T/CERDS 14-2024 国有企业合规管理体系

ICS03.100.01
CCS A 02
团 体 标 准
T/CERDS14—2024
国有企业合规管理体系
Compliancemanagementsystemsforstate-ownedenterprises
2024-12-30发布2025-02-01实施
中国企业改革与发展研究会发布

目 次
前言………………………………………………………………………………………………………… Ⅲ
引言………………………………………………………………………………………………………… Ⅳ
1 范围……………………………………………………………………………………………………… 1
2 规范性引用文件………………………………………………………………………………………… 1
3 术语和定义……………………………………………………………………………………………… 1
4 企业环境………………………………………………………………………………………………… 2
5 领导作用………………………………………………………………………………………………… 4
6 策划……………………………………………………………………………………………………… 7
7 支持……………………………………………………………………………………………………… 9
8 运行……………………………………………………………………………………………………… 11
9 绩效评价………………………………………………………………………………………………… 13
10 改进…………………………………………………………………………………………………… 16
附录A (资料性) 国有企业重点领域合规义务示例…………………………………………………… 18
附录B(资料性) 国有企业合规管理体系关键控制点指南…………………………………………… 23
参考文献…………………………………………………………………………………………………… 36

前 言
本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请 注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别专利的责任。
本文件由中国企业改革与发展研究会、天津能源投资集团有限公司联合提出。
本文件由中国企业改革与发展研究会归口。
本文件起草单位:中国企业改革与发展研究会、天津能源投资集团有限公司、中国合作贸易企业协
会、国信联合(北京)认证中心、中国质量认证中心有限公司、中国电子信息产业发展研究院、南开大学、
河北工业大学、中国铁路济南局集团有限公司、昆仑数智科技有限责任公司、国网能源研究院有限公司、
国网冀北电力有限公司、广东电网有限责任公司、国电电力发展股份有限公司、国能铁路装备有限责任
公司、同方威视技术股份有限公司、哈尔滨汽轮机厂有限责任公司、广州市净水有限公司、中电联电力发
展研究院有限公司、大庆油田有限责任公司、北京嘉润律师事务所、天津允公律师事务所、天津金诺律师
事务所、通鼎集团有限公司、北京壹品红山文化传播有限公司、国信标准(北京)信用评价中心。
本文件主要起草人:王嘉惠、裴连军、李华、钱鑫、刘栋栋、于丽珍、国静、王文慧、高景远、刘全、沈小平、
孙伟、李子逵、黄晓玲、蒋冰晶、朱冬、孙立金、方勇、王熠楠、刘进、姜涛、姚翔、李研、刘洪刚、王广珍、郭伟红、
高茜、魏晓微、黄霞、程亚男、蓝国青、郑卫锋、田伟娟、王君予、焦汝斌、郑毅、常燕、朱文浩、张洋、张义威、
夏伊、石祚建、杨洋、孙晓翠、南明哲、齐影、刘蒙蒙、沈杰欣、陈晨、刘文书、李龙、胡海军、郭后军。

引 言
国有企业合规建设是企业经营和发展的内在保障机制,是国有企业治理体系和治理能力现代化的
重要标志,能为市场主体提高竞争力并创造新的发展机遇。国有企业合规管理体系具有自身特色,是实
现国民经济健康、稳定、有序发展的基石,是“内固根基,外御风浪”的有效手段,对于防范国有企业经营
风险和监管风险,实现国有企业合规发展具有重要意义。
为了引导国有企业建立有效的合规管理体系,参照ISO37301:2021《合规管理体系 要求及使用
指南》、GB/T35770—2022《合规管理体系 要求及使用指南》及相关部门发布的各类合规管理规定,结
合国有企业合规管理的最新实践,制定本文件。本文件为国有企业建立、运行、保持和改进合规管理体
系提供了指引,同时对国有企业涉及的专项合规管理内容提供了指导,旨在推动国有企业建设合规文
化,将合规管理与国有企业业务过程有机融合,将合规文化融入企业人员的行为和意识之中,达到企业
经营管理行为和员工履职行为全面合规。
国有企业建立合规管理体系,可以带来以下方面的益处:
———最大限度地降低不合规导致的风险、成本和损失;
———更好地实现国有资产保值增值;
———有助于更好地履行社会责任;
———增强顾客、第三方对企业取得持续成功的信心;
———提升企业在行业及顾客中的声誉和信誉。

1 范围
本文件规定了国有企业建立、实施、评价、保持及改进合规管理体系的总体要求,并提供了国有企业
合规管理体系关键控制点指南,给出了国有企业重点领域合规义务示例。
本文件适用于进行合规管理的各种类型、规模和性质的国有企业。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T35770 合规管理体系 要求及使用指南
3 术语和定义
GB/T35770界定的以及下列术语和定义适用于本文件。
3.1
国有企业 state-ownedenterprises
国务院和地方人民政府分别代表国家履行出资人职责的国有独资企业、国有独资公司以及国有资
本控股公司,包括中央和地方国有资产监督管理机构和其他部门所监管的企业本级及其逐级投资形成
的企业。
3.2
人员 personal
员工 staff
在国家法律或实践中被确认为具备工作关系的个人,或依赖于企业活动的任何合同关系中的个人。
