DB4113T 074-2024企業(yè)合規(guī)管理體系 要求和指南

4113 管理、績效管理、評級考核、薪酬管理等方面，降低治合規(guī)管理以組織產(chǎn)品（服務）及相關方的價值保護為目的，確定實施合規(guī)管理措企業(yè)合規(guī)管理體系要求和使用指南本文件規(guī)定了企業(yè)合規(guī)管理體系的基本原則、組織體系與管理、專業(yè)領域與管理GB/T27921-2023風險管理風險GB/T35770-2022合規(guī)管理體系要求及GB/T23694、GB/T35770界定的以及下列術語和定義適用于本文件。3.1經(jīng)營者undertakings3.2從事商品生產(chǎn)、經(jīng)營或者提供服務的自然人、法人和非法人為實現(xiàn)目標，由職責、權限和相互關系構成自身功能的一個人4組織環(huán)境4.1理解組織及其內(nèi)外部環(huán)境4.2理解相關方的需求和期望4.2.1組織宜確定與合規(guī)管理體系有關的相關方。4.3合規(guī)義務4.3.1合規(guī)義務識別4.3.2合規(guī)義務的維護4.4合規(guī)風險的識別、分析、評價與管理4.4.1合規(guī)風險識別組織把合規(guī)義務及其活動、產(chǎn)品、服務和運4.4.2合規(guī)風險分析4.4.3合規(guī)風險評價4.4.4合規(guī)風險管理a)治理機構和最高管理者通過各種方式證明其對合規(guī)管理體系的作用和承諾；e)確保合規(guī)體系要求融入組織業(yè)務過k)確保利用預防、糾正措施，持續(xù)改進合規(guī)績效。5.2合規(guī)方針5.2.1總則5.2.1.1治理機構和最高管理者應建立符合組織5.2.1.2建立合規(guī)方針應與組織的價值觀、目標和戰(zhàn)略保持一致并通過治理機構批準。5.2.2制定e)與內(nèi)部其他方針、標準和準則的關5.3組織的角色、職責和職權b)治理機構和最高管理者的積極參與和監(jiān)督是有效合規(guī)管理體系不可分割的一部分，確保員工c)治理機構和最高管理者需要通過堅定支持合規(guī)和合規(guī)管理體系來以身作則，確保合規(guī)管理體d)組織應當由專人或由其他職能部門組成的b)將合規(guī)義務融入現(xiàn)有的方針、程序和過程；h)分析績效以識別需要采取的糾正措施；k)確保合規(guī)管理體系在建立、實施和維護過程中得到適當?shù)膶I(yè)建議；m)對合規(guī)相關事宜向組織提供客觀建議。5.3.4.1最高管理者職責d)創(chuàng)造一個鼓勵報告不合規(guī)行為的良好環(huán)境，保護對企業(yè)合規(guī)提出問題的員工不受打擊報復或f)確保合規(guī)已融入更廣泛的組織文化以及文化改變的計劃中；5.3.4.2管理決策層崗位職責b)對合規(guī)體系的有效性負責，防范、察覺并減少不良影響；f)聽取合規(guī)管理部門就重大合規(guī)事項的匯報；g)決定合規(guī)管理部門的設置和職能；5.3.4.3管理經(jīng)營層崗位職責5.3.4.4管理監(jiān)督層崗位職責5.3.4.5員工崗位職責a)堅持履行與其職位和職務有關的合規(guī)義務；d)報告、反饋合規(guī)問題或缺陷，提出合規(guī)合理化建議。5.3.4.6管理層合規(guī)管理部門職能/負責人崗位職責5.3.4.6.1管理層合規(guī)管理部門b)制訂年度合規(guī)管理工作計劃，推動合規(guī)管理工作貫徹落實，組織編報合規(guī)管理年度報告；g)制定年度合規(guī)內(nèi)部審核計劃，并組織實施；m)參與合規(guī)管理的其他工作。5.3.4.6.2管理層合規(guī)管理部門負責人崗位職責a)組織制訂合規(guī)管理規(guī)劃、制度及規(guī)定；5.3.4.7經(jīng)營者業(yè)務部門職能a)按照合規(guī)要求完善本部門業(yè)務管理制度和流程；b)主動開展本部門合規(guī)風險識別和隱患排查；6.1合規(guī)風險的應對措施e)完善合規(guī)管理措施相關的信息文件化管6.2合規(guī)目標和實施策劃k)完成合規(guī)管理的計劃；7.1資源配置a)可通過信息化手段優(yōu)化合規(guī)管理流7.2培訓7.2.1組織應建立制度化、常態(tài)化d)開展多種形式的合規(guī)培訓，必要時可聘請外部專家對員工進行培訓；勝任其工作崗位職責的需要，并以適當文件證明其經(jīng