在“運行的策劃和控制”過程文件及實施情況；

2)檢查是否有過程準則文件（如合規(guī)相關過程的操作標準、控制要求）；

3)觀察業(yè)務部門日常操作，判斷是否存在符合準則的行為；

4)抽查人員對過程準則的知曉程度（如問卷、口頭提問）。1)無相關過程文件（如《運行策劃和控制程序》《過程準則文件》）；

2)無文件化信息管理記錄（如文件發(fā)放、借閱記錄）；

3)人員訪談記錄（證實無相關過程認知）。2級方針和程序：已建立“運行的策劃和控制”部分過程（如僅確立部分過程準則，或僅規(guī)定部分控制要求），程序未正式界定、未統(tǒng)一傳達（如僅口頭告知部分部門），文件化信息不完整或未統(tǒng)一管理；行為和文化：部分人員對“運行的策劃和控制”相關程序有一定理解，但未系統(tǒng)執(zhí)行（如僅少數(shù)部門按準則操作，多數(shù)部門隨意執(zhí)行）。1)評審已有的“運行策劃和控制”相關文件，判斷是否覆蓋過程準則確立、控制實施、文件化信息管理全環(huán)節(jié)；

2)檢查文件傳達記錄（如郵件、培訓簽到），確認是否統(tǒng)一傳達至所有相關部門；

3)分部門抽查過程執(zhí)行情況（如業(yè)務操作記錄），對比準則判斷執(zhí)行一致性；

4)訪談不同部門人員，了解對程序的理解差異。1)不完整的過程文件（如僅《某業(yè)務過程準則》，無整體控制程序）；

2)零散的文件傳達記錄（如僅某部門的培訓簽到）；

3)不同部門的過程執(zhí)行記錄（體現(xiàn)執(zhí)行不一致）。3級方針和程序：已建立完整的“運行的策劃和控制”過程（含過程準則確立、按準則控制、文件化信息管理），形成文件化信息（如正式的程序文件、準則匯編），但未通過評估（如內(nèi)部審核、有效性評價）確定是否滿足合規(guī)要求及組織目標；行為和文化：人員行為開始反映“運行的策劃和控制”合規(guī)措施（如多數(shù)部門按準則操作），但在一致性（如不同崗位執(zhí)行差異）和有效性（如準則執(zhí)行未達控制目標）方面仍有較大改進空間。1)評審《運行策劃和控制程序》《過程準則匯編》等文件，確認是否覆蓋8.1條款全部要求；

2)檢查是否有文件化信息的獲取記錄（如文件查閱權(quán)限設置、借閱登記）；

3)確認是否開展過過程有效性評估（如無評估報告、審核記錄）；

4)抽查多崗位過程執(zhí)行記錄，分析一致性；訪談人員了解執(zhí)行中的難點。1)完整的“運行策劃和控制”程序文件、過程準則文件；

2)文件化信息管理記錄（如文件發(fā)放、查閱記錄）；

3)過程執(zhí)行記錄（如業(yè)務操作日志、檢查記錄）；

4)無評估報告或?qū)徍擞涗洠ㄗC實未評估）。4級方針和程序：“運行的策劃和控制”過程已融入組織整體過程（如與業(yè)務流程、質(zhì)量管理體系銜接），建立監(jiān)視、測量和評價機制（如定期檢查、數(shù)據(jù)統(tǒng)計），文件化信息按規(guī)定管理并定期更新；行為和文化：積極管理人員行為以符合“運行的策劃和控制”標準程序（如通過日常監(jiān)督、定期培訓強化執(zhí)行），通過持續(xù)評價（如月度檢查）和主動調(diào)整（如優(yōu)化準則）增強合規(guī)性、降低風險。1)評審組織整體流程文件，確認“運行策劃和控制”與業(yè)務流程的銜接情況（如流程框圖、接口說明）；

2)檢查監(jiān)視測量記錄（如過程執(zhí)行率統(tǒng)計、準則符合率數(shù)據(jù)）及評價報告（如季度有效性評價）；

3)確認文件化信息更新記錄（如根據(jù)評價結(jié)果修訂準則的審批單）；

4)訪談監(jiān)督人員，了解行為管理措施（如獎懲記錄）。1)組織整體流程文件（體現(xiàn)“運行策劃和控制”融入）；

2)監(jiān)視測量記錄（如過程KPI報表）、評價報告；

3)文件化信息更新記錄（如準則修訂審批單）；

4)行為管理記錄（如培訓簽到、獎懲通知）。5級方針和程序：“運行的策劃和控制”過程深度融入組織過程，建立持續(xù)改進機制（如基于PDCA循環(huán)優(yōu)化程序），實施糾正措施（如針對評價發(fā)現(xiàn)的問題制定整改計劃）確保體系有效性，文件化信息動態(tài)更新并滿足各職能需求；行為和文化：通過持續(xù)監(jiān)視（如實時數(shù)據(jù)監(jiān)控）、反饋（如員工建議渠道）和調(diào)整，將“運行策劃和控制”合規(guī)措施全面嵌入組織行為（如人員自覺按準則操作，形成習慣）。1)評審持續(xù)改進記錄（如PDCA循環(huán)報告、整改計劃及驗證結(jié)果）；

2)檢查糾正措施實施記錄（如問題整改追蹤表、效果驗證報告）；

3)確認文件化信息動態(tài)更新記錄（如根據(jù)內(nèi)外部環(huán)境變化修訂準則的證據(jù)）；

4)評估人員行為習慣（如長期執(zhí)行記錄、員工滿意度調(diào)查中對合規(guī)措施的反饋）。1)持續(xù)改進報告、糾正措施整改記錄及驗證報告；

2)文件化信息動態(tài)更新記錄（如法規(guī)變化后準則修訂的審批單）；

3)實時監(jiān)視數(shù)據(jù)（如過程監(jiān)控系統(tǒng)報表）、員工反饋記錄；

4)長期過程執(zhí)行記錄（體現(xiàn)行為常態(tài)化）。組織應控制已策劃的變更，并評審非預期變更的后果，必要時采取措施減輕不利影響1級方針和程序：未建立“變更控制”相關過程（如無策劃變更的審批程序、非預期變更的評審流程）；行為和文化：組織對“運行的策劃和控制”相關變更無管理行為，策劃變更隨意實施（如未審批直接調(diào)整過程準則），非預期變更發(fā)生后無應對行為。1)訪談業(yè)務部門負責人，確認是否存在變更控制程序；

2)檢查是否有策劃變更的實施記錄（如準則調(diào)整記錄），判斷是否經(jīng)審批；

3)了解近1-2年內(nèi)是否發(fā)生非預期變更（如法規(guī)變化導致的過程調(diào)整），確認是否有評審及應對記錄。1)無《變更控制程序》；

2)無策劃變更審批記錄（如準則調(diào)整無簽字審批）；

3)非預期變更發(fā)生后的無評審記錄。2級方針和程序：已建立“變更控制”部分過程（如僅策劃變更審批程序，無非預期變更評審流程），程序未統(tǒng)一傳達，實施不一致（如部分變更經(jīng)審批，部分隨意實施）；行為和文化：部分人員了解策劃變更需審批，但執(zhí)行不嚴格（如緊急變更未補審批）；非預期變更發(fā)生后，少數(shù)人員嘗試應對，但無系統(tǒng)評審。1)評審已有的變更控制文件，判斷是否覆蓋策劃變更和非預期變更；

2)檢查策劃變更審批記錄，統(tǒng)計未審批變更的比例；

3)訪談人員了解非預期變更的應對情況（如是否有臨時會議記錄）；

4)分析變更實施后的影響（如是否因無評審導致合規(guī)風險）。1)不完整的《變更控制程序》（如僅策劃變更條款）；

2)零散的策劃變更審批記錄（部分變更無審批）；

3)非預期變更的臨時應對記錄（如郵件溝通）。3級方針和程序：已建立完整的“變更控制”過程（含策劃變更審批、非預期變更評審及應對），形成文件化信息，但未通過評估確定是否有效控制變更風險；行為和文化：人員會按程序處理變更（如策劃變更提交審批，非預期變更啟動評審），但變更控制的及時性（如審批延誤）、應對措施的有效性（如措施未減輕不利影響）有待改進。1)評審《變更控制程序》，確認策劃變更審批流程、非預期變更評審流程的完整性；

2)檢查變更審批記錄、評審報告，判斷是否按程序執(zhí)行；

3)確認是否開展變更控制有效性評估（如無評估記錄）；

4)分析變更后是否出現(xiàn)不利影響（如合規(guī)風險、效率下降）。1)完整的《變更控制程序》；

2)策劃變更審批記錄、非預期變更評審報告；

3)變更實施后的影響記錄（如風險報告）；

4)無變更控制有效性評估記錄。4級方針和程序：“變更控制”過程融入組織“運行的策劃和控制”體系，建立監(jiān)視、測量機制（如變更執(zhí)行率統(tǒng)計、風險發(fā)生率監(jiān)控），定期評價變更控制的有效性；行為和文化：積極管理變更相關行為（如主動提醒變更審批、及時啟動非預期變更評審），通過持續(xù)評價優(yōu)化變更流程（如簡化審批環(huán)節(jié)、明確評審時限）。1)評審變更控制與“運行策劃和控制”體系的銜接文件（如流程接口說明）；

2)檢查變更監(jiān)視測量記錄（如變更審批及時率、風險發(fā)生率數(shù)據(jù)）；

3)確認變更控制評價報告（如季度評價）及優(yōu)化措施記錄；

4)訪談人員了解變更流程的執(zhí)行體驗。1)變更控制與“運行策劃和控制”的銜接文件；

2)變更監(jiān)視測量報表、評價報告；

3)變更流程優(yōu)化記錄（如審批環(huán)節(jié)修訂通知）。5級方針和程序：“變更控制”過程持續(xù)改進（如基于變更風險數(shù)據(jù)優(yōu)化審批權(quán)限、評審方法），實施糾正措施（如針對審批延誤制定責任追究機制），確保變更控制有效適配內(nèi)外部環(huán)境變化；行為和文化：通過持續(xù)監(jiān)視（如變更風險實時預警）、反饋（如變更流程建議收集）和調(diào)整，變更控制行為全面嵌入組織運營（如人員主動識別變更需求、及時啟動控制）。1)評審變更控制持續(xù)改進記錄（如PDCA報告、糾正措施整改記錄）；

