合規(guī)管理體系要求及使用指南

合規(guī)管理體系要求及使用指南1范圍2規(guī)范性引用文件3術(shù)語和定義注1:組織的概念包括但不限于個體經(jīng)營者、公司、集團(tuán)公司、商行，企事業(yè)單位、行政機(jī)構(gòu)、合伙企業(yè)、慈善機(jī)構(gòu)或研究機(jī)構(gòu)，或上述組織的部分或組合，無論是否具有法人資格，公有或私有。注2:如果組織是大型實體的某個組成部分，那么，術(shù)語“組織”僅指在合規(guī)管理體系(3.4)范圍內(nèi)的這個組成部分。3.2利益相關(guān)方stakeholder(許用術(shù)語)3.3最高管理者topmanagement注1:最高管理者有權(quán)在組織內(nèi)部授權(quán)和提供資源。注2:如果管理體系(3.4)的范圍僅覆蓋組織的某個組成部分，那么最高管理者是指揮和控制該部分的一個人或一注3:本文件中，“最高管理者”指最高級別的執(zhí)行管理層。3.4注1:一個管理體系可能針對一個或幾個主題。注2:管理體系要件包括組織的結(jié)構(gòu)、崗位和職責(zé)、策劃和運(yùn)行。2方針policy注：方針也可能由組織的治理機(jī)構(gòu)(3.21)正式表述。注1:目標(biāo)可能是戰(zhàn)略的、戰(zhàn)術(shù)的或運(yùn)行的。注2:目標(biāo)可能涉及不同的主題(如財務(wù)、健康和安全、環(huán)境)。它們可能存在于不同層面，諸如組織整體層面或項注3:日標(biāo)能夠用其他方式表述，如：預(yù)期的結(jié)果、宗旨、運(yùn)行準(zhǔn)則，合規(guī)(3.26)目標(biāo)或使用其他有類似含義的詞(如：終點或指標(biāo))。注4:在合規(guī)管理體系(3.4)中，組織(3.1)設(shè)定的合規(guī)目標(biāo)與合規(guī)方針(3.5)保持一致，以實現(xiàn)特定的結(jié)果。3.7注1:影響是對預(yù)期的偏離——正面的或負(fù)面的。注2:不確定性是一種狀態(tài)，是指對某個事件、事件的后果或可能性缺乏甚至部分缺乏相關(guān)信息、理解或知識。注3:通常，風(fēng)險以潛在事件(見ISOGuide73的定義)和后果(見ISOGuide73的定義)或二者的組合來描述其注4:通常，風(fēng)險以某個事件的后果(包括情況的變化)及其發(fā)生的可能性(見ISOGuide73的定義)的組合來表述。3.8過程process注：某個過程的結(jié)果是稱為輸出，還是稱為產(chǎn)品或服務(wù)，取決于相關(guān)語境。3.9能力competence3.10注1:文件化信息能夠以任何形式和載體存在，且來源不限。注2:文件化信息可能涉及：——管理體系(3.4),包括相關(guān)過程(3.8);——為組織運(yùn)行而創(chuàng)建的信息(文件);——實現(xiàn)的結(jié)果的證據(jù)(記錄)?？冃erformance注1:績效可能涉及定量的或定性的結(jié)果。注2:績效可能與活動、過程(3.8)、產(chǎn)品、服務(wù)、體系或組織(3.1)的管理有關(guān)。33.133.14要求/需求requirement注1:不言而喻的或有義務(wù)履行的需要或期望是指需求。其中，“不言而喻”是指組織(3.1)和相關(guān)方(3.2)的慣例或一般做法，不言而喻的需要或期望是不用說就明白的。注2:規(guī)定的需要或期望是指要求，也就是符合GB/T1.1—2020中定義的要求，即表達(dá)聲明符合該文件需要滿足的客觀可證實的準(zhǔn)則。注3:規(guī)定的需要或期望是指要求，例如文件化信息(3.10)中。