资源描述:
《T∕CEEAS 002-2022 企业合规管理体系有效性评价》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
ICS03.100.01CCSA00团体标准T/CEEAS002—2022企业合规管理体系有效性评价Evaluationofeffectivenessofenterprisecompliancemanagementsystem2022-全国团体标准信息平台7-5发布2022-7-5实施中国企业评价协会发布I
1T/CEEAS002-2022目次前言.................................................................................III引言.................................................................................III1范围.................................................................................12规范性引用文件.......................................................................13术语和定义...........................................................................14评价原则.............................................................................34.1符合性与有效性相结合原则.........................................................34.2全面性原则.......................................................................44.3企业自评与专业评价相结合原则.....................................................44.4独立客观原则.....................................................................45评价内容.............................................................................46评价实施和评价结果...................................................................56.1评价实施.........................................................................56.2评价结果.........................................................................8附录A................................................................................10参考文献..............................................................................19全国团体标准信息平台II
2T/CEEAS002-2022前言本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及著作权等知识产权。本文件的发布机构不承担识别这些知识产权的责任。本文件由中国企业评价协会企业合规专业委员会提出并归口。本文件为首次发布。本文件起草单位:中国企业评价协会、中国企业评价协会企业合规专业委员会、中国投资协会品牌投资促进中心、中标合信(北京)认证有限公司、北京中企合规科技有限公司。本文件主要起草人:侯云春、李春伟、姜兴宏、王其增、刘岫、刘李佳、边海光、于越、贾宝元、刘红霞、黎文、李铁男、李近宇、李华光、李斌、周治成、金鑫、张吕、王春军、陶朗逍、汪承昊、周小钰、李凝。本文件由中国企业评价协会2022年7月5日批准发布。本文件自2022年7月5日起实施。本文件由中国企业评价协会负责管理和解释。在应用过程中如有需要修改与补充的建议,请将相关资料寄送至中国企业评价协会评价工作部(北京市朝阳区光华路15号铜牛国际大厦601室,邮编:100026,电话010-52932049转623)。全国团体标准信息平台III
