GB/T35770-2022《合規(guī)管理體系要求及使用指南》之16:

“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料

(2025C0)

GB/T35770-2022《合規(guī)管理體系要求及使用指南》

8.2建立控制和程序

組織應(yīng)實施控制以管理其合規(guī)義務(wù)和相關(guān)合規(guī)風(fēng)險。應(yīng)對這些控制進(jìn)行保持、定期評審和測試，以確

保其持續(xù)有效。

注：測試控制是指實施經(jīng)過設(shè)計的活動以檢驗控制是否按照既定目的運行，或者不能被規(guī)避，或者切實有效地降低風(fēng)險

的后果或可能性。

8運行

8.2建立控制和程序

(1)與“建立控制和程序”相關(guān)術(shù)語的定義及涵義解讀；

術(shù)語定義（推薦?。〨B∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）.pdf涵義解讀

-控制是組織為履行合規(guī)義務(wù)和降低合規(guī)風(fēng)險所設(shè)計的系統(tǒng)性措施。

其核心功能包括：

為管理合規(guī)風(fēng)險而·預(yù)防性：通過制度設(shè)計(如審批流程、職責(zé)分離)提前阻斷不合規(guī)

采取的措施，包括方行為；

針、過程、程序、技·檢測性：通過監(jiān)控和報告機(jī)制(如審計、系統(tǒng)警報)及時發(fā)現(xiàn)偏差；

術(shù)手段或其他機(jī)制。·糾正性：通過調(diào)查和整改措施處理已發(fā)生的不合規(guī)事件。

控制

按照既定準(zhǔn)則對過一控制的持續(xù)有效性需通過定期評審和測試驗證；

程實施的管理措施，一強(qiáng)調(diào)動態(tài)管理，是預(yù)防不合規(guī)行為的關(guān)鍵機(jī)制，依據(jù)策劃階段確立

以確保過程符合合的準(zhǔn)則(如審批流程、分離不相容職責(zé)),通過監(jiān)督、測量和干預(yù)手

規(guī)要求。段確保過程執(zhí)行不偏離合規(guī)目標(biāo)。

-控制的實施應(yīng)覆蓋組織運營的各個層面和環(huán)節(jié)，從戰(zhàn)略決策到日常

操作，確保全方位的合規(guī)管理。

程序是將控制措施具體化的操作性指南，確?？刂频目蓤?zhí)行性和一致

性。

為執(zhí)行某項活動或一嵌入業(yè)務(wù)流程：程序需與組織的日常運營結(jié)合(如采購流程中的合

過程所規(guī)定的途徑，規(guī)審查節(jié)點);

程序

包括操作步驟、職責(zé)-動態(tài)更新：隨合規(guī)義務(wù)變化(如法規(guī)更新)調(diào)整程序內(nèi)容；

分配和記錄要求。-標(biāo)準(zhǔn)化：通過文件化信息(如工作指引)確保全員統(tǒng)一執(zhí)行。

-程序不僅要明確操作步驟，還要清晰界定各環(huán)節(jié)的時間節(jié)點和質(zhì)

量標(biāo)準(zhǔn)，以提高執(zhí)行效率和效果。

測試控制實施設(shè)計的活動以測試是確?？刂瞥掷m(xù)有效的核心機(jī)制：

（推薦！）GB∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）.pdfGB∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）

術(shù)語定義涵義解讀

驗證控制是否：-方法多樣性：包括穿行測試、抽樣檢查、壓力測試(如模擬賄賂場

-按目的運行；景檢驗舉報機(jī)制);

-不可規(guī)避；-驗證維度：

-有效降低風(fēng)險后·有效性：控制是否達(dá)成設(shè)計目標(biāo)；

果或可能性·健壯性：能否抵御規(guī)避企圖(如繞過審批);

-頻率設(shè)定：基于風(fēng)險水平確定測試周期(如高風(fēng)險領(lǐng)域季度測試)。

一測試控制的結(jié)果應(yīng)形成詳細(xì)的報告，明確指出控制存在的問題和

改進(jìn)建議，為控制的優(yōu)化提供依據(jù)。

組織遵守的法律法合規(guī)義務(wù)是組織實施控制和程序的基礎(chǔ)和依據(jù)。組織需要全面識別和

規(guī)、監(jiān)管要求、合同理解自身面臨的合規(guī)義務(wù)，才能有針對性地設(shè)計和實施控制措施。這

合規(guī)義務(wù)

義務(wù)以及組織自身些義務(wù)涵蓋了多個方面，包括外部的法律規(guī)定和內(nèi)部的自律要求，組

承諾的其他要求?？棻仨毚_保所有活動都在合規(guī)義務(wù)的框架內(nèi)進(jìn)行。

對合規(guī)義務(wù)的違反

合規(guī)風(fēng)險是組織實施控制和程序的驅(qū)動因素。組織實施控制和程序的

可能導(dǎo)致的法律責(zé)

主要目的就是管理合規(guī)風(fēng)險，降低其發(fā)生的可能性和影響程度。通過

合規(guī)風(fēng)險任、財務(wù)損失、聲譽(yù)