[来源:GB/T35770—2022,3.22,有修改]
3.3
合规团队 compliancefunction
对合规管理体系运行负有责任、享有权利的一个人或一组人。
[来源:GB/T35770—2022,3.23]
3.4
合规风险 compliancerisk
企业或员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影
响的可能性及其后果。
[来源:GB/T35770—2022,3.24,有修改]
3.5
合规义务 complianceobligation
企业强制性必须遵守的要求,以及企业自愿选择遵守的要求。
[来源:GB/T35770—2022,3.25,有修改]
1
T/CERDS14—2024
3.6
合规 compliance
企业或员工履行企业的全部合规义务,包括但不限于国家法律法规、监管规定、行业准则和国际条
约、规则,以及公司章程、相关规章制度等要求。
[来源:GB/T35770—2022,3.26,有修改]
3.7
不合规 noncompliance
企业或员工未履行企业的合规义务。
[来源:GB/T35770—2022,3.27,有修改]
3.8
合规文化 complianceculture
贯穿整个企业的价值观、道德规范、信仰和行为,并与企业组织结构和控制系统相互作用,产生有利
于合规的行为规范。
[来源:GB/T35770—2022,3.28,有修改]
4 企业环境
4.1 理解企业及其所处的环境
企业应确定与其宗旨相关的,并影响其实现合规管理体系预期结果的内部和外部因素。为此,企业
应综合诸多因素,包括但不限于:
———国家发展战略;
———业务模式,包括企业活动和运行的战略、性质、规模、复杂性和可持续;
———与第三方业务关系的性质与范围;
———法律和监管环境;
———经济状况;
———社会、文化、环境背景;
———内部结构、方针、过程、程序、技术和资源(包括技术);
———行业政策;
———自身的合规文化。
4.2 理解利益相关方的需求和期望
4.2.1 企业应对可能影响合规管理体系、受合规管理体系影响或认为受合规管理体系影响的内外部利
益相关方进行识别。
4.2.2 外部利益相关方包括但不限于:
———监管机构;
———顾客;
———上下游企业;
———第三方中介机构;
———股东、投资者;
———行业协会;
———相关社会团体;
———国际组织;
2
T/CERDS14—2024
———外国政府;
———银行;
———其他。
4.2.3 内部利益相关方包括但不限于:
———员工;
———管理层;
———业务及职能部门;
———合规管理部门;
———监督部门;
———下属企业;
———其他。
4.2.4 企业应理解利益相关方的需求和期望,并在合理合法的基础上,结合企业发展方向,予以解决。
4.3 确定合规管理体系的范围
4.3.1 企业应确定合规管理体系的边界和适用性,以确定其范围。
4.3.2 合规管理体系应在企业所有不同层级的组织中实施,以避免道德行为和合规方法的双重标准。
4.4 合规管理体系
4.4.1 合规管理体系应以良好治理、匹配性、完整性、透明、问责制和可持续性等原则为基础,同时坚持
党的领导、坚持全面覆盖、坚持权责清晰、坚持务实高效。
4.4.2 根据本文件的要求,企业应建立、实施、维护和持续改进合规管理体系。合规管理体系应反映企
业的价值观、目标、战略和合规风险。
4.4.3 合规管理体系应作为文件化信息提供。
4.5 合规义务
4.5.1 企业应将合规义务作为确立、制定、实施、评价、维护和改进其合规管理体系的基础。
4.5.2 企业强制性遵守的合规义务包括:
———法律法规;
———许可、执照或者其他形式的授权;
———监管机构(国务院国资委及行业监管机构等)发布的命令、条例;
———法院判决或行政决定;
———相关组织和产业的强制性标准等;
———条约、公约和协议等。
4.5.3 企业自愿选择遵守的合规义务包括:
———推荐性标准或环境承诺;
———内部规章制度;
———签署合同产生的义务;
———监管机构(国务院国资委及行业监管机构等)发布的指南等。
4.5.4 企业应按部门、职能和不同类型的活动来识别合规义务,以便确定受到这些合规义务影响的
主体。
4.5.5 企业可以通过以下方式获取关于法律和其他合规义务变更信息:
———列出相应的监管机构并对其发布信息进行跟踪;
———成为专业团体会员;
3
T/CERDS14—2024
———订阅相关信息服务;
———参加行业论坛和研讨会;
———监管机构网站;
———与监管机构会晤;
———与法律顾问洽商;
———监视合规义务来源(如监管声明和法院判决)等。
4.5.6 企业可采取基于风险管理的方法,即首先识别出与业务相关的最重要的合规义务,然后关注所
有其他合规义务。
4.5.7 在适当的情况下,企业应建立并维护一个合规义务清单,列出所有合规义务,并定期更新,具体
示例可参考附录A。
4.5.8 除列出合规义务外,合规义务清单还应包括:
———合规义务的影响;
———风险评价;
———与合规义务相关的控制措施等。
4.6 合规风险评价与管理
4.6.1 企业应当建立合规风险识别评价预警机制,全面梳理经营管理活动中的合规风险,建立并定期
更新合规风险数据库,对风险发生的可能性、影响程度、潜在后果等进行分析,对典型性、普遍性或者可
能产生严重后果的风险及时预警并采取应对措施。
4.6.2 企业应将其合规义务与其活动、产品、服务以及运行联系起来,以识别合规风险。
4.6.3 企业应评价外包和第三方合规风险。
4.6.4 企业应定期评价合规风险,并在企业所处的环境发生重大变化时进行再评价,这些环境变化包
括但不限于:
———企业结构或战略变化;
———重大的外部变化,如国家战略、金融、经济环境、市场条件、债务和顾客关系;
———当出现新的活动、产品或服务时,或它们产生变更时;
