（注：本文首发于“威科先行”）

GB/T35770-2022指出，合规管理体系是一个框架，该框架是基本结构、方针、过程和程序的有机组合，目的是实现预期的合规结果，并发挥作用以预防、发现和响应不合规。合规管理体系的常见要件包括企业及其环境、领导作用、策划、支持、运行、绩效评价和改进。

（一）企业环境

1. 理解企业及其环境

企业应当对可能影响其合规管理体系的内外部重要事项确立高层次的理解，以指导合规管理体系的策划、实施、运行和改进。外部事项包括法律和监管环境、经济状况及社会、文化、环境背景等；内部事项包括企业业务模式、内部结构等。

2. 理解相关方的需要和期望

企业应理解与合规管理体系有关的内外部相关方的需要和期望，并确定哪些需要和期望将通过合规管理体系予以解决。外部相关方包括政府机构、监管机构、客户、业务伙伴、股东（投资者）等；内部相关方包括企业治理机构、管理层、员工等。

3. 确定合规管理体系的范围

企业应当确定合规管理体系的范围，即确立其合规管理体系所适用的物理边界和组织边界。

4. 识别合规义务

企业的合规义务通常来源于法律法规、监管机构发布的命令、条例或指南等。建议企业按部门、职能和不同类型的组织性活动来识别合规义务，首先识别出与业务相关的最重要的合规义务，然后关注所有其他合规义务(帕累托原则)，建立合规义务清单并定期更新。

5. 评估合规风险

合规风险识别包括合规风险源的识别和合规风险情况的界定。企业宜根据部门职责、岗位职责和不同类型的活动，识别各部门，职能和不同类型活动中的合规风险源。组织宜定期识别合规风险源，并界定每个合规风险源对应的合规风险情况，开发合规风险源清单和合规风险情况清单。

（二）领导作用

1. 领导作用和承诺

有效的合规要求治理机构和最高管理者对实现合规管理体系目标的领导作用和积极承诺，治理机构和最高管理者应确立合规方针，在其内部各个层级建立、维护并推进合规文化。

2. 岗位、职责和权限

（1）治理机构和最高管理者

治理机构应：确保根据合规目标的实现情况对最高管理者进行衡量；对最高管理者运行合规管理体系的情况进行监督。最高管理者应：为建立、制定、实施、评价、维护和改进合规管理体系配置足够且适当的资源；确保建立及时有效的合规绩效报告制度；确保战略和运行目标与合规义务相协同；确立和维护问责机制，包括纪律处分和结果；确保合规绩效与人员绩效考核挂钩。

（2）合规团队

合规团队应负责合规管理体系的运行，包括：推进识别合规义务；编制合规风险评估文件；使合规管理体系与合规目标保持一致；监视和测量合规绩效；分析和评价合规管理体系的绩效，以确认是否需要采取纠正措施；确立合规报告和文件化制度；确保按策划的时间间隔对合规管理体系进行评审；确立提出疑虑和确保疑虑得到解决的制度。

合规团队应监督：履行已识别的合规义务的职责在整个企业内得到适当分配；合规义务与方针、过程和程序的整合；所有相关人员按要求接受培训；确立合规绩效指标。

合规团队应：使人员可获得与合规方针、过程和程序有关的资源；就合规相关事项向企业提供建议。

合规团队应能直接接触治理机构，具有适当的权限和能力，且具有独立性。企业应确保合规团队能接触：高级决策者，并有机会在决策早期提出建议；企业的所有层级；所有人员、文件化信息和所需的数据；专家关于相关法律、法规、准则和企业标准提出的建议。

（3）管理者

管理者应通过以下方式对其职责范围内的合规工作负责：配合和支持合规团队，并鼓励人员也这么做；确保在其控制下的所有人员都遵符企业的合规义务、方针、过程和程序；识别其运行中的合规风险并进行沟通，在其职责范围内将合规义务融入现有的业务实践和程序；参加并协助合规培训活动：培养人员的合规意识，指导他们满足培现和能力要求；鼓励并支持人员提出合规疑虑，并防止任何形式的报复：根据要求积极参与合规相关事件和事项的管理、解决；确保一经确认需要采取纠正措施时，适当的纠正措施能得到推荐和实施。

（4）人员

所有人员应：遵守企业的合规义务、方针、过程和程序；报告合规疑虑、问题和漏洞；根据要求参加培训。

（三）策划

一个精心设计的合规管理体系包括各项措施（例如：方针、过程、程序），这些措施应对并旨在减少合规风险评估过程所识别的部分风险。在策划合规管理体系时，企业应根据企业及其环境、相关方的需要和期望，结合其合规目标、经识别的合规义务、合规风险评估结果，策划应对这些风险的措施，以及如何将措施纳入合规管理体系过程并实施、如何评价这些措施的有效性。