對合規(guī)風(fēng)險的識別、評估和應(yīng)對，組織可以更好地保障自身的穩(wěn)健運

損害或其他負(fù)面影

營和可持續(xù)發(fā)展。

響的可能性。

（推薦?。〨B∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）.pdf

(2)“建立控制和程序”的目的和意圖說明；

條款號與主題核心目的意圖說明

一從組織整體層面出發(fā)，通過建立涵蓋各業(yè)務(wù)領(lǐng)域的控制和程

序體系(包括政策、流程、監(jiān)督機(jī)制等),提前識別、評估、

建立并維護(hù)有效的控監(jiān)控和應(yīng)對合規(guī)風(fēng)險，不僅滿足外部法律法規(guī)和內(nèi)部規(guī)章制度

制與程序體系，確保組要求，更形成系統(tǒng)性的風(fēng)險預(yù)判與防范能力，保障組織全面、

8.2建立控制

織能夠履行合規(guī)義務(wù)，持續(xù)地符合合規(guī)要求，為合規(guī)管理提供戰(zhàn)略和策略層面的框架

和程序

并有效管理相關(guān)合規(guī)支撐；

風(fēng)險一確保合規(guī)義務(wù)和風(fēng)險的系統(tǒng)化管理，通過建立結(jié)構(gòu)化控制措

施，將合規(guī)義務(wù)和風(fēng)險管控嵌入組織日常運營，避免合規(guī)管理

流于形式化。

實施控制將合規(guī)要求將抽象的合規(guī)義務(wù)轉(zhuǎn)化為可操作的控制措施(如審批流程、崗

實施控制

轉(zhuǎn)化為具體行動位分離),確保員工明確執(zhí)行路徑。

保持控制維持控制的防止控制措施因業(yè)務(wù)變化或時間推移而失效，要求定期維護(hù)更

保持控制

持續(xù)有效性新以適配動態(tài)風(fēng)險環(huán)境。

定期評審控制驗證控通過周期性評估，確?？刂拼胧┦冀K針對當(dāng)前關(guān)鍵風(fēng)險，避免

定期評審控制

制與風(fēng)險的匹配度資源浪費或管控盲區(qū)。

測試控制實證檢驗控通過模擬運行、穿透測試等方式，驗證控制能否真正阻斷違規(guī)

測試控制

制的可靠性行為(如發(fā)現(xiàn)流程漏洞或規(guī)避可能性)。

31GB∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）

條款號與主題核心目的意圖說明

強(qiáng)調(diào)測試必須包含“設(shè)計性活動”(如壓力測試、穿行測試),

注：測試的定而非簡單檢查記錄，確保測試結(jié)果可信。測試控制是指實施經(jīng)

明確測試的實操標(biāo)準(zhǔn)

義過設(shè)計的活動以檢驗控制是否按照既定目的運行，或者不能被

規(guī)避，或者切實有效地降低風(fēng)險的后果或可能性

(3)“8.2建立控制和程序”和“8.1運行的策劃和控制”的主要區(qū)別與聯(lián)系：

“8.1運行的策劃和控制”與“8.2建立控制和程序”區(qū)別對照說明

區(qū)別維度8.1運行的策劃和控制8.2建立控制和程序

確保過程的有效性和一致性：通過策劃和確保組織能夠滿足其合規(guī)義務(wù)，并有效管理與之

控制組織的運行過程，保證這些過程能夠相關(guān)的風(fēng)險：建立并維護(hù)適當(dāng)?shù)目刂坪统绦颍?/p>

穩(wěn)定、有效地達(dá)到預(yù)期的結(jié)果和要求。強(qiáng)確保組織能夠履行其合規(guī)義務(wù)，并有效地識別、

目的調(diào)在具體運行過程中，通過合理規(guī)劃與控評估、監(jiān)控和應(yīng)對與合規(guī)相關(guān)的風(fēng)險。不僅要使

制手段，使各項活動按照預(yù)定的流程和標(biāo)組織行為符合外部法律法規(guī)和內(nèi)部規(guī)章制度的要

準(zhǔn)執(zhí)行，避免出現(xiàn)混亂和偏差，從而實現(xiàn)求，還要通過完善的控制和程序，提前預(yù)判可能

組織運營的高效性和穩(wěn)定性。出現(xiàn)的合規(guī)風(fēng)險，采取相應(yīng)措施加以防范和處理。

（推薦?。〨B∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）.pdf

更關(guān)注過程的策劃和控制，確保過程穩(wěn)定更關(guān)注建立和維護(hù)控制及程序，以管理合規(guī)義務(wù)

且符合預(yù)期：側(cè)重于對組織運行過程的細(xì)和風(fēng)險：著重于建立和維護(hù)一套完整的控制和程

致規(guī)劃和實際控制，以確保這些過程在實序體系，這些控制和程序旨在幫助組織管理其合

施中不發(fā)生偏差，保持穩(wěn)定性和符合預(yù)期規(guī)義務(wù)，并有效地應(yīng)對與合規(guī)相關(guān)的各類風(fēng)險。

關(guān)注點

的結(jié)果。具體體現(xiàn)在對生產(chǎn)流程、服務(wù)流需要從組織整體層面出發(fā)，設(shè)計一套涵蓋各個業(yè)

程等各項運營活動進(jìn)行詳細(xì)的計劃安排，務(wù)領(lǐng)域的合規(guī)管理體系，包括政策制定、流程設(shè)

明確每個環(huán)節(jié)的職責(zé)、標(biāo)準(zhǔn)和時間節(jié)點，計、監(jiān)督機(jī)制等，以確保組織全面、持續(xù)地滿足

同時在過程中進(jìn)行實時監(jiān)控和調(diào)整。合規(guī)要求。

更側(cè)重于實際操作和控制層面：涉及具體更側(cè)重于戰(zhàn)略和策略層面：位于更高的戰(zhàn)略和策

的操作層面，包括過程的實際執(zhí)行、監(jiān)控略層面，關(guān)注組織整體的合規(guī)風(fēng)險管理策略和控

和調(diào)整，以確保過程的有效實施和符合既制框架的建立與維護(hù)，以確保組織在合規(guī)方面具

實施層面定要求。工作人員在日常工作中按照策劃備足夠的應(yīng)對能力。組織的高層管理者需要根據(jù)