———不合规(即使是单一不合规事件也可能构成合规义务的实质性变化)。
4.6.5 企业发生合规风险,相关业务部门应当及时采取应对措施,并按照规定向合规管理部门报告。
4.6.6 企业因违规行为引发重大法律纠纷案件、重大行政处罚、刑事案件,或者被国际组织制裁等重大
合规风险事件,造成或者可能造成企业重大资产损失或者严重不良影响的,应由总法律顾问(法治分管
领导/首席合规官/副总法律顾问)牵头,合规管理部门统筹协调,相关部门协同配合,及时采取措施妥善
应对。
4.6.7 国有企业发生重大合规风险事件,应当按照相关规定及时向国务院国资委或所属国家部委、财
政部报告。
4.6.8 企业应保持合规风险评价和应对措施相关的文件化信息。
5 领导作用
5.1 领导作用和承诺
5.1.1 治理机构和最高管理者
5.1.1.1 国有企业治理机构和最高管理者包括但不限于党委(党组)、董事会、经理层、主要负责人、合规
委员会、首席合规官。
4
T/CERDS14—2024
治理机构和最高管理者应从以下方面发挥其对合规管理体系的领导作用并做出承诺:
———确保合规方针和合规目标与企业的战略一致;
———确保合规管理体系的要求融入业务过程;
———确保配置了合规管理体系所需的资源;
———就合规管理的重要性和符合合规要求的重要性进行沟通;
———确保合规管理实现预期结果;
———指导和支持合规管理人员提升合规管理体系的有效性;
———持续改进。
5.1.1.2 治理机构和最高管理者应:
———确立和坚持企业的价值观;
———确保制定的方针按确定的程序实施,以实现合规目标;
———确保能够及时获知合规事件,包括不合规情况,并确保采取适当措施;
———确保遵守合规承诺,并妥善处理不合规事项和违规行为;
———确保合规责任在工作职责中得到适当体现;
———任命和提名主要合规管理人员,即首席合规官;
———确保建立了提出和解决疑虑的机制。
5.1.2 合规文化
5.1.2.1 企业应在各个层级建立、维护并推广合规文化。治理机构、最高管理者和管理者应对企业合规
共同行为准则做出积极的、明示的、一致且持续的承诺。
5.1.2.2 最高管理者应鼓励、倡导和支持合规行为,应阻止、不容忍不合规的行为及损害合规的行为。
5.1.2.3 支持合规文化发展的要素包括:
———发布清晰的价值观;
———管理层遵守价值观并积极实施;
———不论其职务,保持不合规处理中的一致性;
———在指导、辅导和领导中以身作则;
———发布合规手册,组织签订合规承诺;
———录用关键职能的人员时应进行适当的评价,包括尽职调查;
———在入职培训或新员工训练中强调合规和组织价值观;
———持续进行合规培训,包括对所有人员和相关利益方的培训;
———持续就合规问题进行沟通;
———建立绩效考核体系;
———对合规管理绩效和结果予以明确认可;
———对故意或因疏忽而违反合规义务的情况给予即时惩戒;
———将合规义务和每个岗位联系起来,强调合规是实现企业目标的途径;
———在内部和外部就合规进行公开和适当地沟通。
5.1.2.4 企业应实现:
———测量其合规文化;
———寻求所有员工的意见,以确定他们是否感知到治理机构、最高管理者和管理者对合规的承诺;
———根据企业合规文化制定行动计划。
5.1.3 合规治理
合规治理应遵循以下原则:
5
T/CERDS14—2024
———合规团队能够直接接触治理机构和最高管理者;
———合规团队应独立、可以自由行动;
———合规团队拥有适当的权限。合规团队能够根据需要指导其他员工。合规团队应有“发言
权”,以申明和提出合规疑虑。
5.2 合规方针
5.2.1 治理机构和最高管理者应确立合规方针,该方针应:
———符合企业的宗旨;
———为实现合规目标设定框架;
———有落实的承诺;
———有持续改进合规体系的承诺;
———符合企业结构;
———将企业主责主业、具体的区域或属地义务、战略、目标、文化和治理方法纳入考虑。
5.2.2 合规方针内容包括且不限于:
———使命宣言;
———总体方针声明;
———管理以及责任和资源的分配;
———标准合规程序;
———审计、尽职调查的支持等。
5.2.3 合规方针不应独立于其他文件存在,应与企业战略、其他方针和过程等相关联。
5.3 岗位、职责和权限
5.3.1 治理机构和最高管理者
5.3.1.1 为确保合规管理体系有效,治理机构和最高管理者应以身作则,积极、明确地支持合规与合规
管理体系。
5.3.1.2 治理机构和最高管理者应确保:
———企业对合规的承诺与其价值观、目标和战略一致;
———帮助所有员工认识到实现与自己相关的合规目标的重要性;
———建立一种鼓励报告不合规和不会受到报复的环境;
———将合规纳入更广泛的组织文化和文化变更举措中;
———识别不合规并及时采取行动予以纠正;
———确保合规管理体系实现其目标;
———运行目标和指标不会影响合规行为。
5.3.2 合规团队
5.3.2.1 合规团队应负责合规管理体系的运行,包括:
———促进识别合规义务;
———记录对合规风险的评价;
———使合规管理体系与合规目标保持一致;
———监督和测量合规绩效;
———分析和评价合规管理体系的绩效,以决定是否需要采取纠正措施;
———建立合规报告和记录制度;
6
T/CERDS14—2024
———按计划对合规管理体系进行评审;
———建立提出疑虑以及确保疑虑得到解决的机制。
5.3.2.2 合规团队应监督:
———有效地分配相关的职责,以履行已经识别的合规义务;
———合规义务的履行已经被纳入方针、过程和程序;
———所有相关人员按要求接受培训;
———建立合规绩效指标。
5.3.2.3 合规团队应:
———向相关人员提供与合规方针、过程和程序有关的资源;
———可以就合规相关事宜向企业提供建议。
5.3.2.4 企业应确保合规团队能够:
———接触治理机构和最高管理者,并在决策过程中有早期提出建议的机会;
———接触企业的所有层级;
———接触所有需要的人员、文件化信息和数据;
