合規(guī)管理體系要求及使用指南

合規(guī)管理體系要求及使用指南1范圍2規(guī)范性引用文件3術(shù)語(yǔ)和定義注1:組織的概念包括但不限于個(gè)體經(jīng)營(yíng)者、公司、集團(tuán)公司、商行，企事業(yè)單位、行政機(jī)構(gòu)、合伙企業(yè)、慈善機(jī)構(gòu)或研究機(jī)構(gòu)，或上述組織的部分或組合，無(wú)論是否具有法人資格，公有或私有。注2:如果組織是大型實(shí)體的某個(gè)組成部分，那么，術(shù)語(yǔ)“組織”僅指在合規(guī)管理體系(3.4)范圍內(nèi)的這個(gè)組成部分。3.2利益相關(guān)方stakeholder(許用術(shù)語(yǔ))3.3最高管理者topmanagement注1:最高管理者有權(quán)在組織內(nèi)部授權(quán)和提供資源。注2:如果管理體系(3.4)的范圍僅覆蓋組織的某個(gè)組成部分，那么最高管理者是指揮和控制該部分的一個(gè)人或一注3:本文件中，“最高管理者”指最高級(jí)別的執(zhí)行管理層。3.4注1:一個(gè)管理體系可能針對(duì)一個(gè)或幾個(gè)主題。注2:管理體系要件包括組織的結(jié)構(gòu)、崗位和職責(zé)、策劃和運(yùn)行。2方針policy注：方針也可能由組織的治理機(jī)構(gòu)(3.21)正式表述。注1:目標(biāo)可能是戰(zhàn)略的、戰(zhàn)術(shù)的或運(yùn)行的。注2:目標(biāo)可能涉及不同的主題(如財(cái)務(wù)、健康和安全、環(huán)境)。它們可能存在于不同層面，諸如組織整體層面或項(xiàng)注3:日標(biāo)能夠用其他方式表述，如：預(yù)期的結(jié)果、宗旨、運(yùn)行準(zhǔn)則，合規(guī)(3.26)目標(biāo)或使用其他有類(lèi)似含義的詞(如：終點(diǎn)或指標(biāo))。注4:在合規(guī)管理體系(3.4)中，組織(3.1)設(shè)定的合規(guī)目標(biāo)與合規(guī)方針(3.5)保持一致，以實(shí)現(xiàn)特定的結(jié)果。3.7注1:影響是對(duì)預(yù)期的偏離——正面的或負(fù)面的。注2:不確定性是一種狀態(tài)，是指對(duì)某個(gè)事件、事件的后果或可能性缺乏甚至部分缺乏相關(guān)信息、理解或知識(shí)。注3:通常，風(fēng)險(xiǎn)以潛在事件(見(jiàn)ISOGuide73的定義)和后果(見(jiàn)ISOGuide73的定義)或二者的組合來(lái)描述其注4:通常，風(fēng)險(xiǎn)以某個(gè)事件的后果(包括情況的變化)及其發(fā)生的可能性(見(jiàn)ISOGuide73的定義)的組合來(lái)表述。3.8過(guò)程process注：某個(gè)過(guò)程的結(jié)果是稱(chēng)為輸出，還是稱(chēng)為產(chǎn)品或服務(wù)，取決于相關(guān)語(yǔ)境。3.9能力competence3.10注1:文件化信息能夠以任何形式和載體存在，且來(lái)源不限。注2:文件化信息可能涉及：——管理體系(3.4),包括相關(guān)過(guò)程(3.8);——為組織運(yùn)行而創(chuàng)建的信息(文件);——實(shí)現(xiàn)的結(jié)果的證據(jù)(記錄)?？?jī)效performance注1:績(jī)效可能涉及定量的或定性的結(jié)果。注2:績(jī)效可能與活動(dòng)、過(guò)程(3.8)、產(chǎn)品、服務(wù)、體系或組織(3.1)的管理有關(guān)。33.133.14要求/需求requirement注1:不言而喻的或有義務(wù)履行的需要或期望是指需求。其中，“不言而喻”是指組織(3.1)和相關(guān)方(3.2)的慣例或一般做法，不言而喻的需要或期望是不用說(shuō)就明白的。注2:規(guī)定的需要或期望是指要求，也就是符合GB/T1.1—2020中定義的要求，即表達(dá)聲明符合該文件需要滿足的客觀可證實(shí)的準(zhǔn)則。注3:規(guī)定的需要或期望是指要求，例如文件化信息(3.10)中。3.15符合conformity3.16不符合nonconformity注：不符合不一定是不合規(guī)(3.27)。