2)檢查變更風險實時預警系統(tǒng)數(shù)據(jù)、員工建議處理記錄；

3)評估變更控制對環(huán)境變化的適配性（如法規(guī)更新后變更流程的調(diào)整速度）；

4)分析長期變更控制效果（如變更風險發(fā)生率持續(xù)下降）。1)變更控制持續(xù)改進報告、糾正措施驗證記錄；

2)變更風險預警系統(tǒng)數(shù)據(jù)、員工建議記錄；

3)環(huán)境變化后變更流程調(diào)整記錄；

4)長期變更風險統(tǒng)計報表。組織應確保與合規(guī)管理體系相關的，由外部提供的產(chǎn)品、過程或服務受控；注：對組織運行的外包不會免除組織的法律責任或合規(guī)義務1級方針和程序：未建立“外部提供的產(chǎn)品/過程/服務控制”相關過程（如無外包商選擇標準、外包過程監(jiān)控程序）；行為和文化：組織對外包的產(chǎn)品/過程/服務無控制行為（如外包商隨意選擇，外包過程不監(jiān)控），人員未意識到外包的合規(guī)責任。1)訪談采購、合規(guī)部門負責人，確認是否存在外部提供控制程序；

2)檢查外包合同、外包商選擇記錄，判斷是否有控制措施；

3)了解人員對“外包不免除合規(guī)責任”的認知（如口頭提問）。1)無《外部提供控制程序》；

2)無外包商選擇標準、外包過程監(jiān)控記錄；

3)人員訪談記錄（證實無合規(guī)責任認知）。2級方針和程序：已建立“外部提供控制”部分過程（如僅外包商選擇程序，無外包過程監(jiān)控），程序未統(tǒng)一傳達，實施不一致（如部分外包按程序選商，部分隨意選商）；行為和文化：部分人員了解外部提供需控制，但執(zhí)行不系統(tǒng)（如僅采購部門關注選商，業(yè)務部門不監(jiān)控外包過程）。1)評審已有的外部提供控制文件，判斷是否覆蓋選商、監(jiān)控、合規(guī)責任界定；

2)檢查文件傳達記錄（如培訓簽到），確認是否傳達至相關部門；

3)抽查外包項目，對比程序判斷選商、監(jiān)控的一致性；

4)訪談業(yè)務部門，了解外包過程監(jiān)控情況。1)不完整的《外部提供控制程序》（如僅選商條款）；

2)零散的文件傳達記錄；

3)外包項目記錄（體現(xiàn)選商/監(jiān)控不一致）。3級方針和程序：已建立完整的“外部提供控制”過程（含選商、監(jiān)控、合規(guī)責任界定），形成文件化信息，但未通過評估確定是否滿足合規(guī)要求（如未評估外包商合規(guī)資質(zhì)、外包過程合規(guī)性）；行為和文化：人員按程序開展外部提供控制（如多數(shù)外包項目按選商標準執(zhí)行、定期監(jiān)控），但控制的有效性（如外包過程仍存在合規(guī)風險）有待改進。1)評審《外部提供控制程序》《外包商選商標準》等文件，確認是否覆蓋合規(guī)責任條款；

2)檢查外包商合規(guī)資質(zhì)審核記錄、外包過程監(jiān)控記錄（如檢查報告）；

3)確認是否開展外部提供控制有效性評估（如無評估報告）；

4)分析外包過程中的合規(guī)風險事件（如有無違規(guī)記錄）。1)完整的外部提供控制文件；

2)外包商資質(zhì)審核記錄、外包過程監(jiān)控記錄；

3)外包合規(guī)風險記錄；

4)無外部提供控制評估報告。4級方針和程序：“外部提供控制”過程融入組織“運行的策劃和控制”體系，建立監(jiān)視、測量機制（如外包商合規(guī)率統(tǒng)計、外包過程合規(guī)風險監(jiān)控），定期評價控制有效性；行為和文化：積極管理外部提供相關行為（如主動審核外包商資質(zhì)、實時監(jiān)控外包過程），通過評價優(yōu)化控制措施（如更新選商標準、強化監(jiān)控頻率）。1)評審外部提供控制與“運行策劃和控制”的銜接文件（如流程接口說明）；

2)檢查監(jiān)視測量記錄（如外包商合規(guī)率報表、風險監(jiān)控數(shù)據(jù)）；

3)確認評價報告及優(yōu)化措施記錄（如選商標準修訂通知）；

4)訪談人員了解外部提供控制的改進效果。1)外部提供控制與“運行策劃和控制”的銜接文件；

2)監(jiān)視測量報表、評價報告；

3)控制措施優(yōu)化記錄。5級方針和程序：“外部提供控制”過程持續(xù)改進（如基于外包風險數(shù)據(jù)優(yōu)化選商標準、監(jiān)控方法），實施糾正措施（如針對外包合規(guī)風險制定整改計劃），確保外包合規(guī)責任全面履行；行為和文化：通過持續(xù)監(jiān)視（如外包風險實時預警）、反饋（如外包商建議收集）和調(diào)整，外部提供控制行為全面嵌入組織運營（如人員主動識別外包風險、及時處置）。1)評審持續(xù)改進記錄（如PDCA報告、糾正措施驗證記錄）；

2)檢查外包風險預警數(shù)據(jù)、外包商反饋處理記錄；

3)評估外包合規(guī)責任履行情況（如無因外包導致的合規(guī)處罰）；

4)分析長期外包控制效果（如外包合規(guī)風險發(fā)生率持續(xù)下降）。1)持續(xù)改進報告、糾正措施記錄；

2)風險預警數(shù)據(jù)、反饋記錄；

3)外包合規(guī)責任履行證明（如無處罰記錄）；

4)長期風險統(tǒng)計報表。組織應確保第三方過程得到控制和監(jiān)視1級方針和程序：未建立“第三方過程控制和監(jiān)視”相關過程（如無第三方選擇標準、第三方過程監(jiān)控程序）；行為和文化：組織對第三方過程無控制行為（如第三方隨意選擇，過程不監(jiān)控），人員未意識到第三方過程的合規(guī)風險。1)訪談合規(guī)、業(yè)務部門負責人，確認是否存在第三方過程控制程序；

2)檢查第三方合作合同、第三方選擇記錄，判斷是否有控制措施；

3)了解人員對第三方過程合規(guī)風險的認知。1)無《第三方過程控制程序》；

2)無第三方選擇標準、監(jiān)控記錄；

3)人員訪談記錄（證實無風險認知）。2級方針和程序：已建立“第三方過程控制”部分過程（如僅第三方選擇程序，無過程監(jiān)控），程序未統(tǒng)一傳達，實施不一致（如部分第三方按程序選商，部分隨意選商）；行為和文化：部分人員了解第三方過程需控制，但執(zhí)行不系統(tǒng)（如僅合作前選商，合作中不監(jiān)控）。1)評審已有的第三方過程控制文件，判斷是否覆蓋選商、監(jiān)控；

2)檢查文件傳達記錄，確認是否傳達至相關部門；

3)抽查第三方合作項目，對比程序判斷選商、監(jiān)控的一致性；

4)訪談業(yè)務部門，了解第三方過程監(jiān)控情況。1)不完整的《第三方過程控制程序》；

2)零散的文件傳達記錄；

3)第三方合作項目記錄（體現(xiàn)選商/監(jiān)控不一致）。3級方針和程序：已建立完整的“第三方過程控制和監(jiān)視”過程（含選商、監(jiān)控），形成文件化信息，但未通過評估確定是否有效控制第三方合規(guī)風險；行為和文化：人員按程序開展第三方過程控制（如多數(shù)項目按選商標準執(zhí)行、定期監(jiān)控），但監(jiān)控的有效性（如第三方過程仍存在合規(guī)問題）有待改進。1)評審《第三方過程控制程序》《第三方選商標準》等文件；

2)檢查第三方選商審核記錄、過程監(jiān)控記錄（如檢查報告）；

3)確認是否開展第三方過程控制有效性評估（如無評估報告）；

4)分析第三方過程中的合規(guī)問題記錄。1)完整的第三方過程控制文件；

2)選商審核記錄、監(jiān)控記錄；

3)第三方合規(guī)問題記錄；

4)無評估報告。4級方針和程序：“第三方過程控制和監(jiān)視”融入組織“運行的策劃和控制”體系，建立監(jiān)視、測量機制（如第三方合規(guī)率統(tǒng)計、監(jiān)控頻率達標率），定期評價控制有效性；行為和文化：積極管理第三方過程相關行為（如主動審核第三方資質(zhì)、動態(tài)監(jiān)控過程），通過評價優(yōu)化控制措施（如細化監(jiān)控指標、更新選商標準）。1)評審第三方控制與“運行策劃和控制”的銜接文件；

2)檢查監(jiān)視測量記錄（如合規(guī)率報表、監(jiān)控達標率數(shù)據(jù)）；

3)確認評價報告及優(yōu)化措施記錄；

4)訪談人員了解第三方控制的改進效果。1)銜接文件；

2)監(jiān)視測量報表、評價報告；

3)優(yōu)化措施記錄。5級方針和程序：“第三方過程控制和監(jiān)視”過程持續(xù)改進（如基于第三方風險數(shù)據(jù)優(yōu)化監(jiān)控方法、選商標準），實施糾正措施（如針對第三方合規(guī)問題制定整改計劃），確保第三方過程合規(guī)；行為和文化：通過持續(xù)監(jiān)視（如第三方風險實時預警）、反饋（如第三方建議收集）和調(diào)整，第三方過程控制行為全面嵌入組織運營（如人員主動識別第三方風險、及時處置）。1)評審持續(xù)改進記錄（如PDCA報告、糾正措施驗證記錄）；

2)檢查風險預警數(shù)據(jù)、第三方反饋處理記錄；

3)評估第三方過程合規(guī)情況（如無第三方導致的合規(guī)風險）；

4)分析長期控制效果（如第三方合規(guī)率持續(xù)提升）。1)持續(xù)改進報告、糾正措施記錄；

2)風險預警數(shù)據(jù)、反饋記錄；

3)第三方合規(guī)證明；

4)長期合規(guī)率統(tǒng)計報表。表8.1-2：與“8.1運行的策劃和控制”相關的“結(jié)果和影響”評價操作指引8.1條文級別內(nèi)容描述具體評價操作要點評價所需文件和記錄為滿足要求和實施第6章確定的措施，組織應通過以下方式策劃、實施和控制所需的過程：