好的流程進(jìn)行操作，管理者對操作過程進(jìn)組織的發(fā)展戰(zhàn)略和外部環(huán)境，制定長遠(yuǎn)的合規(guī)管

行實時監(jiān)督，及時發(fā)現(xiàn)并解決出現(xiàn)的問理戰(zhàn)略，確定合規(guī)管理的目標(biāo)、重點和方向，建

題，保證各項工作順利進(jìn)行。立全面的合規(guī)控制框架。

(4)組織應(yīng)實施控制以管理其合規(guī)義務(wù)和相關(guān)合規(guī)風(fēng)險。應(yīng)對這些控制進(jìn)行維護(hù)、定期評審和測試，以

確保其持續(xù)有效；

(a)組織合規(guī)義務(wù)與風(fēng)險控制概述；

（推薦！）GB∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）.pdfGB∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）

·要根據(jù)法律法規(guī)的更新、業(yè)務(wù)模式的調(diào)整以及不合規(guī)事件分析結(jié)果等因素，及時對控制措施進(jìn)行動

態(tài)維護(hù)和評審，保證控制措施的有效性和適應(yīng)性。文件化更新要確保相關(guān)崗位人員能夠及時獲取最新的控

制程序文檔，避免因信息滯后導(dǎo)致的合規(guī)風(fēng)險。資源保障要根據(jù)控制措施的實際需求，合理配置技術(shù)、人

力和預(yù)算資源，確?？刂拼胧┠軌蛴行?zhí)行。

(d)測試控制有效性。

——測試方法：測試方法需科學(xué)設(shè)計(附錄NA及有效性評價指引):

·穿行測試：模擬業(yè)務(wù)流程驗證控制節(jié)點是否生效；

·抽樣檢查：抽取執(zhí)行記錄驗證符合性(如合同合規(guī)審查記錄);

·壓力測試：模擬極端場景(如突發(fā)監(jiān)管檢查)檢驗控制韌性。

——測試頻率與風(fēng)險等級掛鉤：高風(fēng)險領(lǐng)域(如反腐敗、壟斷協(xié)議)每季度測試；中低風(fēng)險領(lǐng)域(如

文件管理)每半年或年度測試；測試方法的設(shè)計要充分考慮不同控制措施的特點和風(fēng)險等級，確保測試結(jié)

果能夠真實反映控制措施的有效性。在測試過程中，要嚴(yán)格按照測試方案執(zhí)行，確保測試的公正性和準(zhǔn)確

性。

——測試目標(biāo)：驗證控制是否無法被規(guī)避（推薦?。〨B∕T35770-2022《合規(guī)管理體系(如權(quán)限系統(tǒng)漏洞修復(fù)要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）.pdf);確認(rèn)控制能否實質(zhì)性降低風(fēng)險發(fā)

生概率或影響；

——測試內(nèi)容：測試內(nèi)容要全面、細(xì)致，不僅要關(guān)注控制措施的設(shè)計是否合理，還要檢查其在實際運

行中的效果。應(yīng)覆蓋控制措施的設(shè)計有效性和運行有效性，確保其能夠按照既定目的運行、無法被人為規(guī)

避，且能切實降低合規(guī)風(fēng)險的發(fā)生可能性及后果嚴(yán)重程度。測試目標(biāo)的設(shè)定要明確、具體，具有可衡量性；

——測試方法：要科學(xué)設(shè)計測試方法，根據(jù)風(fēng)險等級確定測試頻率，以驗證控制措施的有效性，確保

其能夠有效降低合規(guī)風(fēng)險。

——持續(xù)有效性保障。

·將測試結(jié)果輸入管理評審，驅(qū)動：控制措施優(yōu)化(如自動化替代人工審批);

合規(guī)培訓(xùn)強(qiáng)化(針對測試暴露的認(rèn)知短板);

資源重新配置(向高頻失效領(lǐng)域傾斜)。

·建立閉環(huán)機(jī)制：測試缺陷→根本分析→糾正措施→二次驗證→制度固化。將評審和測試結(jié)果形成成

文信息(如評審報告、測試記錄等),作為控制措施改進(jìn)的依據(jù)，以確保其持續(xù)有效。通過將測試結(jié)果納

入管理評審，驅(qū)動控制措施的優(yōu)化、合規(guī)培訓(xùn)的強(qiáng)化和資源的重新配置，建立閉環(huán)機(jī)制，不斷完善控制措

施，確保其持續(xù)有效。

(5)組合規(guī)控制的核心目標(biāo)、設(shè)計原則與實施路徑；

31GB∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）

組織需要有效的控制，以確保組織的合規(guī)義務(wù)得以履行，不合規(guī)得以防止、發(fā)現(xiàn)和糾正。“合規(guī)義務(wù)”

不僅包括強(qiáng)制性的法律法規(guī)、行業(yè)監(jiān)管要求，還涵蓋組織基于道德、社會責(zé)任等作出的自愿性承諾：控制

的核心是通過系統(tǒng)化管理將這些抽象義務(wù)轉(zhuǎn)化為可操作的日常行為準(zhǔn)則，實現(xiàn)從預(yù)防到糾正的全流程管控。

控制的設(shè)計宜足夠嚴(yán)格，以促進(jìn)在特定的組織活動和運行環(huán)境中實現(xiàn)合規(guī)義務(wù)。這種嚴(yán)格性需結(jié)合組織規(guī)

