T-CEEAS 005-2022 企業(yè)合規(guī)管理體系有效性評價指引

ICS03.100.01CCSA00團體標準T/CEEAS005—2022代替T/CEEAS002—2022企業(yè)合規(guī)管理體系有效性評價指引Guidelinesforeffectivenessevaluationofenterprisecompliancemanagementsystem2022-10-12發(fā)布2022-10-12實施中國企業(yè)評價協(xié)會ⅠT/CEEAS005—2022前言 Ⅲ引言 Ⅳ1范圍 12規(guī)范性引用文件 13術語和定義 14評價原則 34.1符合性與有效性相結(jié)合原則 34.2全面性原則 34.3企業(yè)自評與專業(yè)評價相結(jié)合原則 34.4獨立客觀原則 45評價內(nèi)容 45.1評價維度 45.2評價指標 45.3評價證據(jù) 46評價實施 46.1基本條件 46.2評價結(jié)果 76.3評價流程 8附錄A(規(guī)范性)企業(yè)合規(guī)管理體系有效性評價細則 9參考文獻 15ⅢT/CEEAS005—2022本文件參照GB/T1.1—2020《標準化工作導則第1部分:標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替T/CEEAS002—2022《企業(yè)合規(guī)管理體系有效性評價》,與T/CEEAS002—2022相比,除結(jié)構(gòu)調(diào)整和編輯性變動外,主要技術變化如下。a)增加了評價維度。在評價維度上,將原來的七個維度進行修訂更新,提出合規(guī)環(huán)境評估、領導作用和資源投入、合規(guī)制度與運行機制、合規(guī)文化以及績效評估改進五個新的評價維度,考慮到黨建在國有企業(yè)或部分非公有制企業(yè)合規(guī)管理中發(fā)揮的重要作用,將其作為附加評價指標。補充。c)更新了指標內(nèi)容。借鑒《涉案企業(yè)合規(guī)建設、評估和審查辦法(試行)》、《企業(yè)合規(guī)計劃評價指南》(美國司法部2020版),對評價指標和內(nèi)容進行了更新。d)調(diào)整了評價權重。對評價指標的權重進行了重新分配,優(yōu)化了得分計算方法。e)優(yōu)化了等級劃分。對于評級結(jié)果的等級劃分進行了優(yōu)化。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由中國企業(yè)評價協(xié)會提出并歸口。本文件起草單位:中國企業(yè)評價協(xié)會。本文件及其所代替文件的歷次版本發(fā)布情況為:—2022年首次發(fā)布為T/CEEAS002—2022?！敬螢榈谝淮涡抻?。ⅣT/CEEAS005—2022引言合規(guī)是企業(yè)可持續(xù)發(fā)展的重要基礎。合規(guī)管理是企業(yè)通過建立合規(guī)管理機制,制定和執(zhí)行合規(guī)政策,開展合規(guī)審核、合規(guī)檢查、合規(guī)風險監(jiān)測、合規(guī)考核以及合規(guī)培訓等有組織、有計劃的管理活動,實施預防、識別、評估、報告和應對合規(guī)風險的行為。企業(yè)不僅在本土經(jīng)營時要強化合規(guī)管理,在開展國際化經(jīng)營的過程中,更要以合規(guī)經(jīng)營作為暢行天下的“通行證”。當前,在企業(yè)國際化和跨國經(jīng)營中面臨著諸多的法律合規(guī)風險,如國家安全審查風險、反壟斷處罰風險、知識產(chǎn)權侵權風險、稅務管理風險、商業(yè)賄賂風險以及在環(huán)境保護、勞動用工、數(shù)據(jù)保護等方面的風險。在國際化經(jīng)營的背景下,企業(yè)合規(guī)經(jīng)營和合規(guī)管理的緊迫性更加突出。為科學評價企業(yè)合規(guī)管理體系有效性,引導企業(yè)更好地開展合規(guī)管理工作,中國企業(yè)評價協(xié)會提出并組織相關社會團體及專家學者共同參與,編制了本文件。本文件作為企業(yè)合規(guī)管理和第三方機構(gòu)評價的指引,提出了企業(yè)合規(guī)管理體系有效性評價的指標體系,從合規(guī)環(huán)境評估、領導作用和資源投入、合規(guī)制度與運行機制、合規(guī)文化、績效評估改進5個維度以及黨建在企業(yè)合規(guī)管理中的作用,設計了評價指標;明確了企業(yè)合規(guī)管理體系有效性評價工作的規(guī)則、流程以及報告評級等實施程序。針對不同行業(yè)以及專項的合規(guī)評價,中國企業(yè)評價協(xié)會后續(xù)將制定發(fā)布相應的文件。實踐中,企業(yè)合規(guī)管理體系有效性評價可由企業(yè)自行組織開展,也可委托行業(yè)協(xié)會等機構(gòu)開展。本文件與企業(yè)必須遵守的法律法規(guī)、強制性標準等和自愿遵守的合規(guī)義務有關文件,共同構(gòu)成第三方機構(gòu)和企業(yè)開展合規(guī)管理評價的依據(jù)。