3.15符合conformity3.16不符合nonconformity注：不符合不一定是不合規(guī)(3.27)。3.173.18審核audit注1:審核可能為內(nèi)部(第一方)審核或外部[第二方或第三方(3.30)]審核，也可能為多體系審核(合并兩個或多個主題)。注2:內(nèi)部審核由組織(3.1)自行實施或代表組織的外部機(jī)構(gòu)實施。注3:“審核證據(jù)”和“審核準(zhǔn)則”的定義見ISO19011。注4:獨立性能通過對正在被審核的活動免于承擔(dān)責(zé)任或無偏見和利益沖突來證實。3.193.20監(jiān)視monitoring注：確定狀態(tài)可能需要檢查、監(jiān)督或嚴(yán)格觀察。3.21治理機(jī)構(gòu)governingbody注1:并不是所有的組織，尤其是小型組織，都會有一個獨立于最高管理者的治理機(jī)構(gòu)。注2:治理機(jī)構(gòu)可能包括但不限于董事會、董事會委員會、監(jiān)事會或受托人。43.22在國家法律或?qū)嵺`中被確認(rèn)為工作關(guān)系的個人，或依賴于組織(3.1)活動的任何合同關(guān)系中的3.23注：最好指定一人負(fù)責(zé)合規(guī)管理體系的監(jiān)督。6合規(guī)compliance3.27不合規(guī)noncompliance3.28貫穿整個組織(3.1)的價值觀、道德規(guī)范、信仰和行為(3.29),并與組織結(jié)構(gòu)和控制系統(tǒng)相互作注：價值觀是組織所崇尚的文化的核心，是組織行為的基本原則。3.293.30第三方thirdparty獨立于組織(3.1)的個人或機(jī)構(gòu)。注：所有業(yè)務(wù)伙伴都是第三方，但并非所有第三方都是業(yè)務(wù)伙伴。3.314.1理解組織及其環(huán)境54.2理解相關(guān)方的需要和期望與合規(guī)管理體系有關(guān)的相關(guān)方；—哪些需求將通過合規(guī)管理體系予以解決。4.3確定合規(guī)管理體系的范圍當(dāng)組織是較大實體的一部分時。4.6合規(guī)風(fēng)險評估65領(lǐng)導(dǎo)作用確保制定并實施方年過即種程序，現(xiàn)答規(guī)目標(biāo)，5.1.2合規(guī)文化注1:直接接觸包括：向治理機(jī)構(gòu)的直接匯報線、定期提交報告以及參加其會議。注2:獨立性是指合規(guī)團(tuán)隊的運(yùn)行不受任何不當(dāng)干擾和/或壓力。b)為設(shè)定合規(guī)目標(biāo)提供框架，d)包括持續(xù)改進(jìn)合規(guī)管理體系的承諾。合規(guī)方針應(yīng)：視情況，可被相關(guān)方獲取。5.3崗位、職責(zé)和權(quán)限b)獲得合規(guī)管理體系績效的報告。治理機(jī)構(gòu)應(yīng)：確保戰(zhàn)略和運(yùn)行目標(biāo)與合規(guī)義務(wù)相協(xié)同；5.3.2合規(guī)團(tuán)隊分析和評價合規(guī)管理體系的績效，以確認(rèn)是否需要采取糾正措施；——確保按策劃的時間間隔對合規(guī)管理體系進(jìn)行評審(見9.2和9.3);85.3.3管理者現(xiàn)有的務(wù)實線和程現(xiàn)有的務(wù)實線和程——其合規(guī)目標(biāo)(見6.2),——經(jīng)識別的合規(guī)義務(wù)(見4.5),組織應(yīng)策劃以下活動：a)應(yīng)對這些風(fēng)險和機(jī)會的措施；1)將措施納入合規(guī)管理體系過程并實施，2)評價這些措施的有效性。6.2合規(guī)目標(biāo)及其實現(xiàn)的策劃組織應(yīng)在相關(guān)職能和層級上確立合規(guī)目標(biāo)。