T/CEEAS 005-2022 企业合规管理体系有效性评价指引

ICS03.100.01
CCS A 00
团体标准
T/CEEAS 005—2022
企业合规管理体系有效性评价指引
Guidelinesforeffectivenessevaluationofenterprisecompliancemanagementsystem
2022-10-12发布2022-10-12实施
中国企业评价协会发布

目 次
前言………………………………………………………………………………………………………… Ⅲ
引言………………………………………………………………………………………………………… Ⅳ
1 范围……………………………………………………………………………………………………… 1
2 规范性引用文件………………………………………………………………………………………… 1
3 术语和定义……………………………………………………………………………………………… 1
4 评价原则………………………………………………………………………………………………… 3
4.1 符合性与有效性相结合原则……………………………………………………………………… 3
4.2 全面性原则………………………………………………………………………………………… 3
4.3 企业自评与专业评价相结合原则………………………………………………………………… 3
4.4 独立客观原则……………………………………………………………………………………… 4
5 评价内容………………………………………………………………………………………………… 4
5.1 评价维度…………………………………………………………………………………………… 4
5.2 评价指标…………………………………………………………………………………………… 4
5.3 评价证据…………………………………………………………………………………………… 4
6 评价实施………………………………………………………………………………………………… 4
6.1 基本条件…………………………………………………………………………………………… 4
6.2 评价结果…………………………………………………………………………………………… 7
6.3 评价流程…………………………………………………………………………………………… 8
附录A (规范性) 企业合规管理体系有效性评价细则………………………………………………… 9
参考文献…………………………………………………………………………………………………… 15
Ⅰ
T/CEEAS 005—2022
前 言
本文件参照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本 文件代替T/CEEAS002—2022《企业合规管理体系有效性评价》,与T/CEEAS002—2022相
比,除结构调整和编辑性变动外,主要技术变化如下。
a) 增加了评价维度。在评价维度上,将原来的七个维度进行修订更新,提出合规环境评估、领导
作用和资源投入、合规制度与运行机制、合规文化以及绩效评估改进五个新的评价维度,考虑
到党建在国有企业或部分非公有制企业合规管理中发挥的重要作用,将其作为附加评价指标。
b) 补充了评价指标。结合国务院国资委发布的《中央企业合规管理办法》,对评价指标进行了
补充。
c) 更新了指标内容。借鉴《涉案企业合规建设、评估和审查办法(试行)》、《企业合规计划评价指
南》(美国司法部2020版),对评价指标和内容进行了更新。
d) 调整了评价权重。对评价指标的权重进行了重新分配,优化了得分计算方法。
e) 优化了等级划分。对于评级结果的等级划分进行了优化。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国企业评价协会提出并归口。
本文件起草单位:中国企业评价协会。
本文件主要起草人:侯云春、李春伟、姜兴宏、王其增、刘岫、刘李佳、边海光、于越、魏文江、黎文、
李铁男、李奋飞、任莹瑛、田昕清、魏洁、赵浩君、战飞扬、董华亮、李华端、李华光、李斌、周治成、金鑫、
张吕、王春军、陶朗逍、汪承昊、周小钰、李凝。
本文件及其所代替文件的历次版本发布情况为:
———2022年首次发布为T/CEEAS002—2022。
———本次为第一次修订。
Ⅲ
T/CEEAS 005—2022
引 言