1T/CEEAS005—2022企業(yè)合規(guī)管理體系有效性評價指引1范圍本文件規(guī)定了企業(yè)合規(guī)管理體系有效性評價的評價原則、評價內(nèi)容、評價實施。本文件適用于企業(yè)合規(guī)管理體系有效性的第三方評價,企業(yè)也可依據(jù)本文件進行自我評價。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。ISO37301合規(guī)管理體系要求及使用指南(Compliancemanagementsystems—Requirementswithguidanceforuse)3術語和定義ISO37301界定的以及下列術語和定義適用于本文件。合規(guī)compliance履行組織的全部合規(guī)義務。3.2未履行合規(guī)義務。3.3以有效防控合規(guī)風險為目的,以企業(yè)和員工經(jīng)營管理行為為對象,開展包括制度制定、風險識別、合規(guī)審查、風險應對、責任追究、考核評價、合規(guī)培訓等有組織、有計劃的管理活動。3.4合規(guī)團隊complianceteam負責合規(guī)管理的一個人(或多個人)。3.5合規(guī)管理委員會compliancemanagementcommittee為推進企業(yè)合規(guī)體系建設和合規(guī)經(jīng)營而設立的專門組織。3.6首席合規(guī)官chiefcomplianceofficer企業(yè)核心管理層成員,全面領導合規(guī)管理體系建設與運行。3.7合規(guī)內(nèi)審員complianceofficer企業(yè)內(nèi)部從事合規(guī)管理的人員,包括專職和兼職。2T/CEEAS005—20223.8合規(guī)風險compliancerisk因不符合組織的合規(guī)義務而發(fā)生不合規(guī)的可能性和后果。3.9合規(guī)要求compliancerequirement組織有義務遵守的明示的、通常隱含的或有義務履行的需求或期望。合規(guī)承諾compliancecommitment組織選擇遵守的合規(guī)要求(3.9)。合規(guī)義務complianceobligation合規(guī)要求(3.9)或合規(guī)承諾(3.10)。合規(guī)文化complianceculture貫穿整個組織的價值觀、道德觀、信仰和行為,并與組織的結(jié)構(gòu)和控制系統(tǒng)相互作用,產(chǎn)生有利于合規(guī)的行為規(guī)范。評價evaluation對事物在性質(zhì)、數(shù)量、優(yōu)劣、方向等方面做評價指標evaluationindex具體、可觀察、可測量的評價準則。注:本文件中的指標均為符合性的,按事實和證據(jù)(文件、記錄)的符合性,以及量化數(shù)據(jù)的符合性來進行評價。管理系統(tǒng)的結(jié)構(gòu)及其運行機理。規(guī)范性文件normativedocument組織所建立的或應遵守的,用于指導企業(yè)生產(chǎn)經(jīng)營活動的方法、規(guī)范或要求的文件,一般可包括管注1:規(guī)范性文件可以是組織自己建立的內(nèi)部文件,也可以是組織應遵守的外部文件,例如國家及有關部門頒發(fā)的法律法規(guī)、命令、通知,或者上級單位頒發(fā)的管理制度、通知等。注2:按照文件內(nèi)容,一般分為3個層級,即綱領性文件(例如手冊、管理制度等)、流程性文件(例如程序、管理規(guī)定、管理辦法等)和作業(yè)指導性文件(例如操作規(guī)程、工作流程、作業(yè)指導書等)。證據(jù)性文件evidencedocument組織自己產(chǎn)生的,與組織生產(chǎn)經(jīng)營活動過程相關的各種證明性文件,例如各種記錄、報表、審批單、會議記錄、生產(chǎn)日志等。注1:證據(jù)性文件是組織自己產(chǎn)生的內(nèi)部文件。注2:證據(jù)性文件能反應組織生產(chǎn)經(jīng)營活動的真實情況。合規(guī)管理體系compliancemanagementsystem組織為了實現(xiàn)合規(guī)管理目標而建立的,包括合規(guī)組織機構(gòu)和職責、合規(guī)制度體系、合規(guī)運行機制、合3T/CEEAS005—2022規(guī)評價與追責、文化建設、信息化建設等要素和內(nèi)容組成的管理體系。注:合規(guī)管理體系的要件包括合規(guī)方面的組織的結(jié)構(gòu)、崗位和職責(與領導作用相關)、運作(與組織環(huán)境、策劃、支合規(guī)管理體系有效性effectivenessofcompliancemanagementsystem組織所建立的合規(guī)管理體系運行過程和結(jié)果實現(xiàn)預期目標的程度,包括合規(guī)管理體系文件有關的規(guī)范性文件與ISO37301要求的符合性、實施過程與規(guī)范性文件的符合性、實施結(jié)果實現(xiàn)企業(yè)合規(guī)目標的程度和持續(xù)改進的成果。