f)視情況予以更新；g)作為文件化信息可獲取。策劃如何實現(xiàn)合規(guī)目標(biāo)時，組織應(yīng)確定：何時完成，6.3針對變更的策劃當(dāng)組織確定需要變更合規(guī)管理體系時，應(yīng)對這些變更的實施進(jìn)行策劃?！兏康募捌錆撛诤蠊?；—合規(guī)管理體系設(shè)計和運(yùn)行的有效性；——足夠的資源的可獲取性；——職責(zé)和權(quán)限的分配或再分配。為建立、實施、維護(hù)和持續(xù)改進(jìn)合規(guī)管理體系，組織應(yīng)確定并提供所需的資源。7.2.2聘用過程7.2.3培訓(xùn)培訓(xùn)應(yīng)：—支持合規(guī)文化的重要性。11組織應(yīng)確定與合規(guī)管理體系有關(guān)的內(nèi)部和外部溝通，包括：b)何時溝通，組織應(yīng)：——結(jié)合溝通需求，綜合考慮溝通的多樣性和潛在障礙；確立溝通的過程，確保結(jié)合了相關(guān)方的意見；——在確立溝通過程時：●應(yīng)將其合規(guī)文化、合規(guī)目標(biāo)和義務(wù)納入溝通內(nèi)容；●應(yīng)確保所溝通的合規(guī)信息與來源于合規(guī)管理體系的信息一致且可信；——對與合規(guī)管理體系相關(guān)的溝通內(nèi)容進(jìn)行回應(yīng)；——視情況，保留文件化信息作為其溝通的證據(jù)；——在組織的各層級和職能內(nèi)部溝通與合規(guī)管理體系有關(guān)的信息，視情況包括合規(guī)管理體系的——確保人員能在溝通過程中為合規(guī)管理體系的持續(xù)改進(jìn)做出貢獻(xiàn)；——確保人員能在溝通過程中提出合規(guī)疑慮(見8.3);——通過組織確立的溝通過程，對外溝通包括其合規(guī)文化、合規(guī)目標(biāo)和義務(wù)在內(nèi)的與合規(guī)管理體系7.5文件化信息組織的合規(guī)管理體系應(yīng)包括：a)本文件要求的文件化信息；b)組織確定的，對于合規(guī)管理體系有效性所必需的文件化信息。——組織的規(guī)模及其活動、過程、產(chǎn)品和服務(wù)的類型；—人員的能力。7.5.2文件化信息的創(chuàng)建和更新在創(chuàng)建和更新文件化信息時，組織應(yīng)確保適當(dāng)?shù)模骸獦?biāo)記和說明(例如，標(biāo)題、日期、作者或文件編號),——形式(例如，語言文字、軟件版本、圖形)和載體(例如，紙質(zhì)的、電子的),—針對適宜性和充分性的評審和批準(zhǔn)。7.5.3文件化信息的控制應(yīng)控制合規(guī)管理體系和本文件要求的文件化信息，以確保其：a)在需要的場所和時間均可獲得并適于使用；注：訪問可能意味著只允許查看文件化信息的權(quán)限，或者允許并授權(quán)查看和變更文件化信息的權(quán)限。注：對組織運(yùn)行的外包不會免除組織的法律責(zé)任或合規(guī)義務(wù)。注：測試控制是指實施經(jīng)過設(shè)計的活動以檢驗控制是否按照既定目的運(yùn)行，或者不能被規(guī)避，或者切實有效地降低8.3提出疑慮9績效評價9.1.1通則9.1.3指標(biāo)的開發(fā)組織應(yīng)開發(fā)、實施和維護(hù)一套適當(dāng)?shù)闹笜?biāo)，以幫助組織評價其合規(guī)目標(biāo)的實現(xiàn)情況并評估合規(guī)b)確立定期報告的時間表；9.1.5記錄保存2)本文件的要求。b)是否得到了有效地實施和維護(hù)。