———可以就相关法律、法规、政策和企业标准收集专家意见。
5.3.3 管理者
管理者包括合规管理部门、业务及职能部门管理者。
管理者应通过以下方式对其职责范围内的合规工作负责:
———配合和支持合规团队,并鼓励员工共同参与;
———确保其管理范围内的所有人员都遵守企业的合规义务、方针、过程和程序;
———识别其运行中的合规风险并进行沟通;
———在其职责范围内将合规义务融入现有的商业惯例和程序;
———参加并协调合规培训活动;
———培养员工的合规意识,指导他们进行培训并达到相关能力要求;
———鼓励并支持员工提出合规疑虑,并防止任何形式的报复;
———根据要求积极参与合规问题的管理、解决;
———确保纠正措施能够得到推荐并实施。
5.3.4 员工
企业所有员工应:
———遵守企业的合规义务、方针、过程和程序;
———报告合规的疑虑、问题和漏洞;
———根据要求参加培训。
6 策划
6.1 风险与机会的应对措施
6.1.1 企业进行合规管理体系策划时,应:
———确保合规管理体系能实现预期结果;
———预防或减少非预期的影响;
———实现持续改进。
6.1.2 在策划合规管理体系时,企业应结合:
7
T/CERDS14—2024
———其合规目标(见6.2);
———经识别的合规义务(见4.5);
———合规风险评价结果(见4.6)。
6.1.3 企业应策划以下活动:
———应对风险和机会的措施;
———将措施纳入合规管理体系并实施;
———评价这些措施的有效性。
6.1.4 策划的目的是预测可能发生的情况和后果,因此策划具有预防性。根据合规风险评价的结
果,企业应策划在不利影响发生之前处理它们,以及如何从有利条件或环境中获益。
6.1.5 策划还应包括将对合规管理体系必要或有益的行动融入业务活动和过程中。还应策划评价合
规管理体系有效性的方法,包括技术方法、内部审核或管理评审。
6.2 合规目标和达到目标的策划
6.2.1 企业应在相关职能和层级上建立合规目标,以帮助企业评价其合规目标的实施程度和合规
绩效。
6.2.2 合规目标应:
———与合规方针一致;
———可测量(如果可行);
———反映适当的需求;
———予以监视;
———予以沟通;
———视情况予以更新;
———作为文件化信息可获取。
6.2.3 目标可细分为各类指标,包括:
———经过有效培训的员工比例;
———合规风险事件数;
———反馈机制的使用(包括顾客对这些机制价值的评论);
———按类型、区域和频率报告已识别的问题和不合规;
———不合规的后果,包括对经济补偿、罚款和其他处罚、补救成本、声誉或员工时间成本影响的
估价;
———报告和采取纠正措施所花费的时间;
———不合规导致的潜在损失/收益(收入、安全、声誉等);
———不合规趋势(基于过去趋势预测不合格率)。
6.2.4 企业应确定实现合规目标所需的行动、资源、时间、责任人、评价方法及频次。应定期监视、记
录、评价和更新合规目标及实现目标的进度。
6.3 针对变更的策划
6.3.1 当确定需要变更合规管理体系时,企业应有计划地实施变更。
6.3.2 企业应统筹:
———变更的目的及其可能的后果;
———合规管理体系设计和运行的有效性;
———足够的资源的可获取性;
———职责和权限的分配或再分配。
8
T/CERDS14—2024
7 支持
7.1 资源
为建立、实施、维护和持续改进合规管理体系,企业应确定并提供所需的资源。资源包括人员、经
费、技术,包括获得外部咨询和获得专业技能的机会,也包括获得企业基础设施、技术发展情况等信
息,还包括合规管理、法律义务方面的最新参考资料。
7.2 能力
7.2.1 通则
企业应:
———确定在其管理下的员工具有实现合规绩效的能力;
———确保这些员工接受适当培训并获得相应经验从而能够胜任相关工作;
———采取有效措施帮助员工获得必要的能力并评价措施的有效性;
———能够证明能力并作为文件化信息可获取。
7.2.2 聘用过程
7.2.2.1 企业应针对其所有员工制定、建立、实施和保持以下过程:
———将遵守企业的合规义务、方针、过程和程序作为员工的聘用条件;
———确保新入职员工有渠道获得合规方针,并获得合规方针培训;
———对于违反企业合规义务、方针、过程和程序的员工,应采取适当的纪律处分。
7.2.2.2 企业应结合岗位和员工可能引发的合规风险在聘用、调动和晋升之前按要求进行尽职调查。
7.2.3 培训
7.2.3.1 企业应建立常态化合规培训机制并予以实施。
7.2.3.2 培训应:
———与职责和员工面临的合规风险相适应;
———进行有效性评价;
———进行定期评价。
7.2.3.3 基于已识别的合规风险,企业可依照程序对代表其业务并可能给其带来风险的第三方进行培
训,提高其合规意识。
7.2.3.4 培训记录应作为文件化信息予以保留。
7.2.3.5 当下列情况出现时,应考虑再次进行合规培训:
———职位或职责的改变;
———内部方针、过程和程序的变更;
———组织结构的改变;
———合规义务的改变,特别是法律要求和利益相关方需求的改变;
———活动、产品或服务的改变;
———监视、审核、评审、投诉等环节产生了不合规问题,包括利益相关方反馈。
7.3 意识
7.3.1 企业员工应知晓:
9
T/CERDS14—2024
———合规方针;
———他们对合规管理体系有效性的贡献,包括改善合规绩效带来的效益;
———不符合合规管理体系要求的后果;
———提出合规疑虑的方法和程序;
———工作岗位的合规义务与合规方针的关系;
———合规文化的重要性。
7.3.2 提高合规意识的方法包括:
———培训;
———与最高管理者沟通;
———获得易于参照执行和容易获得的参考资料;
———定期更新合规问题等。
7.4 沟通
7.4.1 企业应进行与合规管理体系有关的内部和外部沟通,包括沟通什么,何时沟通,和谁沟通,如何
沟通。
7.4.2 企业应:
———综合考虑沟通的多样性和潜在障碍;
———在沟通过程中,确保考虑利益相关方的意见;