合规是企业可持续发展的重要基础。合规管理是企业通过建立合规管理机制,制定和执行合规政
策,开展合规审核、合规检查、合规风险监测、合规考核以及合规培训等有组织、有计划的管理活动,实施
预防、识别、评估、报告和应对合规风险的行为。企业不仅在本土经营时要强化合规管理,在开展国际化
经营的过程中,更要以合规经营作为畅行天下的“通行证”。当前,在企业国际化和跨国经营中面临着诸
多的法律合规风险,如国家安全审查风险、反垄断处罚风险、知识产权侵权风险、税务管理风险、商业贿
赂风险以及在环境保护、劳动用工、数据保护等方面的风险。在国际化经营的背景下,企业合规经营和
合规管理的紧迫性更加突出。
为科学评价企业合规管理体系有效性,引导企业更好地开展合规管理工作,中国企业评价协会提出
并组织相关社会团体及专家学者共同参与,编制了本文件。本文件作为企业合规管理和第三方机构评
价的指引,提出了企业合规管理体系有效性评价的指标体系,从合规环境评估、领导作用和资源投入、合
规制度与运行机制、合规文化、绩效评估改进5个维度以及党建在企业合规管理中的作用,设计了评价
指标;明确了企业合规管理体系有效性评价工作的规则、流程以及报告评级等实施程序。针对不同行业
以及专项的合规评价,中国企业评价协会后续将制定发布相应的文件。
实践中,企业合规管理体系有效性评价可由企业自行组织开展,也可委托行业协会等机构开展。本
文件与企业必须遵守的法律法规、强制性标准等和自愿遵守的合规义务有关文件,共同构成第三方机构
和企业开展合规管理评价的依据。
Ⅳ
T/CEEAS 005—2022
企业合规管理体系有效性评价指引
1 范围
本文件规定了企业合规管理体系有效性评价的评价原则、评价内容、评价实施。
本文件适用于企业合规管理体系有效性的第三方评价,企业也可依据本文件进行自我评价。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
ISO37301 合规管理体系 要求及使用指南(Compliancemanagementsystems—Requirements
withguidanceforuse)
3 术语和定义
ISO37301界定的以及下列术语和定义适用于本文件。
3.1
合规 compliance
履行组织的全部合规义务。
3.2
不合规 noncompliance
未履行合规义务。
3.3
合规管理 compliancemanagement
以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合
规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。
3.4
合规团队 complianceteam
负责合规管理的一个人(或多个人)。
3.5
合规管理委员会 compliancemanagementcommittee
为推进企业合规体系建设和合规经营而设立的专门组织。
3.6
首席合规官 chiefcomplianceofficer
企业核心管理层成员,全面领导合规管理体系建设与运行。
3.7
合规内审员 complianceofficer
企业内部从事合规管理的人员,包括专职和兼职。
1
T/CEEAS 005—2022
3.8
合规风险 compliancerisk
因不符合组织的合规义务而发生不合规的可能性和后果。
3.9
合规要求 compliancerequirement
组织有义务遵守的明示的、通常隐含的或有义务履行的需求或期望。
3.10
合规承诺 compliancecommitment
组织选择遵守的合规要求(3.9)。
3.11
合规义务 complianceobligation
合规要求(3.9)或合规承诺(3.10)。
3.12
合规文化 complianceculture
贯穿整个组织的价值观、道德观、信仰和行为,并与组织的结构和控制系统相互作用,产生有利于合
规的行为规范。
3.13
评价 evaluation
对事物在性质、数量、优劣、方向等方面做出的判断。
3.14
评价指标 evaluationindex
具体、可观察、可测量的评价准则。
注:本文件中的指标均为符合性的,按事实和证据(文件、记录)的符合性,以及量化数据的符合性来进行评价。
3.15
管理机制 managementmechanism
管理系统的结构及其运行机理。
3.16
规范性文件 normativedocument