9.3.2管理評審輸入b)與合規(guī)管理體系有關(guān)的外部和內(nèi)部事項的變化；c)與合規(guī)管理體系有關(guān)的相關(guān)方需要和期望的變化；b)通過以下活動評價采取措施的需要，以消除產(chǎn)生不符合和/或不合規(guī)的原因，避免其再次發(fā)生A.1背景和范圍A.1.1概述ISO37001ISO19004ISO14001、ISO/IEC27001及ISO26000。A.1.2范圍A.3術(shù)語和定義本文件采用了ISO開發(fā)的高層結(jié)構(gòu)(HLS”,以提高其管理體豕國際標(biāo)準(zhǔn)之間的一致性。HLS設(shè)定了組成ISO管理體系標(biāo)準(zhǔn)(MSS)核心的章條順序、共用禾語和定義以及相同的核心條款。這意味MSS的這種共用方法增加了此類標(biāo)準(zhǔn)對使用者的價值。它對于選擇運(yùn)行一個(有時稱為“融合”)管理體系的組織特別有用，該體系能同時滿足兩個或多個MSS的要求。沒有采用MSS或合規(guī)管理框有關(guān)MSS和核心內(nèi)容的更多信息，請訪問：/management-system-standards.html1)2021年發(fā)布的“ISO/IEC導(dǎo)則，第1部分，2021,《ISO綜合補(bǔ)充件ISO專用程序》”中已經(jīng)將“高層結(jié)構(gòu)”修改A.4組織環(huán)境A.4.1理解組織及其環(huán)境A.4.2理解相關(guān)方的需要和期望——政府和政府機(jī)構(gòu)；——員工；A.4.3確定合規(guī)管理體系的范圍A.4.4合規(guī)管理體系A(chǔ).4.5合規(guī)義務(wù)與社會團(tuán)體或非政府組織簽訂的協(xié)議；其他合規(guī)義務(wù)(帕累托原則)。A.4.6合規(guī)風(fēng)險評估——并購；—不合規(guī)(即使是單一的不合規(guī)事件也能構(gòu)成情況的實質(zhì)變化)和近乎不合規(guī)。A.5領(lǐng)導(dǎo)作用A.5.1領(lǐng)導(dǎo)作用和承諾A.5.1.1治理機(jī)構(gòu)和最高管理者——所有管理層一致向人員傳達(dá)一個清晰的信息(通過文字和措施證實):組織會履行它的合規(guī)——以清晰并令人信服的聲明向所有人員和有關(guān)的相關(guān)方廣泛溝通關(guān)于合規(guī)的承諾，并有措施——及時采取糾正措施；A.5.1.2合規(guī)文化相關(guān)方(特別是組織的人員)相信上述事項已實施；組織所有適當(dāng)層級都按照要求自主應(yīng)對不合規(guī)并采取糾正措施；b)尋求所有人員的意見，以確定他們是否感知到治理機(jī)構(gòu)、最高管理者和中層管理者對合規(guī)的A.5.1.3合規(guī)治理合規(guī)團(tuán)隊宜是獨立的，不與組織結(jié)構(gòu)或其他要件沖突。他們可以自由行動、不受垂直管理者的合規(guī)團(tuán)隊擁有權(quán)限。合規(guī)團(tuán)隊在權(quán)限上不是一個能被上級否決或被其修改報告或信息的初級部A.5.2合規(guī)方針A.5.3.1治理機(jī)構(gòu)和最高管理者A.5.3.2合規(guī)團(tuán)隊權(quán)力。地位意味著其他人員很可能傾聽和尊重他/她的意見。獨立性意味著合規(guī)團(tuán)隊盡可能A.5.3.3管理者A.5.3.4人員A.6策劃A.6.1風(fēng)險與機(jī)會的應(yīng)對措施策劃如何在不利影響發(fā)生之前應(yīng)對它們，以及如何從支持合規(guī)管理體系有效性的有利條件或環(huán)境中A.6.2合規(guī)目標(biāo)及其實現(xiàn)的策劃合規(guī)目標(biāo)舉例：至少每年向相關(guān)人員提供合規(guī)培訓(xùn)。