———在沟通过程中:
● 应将合规文化、合规目标和义务纳入沟通内容,
● 应确保沟通中的合规管理体系的信息一致且可信;
———对与合规管理体系内容相关的沟通内容进行回应;
———保留适宜的文件化信息作为其沟通的证据;
———在企业的各个层级和职能内部进行沟通,沟通内容包括与合规管理体系有关的信息,也包括合
规管理体系变更的情况;
———确保员工能在沟通过程中为合规管理体系的持续改进做出贡献;
———确保员工能在沟通过程中提出疑虑;
———建立对外沟通渠道并传播包括合规文化、合规目标和义务在内的与合规管理体系相关的信息;
———根据企业的方针,采取面向所有利益相关方的务实的对外沟通方式;
———坚持透明、适当、可信、响应、可访问和清晰的沟通原则。
7.5 文件化信息
7.5.1 通则
企业的合规管理体系应包括:
———本文件要求的文件化信息;
———其他必要的文件化信息。
7.5.2 文件化信息的创建和更新
企业创建和更新文件化信息时,应确保:
———予以适当标识和说明(如标题、日期、作者或参考编号);
———使用适当的形式(如语言、软件版本、图形)和载体(如纸质的、电子的);
———对适用性和充分性进行适当的评审和批准。
10
T/CERDS14—2024
7.5.3 文件化信息的控制
7.5.3.1 企业应控制本文件所要求的文件化信息,以确保文件化信息:
———无论何时何处需要时都易于和适于取用;
———得到充分的保护(如避免泄露机密、不当使用或失去完整性)
7.5.3.2 为控制文件化信息,适当时,企业应进行以下活动:
———分发、访问、检索和使用;
———存储和保存,包括保持易读性;
———对变更的控制(如版本控制);
———保留和处置。
7.5.3.3 适当时,应识别和控制由企业确定的、必要的来自外部的文件化信息,如各级出资人机构下发
的政策、战略。
8 运行
8.1 运行的策划与控制
8.1.1 企业应策划、实施、控制以满足合规要求以及实施第6章所确定的措施所需的过程,具体通过以
下方式:
———对过程确立准则;
———按照准则对过程实施控制。
企业应当将合规审查作为必经程序嵌入经营管理流程,重大决策事项的合规审查意见应当由首席
合规官批准,对决策事项的合规性提出明确意见。各部门依据职责权限完善审查标准、流程、重点等,定
期对审查情况开展后评价。
8.1.2 企业应制定行为准则,规定企业合规义务的全面承诺。行为准则应适用于所有人员并使其能够
获得和使用。
企业应当针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领
域,以及合规风险较高的业务,制定合规管理具体制度或者专项指南,具体示例可参考附录A。
企业应当针对涉外业务重要领域,根据所在国家(地区)法律法规等,结合实际制定专项合规管理
制度。
8.1.3 运行控制是针对可能导致偏离合规方针或违反合规义务的情况而实施的。这些情况可能与所
有业务情况、活动或过程(如生产、安装、服务、维护)或承包商、供应商、销售商有关。
8.1.4 控制的程度取决于所履行的职能的重要性或复杂性、不合规的潜在后果、相关的或可能的技术
支持。
8.1.5 当运行控制失效时,则有必要采取措施来处理不期望的结果或影响。
8.1.6 如果企业活动中使用外包或第三方,企业应对其进行尽职调查,以确保企业对合规的标准和承
诺不会降低。企业应确保签订适当的服务水平协议以规定服务提供者的合规义务。
8.1.7 一个良好的外包过程应考虑以下几点:
———初步和持续的尽职调查;
———实施适当的控制;
———进行持续的监视;
———对法律/合同协议的适当审查;
———考虑服务水平协议。
8.1.8 在与第三方订立合同时,企业应采取措施,以确保其采购、运行和财务方面得以适当管理。根据
11
T/CERDS14—2024
企业和交易的规模,企业实施的采购、运行、商业和其他非财务控制措施能够降低合规风险。
8.2 建立控制和程序
8.2.1 企业应实施有效控制,以确保企业的合规义务得以履行,不合规得以防止、发现和纠正。控制的
设计应足够严格,以促进在特定的企业活动和运行环境中实现合规义务。合适时,控制应嵌入企业的正
常经营过程中。关键控制点可参考附录B。
8.2.2 控制包括:
———清晰、实用且易于遵守的文件化方针、过程、程序和工作指示;
———系统报告和例外报告;
———批准;
———分离不相容的岗位和职责;
———自动化过程;
———年度合规计划;
———人员绩效计划;
———合规评价和审核;
———展示管理层承诺和模范行为,以及其他促进合规行为的措施;
———就员工的行为(标准、价值观、行为准则)进行积极、公开和频繁的沟通。
8.2.3 在制定支持合规管理的程序时,应考虑到:
———将合规义务纳入程序进行管理;
———与企业的其他评审和控制职能保持一致;
———持续监视和测量;
———评价和报告(包括管理监督),以确保员工遵守程序;
———识别、报告和上报针对不合规情况的具体安排。
8.3 报告疑虑
8.3.1 企业应建立、实施并保持一个鼓励并有助于对试图、涉嫌或实际存在的,违反合规方针或合规义
务的行为(基于合理理由相信信息真实性的情况下)进行报告的过程。
8.3.2 该过程应:
———在整个企业内可知可用;
———对报告(报告人的身份和报告事项)保密;
———接受匿名报告;
———保护报告者免于遭受打击报复;
———方便报告的进行。
8.3.3 企业应确保所有员工了解报告程序、了解自身的权利和保障机制,并能够运用相关程序。
8.3.4 对报告属实的报告人可以给予适当奖励。
8.4 调查过程
8.4.1 企业应建立调查机制,以便及时、彻底地调查对本企业、其他人员或有关第三方不当行为的任何
指控或怀疑。
8.4.2 企业应通过评估、调查形成有关涉嫌或实际的不合规情形的报告,并作出结论。这些过程应确
保公平、公正地作出决定。
8.4.3 调查过程应由具备相应能力的人员独立进行,且避免利益冲突。
8.4.4 适当时,企业应利用调查结果改进合规管理体系。