组织所建立的或应遵守的,用于指导企业生产经营活动的方法、规范或要求的文件,一般可包括管
理手册、管理制度、管理办法、操作规程、工作流程等。
注1:规范性文件可以是组织自己建立的内部文件,也可以是组织应遵守的外部文件,例如国家及有关部门颁发的
法律法规、命令、通知,或者上级单位颁发的管理制度、通知等。
注2:按照文件内容,一般分为3个层级,即纲领性文件(例如手册、管理制度等)、流程性文件(例如程序、管理规定、
管理办法等)和作业指导性文件(例如操作规程、工作流程、作业指导书等)。
3.17
证据性文件 evidencedocument
组织自己产生的,与组织生产经营活动过程相关的各种证明性文件,例如各种记录、报表、审批单、
会议记录、生产日志等。
注1:证据性文件是组织自己产生的内部文件。
注2:证据性文件能反应组织生产经营活动的真实情况。
3.18
合规管理体系 compliancemanagementsystem
组织为了实现合规管理目标而建立的,包括合规组织机构和职责、合规制度体系、合规运行机制、合
2
T/CEEAS 005—2022
规评价与追责、文化建设、信息化建设等要素和内容组成的管理体系。
注:合规管理体系的要件包括合规方面的组织的结构、岗位和职责(与领导作用相关)、运作(与组织环境、策划、支
持、运行、绩效评价、改进相关)。
3.19
合规管理体系有效性 effectivenessofcompliancemanagementsystem
组织所建立的合规管理体系运行过程和结果实现预期目标的程度,包括合规管理体系文件有关的
规范性文件与ISO37301要求的符合性、实施过程与规范性文件的符合性、实施结果实现企业合规目标
的程度和持续改进的成果。
4 评价原则
4.1 符合性与有效性相结合原则
评价内容和评价指标体系既要考虑合规管理过程中各项制度、文件、措施等的符合性,又要考虑合
规管理实施所产生的结果,例如合规管理目标的实现情况等。一般分别通过下面几个方面来评价合规
管理的符合性和有效性:
———合规管理体系的规范性文件是否符合ISO37301要求;
———合规管理工作实施过程的证据性文件是否符合企业规范性文件的要求;
———其证据性文件的各项内容是否能够真实反应其合规管理工作的有效性;
———合规管理工作是否得到持续改进。
4.2 全面性原则
合规管理体系有效性工作评价的范围覆盖企业合规管理体系明确规定的经营管理活动的全员、全
域和全过程的所有内容:
a) 全员包括治理层、经营管理层、实施层的所有员工;
b) 全域包括组织的合规管理制度规定的范围内的所有专业领域(例如合规、法务、财务、内控、风
控等)和管理领域(例如质量、环境、能源、健康安全、社会责任等);
c) 全过程包括产品实现/服务提供全部过程,例如生产过程、人力资源管理过程、采购过程、销售
过程、售后服务等企业生产经营活动中的全部业务流程和支持性过程。
4.3 企业自评与专业评价相结合原则
企业在全面梳理企业合规管理体系的规范性文件和证据性文件基础上,通过日常监测/自我检查、
内部审核/交叉检查、管理评审/年度工作总结等方式,开展自我评价。
评价机构在企业完成自我评价的基础上,对企业所提供的规范性文件和证据性文件进行系统全面
的专业评价,并经过现场审核(必要时)验证后进行综合打分,得出最终评价结果。
4.4 独立客观原则
评价机构和人员与被评价企业保持相对独立,与评价企业没有直接的利益关联,评价过程不受其他
组织干扰。
评价人员基于企业的证据性文件提供的客观证据进行评价,不舍弃任何已经提供的证据,不在已经
提供的证据的基础上进行任何延展性联想或推断。
企业自评时,合规管理牵头部门独立履行职责,不受其他部门和人员的干涉。严格依照法律法规等
规定对企业和员工行为进行客观评价和处理。
3
T/CEEAS 005—2022
5 评价内容
5.1 评价维度
合规管理评价标准以ISO37301为依据,以“全员、全域、全过程”全面合规为出发点,从合规环境评
估、领导作用和资源投入、合规制度与运行机制、合规文化、绩效评估改进5个维度以及党建在企业合规
管理中的作用,对企业的合规管理工作进行评价。
5.2 评价指标
企业合规管理体系有效性评价的主要内容包括:
———合规环境评估重点关注内外部因素、利益相关方的需要和期望、合规管理体系的范围、合规义
务4个指标。
———领导作用和资源投入的评价重点关注最高管理层参与度、管理机构的职能和资源、管理者职责
与绩效、合规管理信息化建设4个指标。