-對過程確立準則；

-按照準則對過程實施控制；

文件化信息應根據(jù)必要程度可獲取，以便確認過程已按照策劃得到實施1級未形成“運行的策劃和控制”相關結(jié)果（如無過程準則執(zhí)行記錄、無文件化信息使用記錄）；無任何可識別的影響（如無法確認過程是否按策劃實施，未體現(xiàn)對合規(guī)目標的貢獻）。1)檢查是否有過程準則執(zhí)行記錄（如業(yè)務操作記錄、檢查記錄），確認無相關結(jié)果；

2)檢查文件化信息使用記錄（如查閱、借閱記錄），確認無使用痕跡；

3)評估過程對合規(guī)目標的貢獻（如無數(shù)據(jù)證明過程與合規(guī)目標的關聯(lián)）。1)無過程執(zhí)行記錄；

2)無文件化信息使用記錄；

3)合規(guī)目標達成分析報告（體現(xiàn)無“運行策劃和控制”的貢獻）。2級“運行的策劃和控制”結(jié)果不一致（如部分部門有準則執(zhí)行記錄，部分部門無）；結(jié)果與合規(guī)目標的對齊是偶然的（如少數(shù)情況下執(zhí)行結(jié)果符合目標，多數(shù)情況下偏離），無主動對齊行為。1)分部門收集過程執(zhí)行結(jié)果（如合規(guī)指標達成數(shù)據(jù)），分析一致性；

2)對比執(zhí)行結(jié)果與合規(guī)目標，判斷對齊的偶然性（如無策劃的對齊措施，僅隨機符合）；

3)訪談人員了解是否有主動對齊目標的行為（如無目標分解、執(zhí)行調(diào)整）1)不同部門的過程執(zhí)行結(jié)果記錄（體現(xiàn)不一致）；

2)合規(guī)目標文件及結(jié)果對比分析記錄；

3)人員訪談記錄（證實無主動對齊行為）3級“運行的策劃和控制”結(jié)果僅部分符合合規(guī)目標（如僅少數(shù)過程執(zhí)行結(jié)果達標），且在整個合規(guī)管理體系范圍內(nèi)不具有一致性（如A業(yè)務線達標，B/C業(yè)務線不達標）；未系統(tǒng)分析結(jié)果與目標的差距原因。1)收集全體系內(nèi)“運行策劃和控制”的執(zhí)行結(jié)果（如各業(yè)務線合規(guī)指標數(shù)據(jù)），統(tǒng)計達標比例；

2)分析結(jié)果差異（如不同業(yè)務線的執(zhí)行記錄對比），確認無一致性；

3)檢查是否有差距分析記錄（如無原因分析報告）。1)各業(yè)務線過程執(zhí)行結(jié)果報表（合規(guī)指標數(shù)據(jù)）；

2)結(jié)果差異對比分析表；

3)無差距原因分析報告。4級“運行的策劃和控制”結(jié)果與既定合規(guī)目標全面對齊（如所有過程執(zhí)行結(jié)果達標），且完全融入組織過程（如結(jié)果作為業(yè)務考核、體系評審的輸入）；已建立結(jié)果分析機制（如定期分析達標原因、優(yōu)化執(zhí)行措施）。1)驗證全體系執(zhí)行結(jié)果與合規(guī)目標的對齊情況（如100%過程達標）；

2)檢查結(jié)果在組織過程中的應用記錄（如業(yè)務考核表、體系評審輸入材料）；

3)評審結(jié)果分析報告（如達標原因總結(jié)、執(zhí)行措施優(yōu)化建議）。1)全體系過程執(zhí)行結(jié)果達標證明（如合規(guī)指標報表）；

2)結(jié)果應用記錄（考核表、評審材料）；

3)結(jié)果分析報告。5級“運行的策劃和控制”結(jié)果被整合到持續(xù)改進反饋循環(huán)中（如結(jié)果數(shù)據(jù)用于優(yōu)化過程準則、控制措施）；能適應內(nèi)外部環(huán)境變化（如法規(guī)更新后，結(jié)果及時調(diào)整以保持達標），促進合規(guī)管理體系持續(xù)有效。1)評審反饋循環(huán)記錄（如基于結(jié)果修訂準則的審批單、控制措施優(yōu)化記錄）；

2)評估環(huán)境變化后的結(jié)果調(diào)整情況（如法規(guī)更新后1個月內(nèi)結(jié)果恢復達標）；

3)分析長期結(jié)果趨勢（如達標率持續(xù)提升、風險率持續(xù)下降）。1)反饋循環(huán)記錄（準則修訂單、措施優(yōu)化記錄）；

2)環(huán)境變化后結(jié)果調(diào)整記錄（如法規(guī)更新后的執(zhí)行結(jié)果報表）；

3)長期結(jié)果趨勢報表（達標率、風險率統(tǒng)計）。組織應控制已策劃的變更，并評審非預期變更的后果，必要時采取措施減輕不利影響1級無“變更控制”相關結(jié)果（如無策劃變更審批結(jié)果、非預期變更評審結(jié)果）；未減輕非預期變更的不利影響（如變更導致合規(guī)風險、效率下降，無應對）。1)檢查是否有策劃變更審批結(jié)果記錄（如審批通過/駁回通知），確認無結(jié)果；

2)檢查非預期變更發(fā)生后的影響記錄（如風險報告、效率統(tǒng)計），確認無減輕措施；

3)評估變更對合規(guī)管理體系的破壞程度（如嚴重偏離合規(guī)目標）。1)無變更審批結(jié)果記錄；

2)非預期變更影響記錄（風險報告、效率下降數(shù)據(jù)）；

3)合規(guī)目標偏離分析報告。2級“變更控制”結(jié)果不一致（如部分策劃變更獲批后有效執(zhí)行，部分獲批后未執(zhí)行）；非預期變更評審結(jié)果不完整（如僅評審部分后果，未評審全部影響），減輕措施偶爾有效。1)統(tǒng)計策劃變更的執(zhí)行率（如獲批變更50%未執(zhí)行），確認結(jié)果不一致；

2)評審非預期變更評審報告，確認后果評審不完整；

3)分析減輕措施的有效性（如僅30%措施有效減輕影響）。1)策劃變更執(zhí)行率統(tǒng)計報表；

2)不完整的非預期變更評審報告；

3)減輕措施有效性分析記錄。3級“變更控制”結(jié)果僅部分有效（如策劃變更執(zhí)行率80%，非預期變更減輕措施有效率70%），且在體系范圍內(nèi)不一致（如A部門變更執(zhí)行好，B部門差）；未系統(tǒng)總結(jié)結(jié)果差異原因。1)統(tǒng)計全體系變更控制結(jié)果（執(zhí)行率、措施有效率），確認部分有效；

2)對比不同部門結(jié)果（如A部門執(zhí)行率95%，B部門60%），確認不一致；

3)檢查是否有結(jié)果差異原因分析記錄（如無總結(jié)報告）。1)全體系變更控制結(jié)果統(tǒng)計報表；

2)部門結(jié)果對比表；

3)無結(jié)果差異原因分析報告。4級“變更控制”結(jié)果與變更管理目標對齊（如策劃變更執(zhí)行率100%，非預期變更減輕措施有效率100%），并融入組織變更管理過程（如結(jié)果作為變更流程優(yōu)化、人員考核的輸入）；已建立結(jié)果優(yōu)化機制。1)驗證結(jié)果與變更管理目標的對齊情況（如100%達標）；

2)檢查結(jié)果在組織過程中的應用記錄（如流程優(yōu)化通知、考核表）；

3)評審結(jié)果優(yōu)化報告（如執(zhí)行效率提升建議、措施有效性改進方案）。1)變更控制結(jié)果達標證明（執(zhí)行率、有效率報表）；

2)結(jié)果應用記錄（優(yōu)化通知、考核表）；

3)結(jié)果優(yōu)化報告。5級“變更控制”結(jié)果整合到持續(xù)改進反饋循環(huán)（如基于結(jié)果優(yōu)化變更審批流程、評審方法）；能適應內(nèi)外部環(huán)境變化（如法規(guī)更新后，變更控制結(jié)果及時調(diào)整以保持有效），確保變更風險持續(xù)可控。1)評審反饋循環(huán)記錄（如基于結(jié)果修訂審批流程的證據(jù)、評審方法優(yōu)化記錄）；

2)評估環(huán)境變化后的結(jié)果調(diào)整情況（如法規(guī)更新后變更控制有效率保持100%）；

3)分析長期變更風險趨勢（如變更風險率持續(xù)下降）。1)反饋循環(huán)記錄（流程修訂證據(jù)、方法優(yōu)化記錄）；

2)環(huán)境變化后結(jié)果記錄（如法規(guī)更新后的有效率報表）；

3)長期變更風險趨勢報表。組織應確保與合規(guī)管理體系相關的，由外部提供的產(chǎn)品、過程或服務受控；注：對組織運行的外包不會免除組織的法律責任或合規(guī)義務1級無“外部提供控制”相關結(jié)果（如無外包商合規(guī)審核結(jié)果、外包過程監(jiān)控結(jié)果）；因外部提供導致合規(guī)風險（如外包商違規(guī)，組織承擔連帶責任），無任何應對結(jié)果。1)檢查是否有外部提供控制結(jié)果記錄（如審核報告、監(jiān)控報表），確認無結(jié)果；

2)收集外部提供導致的合規(guī)風險記錄（如處罰通知、投訴記錄）；

3)評估組織承擔的合規(guī)責任（如罰款、聲譽損失）。1)無外部提供控制結(jié)果記錄；

2)合規(guī)風險記錄（處罰通知、投訴信）；

3)責任承擔證明（罰款憑證、聲譽損失評估報告）。2級“外部提供控制”結(jié)果不一致（如部分外包商合規(guī)審核通過，部分未審核直接合作）；外包過程監(jiān)控結(jié)果零散（如僅少數(shù)項目有監(jiān)控結(jié)果），偶爾因外部提供導致合規(guī)風險。1)統(tǒng)計外包商審核通過率（如60%外包商未審核），確認結(jié)果不一致；