3T/CEEAS002-2022引言近年来,越来越多的企业关注合规管理以及合规管理所能解决的问题、带来的效益。在此过程中,诸如企业已有的管理运行体系能否满足合规管理要求,已建立的合规管理体系能否真正发挥作用等问题,一直困扰着企业规范有效地建立和实施合规管理体系。实践中,企业合规管理体系有效性评价可由企业自行组织开展,也可委托行业协会、认证机构等机构开展。为了规范和引导企业合规管理体系有效性评价活动的开展,实现对企业合规管理运行有效性的全面诊断,帮助企业提升合规管理绩效,特制定本文件。本文件与企业必须遵守和自愿源遵守的法律法规、强制性标准等合规义务有关文件,共同构成第三方机构和企业开展合规管理体系有效性评价的依据,共同指导第三方机构开展企业合规管理体系有效性评价工作。本文件评价的条款将覆盖ISO37301《合规管理体系要求及使用指南》的所有要求,基于企业管理体系的标准制定和评价认证实施经验进行设计。目前,本文件主要分为7大部分,30个方面,并从文件的符合性、实施过程的符合性、实施结果的有效性以及持续改进几个维度,设计了的评价指标。并基于这些评价要求,对评价实施过程和评价结果提出了相应的基本要求。全国团体标准信息平台IV
4T/CEEAS002-2022企业合规管理体系有效性评价1范围本文件规定了企业合规管理体系有效性评价的评价原则、评价内容、评价实施和评价结果。本文件适用于企业合规管理体系有效性的第三方评价,企业也可以依据本文件进行自我评价。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。ISO37301合规管理体系要求及使用指南3术语和定义ISO37301中界定的术语和定义适用于本文件。3.1规范性文件normativedocument组织所建立的或应遵守的,用语指导企业生产经营活动的方法、规范或要求的文件,一般可包括管理手册、管理制度、管理办法、操作规程、工作流程等。注1:规范性文件可以是组织自己建立的内部文件,也可以是组织应遵守的外部文件,例如国家及其有关部门颁发的法律法规、命令、通知,或者上级单位颁发的管理制度、通知等。注2:按照文件内容,一般可分为三个层级,分别是纲领性文件(例如手册、管理制度等)、流程性文件(例如程序、管理规定、管理办法等)和作业指导性文件(例如操作规程、工作流程、作业指导书等)。3.2证据性文件evidencedocument组织的自己产生的,与组织生产经营活动过程相关的各种证明性文件,例如各种记录、报表、审批全国团体标准信息平台单、会议记录、生产日志等。注1:证据性文件必须是组织自己产生的内部文件。1
5T/CEEAS002-2022注2:证据性文件应能够反应组织生产经营活动的真实情况。3.3合规管理体系compliancemanagementsystem组织的为确立合规方面的方针和目标以及实现这些目标的过程所形成的相互关联或相互作用的一组要件。注:合规管理体系的要件包括合规方面的组织的结构、岗位和职责(与领导作用相关)、运作(与组织环境、策划、支持、运行、绩效评价、改进相关)。3.4合规管理体系有效性effectivenessofcompliancemanagementsystem组织所建立的合规管理体系运行过程和结果实现预期目标的程度,包括合规管理体系文件有关的规范性文件与ISO37301要求的符合性、实施过程与规范性文件的符合性、实施结果实现企业合规目标的程度和持续改进的成果。3.5治理机构governingbody对组织的活动、治理、方针负有最终责任和全力的一个人或一组人,最高管理者向其报告并对其负责。注1:并不是所有的组织,尤其是小型组织,都有一个独立于最高管理者的治理机构。注2:治理机构可能包括单不限于董事会、董事会委员会、监事会或受托人。3.6合规职能compliancefunction对合规管理体系运行负有责任、享有权力的一个人或一组人。注:最好指定一人负责合规管理体系的监督。3.7合规风险全国团体标准信息平台compliancerisk因不符合组织的合规义务而发生不合规的可能性和后果。2
6T/CEEAS002-20223.8合规义务complianceobligation组织强制性地遵守的需求,以及资源选择遵守的需求。3.9合规compliance履行组织的全部合规义务。3.10不合规noncompliance未履行合规义务。3.11合规文化complianceculture贯穿整个组织的价值观、道德观、信仰和行为,并与组织的结构和控制系统相互作用,产生有利于合规的行为规范。3.12行为behavior其结果影响顾客、员工、供应商、市场和社区的行为和实践。4评价原则4.1符合性与有效性相结合原则评价内容和评价指标体系既要考虑合规管理体系建立、实施、运行、维护、持续改进全过程中各项活动所产生的制度、文件、措施等的符合性,又要考虑合规管理体系实施运行所产生的结果,例如合规目标的实现情况等。一般分别通过下面几个维度来评价管理体系的符合性和有效性:全国团体标准信息平台—管理体系的规范性文件是否符合ISO37301要求;—管理体系实施过程的证据性文件是否符合企业规范性文件的要求;3