3.173.18審核audit注1:審核可能為內(nèi)部(第一方)審核或外部[第二方或第三方(3.30)]審核，也可能為多體系審核(合并兩個(gè)或多個(gè)主題)。注2:內(nèi)部審核由組織(3.1)自行實(shí)施或代表組織的外部機(jī)構(gòu)實(shí)施。注3:“審核證據(jù)”和“審核準(zhǔn)則”的定義見(jiàn)ISO19011。注4:獨(dú)立性能通過(guò)對(duì)正在被審核的活動(dòng)免于承擔(dān)責(zé)任或無(wú)偏見(jiàn)和利益沖突來(lái)證實(shí)。3.193.20監(jiān)視monitoring注：確定狀態(tài)可能需要檢查、監(jiān)督或嚴(yán)格觀察。3.21治理機(jī)構(gòu)governingbody注1:并不是所有的組織，尤其是小型組織，都會(huì)有一個(gè)獨(dú)立于最高管理者的治理機(jī)構(gòu)。注2:治理機(jī)構(gòu)可能包括但不限于董事會(huì)、董事會(huì)委員會(huì)、監(jiān)事會(huì)或受托人。43.22在國(guó)家法律或?qū)嵺`中被確認(rèn)為工作關(guān)系的個(gè)人，或依賴(lài)于組織(3.1)活動(dòng)的任何合同關(guān)系中的3.23注：最好指定一人負(fù)責(zé)合規(guī)管理體系的監(jiān)督。6合規(guī)compliance3.27不合規(guī)noncompliance3.28貫穿整個(gè)組織(3.1)的價(jià)值觀、道德規(guī)范、信仰和行為(3.29),并與組織結(jié)構(gòu)和控制系統(tǒng)相互作注：價(jià)值觀是組織所崇尚的文化的核心，是組織行為的基本原則。3.293.30第三方thirdparty獨(dú)立于組織(3.1)的個(gè)人或機(jī)構(gòu)。注：所有業(yè)務(wù)伙伴都是第三方，但并非所有第三方都是業(yè)務(wù)伙伴。3.314.1理解組織及其環(huán)境54.2理解相關(guān)方的需要和期望與合規(guī)管理體系有關(guān)的相關(guān)方；—哪些需求將通過(guò)合規(guī)管理體系予以解決。4.3確定合規(guī)管理體系的范圍當(dāng)組織是較大實(shí)體的一部分時(shí)。4.6合規(guī)風(fēng)險(xiǎn)評(píng)估65領(lǐng)導(dǎo)作用確保制定并實(shí)施方年過(guò)即種程序，現(xiàn)答規(guī)目標(biāo)，5.1.2合規(guī)文化注1:直接接觸包括：向治理機(jī)構(gòu)的直接匯報(bào)線、定期提交報(bào)告以及參加其會(huì)議。注2:獨(dú)立性是指合規(guī)團(tuán)隊(duì)的運(yùn)行不受任何不當(dāng)干擾和/或壓力。b)為設(shè)定合規(guī)目標(biāo)提供框架，d)包括持續(xù)改進(jìn)合規(guī)管理體系的承諾。合規(guī)方針應(yīng)：視情況，可被相關(guān)方獲取。5.3崗位、職責(zé)和權(quán)限b)獲得合規(guī)管理體系績(jī)效的報(bào)告。治理機(jī)構(gòu)應(yīng)：確保戰(zhàn)略和運(yùn)行目標(biāo)與合規(guī)義務(wù)相協(xié)同；5.3.2合規(guī)團(tuán)隊(duì)分析和評(píng)價(jià)合規(guī)管理體系的績(jī)效，以確認(rèn)是否需要采取糾正措施；——確保按策劃的時(shí)間間隔對(duì)合規(guī)管理體系進(jìn)行評(píng)審(見(jiàn)9.2和9.3);85.3.3管理者現(xiàn)有的務(wù)實(shí)線和程現(xiàn)有的務(wù)實(shí)線和程——其合規(guī)目標(biāo)(見(jiàn)6.2),——經(jīng)識(shí)別的合規(guī)義務(wù)(見(jiàn)4.5),組織應(yīng)策劃以下活動(dòng)：a)應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)會(huì)的措施；1)將措施納入合規(guī)管理體系過(guò)程并實(shí)施，2)評(píng)價(jià)這些措施的有效性。6.2合規(guī)目標(biāo)及其實(shí)現(xiàn)的策劃組織應(yīng)在相關(guān)職能和層級(jí)上確立合規(guī)目標(biāo)。