2)檢查外包過程監(jiān)控結(jié)果記錄，確認零散（如僅20%項目有監(jiān)控報告）；

3)分析偶爾發(fā)生的合規(guī)風險（如1-2起外包違規(guī)事件）。1)外包商審核通過率統(tǒng)計報表；

2)零散的監(jiān)控結(jié)果報告；

3)偶爾的合規(guī)風險事件記錄（處罰通知）。3級“外部提供控制”結(jié)果僅部分有效（如外包商合規(guī)審核通過率80%，外包過程合規(guī)率75%），且在體系范圍內(nèi)不一致（如A業(yè)務外包合規(guī)，B業(yè)務外包違規(guī)）；未系統(tǒng)解決結(jié)果與目標的差距。1)統(tǒng)計全體系外部提供控制結(jié)果（審核通過率、合規(guī)率），確認部分有效；

2)對比不同業(yè)務線結(jié)果（如A業(yè)務合規(guī)率90%，B業(yè)務60%），確認不一致；

3)檢查是否有差距解決記錄（如無整改計劃）。1)全體系外部提供控制結(jié)果報表；

2)業(yè)務線結(jié)果對比表；

3)無差距整改計劃。4級“外部提供控制”結(jié)果與外部提供管理目標對齊（如審核通過率100%，合規(guī)率100%），并融入組織外包管理過程（如結(jié)果作為外包商分級、續(xù)約決策的輸入）；已建立結(jié)果優(yōu)化機制。1)驗證結(jié)果與管理目標的對齊情況（如100%達標）；

2)檢查結(jié)果在外包管理中的應用記錄（如外包商分級表、續(xù)約審批材料）；

3)評審結(jié)果優(yōu)化報告（如審核標準細化建議、監(jiān)控頻率調(diào)整方案）。1)外部提供控制結(jié)果達標證明（通過率、合規(guī)率報表）；

2)結(jié)果應用記錄（分級表、續(xù)約材料）；

3)結(jié)果優(yōu)化報告。5級“外部提供控制”結(jié)果整合到持續(xù)改進反饋循環(huán)（如基于結(jié)果優(yōu)化外包商審核標準、監(jiān)控指標）；能適應內(nèi)外部環(huán)境變化（如法規(guī)更新后，外部提供控制結(jié)果及時調(diào)整以保持合規(guī)），確保組織外包合規(guī)責任全面履行。1)評審反饋循環(huán)記錄（如審核標準修訂單、監(jiān)控指標優(yōu)化記錄）；

2)評估環(huán)境變化后的結(jié)果調(diào)整情況（如法規(guī)更新后外部提供合規(guī)率保持100%）；

3)分析長期外包合規(guī)趨勢（如外包違規(guī)事件為0）。1)反饋循環(huán)記錄（標準修訂單、指標優(yōu)化記錄）；

2)環(huán)境變化后結(jié)果記錄（如法規(guī)更新后的合規(guī)率報表）；

3)長期外包合規(guī)趨勢報表（違規(guī)事件統(tǒng)計）。組織應確保第三方過程得到控制和監(jiān)視1級無“第三方過程控制和監(jiān)視”相關結(jié)果（如無第三方選商審核結(jié)果、過程監(jiān)控結(jié)果）；因第三方過程導致合規(guī)風險（如第三方違規(guī)，影響組織合規(guī)），無應對結(jié)果。1)檢查是否有第三方控制結(jié)果記錄（如審核報告、監(jiān)控報表），確認無結(jié)果；

2)收集第三方導致的合規(guī)風險記錄（如監(jiān)管問詢、客戶投訴）；

3)評估風險對組織的影響（如合規(guī)評級下降、客戶流失）。1)無第三方控制結(jié)果記錄；

2)合規(guī)風險記錄（問詢函、投訴信）；

3)風險影響評估報告（評級下降通知、客戶流失數(shù)據(jù)）。2級“第三方過程控制”結(jié)果不一致（如部分第三方選商審核通過，部分未審核）；過程監(jiān)控結(jié)果零散（如僅少數(shù)合作項目有監(jiān)控結(jié)果），偶爾因第三方導致合規(guī)風險。1)統(tǒng)計第三方選商審核通過率（如50%未審核），確認結(jié)果不一致；

2)檢查監(jiān)控結(jié)果記錄，確認零散（如僅30%項目有監(jiān)控報告）；

3)分析偶爾發(fā)生的合規(guī)風險（如1起第三方違規(guī)事件）。1)第三方選商審核通過率統(tǒng)計報表；

2)零散的監(jiān)控結(jié)果報告；

3)偶爾的合規(guī)風險事件記錄。3級“第三方過程控制”結(jié)果僅部分有效（如選商審核通過率85%，過程合規(guī)率80%），且在體系范圍內(nèi)不一致（如甲項目合規(guī)，乙/丙項目違規(guī)）；未系統(tǒng)分析結(jié)果差距原因。1)統(tǒng)計全體系第三方控制結(jié)果（通過率、合規(guī)率），確認部分有效；

2)對比不同項目結(jié)果（如甲項目合規(guī)率95%，乙項目70%），確認不一致；

3)檢查是否有差距原因分析記錄（如無報告）。1)全體系第三方控制結(jié)果報表；

2)項目結(jié)果對比表；

3)無差距原因分析報告。4級“第三方過程控制”結(jié)果與第三方管理目標對齊（如審核通過率100%，合規(guī)率100%），并融入組織第三方管理過程（如結(jié)果作為第三方分級、合作決策的輸入）；已建立結(jié)果優(yōu)化機制。1)驗證結(jié)果與管理目標的對齊情況（如100%達標）；

2)檢查結(jié)果在第三方管理中的應用記錄（如分級表、合作審批材料）；

3)評審結(jié)果優(yōu)化報告（如審核標準優(yōu)化建議、監(jiān)控方法改進方案）。1)第三方控制結(jié)果達標證明（通過率、合規(guī)率報表）；

2)結(jié)果應用記錄（分級表、審批材料）；

3)結(jié)果優(yōu)化報告。5級“第三方過程控制”結(jié)果整合到持續(xù)改進反饋循環(huán)（如基于結(jié)果優(yōu)化選商標準、監(jiān)控方法）；能適應內(nèi)外部環(huán)境變化（如法規(guī)更新后，第三方控制結(jié)果及時調(diào)整以保持合規(guī)），確保第三方過程持續(xù)合規(guī)。1)評審反饋循環(huán)記錄（如選商標準修訂單、監(jiān)控方法優(yōu)化記錄）；

2)評估環(huán)境變化后的結(jié)果調(diào)整情況（如法規(guī)更新后第三方合規(guī)率保持100%）；

3)分析長期第三方合規(guī)趨勢（如第三方違規(guī)事件為0）。1)反饋循環(huán)記錄（標準修訂單、方法優(yōu)化記錄）；

2)環(huán)境變化后結(jié)果記錄（如法規(guī)更新后的合規(guī)率報表）；

3)長期第三方合規(guī)趨勢報表（違規(guī)事件統(tǒng)計）。GB∕T35770-2022-2022合規(guī)管理體系之“8.2確立控制和程序”過程有效性評價操作指引表8.2-1：與“8.2確立控制和程序”相關的方針和程序、行為和文化評價操作指引8.2條文級別內(nèi)容描述具體評價操作要點評價所需文件和記錄8.2確立控制和程序組織應實施控制以管理其合規(guī)義務和相關合規(guī)風險。應對這些控制進行維護、定期評審和測試，以確保其持續(xù)有效。注：測試控制是指實施經(jīng)過設計的活動以檢驗控制是否按照既定目的運行，或者不能被規(guī)避，或者切實有效地降低風險的后果或可能性。1級方針和程序：未建立任何用于管理合規(guī)義務及相關合規(guī)風險的控制程序，無控制的維護、評審和測試流程；行為和文化：組織內(nèi)部無任何與“管理合規(guī)義務、控制合規(guī)風險”相關的行為準則，人員行為完全不涉及合規(guī)控制的執(zhí)行，無合規(guī)控制意識。1)訪談最高管理者、合規(guī)職能人員，確認是否有策劃“管理合規(guī)義務及風險的控制程序”；

2)檢查組織是否有任何與“控制維護、評審、測試”相關的制度文件或口頭約定；

3)隨機抽取3-5名關鍵崗位人員（如采購、銷售），詢問其是否知曉“合規(guī)義務對應的控制要求”，驗證行為一致性。1)無相關文件記錄（需書面確認無控制程序文件、無維護/評審/測試記錄）；

2)人員訪談記錄（記錄“不知曉合規(guī)控制要求”的表述）。2級方針和程序：已建立部分控制程序（如針對部分合規(guī)義務的控制措施），但程序不完整（未覆蓋全部合規(guī)義務或風險），控制的維護、評審和測試未正式界定，實施不一致（部分業(yè)務執(zhí)行、部分不執(zhí)行），未統(tǒng)一傳達；行為和文化：部分人員知曉基本合規(guī)控制程序，但僅在特定場景（如監(jiān)管檢查前）執(zhí)行，無系統(tǒng)執(zhí)行習慣，人員對“控制維護、評審、測試”的意義無認知。1)收集已有的控制程序文件，比對組織已識別的合規(guī)義務清單，確認程序覆蓋缺口（如是否遺漏反壟斷、數(shù)據(jù)合規(guī)等義務的控制）；

2)檢查控制程序的傳達記錄（如培訓簽到、郵件通知），驗證是否“未統(tǒng)一傳達”（如不同部門執(zhí)行不同版本程序）；

3)訪談業(yè)務部門負責人（如財務、人力資源），確認控制實施頻率（如是否僅臨時執(zhí)行）；

4)詢問人員對“控制測試”的理解，驗證是否無系統(tǒng)執(zhí)行意識。1)不完整的控制程序文件（如僅含安全生產(chǎn)合規(guī)控制，缺反商業(yè)賄賂控制）；