7T/CEEAS002-2022—其证据性文件的各项内容是否能够真实反应其体系运行的有效性;—管理体系是否得到了持续改进。4.2全面性原则依据ISO37301要求,全面评价企业治理层、管理层、实施层所有相关人员的合规管理工作,评价的范围应覆盖企业合规管理体系明确规定的经营管理活动的全员、全域和全过程的所有内容。全员应包括治理层、经营管理层、实施层的所有员工;全域应包括组织的合规管理体系规定的范围内的所有专业领域(例如合规、法务、财务、内控、风控等)和管理领域(例如质量、环境、能源、健康安全、社会责任等);全过程应包括产品实现/服务提供全部过程,例如生产过程、人力资源管理过程、采购过程、销售过程、售后服务等企业生产经营活动中的全部业务流程和支持性过程。4.3企业自评与专业评价相结合原则企业应在全面梳理企业的合规管理体系的规范性文件和证据性文件基础上,通过日常监测/自我检查、内部审核/交叉检查、管理评审/年度工作总结等方式,开展自我评价。评价机构在企业完成自我评价的基础上,对企业所提供的规范性文件和证据性文件进行系统全面的专业评价,并经过现场审核(必要时)验证后进行综合打分,得出最终评价结果。4.4独立客观原则评价机构应和人员与被评价企业保持相对独立,与评价企业没有直接的利益关联,评价过程能够不受其他组织干扰。评价实施过程应严格依据ISO37031的要求进行,ISO37301中有明确要求的,不进行任何删减;ISO37301中没有明确要求的,不额外要求企业提供。评价人员应基于企业的证据性文件提供的客观证据进行评价,不舍弃任何已经提供的证据,不在已经提供的证据的基础上进行任何延展性联想或推断。5评价内容5.1合规管理体系有效性评价的依据是ISO37301国际标准各条款,以“全员、全域、全过程”全面合规为出发点,从组织建立、实施、绩效和改进等维度,对企业的合规管理体系有效性进行评价。5.2企业合规管理体系有效性评价评价的主要内容包括:-企业环境评价重点关注内外部因素、利益相关方的需要和期望、合规义务、合规风险识别及其评估等方面的制度建设、识别清单及其管理。-领导作用评价重点关注领导作用和承诺、合规方针和职责设置以及治理机构及最高管理者履行合规职责的情况。全国团体标准信息平台-体系策划的评价包括风险与机遇的应对措施、合规目标及其体系变更等,评价侧重于合规管理体系文件本身的充分适宜性,并有合理的机制和适当的方法保证文件贯彻落实。4
8T/CEEAS002-2022-体系支持的评价侧重于合规管理资源需求分析及配备制度建设的适宜性以及人、财、物的配置和管理的有效性,包括资源、能力、合规意识、沟通及文件化信息管理等方面的评价。-体系运行评价重点关注合规管理体系文件、控制程序以及相关规章制度的管理和执行是否行之有效,主要包括运行的策划和控制、控制程序的建立、举报机制、调查过程、合规管理效果的监视、测量、分析和评价、内部审核、管理评审等方面的评价。-体系改进的评价包括持续改进和不符合项及应对措施等,重点关注合规管理体系持续改进的制度建设及实行效果,不符合原因分析,应对措施评估以及应用等。5.3企业所提交的与合规管理体系有关的规范性文件(如管理手册、管理办法、部门规章制度、作业指导书、操作规程等)以及证据性文件(如各种记录、工作日志等),将作为企业合规管理体系有效性评价的主要证据。6评价实施和评价结果6.1评价实施6.1.1评价人员评价人员应具备如下条件:a)熟悉ISO37301标准,具有从事合规管理体系有效性评价的基本技能,熟练使用合规管理体系有效性评价工具;b)具备被评价企业所属行业的专业知识和经验;c)具有足够的评价工作经验,从事相关工作三年以上;d)应经过专业培训和考核,并经评价机构评聘;e)与评价企业不存在直接和间接的利益关联。6.1.2评价机构开展合规管理体系有效性评价的机构应具备相关的资源和能力,包括但不限于拥有开展合规管理体系有效性评价所需的评价工具和适宜数量的评价人员。评价机构应按照本文件的要求制定具体的评价实施规则,评价实施规则宜包括评价方案策划、评价组的建立、评价实施流程、评价内容分值、评价报告质量控制等方面的内容。6.1.3评价方式合规管理体系有效性评价可以采用企业自我评价与专家评价相结合的方式开展评价。企业应在全面梳理企业的合规管理体系的规范性文件和证据性文件基础上,通过日常监测/自我检查、内部审核/交叉检查、管理评审/年度工作总结等方式,开展自我评价。评价机构在企业完成自我评价的基础上,对企业所提供的规范性文件和证据性文件进行系统全面全国团体标准信息平台的专业评价。5
9T/CEEAS002-2022必要时,评价机构应对企业提供的资料进行现场核证,核实企业提供的资料的真实性。在现场核证过程,可以根据评价内容和指标的具体情况,采用文件审阅、问卷调查、访谈调研、现场走访等评价方法。6.1.4数据获取评价机构在评价过程应获取与合规管理过程和结果有关的数据作为评价的依据,这些数据包括但不限于:—企业提供合规管理体系相关的数据;—评价机构通过资料收集、现场观察等方式从企业获取的相关数据;—评价机构从国际、国家和地方政府部门和社会媒体公布的相关数据;6.1.5指标权重评价机构应按照表1给出的权重,根据各项指标中评价内容的要求给出具体评价分值。这些指标的权重设定时考虑了以下几个因素。