4評價原則4.1符合性與有效性相結(jié)合原則評價內(nèi)容和評價指標體系既要考慮合規(guī)管理過程中各項制度、文件、措施等的符合性,又要考慮合規(guī)管理實施所產(chǎn)生的結(jié)果,例如合規(guī)管理目標的實現(xiàn)情況等。一般分別通過下面幾個方面來評價合規(guī)管理的符合性和有效性:—合規(guī)管理體系的規(guī)范性文件是否符合ISO37301要求;—合規(guī)管理工作實施過程的證據(jù)性文件是否符合企業(yè)規(guī)范性文件的要求;—其證據(jù)性文件的各項內(nèi)容是否能夠真實反應其合規(guī)管理工作的有效性;—合規(guī)管理工作是否得到持續(xù)改進。4.2全面性原則合規(guī)管理體系有效性工作評價的范圍覆蓋企業(yè)合規(guī)管理體系明確規(guī)定的經(jīng)營管理活動的全員、全域和全過程的所有內(nèi)容:a)全員包括治理層、經(jīng)營管理層、實施層的所有員工;b)全域包括組織的合規(guī)管理制度規(guī)定的范圍內(nèi)的所有專業(yè)領域(例如合規(guī)、法務、財務、內(nèi)控、風控等)和管理領域(例如質(zhì)量、環(huán)境、能源、健康安全、社會責任等);c)全過程包括產(chǎn)品實現(xiàn)/服務提供全部過程,例如生產(chǎn)過程、人力資源管理過程、采購過程、銷售過程、售后服務等企業(yè)生產(chǎn)經(jīng)營活動中的全部業(yè)務流程和支持性過程。4.3企業(yè)自評與專業(yè)評價相結(jié)合原則企業(yè)在全面梳理企業(yè)合規(guī)管理體系的規(guī)范性文件和證據(jù)性文件基礎上,通過日常監(jiān)測/自我檢查、內(nèi)部審核/交叉檢查、管理評審/年度工作總結(jié)等方式,開展自我評價。評價機構(gòu)在企業(yè)完成自我評價的基礎上,對企業(yè)所提供的規(guī)范性文件和證據(jù)性文件進行系統(tǒng)全面的專業(yè)評價,并經(jīng)過現(xiàn)場審核(必要時)驗證后進行綜合打分,得出最終評價結(jié)果。4.4獨立客觀原則評價機構(gòu)和人員與被評價企業(yè)保持相對獨立,與評價企業(yè)沒有直接的利益關聯(lián),評價過程不受其他組織干擾。評價人員基于企業(yè)的證據(jù)性文件提供的客觀證據(jù)進行評價,不舍棄任何已經(jīng)提供的證據(jù),不在已經(jīng)提供的證據(jù)的基礎上進行任何延展性聯(lián)想或推斷。企業(yè)自評時,合規(guī)管理牽頭部門獨立履行職責,不受其他部門和人員的干涉。嚴格依照法律法規(guī)等規(guī)定對企業(yè)和員工行為進行客觀評價和處理。4T/CEEAS005—20225評價內(nèi)容5.1評價維度合規(guī)管理評價標準以ISO37301為依據(jù),以“全員、全域、全過程”全面合規(guī)為出發(fā)點,從合規(guī)環(huán)境評估、領導作用和資源投入、合規(guī)制度與運行機制、合規(guī)文化、績效評估改進5個維度以及黨建在企業(yè)合規(guī)管理中的作用,對企業(yè)的合規(guī)管理工作進行評價。5.2評價指標企業(yè)合規(guī)管理體系有效性評價的主要內(nèi)容包括:—合規(guī)環(huán)境評估重點關注內(nèi)外部因素、利益相關方的需要和期望、合規(guī)管理體系的范圍、合規(guī)義務4個指標?！I導作用和資源投入的評價重點關注最高管理層參與度、管理機構(gòu)的職能和資源、管理者職責與績效、合規(guī)管理信息化建設4個指標。—合規(guī)制度與運行機制的評價主要關注合規(guī)制度體系和合規(guī)管理機制運行2個指標?！弦?guī)文化的評價重點關注合規(guī)理念、合規(guī)文化推廣、員工職責與績效3個指標。—績效評估改進的評價包括監(jiān)視、測量、分析和評價,內(nèi)部審核,管理評審,體系持續(xù)改進,不符合和糾正措施5個指標?！h建在企業(yè)合規(guī)管理中所發(fā)揮的作用。5.3評價證據(jù)企業(yè)所提交的與合規(guī)管理體系有關的規(guī)范性文件以及證據(jù)性文件,將作為企業(yè)合規(guī)管理體系有效性評價的主要證據(jù)。6評價實施6.1基本條件6.1.1評價人員評價人員應具備如下條件:a)熟悉ISO37301,具有從事合規(guī)管理評價的基本技能,熟練使用合規(guī)管理評價工具;b)具備被評價企業(yè)所屬行業(yè)的專業(yè)知識和經(jīng)驗;c)具有足夠的評價工作經(jīng)驗,從事相關工作3年及以上;d)經(jīng)過專業(yè)培訓和考核,并經(jīng)評價機構(gòu)評聘;e)與評價企業(yè)不存在直接或間接的利益關聯(lián)。6.1.2評價機構(gòu)開展合規(guī)管理體系有效性評價的機構(gòu)應具備相關的資源和能力,包括但不限于擁有開展合規(guī)管理體系有效性評價所需的評價工具和適宜數(shù)量的評價人員。