2)零散的控制執(zhí)行記錄（如某月份的采購合規(guī)檢查記錄，無連續(xù)記錄）；

3)傳達記錄（如僅銷售部門有控制程序培訓記錄，其他部門無）；

4)人員訪談記錄（記錄“僅在檢查時執(zhí)行”“不知曉控制測試”等表述）。3級方針和程序：已建立覆蓋全部合規(guī)義務及相關風險的控制程序，形成文件化信息（如《合規(guī)風險控制程序》《控制維護與評審管理辦法》），但未通過評估（如未驗證控制是否滿足“管理義務、降低風險”的要求），控制測試活動未常態(tài)化；行為和文化：人員行為開始反映合規(guī)控制要求（如按程序開展采購合規(guī)審核），但執(zhí)行一致性不足（如部分環(huán)節(jié)省略控制步驟），“控制維護、評審”的參與度低，無主動測試控制的行為。1)評審控制程序文件的完整性：確認是否覆蓋組織全部合規(guī)義務（如結(jié)合合規(guī)義務清單，檢查是否含法律法規(guī)、行業(yè)規(guī)范、內(nèi)部制度對應的控制措施）；

2)檢查文件化信息的規(guī)范性（如是否明確控制責任部門、維護周期、評審頻率）；

3)驗證“未評估控制有效性”：查看是否有控制有效性評估報告（如無評估結(jié)論或證據(jù)）；

4)抽查業(yè)務執(zhí)行記錄（如合同審批單、供應商盡職調(diào)查報告），確認控制執(zhí)行一致性（如是否存在“跳過合規(guī)審核步驟”的情況）；

5)訪談合規(guī)職能人員，確認是否有“主動發(fā)起控制測試”的行為記錄。1)完整的控制程序文件（如《合規(guī)風險控制總程序》及各專項控制文件，如《數(shù)據(jù)合規(guī)風險控制細則》）；

2)控制執(zhí)行記錄（如合同合規(guī)審核記錄、風險排查記錄，存在部分不完整記錄）；

3)無控制有效性評估報告（或僅有評估計劃，無評估結(jié)果）；

4)無常態(tài)化控制測試記錄；

5)人員訪談記錄（記錄“部分環(huán)節(jié)簡化控制”“未參與控制評審”等表述）。4級方針和程序：控制程序已完全融入組織業(yè)務過程（如將合規(guī)控制嵌入采購、銷售等核心流程），明確控制的維護周期（如季度維護）、評審頻率（如半年度評審）、測試方法（如抽樣測試、場景模擬），并對控制實施監(jiān)視、測量和評價；行為和文化：人員主動按程序執(zhí)行合規(guī)控制（如主動發(fā)起供應商合規(guī)盡職調(diào)查），通過持續(xù)評價（如月度控制執(zhí)行檢查）和調(diào)整（如優(yōu)化控制步驟）增強合規(guī)性，部門間協(xié)作配合控制實施（如合規(guī)部與業(yè)務部共同開展控制評審），道德行為文化通過控制執(zhí)行得到強化。1)評審控制程序與業(yè)務流程的融合證據(jù)（如采購流程文件中是否明確“合規(guī)審核節(jié)點”，系統(tǒng)流程中是否強制觸發(fā)合規(guī)檢查）；

2)驗證控制的監(jiān)視、測量活動：查看監(jiān)視記錄（如控制執(zhí)行率統(tǒng)計、風險發(fā)生率跟蹤）、測量數(shù)據(jù)（如控制覆蓋的合規(guī)義務比例、控制未執(zhí)行的次數(shù)）；

3)檢查控制評審記錄：確認評審頻率（如是否按半年度開展）、評審參與方（如是否含業(yè)務、合規(guī)、風控部門）、評審結(jié)論（如是否識別控制缺陷）；

4)評審控制測試記錄：確認測試方法（如場景模擬測試“反商業(yè)賄賂控制是否可規(guī)避”）、測試結(jié)果（如控制有效運行的比例）；

5)訪談業(yè)務人員，確認“主動執(zhí)行控制”的行為（如是否在業(yè)務發(fā)起前先核查合規(guī)要求）；

6)查看部門協(xié)作記錄（如合規(guī)部與銷售部共同開展控制評審的會議紀要）。1)融入業(yè)務流程的控制程序文件（如《采購業(yè)務合規(guī)控制嵌入細則》《銷售合同合規(guī)審核流程》）；

2)控制監(jiān)視、測量記錄（如月度《合規(guī)控制執(zhí)行率報表》《合規(guī)風險發(fā)生率分析報告》）；

3)控制評審記錄（如半年度《合規(guī)控制評審報告》，含評審人員簽字、缺陷識別及初步改進建議）；

4)控制測試記錄（如《合規(guī)控制測試方案》《測試結(jié)果報告》，含場景描述、測試步驟、結(jié)論）；

5)業(yè)務執(zhí)行記錄（如供應商盡職調(diào)查報告、合同合規(guī)審核表，記錄完整且無省略步驟）；

6)部門協(xié)作記錄（如控制評審會議紀要、跨部門溝通郵件）。5級方針和程序：控制程序完全融入組織過程，建立“維護-評審-測試-改進”的閉環(huán)機制，通過持續(xù)監(jiān)視（如實時風險監(jiān)控系統(tǒng)）、評價（如季度控制有效性評估）識別改進點，實施糾正措施（如針對控制缺陷的整改計劃）確保合規(guī)管理體系有效性，控制程序隨內(nèi)外部環(huán)境變化（如法規(guī)更新、業(yè)務擴張）動態(tài)調(diào)整；行為和文化：人員將合規(guī)控制內(nèi)化為工作習慣（如主動報告控制執(zhí)行中的問題），通過持續(xù)反饋（如月度控制執(zhí)行反饋會）和調(diào)整（如優(yōu)化測試方法）將合規(guī)措施全面嵌入組織行為，管理層帶頭執(zhí)行控制要求，推動“控制有效性持續(xù)改進”的文化氛圍，人員主動參與控制程序的優(yōu)化建議。1)評審“維護-評審-測試-改進”閉環(huán)機制的文件化證據(jù)（如《合規(guī)控制閉環(huán)管理辦法》，明確各環(huán)節(jié)觸發(fā)條件、責任部門、時間要求）；

2)驗證持續(xù)監(jiān)視手段：查看是否有實時監(jiān)控工具（如合規(guī)風險預警系統(tǒng)，記錄風險觸發(fā)及控制響應情況）；

3)檢查糾正措施實施記錄：確認針對控制缺陷的整改計劃（如整改責任人、時間節(jié)點）、整改驗證結(jié)果（如整改后控制測試報告）；

4)評審控制程序動態(tài)調(diào)整記錄：確認是否隨法規(guī)更新（如《個人信息保護法》修訂后調(diào)整數(shù)據(jù)合規(guī)控制）、業(yè)務擴張（如新增海外業(yè)務后補充出口管制控制）進行程序修訂；

5)訪談管理層，確認是否“帶頭執(zhí)行控制要求”（如參與控制評審、審批控制改進計劃）；

6)收集人員優(yōu)化建議記錄（如員工提出的“簡化控制步驟但不降低有效性”的建議及采納情況）；

7)驗證文化氛圍證據(jù)（如合規(guī)控制改進案例的內(nèi)部宣傳材料）。1)控制閉環(huán)管理文件（如《合規(guī)控制維護-評審-測試-改進管理辦法》）；

2)實時監(jiān)視記錄（如合規(guī)風險預警系統(tǒng)日志、實時控制執(zhí)行數(shù)據(jù)報表）；

3)糾正措施記錄（如《合規(guī)控制缺陷整改計劃》《整改驗證報告》，含整改前后測試結(jié)果對比）；

4)控制程序動態(tài)調(diào)整記錄（如法規(guī)更新后的程序修訂版、修訂審批單、傳達記錄）；

5)管理層參與記錄（如管理層參加控制評審的簽到表、審批的改進計劃）；

6)人員優(yōu)化建議記錄（如《合規(guī)控制建議收集表》《建議采納情況反饋單》）；

7)文化宣傳材料（如控制改進案例通報、合規(guī)控制文化宣傳海報）；

8)年度控制有效性評估報告（含閉環(huán)改進效果總結(jié)）。表8.2-2：與“8.2確立控制和程序”相關的“結(jié)果和影響”評價操作指引8.2條文級別內(nèi)容描述具體評價操作要點評價所需文件和記錄8.2確立控制和程序組織應實施控制以管理其合規(guī)義務和相關合規(guī)風險。應對這些控制進行維護、定期評審和測試，以確保其持續(xù)有效。注：測試控制是指實施經(jīng)過設計的活動以檢驗控制是否按照既定目的運行，或者不能被規(guī)避，或者切實有效地降低風險的后果或可能性。1級未實施任何管理合規(guī)義務及相關風險的控制，無任何可識別的“控制管理義務、降低風險”的結(jié)果，組織因無控制措施面臨明顯合規(guī)風險（如未識別的不合規(guī)行為），無任何與控制相關的影響（如無風險降低、義務履行的證據(jù)）。1)評審組織近1-2年的合規(guī)風險評估報告，確認是否因無控制措施導致“未管理的合規(guī)風險”（如未識別反壟斷風險）；

2)檢查是否有因無控制導致的不合規(guī)記錄（如監(jiān)管處罰、客戶投訴）；

3)訪談合規(guī)職能人員，確認是否無“控制實施后風險降低”的任何證據(jù)。1)合規(guī)風險評估報告（記錄“未建立控制導致風險未管控”）；

2)不合規(guī)記錄（如監(jiān)管處罰決定書、客戶投訴信，原因注明“無合規(guī)控制”）；

3)人員訪談記錄（記錄“無控制實施結(jié)果”“風險未降低”）。2級已實施部分控制，但控制結(jié)果不一致（如部分業(yè)務通過控制降低風險，部分業(yè)務因控制缺失仍存風險），控制與“管理合規(guī)義務、實現(xiàn)合規(guī)目標”的對齊是偶然的（如僅某次檢查中控制有效，無持續(xù)性），無穩(wěn)定的“控制降低風險”的影響，部分合規(guī)義務因控制不足未得到履行。1)比對不同業(yè)務部門的控制執(zhí)行結(jié)果（如采購部門控制有效降低供應商合規(guī)風險，銷售部門因控制缺失仍存商業(yè)賄賂風險）；