宜確定實現(xiàn)目標(biāo)所需的行動(即“什么”)、相關(guān)的時間表(即“何時”)和責(zé)任人(即“誰”)。宜根據(jù)要A.7.1資源資源包括財務(wù)、人力和技術(shù)資源，以及獲得外部咨詢和專業(yè)技能的機(jī)會、組織基礎(chǔ)設(shè)施、職業(yè)發(fā)展情況、技術(shù)和關(guān)于合規(guī)管理與法律義務(wù)的同時期參考材料。A.7.2.1通則術(shù)語“能力”指運(yùn)用知識和技能實現(xiàn)預(yù)期結(jié)果的本領(lǐng)。能力需要知識、經(jīng)驗和技能，以便人員能以有效的方式履行其職能。組織宜為所有人員確定完成其任務(wù)所需的專業(yè)技能和知識，以便組織能向顧客提供其產(chǎn)品和服務(wù)。組織宜確立能力證據(jù)(例如：崗位描述、職位說明),以便擔(dān)任該職位時進(jìn)行考量。宜采取措施(例如：培訓(xùn))以便確保維持現(xiàn)有能力和根據(jù)需要獲得新的能力。宜有足夠的能力證明文件以及為維持或獲得這些能力所采取的措施。A.7.2.2聘用過程在聘用或提拔現(xiàn)有人員之前，組織宜進(jìn)行盡職調(diào)查，包括推薦信或者背景調(diào)查。治理機(jī)構(gòu)、管理者和負(fù)有合規(guī)義務(wù)的人員宜有能力有效履行其義務(wù)。有多種方式可獲得能力，包括通過教育、培訓(xùn)或工作經(jīng)驗獲得所需的技能和知識。培訓(xùn)計劃的目標(biāo)是確保人員有能力以符合本組織合規(guī)文化和對合規(guī)的承諾的方式履行其崗位經(jīng)過適當(dāng)設(shè)計和執(zhí)行的培訓(xùn)能為人員提供一個有效的方式以溝通之前未識別的合規(guī)風(fēng)險?！谶m當(dāng)?shù)那闆r下，基于對員工知識和能力差距的評估；有足夠的靈活性，覆蓋了一系列技術(shù)，以適應(yīng)組織和人員的不同需要；——由經(jīng)驗豐富和有資格的人員進(jìn)行設(shè)計、開發(fā)和提供；——適用時以當(dāng)?shù)卣Z言提供；——定期評估和評價其有效性。如果不合規(guī)會造成嚴(yán)重后果，那么互動式培訓(xùn)是最好的培訓(xùn)形式。組織宜對已發(fā)生不當(dāng)行為的領(lǐng)域進(jìn)行培訓(xùn)。當(dāng)出現(xiàn)下列情況時，宜考慮進(jìn)行合規(guī)再培訓(xùn)：—職位或職責(zé)的變化；——內(nèi)部方針、過程和程序的變更；——組織結(jié)構(gòu)的變化；——合規(guī)義務(wù)的變更，特別是法律要求和相關(guān)方的需求的變化；—產(chǎn)生于監(jiān)視、審核、評審、投訴和不合規(guī)的問題，包括相關(guān)方反饋?！⒁庾R并鼓勵人員接受合規(guī)管理體系；A.7.4溝通開放日、焦喜小組、社區(qū)對話參與批區(qū)活動和熱線電話。這些方法能促進(jìn)迎解和接受組織對合規(guī)的A.7.5文件化信息—合規(guī)風(fēng)險登記冊并根據(jù)合規(guī)風(fēng)險評估過程確定相關(guān)措施的優(yōu)先級文件化信息能包括與監(jiān)管報告要求有關(guān)的事項。文件化信息可包括各類媒介(數(shù)字的和非數(shù)字A.7.5.2文件化信息的創(chuàng)建和更新A.7.5.3文件化信息的控制A.8.1運(yùn)行的策劃和控制一個精心設(shè)計的合規(guī)管理體系包括各項措施(例如：方針、過程、程序),使得合規(guī)文化既有內(nèi)容又有效果。