资源描述:
《T∕CEEAS 003-2022 企业合规管理体系有效性评价指引》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
ICS03.100.01CCSA00团体标准T/CEEAS003—2022代替T/CEEAS002—2022企业合规管理体系有效性评价指引GuidelinesforEffectivenessEvaluationofEnterpriseComplianceManagementSystem2022-10-12发布2022-10-12实施中国企业评价协会发布
1T/CEEAS003-2022目次前言......................................................................................................................................................................II引言.....................................................................................................................................................................III1范围..........................................................................................................................................................................12规范性引用文件.......................................................................................................................................................13术语和定义...............................................................................................................................................................14评价原则...................................................................................................................................................................3符合性与有效性相结合原则............................................................................................................................3全面性原则........................................................................................................................................................4企业自评与专业评价相结合原则....................................................................................................................4独立客观原则....................................................................................................................................................45评价内容...................................................................................................................................................................46评价实施...................................................................................................................................................................5基本条件............................................................................................................................................................5评价结果............................................................................................................................................................8评价流程............................................................................................................................................................9附录A..................................................................................................................................................................10参考文献.....................................................................................................................................................................16I
2T/CEEAS003-2022前言本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及著作权等知识产权。本文件的发布机构不承担识别这些知识产权的责任。本文件由中国企业评价协会提出并归口。本文件代替T/CEEAS002—2022《企业合规管理体系有效性评价》,与T/CEEAS002—2022相比,除结构调整和编辑性变动外,主要技术变化如下:a)在评价维度上,将原来的七个维度进行修订更新,提出合规环境评估、领导作用和资源投入、合规制度与运行机制、合规文化以及绩效评估改进五个新的评价维度,考虑到党建在国有企业或部分非公有制企业合规管理中发挥的重要作用,将其作为附加评价指标;b)结合国务院国资委发布的《中央企业合规管理办法》,对评价指标进行了补充;c)借鉴《涉案企业合规建设、评估和审查办法(试行)》、《企业合规计划评价指南》(美国司法部2020版),对评价指标和内容进行了更新;d)对评价指标的权重进行了重新分配,优化了得分计算方法;e)对于评级结果的等级划分进行了优化。本文件起草单位:中国企业评价协会。本文件主要起草人:侯云春、李春伟、姜兴宏、王其增、刘岫、刘李佳、边海光、于越、魏文江、贾宝元、黎文、李铁男、李奋飞、任莹瑛、田昕清、魏洁、赵浩君、战飞扬、董华亮、李华端、李华光、李斌、周治成、金鑫、张吕、王春军、陶朗逍、汪承昊、周小钰、李凝。本文件由中国企业评价协会2022年10月12日批准发布。本文件自2022年10月12日起实施。本文件由中国企业评价协会负责管理和解释。在应用过程中如有需要修改与补充的建议,请将相关资料寄送至中国企业评价协会评价工作部(北京市朝阳区光华路15号铜牛国际大厦601室,邮编:100026,电话010-52932049转623)。本文件及其所代替文件的历次版本发布情况为:——2022年首次发布为T/CEEAS002—2022。本文件实施后,T/CEEAS002—2022《企业合规管理体系有效性评价》废止。II
3T/CEEAS003-2022引言合规是企业可持续发展的重要基础。合规管理是企业通过建立合规管理机制,制定和执行合规政策,开展合规审核、合规检查、合规风险监测、合规考核以及合规培训等有组织有计划的管理活动,实施预防、识别、评估、报告和应对合规风险的行为。企业不仅在本土经营时要强化合规管理,在开展国际化经营的过程中,更要以合规经营作为畅行天下的“通行证”。当前,在企业国际化和跨国经营中面临着诸多的法律合规风险,如国家安全审查风险、反垄断处罚风险、知识产权侵权风险、税务管理风险、商业贿赂风险以及在环境保护、劳动用工、数据保护等方面的风险。在国际化经营的背景下,企业合规经营和合规管理的紧迫性更加突出。为科学评价企业合规管理体系有效性,引导企业更好地开展合规管理工作,中国企业评价协会提出并组织相关社会团体及专家学者共同参与,编制了本标准。本标准作为企业合规管理和第三方机构评价的指引,提出了企业合规管理体系有效性评价的指标体系,从企业合规环境评估、领导作用和资源投入、合规制度与运行机制、合规文化、绩效评估改进五个维度以及党建在企业合规管理中的作用,设计了评价指标;明确了企业合规管理体系有效性评价工作的规则、流程以及报告评级等实施程序。本标准适用于企业合规管理体系有效性的全面性评价,针对不同行业以及专项的合规评价,中国企业评价协会后续将制定发布相应的子标准。实践中,企业合规管理体系有效性评价可由企业自行组织开展,也可委托行业协会等机构开展。本标准与企业必须遵守和自愿遵守的法律法规、强制性标准等合规义务有关文件,共同构成第三方机构和企业开展合规管理评价的依据。III