f)視情況予以更新；g)作為文件化信息可獲取。策劃如何實(shí)現(xiàn)合規(guī)目標(biāo)時(shí)，組織應(yīng)確定：何時(shí)完成，6.3針對(duì)變更的策劃當(dāng)組織確定需要變更合規(guī)管理體系時(shí)，應(yīng)對(duì)這些變更的實(shí)施進(jìn)行策劃?！兏康募捌錆撛诤蠊?；—合規(guī)管理體系設(shè)計(jì)和運(yùn)行的有效性；——足夠的資源的可獲取性；——職責(zé)和權(quán)限的分配或再分配。為建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)合規(guī)管理體系，組織應(yīng)確定并提供所需的資源。7.2.2聘用過(guò)程7.2.3培訓(xùn)培訓(xùn)應(yīng)：—支持合規(guī)文化的重要性。11組織應(yīng)確定與合規(guī)管理體系有關(guān)的內(nèi)部和外部溝通，包括：b)何時(shí)溝通，組織應(yīng)：——結(jié)合溝通需求，綜合考慮溝通的多樣性和潛在障礙；確立溝通的過(guò)程，確保結(jié)合了相關(guān)方的意見(jiàn)；——在確立溝通過(guò)程時(shí)：●應(yīng)將其合規(guī)文化、合規(guī)目標(biāo)和義務(wù)納入溝通內(nèi)容；●應(yīng)確保所溝通的合規(guī)信息與來(lái)源于合規(guī)管理體系的信息一致且可信；——對(duì)與合規(guī)管理體系相關(guān)的溝通內(nèi)容進(jìn)行回應(yīng)；——視情況，保留文件化信息作為其溝通的證據(jù)；——在組織的各層級(jí)和職能內(nèi)部溝通與合規(guī)管理體系有關(guān)的信息，視情況包括合規(guī)管理體系的——確保人員能在溝通過(guò)程中為合規(guī)管理體系的持續(xù)改進(jìn)做出貢獻(xiàn)；——確保人員能在溝通過(guò)程中提出合規(guī)疑慮(見(jiàn)8.3);——通過(guò)組織確立的溝通過(guò)程，對(duì)外溝通包括其合規(guī)文化、合規(guī)目標(biāo)和義務(wù)在內(nèi)的與合規(guī)管理體系7.5文件化信息組織的合規(guī)管理體系應(yīng)包括：a)本文件要求的文件化信息；b)組織確定的，對(duì)于合規(guī)管理體系有效性所必需的文件化信息?！M織的規(guī)模及其活動(dòng)、過(guò)程、產(chǎn)品和服務(wù)的類(lèi)型；—人員的能力。7.5.2文件化信息的創(chuàng)建和更新在創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模骸獦?biāo)記和說(shuō)明(例如，標(biāo)題、日期、作者或文件編號(hào)),——形式(例如，語(yǔ)言文字、軟件版本、圖形)和載體(例如，紙質(zhì)的、電子的),—針對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)。7.5.3文件化信息的控制應(yīng)控制合規(guī)管理體系和本文件要求的文件化信息，以確保其：a)在需要的場(chǎng)所和時(shí)間均可獲得并適于使用；注：訪問(wèn)可能意味著只允許查看文件化信息的權(quán)限，或者允許并授權(quán)查看和變更文件化信息的權(quán)限。注：對(duì)組織運(yùn)行的外包不會(huì)免除組織的法律責(zé)任或合規(guī)義務(wù)。注：測(cè)試控制是指實(shí)施經(jīng)過(guò)設(shè)計(jì)的活動(dòng)以檢驗(yàn)控制是否按照既定目的運(yùn)行，或者不能被規(guī)避，或者切實(shí)有效地降低8.3提出疑慮9績(jī)效評(píng)價(jià)9.1.1通則9.1.3指標(biāo)的開(kāi)發(fā)組織應(yīng)開(kāi)發(fā)、實(shí)施和維護(hù)一套適當(dāng)?shù)闹笜?biāo)，以幫助組織評(píng)價(jià)其合規(guī)目標(biāo)的實(shí)現(xiàn)情況并評(píng)估合規(guī)b)確立定期報(bào)告的時(shí)間表；9.1.5記錄保存2)本文件的要求。b)是否得到了有效地實(shí)施和維護(hù)。