這些措施應(yīng)對并旨在減少合規(guī)風(fēng)險評估過程所識別的部分風(fēng)險。運(yùn)行控制的一個基本要件是行為準(zhǔn)則，其中規(guī)定了本組織對相關(guān)合規(guī)義務(wù)的全面承諾。行為準(zhǔn)則宜適用于所有人員并使其能夠獲得和使用。宜將基于并源自行為準(zhǔn)則的合規(guī)措施納入本組織的日常運(yùn)在缺少與業(yè)務(wù)過程有關(guān)的運(yùn)營控制可能導(dǎo)致偏離合規(guī)方針或違反合規(guī)義務(wù)的情況下，需要對運(yùn)行進(jìn)行控制。這些情況可能與所有業(yè)務(wù)情況、活動或過程(例如：生產(chǎn)、安裝、服務(wù)、維護(hù))或承包商、供應(yīng)商控制的程度取決于幾個因素，如所履行的職能的重要性或復(fù)雜性、不合規(guī)的潛在后果、相關(guān)的或可當(dāng)運(yùn)行控制失效時，則有必要采取措施來應(yīng)對一切不期望的結(jié)果或影響。如果組織活動中使用了第三方或外包過程，組織宜對其進(jìn)行有效的盡職調(diào)查，以確保組織對合規(guī)的標(biāo)準(zhǔn)和承諾不會降低。第三方的一個例子是產(chǎn)品和服務(wù)的提供以及產(chǎn)品的分銷。組織宜確保簽訂適當(dāng)?shù)姆?wù)水平協(xié)議(SLAs),以規(guī)定服務(wù)提供者的合規(guī)義務(wù)。一個設(shè)計良好的外包過程宜考慮以下幾點：——啟動和持續(xù)的盡職調(diào)查；—實施適當(dāng)?shù)目刂?；——對法?合同協(xié)議的適當(dāng)評審；——考慮服務(wù)水平協(xié)議；——使用基于本文件認(rèn)證的第三方。在與第三方訂立合同時，組織宜實施控制，以確保其活動的采購、運(yùn)行、業(yè)務(wù)和其他非財務(wù)方面得到適當(dāng)管理。根據(jù)組織和交易的規(guī)模，組織實施的采購、運(yùn)行、業(yè)務(wù)和其他非財務(wù)控制能降低合規(guī)風(fēng)險。A.8.2確立控制和程序組織需要有效的控制，以確保組織的合規(guī)義務(wù)得以履行，不合規(guī)得以防止、發(fā)現(xiàn)和糾正?？刂频脑O(shè)計宜足夠嚴(yán)格，以促進(jìn)在特定的組織活動和運(yùn)行環(huán)境中實現(xiàn)合規(guī)義務(wù)。在可能的情況下，這種控制宜嵌入到組織的正常過程之中?！逦?、實用且易于遵守的文件化運(yùn)行方針、過程、程序和工作指示；——分離不相容的崗位和職責(zé)；——年度合規(guī)計劃；——合規(guī)評估和審核；——證實的管理層承諾和模范行為，以及其他促進(jìn)合規(guī)行為的措施；A.8.3提出疑慮有效的闊查機(jī)制能確認(rèn)不為的根源、怎稅管理保系的漏響機(jī)炎征做義的原因，包捕管理者、最即使法律不要水很織報告不合規(guī)，細(xì)須也能考意主動向監(jiān)管機(jī)構(gòu)披露不合規(guī)，以堿輕不合規(guī)的A.9績效評價A.9.1.1通則——不合規(guī)和“近乎不合規(guī)”(即未造成負(fù)面影響的事件);——未履行合規(guī)義務(wù)的情況；——確立領(lǐng)先的和滯后的指標(biāo)。A.9.1.2合規(guī)績效的反饋來源——人員(例如：通過舉報工具、求助熱線、反饋、意見箱);——顧客(例如：通過投訴處理系統(tǒng));——過程控制日志和活動記錄(包括電子版和紙質(zhì)版)?！掷m(xù)的監(jiān)管和組織的變更；——對合規(guī)有效性和績效的評論?！