評價機構(gòu)應按照本文件的要求制定具體的評價實施規(guī)則,評價實施規(guī)則包括但不限于評價方案策劃、評價組的建立、評價實施流程、評價內(nèi)容分值、評價報告質(zhì)量控制等方面的內(nèi)容。評價機構(gòu)對于被評價企業(yè)的相關材料和數(shù)據(jù)要做好保密工作,履行保密承諾。5T/CEEAS005—20226.1.3評價方式合規(guī)管理體系有效性評價可采用企業(yè)自我評價與專家評價相結(jié)合的方式開展評價。企業(yè)應在全面梳理企業(yè)合規(guī)管理體系的規(guī)范性文件和證據(jù)性文件基礎上,通過日常監(jiān)測/自我檢查、內(nèi)部審核/交叉檢查、管理評審/年度工作總結(jié)等方式,開展自我評價。評價機構(gòu)在企業(yè)完成自我評價的基礎上,對企業(yè)所提供的規(guī)范性文件和證據(jù)性文件進行全面系統(tǒng)的專業(yè)評價。必要時,評價機構(gòu)應對企業(yè)提供的資料進行現(xiàn)場核證,核實企業(yè)提供的資料的真實性。在現(xiàn)場核證過程,可根據(jù)評價內(nèi)容和指標的具體情況,采用文件審閱、問卷調(diào)查、訪談調(diào)研、現(xiàn)場走訪等評價方法。6.1.4數(shù)據(jù)獲取評價機構(gòu)在評價過程應獲取與合規(guī)管理過程和結(jié)果有關的數(shù)據(jù)作為評價的依據(jù),這些數(shù)據(jù)包括但不限于:—企業(yè)提供合規(guī)管理工作相關的數(shù)據(jù);—評價機構(gòu)通過資料收集、現(xiàn)場觀察等方式從企業(yè)獲取的相關數(shù)據(jù);—評價機構(gòu)從國際、國家和地方政府部門和社會媒體獲取的相關數(shù)據(jù)。6.1.5評價指標體系企業(yè)合規(guī)管理體系有效性評價指標體系見表1。評價指標體系的分值設定說明如下:a)本文件的評價指標體系包括評價維度、評價指標和評價條款;b)評價維度的分值為該維度下各項評價指標的分值之和,各項指標的分值總和為1000分,附加項50分;c)本文件在附錄A的表A.1中給出了評價指標的評價條款,評價指標的分值與該項指標的評價條款的多少相匹配;d)由于部分非公有制企業(yè)未設立黨組織,故將黨建在合規(guī)管理中發(fā)揮的作用作為附加項,計50分,見表A.2。表1企業(yè)合規(guī)管理體系有效性評價指標體系評價維度評價指標分值合規(guī)環(huán)境評估(150分)內(nèi)外部因素40利益相關方的需要和期望40合規(guī)管理體系的范圍20合規(guī)義務50領導作用和資源投入(230分)最高管理層★60合規(guī)管理機構(gòu)的職能與資源80管理者職責與績效40合規(guī)管理信息化建設★50合規(guī)制度與運行機制(260分)合規(guī)管理制度體系★90合規(guī)管理機制運行★1706T/CEEAS005—2022表1企業(yè)合規(guī)管理體系有效性評價指標體系(續(xù))評價維度評價指標分值合規(guī)文化(130分)合規(guī)理念30推廣合規(guī)文化★60員工職責與績效40績效評估改進(230分)監(jiān)視、測量、分析和評價★80內(nèi)部審核30管理評審30體系持續(xù)改進★50不符合和糾正措施40附加項黨建在企業(yè)合規(guī)管理中的作用50注1:共計6個評價維度、19個評價指標,帶“★”的為重要評價指標。注2:企業(yè)自評時可根據(jù)自身需求對指標進行適當調(diào)整。6.1.6評分規(guī)則附錄A給出每項評價指標中各項評價條款的細則和分值。表2給出了企業(yè)合規(guī)管理體系有效性評價的評分規(guī)則。每項評價條款的得分=表2指標評分要求表評分比例要點0~<20%■在該評分項要求中水平很差,或沒有描述結(jié)果,或結(jié)果很差■在該評分項要求中沒有或極少顯示趨勢的數(shù)據(jù),或顯示了總體不良的趨勢■在該評分項要求中沒有或極少的相關數(shù)據(jù)信息,或?qū)Ρ刃孕畔?0%~<40%■在該評分項要求中結(jié)果很少,或在少數(shù)方面有一些改進和(或)處于初期績效水平■在該評分項要求中有少量顯示趨勢的數(shù)據(jù),或處于較低水平■在該評分項要求中有少量相關數(shù)據(jù)信息,或?qū)Ρ刃孕畔?0%~<60%■在該評分項要求的多數(shù)方面有改進和(或)良好水平■在該評分項要求的多數(shù)方面處于取得良好趨勢的初期階段,或處于一般水平■在該評分項要求中能夠獲得相關數(shù)據(jù),或?qū)Ρ刃孕畔?0%~<80%■在該評分項要求的大多數(shù)方面有改進趨勢和(或)良好水平■與該評分項要求中一些趨勢和(或)當前顯示了良好到優(yōu)秀的水平■在該評分項要求中處于獲得大量相關數(shù)據(jù),或?qū)Ρ刃孕畔?0%~100%■在該評分項要求重要的大多數(shù)方面,當前結(jié)果/水平/績效達到優(yōu)良水平■與該評分項要求中大多數(shù)的趨勢顯示了領先和優(yōu)秀的水平■在該評分項要求中能夠獲得充分相關數(shù)據(jù),或?qū)Ρ刃孕畔?T/CEEAS005—20226.2評價結(jié)果6.2.1評價結(jié)果計算評價機構(gòu)應按照表A.1,根據(jù)各評價指標對應的評價條款給出分值。