模、業(yè)務(wù)復(fù)雜性、風(fēng)險級別及技術(shù)支持能力綜合確定，避免過度增加管理成本或遺漏關(guān)鍵風(fēng)險點。在可能

的情況下，這種控制宜嵌入到組織的正常過程之中。通過與日常業(yè)務(wù)流程無縫融合，提升控制的執(zhí)行效率

和可持續(xù)性，而非作為獨立附加環(huán)節(jié)存在。

(a)確保合規(guī)義務(wù)履行與全流程不合規(guī)防控；

——組織需要有效的控制，以確保組織的合規(guī)義務(wù)得以履行，不合規(guī)得以防止、發(fā)現(xiàn)和糾正?？刂菩?/p>

覆蓋所有業(yè)務(wù)活動(如生產(chǎn)、安裝、服務(wù)、維護(hù))、運營過程及第三方關(guān)系(如承包商、供應(yīng)商、銷售商

的相關(guān)活動),形成全方位的合規(guī)防護(hù)網(wǎng)。控制的核心目的是通過系統(tǒng)化的過程管理，將合規(guī)義務(wù)轉(zhuǎn)化為

可操作的日常行為準(zhǔn)則，從而預(yù)防偏離合規(guī)方針或違反合規(guī)義務(wù)的情況發(fā)生；

——為實現(xiàn)這一目標(biāo)，控制需針對不合規(guī)的潛在后果(如法律責(zé)任、經(jīng)濟(jì)損失、聲譽(yù)損害)設(shè)計前置

性預(yù)防措施，例如在高風(fēng)險業(yè)務(wù)環(huán)節(jié)設(shè)置審批節(jié)點、分離不相容職責(zé)等；同時建立動態(tài)監(jiān)控機(jī)制（推薦?。〨B∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）.pdf(如定期

合規(guī)檢查、關(guān)鍵指標(biāo)跟蹤),以便及時發(fā)現(xiàn)偏差并啟動糾正措施，形成“預(yù)防-發(fā)現(xiàn)-糾正-改進(jìn)”的閉環(huán)管

理。此外，控制的有效性需與合規(guī)風(fēng)險評估結(jié)果(見“4.6合規(guī)風(fēng)險評估”)全面映射，并整合到組織績效

評價體系中，推動合規(guī)管理持續(xù)優(yōu)化。

(b)控制設(shè)計的嚴(yán)格性與環(huán)境適配性平衡；

——控制的設(shè)計宜足夠嚴(yán)格，以促進(jìn)在特定的組織活動和運行環(huán)境中實現(xiàn)合規(guī)義務(wù)。設(shè)計時需遵循“適

配性原則”,確?？刂拼胧┡c組織實際情況相匹配：對于職能重要性高或復(fù)雜性強(qiáng)的領(lǐng)域(如財務(wù)、數(shù)據(jù)

安全),需設(shè)計更嚴(yán)密的控制(如多級審批、全程留痕);對于不合規(guī)潛在后果嚴(yán)重的環(huán)節(jié)(如反壟斷、

反商業(yè)賄賂),需優(yōu)先配置資源強(qiáng)化控制；同時充分利用技術(shù)資源(如信息系統(tǒng)自動化監(jiān)控、數(shù)據(jù)加密)

提升控制效率：

——例如，在策劃和實施運行過程中，組織可通過建立明確的過程準(zhǔn)則(如操作規(guī)范、審批流程)確

?？刂频膰?yán)格性，并通過變更控制機(jī)制動態(tài)調(diào)整措施，避免“一刀切”式的僵化應(yīng)用。此外，控制設(shè)計還

需與組織文化、治理結(jié)構(gòu)相協(xié)調(diào)(見4.4合規(guī)管理體系),例如在創(chuàng)新型組織中，控制可適當(dāng)保留靈活性

以鼓勵合規(guī)范圍內(nèi)的創(chuàng)新行為。

(c)控制嵌入日常過程的實施路徑。

（推薦?。〨B∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）.pdfGB∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）

——在可能的情況下，這種控制宜嵌入到組織的正常過程之中。實施路徑需強(qiáng)調(diào)“無縫融入”,具體

包括：將合規(guī)控制點整合到現(xiàn)有工作流(如采購審批中增加供應(yīng)商合規(guī)審查、合同審核中嵌入條款合規(guī)性

檢查);利用成文信息(如程序文件、作業(yè)指導(dǎo)書)明確控制要求，確保員工清晰知曉操作標(biāo)準(zhǔn)；通過自

動化工具(如ERP系統(tǒng)實時監(jiān)控、合規(guī)預(yù)警模塊)實現(xiàn)實時干預(yù)；

——對于外部提供的產(chǎn)品、過程或服務(wù)(如外包、供應(yīng)鏈環(huán)節(jié)),控制需延伸至第三方管理：通過合

同條款明確合規(guī)義務(wù)、開展盡職調(diào)查評估第三方合規(guī)能力、持續(xù)監(jiān)視其行為(如定期審計),確?？刂圃?/p>

全價值鏈中有效落地。同時，組織應(yīng)定期通過內(nèi)部審核和績效測量評審控制嵌入的有效性，并根據(jù)業(yè)務(wù)變

化(如數(shù)字化轉(zhuǎn)型、市場擴(kuò)張)優(yōu)化嵌入深度，使合規(guī)控制成為組織運營“DNA”的組成部分。

(6)控制措施類型?？刂瓢ǎ?/p>

控制要素控制措施具體內(nèi)容與要點

1)清晰、實用且易于遵守的文件化運行方針、過程、程序和工作指示。其中，文件

化內(nèi)容應(yīng)至少包括：

合規(guī)管理的總體方針(與組織合規(guī)目標(biāo)一致);