12
T/CERDS14—2024
8.4.5 企业应定期向治理机构或最高管理者报告调查的次数和结果。
8.4.6 企业应保留有关调查的文件化信息。
8.4.7 企业应确保调查是公正和独立的,且应酌情考虑设立独立的委员会来监督调查活动并确保调查
的完整性和独立性。
8.4.8 企业应建立关于调查的报告机制,包括调查报告的级别。
8.4.9 即使法律不要求企业报告不合规行为,企业也应考虑主动向监管机构披露不合规行为,以减轻
不合规行为的后果。
9 绩效评价
9.1 监视、测量、分析和评价
9.1.1 通则
9.1.1.1 企业应对合规管理体系进行监视,以确保合格目标的实现。
9.1.1.2 企业应确定:
———需要被监视和测量的对象;
———适用的监视、测量、分析和评价方法,以确保有效的结果;
———何时应实施监视和测量;
———何时应对监视和测量的机构进行分析和评价;
———文件化信息作为结果证据可获取。
9.1.1.3 企业应开发、实施和维护一套适当的指标,以帮助企业评价其合规目标的实现情况并评估合规
绩效。
9.1.1.4 合规绩效的内容包括但不限于:
———组织架构;
———法律风险防范;
———诚信合规管理;
———法治合规宣教。
9.1.1.5 企业应评价合规绩效及合规管理体系的有效性。
9.1.1.6 合规管理体系的监视包括但不限于:
———培训的有效性;
———控制的有效性;
———有效分配履行合规义务的职责;
———合规义务的时效性;
———解决先前发现的合规缺陷的有效性;
———未按计划进行内部合规检查的情况;
———针对合规风险对业务战略进行审查,以便适当更新。
9.1.1.7 合规绩效监视包括但不限于:
———不合规和“近乎不合规”(即未造成负面影响的事件)的情况;
———未履行合规义务的情况;
———未实现目标的情况;
———合规文化现状;
———确立的领先和滞后指标。
13
T/CERDS14—2024
9.1.2 合规绩效的反馈来源
9.1.2.1 企业应能够从多种渠道获取合规绩效反馈。企业应对绩效反馈信息进行分析和严格评价,以
确定不合规的根本原因,确保采取适当的措施,并在要求的定期风险评价中反映上述信息。
9.1.2.2 合规绩效反馈来源包括但不限于:
———人员(如通过举报工具、求助热线、反馈、意见箱);
———顾客(如通过投诉处理系统);
———第三方;
———供应商;
———承包商;
———监管机构;
———过程控制日志和活动记录(包括电子版和纸质版)。
9.1.2.3 合规绩效反馈内容包括但不限于:
———合规问题;
———不合规和合规疑虑;
———新出现的合规问题;
———持续地监管和企业的变更;
———对合规有效性和绩效的评论。
9.1.2.4 信息收集方法包括但不限于:
———出现或识别出不合规的特别报告;
———通过热线、投诉和其他反馈渠道(包括举报)获得的信息;
———非正式讨论、研讨会和分组座谈会;
———抽样和诚信实验(如神秘购物);
———感知调查的结果;
———直接观察、正式访谈、工厂巡视和检查;
———审核和评审;
———利益相关方质询、培训期间的反馈(特别是员工的反馈)
9.1.2.5 应建立信息的分类、储存和检索系统。信息分类类目包括但不限于:
———来源;
———部门;
———不合规描述;
———义务类别;
———指标;
———严重性;
———实际或潜在影响。
9.1.3 合规报告
9.1.3.1 企业应建立、实施和保持合规报告的过程,以确保:
———适当的报告准则;
———制订定期报告的时间表;
———建立非常规报告机制以便于临时报告;
———实施保证信息准确性和完整性的机制和过程;
———向企业中适合的职能提供准确和完整的信息,以便及时采取预防、纠正和补救措施。
14
T/CERDS14—2024
9.1.3.2 合规团队向治理机构和最高管理者提交的报告内容均应受到充分保护,以防止被修改。
9.1.3.3 合格报告应包括:
———企业按要求向任何监管机构通报的任何事项;
———合规义务变化及其对企业的影响,以及为了履行新义务拟采取的措施和方法;
———对合规绩效的测量,包括不合规和持续改进;
———可能的不合规的数量和详细内容,以及对它们的分析;
———采取的纠正措施;
———合规管理体系的有效性、业绩和趋势的信息;
———与监管机构的接触和关系进展;
———审核和监视活动的结果;
———监视行动计划的执行,特别是那些源自审核报告或监管要求的行动计划。
9.1.3.4 合规方针应鼓励及时报告超出常规报告时间范围的重大事件。
9.1.4 记录保存
9.1.4.1 企业应保留合规活动的记录,以监视和评审合规过程,并表明其符合合规管理体系要求。
9.1.4.2 记录保存应包括对合规问题、宣称的不合规以及解决措施的记录和分类。
9.1.4.3 记录应以清晰、容易辨认和便于检索的方式保存。
9.1.4.4 记录应受到保护,以免被增加、删除、修改、未经授权使用或隐藏。
9.1.4.5 企业合规管理体系记录包括:
———合规绩效信息,包括合规报告;
———不合规及纠正措施的详细内容;
———对合规管理体系的评审和审核的结果。
9.2 内部审核
9.2.1 通则
企业应在策划的时间间隔实施内部审核,为对合规管理体系进行以下判断提供信息:
———是否符合企业自身对合规管理体系的要求,及本文件的要求;
———是否得到有效的实施和维护。
9.2.2 内部审核方案
9.2.2.1 企业应策划、制定、实施和维护一个或多个审核方案,包括频次、方法、职责、策划要求和报告。
9.2.2.2 在制定内部审核方案时,企业应结合相关过程的重要性和以往审核结果。企业应:
———界定每次审核的目标、准则、方法和范围;
———选择审核员并实施审核,以确保审核过程客观公正;
———确保将审核结果报告给相关管理者和管理层。
9.2.2.3 审核职能无论其是内部的还是外部的,都应免于利益冲突并保持独立性。