合規(guī)管理體系有效性評價滿分為1000分,附加項為50分,評價得分采用求和法計算得出,即各項評價指標的得分之和。計算公式見公式(1):X(jAij)+βkBk……(1)式中:X—企業(yè)的合規(guī)管理體系有效性得分;i—評價指標的序號;m—評價指標的數(shù)量;j—某評價指標下設定的評價條款的序號;n—某評價指標下設定的評價條款的數(shù)量;Aij—評價條款的得分;β—附加指標的系數(shù),對于有黨組織的企業(yè),賦予1的系數(shù),對于未設立黨組織的企業(yè)賦予0的系數(shù);k—附加項條款的序號;l—附加項條款的數(shù)量;Bk—附加條款的得分。6.2.2評價結(jié)論根據(jù)計算得到的企業(yè)合規(guī)管理體系有效性得分,判定企業(yè)合規(guī)管理體系有效性評價的等級。評價等級共分為5級,分別為AAAAA、AAAA、AAA、AA和A,對應的得分分值范圍見表3。其中,被判定為A級的企業(yè),需根據(jù)評價報告進行整改后,重新進行評價。企業(yè)如存在以下情況之一,應判定為未達到評級要求:a)企業(yè)的合規(guī)管理體系有效得分在600及以下;b)標明★的重要評價指標得分沒有達到該項指標的60%;c)存在因合規(guī)管理體系不完善或?qū)嵤┻^程不符合造成的重大不合規(guī)行為。表3評價結(jié)果的等級評價標準等級等級評價標準含義AAAAA901及以上達到合規(guī)管理行業(yè)標桿水平AAAA801~900達到合規(guī)管理行業(yè)優(yōu)秀水平AAA701~800達到合規(guī)管理行業(yè)良好水平AA601~700達到合規(guī)管理行業(yè)合格水平A600及以下未達到評級要求6.2.3評價報告評價報告宜對評價機構(gòu)的基本情況、被評價企業(yè)的基本信息、評價依據(jù)、評價過程、評價結(jié)論及改進8T/CEEAS005—2022的建議等方面的內(nèi)容進行描述,并從合規(guī)環(huán)境、領導作用和資源投入、合規(guī)制度與運行機制、合規(guī)文化以及績效評估改進5個方面,對企業(yè)當前合規(guī)管理體系有效性進行分析。第三方評價機構(gòu)提供的評價報告宜給出下列內(nèi)容:a)評價機構(gòu)的基本情況;b)被評價企業(yè)的基本信息;c)評價依據(jù);d)評價過程;e)評價基準日和評價報告日;f)評價數(shù)據(jù)及其來源;g)合規(guī)管理體系有效性得分;h)評價結(jié)論及改進的建議。6.2.4評級證書評價機構(gòu)對評級結(jié)論為AA(含)以上4個級別的企業(yè),可依據(jù)評價報告頒發(fā)評級證書。評級證書應包括參評企業(yè)名稱、邊界和范圍、評價依據(jù)、評價結(jié)論(等級)等信息,并明示合規(guī)管理體系有效性評價等級設置。證書有效期不超過3年。6.3評價流程企業(yè)合規(guī)管理有效性評價流程如下。a)企業(yè)向第三方評價機構(gòu)提交評價申請書。被評價企業(yè)需具備以下條件:1)企業(yè)在生產(chǎn)經(jīng)營活動中恪守道德規(guī)范,遵守法律法規(guī),無違法亂紀現(xiàn)象;2)企業(yè)沒有出現(xiàn)過嚴重的產(chǎn)品質(zhì)量事件和安全事故;3)誠信經(jīng)營、公平交易,在商業(yè)活動中無欺詐行為、無違規(guī)行為。b)初審和受理。對于提交申請書的企業(yè),第三方評價機構(gòu)根據(jù)企業(yè)提交的申請材料、第三方數(shù)據(jù)和合規(guī)管理檔案,確定是否受理。受理后簽訂工作合同,確定合作關系。c)提供材料。企業(yè)按要求提交詳細的評審材料。d)盡職調(diào)查。對于受理的企業(yè),第三方評價機構(gòu)應組織不少于2位評審員深入企業(yè)實地考察走訪核實,收集音頻、視頻、圖片及文字材料。e)評審委員會評審。包括2位實地查訪的評審員在內(nèi),每個企業(yè)由不少于5位評審委員參與評審。在詳細審核企業(yè)的所有評審文件后,投票給予評級級別,出具綜合評級意見,并簽名背書。f)終審。對照本文件,考察評審過程是否契合、規(guī)范、科學。g)公示。在不低于3家指定媒體對企業(yè)初步的評級結(jié)果進行公示,接受社會監(jiān)督。h)出具評價報告和頒發(fā)評級證書。公示結(jié)束,第三方評價機構(gòu)向評級通過的企業(yè)出具評價報告,并頒發(fā)評級證書。評級時效不超過3年,評級滿1年后企業(yè)可申請延續(xù)評級或上調(diào)評級。i)公告。第三方評價機構(gòu)向企業(yè)提供評級公告,企業(yè)可進行宣傳,提升品牌價值。j)服務和動態(tài)跟蹤。