f)本文件的评价指标体系包括评价要素、评价指标和评价内容三层指标体系;g)在本文件中仅对评价要素和评价指标的权重进行了设定,其中评价要素的权重为该要素下各项评价指标的权重之和,各项指标的权重总和应为300;h)评价要素的设定应与ISO37301中的第4章至第10章的内容对应,且其中的支持和运行要素分配权重应不低于各项指标权重之和的50%(150分);i)本文件在附录A中给出了各项评价指标中的各项评价内容指南,各项评价指标的权重应与该项指标中的评价内容的多少相匹配;表1企业合规管理体系有效性评价指标及权重评价要素(权重)评价指标权重内外部因素3利益相关方的需要和期望3合规管理体系的范围2企业环境(30)合规管理体系2合规义务★10合规风险评估★10治理机构和最高管理层5合规文化4领导作用(40)合规治理5全国团体标准信息平台合规方针10岗位、职责和权限16体系策划(25)风险与机会的应对措施★106
10T/CEEAS002-2022评价要素(权重)评价指标权重合规目标★12体系的变更3资源3能力要求15雇佣过程15体系支持(75)培训15合规意识6沟通过程6文件化信息15运行的策划和控制10控制程序的建立15体系运行(75)举报机制★25调查过程★25监视、测量、分析和评价15绩效评价(40)内部审核10管理评审★15持续改进5体系改进(15)不符合和纠正措施10300注:带“★”的为重要评价指标6.1.6评分规则评价机构在制定评价实施规则时,应根据ISO37301的要求,给出每项评价指标中各项评价内容的细则要求和分值。每个评价指标的各评价内容分值总和应为100%。本文件按照表2的四个维度给出了合规管理体系有效性度评价的通用模型。本文件基于该通用模型,在附录A中对每个评价指标设计了相应的评价内容指南。这些评价内容分别对应四个评价维度中的某一个维度。评价机构应根据评价内容对应的评价维度,按照表2给出的通用模型,逐一给出该项评价内容的得分。其得分应为该项评价内容的分值×企业该项评价内容的评分比例。表2评价指标评分规则评分评价维度比例规范性文件符合性实施过程符合性实施效果有效性持续改进各项制度要求均没有得0%-制度设计有重要条款缺实施过程存在重要制度全国团体标准信息平台到有效实施,存在重大或没有实施持续改进60%失或全局性不符合全局性的不合规行为7
11T/CEEAS002-2022制度设计基本能够覆盖各项制度要求基本得到实施过程基本符合制度60%-标准的所有条款要求,仅有效实施,存在一定数量要求,或存在部分非重要开始实施持续改进80%存在少量非重要条款缺轻微或局部性的不合规条款或局部性的不符合失行为各项制度要求完全得到持续改进的实施取得制度设计全面覆盖标准80%-实施过程完全符合制度有效实施,存在极少量的了一定的效果,合规管的所有条款要求,没有条90%要求轻微或局部性的不合规理制度进行了逐步改款缺失行为进各项制度完全得到了有制度设计全面覆盖标准实施过程完全符合制度持续改进的已经形成效地实施,并通过一定的90%-的所有条款,且结合企业要求,且采取了一定的创了企业的习惯和文件技术方法和工具来保证100%的实际情况进行了一定新工具和方法来保证了核心,改进行为可以根了制度实施的有效性,没程度的创新实施过程的符合性据需要随时实施有发现任何不合规行为6.2评价结果6.2.1评价结果计算合规管理体系有效性评价总分300分,评价得分采用加权求和法计算得出。计算公式如下:mnX=∑(Ai∑Bij)i=1j=1式中:X:企业的合规管理体系有效性得分;Ai:评价指标的权重;Bij:评价条款的分值;i、m:评价指标的序号和数量;j、n:某评价指标下设定的评价条款的序号和数量。6.2.2评价结论根据计算得到的企业的合规管理体系有效得分,判定企业企业合规管理体系有效性评价的等级。评价等级共分为四级,分别为AAAAA、AAAA、AAA和未达到评级要求,对应的得分分值范围见表3。其中被判定未达到评级要求的企业,需根据评价报告进行整改后,重新进行评价。企业如存在以下情况之一,应判定为未达到评级要求:j)企业的合规管理体系有效得分在180以下;k)标明★的重要评价指标得分没有达到该项指标的60%;l)全国团体标准信息平台存在因合规管理体系不完善或实施过程不符合造成的重大不合规行为。表3评价结果的等级评价标准8
12T/CEEAS002-2022等级等级评价标准含义AAAAA总分270分以上达到合规管理行业标杆水平AAAA总分为270(含280)—240(不含240)达到合规管理行业优秀水平AAA总分为240(含240)—180(不含180)达到合规管理行业合格水平未达到评级要求总分180分及以下未达到评级要求6.2.3评价报告评价报告宜对评价机构的基本情况、被评价企业基本信息、评价依据、评价过程、结论及改进建议等方面的内容进行描述,并从规范性文件的符合性、实施过程符合性、实施效果的有效性和持续改进四个方面,对企业当前合规管理有效性进行分析。评价报告宜给出下列内容:a)评价机构基本信息;b)被评价企业的基本信息;c)评价依据;d)评价过程描述;e)评价基准日和评价报告日;f)评价数据及其来源;g)合规管理体系有效性分;h)评价结论及改进的建议。6.2.4评价证书评价机构对评价结论为AAA(含)以上三个级别的企业,依据评价报告颁发评价证书。评价证书应包括参评企业名称、边界和范围、评价依据、评价结论(等级)等信息,并明示合规管理体系有效性评价等级设置。证书有效期为一年。全国团体标准信息平台9