4T/CEEAS003-2022企业合规管理体系有效性评价指引1范围本文件规定了企业合规管理体系有效性评价的评价原则、评价内容、评价流程和评价结果。本文件适用于企业合规管理体系有效性的第三方评价,企业也可以依据本文件进行自我评价。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。ISO37301-2021合规管理体系要求及使用指南3术语和定义ISO37301-2021中界定的术语和定义适用于本文件。合规compliance履行组织的全部合规义务。不合规noncompliance未履行合规义务。合规管理compliancemanagement是指以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。合规团队complianceteam负责合规管理的一个人(或多个人)。合规管理委员会compliancemanagementcommittee为推进企业合规体系建设和合规经营而设立的专门组织。1
5T/CEEAS003-2022首席合规官chiefcomplianceofficer企业核心管理层成员,全面领导合规管理体系建设与运行。合规员complianceofficer指企业内部从事合规管理的人员,包括专职和兼职合规员。合规风险compliancerisk因不符合组织的合规义务而发生不合规的可能性和后果。合规要求compliancerequirement组织有义务遵守的明示的、通常隐含的或有义务履行的需求或期望。合规承诺compliancecommitment组织选择遵守的合规要求(3.6)。合规义务complianceobligation合规要求(3.6)或合规承诺(3.7)。合规文化complianceculture贯穿整个组织的价值观、道德观、信仰和行为,并与组织的结构和控制系统相互作用,产生有利于合规的行为规范。评价evaluation对事物在性质、数量、优劣、方向等方面做出的判断。评价指标evaluationindex是具体、可观察、可测量的评价准则。本评价标准中的指标均为符合性的,按事实和证据(文件、记录)的符合性,以及量化数据的符合性来进行评价。制度institution要求成员共同遵守的办事规程或行动准则。2
6T/CEEAS003-2022管理机制managementmechanism是指管理系统的结构及其运行机理。规范性文件normativedocument组织所建立的或应遵守的,用于指导企业生产经营活动的方法、规范或要求的文件,一般可包括管理手册、管理制度、管理办法、操作规程、工作流程等。注1:规范性文件可以是组织自己建立的内部文件,也可以是组织应遵守的外部文件,例如国家及其有关部门颁发的法律法规、命令、通知,或者上级单位颁发的管理制度、通知等。注2:按照文件内容,一般可分为三个层级,分别是纲领性文件(例如手册、管理制度等)、流程性文件(例如程序、管理规定、管理办法等)和作业指导性文件(例如操作规程、工作流程、作业指导书等)。证据性文件evidencedocument组织自己产生的,与组织生产经营活动过程相关的各种证明性文件,例如各种记录、报表、审批单、会议记录、生产日志等。注1:证据性文件必须是组织自己产生的内部文件。注2:证据性文件应能够反应组织生产经营活动的真实情况。合规管理体系compliancemanagementsystem组织为了实现合规管理目标而建立的,包括合规组织机构和职责、合规制度体系、合规运行机制、合规评价与追责、文化建设、信息化建设等要素和内容组成的管理体系。注:合规管理体系的要件包括合规方面的组织的结构、岗位和职责(与领导作用相关)、运作(与组织环境、策划、支持、运行、绩效评价、改进相关)。合规管理体系有效性effectivenessofcompliancemanagementsystem组织所建立的合规管理体系运行过程和结果实现预期目标的程度,包括合规管理体系文件有关的规范性文件与ISO37301要求的符合性、实施过程与规范性文件的符合性、实施结果实现企业合规目标的程度和持续改进的成果。4评价原则符合性与有效性相结合原则评价内容和评价指标体系既要考虑合规管理过程中各项制度、文件、措施等的符合性,又要考虑合规管理实施所产生的结果,例如合规管理目标的实现情况等。一般分别通过下面几个方面来评价合规管理的符合性和有效性:3