對于評級通過的企業(yè),第三方評價機構(gòu)應做好客戶服務,同時進行動態(tài)跟蹤和合規(guī)缺失監(jiān)督。企業(yè)自評時可根據(jù)評價實際需求對評價流程進行修改簡化。9T/CEEAS005—2022附錄A(規(guī)范性)企業(yè)合規(guī)管理體系有效性評價細則A.1表A.1給出了企業(yè)合規(guī)管理體系有效性評價細則的內(nèi)容。表A.1企業(yè)合規(guī)管理體系有效性評價細則評價維度評價指標評價條款分值得分合規(guī)環(huán)境評估內(nèi)外部因素規(guī)范性文件:是否制定了識別內(nèi)外部因素的規(guī)范性文件,或在相關文件等企業(yè)的相關規(guī)章制度文件10環(huán)境分析文件:是否按照規(guī)范性文件的要求識別了內(nèi)外部因素并形成了如企業(yè)內(nèi)外部環(huán)境分析報告等證據(jù)性文件。外部環(huán)境因素宜包括產(chǎn)業(yè)所提供的產(chǎn)品/服務等10結(jié)果應用:內(nèi)外部因素的分析結(jié)果是否作為合規(guī)義務識別、風險分析的輸入,是否作為建立合規(guī)方針、制定合規(guī)目標的依據(jù)10定期評估:是否定期對內(nèi)外部因素進行了評估、更新10利益相關方的需要和期望規(guī)范性文件:企業(yè)是否制定了識別利益相關方的規(guī)范性文件,或在相關文件中對此做了規(guī)定。例如:管理手冊、程序文件、合規(guī)管理辦法等10利益相關方期望:企業(yè)是否按照綱領性文件的要求識別了與合規(guī)管理有關的相關方的需要和期望,并形成證據(jù)性文件。利益相關方包括與企業(yè)構(gòu)、非政府組織、個人等。證據(jù)文件呈現(xiàn)形式可為分析報告、相關方需求和期望分析表等10前置依據(jù):識別的相關方合規(guī)性要求是否作為后續(xù)的合規(guī)義務識別的依據(jù)10定期評估:是否按制度要求定期對相關方的合規(guī)性要求進行了評估、更新10合規(guī)管理體系的范圍覆蓋范圍:企業(yè)是否有明確的確定覆蓋范圍的依據(jù),是否考慮了內(nèi)外部影響因素、相關方要求、合規(guī)義務以及合規(guī)風險評估情況等10地域邊界、組織邊界與業(yè)務邊界:企業(yè)是否在規(guī)范性文件中明確了合規(guī)管理體系的覆蓋范圍,所確定的范圍是否明確闡明了合規(guī)管理體系涉及的地域邊界(如跨省、跨國)、組織邊界(如分公司、總部)和業(yè)務邊界(產(chǎn)10合規(guī)義務規(guī)范性文件:企業(yè)是否制定了識別合規(guī)義務的規(guī)范性文件,或在相關文件中對此做了規(guī)定,如合規(guī)義務識別辦法10組織管理:企業(yè)是否按文件要求,按照治理層、經(jīng)營管理層、實施層不同專業(yè)領域的職能以及組織性質(zhì)等方面識別其合規(guī)義務1010T/CEEAS005—2022表A.1企業(yè)合規(guī)管理體系有效性評價細則(續(xù))評價維度評價指標評價條款分值得分合規(guī)環(huán)境評估合規(guī)義務義務清單:企業(yè)是否依據(jù)規(guī)定編制合規(guī)義務清單,合規(guī)義務清單是否涵蓋了企業(yè)需遵守的強制性要求(例如法律法規(guī);許可、執(zhí)照或其他形式的授權;監(jiān)管機構(gòu)發(fā)布的命令、條例或指南;法院的判決或行政決定;條約、公約和協(xié)議;簽署合同所產(chǎn)生的義務;上級單位的要求等)和自愿性要求(例如與社會團體、非政府組織、公共權利機構(gòu)和客戶簽訂的協(xié)議;企業(yè)的要求;自愿的原則或規(guī)程;自愿性標志或環(huán)境承諾;相關團體或產(chǎn)業(yè)的的活動10管理體系:企業(yè)是否已經(jīng)將識別出的合規(guī)義務融入到合規(guī)管理體系文件,以履行合規(guī)義務10定期更新:企業(yè)是否按照規(guī)定程序定期更新合規(guī)義務10領導作用和資源投入最高管理層參與度企業(yè)是否將合規(guī)管理體系建設和合規(guī)要求有效嵌入公司章程、法人治理和業(yè)務流程之中,確保合規(guī)管理有效落實、有效執(zhí)行20領導參與程度:最高管理者是否通過參與合規(guī)管理體系的建設(包括批準綱領性文件、合規(guī)方針、合規(guī)目標、分配職責權限、評審合規(guī)管理體系、及時采取糾正措施等行為)來踐行合規(guī)承諾20以身作則:治理機構(gòu)及最高管理者是否以身作則,履行合規(guī)管理職責和義務。