2)檢查合規(guī)目標達成記錄（如“降低不合規(guī)發(fā)生率”的目標，僅偶然達成，無連續(xù)3個月以上達成記錄）；

3)評審合規(guī)義務履行證據(jù)（如部分稅務合規(guī)義務因控制不足導致申報延遲）；

4)分析風險發(fā)生率數(shù)據(jù)（如控制執(zhí)行月份風險低，未執(zhí)行月份風險高，無規(guī)律性）。1)各業(yè)務部門控制執(zhí)行結(jié)果對比表（如《采購vs銷售合規(guī)風險發(fā)生率對比表》）；

2)合規(guī)目標達成記錄（如月度《合規(guī)目標達成報告》，記錄“偶然達成”）；

3)合規(guī)義務履行記錄（如稅務申報延遲記錄、未履行的行業(yè)規(guī)范清單）；

4)風險發(fā)生率統(tǒng)計數(shù)據(jù)（如月度合規(guī)風險發(fā)生次數(shù)報表）。3級已實施完整控制并形成結(jié)果，但結(jié)果與“管理合規(guī)義務、降低風險”的目標僅松散對齊（如控制覆蓋80%合規(guī)義務，但仍有20%義務因控制有效性不足未充分管理），控制結(jié)果在合規(guī)管理體系范圍內(nèi)不具有一致性（如總部控制結(jié)果良好，分支機構(gòu)控制結(jié)果差），部分風險因控制未充分測試仍未有效降低。1)驗證控制覆蓋的合規(guī)義務比例（如對照合規(guī)義務清單，檢查控制管理的義務數(shù)量占比）；

2)比對不同層級/區(qū)域的控制結(jié)果（如總部vs分支機構(gòu)的不合規(guī)發(fā)生率差異）；

3)評審控制測試結(jié)果（如未測試的控制環(huán)節(jié)，對應的風險發(fā)生率是否高于已測試環(huán)節(jié)）；

4)分析合規(guī)目標達成率（如“控制覆蓋100%義務”的目標，僅達成80%）。1)合規(guī)義務控制覆蓋表（記錄“已控制/未充分控制的義務清單及比例”）；

2)不同層級/區(qū)域控制結(jié)果對比表（如《總部vs分支機構(gòu)合規(guī)控制效果對比報告》）；

3)控制測試結(jié)果與風險發(fā)生率關聯(lián)分析表；

4)合規(guī)目標達成率統(tǒng)計報告（記錄“松散對齊”的具體數(shù)據(jù)）。4級控制結(jié)果與“管理合規(guī)義務、降低合規(guī)風險”的既定目標完全對齊（如控制覆蓋100%合規(guī)義務，風險發(fā)生率較上年降低50%），控制結(jié)果完全融入組織業(yè)務過程（如控制結(jié)果作為業(yè)務決策的輸入，如供應商選擇參考控制評估結(jié)果），通過控制持續(xù)降低合規(guī)風險（如連續(xù)6個月以上不合規(guī)發(fā)生率低于目標值），合規(guī)義務因控制有效得到充分履行。1)評審合規(guī)目標達成記錄（如年度“控制覆蓋100%合規(guī)義務”“風險發(fā)生率降低50%”的目標，均達成且有連續(xù)數(shù)據(jù)支持）；

2)檢查控制結(jié)果對業(yè)務決策的支撐證據(jù)（如供應商準入審批單，引用“合規(guī)控制評估合格”結(jié)論）；

3)分析風險發(fā)生率趨勢（如連續(xù)6個月不合規(guī)發(fā)生率低于目標值，無反彈）；

4)驗證合規(guī)義務履行證據(jù)（如100%合規(guī)義務有控制履行記錄，無遺漏）；

5)評審控制測試結(jié)果（如90%以上控制通過測試，確認“按既定目的運行”）。1)年度合規(guī)目標達成報告（含控制相關目標的達成數(shù)據(jù)及證據(jù)）；

2)業(yè)務決策記錄（如供應商準入審批單、合同審批單，含控制結(jié)果引用）；

3)合規(guī)風險發(fā)生率趨勢圖（連續(xù)6個月以上數(shù)據(jù)）；

4)合規(guī)義務履行清單及控制證據(jù)（如稅務合規(guī)申報記錄、安全生產(chǎn)合規(guī)檢查記錄）；

5)控制測試結(jié)果報告（記錄“通過測試的控制比例”）。5級控制結(jié)果被整合到“風險識別-控制實施-結(jié)果評價-改進”的反饋循環(huán)中（如控制結(jié)果用于優(yōu)化風險評估方法、調(diào)整控制措施），該循環(huán)促進控制的持續(xù)改進（如基于控制結(jié)果優(yōu)化數(shù)據(jù)合規(guī)控制流程），并能適應內(nèi)外部變化（如法規(guī)更新后，控制結(jié)果快速反饋并調(diào)整程序），控制對“長期降低合規(guī)風險、持續(xù)履行合規(guī)義務”產(chǎn)生顯著正向影響（如連續(xù)1年無重大不合規(guī)事件，合規(guī)義務履行率100%）。1)評審反饋循環(huán)的運行證據(jù)（如《合規(guī)控制結(jié)果反饋報告》，記錄“控制結(jié)果→風險評估優(yōu)化→控制調(diào)整”的閉環(huán)）；

2)檢查控制持續(xù)改進記錄（如基于控制結(jié)果修訂的《數(shù)據(jù)合規(guī)控制流程》，注明“因控制結(jié)果顯示某環(huán)節(jié)風險高，故優(yōu)化”）；

3)驗證控制對變化的適應性（如法規(guī)更新后，控制結(jié)果反饋并調(diào)整程序的時間間隔，是否在1個月內(nèi)完成）；

4)分析長期合規(guī)績效（如連續(xù)1年無重大不合規(guī)事件、合規(guī)義務履行率100%的統(tǒng)計數(shù)據(jù)）；

5)評審相關方反饋（如監(jiān)管機構(gòu)表揚、客戶合規(guī)滿意度提升）。1)合規(guī)控制結(jié)果反饋循環(huán)記錄（如《控制結(jié)果→改進措施閉環(huán)表》）；

2)控制持續(xù)改進記錄（如修訂后的控制程序、改進審批單、改進效果驗證報告）；

3)控制適應變化的證據(jù)（如法規(guī)更新后的控制程序修訂記錄、修訂時間節(jié)點表）；

4)長期合規(guī)績效數(shù)據(jù)（如年度《合規(guī)績效報告》，含重大不合規(guī)事件為0、合規(guī)義務履行率100%）；

5)相關方反饋記錄（如監(jiān)管機構(gòu)表揚信、客戶合規(guī)滿意度調(diào)查報告）。GB∕T35770-2022-2022合規(guī)管理體系之“8.3提出疑慮”過程有效性評價操作指引表8.3-1：與“8.3提出疑慮”相關的方針和程序、行為和文化評價操作指引8.3條文級別內(nèi)容描述具體評價操作要點評價所需文件和記錄8.3提出疑慮組織應確立、實施并保持一個報告過程，以鼓勵和促進(在有合理理由相信信息真實的情況下)報告試圖、涉嫌或?qū)嶋H存在的違反合規(guī)方針或合規(guī)義務的行為。該過程應：-在整個組織內(nèi)可見并可訪問；-對報告保密；-接受匿名報告；-保護報告者免于遭受打擊報復；-便于人員獲得建議。組織應確保所有人員了解報告程序、了解其自身的權(quán)利和保障機制，并能運用相關程序。1級未建立提出疑慮的程序（未確立、實施、維護任何針對“試圖、涉嫌或?qū)嶋H違反合規(guī)方針/義務”的報告過程，未覆蓋“可見可訪問、保密、匿名、防報復、獲建議”任一要求，也未開展人員認知宣貫）。1)核查組織是否存在任何文件化的“提出疑慮”相關程序文件（如《疑慮報告管理辦法》《舉報管理規(guī)程》等）；

2)訪談合規(guī)職能人員及核心業(yè)務部門人員，確認是否知曉任何形式的疑慮報告流程；

3)檢查是否有針對“提出疑慮”過程的策劃記錄（如會議紀要、立項文件等）。1)無相關程序文件（需書面確認無此文件）；

2)訪談記錄（顯示人員不知曉任何報告流程）；

3)無策劃記錄（如年度合規(guī)工作計劃中無“提出疑慮機制”相關內(nèi)容）。2級已建立提出疑慮的程序，但程序不完整（如未覆蓋“可見可訪問、保密、匿名、防報復、獲建議”中1項及以上要求）；程序未在業(yè)務活動中實施或?qū)嵤┎灰恢拢ㄈ鐑H部分部門知曉、部分報告渠道無法使用）；未有效確保人員了解程序及自身權(quán)利保障。1)評審已有的“提出疑慮”程序文件，對照8.3條款要求，識別缺失的要素（如無匿名報告渠道說明、無防報復措施描述）；

2)抽查不同職能部門（如銷售、采購、HR）的實施記錄，確認程序是否在全組織統(tǒng)一執(zhí)行（如A部門有報告熱線，B部門無）；

3)通過問卷或訪談（覆蓋基層、中層人員），驗證人員對程序的知曉程度（如是否知道報告渠道、自身權(quán)利）。1)不完整的程序文件（如《舉報流程》缺失“保密管理”章節(jié)）；

2)實施不一致的證據(jù)（如部門合規(guī)檢查記錄顯示部分部門未推廣報告渠道）；

3)問卷/訪談記錄（顯示超50%人員不知曉報告程序）。3級已建立關于潛在、疑似或?qū)嶋H存在的不合規(guī)的疑慮提出的全面程序（完整覆蓋“提出疑慮機制范圍、接收報告渠道、報告人信息處理機制、報告人及相關人員保護措施”，且滿足“可見可訪問、保密、匿名、防報復、獲建議”全部要求）；程序已向人員溝通（如開展宣貫）；但因資源不足（如無專職人員、無預算、無技術工具）導致有效實施受限；已創(chuàng)建并維護文件化信息。1)評審程序文件，確認是否明確“疑慮報告范圍（如哪些違規(guī)行為可報告）、渠道（如熱線、郵箱、線上系統(tǒng)）、信息處理（如報告登記、流轉(zhuǎn)時限）、保護措施（如信息加密、禁止報復條款）、建議獲取方式（如合規(guī)專員咨詢渠道）”；