霈F(xiàn)或識別出不合規(guī)的特別報告；——通過熱線、投訴和其他反饋渠道(包括舉報)獲得的信息；——非正式討論、研討會和分組座談會；——感知調(diào)查的結(jié)果；——相關(guān)方質(zhì)詢、培訓(xùn)需要和培訓(xùn)期間的反饋(特別是員工的反饋)。宜開發(fā)信息的分類、存儲和檢索系統(tǒng)。信息管理系統(tǒng)宜同時收集問題和投訴，并允許對與合規(guī)有關(guān)的問題和投訴進(jìn)行分類和分析。分析宜結(jié)合系統(tǒng)性和重復(fù)性的問題，以便糾正或改進(jìn)，因為這些可能會給組織帶來更難識別且重大的合規(guī)A.9.1.3指標(biāo)的制定A.9.1.4合規(guī)報告予以同等重視。即使一個小缺陷，也能表明當(dāng)前過程和合規(guī)管理體系存在嚴(yán)重不足。如果不及時報合規(guī)報告宜包括：—監(jiān)視行動計劃的完整執(zhí)行，特別是那些源自審核報告或監(jiān)管要求的行動計劃，或兩者兼而A.9.1.5記錄保存A.9.2內(nèi)部審核A.9.3管理評審合規(guī)過程的變更，以確保與運(yùn)行實踐和體系有效整合；與不合規(guī)相關(guān)的糾正措施；A.10改進(jìn)A.10.1持續(xù)改進(jìn)A.10.2不符合與糾正措施未能預(yù)防或檢測到一次性不合規(guī)，并不一定意味著合規(guī)管理體系在預(yù)防和檢測不合規(guī)時缺乏有——再培訓(xùn)員工；重新評估告知相關(guān)方的需要；教訓(xùn)更新方針和程序。附錄NA(資料性)補(bǔ)充使用指南NA.1合規(guī)義務(wù)NA.1.1概述如在我國，除法律法規(guī)外，強(qiáng)制性遵守的要求還包括強(qiáng)制性標(biāo)準(zhǔn)(見NA.1.4)、檢察決定(見NA.1.3);而有些合規(guī)義務(wù)則需要做進(jìn)一步的解釋、細(xì)化和區(qū)分，例如“法律法規(guī)”在我國司法管轄區(qū)體現(xiàn)為不同形式(見NA.1.2);“法院判決”在我國司法管轄區(qū)并不具有判例法法域的“遵循先例”的效力，而最高人民法院的指導(dǎo)性案例和司法解釋則對法律在司法運(yùn)用中提供了非常重要的規(guī)范，需要進(jìn)一步解釋、細(xì)化和區(qū)分(見NA.1.3);而組織簽署合同所產(chǎn)生的義務(wù)既可以成為契約性合規(guī)義務(wù)，也可通過合同援引外國具有域外效力的法律成為組織宜遵循的合規(guī)義務(wù)的一部分(見NA.1.5)。NA.1.2法律法規(guī)A.4.5中提及的“法律法規(guī)”在我國司法管轄區(qū)內(nèi)主要體現(xiàn)為如下形式：現(xiàn)行有效的法律、行政法規(guī)、地方性法規(guī)、自治條例和單行條例。其中，法律有廣義、狹義兩種理解。廣義上，法律泛指上述一切具有法律效力的規(guī)范性文件；狹義上，僅指全國人大及其常委會制定的規(guī)范性文件。在與法規(guī)等一起提及時，指狹義上的法律。綜上，法律法規(guī)一般是指立法部門和執(zhí)法部門(包括行政和監(jiān)管部門)制定的法律規(guī)范性文件。NA.1.3法院判決、檢察決定、指導(dǎo)性案例和司法解釋A.4.5中提及的“法院判決”在我國語境下需要做出補(bǔ)充解釋和說明。在我國，法院的判決只對其涉及的案件當(dāng)事人具有約束力，對于其他相同或類似的案件沒有約束力，僅具有參考價值。在法律法規(guī)沒有對某個案件涉及的問題做出規(guī)定的情況下，法院的判決對于相關(guān)方了解司法部門所采取的強(qiáng)制性要求具有很強(qiáng)的現(xiàn)實指導(dǎo)意義。