7T/CEEAS003-2022—合规管理体系的规范性文件是否符合ISO37301要求;—合规管理工作实施过程的证据性文件是否符合企业规范性文件的要求;—其证据性文件的各项内容是否能够真实反应其合规管理工作的有效性;—合规管理工作是否得到了持续改进。全面性原则合规管理体系有效性工作评价的范围应覆盖企业合规管理体系明确规定的经营管理活动的全员、全域和全过程的所有内容。全员应包括治理层、经营管理层、实施层的所有员工;全域应包括组织的合规管理制度规定的范围内的所有专业领域(例如合规、法务、财务、内控、风控等)和管理领域(例如质量、环境、能源、健康安全、社会责任等);全过程应包括产品实现/服务提供全部过程,例如生产过程、人力资源管理过程、采购过程、销售过程、售后服务等企业生产经营活动中的全部业务流程和支持性过程。企业自评与专业评价相结合原则企业应在全面梳理企业合规管理体系的规范性文件和证据性文件基础上,通过日常监测/自我检查、内部审核/交叉检查、管理评审/年度工作总结等方式,开展自我评价。评价机构在企业完成自我评价的基础上,对企业所提供的规范性文件和证据性文件进行系统全面的专业评价,并经过现场审核(必要时)验证后进行综合打分,得出最终评价结果。独立客观原则评价机构和人员应与被评价企业保持相对独立,与评价企业没有直接的利益关联,评价过程能够不受其他组织干扰。评价人员应基于企业的证据性文件提供的客观证据进行评价,不舍弃任何已经提供的证据,不在已经提供的证据的基础上进行任何延展性联想或推断。企业自评时,合规管理牵头部门独立履行职责,不受其他部门和人员的干涉。严格依照法律法规等规定对企业和员工行为进行客观评价和处理。5评价内容评价维度合规管理评价标准以ISO37301国际标准为依据,以“全员、全域、全过程”全面合规为出发点,从合规环境评估、领导作用和资源投入、合规制度与运行机制、合规文化、绩效评估改进五个维度以及党建在企业合规管理中的作用,对企业的合规管理工作进行评价。评价指标企业合规管理体系有效性评价的主要内容包括:4
8T/CEEAS003-2022-合规环境评估重点关注内外部因素、利益相关方的需要和期望、合规管理体系的范围、合规义务四个指标。-领导作用和资源投入的评价重点关注最高管理层参与度、管理机构的职能和资源、管理者职责与绩效、合规管理信息化建设四个指标。-合规制度与运行机制的评价主要关注合规制度体系和合规管理机制运行两个指标。-合规文化的评价重点关注合规理念、合规文化推广、员工职责与绩效三个指标。-绩效评估改进的评价包括监视、测量、分析和评价、内部审核、管理评审、体系持续改进、不符合和纠正措施五个指标。-党建在企业合规管理中所发挥的作用。评价证据企业所提交的与合规管理体系有关的规范性文件(如公司章程、管理手册、管理办法、部门规章制度、作业指导书、操作规程等)以及证据性文件(如各种记录、工作日志等),将作为企业合规管理体系有效性评价的主要证据。6评价实施基本条件6.1.1评价人员评价人员应具备如下条件:a)熟悉ISO37301标准,具有从事合规管理评价的基本技能,熟练使用合规管理评价工具;b)具备被评价企业所属行业的专业知识和经验;c)具有足够的评价工作经验,从事相关工作三年及以上;d)应经过专业培训和考核,并经评价机构评聘;e)与评价企业不存在直接或间接的利益关联。6.1.2评价机构开展合规管理体系有效性评价的机构应具备相关的资源和能力,包括但不限于拥有开展合规管理体系有效性评价所需的评价工具和适宜数量的评价人员。评价机构应按照本文件的要求制定具体的评价实施规则,评价实施规则包括但不限于评价方案策划、评价组的建立、评价实施流程、评价内容分值、评价报告质量控制等方面的内容。评价机构对于被评价企业的相关材料和数据要做好保密工作,履行保密承诺。6.1.3评价方式合规管理体系有效性评价可以采用企业自我评价与专家评价相结合的方式开展评价。企业应在全面梳理企业合规管理体系的规范性文件和证据性文件基础上,通过日常监测/自我检查、内部审核/交叉检查、管理评审/年度工作总结等方式,开展自我评价。5
9T/CEEAS003-2022评价机构在企业完成自我评价的基础上,对企业所提供的规范性文件和证据性文件进行系统全面的专业评价。必要时,评价机构应对企业提供的资料进行现场核证,核实企业提供的资料的真实性。在现场核证过程,可以根据评价内容和指标的具体情况,采用文件审阅、问卷调查、访谈调研、现场走访等评价方法。6.1.4数据获取评价机构在评价过程应获取与合规管理过程和结果有关的数据作为评价的依据,这些数据包括但不限于:—企业提供合规管理工作相关的数据;—评价机构通过资料收集、现场观察等方式从企业获取的相关数据;—评价机构从国际、国家和地方政府部门和社会媒体公布的相关数据。6.1.5指标体系企业合规管理体系有效性评价指标体系见表1,评价指标的分值设定说明如下:a)本文件的评价指标体系包括评价维度、评价指标和评价条款三层指标体系;b)评价维度的分值为该维度下各项评价指标的分值之和,各项指标的分值总和为1000分,附加项50分;c)本文件在附录表A.1中给出了各项评价指标中的各项评价条款,各项评价指标的分值与该项指标中的评价条款的多少相匹配;d)由于部分非公有制企业未设立党组织,故将党建在合规管理中发挥的作用作为附加项,计50分,见附录表A.2。表1企业合规管理体系有效性评价指标及分值评价维度评价指标分值内外部因素40合规环境评估利益相关方的需要和期望40(150分)合规管理体系的范围20合规义务50最高管理层★60领导作用和资源投入合规管理机构的职能与资源80(230分)管理者职责与绩效40合规管理信息化建设★50合规制度与运行机制合规管理制度体系★90(260分)合规管理机制运行★170合规理念30合规文化推广合规文化★60(130分)员工职责与绩效406