2)檢查程序溝通記錄（如培訓課件、郵件通知、海報張貼記錄）；

3)核查資源配置情況（如是否有合規(guī)崗位說明書包含“疑慮報告處理”職責、是否有年度合規(guī)預算分配給報告機制運行）；

4)檢查文件化信息（如程序文件版本記錄、宣貫簽到表）。1)全面的《疑慮報告管理程序》（含范圍、渠道、信息處理、保護措施、建議渠道章節(jié)）；

2)程序宣貫記錄（如培訓簽到表、內(nèi)部公告截圖）；

3)資源不足的證據(jù)（如合規(guī)部門人員配置表無“報告處理崗”、年度預算表無“報告系統(tǒng)維護”預算項）；

4)文件化信息臺賬（如程序修訂記錄、宣貫材料存檔）。4級已建立并運行第3級所述的全面程序，且根據(jù)以往疑慮報告處理實踐（如歷史報告的流轉(zhuǎn)效率、人員反饋）對程序進行調(diào)整；已為實施疑慮機制分配所需資源（如專職處理人員、專項預算、技術工具（如加密報告系統(tǒng)））；已創(chuàng)建、維護和更新適當?shù)奈募畔ⅲㄗ鳛榻邮?、評估、處理報告的證據(jù)）；已有效確保人員了解程序及自身權(quán)利。1)評審程序修訂記錄，確認是否基于以往實踐（如2024年報告處理中“流轉(zhuǎn)超時”問題，2025年程序新增“流轉(zhuǎn)時限考核條款”）；

2)核查資源配置證據(jù)（如崗位任命書（含報告處理職責）、預算執(zhí)行記錄（如報告系統(tǒng)采購合同）、技術工具使用說明）；

3)檢查報告處理的文件化證據(jù)（如報告登記表、評估記錄、處理意見單）；

4)通過抽樣訪談（覆蓋各層級），驗證人員對程序及權(quán)利的知曉程度（如能準確描述報告渠道、防報復權(quán)利）。1)程序修訂記錄（含修訂依據(jù)說明，如“基于2024年報告處理復盤會議紀要調(diào)整”）；

2)資源配置文件（崗位任命書、預算支付憑證、報告系統(tǒng)采購合同）；

3)報告處理證據(jù)鏈（報告登記單、評估表、處理結(jié)果通知書）；

4)訪談記錄（顯示80%以上人員能準確描述程序及權(quán)利）。5級已建立第3級所述的全面程序，并完全融入組織流程（如嵌入HR員工手冊、業(yè)務部門操作流程、IT系統(tǒng)權(quán)限配置）；程序得到持續(xù)監(jiān)視（如定期檢查渠道可用性）、評估（如季度處理效率分析）和改進（如根據(jù)新法規(guī)調(diào)整報告范圍），能適應內(nèi)外部環(huán)境變化（如新增數(shù)據(jù)合規(guī)義務后擴展報告范圍）；已建立并維護更新的文件化信息（含報告歸檔、匯報、商定行動落實記錄）；人員能熟練運用程序，權(quán)利保障機制有效落地。1)檢查組織現(xiàn)有流程文件（如HR《員工行為規(guī)范》包含“疑慮報告權(quán)利”、采購《供應商管理流程》包含“供應商違規(guī)報告渠道”），確認程序是否嵌入；

2)評審程序監(jiān)視記錄（如月度報告渠道可用性測試記錄）、評估記錄（如季度報告處理效率報表）、改進記錄（如根據(jù)《中華人民共和國數(shù)據(jù)安全法》修訂程序增加“數(shù)據(jù)違規(guī)報告”條款）；

3)檢查文件化信息的完整性（如報告歸檔臺賬、向管理層的匯報紀要、改進行動跟蹤表）；

4)驗證人員運用能力（如模擬報告場景，人員能正確操作報告渠道）。1)嵌入程序的組織流程文件（如員工手冊、業(yè)務流程文件）；

2)程序監(jiān)視/評估/改進記錄（渠道測試表、季度分析報告、程序修訂文件）；

3)完整的文件化信息（報告歸檔冊、管理層匯報紀要、改進行動跟蹤表）；

4)模擬測試記錄（顯示人員能正確使用報告渠道）。表8.3-2：與“8.3提出疑慮”相關的“結(jié)果和影響”評價操作指引8.3條文級別內(nèi)容描述具體評價操作要點評價所需文件和記錄8.3提出疑慮組織應確立、實施并保持一個報告過程，以鼓勵和促進(在有合理理由相信信息真實的情況下)報告試圖、涉嫌或?qū)嶋H存在的違反合規(guī)方針或合規(guī)義務的行為。該過程應：-在整個組織內(nèi)可見并可訪問；-對報告保密；-接受匿名報告；-保護報告者免于遭受打擊報復；-便于人員獲得建議。組織應確保所有人員了解報告程序、了解其自身的權(quán)利和保障機制，并能運用相關程序。1級人員不了解或不信任提出疑慮的機制（絕大多數(shù)人員不知曉報告程序、報告渠道、自身權(quán)利；或知曉但因無保密/防報復保障而不信任，拒絕使用）。1)開展全員抽樣問卷（抽樣比例不低于20%），統(tǒng)計“知曉報告程序/渠道/權(quán)利”的人員占比（低于30%視為不了解）；

2)訪談有潛在合規(guī)疑慮經(jīng)歷的人員（如曾發(fā)現(xiàn)違規(guī)但未報告者），了解不使用機制的原因（如認為“報告后信息會泄露”“會被報復”）；

3)檢查是否有任何人員使用報告機制的記錄（如無任何報告登記）。1)全員抽樣問卷及統(tǒng)計結(jié)果（知曉率低于30%）；

2)訪談記錄（顯示人員因不了解或不信任拒絕使用）；

3)報告機制使用記錄（無任何報告登記信息）。2級僅有部分人員了解或信任提出疑慮的機制（如僅合規(guī)部門、管理層知曉，基層人員不知曉；部分人員知曉但不信任，選擇向外部機構(gòu)（如監(jiān)管部門、媒體）或公眾報告，而非內(nèi)部機制）；內(nèi)部報告量極少或為零。1)按部門/層級分層抽樣訪談（如管理層、中層、基層各抽10%），統(tǒng)計不同層級“知曉并信任”的比例（僅部分層級/部門達標）；

2)核查外部機構(gòu)反饋記錄（如監(jiān)管部門投訴記錄、媒體曝光信息），確認是否存在本應內(nèi)部報告卻外報的案例；

3)檢查內(nèi)部報告記錄，統(tǒng)計報告數(shù)量（如半年內(nèi)僅1-2條或無）。1)分層訪談記錄及統(tǒng)計結(jié)果（僅部分人員知曉信任）；

2)外部機構(gòu)反饋記錄（如監(jiān)管投訴函、媒體報道截圖，顯示內(nèi)部未報告）；

3)內(nèi)部報告登記臺賬（報告量極少或為零）。3級人員了解提出疑慮的機制（大多數(shù)人員能知曉報告程序、渠道、自身權(quán)利）；但信任度一般（部分人員仍有顧慮），報告量較少；未出現(xiàn)明顯的外報情況；未驗證防報復措施的實際效果。1)開展全員抽樣問卷（抽樣比例不低于30%），統(tǒng)計“知曉報告程序/渠道/權(quán)利”的人員占比（不低于70%）；

2)訪談人員了解對機制的信任程度（如“是否擔心報告后信息泄露”），統(tǒng)計“有顧慮”的人員比例；

3)檢查內(nèi)部報告記錄（如半年內(nèi)報告量3-5條）及外部反饋記錄（無因內(nèi)部機制未使用導致的外報）；

4)核查是否有報復投訴案例（無相關案例，無法驗證防報復效果）。1)全員抽樣問卷及統(tǒng)計結(jié)果（知曉率不低于70%）；

2)信任度訪談記錄（部分人員有顧慮）；

3)內(nèi)部報告臺賬（報告量較少）及外部反饋記錄（無外報）；

4)無報復投訴記錄（書面確認）。4級提出疑慮的機制得到積極管理（如定期評審機制運行情況、及時處理報告），并為人員所知（知曉率不低于90%）；已創(chuàng)造保密、無報復、保護報告人的環(huán)境（如無報告人信息泄露案例、無報復投訴）；人員信任度較高，報告量穩(wěn)定；能為人員提供建議支持（如合規(guī)專員及時響應咨詢）。1)檢查機制管理記錄（如季度評審會議紀要、報告處理時限跟蹤表）；

2)開展全員抽樣問卷（抽樣比例不低于40%），統(tǒng)計知曉率（不低于90%）；

3)核查保密措施實施證據(jù)（如報告信息加密記錄、訪問權(quán)限控制日志）、防報復措施證據(jù)（如無報復投訴記錄、員工滿意度調(diào)查中“無報復擔憂”占比高）；

4)檢查報告記錄（如每月報告量穩(wěn)定在2-3條）及建議咨詢記錄（如合規(guī)專員咨詢回復臺賬）。1)機制管理記錄（季度評審紀要、時限跟蹤表）；

2)全員抽樣問卷（知曉率不低于90%）；

3)保密/防報復證據(jù)（加密記錄、權(quán)限日志、無報復投訴記錄）；

4)報告臺賬（量穩(wěn)定）及建議咨詢臺賬（及時回復記錄）。5級提出疑慮的渠道易于獲?。ㄈ鐭峋€24小時暢通、線上系統(tǒng)無故障、線下信箱易找到）且為人員所熟知（知曉率100%）；人員信任并愿意使用匯報渠道（報告量合理，無因不信任導致的外報）；已接收并處理報告（含疑似情況），形成閉環(huán)（登記-評估-處理-反饋），并創(chuàng)建維護文件化信息；有證據(jù)表明合規(guī)水平提高（如報告處理后同類違規(guī)減少）；報告者得到保護（無報復案例，有報復投訴則已妥善處理）；規(guī)定期限內(nèi)無報告時已開展機制有效性分析及改進評審。1)驗證渠道可及性（如測試熱線接通率、檢查線上系統(tǒng)運行日志、實地查看線下信箱位置）；