9.2.2.4 内部审核可与内部审计或内部控制相结合,但应保证内部审核内容完整。
9.3 管理评审
9.3.1 通则
治理机构和最高管理者应在策划的时间间隔内组织合规管理体系的评审,以确保合规管理体系持
续的适用性、充分性和有效性。
15
T/CERDS14—2024
9.3.2 管理评审输入
9.3.2.1 管理评审应包括下列内容:
———以往管理评审所采取措施的情况;
———与合规管理体系有关的外部和内部的变化;
———与合规管理体系有关的利益相关方需求和期望的变化;
———关于合规绩效的信息,包括:不符合、不合规与纠正措施,监视和测量的结果,审核结果;
———持续改进的机会。
9.3.2.2 管理评审应考虑:
———合规方针的充分性;
———合规团队的独立性;
———合规目标的达成度;
———资源的充分性;
———合规风险评价的充分性;
———现有控制措施和绩效指标的有效性;
———与提出疑虑的人员、利益相关方沟通,包括反馈和投诉;
———调查;
———报告机制的有效性。
9.3.3 管理评审结果
9.3.3.1 管理评审的结果包括与持续改进机会有关的决定和任何需要对合规管理体系进行的修改。
9.3.3.2 文件化信息应作为管理评审结果的证据可获取。
9.3.3.3 管理评审还包括以下方面的建议:
———合规方针以及与它相关的目标、体系、结构和人员所需的改变;
———合规过程的改变,以确保与运行实践和体系有效整合;
———需监视的未来潜在不合规的区域;
———与不合规相关的纠正措施;
———当前合规体系和长期持续改进目标之间的差距或不足;
———对组织内的示范性合规行为的认可。
10 改进
10.1 持续改进
10.1.1 企业应持续改进合规管理体系,使其具有适用性、充分性和有效性。
10.1.2 当企业认为有必要对合规管理体系进行变更时,应有计划地实施。
10.1.3 企业应结合:
———变更的目的及其潜在后果;
———合规管理体系设计和运行的有效性;
———充足资源的可用性;
———职责和权限的分配和再分配。
10.1.4 合规管理体系的有效性的特点是它具有持续改进和发展的能力。企业的内部、外部环境以及
业务随着时间的推移而变化,其适用的合规义务也随之变化。
10.1.5 合规管理体系的充分性和有效性可通过多种方法进行持续和定期的评价,如评审和内部审核。
16
T/CERDS14—2024
10.1.6 当合规管理体系做出改变时,企业也应考虑这些变化对运行、资源可用性、合规风险评价、企业
的合规义务及其持续改进过程的影响。
10.1.7 企业应当定期开展合规管理体系有效性评价,针对重点业务合规管理情况适时开展专项评
价,强化评价结果运用。
10.2 不符合或不合规的纠正措施
10.2.1 企业应当建立违规问题整改机制,完善违规行为追责问责机制,明确责任范围,细化问责标
准,针对问题和线索及时开展调查,按照有关规定严肃追究违规人员责任。
10.2.2 发现不符合或不合规时,企业应采取下列措施:
———对不符合或不合规做出反应,并采取控制和纠正措施;
———对不合规造成的后果进行处理;
———通过评价,采取避免其再次发生或在其他地方发生的措施,消除造成不符合或不合规的原因;
———评审不符合或不合规,确定造成不符合或不合规的原因;确定是否存在或可能发生类似的不符
合或不合规;
———实施任何必要措施;
———评审所采取的任何纠正措施的有效性;
———如必要,修改合规管理体系;
———纠正措施应与不符合或不合规的影响相适应。
10.2.3 国有企业应当建立所属单位经营管理和员工履职违规行为记录制度,将违规行为性质、发生次
数、危害程度等作为考核评价、职级评定等工作的重要依据。
10.2.4 文件化信息应作为以下事项的证据可获取:
———不符合或不合规的性质及所采取的后续措施;
———任何纠正措施的结果。
10.2.5 未能预防或检测到一次性不合规,并不一定意味合规管理体系在预防和检测不合规时缺乏有
效性。
10.2.6 来自于分析不符合或不合规的信息能用于考虑:
———评价产品和服务性能;
———改进或重新设计产品和服务;
———改变组织惯例和程序;
———再培训员工;
———重新评价通知利益相关方的必要性;
———对潜在不合规问题做出早期预警;
———重新设计或审查控制;
———加强通知和逐级报告步骤;
———沟通有关不合规的事实和企业对不合规的立场。
10.2.7 企业应识别导致不遵守方针或程序的行为的根本原因,并更新程序。
17
T/CERDS14—2024
附 录 A
(资料性)
国有企业重点领域合规义务示例
A.1 总则
国有企业在开展重点领域合规管理时,应根据企业所处的行业特点、企业的产品和服务、企业的商
业模式、企业经营范围及特点、企业的规模大小、公司的类型等识别企业自己的合规义务。
A.2 产品与服务质量
企业应在产品与服务领域实施合规管理,识别并履行以下方面的合规义务,例如:
———生产经营许可、强制性认证等资质要求;
———产品质量安全要求,符合保障人体健康和人身、财产安全的国家标准、行业标准;
———产品质量安全过程控制方面符合法律法规的强制性规定;
———发生产品质量问题时应履行退货、换货、修理义务,需要召回的,应按照要求履行召回义务;
———产品经营者、经营协助者、市场开办者应履行相关义务;
———及时响应监管部门监督检查工作。
必要时企业宜积极推动ISO9001质量管理体系建设并通过认证。
A.3 安全生产
企业应在安全生产领域实施合规管理,识别并履行以下方面的合规义务,例如:
———安全生产组织和管理;
———安全生产风险管理;
———安全生产保障;
———安全生产教育和培训。
A.4 环境保护
企业应在环境保护领域实施合规管理,识别并履行以下方面的合规义务,例如:
———保护经营所在地的环境资源;
———环境保护的各项法律法规要求;
———确定环境保护的对象、目标和方针,并与合规体系相适应;
———确定环境保护合规工作负责人,统筹环保合规工作制度拟定、执行、评价、应急管理、纠正措
施等;