10T/CEEAS003-2022监视、测量、分析和评价★80内部审核30绩效评估改进管理评审30(230分)体系持续改进★50不符合和纠正措施40附加项党建在企业合规管理中的作用50注1:以上共计6个评价维度,19个评价指标,带“★”的为重要评价指标;注2:企业自评时可根据自身需求对指标进行适当调整。6.1.6评分规则附录A给出每项评价指标中各项评价条款的细则要求和分值。表2给出了企业合规管理体系有效性评价的评分规则。每一项评价条款的得分=其评分比例×条款分值。表2指标评分要求表评分比例要点■在该评分项要求中水平很差,或没有描述结果,或结果很差。0-20%■在该评分项要求中没有或极少显示趋势的数据,或显示了总体不良的趋势。■在该评分项要求中没有或极少的相关数据信息,或对比性信息。■在该评分项要求中结果很少,或在少数方面有一些改进和(或)处于初期绩效水平。20-40%■在该评分项要求中有少量显示趋势的数据,或处于较低水平。■在该评分项要求中有少量相关数据信息,或对比性信息。■在该评分项要求的多数方面有改进和(或)良好水平。40-60%■在该评分项要求的多数方面处于取得良好趋势的初期阶段,或处于一般水平。■在该评分项要求中能够获得相关数据,或对比性信息。■在该评分项要求的大多数方面有改进趋势和(或)良好水平。60-80%■与该评分项要求中一些趋势和(或)当前显示了良好到优秀的水平。■在该评分项要求中处于获得大量相关数据,或对比性信息。■在该评分项要求重要的大多数方面,当前结果/水平/绩效达到优良水平。80-100%■与该评分项要求中大多数的趋势显示了领先和优秀的水平。■在该评分项要求中能够获得充分相关数据,或对比性信息。7
11T/CEEAS003-2022评价结果6.2.1评价结果计算评价机构应按照附录A给出的分值,根据各项指标中评价条款的要求给出具体评价得分。合规管理体系有效性评价满分为1000分,附加项为50分,评价得分采用求和法计算得出,等于各项评价指标的得分之和。计算公式如下:���X=���?���+?�?��=��=��=�式中:X:企业的合规管理体系有效性得分;Aij:评价条款的得分;i、m:评价指标的序号和数量;j、n:某评价指标下设定的评价条款的序号和数量;Bk:附加条款的得分;k、l:附加项条款的序号和数量;β:附加指标的系数,对于有党组织的企业,赋予1的系数,对于未设立党组织的企业赋予0的系数。6.2.2评价结论根据计算得到的企业合规管理体系有效性得分,判定企业合规管理体系有效性评价的等级。评价等级共分为五级,分别为AAAAA、AAAA、AAA、AA和A,对应的得分分值范围见表3。其中被判定为A级的企业,需根据评价报告进行整改后,重新进行评价。企业如存在以下情况之一,应判定为未达到评级要求:a)企业的合规管理体系有效得分在600及以下;b)标明★的重要评价指标得分没有达到该项指标的60%;c)存在因合规管理体系不完善或实施过程不符合造成的重大不合规行为。表3评价结果的等级评价标准等级等级评价标准含义AAAAA901及以上达到合规管理行业标杆水平AAAA801-900达到合规管理行业优秀水平AAA701-800达到合规管理行业良好水平AA601-700达到合规管理行业合格水平A600及以下未达到评级要求6.2.3评价报告评价报告宜对评价机构的基本情况、被评价企业基本信息、评价依据、评价过程、结论及改进建议等方面的内容进行描述,并从合规环境、领导作用和资源投入、合规制度与运行机制、合规文化以及绩效评估改进五个方面,对企业当前合规管理体系有效性进行分析。8
12T/CEEAS003-2022第三方评价机构提供的评价报告宜给出下列内容:a)评价机构基本信息;b)被评价企业的基本信息;c)评价依据;d)评价过程描述;e)评价基准日和评价报告日;f)评价数据及其来源;g)合规管理体系有效性得分;h)评价结论及改进的建议。6.2.4评级证书评价机构对评级结论为AA(含)以上四个级别的企业,可依据评价报告颁发评级证书。评级证书应包括参评企业名称、边界和范围、评价依据、评价结论(等级)等信息,并明示合规管理体系有效性评价等级设置。证书有效期不超过三年。评价流程企业合规管理有效性评价流程如下:1.企业向第三方评价机构提交评价申请书。被评价企业需具备以下条件:a)企业在生产经营活动中恪守道德规范,遵守法律法规,无违法乱纪现象;b)企业没有出现过严重的产品质量事件和安全事故;c)诚信经营、公平交易,在商业活动中无欺诈行为、无违规行为。2.初审和受理。对于提交申请书的企业,第三方评价机构根据企业提交的申请材料、第三方数据和合规管理档案,确定是否受理。受理后签订工作合同,确定合作关系。3.提供材料。企业按要求提交详细的评审材料。4.尽职调查。对于受理的企业,第三方评价机构应组织不少于两位评审员深入企业实地考察走访核实,收集音频、视频、图片及文字材料。5.评审委员会评审。包括两位实地查访的评审员在内,每个企业由不少于五位评审委员参与评审。在详细审核企业的所有评审文件后,投票给予评级级别,出具综合评级意见,并签名背书。6.终审。对照本文件,考察评审过程是否契合、规范、科学。7.公示。在不低于三家指定媒体对企业初步的评级结果进行公示,接受社会监督。8.出具评价报告和颁发评级证书。公示结束,第三方评价机构向评级通过的企业出具评价报告,并颁发评级证书。评级时效不超过三年,评级满一年后企业可以申请延续评级或上调评级。9.公告。第三方评价机构向企业提供评级公告,企业可以进行宣传,提升品牌价值。10.服务和动态跟踪。对于评级通过的企业,第三方评价机构应做好客户服务,同时进行动态跟踪和合规缺失监督。企业自评时可根据评价实际需求对评价流程进行修改简化。9