-各關(guān)鍵過程的操作準(zhǔn)則(如采購流程中的供應(yīng)商準(zhǔn)入標(biāo)準(zhǔn)、銷售環(huán)節(jié)的反商業(yè)賄

賂要求);

(a)文件化運行（推薦?。〨B∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）.pdf

-具體程序文件(如不合規(guī)事件報告程序、合規(guī)審查流程);

方針、過程、程

一工作指示(針對特定崗位的操作指南，如財務(wù)崗位的發(fā)票審核步驟);

序和工作指示

-所有文件需明確編制、審批、修訂和廢止的流程，確保其時效性和適用性；

2)這些文件應(yīng)涵蓋合規(guī)義務(wù)的具體要求(如反壟斷、數(shù)據(jù)保護(hù)),定期評審(至少

每年一次)以反映法律法規(guī)變化。示例包括合規(guī)手冊、操作流程圖和風(fēng)險控制清單。

實施時，需確保員工易于獲取(如通過內(nèi)部門戶),并通過培訓(xùn)驗證理解度，以避

免因文件模糊導(dǎo)致的違規(guī)風(fēng)險。

1)系統(tǒng)和例外報告機(jī)制，用于實時監(jiān)控過程運行的合規(guī)性；

-系統(tǒng)報告：定期(如月度、季度)生成合規(guī)運行報告，內(nèi)容包括各過程的合規(guī)指

標(biāo)達(dá)成情況(如合同合規(guī)率、培訓(xùn)覆蓋率)、關(guān)鍵風(fēng)險點的監(jiān)控數(shù)據(jù)等；

一例外報告：針對偏離合規(guī)準(zhǔn)則的情況(如超權(quán)限審批、合同條款與法規(guī)沖突),

需在發(fā)現(xiàn)后24小時內(nèi)提交至合規(guī)管理部門，報告應(yīng)包含偏差描述、可能影響、初

(b)系統(tǒng)和例外步原因分析及臨時應(yīng)對措施；

報告-報告需明確傳遞路徑(如業(yè)務(wù)部門→合規(guī)部門→管理層)和責(zé)任人，確保信息及

時觸達(dá)決策層；

2)包括定期系統(tǒng)報告(如合規(guī)績效月報)和實時例外報告(針對突發(fā)事件)。報告

機(jī)制應(yīng)自動化(如ERP系統(tǒng)集成),確保及時性：內(nèi)容需包含不合規(guī)事件、風(fēng)險趨

勢及糾正措施。例如，設(shè)置閾值警報(如招待費超標(biāo)),報告路徑直達(dá)合規(guī)部門，

以快速響應(yīng)。

1)規(guī)范的批準(zhǔn)機(jī)制，確保關(guān)鍵合規(guī)環(huán)節(jié)得到有效管控；

(c)批準(zhǔn)-批準(zhǔn)層級：根據(jù)業(yè)務(wù)重要性和風(fēng)險等級劃分批準(zhǔn)權(quán)限(如重大合同需總經(jīng)理審批，

常規(guī)采購由部門負(fù)責(zé)人審批);

31GB∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）

控制要素控制措施具體內(nèi)容與要點

-批準(zhǔn)依據(jù)：必須以組織的合規(guī)準(zhǔn)則、內(nèi)部制度及外部法規(guī)為依據(jù)，嚴(yán)禁超范圍或

違規(guī)批準(zhǔn)；

-批準(zhǔn)記錄：所有批準(zhǔn)過程需形成書面或電子記錄(如審批單、系統(tǒng)日志),保存

期限不少于3年，以備追溯。

2)作為關(guān)鍵控制點，重大決策(如合同簽訂、資金支付)需經(jīng)多級審批。審批者應(yīng)

具備合規(guī)知識，流程嵌入信息系統(tǒng)(如電子簽批),并記錄決策依據(jù)(GB/T35770-

2022,8.2.3)。例如，高風(fēng)險交易需合規(guī)官前置審查，防止利益沖突。

1)分離不相容的崗位和職責(zé)，防范利益沖突和違規(guī)風(fēng)險；

-具體分離要求：如授權(quán)與執(zhí)行分離(授權(quán)審批崗位不得兼任具體執(zhí)行崗位)、記

錄與審核分離(業(yè)務(wù)記錄崗位不得兼任該業(yè)務(wù)的審核崗位)、資產(chǎn)保管與賬務(wù)記錄

(d)分離不相容分離等；

的崗位和職責(zé)-職責(zé)說明書：明確各崗位的合規(guī)職責(zé)，在崗位設(shè)置和人員調(diào)配時嚴(yán)格執(zhí)行不相容

職責(zé)分離原則，定期(如年度)檢查職責(zé)分配的合規(guī)性。

2)旨在避免權(quán)力集中導(dǎo)致的舞弊風(fēng)險(如采購與付款分離)。職責(zé)矩陣應(yīng)明確，定

期審計確保執(zhí)行。例如，財務(wù)與審計職能獨立，并通過輪崗強(qiáng)化制衡。

1)采用自動化過程提升合規(guī)控制的效率和準(zhǔn)確性；

一自動化工具：如合規(guī)管理信息系統(tǒng)(用于合同合規(guī)性自動校驗)、數(shù)據(jù)監(jiān)控工具

（推薦?。〨B∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）.pdf

(實時捕捉財務(wù)數(shù)據(jù)中的異常交易)、電子審批系統(tǒng)(固化審批流程，防止人為干

預(yù));