2)開展全員問卷（知曉率100%）及信任度調(diào)查（“愿意使用”占比不低于95%）；

3)檢查報告處理閉環(huán)記錄（登記單-評估表-處理方案-結(jié)果反饋單-歸檔）；

4)對比報告處理前后的合規(guī)指標（如2024年處理“采購違規(guī)”報告后，2025年同類違規(guī)減少60%）；

5)核查防報復證據(jù)（無報復案例，如有報復投訴則有處理紀要及整改記錄）；

6)檢查無報告時的有效性分析報告（如季度無報告時的機制評估報告）及改進評審記錄。1)渠道可及性證據(jù)（熱線接通率測試記錄、系統(tǒng)運行日志、信箱實地照片）；

2)全員問卷（知曉率100%）及信任度調(diào)查（愿意使用率≥95%）；

3)報告閉環(huán)記錄（完整證據(jù)鏈）；

4)合規(guī)指標對比表（如違規(guī)發(fā)生率統(tǒng)計）；

5)防報復證據(jù)（無報復案例/報復投訴處理紀要）；

6)無報告時的有效性分析報告及改進評審紀要。GB∕T35770-2022-2022合規(guī)管理體系之“8.4調(diào)查過程”過程有效性評價操作指引表8.4-1：與“8.4調(diào)查過程”相關的方針和程序、行為和文化評價操作指引8.4條文級別內(nèi)容描述具體評價操作要點評價所需文件和記錄8.4調(diào)查過程組織應開發(fā)、確立、實施并維護過程，以評估、評價、調(diào)查有關涉嫌或?qū)嶋H的不合規(guī)情形的報告，并做出結(jié)論。這些過程應確保能公平、公正的作出決定。調(diào)查過程應由具備相應能力的人員獨立進行，且避免利益沖突。組織應視情況利用調(diào)查結(jié)果改進合規(guī)管理體系(見第10章)。組織應定期向治理機構(gòu)或最高管理者報告調(diào)查的次數(shù)和結(jié)果。組織應保留有關調(diào)查的文件化信息。1級未建立關于調(diào)查的程序，未覆蓋“8.4調(diào)查過程”中“開發(fā)/確立/實施/維護調(diào)查過程”“調(diào)查人員能力與獨立性”“調(diào)查結(jié)果應用”“定期報告”“文件化信息保留”任一要求。1)檢查組織是否存在任何與不合規(guī)報告調(diào)查相關的程序文件（如《調(diào)查管理程序》《不合規(guī)調(diào)查操作規(guī)程》等）；

2)訪談合規(guī)職能人員及核心業(yè)務部門負責人，確認是否有針對涉嫌/實際不合規(guī)報告的調(diào)查流程；

3)驗證是否無任何與調(diào)查相關的制度、流程設計，完全未響應“8.4調(diào)查過程”核心要求。1)組織現(xiàn)有合規(guī)管理體系文件清單（確認無調(diào)查相關程序）；

2)與合規(guī)職能、業(yè)務部門負責人的訪談記錄（確認無調(diào)查流程）。2級已建立關于調(diào)查的程序，但程序不完整（如未明確調(diào)查范圍界定方法、未規(guī)定調(diào)查人員能力標準、未提及利益沖突規(guī)避措施、未關聯(lián)調(diào)查結(jié)果改進要求等）；程序未在業(yè)務活動中實施或?qū)嵤┎灰恢拢ㄈ绮糠謽I(yè)務部門不執(zhí)行調(diào)查流程、調(diào)查操作無統(tǒng)一標準），未有效覆蓋“8.4調(diào)查過程”全部要求。1)評審已有的調(diào)查程序文件，確認是否缺失“8.4調(diào)查過程”關鍵要素（如調(diào)查范圍界定、人員能力/獨立性要求、結(jié)果改進、定期報告、文件保留）；

2)抽查不同業(yè)務部門（如銷售、采購、財務）的不合規(guī)報告處理記錄，驗證程序?qū)嵤┮恢滦裕ㄈ缡欠窬闯绦騿诱{(diào)查）；

3)訪談調(diào)查執(zhí)行人員，確認是否因程序不完整導致調(diào)查操作不規(guī)范（如無利益沖突申報環(huán)節(jié)）。1)不完整的調(diào)查程序文件（標注缺失的“8.4”相關要素）；

2)不同業(yè)務部門的不合規(guī)報告處理臺賬（體現(xiàn)實施不一致）；

3)調(diào)查執(zhí)行人員訪談記錄（確認程序缺陷導致的操作問題）。3級1)已針對疑似或?qū)嶋H不合規(guī)情況建立全面的調(diào)查程序，具體規(guī)定“8.4調(diào)查過程”核心要求：

-調(diào)查范圍界定方法（如按不合規(guī)模塊、業(yè)務領域明確調(diào)查邊界）；

-調(diào)查人員能力（如資質(zhì)、培訓要求）和獨立性要求（如利益沖突申報、回避機制）；

-調(diào)查過程（如從報告接收、證據(jù)收集、分析評估到結(jié)論出具的步驟）及報告編制/分發(fā)要求；

-調(diào)查結(jié)果用于合規(guī)體系改進的初步路徑、定期報告要求及文件化信息保留要求。

2)程序已向相關人員溝通，但因人力資源不足、預算缺失、工具匱乏等導致有效實施受限；已創(chuàng)建并維護關于調(diào)查的適當文件化信息。1)評審調(diào)查程序文件，驗證是否完整覆蓋“8.4調(diào)查過程”所有要素（范圍界定、人員能力/獨立性、過程步驟、報告編制分發(fā)、結(jié)果改進、定期報告、文件保留）；

2)檢查程序溝通記錄（如培訓簽到表、文件分發(fā)臺賬），確認相關人員（合規(guī)、業(yè)務、管理層）知曉程序要求；

3)核查資源配置文件（如人力資源配置表、年度預算表、調(diào)查工具清單），確認資源不足的具體表現(xiàn)（如專職調(diào)查人員數(shù)量不足、無調(diào)查分析工具）；

4)抽查調(diào)查文件化信息（如調(diào)查計劃、證據(jù)材料、初步報告），確認其完整性和規(guī)范性。1)完整的《調(diào)查管理程序》（明確“8.4”所有要素）；

2)程序溝通記錄（培訓簽到表、文件分發(fā)臺賬）；

3)資源配置文件（人力資源配置表、預算表、工具清單）；

4)調(diào)查文件化信息樣本（調(diào)查計劃、證據(jù)材料、初步報告）。4級已建立并實施第3級規(guī)定的全面調(diào)查程序，且根據(jù)以往調(diào)查實踐（如歷史案例、問題反饋）對程序進行調(diào)整（如優(yōu)化調(diào)查步驟、細化人員能力標準）；已為調(diào)查機制實施分配所需資源（專職調(diào)查人員、專項預算、調(diào)查工具/系統(tǒng)）；已創(chuàng)建、維護并更新關于調(diào)查過程（如調(diào)查進度臺賬、證據(jù)鏈記錄）和結(jié)果（如調(diào)查結(jié)論報告、整改建議）的適當文件化信息，有效覆蓋“8.4調(diào)查過程”全部要求。1)評審程序修訂記錄（如修訂說明、審批單），確認是否基于以往調(diào)查實踐（如歷史調(diào)查案例復盤報告、問題反饋記錄）進行優(yōu)化；

2)核查資源配置落實證據(jù)（如專職調(diào)查人員任命文件、預算執(zhí)行憑證、調(diào)查工具采購合同/使用記錄）；

3)抽查調(diào)查過程文件（進度臺賬、證據(jù)鏈記錄）和結(jié)果文件（結(jié)論報告、整改建議），確認其動態(tài)更新（如根據(jù)調(diào)查進展補充證據(jù)、根據(jù)結(jié)論調(diào)整整改建議）；

4)訪談調(diào)查人員，確認資源是否滿足調(diào)查需求、程序調(diào)整是否提升調(diào)查效率。1)調(diào)查程序修訂記錄（修訂說明、審批單、歷史案例復盤報告）；

2)資源配置落實證據(jù)（人員任命文件、預算執(zhí)行憑證、工具采購/使用記錄）；

3)動態(tài)更新的調(diào)查過程文件（進度臺賬、證據(jù)鏈記錄）和結(jié)果文件（結(jié)論報告、整改建議）；

4)調(diào)查人員訪談記錄（確認資源充足性、程序優(yōu)化效果）。5級已建立第3級規(guī)定的全面調(diào)查程序，并完全融入組織現(xiàn)有管理過程（如與合規(guī)風險評估、內(nèi)部審核、績效評價等流程銜接）；對調(diào)查程序進行持續(xù)監(jiān)視（如定期檢查程序執(zhí)行率）和評價（如調(diào)查效率/公正性評估），根據(jù)內(nèi)外部環(huán)境變化（如法規(guī)更新、業(yè)務拓展）優(yōu)化程序；已創(chuàng)建并維護關于調(diào)查過程和結(jié)果的更新文件化信息，確保與“8.4調(diào)查過程”要求持續(xù)匹配，且支持合規(guī)管理體系整體有效性提升。1)評審組織管理流程文件（如合規(guī)管理體系流程圖、流程銜接說明），確認調(diào)查程序與風險評估、內(nèi)部審核、績效評價等流程的融合情況（如調(diào)查結(jié)果作為風險評估輸入、內(nèi)部審核驗證調(diào)查程序執(zhí)行）；

2)檢查程序監(jiān)視記錄（如程序執(zhí)行率統(tǒng)計表、偏差分析報告）和評價記錄（如調(diào)查效率報告、公正性評估問卷結(jié)果）；

3)核查程序優(yōu)化記錄（如因法規(guī)更新修訂調(diào)查范圍、因業(yè)務拓展補充跨區(qū)域調(diào)查流程）；

4)抽查最新調(diào)查文件化信息，確認其是否反映程序優(yōu)化結(jié)果、是否支持合規(guī)體系改進（如調(diào)查結(jié)果直接關聯(lián)體系修訂建議）。1)組織管理流程文件（合規(guī)體系流程圖、流程銜接說明）；

2)程序監(jiān)視記錄（執(zhí)行率統(tǒng)計表、偏差分析報告）和評價記錄（效率報告、公正性評估問卷）；

3)程序優(yōu)化記錄（法規(guī)更新/業(yè)務拓展相關的修訂文件）；

4)最新調(diào)查文件化信息（體現(xiàn)程序優(yōu)化、支持體系改進）。表8.4-2：與“8.4調(diào)查過程”相關的“結(jié)果和影響”評價操作指引8.4條文級別內(nèi)容描述具體評價操作要點