13T/CEEAS003-2022附录A(资料性)企业合规管理体系有效性评价细则表A.1给出了企业合规管理体系有效性评价细则的参考内容。表A.1企业合规管理体系有效性评价细则评价维度评价指标评价条款分值得分规范性文件:是否制定了识别内外部因素的规范性文件,或在相关文件中对此做了规定,例如:管理手册、程序文件、行为准则、合规管理办法等10企业的相关规章制度文件。环境分析文件:是否按照规范性文件的要求识别了内外部因素并形成了如企业内外部环境分析报告等证据性文件。外部环境因素宜包括产业政策、内外部因国内外市场需求和发展趋势、主要竞争对手、区域产业布局、供应链等。10素内部因素宜包括企业自身资源、技术、人员、历史、合规文化以及所提供的产品/服务等。结果应用:内外部因素的分析结果是否作为合规义务识别、风险分析的输10入,是否作为建立合规方针、制定合规目标的依据。定期评估:是否定期对内外部因素进行了评估、更新。10规范性文件:企业是否制定了识别利益相关方的规范性文件,或在相关文10件中对此做了规定。例如:管理手册、程序文件、合规管理办法等。利益相关方期望:企业是否按照纲领性文件的要求识别了与合规管理有关利益相关的相关方的需要和期望并形成证据性文件。利益相关方包括与企业生存发方的需要展存在关联或关系的客户、承包商、供应商、投资者、应急服务机构、非10合规环境和期望政府组织、个人等。证据文件呈现形式可为分析报告、相关方需求和期望评估分析表等。前置依据:识别的相关方合规性要求是否作为后续的合规义务识别的依据。10定期评估:是否按制度要求定期对相关方的合规性要求进行了评估、更新。10覆盖范围:企业是否有明确的确定覆盖范围的依据,是否考虑了内外部影10响因素、相关方要求、合规义务以及合规风险评估情况等。合规管理地域边界、组织边界与业务边界:企业是否在规范性文件中明确了合规管体系的范理体系的覆盖范围,所确定的范围是否明确阐明了合规管理体系涉及的地围10域边界(如跨省、跨国)、组织边界(如分公司、总部)和业务边界(产品、过程、服务)。规范性文件:企业是否制定了识别合规义务的规范性文件,或在相关文件10中对此做了规定,如合规义务识别办法。组织管理:企业是否按文件要求,按照治理层、经营管理层、实施层不同合规义务的层级,从合规管理、法务、风控、监察、审计、财务、业务、人力等不同10的专业领域的职能以及组织性质等方面识别其合规义务。义务清单:企业是否依据规定编制合规义务清单,合规义务清单是否涵盖10了企业需遵守的强制性要求(例如法律法规;许可、执照或其他形式的授10
14T/CEEAS003-2022权;监管机构发布的命令、条例或指南;法院的判决或行政决定;条约、公约和协议;签署合同所产生的义务;上级单位的要求等)和自愿性要求(例如与社会团体、非政府组织、公共权利机构和客户签订的协议;企业的要求;自愿的原则或规程;自愿性标志或环境承诺;相关团体或产业的标准等),以及与企业密切关联的市场交易、财务税收、劳务用工、投融资、招投标、产品质量、安全环保、节能减排、知识产权、商业伙伴等方面的活动。管理体系:企业是否已经将识别出的合规义务融入到合规管理体系文件,10以履行合规义务。定期更新:企业是否按照规定程序定期更新合规义务。10企业是否将合规管理体系建设和合规要求有效嵌入公司章程、法人治理和20业务流程之中,确保合规管理有效落实、有效执行。领导参与程度:最高管理者是否通过参与合规管理体系的建设(包括批准纲领性文件、合规方针、合规目标、分配职责权限、评审合规管理体系、20最高管理及时采取纠正措施等行为)来践行合规承诺。层以身作则:治理机构及最高管理者是否以身作则,履行合规管理职责和义务。例如:企业主要负责人是否作为推进法治建设第一责任人,是否将制20定发展方向、制定发展战略及其发展目标、向企业的所有人员和相关方传达合规管理要求等。独立部门:企业是否明确了独立的合规职能部门或设立了合规管理委员会,20专职合规人员数量不低于公司人员数量的3%。有效职能:合规职能部门是否能够直接接触到治理机构和最高管理者,例如直接向公司总经理和间接向审计委员会、主席或整个董事会汇报工作,10定期参加治理机构和最高管理者的会议等。独立性:合规职能部门是否具有不与组织结构或其他因素冲突的独立性,领导作用10合规管理在行动上能够不受垂直管理者的干涉。和资源投机构的职发言权:合规管理部门是否具有必要的权限,例如不被上级部门否决或修入能与资源改报告和信息,能够根据需要指导其他员工,具有申明和提出合规疑虑的10发言权。