-系統(tǒng)管控：自動化過程需設(shè)置嚴(yán)格的權(quán)限控制(如不同崗位的系統(tǒng)操作權(quán)限)和

(e)自動化過程

操作日志(記錄所有系統(tǒng)操作，包括操作人員、時間、內(nèi)容),定期對系統(tǒng)進(jìn)行安

全審計和功能優(yōu)化。

2)利用技術(shù)(如AI監(jiān)控、區(qū)塊鏈)嵌入合規(guī)控制(如自動掃描合同條款)。需定期

測試系統(tǒng)有效性，確保數(shù)據(jù)安全。例如，采購系統(tǒng)自動校驗供應(yīng)商資質(zhì)，減少人為

錯誤。

1)科學(xué)制定的年度合規(guī)計劃，明確全年合規(guī)管理的目標(biāo)和舉措；

-計劃內(nèi)容：包括重點合規(guī)領(lǐng)域(如反壟斷、數(shù)據(jù)安全)、具體工作任務(wù)(如合規(guī)

培訓(xùn)、第三方審計)、時間表(明確每項任務(wù)的起止時間)、責(zé)任部門及責(zé)任人、

所需資源(人力、預(yù)算)等；

(f)年度合規(guī)計

-動態(tài)調(diào)整：每季度根據(jù)內(nèi)外部環(huán)境變化(如法規(guī)更新、業(yè)務(wù)調(diào)整)對計劃進(jìn)行評

劃

估和修訂，確保計劃的適應(yīng)性。

2)包括目標(biāo)、資源分配、時間表及KPI(如培訓(xùn)完成率)。計劃應(yīng)基于風(fēng)險評估制

定，由管理層批準(zhǔn)，并納入業(yè)務(wù)規(guī)劃。例如，反賄賂專項計劃需明確培訓(xùn)、審計和

供應(yīng)商審查活動。

1)將合規(guī)要求納入人員績效計劃，推動合規(guī)職責(zé)落地；

一績效指標(biāo)：包含合規(guī)職責(zé)履行情況(如合規(guī)培訓(xùn)參與率、崗位合規(guī)操作準(zhǔn)確率)、

(g)人員績效計

不合規(guī)行為的影響(如因個人違規(guī)導(dǎo)致的損失或處罰)等；

劃

-考核應(yīng)用：績效結(jié)果與薪酬調(diào)整、晉升、評優(yōu)掛鉤，對嚴(yán)重違反合規(guī)要求的人員

實施降級、調(diào)崗或解除勞動合同等處理。

（推薦?。〨B∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）.pdfGB∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）

控制要素控制措施具體內(nèi)容與要點

2)將合規(guī)表現(xiàn)納入績效考核(如合規(guī)違規(guī)一票否決),與薪酬晉升掛鉤。計劃需差

異化(高風(fēng)險崗位權(quán)重更高),并通過年度評審優(yōu)化(GB/T35770-2022,7.2.3)。

例如，銷售團(tuán)隊績效包含反商業(yè)賄賂指標(biāo)。

1)定期開展的合規(guī)評估和審核，驗證控制措施的有效性。

-評估范圍：覆蓋所有業(yè)務(wù)領(lǐng)域和關(guān)鍵流程，重點關(guān)注高風(fēng)險領(lǐng)域(如海外業(yè)務(wù)、

招投標(biāo));

一審核方法：包括文件審查(如檢查程序執(zhí)行記錄)、現(xiàn)場檢查(如觀察崗位操作)、

(h)合規(guī)評估和

抽樣測試(如抽取合同樣本審核合規(guī)性)等；

審核

-整改跟蹤：對評估和審核中發(fā)現(xiàn)的問題，制定整改計劃(明確整改措施、責(zé)任人

和完成時限),并跟蹤驗證整改效果，形成閉環(huán)管理。

2)定期內(nèi)審(至少每年一次)和外審，覆蓋所有流程。采用抽樣、訪談等方法，輸

出報告并跟蹤整改。例如，第三方審計驗證數(shù)據(jù)保護(hù)合規(guī)，確保結(jié)果客觀。

1)管理層通過實際行動證實對合規(guī)的承諾，并采取多種措施促進(jìn)合規(guī)行為；

-管理層承諾：包括簽署年度合規(guī)承諾書、定期主持合規(guī)工作會議、公開通報合規(guī)

工作進(jìn)展及違規(guī)案例；

(i)證實的管理

一模范行為：管理層需帶頭遵守合規(guī)要求(如嚴(yán)格執(zhí)行審批流程、拒絕不合規(guī)利益

層承諾和模范行

輸送),為員工樹立榜樣；

為，以及其他促（推薦?。〨B∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）.pdf

-其他措施：如建立合規(guī)激勵機(jī)制(表彰合規(guī)標(biāo)兵)、設(shè)立合規(guī)舉報獎勵制度等，

進(jìn)合規(guī)行為的措

營造“合規(guī)為榮、違規(guī)為恥”的文化氛圍。

施

2)管理層需公開承諾(如簽署合規(guī)宣言)、以身作則(如拒絕違規(guī)請托),并通過

獎懲機(jī)制(如舉報獎勵)推廣。措施應(yīng)記錄并宣傳(如內(nèi)部案例分享),以強(qiáng)化問

責(zé)。

1)針對員工的預(yù)期行為(標(biāo)準(zhǔn)、價值觀、行為準(zhǔn)則)進(jìn)行積極、公開和頻繁的溝通，

確保全員理解并遵守；

一溝通內(nèi)容：明確員工在業(yè)務(wù)活動中應(yīng)遵循的合規(guī)標(biāo)準(zhǔn)(如禁止商業(yè)賄賂的具體情

(j)就員工的預(yù)