13T/CEEAS002-2022附录A(资料性)企业合规管理体系有效性评价细则表A.1给出了企业合规管理体系有效性评价细则的参考内容。表A.1企业合规管理体系有效性评价细则评价要素评价指标评价内容是否制定了识别内外部因素的规范性文件,或在相关文件中对此做了规定,例如:管理手册、程序文件、行为准则、合规管理办法等企业的相关规章制度文件。是否按照规范性文件的要求识别了内外部因素并形成了如《企业内外部环境分析报内外部因告》等证据性文件。识别的外部环境因素宜包括产业政策、国内外市场需求和发展趋势、主要竞争对手、区域产业布局、供应链等。内部因素宜包括企业自身资源、技术、素(3分)人员、历史、合规文化以及所提供的产品/服务等。内外部因素的分析结果是否作为合规义务识别、风险分析的输入,是否作为建立合规方针、制定合规目标的依据;是否定期对内外部因素进行了评估、更新。企业是否制定了识别利益相关方的规范性文件,或在相关文件中对此做了规定。例如:管理手册、程序文件、合规管理办法等。企业是否按照纲领性文件的要求识别了与合规管理有关的相关方的需要和期望并形利益相关企业环境成证据性文件。利益相关方包括与企业生存发展存在关联或关系的监管机构、客户、方的需要(30分)承包商、供应商、投资者、应急服务机构、非政府组织、个人等。证据文件呈现形式和期望可为分析报告、相关方需求和期望分析表等。(3分)识别的相关方合规性要求是否作为后续的合规义务识别的依据。是否按制度要求定期对相关方的合规性要求进行了评估、更新。企业是否有明确的确定覆盖范围的依据,是否考虑了内外部影响因素、相关方要求、合规管理合规义务以及合规风险评估情况等。体系的范企业是否在规范性文件中明确了合规管理体系的覆盖范围,所确定的范围是否明确阐围明了合规管理体系涉及的地域边界(如跨省、跨国)、组织边界(如分公司、总部)(2分)和业务边界(产品、过程、服务)。合规管理企业的合规管理是否形成文件化信息,包括纲领性文件(例如手册、管理制度等)、全国团体标准信息平台体系流程性文件(例如程序、管理规定、管理办法等)和作业指导性文件(例如操作规程、(2分)工作流程、作业指导书等)。10
14T/CEEAS002-2022评价要素评价指标评价内容企业合规管理体系文件是否包含与合规管理相关的范围、义务、风险评估、方针、目标和企业确定的活动、工作流程方面必要的规范性文件,是否保留了能力有关的证据、培训记录、沟通的证据、合规调查信息、实施审核方案和审核结果的证据、管理评审的证据、不符合或不合规及其纠正的证据等必要的证据性文件,是否反应了企业自身核心价值观、战略及合规风险等方面的内容。企业是否制定了识别合规义务的规范性文件,或在相关文件中对此做了规定,如合规义务识别办法。企业是否按文件要求,按照治理层、经营管理层、实施层不同的层级,从合规管理、法务、风控、监察、审计、财务、业务、人力等不同的专业领域的职能以及组织性质等方面识别其合规义务。企业是否依据规定编制合规义务清单,合规义务清单是否涵盖了企业强制性遵守的合规义务(例如法律法规;许可、执照或其他形式的授权;监管机构发布的命令、条例或指南;(10分)法院的判决或行政决定;条约、公约和协议;上级单位的要求等)和自愿性遵守的需求(例如与社会团体、非政府组织、公共权利机构和客户签订的协议;企业的要求;自愿的原则或规程;自愿性标志或环境承诺;签署合同所产生的义务;相关团体或产业的标准等),以及与企业密切关联的市场交易、财务税收、劳务用工、投融资、招投标、产品质量、安全环保、节能减排、知识产权、商业伙伴等方面的活动。企业是否已经将识别出的合规义务融入到合规管理体系文件,以履行合规义务。企业是否按照规定程序定期更新合规义务。企业是否制定了合规风险评估的规范性文件,或在相关文件中对此做了规定。企业是否按规范性文件要求,根据部门职责、岗位职责和不同类型的活动,进行合规风险识别和评估,风险评估的时机是否包括了日常评估、定期评估和紧急评估。合规风险识别宜包括贿赂、舞弊、垄断、不正当竞争、安全环保事故、非法⽤⼯、出口管制、财务税收违规、业务伙伴违规、资产流失等方面。企业是否按要求形成了合规风险及机遇评估有关的证据性文件,例如《合规风险及机合规风险遇识别、评价清单》、《合规风险及机遇评估报告》等,并对合规风险进行分级管理评估(10和评估。分)企业识别的合规风险有关的证据性文件中是否包括了风险发生原因、评估风险发生的可能性、影响程度、危害程度、固有风险和剩余风险等信息。企业是否进行了合规风险等级划分(如中等级合规风险、高等级合规风险)。全国团体标准信息平台是否依据合规风险源及其等级划分制定了应对措施,包括监测、资源配置等。在内外部因素发生变化的情况下是否对合规风险进行评估和更新。11