企业应在相关职能和层级上确立合规目标，目标建议以一种可测量其结果的方式来明确，例如至少每年向相关人员提供合规培训。策划如何实现合规目标时，企业应确定要做什么、需要什么资源、由谁负责、何时完成、如何评价结果。

（四）支持

为建立、实施、维护和持续改进合规管理体系，企业应确定并提供所需的财务、人力和技术等资源。同时，企业应结合岗位和人员可能引发的合规风险，在任何聘用、调动和晋升之前按要求进行尽职调查；并应通过合规沟通、定期合规培训等，使员工理解合规方针、工作岗位的合规义务与合规方针的关系、以及其合规贡献、不合规的后果、提出合规疑虑的方法和程序等，使员工有能力以符合本企业合规文化和合规承诺的方式履行其岗位职责。

企业应将合规方针和程序、合规管理体系基本内容、合规岗位和职责、合规义务册、合规风险册、合规调查记录、年度合规计划等等信息文件化，并定期更新。

（五）运行

企业应将基于并源自行为准则的合规措施纳入日常运行，并且将合规审查嵌入业务流程（尤其是合同订立过程），实现对业务运行的控制。若企业活动中使用了第三方或外包机构，建议对其进行有效的尽职调查，以确保企业对合规的标准和承诺不会降低。企业应通过明确岗位职责和员工行为准则、合规评估和审核等控制措施，确保组织的合规义务得以履行，不合规得以防止、发现和纠正。

企业应建立违规报告制度，并且根据实际情况考虑通过接受匿名报告、保护报告者等方式鼓励和促进报告违反合规方针或合规义务的行为。企业应及时调查有关不合规情形的报告，得出结论并进行处理。

（六）绩效评价

企业应开发、实施和维护适当的指标，以帮助评价其合规目标的实现情况并评估合规绩效，一些可参考的指标包括：经过有效培训的员工比例；监管机构介入的频率；反馈机制的使用。反应性指标包括：按类型、区域和频率报告的已识别的问题和不合规；不合规的后果，包括对经济补偿、罚款和其他处罚、补救成本、声誉或员工时间成本影响的估价；报告和采取纠正措施所花费的时间。预测性指标包括：以随着时间推移目标的潜在损失/收益（收入、健康和安全、声誉等）测量的不合规的风险；不合规趋势（基于过去趋势的预期合规率）。

企业应建立合规报告制度，合规报告宜包括企业按要求向任何监管机构通报的任何事项、合规义务变更及其对企业的影响、对合规绩效的测量（包括不合规和持续改进）、可能的不合规的数量和详细内容，以及随后对它们的分析、采取的纠正措施，等等。

企业应实施内部审核，根据相关过程的重要性和以往审核的结果，确立内部审核方案。治理机构和最高管理者应对企业的合规管理体系进行评审，以确保合规管理体系持续的适宜性,充分性和有效性。管理评审应包括：以往管理评审所采取楷施的状况；与合规管理体系有关的外部和内部事项的变化；与合规管理体系有关的相关方需要和期望的变化；关于合规绩效的信息；持续改进的机会。

（七）改进

建议企业通过多种方法对合规管理体系的适宜性、充分性和有效性进行定期评估和持续改进，员工提出的疑虑、定期的内部审核或管理评审，都是持续改进的信息来源。

发生不符合或不合规时，企业应：对不符合或不合规做出反应，并且采取控制和纠正措施、进行处置；消除产生不符合和/或不合规的原因，避免其再次发生或在其他地方发生；实施任何所需的措施；评审所采取的任何纠正措施的有效性；如必要，甚至应当考虑变更合规管理体系。

二、结语

GB/T35770-2022采用Plan（计划）-Do（实施）-Check（检查）-Act（改进）（“PDCA”）理念，完整覆盖了合规管理体系建立、实施、维护和改进的全流程，为企业建立并运行合规管理体系提供了明确的标准和指导，对我国企业的合规管理建设具有重要指导意义。企业在探索建立、完善合规管理体系的过程中应当遵循GB/T35770-2022所提出的要求，并根据企业自身情况采纳相应建议。

此外，值得关注的是，在合规管理成为企业经营关键议题的当下及未来，更多合规管理相关的国家标准将陆续出台，目前20205079-T-424《合规管理体系有效性评价》正在起草，20220569-Z-469《合格评定 管理体系审核认证机构要求 第13部分：合规管理体系审核与认证能力要求》正在公开征求意见，对此我们会持续关注、跟进。