例如:企業(yè)主要負責人是否作為推進法治建設第一責任人,是否制定發(fā)展方向、制定發(fā)展戰(zhàn)略及其發(fā)展目標、向企業(yè)的所有人員方傳達合規(guī)管理要求等20管理機構(gòu)的職能與資源獨立部門:企業(yè)是否明確了獨立的合規(guī)職能部門或設立了合規(guī)管理委員會,專職合規(guī)人員數(shù)量不低于公司人員數(shù)量的3%20有效職能:合規(guī)職能部門是否能夠直接接觸到治理機構(gòu)和最高管理者,例如直接向公司總經(jīng)理和間接向?qū)徲嬑瘑T會、主席或整個董事會匯報工作,定期參加治理機構(gòu)和最高管理者的會議等10獨立性:合規(guī)職能部門是否具有不與組織結(jié)構(gòu)或其他因素沖突的獨立性,在行動上能夠不受垂直管理者的干涉10發(fā)言權:合規(guī)管理部門是否具有必要的權限,例如不被上級部門否決或修改報告和信息,能夠根據(jù)需要指導其他員工,具有申明和提出合規(guī)疑慮的發(fā)言權10支撐保障:合規(guī)管理部門是否具有必要的資源,支持其不受限制地執(zhí)行合規(guī)管理體系的必要工作和職責,例如不受其他工作干擾的專職人員、能夠獨立支配的物質(zhì)和經(jīng)費、必要的技術等10合規(guī)職能部門職責和權限:企業(yè)是否明確規(guī)定了合規(guī)職能部門的職責和權限2011T/CEEAS005—2022表A.1企業(yè)合規(guī)管理體系有效性評價細則(續(xù))評價維度評價指標評價條款分值得分領導作用和資源投入管理者職責與績效管理者職責和權限:是否明確規(guī)定了治理機構(gòu)和最高管理者的合規(guī)管理職責和權限。最高管理層的主要職責是否包括了為建立、制定、實施、評價、維護、改進合規(guī)管理體系配置了足夠的資源,建立及時有效的合規(guī)績效報告制度,戰(zhàn)略和運行目標與合規(guī)義務相協(xié)同,建立和維護問責機制,確保合規(guī)績效與人員績效考核掛鉤10管理者績效:治理機構(gòu)的主要職責是否包括了制定合理的最高管理者的管理績效,以確?？梢愿鶕?jù)合規(guī)目標的實現(xiàn)程度測量管理績效;是否包括了對最高管理者運行合規(guī)管理體系的情況進行監(jiān)督10各層管理者職責和權限:企業(yè)是否明確規(guī)定了各層管理者在其職責范圍內(nèi)的合規(guī)方面的職責和權限20合規(guī)管理信息化建設是否能將合規(guī)制度、典型案例、合規(guī)培訓、違規(guī)行為記錄等納入合規(guī)信息系統(tǒng)20是否能運用信息化手段將合規(guī)要求和防控措施嵌入業(yè)務流程,加強關鍵節(jié)點的合規(guī)審查10是否將合規(guī)管理信息系統(tǒng)與財務、投資、采購等其他信息系統(tǒng)實現(xiàn)了互聯(lián)互通和數(shù)據(jù)共用共享10是否利用大數(shù)據(jù)等技術加強了對重點領域關鍵環(huán)節(jié)的事實檢測,并實現(xiàn)合規(guī)風險及時預警、快速處置10合規(guī)制度與運行機制合規(guī)管理制度體系企業(yè)是否根據(jù)使用范圍、效力層級等構(gòu)建了分級分類的合規(guī)管理制度體系和相關規(guī)范性文件20核評價、監(jiān)督問責等主要內(nèi)容20理、數(shù)據(jù)保護、國際化業(yè)務等重點領域制定了專項合規(guī)管理制度30是否根據(jù)法律法規(guī)、政策監(jiān)管、風險與機遇等變化情況及時對規(guī)章制度進行修訂完善,并對執(zhí)行落實情況進行檢查20合規(guī)管理機制運行合規(guī)風險識別評估預警機制:企業(yè)是否建立并定期更新合規(guī)風險數(shù)據(jù)庫,對企業(yè)以及商業(yè)項目風險發(fā)生的可能性、影響程度、潛在后果等進行分析,對典型性、普遍性或者可能產(chǎn)生嚴重后果的風險及時預警30合規(guī)審查機制:是否將合規(guī)審查作為必經(jīng)程序嵌入到規(guī)章制度制定、重決策事項合規(guī)審查意見是否由首席合規(guī)官簽字,并對決策事項的合規(guī)性提出明確意見30合規(guī)報告制度:是否建立了合規(guī)報告制度,發(fā)生較大合規(guī)風險事件,相關業(yè)務及職能部門是否能及時向合規(guī)管理部門報告。重大合規(guī)風險事件是否能及時向監(jiān)管部門報告3012T/CEEAS005—2022表A.1企業(yè)合規(guī)管理體系有效性評價細則(續(xù))評價維度評價指標評價條款分值得分合規(guī)制度與運行機制合規(guī)管理機制運行違規(guī)問題整改機制:是否建立違規(guī)問題整改機制,通過健全規(guī)章制度、優(yōu)化業(yè)務流程等,提升企業(yè)合規(guī)管理水平。是否設立違規(guī)舉報平臺,公布舉報電話、郵箱或者信箱等,相關部門是否按照職責受理違規(guī)舉報,并就舉報問題進行調(diào)查和處理30違規(guī)追責問責機制:是否建立違規(guī)行為追責問責機制,明確責任范圍,細化問責標準,針對問題和線索能夠及時開展調(diào)查,并按照規(guī)定追責違規(guī)人員責任。