形)、組織的合規(guī)價值觀(如“誠信守法”)、行為準(zhǔn)則(如《員工合規(guī)行為手冊》

期行為(標(biāo)準(zhǔn)、

中的具體條款);

價值觀、行為準(zhǔn)

-溝通方式：包括新員工入職培訓(xùn)、季度合規(guī)專題會議、內(nèi)部郵件/公告、海報宣

則)進(jìn)行積極、

傳、案例分享會等；

公開和頻繁的溝

-溝通頻率：新員工入職后3日內(nèi)完成首次合規(guī)行為準(zhǔn)則培訓(xùn)，在職員工每季度至

通

少接受1次合規(guī)行為溝通，確保信息持續(xù)傳遞和強(qiáng)化；

2)采用多渠道(如培訓(xùn)、郵件、會議)傳達(dá)期望，確保雙向反饋(如匿名問卷)。

內(nèi)容需具體化(如反壟斷紅線),頻率至少每季度一次，以培育合規(guī)文化。

(7)12項合規(guī)運行機(jī)制；

31GB∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）

7、違規(guī)舉報機(jī)制1、合規(guī)風(fēng)險識別評估預(yù)警機(jī)制

8、違規(guī)經(jīng)營責(zé)任追究機(jī)制2、合規(guī)審查機(jī)制

9、合規(guī)免責(zé)容錯機(jī)制3、合規(guī)檢查機(jī)制

運行機(jī)制

10、協(xié)同運作機(jī)制4、合規(guī)風(fēng)險應(yīng)對機(jī)制

11、合規(guī)評價機(jī)制5、違規(guī)問題整改機(jī)制

12、獎勵機(jī)制6、合規(guī)報告機(jī)制

《中央企業(yè)合規(guī)管理辦法》提出的12項合規(guī)運行機(jī)制

（推薦?。〨B∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）.pdf

（推薦！）GB∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）.pdfGB∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）

大中型企業(yè)十二項合規(guī)運行機(jī)制說明表

機(jī)制名稱核心定義與目標(biāo)主要責(zé)任主體關(guān)鍵運行要點輸出成果/要求

系統(tǒng)識別經(jīng)營管理活

動中的合規(guī)風(fēng)險，分-全面梳理業(yè)務(wù)流程，建立/更新合規(guī)風(fēng)險數(shù)據(jù)庫，詳細(xì)記錄風(fēng)險

析可能性、影響程度信息，包括風(fēng)險描述、可能影響、應(yīng)對措施等，確保數(shù)據(jù)的準(zhǔn)確

及潛在后果，及時預(yù)性和完整性：

業(yè)務(wù)部門《主體責(zé)

合規(guī)風(fēng)險警重大風(fēng)險。對合規(guī)-對典型性、普遍性或高危風(fēng)險實時預(yù)警，建立專門的預(yù)警指標(biāo)合規(guī)風(fēng)險清單、風(fēng)險數(shù)據(jù)

任)

識別評估風(fēng)險進(jìn)行全面、深入、體系和預(yù)警流程，確保預(yù)警的及時性和有效性；庫、風(fēng)險預(yù)警報告、風(fēng)險

合規(guī)部門(牽頭組

預(yù)警機(jī)制動態(tài)的管理，以提前結(jié)合大數(shù)據(jù)動態(tài)監(jiān)測重點領(lǐng)域，運用先進(jìn)的數(shù)據(jù)分析技術(shù)，對評估方法論手冊

織)

發(fā)現(xiàn)并防范重大合規(guī)重點領(lǐng)域的合規(guī)風(fēng)險進(jìn)行實時監(jiān)控和分析，及時發(fā)現(xiàn)潛在風(fēng)險：

風(fēng)險，保障企業(yè)經(jīng)營采用定性與定量相結(jié)合的方法開展風(fēng)險評估(如統(tǒng)計推論，

管理活動的合規(guī)性和（推薦?。〨B∕T專家打分等35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）.pdf),定期(至少每年)更新風(fēng)險評估結(jié)果。

穩(wěn)定性。

-作為必經(jīng)程序嵌入業(yè)務(wù)流程，明確合規(guī)審查在業(yè)務(wù)流程中的具

將合規(guī)審查嵌入經(jīng)營

體位置和要求，確保審查工作的全面性和準(zhǔn)確性；

決策流程，確保重大

-重大決策須首席合規(guī)官簽字并明確意見，首席合規(guī)官要對重大

決策、制度、合同等業(yè)務(wù)部門(初審)

決策的合規(guī)性進(jìn)行全面審查，簽署明確的審查意見；合規(guī)審查意見書、審查標(biāo)

合規(guī)審查符合法律法規(guī)要求。合規(guī)部門(終審)

-定期開展審查后評估，建立審查后評估的標(biāo)準(zhǔn)和流程，對審查準(zhǔn)指引、后評估報告、分

機(jī)制保障企業(yè)經(jīng)營決策的首席合規(guī)官(重大

工作的效果進(jìn)行評估和改進(jìn)；場景審查清單

合法性和合規(guī)性，從決策簽字)

-覆蓋制度制定、合同簽訂、重大投資、并購重組等全業(yè)務(wù)場

源頭上防范合規(guī)風(fēng)

景，明確不同場景的審查標(biāo)準(zhǔn)(如法律法規(guī)、行業(yè)規(guī)范、企業(yè)內(nèi)

險，

部制度).