9.3.2管理評(píng)審輸入b)與合規(guī)管理體系有關(guān)的外部和內(nèi)部事項(xiàng)的變化；c)與合規(guī)管理體系有關(guān)的相關(guān)方需要和期望的變化；b)通過(guò)以下活動(dòng)評(píng)價(jià)采取措施的需要，以消除產(chǎn)生不符合和/或不合規(guī)的原因，避免其再次發(fā)生A.1背景和范圍A.1.1概述ISO37001ISO19004ISO14001、ISO/IEC27001及ISO26000。A.1.2范圍A.3術(shù)語(yǔ)和定義本文件采用了ISO開(kāi)發(fā)的高層結(jié)構(gòu)(HLS”,以提高其管理體豕國(guó)際標(biāo)準(zhǔn)之間的一致性。HLS設(shè)定了組成ISO管理體系標(biāo)準(zhǔn)(MSS)核心的章條順序、共用禾語(yǔ)和定義以及相同的核心條款。這意味MSS的這種共用方法增加了此類(lèi)標(biāo)準(zhǔn)對(duì)使用者的價(jià)值。它對(duì)于選擇運(yùn)行一個(gè)(有時(shí)稱(chēng)為“融合”)管理體系的組織特別有用，該體系能同時(shí)滿足兩個(gè)或多個(gè)MSS的要求。沒(méi)有采用MSS或合規(guī)管理框有關(guān)MSS和核心內(nèi)容的更多信息，請(qǐng)?jiān)L問(wèn)：/management-system-standards.html1)2021年發(fā)布的“ISO/IEC導(dǎo)則，第1部分，2021,《ISO綜合補(bǔ)充件ISO專(zhuān)用程序》”中已經(jīng)將“高層結(jié)構(gòu)”修改A.4組織環(huán)境A.4.1理解組織及其環(huán)境A.4.2理解相關(guān)方的需要和期望——政府和政府機(jī)構(gòu)；——員工；A.4.3確定合規(guī)管理體系的范圍A.4.4合規(guī)管理體系A(chǔ).4.5合規(guī)義務(wù)與社會(huì)團(tuán)體或非政府組織簽訂的協(xié)議；其他合規(guī)義務(wù)(帕累托原則)。A.4.6合規(guī)風(fēng)險(xiǎn)評(píng)估——并購(gòu)；—不合規(guī)(即使是單一的不合規(guī)事件也能構(gòu)成情況的實(shí)質(zhì)變化)和近乎不合規(guī)。A.5領(lǐng)導(dǎo)作用A.5.1領(lǐng)導(dǎo)作用和承諾A.5.1.1治理機(jī)構(gòu)和最高管理者——所有管理層一致向人員傳達(dá)一個(gè)清晰的信息(通過(guò)文字和措施證實(shí)):組織會(huì)履行它的合規(guī)——以清晰并令人信服的聲明向所有人員和有關(guān)的相關(guān)方廣泛溝通關(guān)于合規(guī)的承諾，并有措施——及時(shí)采取糾正措施；A.5.1.2合規(guī)文化相關(guān)方(特別是組織的人員)相信上述事項(xiàng)已實(shí)施；組織所有適當(dāng)層級(jí)都按照要求自主應(yīng)對(duì)不合規(guī)并采取糾正措施；b)尋求所有人員的意見(jiàn)，以確定他們是否感知到治理機(jī)構(gòu)、最高管理者和中層管理者對(duì)合規(guī)的A.5.1.3合規(guī)治理合規(guī)團(tuán)隊(duì)宜是獨(dú)立的，不與組織結(jié)構(gòu)或其他要件沖突。他們可以自由行動(dòng)、不受垂直管理者的合規(guī)團(tuán)隊(duì)擁有權(quán)限。合規(guī)團(tuán)隊(duì)在權(quán)限上不是一個(gè)能被上級(jí)否決或被其修改報(bào)告或信息的初級(jí)部A.5.2合規(guī)方針A.5.3.1治理機(jī)構(gòu)和最高管理者A.5.3.2合規(guī)團(tuán)隊(duì)權(quán)力。地位意味著其他人員很可能傾聽(tīng)和尊重他/她的意見(jiàn)。獨(dú)立性意味著合規(guī)團(tuán)隊(duì)盡可能A.5.3.3管理者A.5.3.4人員A.6策劃A.6.1風(fēng)險(xiǎn)與機(jī)會(huì)的應(yīng)對(duì)措施策劃如何在不利影響發(fā)生之前應(yīng)對(duì)它們，以及如何從支持合規(guī)管理體系有效性的有利條件或環(huán)境中A.6.2合規(guī)目標(biāo)及其實(shí)現(xiàn)的策劃合規(guī)目標(biāo)舉例：至少每年向相關(guān)人員提供合規(guī)培訓(xùn)。