15T/CEEAS002-2022评价要素评价指标评价内容治理机构及最高管理者是否通过参与合规管理体系的建设(包括批准纲领性文件、合治理机构规方针、合规目标、分配职责权限、评审合规管理体系、及时采取纠正措施等行为)和最高管来践行合规承诺。理层治理机构及最高管理者是否以身作则,履行合规管理职责和义务。例如制定发展方向、(5分)制定发展战略及其发展目标、向企业的所有人员和相关方传达合规管理要求等。企业治理层和高级管理者是否塑造了合规的企业精神和价值理念。是否从自身做起,践行合规文化理念,带头垂范,以身作则。是否承诺自上而下保持一致地实施合规文化。企业是否利用各种时机、场合推广合规文化,并持续的就合规问题进行沟通。企业的员工从情感和理智上认同企业合规文化,并作出认同的承诺。在关键职能人员的招聘、晋升时,是否将合规文化作为考察评估因素,例如尽职调查。合规文化是否在入职培训或新员工训练时强调合规和企业的价值观。(4分)是否在绩效考核体系中考虑对合规行为的评估,并将合规绩表现与绩效挂钩。是否对合规管理业绩和结果予以明确认可,奖励符合企业合规文化的行为,树立典型模范或榜样。是否惩戒不遵守合规文化的员工和行为,包括管理层为了实现业务目标鼓励员工实施领导作用不合规行为、阻止合规人员有效履行职责等行为,面对竞争利益时违反合规承诺的行(40分)为等。企业是否明确了独立的合规职能部门。合规职能部门是否能够直接接触到治理机构和最高管理者,例如直接向CEO和间接向审计委员会、主席或整个董事会汇报工作,定期参加治理机构和最高管理者的会议等。合规职能部门是否具有不与组织结构或其他因素冲突的独立性,在行动上能够不受垂合规治理直管理者的干涉。(5分)合规管理部门是否具有必要的权限,例如不被上级部门否决或修改报告和信息,能够根据需要指导其他员工,具有申明和提出合规疑虑的发言权。合规管理部门是否具有必要的资源,支持其不受限制的执行合规管理体系的必要工作和职责,例如不受其他工作干扰的专职人员、能够独立支配的物质和经费、必要的技术等。企业是否制定了合规方针并得到了治理机构的批准。合规方针(10分)合规方针是否体现了企业的价值观、遵守合规义务等方面的内容。全国团体标准信息平台企业合规方针是否在企业内得到了有效传达,是否便于相关方获取。是否明确规定了治理机构和最高管理者的合规管理职责和权限。12
16T/CEEAS002-2022评价要素评价指标评价内容治理机构的主要职责是否包括了制定合理的最高管理者的管理绩效,以确保可以根据合规目标的实现程度测量管理绩效;是否包括了对最高管理者运行合规管理体系的情况进行监督。最高管理层的主要职责是否包括了为建立、制定、实施、评价、维护、改进合规管理体系配置了足够的资源,建立及时有效的合规绩效报告制度,战略和运行目标与合规岗位、职义务相协同,建立和维护问责机制,确保合规绩效与人员绩效考核挂钩。责和权限企业是否明确规定了合规职能部门的职责和权限。(16分)企业合规职能部门的具体职责内容是否满足ISO37301中的5.3.2的要求。企业是否明确规定了各层管理者在其职责范围内的合规方面的职责和权限。各层管理者的合规职责和权限是否满足ISO37301中的5.3.3的要求企业明确规定了员工应履行的合规职责,内容是否满足合规要求。企业是否依据合规风险源及其等级划分制定了应对措施,包括监测、资源配置等。这风险与机些措施制定过程中是否考虑了风险发生原因、可能性、影响程度、危害程度,以及企会的应对业自身风险承受水平等因素。措施企业是否对合规风险和机遇的措施的有效性进行评价。(10分)是否将评估结果用于管理体系文件制、修订过程。企业是否基于合规方针,在相关层级和职能上制定了文件化的合规目标。企业的合规目标是否可测量,并反应使用的需求(合规义务)。企业是否对合规目标进行了传达和监视。合规目标企业是否针对每个合规目标制定了相应的合规管理方案(包括工作内容、资源配置、体系策划(12分)责任部门/人员、完成时间、评价方法等)。(25分)企业制定的合规管理方案是否得到了实施。是否对合规管理方案的实施效果及合规目标达成情况进行了评估。企业是否根据评价结果和企业实际情况对目标及其管理方案进行适当调整。当企业内外部环境因素发生了重大变化时(如产业结构、目标市场等),合规义务发生变化时(例如重要法规、政策变化),合规风险发生重要变化时,是否对合规管理体系的变体系进行了适当的变更。内审、管理评审、日常监测检查、外部审核等情况发现需要更时是否进行了变更。(3分)企业对体系的变更是否进行了策划,策划过程是否考虑了修改的目的及其可能的后果、体系运行的有效性、足够的资源的可获取性责任权利的分配或再分配等内容。体系支持全国团体标准信息平台资源是否按要求配置了适宜如人、财、物、技术等资源。例如资金配置、合规管理人员薪(75)(3分)资待遇、合规管理活动预算安排、人力资源的配置与培训、基础设施建设等。13