對業(yè)務(wù)活動執(zhí)行合規(guī)定期開展專項檢查，制定詳細(xì)的專項檢查計劃，明確檢查的范

合規(guī)部門(牽頭)合規(guī)檢查報告、整改通知

合規(guī)檢查要求的情況進(jìn)行監(jiān)督圍、內(nèi)容和方法：

審計/紀(jì)檢監(jiān)察單，檢查-整改閉環(huán)跟蹤

機(jī)制檢查，確保制度落實。-聚焦重點領(lǐng)域/環(huán)節(jié)/人員，根據(jù)企業(yè)的業(yè)務(wù)特點和合規(guī)風(fēng)險狀

(協(xié)同)臺賬

監(jiān)督業(yè)務(wù)活動的合規(guī)況，確定重點檢查的領(lǐng)域、環(huán)節(jié)和人員；

31GB∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）

機(jī)制名稱核心定義與目標(biāo)主要責(zé)任主體關(guān)鍵運行要點輸出成果/要求

性，及時發(fā)現(xiàn)和糾正一結(jié)合信息化手段強(qiáng)化過程監(jiān)控，利用信息化系統(tǒng)對業(yè)務(wù)活動進(jìn)

違規(guī)行為，保障企業(yè)行實時監(jiān)控，及時發(fā)現(xiàn)違規(guī)行為并進(jìn)行預(yù)警；

合規(guī)制度的有效執(zhí)-檢查結(jié)果與整改情況納入部門及個人績效考核，對查實的違

行。規(guī)行為明確整改責(zé)任人及時限，

一制定風(fēng)險應(yīng)對預(yù)案，針對不同類型的合規(guī)風(fēng)險，制定詳細(xì)的應(yīng)

針對已發(fā)生的合規(guī)風(fēng)

業(yè)務(wù)部門《第一時對預(yù)案，明確應(yīng)對措施和責(zé)任分工；

險，采取有效措施控

問處置)-重大風(fēng)險事件跨部門協(xié)同處置，建立跨部門的協(xié)同處置機(jī)制，

制損失、化解影響。風(fēng)險處置方案、突發(fā)事件

合規(guī)風(fēng)險合規(guī)部門《統(tǒng)籌協(xié)確保在重大風(fēng)險事件發(fā)生時能夠迅速響應(yīng)和協(xié)同作戰(zhàn)；

及時應(yīng)對和處理已發(fā)報告、案例庫、風(fēng)險應(yīng)對

應(yīng)對機(jī)制調(diào))-按規(guī)定向國資委報告，嚴(yán)格按照相關(guān)規(guī)定的報告內(nèi)容、報告方

生的合規(guī)風(fēng)險。降低有效性評估報告

首席合規(guī)官(牽頭式和報告時間，向國資委報告合規(guī)風(fēng)險事件；

風(fēng)險損失，維護(hù)企業(yè)（推薦?。〨B∕T35770-2022《合規(guī)管理體系要求及使用指南》之16：“8運行-8.2確立控制和程序”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料（2025C0）.pdf

重大事件)-根據(jù)風(fēng)險等綴(一般、重大、特別重大)采取風(fēng)險規(guī)避、降

的正常經(jīng)營秩序。

低、分擔(dān)或承受策略，事后評估應(yīng)對措施有效性并復(fù)盤優(yōu)化。

一建立問題臺賬跟蹤整改，對違規(guī)問題進(jìn)行詳細(xì)記錄，建立問題

通過完善制度、優(yōu)化

臺賬，跟蹤整改情況，確保整改工作的落實；

流程堵塞管理漏洞，

業(yè)務(wù)部門(執(zhí)行整-從制度/流程層面分析根源，深入分析違規(guī)問題的根源，從制度

實現(xiàn)問題根治。從根整改計劃、制度修訂清

違規(guī)問題改)和流程層面提出改進(jìn)措施；

本上解決違規(guī)問題，單、流程優(yōu)化方案、舉一

整改機(jī)制合規(guī)部門(督導(dǎo)驗-驗收整改效果并持續(xù)改進(jìn)，建立整改效果驗收的標(biāo)準(zhǔn)和流程，

完善企業(yè)的管理制度反三檢查報告

收)對整改工作的效果進(jìn)行評估和持續(xù)改進(jìn)；

和流程，防止類似問

-整改完成后開展“舉一反三”檢查，避免同類問題重復(fù)發(fā)生，

題再次發(fā)生。

同步更新相關(guān)制度和操作規(guī)范。

建立常態(tài)化合規(guī)信息業(yè)務(wù)部門(日常報-重大風(fēng)險事件即時報告，明確重大風(fēng)險事件的報告標(biāo)準(zhǔn)和報告

重大風(fēng)險事件報告、合規(guī)

報告路徑，保障風(fēng)險告)流程，確保在事件發(fā)生時能夠及時報告：

合規(guī)報告管理年度報告、向國資委

信息及時上傳。確保合規(guī)部門《匯總報-年度合規(guī)報告經(jīng)董事會審批，年度合規(guī)報告要全面、準(zhǔn)確地反

機(jī)制報送的年度總結(jié)、分級報

企業(yè)內(nèi)部各級管理層告)映企業(yè)的合規(guī)管理情況，經(jīng)董事會審批后發(fā)布：

告模板