宜確定實(shí)現(xiàn)目標(biāo)所需的行動(dòng)(即“什么”)、相關(guān)的時(shí)間表(即“何時(shí)”)和責(zé)任人(即“誰(shuí)”)。宜根據(jù)要A.7.1資源資源包括財(cái)務(wù)、人力和技術(shù)資源，以及獲得外部咨詢和專(zhuān)業(yè)技能的機(jī)會(huì)、組織基礎(chǔ)設(shè)施、職業(yè)發(fā)展情況、技術(shù)和關(guān)于合規(guī)管理與法律義務(wù)的同時(shí)期參考材料。A.7.2.1通則術(shù)語(yǔ)“能力”指運(yùn)用知識(shí)和技能實(shí)現(xiàn)預(yù)期結(jié)果的本領(lǐng)。能力需要知識(shí)、經(jīng)驗(yàn)和技能，以便人員能以有效的方式履行其職能。組織宜為所有人員確定完成其任務(wù)所需的專(zhuān)業(yè)技能和知識(shí)，以便組織能向顧客提供其產(chǎn)品和服務(wù)。組織宜確立能力證據(jù)(例如：崗位描述、職位說(shuō)明),以便擔(dān)任該職位時(shí)進(jìn)行考量。宜采取措施(例如：培訓(xùn))以便確保維持現(xiàn)有能力和根據(jù)需要獲得新的能力。宜有足夠的能力證明文件以及為維持或獲得這些能力所采取的措施。A.7.2.2聘用過(guò)程在聘用或提拔現(xiàn)有人員之前，組織宜進(jìn)行盡職調(diào)查，包括推薦信或者背景調(diào)查。治理機(jī)構(gòu)、管理者和負(fù)有合規(guī)義務(wù)的人員宜有能力有效履行其義務(wù)。有多種方式可獲得能力，包括通過(guò)教育、培訓(xùn)或工作經(jīng)驗(yàn)獲得所需的技能和知識(shí)。培訓(xùn)計(jì)劃的目標(biāo)是確保人員有能力以符合本組織合規(guī)文化和對(duì)合規(guī)的承諾的方式履行其崗位經(jīng)過(guò)適當(dāng)設(shè)計(jì)和執(zhí)行的培訓(xùn)能為人員提供一個(gè)有效的方式以溝通之前未識(shí)別的合規(guī)風(fēng)險(xiǎn)?！谶m當(dāng)?shù)那闆r下，基于對(duì)員工知識(shí)和能力差距的評(píng)估；有足夠的靈活性，覆蓋了一系列技術(shù)，以適應(yīng)組織和人員的不同需要；——由經(jīng)驗(yàn)豐富和有資格的人員進(jìn)行設(shè)計(jì)、開(kāi)發(fā)和提供；——適用時(shí)以當(dāng)?shù)卣Z(yǔ)言提供；——定期評(píng)估和評(píng)價(jià)其有效性。如果不合規(guī)會(huì)造成嚴(yán)重后果，那么互動(dòng)式培訓(xùn)是最好的培訓(xùn)形式。組織宜對(duì)已發(fā)生不當(dāng)行為的領(lǐng)域進(jìn)行培訓(xùn)。當(dāng)出現(xiàn)下列情況時(shí)，宜考慮進(jìn)行合規(guī)再培訓(xùn)：—職位或職責(zé)的變化；——內(nèi)部方針、過(guò)程和程序的變更；——組織結(jié)構(gòu)的變化；——合規(guī)義務(wù)的變更，特別是法律要求和相關(guān)方的需求的變化；—產(chǎn)生于監(jiān)視、審核、評(píng)審、投訴和不合規(guī)的問(wèn)題，包括相關(guān)方反饋?！⒁庾R(shí)并鼓勵(lì)人員接受合規(guī)管理體系；A.7.4溝通開(kāi)放日、焦喜小組、社區(qū)對(duì)話參與批區(qū)活動(dòng)和熱線電話。這些方法能促進(jìn)迎解和接受組織對(duì)合規(guī)的A.7.5文件化信息—合規(guī)風(fēng)險(xiǎn)登記冊(cè)并根據(jù)合規(guī)風(fēng)險(xiǎn)評(píng)估過(guò)程確定相關(guān)措施的優(yōu)先級(jí)文件化信息能包括與監(jiān)管報(bào)告要求有關(guān)的事項(xiàng)。文件化信息可包括各類(lèi)媒介(數(shù)字的和非數(shù)字A.7.5.2文件化信息的創(chuàng)建和更新A.7.5.3文件化信息的控制A.8.1運(yùn)行的策劃和控制一個(gè)精心設(shè)計(jì)的合規(guī)管理體系包括各項(xiàng)措施(例如：方針、過(guò)程、程序),使得合規(guī)文化既有內(nèi)容又有效果。這些措施應(yīng)對(duì)并旨在減少合規(guī)風(fēng)險(xiǎn)評(píng)估過(guò)程所識(shí)別的部分風(fēng)險(xiǎn)。運(yùn)行控制的一個(gè)基本要件是行為準(zhǔn)則，其中規(guī)定了本組織對(duì)相關(guān)合規(guī)義務(wù)的全面承諾。行為準(zhǔn)則宜適用于所有人員并使其能夠獲得和使用。宜將基于并源自行為準(zhǔn)則的合規(guī)措施納入本組織的日常運(yùn)在缺少與業(yè)務(wù)過(guò)程有關(guān)的運(yùn)營(yíng)控制可能導(dǎo)致偏離合規(guī)方針或違反合規(guī)義務(wù)的情況下，需要對(duì)運(yùn)行進(jìn)行控制。這些情況可能與所有業(yè)務(wù)情況、活動(dòng)或過(guò)程(例如：生產(chǎn)、安裝、服務(wù)、維護(hù))或承包商、供應(yīng)商控制的程度取決于幾個(gè)因素，如所履行的職能的重要性或復(fù)雜性、不合規(guī)的潛在后果、相關(guān)的或可當(dāng)運(yùn)行控制失效時(shí)，則有必要采取措施來(lái)應(yīng)對(duì)一切不期望的結(jié)果或影響。如果組織活動(dòng)中使用了第三方或外包過(guò)程，組織宜對(duì)其進(jìn)行有效的盡職調(diào)查，以確保組織對(duì)合規(guī)的標(biāo)準(zhǔn)和承諾不會(huì)降低。第三方的一個(gè)例子是產(chǎn)品和服務(wù)的提供以及產(chǎn)品的分銷(xiāo)。組織宜確保簽訂適當(dāng)?shù)姆?wù)水平協(xié)議(SLAs),以規(guī)定服務(wù)提供者的合規(guī)義務(wù)。一個(gè)設(shè)計(jì)良好的外包過(guò)程宜考慮以下幾點(diǎn)：——啟動(dòng)和持續(xù)的盡職調(diào)查；—實(shí)施適當(dāng)?shù)目刂?；——?duì)法律/合同協(xié)議的適當(dāng)評(píng)審；——考慮服務(wù)水平協(xié)議；——使用基于本文件認(rèn)證的第三方。在與第三方訂立合同時(shí)，組織宜實(shí)施控制，以確保其活動(dòng)的采購(gòu)、運(yùn)行、業(yè)務(wù)和其他非財(cái)務(wù)方面得到適當(dāng)管理。根據(jù)組織和交易的規(guī)模，組織實(shí)施的采購(gòu)、運(yùn)行、業(yè)務(wù)和其他非財(cái)務(wù)控制能降低合規(guī)風(fēng)險(xiǎn)。A.8.2確立控制和程序組織需要有效的控制，以確保組織的合規(guī)義務(wù)得以履行，不合規(guī)得以防止、發(fā)現(xiàn)和糾正?？刂频脑O(shè)計(jì)宜足夠嚴(yán)格，以促進(jìn)在特定的組織活動(dòng)和運(yùn)行環(huán)境中實(shí)現(xiàn)合規(guī)義務(wù)。在可能的情況下，這種控制宜嵌入到組織的正常過(guò)程之中?！逦?shí)用且易于遵守的文件化運(yùn)行方針、過(guò)程、程序和工作指示；——分離不相容的崗位和職責(zé)；——年度合規(guī)計(jì)劃；——合規(guī)評(píng)估和審核；——證實(shí)的管理層承諾和模范行為，以及其他促進(jìn)合規(guī)行為的措施；A.8.3提出疑慮有效的闊查機(jī)制能確認(rèn)不為的根源、怎稅管理保系的漏響機(jī)炎征做義的原因，包捕管理者、最即使法律不要水很織報(bào)告不合規(guī)，細(xì)須也能考意主動(dòng)向監(jiān)管機(jī)構(gòu)披露不合規(guī)，以堿輕不合規(guī)的A.9績(jī)效評(píng)價(jià)A.9.1.1通則——不合規(guī)和“近乎不合規(guī)”(即未造成負(fù)面影響的事件);——未履行合規(guī)義務(wù)的情況；——確立領(lǐng)先的和滯后的指標(biāo)。A.9.1.2合規(guī)績(jī)效的反饋來(lái)源——人員(例如：通過(guò)舉報(bào)工具、求助熱線、反饋、意見(jiàn)箱);——顧客(例如：通過(guò)投訴處理系統(tǒng));——過(guò)程控制日志和活動(dòng)記錄(包括電子版和紙質(zhì)版)?！