)過適當?shù)呐嘤柧邆湎鄳哪芰Γ?.3意識7.3.1組織工作人員應當明白合規(guī)方針、自身對合規(guī)管理體系有效性的貢獻，對不合規(guī)管理體系要求7.3.3發(fā)展合規(guī)文化治理機構、最高管理者和管理層，對組織的各個領域所發(fā)布的合規(guī)管理要求的文7.4溝通7.5產(chǎn)品（服務）設計、開發(fā)8.2建立控制程序8.3外包對第三方合規(guī)相關的過程的合規(guī)風險，并對其適當?shù)目?.4審核與改進b)與合規(guī)管理體系有關的外部和內(nèi)部事項的變化；g)與提出疑慮的人員、相關方溝通（包括投訴和反饋）的及時性；8.4.1.3.1審核結果應包括持續(xù)改進的機會、變更合規(guī)管理體系的任何需要的決定。8.4.1.3.3發(fā)生不合格或不合規(guī)，在適用情a)采取措施控制和糾正不合規(guī)；c)評價是否需要采取措施，消除不合格和/或不合規(guī)的根本原因，以避免再次發(fā)生或e)評審所采取的任何糾正措施的有效g)糾正措施宜適合于發(fā)生的不合格和/或不合規(guī)造成的影響。組織宜保留文件化信息，——合格和/或不合規(guī)的性質和隨后采取的任何措施；——任何糾正措施的結果；——分析不合格和/或不合規(guī)所得的信息能用于考慮：——評估產(chǎn)品和服務績效；——改變組織慣例和程序；——控制進行重新設計或評審。a)對不符合或不合規(guī)事件作出反應；8.4.2.3組織應結合違規(guī)事件與合規(guī)管理體系審核結果，在合理的成本和可接受風險的條件下，持續(xù)8.4.2.4文件化信息應作為以下事項的證據(jù)可獲取：8.5合規(guī)審查A.1基礎合規(guī)模塊A.1.1資質資格合規(guī)A.1.1.1生產(chǎn)經(jīng)營應取得生產(chǎn)許可、強制性認證等資質。A.1.1.2組織通過體系認證的，在產(chǎn)品服務上標識其通過體系認證的宣傳或說明。A.1.1.3組織通過產(chǎn)品或服務認證的，僅僅在通過認證特定的產(chǎn)品或服務上使用認證標識或說明。A.1.1.4資質應當在有效期內(nèi)使用。A.1.2組織治理合規(guī)A.1.2.1合規(guī)治理機構搭建滿足合規(guī)管理的要求。A.1.2.4組織的議事規(guī)則不與法律規(guī)定相違背。A.1.3財務合規(guī)A.1.3.3資金籌集A.1.3.4資產(chǎn)營運A.1.3.5成本控制A.1.3.6收益分配A.1.3.7信息管理經(jīng)營者可以結合經(jīng)營特點，優(yōu)化業(yè)務流程，建立財務和業(yè)務一A.1.3.8財務監(jiān)督A.1.4稅務合規(guī)A.1.4.1經(jīng)營者應依照相關稅收法律法規(guī)規(guī)定，規(guī)范企業(yè)稅務管理。A.1.5.2對于財務、稅務定期審計。A.1.5.4對審計結果分類處理，不符合財務、稅務法律、法規(guī)、規(guī)則要求的A.1.6外部審計合規(guī)A.1.6.1組織應建立、健全外部審計監(jiān)督制度，定期由會計師事務所對A.1.6.2對組織整個經(jīng)營的財務、稅務合法、合規(guī)定期審計。A.1.6.3主要對組織內(nèi)部制定財務、稅務管理制度設計的流程及執(zhí)行情況進行審計，對審計結果制定糾正A.1.7勞動用工合規(guī)A.1.7.1勞動者的招聘c)經(jīng)營者可進行選擇性的考試、考核、面A.1.7.2勞動者的使用行勞動安全衛(wèi)生教育，防止勞動過程中的事故，減A.1.8職業(yè)健康企業(yè)應采取措施保障勞動者職業(yè)健康權利，包健康報告和檔案管理，及時將職業(yè)健康檢查結果及職業(yè)健康檢查機構的建議以書面形式如實A.2價值鏈合規(guī)模塊A.2.1安全生產(chǎn)合規(guī)A.2.1.1安全生產(chǎn)/服務組織和管理A.2.1.2安全生產(chǎn)風險管理b)對重大危險源應：3)告知從業(yè)人員和相關人員在緊急情況下應采取的應急措c)教育和督促從業(yè)人員嚴格執(zhí)行本單位的安全生產(chǎn)規(guī)章制度和安全操作規(guī)程；向從業(yè)人員如實告知作業(yè)場所和工作崗位存在的危險因素、防范措施以A.2.1.3安全生產(chǎn)保障A.2.1.4安全生產(chǎn)教育和培訓A.2.2產(chǎn)品與服務質量合規(guī)經(jīng)營者應加強產(chǎn)品與服務領域的合規(guī)管理，包括A.2.3倉儲物流合規(guī)h)物流承運企業(yè)及承運方需具備符合承運法律、法規(guī)要求的資格；A.2.4采購合規(guī)A.2.4.1經(jīng)營者應對重要的供應商實施供方管理，基于供方的供應能力、商業(yè)信譽、供應風險特征等A.2.4.6對組織內(nèi)部實施采購管理、質量驗收、倉儲、搬運吊運的部門及人員，建立部門及崗位風險A.2.5銷售合規(guī)A.2.5.1組織應對重要商業(yè)伙伴組織開展有記錄的、基于風險的合規(guī)盡職調(diào)查，并結合風險特征對商a)商業(yè)伙伴出現(xiàn)新的或變更的活動、產(chǎn)品或服務；A.2.5.2經(jīng)營者應對商業(yè)伙伴的履約能力進行定期跟蹤和評估，保留在特定業(yè)務和交易中對商業(yè)伙伴全事故或違反廉潔等情形的，應及時終止與商業(yè)伙伴開展業(yè)務合作。A.2.6進出口合規(guī)c)對境外經(jīng)營相關部門和境外分支機構的所有員工開展合規(guī)培訓；d)境外經(jīng)營相關部門和境外分支機構可制定單獨的合規(guī)績效考核機制，考核內(nèi)容包括但不限于A.2.7.2適時掌握貿(mào)易禁運的法律、法規(guī)、政策的變化，對貿(mào)易合規(guī)評估、改進。A.2.8慈善活動合規(guī)d)對外慈善應進行備案管理，以備后續(xù)審A.2.9基礎設施建設合規(guī)A.2.10消防管理合規(guī)A.3高級合規(guī)模塊A.3.1信息安全合規(guī)A.3.1.1網(wǎng)絡與數(shù)據(jù)安全A.3.1.1.1組織應遵守適用的法律法規(guī)。應采取必要措施，防范對網(wǎng)絡的攻擊、侵入、干擾、破壞和a)信息數(shù)據(jù)的收集：4)自個人信息主體以外的其他途徑搜集個人信息，應知曉個人信息來源及個人信息提供者b)信息數(shù)據(jù)的存儲：1)應依據(jù)重要數(shù)據(jù)和個人信息主體約定的存儲期限或者個人信息主體授權同意的有效期存3)應按照要求采取安全措施并以合同等形式進A.3.2知識產(chǎn)權合規(guī)A.3.2.1知識產(chǎn)權的獲取包括：A.3.2.2知識產(chǎn)權保護避免以下的法律風險（包括但不限于a)專利權法律風險：4)許可使用和轉讓中的法律風險等。A.3.2.3知識產(chǎn)權的維護A.3.2.4知識產(chǎn)權的運用口貿(mào)易、企業(yè)合資及并購和上市等環(huán)節(jié)中所可能涉及的各類知識產(chǎn)權事務的管理措施和工作c)企業(yè)營銷活動的知識產(chǎn)權管理。對產(chǎn)品即將投放的市場進行同類產(chǎn)品知識產(chǎn)權狀況的調(diào)查分A.3.2.5上市審查的知識產(chǎn)權a)已有的無形資產(chǎn)的法律狀態(tài)、存續(xù)年限、法律風險等進行整體的評估與規(guī)劃；A.3.2.6涉外業(yè)務的知識產(chǎn)權經(jīng)營者應積極開展涉外業(yè)務中的知識產(chǎn)權管理，包括A.3.3競爭反壟斷合規(guī)1)擅自使用與他人有一定影響的商品名稱、包裝、）；4)其他足以引人誤認為是他人商品或者與他d)侵犯商業(yè)秘密的行為，包括但不限2)違反保密義務或者違反權利人有關保守商業(yè)秘密的要求，披露、e)編造、傳播虛假信息或者誤導性信息，損害競爭對手的商業(yè)信譽、商品聲譽。實施破壞其他經(jīng)營者合法提供的網(wǎng)絡產(chǎn)品或者服務正常運行的行為，包A.3.4環(huán)境和資源保護合規(guī)A.3.4.1環(huán)境保護A.3.4.1.1環(huán)境保護合規(guī)管理A.3.4.1.2環(huán)境保護合規(guī)監(jiān)督c)構建分級環(huán)保隱患排查防控體系，各層次的隱患排查中發(fā)現(xiàn)的d)對環(huán)境輿情、環(huán)境保護違法違規(guī)行為、突發(fā)環(huán)境事件進行統(tǒng)計、調(diào)查、處理。A.3.4.1.3環(huán)境保護合規(guī)風險應急d)組建環(huán)境保護應急管理隊伍，提升應急隊伍現(xiàn)場處置能力；A.3.4.1.4環(huán)境保護合規(guī)培訓教育a)對所有環(huán)保管理負責人進行培訓；A.3.5反腐敗合規(guī)A.3.5.2