是否建立經(jīng)營管理和員工履職違規(guī)行為記錄制度,將違規(guī)行為性質(zhì)、發(fā)生次數(shù)、危害程度等作為考核評價、職級評定等工作的依據(jù)30協(xié)同運作機制:是否結(jié)合實際建立了合規(guī)管理與法務管理、內(nèi)部控制等制,加強統(tǒng)籌協(xié)調(diào),避免交叉重復20合規(guī)文化合規(guī)理念企業(yè)治理層和高級管理者是否塑造了合規(guī)的企業(yè)精神和價值理念10企業(yè)管理人員是否從自身做起,踐行合規(guī)文化理念,帶頭垂范,以身作則10企業(yè)是否承諾自上而下保持一致地實施合規(guī)文化10合規(guī)文化推廣是否通過發(fā)布合規(guī)手冊、簽訂合規(guī)承諾等方式,加強合規(guī)宣傳,強化全員合規(guī)經(jīng)營意識10企業(yè)的員工是否能從情感和理智上認同企業(yè)合規(guī)文化,并做出認同的承諾10是否建立常態(tài)化合規(guī)培訓機制,制定年度培訓計劃,并將合規(guī)管理作為培訓必修內(nèi)容10企業(yè)在關鍵職能人員的招聘、晉升時,是否將合規(guī)文化作為考察評估因素,例如盡職調(diào)查10是否在入職培訓或新員工訓練時強調(diào)合規(guī)和企業(yè)的價值觀10企業(yè)是否利用各種時機、場合推廣合規(guī)文化,并持續(xù)地就合規(guī)問題進行溝通10員工職責與績效企業(yè)是否明確規(guī)定了員工應履行的合規(guī)職責,內(nèi)容是否滿足合規(guī)要求10企業(yè)是否在績效考核體系中考慮對合規(guī)行為的評估,并將合規(guī)表現(xiàn)與績效掛鉤10是否對企業(yè)涉訴量下降等合規(guī)管理業(yè)績和結(jié)果予以明確認可,獎勵符合企業(yè)合規(guī)文化的行為,樹立典型模范或榜樣10企業(yè)是否懲戒不遵守合規(guī)文化的員工和行為,包括管理層為了實現(xiàn)業(yè)務目標鼓勵員工實施不合規(guī)行為、阻止合規(guī)人員有效履行職責等行為,面對競爭利益時違反合規(guī)承諾的行為等1013T/CEEAS005—2022表A.1企業(yè)合規(guī)管理體系有效性評價細則(續(xù))評價維度評價指標評價條款分值得分績效評估改進和評價證據(jù)性文件:企業(yè)是否制定了合規(guī)監(jiān)測方案等證據(jù)性文件,以確定需要監(jiān)視和測量的對象、適用的方法、實施的時間、分析和評價的要求等方面內(nèi)容10監(jiān)測方案:企業(yè)制定的監(jiān)測方案是否包括了以下內(nèi)容,合規(guī)義務內(nèi)容、合標達成、不合規(guī)事件、指標領先或滯后情況等10反饋機制:企業(yè)是否建立合規(guī)績效反饋機制以及確保反饋渠道或來源有效、反饋信息真實的措施。例如:發(fā)現(xiàn)或識別不合規(guī)行為的臨時報告,通過熱線、投訴和其他反饋渠道(包括舉報)獲得的信息,非正式討論、研討會與焦點小組,抽樣和誠信測試,如神秘顧客,直接觀察、正式訪談、設施參觀與視察,培訓反饋等10信息渠道:企業(yè)是否按要求建立并維護相應渠道,以監(jiān)測、反饋合規(guī)績饋、建議箱等,客戶,如投訴處理系統(tǒng)等,第三方、供應商、承包商、監(jiān)管機構(gòu),以及過程的控制記錄和活動記錄等10指標評估:企業(yè)是否制定相應指標,以評估合規(guī)目標實現(xiàn)程度。指標可包括識別的不合規(guī)問題、不合規(guī)的后果、報告和采取糾正措施花費的時間反應性指標;也可以是長期目標(收入、健康和安全、聲譽等)的潛在損失/收益為衡量標準的不合規(guī)風險、不合規(guī)趨勢等預測性指標,還可包括如有效培訓人員的比例、監(jiān)管機構(gòu)介入的頻率、反饋機制的使用程度等指標20有效性:企業(yè)是否定期評審合規(guī)指標內(nèi)容,以確保其適宜性和有效性10合規(guī)義務變化:合規(guī)報告的內(nèi)容是否反映出合規(guī)義務變化情況、合規(guī)風險評估結(jié)果、合規(guī)目標實現(xiàn)情況、合規(guī)表現(xiàn)情況、舉報事項總結(jié)及結(jié)果處置等,必要時需針對地方監(jiān)管要求編制并上報相應信息10內(nèi)部審核規(guī)范性文件:企業(yè)是否建立內(nèi)部審核機制,編制了相應的規(guī)范性文件,或在相關文件中對此做了規(guī)定。如內(nèi)部審核管理制度、交叉檢查內(nèi)部檢查人員培訓制度(內(nèi)部合規(guī)管理體系審核員培訓)等10規(guī)范執(zhí)行:企業(yè)是否按規(guī)定的時間按照規(guī)范性文件要求實施內(nèi)部審核,包括過程有策劃、計劃編制、現(xiàn)場檢查、出具結(jié)果、跟蹤整改等。企業(yè)是否組建了由合規(guī)內(nèi)審員、企業(yè)合規(guī)師、首席合規(guī)師組成的分專業(yè)梯次的合規(guī)團隊,以支撐日常的內(nèi)部審核工作10審核結(jié)果:企業(yè)內(nèi)部審核是否形成明確的審核結(jié)果,相應問題的整改及應用于管理體系的改進