掷m(xù)的監(jiān)管和組織的變更；——對(duì)合規(guī)有效性和績(jī)效的評(píng)論?！霈F(xiàn)或識(shí)別出不合規(guī)的特別報(bào)告；——通過(guò)熱線、投訴和其他反饋渠道(包括舉報(bào))獲得的信息；——非正式討論、研討會(huì)和分組座談會(huì)；——感知調(diào)查的結(jié)果；——相關(guān)方質(zhì)詢、培訓(xùn)需要和培訓(xùn)期間的反饋(特別是員工的反饋)。宜開(kāi)發(fā)信息的分類(lèi)、存儲(chǔ)和檢索系統(tǒng)。信息管理系統(tǒng)宜同時(shí)收集問(wèn)題和投訴，并允許對(duì)與合規(guī)有關(guān)的問(wèn)題和投訴進(jìn)行分類(lèi)和分析。分析宜結(jié)合系統(tǒng)性和重復(fù)性的問(wèn)題，以便糾正或改進(jìn)，因?yàn)檫@些可能會(huì)給組織帶來(lái)更難識(shí)別且重大的合規(guī)A.9.1.3指標(biāo)的制定A.9.1.4合規(guī)報(bào)告予以同等重視。即使一個(gè)小缺陷，也能表明當(dāng)前過(guò)程和合規(guī)管理體系存在嚴(yán)重不足。如果不及時(shí)報(bào)合規(guī)報(bào)告宜包括：—監(jiān)視行動(dòng)計(jì)劃的完整執(zhí)行，特別是那些源自審核報(bào)告或監(jiān)管要求的行動(dòng)計(jì)劃，或兩者兼而A.9.1.5記錄保存A.9.2內(nèi)部審核A.9.3管理評(píng)審合規(guī)過(guò)程的變更，以確保與運(yùn)行實(shí)踐和體系有效整合；與不合規(guī)相關(guān)的糾正措施；A.10改進(jìn)A.10.1持續(xù)改進(jìn)A.10.2不符合與糾正措施未能預(yù)防或檢測(cè)到一次性不合規(guī)，并不一定意味著合規(guī)管理體系在預(yù)防和檢測(cè)不合規(guī)時(shí)缺乏有——再培訓(xùn)員工；重新評(píng)估告知相關(guān)方的需要；教訓(xùn)更新方針和程序。附錄NA(資料性)補(bǔ)充使用指南NA.1合規(guī)義務(wù)NA.1.1概述如在我國(guó)，除法律法規(guī)外，強(qiáng)制性遵守的要求還包括強(qiáng)制性標(biāo)準(zhǔn)(見(jiàn)NA.1.4)、檢察決定(見(jiàn)NA.1.3);而有些合規(guī)義務(wù)則需要做進(jìn)一步的解釋、細(xì)化和區(qū)分，例如“法律法規(guī)”在我國(guó)司法管轄區(qū)體現(xiàn)為不同形式(見(jiàn)NA.1.2);“法院判決”在我國(guó)司法管轄區(qū)并不具有判例法法域的“遵循先例”的效力，而最高人民法院的指導(dǎo)性案例和司法解釋則對(duì)法律在司法運(yùn)用中提供了非常重要的規(guī)范，需要進(jìn)一步解釋、細(xì)化和區(qū)分(見(jiàn)NA.1.3);而組織簽署合同所產(chǎn)生的義務(wù)既可以成為契約性合規(guī)義務(wù)，也可通過(guò)合同援引外國(guó)具有域外效力的法律成為組織宜遵循的合規(guī)義務(wù)的一部分(見(jiàn)NA.1.5)。NA.1.2法律法規(guī)A.4.5中提及的“法律法規(guī)”在我國(guó)司法管轄區(qū)內(nèi)主要體現(xiàn)為如下形式：現(xiàn)行有效的法律、行政法規(guī)、地方性法規(guī)、自治條例和單行條例。其中，法律有廣義、狹義兩種理解。廣義上，法律泛指上述一切具有法律效力的規(guī)范性文件；狹義上，僅指全國(guó)人大及其常委會(huì)制定的規(guī)范性文件。在與法規(guī)等一起提及時(shí)，指狹義上的法律。綜上，法律法規(guī)一般是指立法部門(mén)和執(zhí)法部門(mén)(包括行政和監(jiān)管部門(mén))制定的法律規(guī)范性文件。NA.1.3法院判決、檢察決定、指導(dǎo)性案例和司法解釋A.4.5中提及的“法院判決”在我國(guó)語(yǔ)境下需要做出補(bǔ)充解釋和說(shuō)明。在我國(guó)，法院的判決只對(duì)其涉及的案件當(dāng)事人具有約束力，對(duì)于其他相同或類(lèi)似的案件沒(méi)有約束力，僅具有參考價(jià)值。