另外，除了法院判決外，我國的檢察院會做出檢察決定。檢察決定在我國也構(gòu)成強(qiáng)制遵守的合規(guī)義務(wù)。在我國法域內(nèi)，最高人民法院、最高人民檢察院會頒布指導(dǎo)性案例、司法解釋，這些會構(gòu)成組織強(qiáng)制遵守的合規(guī)義務(wù)。最高人民法院頒布的指導(dǎo)性案例雖不具備強(qiáng)制約束力，但會成為法院對某些相同或類似案件進(jìn)行判決的依據(jù)。組織為了解相關(guān)法律法規(guī)在具體案件適用的標(biāo)準(zhǔn)和邊界，也要研究最高人民法院頒布的指導(dǎo)性案例。司法解釋是最高人民法院、最高人民檢察院為解決審判、檢察工作中的“具體應(yīng)用法律的問題”而依法制定的規(guī)范性文件，對司法主體與執(zhí)法主體具有普遍的約束力，效力所及的任何組織和個人都需要遵守。根據(jù)2019年修訂的《最高人民檢察院司法解釋工作規(guī)定》(高檢發(fā)辦字〔2019〕55號),司法解釋采用解釋、規(guī)則、規(guī)定、批復(fù)、決定等形式。根據(jù)2021年最高人民法院頒布的《關(guān)于司法解釋工作的規(guī)定》(法發(fā)〔2021〕20號),司法解釋的形式分為解釋、規(guī)定、規(guī)則、批復(fù)和決定NA.1.4強(qiáng)制性標(biāo)準(zhǔn)強(qiáng)制性標(biāo)準(zhǔn)在我國也構(gòu)成組織強(qiáng)制遵守的合規(guī)義務(wù)。強(qiáng)制性標(biāo)準(zhǔn)，一經(jīng)發(fā)布、必須執(zhí)行，如GB18384—2020、GB40554.1—2021、GB18599—2020等。NA.1.5合同安排所產(chǎn)生的義務(wù)根據(jù)A.4.5,組織自愿選擇遵守的要求包括“組織的合同安排產(chǎn)生的義務(wù)”。這是一種基于契約形與我國法律法規(guī)某些強(qiáng)制性規(guī)定相違背。一旦簽署含有這樣條款的合同我國組NA.2.1合規(guī)文化的價值缺的重要組成部分。合規(guī)文化的價值在于：提供原則性指引，應(yīng)對子境風(fēng)險：在留建合規(guī)管理保系應(yīng)對合規(guī)風(fēng)險的同時，組織宜宣貫自己—增強(qiáng)動合們：良好的谷規(guī)交化可以亞面影響人的存為，提升認(rèn)問感和并動合規(guī)意識；有助于同事間、相關(guān)方正面影響。NA.3數(shù)字化與合規(guī)管理NA.3.1概述宜從組織及其環(huán)境(見A.4.1)和組織相關(guān)方的需要和期望(見A.4.2)的角度去理解數(shù)字化與合規(guī)管理。NA.3.2理解組織及其環(huán)境的數(shù)字化變革隨著數(shù)字技術(shù)的應(yīng)用，傳統(tǒng)的業(yè)務(wù)模式和場景正經(jīng)歷數(shù)字化轉(zhuǎn)型，涉及交易的簽約、交付和支付完全或很大程度上通過數(shù)字化方式完成。消費互聯(lián)網(wǎng)和產(chǎn)業(yè)互聯(lián)網(wǎng)形成了大型的交易平臺。隨著交易方式的電子化和數(shù)字化，新的交易規(guī)范(包括法律和法規(guī)以及商業(yè)慣例)隨之形成，通過立法或其他形式被采納并運(yùn)用于經(jīng)濟(jì)活動中，例如《中華人民共和國民法典》在合同編里增加了有關(guān)電子合同的法律規(guī)定，以適應(yīng)數(shù)字經(jīng)濟(jì)的發(fā)展。數(shù)字經(jīng)濟(jì)的業(yè)務(wù)模式和規(guī)范的產(chǎn)生，勢必產(chǎn)生新的合規(guī)義