17T/CEEAS002-2022评价要素评价指标评价内容企业是否制定描述合规管理各级员工资质能力的文件,例如岗位说明书、岗位能力矩阵等。企业描述能力要求的有关文件是否包括了合规管理员工所需的资质、经验和技能等方能力要求面的要求。(15分)企业规定的岗位能力要求是否满足该岗位合规管理职责权限。是否就员工符合能力要求、胜任工作的情况进行评价,对于不胜任,是否有相应的措施。是否制定了雇佣有关的规范性文件。雇佣有关的规范性文件是否包括了雇佣条件、入职培训、奖惩和激励措施等方面的内容,其中雇佣条件中是否包含遵守合规管理要求的内容;入职培训中是否规定了新员工入职后了解和获取合规方针的渠道以及合规方针培训的安排;奖惩措施中是否包括了违反合规管理要求的纪律处分的内容。雇佣过程雇佣有关的规范性文件中是否规定了尽职调查的岗位、人员(如高管职位、⾼风险员(15分)工、员⼯及第三方伙伴),尽职调查启动条件(如招聘、离职、晋升、业务合作),尽职调查内容(如背景调查、信⽤调查、前⼀家服务企业评价)等方面的内容。企业在岗位和人员可能引发的合规风险下,是否进行了尽职调查。企业是否对雇佣有关的规范性文件中的激励措施进行定期评审,以确认激励是否有效防止导致不合规。如激励措施无效,是否及时进行了改进。企业是否制定合规培训计划。企业制定的培训计划的内容是否与人员的职责和人员面临的合规风险相适应,培训对培训象是否包括了代表企业开展业务并可能给企业带来合规风险的第三方。(15分)企业是否按计划实施了合规培训,并采取诸如笔试、⾯试、专项检查、实操评价等方法对培训有效性进行评价。企业是否培训计划进行评审,必要时进行了更新。企业是否有适当的形式和渠道确保员工能够接触、利用和理解企业的合规方针、合规文化,例如⾏为⼿册、员⼯⼿册、宣传展板等。合规意识企业是否采取了适当的方法来提高员工的合规意识,例如培训、与最高管理者沟通、(6分)容易获取并执行的资料、定期更新合规问题等。企业是否通过沟通对合规的承诺等形式来协助员工建立合规意识,并鼓励员工接受合规管理体系,提出改进合规绩效的建议。企业是否建立并提供多样化的传达、沟通的渠道及方法。全国团体标准信息平台沟通过程企业是否确定与合规管理体系有关的沟通对象、沟通时间、沟通内容、沟通方法等信(6分)息。例如合规义务、合规⽬标、合规⽂化、合规风险等沟通内容的规定和员⼯、政府、投资⽅、监管⽅、客户、业务伙伴等沟通对象的规定。14
18T/CEEAS002-2022评价要素评价指标评价内容企业是否提供了沟通信息通畅并能及时反馈的有关证据。企业是否保留有相关沟通证据。企业是否建立合规管理体系文件化信息管理有关的规范性文件,对文件化信息的创建和更新及其适应性评审、文件化信息管控、外来文件管理等做出规定。另外还应对文件的格式,文件编号、文件名称等做出统一规定。企业已建立的支持体系运行的文件化信息是否包含与合规管理相关的范围、义务、风险评估、方针、目标和企业确定的活动、工作流程方面必要的规范性文件,是否保留了能力有关的证据、培训记录、沟通的证据、合规调查信息、实施审核方案和审核结文件化信果的证据、管理评审的证据、不符合或不合规及其纠正的证据等必要的证据性文件,息是否反应了企业自身核心价值观、战略及合规风险等方面的内容。(15分)企业是否按规范性文件的要求实施文件化信息的创建和更新,并应定期对文件的适应性进行评审,以确保文件的可用性、实用性。企业是否按规范性文件的要求来管控文件化信息,以确保其完整性和有效性。例如获取渠道、保护要求、版本管理、内容管理、发布管理、访问管理、归档管理、格式管理、借阅管理、变更控制、废止及销毁管理以及外来文件识别、范围和内容的审查等。对涉及重要环节、高合规风险的文件,应注重保密性、真实性、完整性管理。企业是否确定了合规管理体系运行所需要实施运营控制的过程。确定的这些过程是否都存在如果缺失与业务过程有关的运营控制可能会导致偏离合规方针或违反合规义务的情况。运行的策企业是否针对这些过程都制定了相应的行为准则,并将这些行为准则纳入了企业的日划和控制常运作。(10分)企业制定的该过程的运营控制措施是否考虑了所履行的职能的重要性或复杂性、不合规的潜在后果、相关的或可用的技术支持等因素。是否规定了运行控制失效时处理一体系运行切不期望的结果或影响的措施。(75分)涉及到外包时,企业是否制定了外包过程的运营控制措施。企业是否针对识别的需要实施运营控制的过程建立了控制措施。制定的控制措施是否严格,以确保不合规得以防止、发现和纠正。控制程序制定的控制措施是否已经嵌入到了企业的正常过程之中,例如纳入计算机系统、表格、的建立报告流程、合同和其他法律文件等。这些控制措施是否与企业的其他评审和控制职能(15分)一致。全国团体标准信息平台这些控制措施在实施过程中是否得到了持续的监视和测量,是否得到了管理监督,以确保员工遵守这些控制措施。15
19T/CEEAS002-2022评价要素评价指标评价内容企业是否对这些控制措施在实施过程中的不合规情况与不合规风险进行了识别、评估和报告。企业是否对相应控制措施的有效性进行评估,如失效,是否进行相应的改进。企业是否建立了诸如受理举报的机构、举报渠道、举报信息保密、举报人保护、举报处置流程等方面的举报机制(或提出质疑、反馈问题的渠道)。举报机制企业是否有了确保举报机制畅通、有效的措施,例如具备相应的渠道和接受举报的部(25分)门或人员,相关信息可直接反馈至治理机构及最高管理者,匿名或保密举报机制等。企业的举报机制是否容易让所有人员获取、了解,并能够简单运用。企业是否建立了调查、评估潜在或实际不合规情形的规范性文件,或在相关文件中对此做了规定。