在法律法規(guī)沒(méi)有對(duì)某個(gè)案件涉及的問(wèn)題做出規(guī)定的情況下，法院的判決對(duì)于相關(guān)方了解司法部門(mén)所采取的強(qiáng)制性要求具有很強(qiáng)的現(xiàn)實(shí)指導(dǎo)意義。另外，除了法院判決外，我國(guó)的檢察院會(huì)做出檢察決定。檢察決定在我國(guó)也構(gòu)成強(qiáng)制遵守的合規(guī)義務(wù)。在我國(guó)法域內(nèi)，最高人民法院、最高人民檢察院會(huì)頒布指導(dǎo)性案例、司法解釋?zhuān)@些會(huì)構(gòu)成組織強(qiáng)制遵守的合規(guī)義務(wù)。最高人民法院頒布的指導(dǎo)性案例雖不具備強(qiáng)制約束力，但會(huì)成為法院對(duì)某些相同或類(lèi)似案件進(jìn)行判決的依據(jù)。組織為了解相關(guān)法律法規(guī)在具體案件適用的標(biāo)準(zhǔn)和邊界，也要研究最高人民法院頒布的指導(dǎo)性案例。司法解釋是最高人民法院、最高人民檢察院為解決審判、檢察工作中的“具體應(yīng)用法律的問(wèn)題”而依法制定的規(guī)范性文件，對(duì)司法主體與執(zhí)法主體具有普遍的約束力，效力所及的任何組織和個(gè)人都需要遵守。根據(jù)2019年修訂的《最高人民檢察院司法解釋工作規(guī)定》(高檢發(fā)辦字〔2019〕55號(hào)),司法解釋采用解釋、規(guī)則、規(guī)定、批復(fù)、決定等形式。根據(jù)2021年最高人民法院頒布的《關(guān)于司法解釋工作的規(guī)定》(法發(fā)〔2021〕20號(hào)),司法解釋的形式分為解釋、規(guī)定、規(guī)則、批復(fù)和決定NA.1.4強(qiáng)制性標(biāo)準(zhǔn)強(qiáng)制性標(biāo)準(zhǔn)在我國(guó)也構(gòu)成組織強(qiáng)制遵守的合規(guī)義務(wù)。強(qiáng)制性標(biāo)準(zhǔn)，一經(jīng)發(fā)布、必須執(zhí)行，如GB18384—2020、GB40554.1—2021、GB18599—2020等。NA.1.5合同安排所產(chǎn)生的義務(wù)根據(jù)A.4.5,組織自愿選擇遵守的要求包括“組織的合同安排產(chǎn)生的義務(wù)”。這是一種基于契約形與我國(guó)法律法規(guī)某些強(qiáng)制性規(guī)定相違背。一旦簽署含有這樣條款的合同我國(guó)組NA.2.1合規(guī)文化的價(jià)值缺的重要組成部分。合規(guī)文化的價(jià)值在于：提供原則性指引，應(yīng)對(duì)子境風(fēng)險(xiǎn)：在留建合規(guī)管理保系應(yīng)對(duì)合規(guī)風(fēng)險(xiǎn)的同時(shí)，組織宜宣貫自己—增強(qiáng)動(dòng)合們：良好的谷規(guī)交化可以亞面影響人的存為，提升認(rèn)問(wèn)感和并動(dòng)合規(guī)意識(shí)；有助于同事間、相關(guān)方正面影響。NA.3數(shù)字化與合規(guī)管理NA.3.1概述宜從組織及其環(huán)境(見(jiàn)A.4.1)和組織相關(guān)方的需要和期望(見(jiàn)A.4.2)的角度去理解數(shù)字化與合規(guī)管理。NA.3.2理解組織及其環(huán)境的數(shù)字化變革隨著數(shù)字技術(shù)的應(yīng)用，傳統(tǒng)的業(yè)務(wù)模式和場(chǎng)景正經(jīng)歷數(shù)字化轉(zhuǎn)型，涉及交易的簽約、交付和支付完全或很大程度上通過(guò)數(shù)字化方式完成。消費(fèi)互聯(lián)網(wǎng)和產(chǎn)業(yè)互聯(lián)網(wǎng)形成了大型的交易平臺(tái)。隨著交易方式的電子化和數(shù)字化，新的交易規(guī)范(包括法律和法規(guī)以及商業(yè)慣例)隨之形成，通過(guò)立法或其他形式被采納并運(yùn)用于經(jīng)濟(jì)活動(dòng)中，例如《中華人民共和國(guó)民法典》在合同編里增加了有關(guān)電子合同的法律規(guī)定，以適應(yīng)數(shù)字經(jīng)濟(jì)的發(fā)展。數(shù)字經(jīng)濟(jì)的業(yè)務(wù)模式和規(guī)范的產(chǎn)生，勢(shì)必產(chǎn)生新的合規(guī)義