支撑保障:合规管理部门是否具有必要的资源,支持其不受限制的执行合规管理体系的必要工作和职责,例如不受其他工作干扰的专职人员、能够10独立支配的物质和经费、必要的技术等。合规职能部门职责和权限:企业是否明确规定了合规职能部门的职责和权20限。管理者职责和权限:是否明确规定了治理机构和最高管理者的合规管理职责和权限。最高管理层的主要职责是否包括了为建立、制定、实施、评价、维护、改进合规管理体系配置了足够的资源,建立及时有效的合规绩效报10管理者职告制度,战略和运行目标与合规义务相协同,建立和维护问责机制,确保责与绩效合规绩效与人员绩效考核挂钩。管理者绩效:治理机构的主要职责是否包括了制定合理的最高管理者的管理绩效,以确保可以根据合规目标的实现程度测量管理绩效;是否包括了10对最高管理者运行合规管理体系的情况进行监督。11
15T/CEEAS003-2022各层管理者职责和权限:企业是否明确规定了各层管理者在其职责范围内20的合规方面的职责和权限。是否能够结合将合规制度、典型案例、合规培训、违规行为记录等纳入合20规信息系统。是否能够运用信息化手段将合规要求和防控措施嵌入业务流程,加强关键合规管理10节点的合规审查。信息化建是否将合规管理信息系统与财务、投资、采购等其他信息系统实现了互联设10互通和数据共用共享。是否利用大数据等技术加强了对重点领域关键环节的事实检测,并实现合10规风险及时预警、快速处置。企业是否根据使用范围、效力层级等构建了分级分类的合规管理制度体系,文件化信息包括纲领性文件(例如手册、管理制度等)、流程性文件(例20如程序、管理规定、管理办法等)和作业指导性文件(例如操作规程、工作流程、作业指导书等)。合规管理合规管理基本制度是否完善,明确了总体目标、机构职责、运行机制、考20制度体系核评价、监督问责等主要内容。是否针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管30理、数据保护、国际化业务等重点领域制定了专项合规管理制度。是否根据法律法规、政策监管、风险与机遇等变化情况及时对规章制度进20行修订完善,并对执行落实情况进行检查合规风险识别评估预警机制:企业是否建立并定期更新合规风险数据库,对企业以及商业项目风险发生的可能性、影响程度、潜在后果等进行分析,30对典型性、普遍性或者可能产生严重后果的风险及时预警。合规审查机制:是否将合规审查作为必经程序嵌入到规章制度制定、重大合规制度事项决策、重要合同签订、重大项目运营等经营管理流程。企业重大决策30与运行机事项合规审查意见是否由首席合规官签字,并对决策事项的合规性提出明制确意见。合规报告制度:是否建立了合规报告制度,发生较大合规风险事件,相关业务及职能部门是否能及时向合规管理部门报告。重大合规风险事件是否30能及时向监管部门报告。合规管理违规问题整改机制:是否建立违规问题整改机制,通过健全规章制度、优机制运行化业务流程等,提升企业合规管理水平。是否设立违规举报平台,公布举30报电话、邮箱或者信箱等,相关部门是否按照职责受理违规举报,并就举报问题进行调查和处理。违规追责问责机制:是否建立违规行为追责问责机制,明确责任范围,细化问责标准,针对问题和线索能够及时开展调查,并按照规定追责违规人30员责任。是否建立经营管理和员工履职违规行为记录制度,将违规行为性质、发生次数、危害程度等作为考核评价、职级评定等工作的依据。协同运作机制:是否结合实际建立了合规管理与法务管理、内部控制等协同运作机制,是否建立了集团公司与子公司、分公司的协同运作机制,加20强统筹协调,避免交叉重复。合规文化合规理念企业治理层和高级管理者是否塑造了合规的企业精神和价值理念。1012
16T/CEEAS003-2022企业管理人员是否从自身做起,践行合规文化理念,带头垂范,以身作则。10企业是否承诺自上而下保持一致地实施合规文化。10是否通过发布合规手册、签订合规承诺等方式,加强合规宣传,强化全员10合规经营意识。企业的员工是否能从情感和理智上认同企业合规文化,并作出认同的承诺。10是否建立常态化合规培训机制,制定年度培训计划,并将合规管理作为培10推广合规训必修内容。文化企业在关键职能人员的招聘、晋升时,是否将合规文化作为考察评估因素,10例如尽职调查。是否在入职培训或新员工训练时强调合规和企业的价值观。10企业是否利用各种时机、场合推广合规文化,并持续地就合规问题进行沟10通。企业是否明确规定了员工应履行的合规职责,内容是否满足合规要求。10企业是否在绩效考核体系中考虑对合规行为的评估,并将合规表现与绩效10挂钩。员工职责是否对企业涉诉量下降等合规管理业绩和结果予以明确认可,奖励符合企10与绩效业合规文化的行为,树立典型模范或榜样。企业是否惩戒不遵守合规文化的员工和行为,包括管理层为了实现业务目标鼓励员工实施不合规行为、阻止合规人员有效履行职责等行为,面对竞10争利益时违反合规承诺的行为等。证据性文件:企业是否制定了合规监测方案等证据性文件,以确定需要监视和测量的对象、适用的方法、实施的时间、分析和评价的要求等方面的10内容。