企业是否有确保调查过程按要求执行的措施,例如对调查流程,调查真实性、独立性要求,调查人员资质,调查报告出具要求,结果处置等相关规定,以确保能公平、公调查过程正的做出决定。(25分)企业是否按规定要求实施调查,并形成诸如《取证清单》、《调查报告》、《处理结果》等证据性文件。调查过程是否由具有相应能力的人员独立进行。企业是否对潜在问题或已发生现象的原因进行分析,制定对应的补救和整改措施实施计划等。调查结果是否应用到合规管理体系的持续改进中。企业是否制定了合规监测方案等证据性文件,以确定需要监视和测量的对象、适用的方法、实施的时间、分析和评价的要求等方面的内容。企业制定的监测方案是否包括了以下内容:例如合规义务内容、合规风险管理、职责分配、培训、计划执行等;合规管理体系、合规绩效;目标达成、不合规事件、指标领先或滞后情况等。企业是否建立合规绩效反馈机制以及确保反馈渠道或来源有效、反馈信息真实的措监视、测施。例如发现或识别不合规行为的临时报告,通过热线、投诉和其他反馈渠道(包括绩效评价量、分析举报)获得的信息,非正式讨论、研讨会与焦点小组,抽样和诚信测试,如神秘顾客,(40分)和评价(直接观察、正式访谈、设施参观与视察,培训反馈等。(15分)企业是否按要求建立并维护相应渠道,以监测、反馈合规绩效。信息来源一般包括内部人员,如来自举报设施、求助热线、情况反馈、建议箱等,客户,如投诉处理系统等,第三方、供应商、承包商、监管机构,以及过程的控制记录和活动记录等。企业是否制定相应指标,以评估合规目标实现程度。指标可包括识别的不合规问题,全国团体标准信息平台不合规的后果,报告和采取纠正措施花费的时间反应性指标;也可以是长期目标(收入、健康和安全、声誉等)的潜在损失/收益为衡量标准的不合规风险,不合规趋势16
20T/CEEAS002-2022评价要素评价指标评价内容等预测性指标,还可包括如有效培训人员的比例,监管机构介入的频率,反馈机制的使用程度等指标。企业是否定期评审合规指标内容,以确保其适宜性和有效性。企业是否建立规范性、周期化的合规报告制度和确保报告的准确性与完整性措施,并按规定要求实施合规报告过程并形成证据性文件。是否建立特别/临时报告机制,对非常规现象进行专项报告,并采取补救、整改措施。合规报告的内容是否反映出合规义务变化情况,合规风险评估结果,合规目标实现情况,合规表现情况,举报事项总结及结果处置等,必要时需针对地方监管要求编制并上报相应信息。企业的合规报告结论或结果是否已应用于合规管理。企业是否建立内部审核机制,编制了相应的规范性文件,或在相关文件中对此做了规定。如《内部审核管理制度》、交叉检查的制度、内部检查人员培训制度(内部合规管理体系审核员培训)等。企业是否按规定的时间按照规范性文件要求实施内部审核,包括过程有策划、计划编内部审核制、现场检查、出具结果、跟踪整改等。(10分)企业内部审核是否并形成明确的审核结果,及相应问题的整改及应用于管理体系的改进。审核过程是否形成必要的证据性文件予以留存,例如《内审方案》、《内审计划》、《内审检查表》、《内审报告》、《不符合清单》、《企业合规检查文件》、《检查通知》等。企业是否建立了管理评审机制,编制了相应的规范性文件,或在相关文件中对此做了规定,例如《管理评审管理制度》、《合规管理工作年度总结制度》等文件。企业是否按照规范性文件要求,定期针对上一年度合规管理措施实施情况报告、风险评估报告、合规目标评估结果、⽬标完成情况分析、内控总结报告、年度合规计划等管理评审内容开展管理评审并有明确的评审结果。必要时,也可单独根据管理体系运行情况设(15分)置专项时间和流程进行管理评审。管理评审过程是否形成诸如《管理评审计划》、《管理评审报告》、《企业年度总结》、《企业董事会议程》、《会议记录》等证据性文件予以留存。管理评审结果是否应用于合规管理体系的持续改进。企业是否建立了合规管理工作改进机制,制定了开展持续改进的规章制度。体系改进持续改进企业是否按要求开展了持续改进并形成证据性文件。(15分)(5分)企业持续改进的内容是否考虑了监测、分析和评价以及管理评审的输出等结果。全国团体标准信息平台企业是否对持续改进的效果进行了评估。17
21T/CEEAS002-2022评价要素评价指标评价内容企业是否建立了应对潜在或已发生的不符合、不合规的规范性文件,或在相关文件中对此做了规定。企业按照规范性文件的要求,在发生不符合或不合规时,是否对不符合、不合规的原不符合和因进行了分析,制定了应对措施。企业对不符合或不合规,是否及时地实施有效整改,纠正措施并对相关规章制度进行了修正。(10分)企业是否对不符合原因进行了分析,对应对措施的有效性进行评估,制定了应对无效的补救措施。企业是否按要求对不符合原因、采取应对措施及效果评估等文件化信息进行管理。全国团体标准信息平台18
22T/CEEAS002-2022参考文献[1]GB/T1.1—2020标准化工作导则第1部分:标准化文件的结构和起草规则[2]T/CEEAS004—2021企业合规师职业技能评价标准[3]ISO19600—2014合规管理体系指南[4]ISO37001—2016反贿赂管理体系[5]ISO37002—2021举报管理体系指南全国团体标准信息平台19