———环境保护合规监督;
———环境保护合规风险应急;
———环境保护合规培训教育;
———产品回收、处置方面的环境保护等。
必要时企业宜积极推动ISO14001环境管理体系建设并通过认证。
A.5 能源管理
企业应在能源管理领域实施合规管理,识别并履行以下方面的合规义务,例如:水、电、气、新能源、
18
T/CERDS14—2024
能效管理、能源供应、能源绿色和低碳化、能源采购、可持续供应等。
必要时企业宜积极推动ISO50001能源管理体系建设并通过认证。
A.6 采购与供应链
企业应在采购和供应链管理领域实施合规管理,识别并履行以下方面的合规义务,例如:
———招投标管理制度;
———严禁在招投标等采购过程中涉及串标、腐败、欺诈、胁迫等行为;
———加强对招投标等采购行为中的违规行为的处理;
———建立第三方风险管控机制,对其开展尽职调查与合规分析评价,在进入实质性合作之前,要求
第三方做出合规承诺或认证,配合企业的管控与监督;
———仓储设备设施、人员资质、危险物品存储、仓储要求、消防等方面符合相关法律法规的规定;
———物流运输方面的合规义务,包括外包运输公司资质、运输设备、运输人员资质技能、载重、驾驶
行驶(速度、路线、限高、疲劳驾驶、酒驾)、环保方面(油耗、尾气、噪声)等。
A.7 市场交易及营销
企业应在市场交易及营销领域实施合规管理,识别并履行以下方面的合规义务,例如:
———交易管理制度;
———反商业贿赂、反腐败;
———资产交易;
———广告、促销、品牌管理、销售活动、合同、渠道等;
———三包制度、服务体系、消费者权益保护、产品回收、电子商务等。
企业应遵守国务院国资委要求,不开展背离主业的贸易业务、不参与特定利益关系企业间开展的无
商业目的的贸易业务、不在贸易业务中人为增加不必要的交易环节、不开展任何形式的融资性贸易、不
开展对交易标的没有控制权的空转、走单等贸易业务、不开展无商业实质的循环贸易、不开展有悖于交
易常识的异常贸易业务、不开展风险较高的非标仓单交易、不违反会计准则规定确认代理贸易收入、不
在内控机制缺乏的情况下开展贸易业务。
A.8 网络及数据安全
企业应在网络和数据安全领域实施合规管理,识别并履行以下方面的合规义务,例如:
———依法依规保护企业、公民、社会公共利益;
———建立互联网安全管理制度与管理措施;
———遵守国(境)内外互联网安全管理法律法规及监管规定;
———建立数据安全和合规管理制度;
———遵守国(境)内外数据安全法律法规及监管规定;
———建立数据与隐私保护体系,保障企业及顾客的数据与信息安全等。
必要时企业宜积极推动ISO27001信息安全管理体系建设并通过认证。
A.9 人力资源、劳动管理和工会
企业应在人力资源、劳动管理及工会领域实施合规管理,识别并履行以下方面的合规义务,例如:
———劳动合同管理制度;
———人力资源管理制度;
———遵守国家关于工会管理的法律法规等。
19
T/CERDS14—2024
A.10 资产
企业应在资产管理领域实施合规管理,识别并履行以下方面的合规义务,例如,企业资产专项管
理,包括但不限于固定资产与存货、无形资产管理、投融资及担保、股权管理等。
必要时企业宜积极推动ISO55001资产管理体系建设并通过认证。
A.11 财务税收
企业应在财务税收领域实施合规管理,识别并履行以下方面的合规义务,例如:
———财务税收管理体制;
———财务风险管理制度;
———财务预算管理制度;
———财务事项操作和审批流程;
———财经纪律;
———严格遵守税收法律法规等。
A.12 知识产权
企业应在知识产权领域实施合规管理,识别并履行以下方面的合规义务,例如:
———商业秘密、专利、商标、著作权、原产地标识等保护;
———确权知识产权,规范实施许可和转让;
———依法规范使用他人知识产权;
———防止侵权行为的发生;
———确保各类知识产权获取、维护、运用方面的合规;
———加强知识产权合规文化建设等。
必要时企业宜积极推动知识产权合规管理体系建设并通过认证。
A.13 投资并购
围绕企业经营发展目标,在企业改革、上市、投融资,以及其他投资并购工作中做合规尽职调查、合
规论证、谨慎审查以及投后管理等合规管控措施。
A.14 出口管制
企业应在出口管制领域实施合规管理,识别并履行以下方面的合规义务,例如:
———建立企业出口合规管理体系;
———加强出口管制合规制度、风险评价及配套管理措施建设;
———遵守国(境)内外出口管制法律、法规、监管规定,保证跨境交易中的安全性和合规性;
———发挥管理层领导作用,确保出口风险评价制度、流程及措施的有效性;
———建立出口授权合规审查、验证、管理机制;
———确保出口管制过程中的制度、流程、措施以文件化信息的形式保存;
———建立出口管制合规培训机制;
———建立出口管制合规审议、评价制度等;
———加强出口管制合规监督、分析,确保违规问题披露的及时性、客观性,确保违规整改的有效性。
20
T/CERDS14—2024
A.15 反垄断
企业应在反垄断领域实施合规管理,识别并履行以下方面的合规义务,例如:
———建立健全反垄断管理制度;
———依法开展公平竞争,防止垄断协议、滥用市场支配地位、限制排除竞争行为;
———不应进行不公平竞争行为,共同营造公平有序的市场竞争环境,维护市场秩序;
———遵循自愿、平等、公平、诚信原则,遵循相关法律、法规、监管要求,强化和落实企业主体责任。
A.16 反不公平竞争
企业应在反不公平竞争领域实施合规管理,识别并履行以下方面的合规义务,例如:
———建立健全反不正当竞争领域的合规管理制度;
———公平参与竞争,确保企业在生产经营和市场竞争中做到:
● 不利用技术手段,通过影响顾客选择或者其他方式,实施妨碍、破坏其他经营者合法提供
的产品、服务正常运行的不正当竞争行为;
● 不实施混淆行为,引人误认为是他人商品、服务或者与他人存在特定联系;
● 不编造、传播虚假信息或者误导性信息,损害竞争对手商业信誉、商品声誉信息;
● 不