监测方案:企业制定的监测方案是否包括了以下内容:例如合规义务内容、合规风险管理、职责分配、培训、计划执行等;合规管理体系、合规绩效;10目标达成、不合规事件、指标领先或滞后情况等。反馈机制:企业是否建立合规绩效反馈机制以及确保反馈渠道或来源有效、反馈信息真实的措施。例如发现或识别不合规行为的临时报告,通过热线、投诉和其他反馈渠道(包括举报)获得的信息,非正式讨论、研讨会与焦10监视、测点小组,抽样和诚信测试,如神秘顾客,直接观察、正式访谈、设施参观绩效评估量、分析与视察,培训反馈等。改进和评价信息渠道:企业是否按要求建立并维护相应渠道,以监测、反馈合规绩效。信息来源一般包括内部人员,如来自举报设施、求助热线、情况反馈、建10议箱等,客户,如投诉处理系统等,第三方、供应商、承包商、监管机构,以及过程的控制记录和活动记录等。指标评估:企业是否制定相应指标,以评估合规目标实现程度。指标可包括识别的不合规问题,不合规的后果,报告和采取纠正措施花费的时间反应性指标;也可以是长期目标(收入、健康和安全、声誉等)的潜在损失/20收益为衡量标准的不合规风险,不合规趋势等预测性指标,还可包括如有效培训人员的比例,监管机构介入的频率,反馈机制的使用程度等指标。有效性:企业是否定期评审合规指标内容,以确保其适宜性和有效性。1013
17T/CEEAS003-2022合规义务变化:合规报告的内容是否反映出合规义务变化情况,合规风险评估结果,合规目标实现情况,合规表现情况,举报事项总结及结果处置10等,必要时需针对地方监管要求编制并上报相应信息。规范性文件:企业是否建立内部审核机制,编制了相应的规范性文件,或在相关文件中对此做了规定。如内部审核管理制度、交叉检查的制度、内10部检查人员培训制度(内部合规管理体系审核员培训)等。规范执行:企业是否按规定的时间按照规范性文件要求实施内部审核,包内部审核10括过程有策划、计划编制、现场检查、出具结果、跟踪整改等。审核结果:企业内部审核是否并形成明确的审核结果,及相应问题的整改及应用于管理体系的改进。审核过程是否形成必要的证据性文件予以留存,10例如内审方案、内审计划、内审检查表、内审报告、企业合规检查文件等。规范性文件:企业是否建立了管理评审机制,编制了相应的规范性文件,或在相关文件中对此做了规定,例如管理评审制度、合规管理工作年度总10结制度等文件。定期评估:企业是否按照规范性文件要求,定期针对上一年度合规管理措施实施情况报告、风险评估报告、合规目标评估结果、目标完成情况分析、管理评审内控总结报告、年度合规计划等内容开展管理评审并有明确的评审结果。10必要时,也可单独根据管理体系运行情况设置专项时间和流程进行管理评审。证据性文件:管理评审过程是否形成诸如管理评审计划、管理评审报告、10企业年度总结等证据性文件予以留存。改进机制:企业是否建立了合规管理工作改进机制,制定了开展持续改进20的规章制度。改进执行:企业持续改进的内容是否考虑了监测、分析和评价以及管理评体系持续审的输出等结果,根据企业的合规报告结果或管理评审结果推动合规管理10改进体系持续改进,并形成证据性文件。效果评估:企业是否对持续改进的效果进行了评估;对于涉案企业经过合规建设之后,是否符合有效性标准,能够通过合规审查,以达到从宽处罚、20处分的要求。负面规范:企业是否建立了应对潜在或已发生的不符合、不合规的规范性10文件,或在相关文件中对此做了规定。原因分析及应对:企业按照规范性文件的要求,在发生不符合或不合规时,10不符合和是否对不符合、不合规的原因进行了分析,并制定了应对措施。纠正措施应对措施的有效性:企业是否对不符合或不合规的应对措施的有效性进行10评估,制定了应对无效的补救措施。信息管理:企业是否按要求对不符合原因、采取应对措施及效果评估等文10件化信息进行管理。注:以上共74款打分项,满分1000分。14
18T/CEEAS003-2022表A.2给出了企业合规管理体系有效性评价的附加内容。表A.2企业合规管理体系有效性评价附加项评价指标评价条款分值得分企业合规管理工作是否能够坚持党的领导,充分发挥企业党委(党组)领导作用,20落实全面依法治国战略部署有关要求,把党的领导贯穿合规管理全过程。企业党委(党组)是否发挥把方向、管大局、促落实的领导作用,推动合规要求在党建在合10本企业得到严格遵循和落实,不断提升依法合规经营管理水平。规管理中企业是否严格遵守党内法规制度,企业党建工作机构能否在党委(党组)领导下按的作用10照有关规定履行相应职责,推动相关党内法规制度有效贯彻落实。企业是否将合规管理纳入党委(党组)法治专题学习,推动企业领导人员强化合规10意识,带头依法依规开展经营管理活动。注:以上4款打分项,共计50分。15
19T/CEEAS003-2022参考文献[1]GB/T1.1—2020标准化工作导则第1部分:标准化文件的结构和起草规则[2]T/CEEAS004—2021企业合规师职业技能评价标准[3]ISO37301—2021合规管理体系要求及使用指南[4]ISO37001—2016反贿赂管理体系[5]ISO37002—2021举报管理体系指南[6]中央企业合规管理办法(国务院国有资产监督管理委员会,2022版)[7]涉案企业合规建设、评估和审查办法(试行)[8]企业合规计划评价指南(美国司法部,2020版)16