———合规制度与运行机制的评价主要关注合规制度体系和合规管理机制运行2个指标。
———合规文化的评价重点关注合规理念、合规文化推广、员工职责与绩效3个指标。
———绩效评估改进的评价包括监视、测量、分析和评价,内部审核,管理评审,体系持续改进,不符合
和纠正措施5个指标。
———党建在企业合规管理中所发挥的作用。
5.3 评价证据
企业所提交的与合规管理体系有关的规范性文件以及证据性文件,将作为企业合规管理体系有效
性评价的主要证据。
6 评价实施
6.1 基本条件
6.1.1 评价人员
评价人员应具备如下条件:
a) 熟悉ISO37301,具有从事合规管理评价的基本技能,熟练使用合规管理评价工具;
b) 具备被评价企业所属行业的专业知识和经验;
c) 具有足够的评价工作经验,从事相关工作3年及以上;
d) 经过专业培训和考核,并经评价机构评聘;
e) 与评价企业不存在直接或间接的利益关联。
6.1.2 评价机构
开展合规管理体系有效性评价的机构应具备相关的资源和能力,包括但不限于拥有开展合规管理
体系有效性评价所需的评价工具和适宜数量的评价人员。
评价机构应按照本文件的要求制定具体的评价实施规则,评价实施规则包括但不限于评价方案策
划、评价组的建立、评价实施流程、评价内容分值、评价报告质量控制等方面的内容。评价机构对于被评
价企业的相关材料和数据要做好保密工作,履行保密承诺。
4
T/CEEAS 005—2022
6.1.3 评价方式
合规管理体系有效性评价可采用企业自我评价与专家评价相结合的方式开展评价。
企业应在全面梳理企业合规管理体系的规范性文件和证据性文件基础上,通过日常监测/自我检
查、内部审核/交叉检查、管理评审/年度工作总结等方式,开展自我评价。
评价机构在企业完成自我评价的基础上,对企业所提供的规范性文件和证据性文件进行全面系统
的专业评价。
必要时,评价机构应对企业提供的资料进行现场核证,核实企业提供的资料的真实性。在现场核证
过程,可根据评价内容和指标的具体情况,采用文件审阅、问卷调查、访谈调研、现场走访等评价方法。
6.1.4 数据获取
评价机构在评价过程应获取与合规管理过程和结果有关的数据作为评价的依据,这些数据包括但
不限于:
———企业提供合规管理工作相关的数据;
———评价机构通过资料收集、现场观察等方式从企业获取的相关数据;
———评价机构从国际、国家和地方政府部门和社会媒体获取的相关数据。
6.1.5 评价指标体系
企业合规管理体系有效性评价指标体系见表1。评价指标体系的分值设定说明如下:
a) 本文件的评价指标体系包括评价维度、评价指标和评价条款;
b) 评价维度的分值为该维度下各项评价指标的分值之和,各项指标的分值总和为1000分,附加
项50分;
c) 本文件在附录A 的表A.1中给出了评价指标的评价条款,评价指标的分值与该项指标的评价
条款的多少相匹配;
d) 由于部分非公有制企业未设立党组织,故将党建在合规管理中发挥的作用作为附加项,计50
分,见表A.2。
表1 企业合规管理体系有效性评价指标体系
评价维度评价指标分值
合规环境评估
(150分)
内外部因素40
利益相关方的需要和期望40
合规管理体系的范围20
合规义务50
领导作用和资源投入
(230分)
最高管理层★ 60
合规管理机构的职能与资源80
管理者职责与绩效40
合规管理信息化建设★ 50
合规制度与运行机制
(260分)
合规管理制度体系★ 90
合规管理机制运行★ 170
5
T/CEEAS 005—2022
表1 企业合规管理体系有效性评价指标体系(续)
评价维度评价指标分值
合规文化
(130分)
合规理念30
推广合规文化★ 60
员工职责与绩效40
绩效评估改进
(230分)
监视、测量、分析和评价★
内部审核
管理评审
体系持续改进★
不符合和纠正措施
80
30
30
50
40
附加项党建在企业合规管理中的作用50
注1:共计6个评价维度、19个评价指标,带“★”的为重要评价指标。
注2:企业自评时可根据自身需求对指标进行适当调整。
6.1.6 评分规则
附录A 给出每项评价指标中各项评价条款的细则和分值。
表2给出了企业合规管理体系有效性评价的评分规则。每项评价条款的得分=评分比例×条款
分值。
表2 指标评分要求表
评分比例要点
0~<20%
■ 在该评分项要求中水平很差,或没有描述结果,或结果很差
■ 在该评分项要求中没有或极少显示趋势的数据,或显示了总体不良的趋势
■ 在该评分项要求中没有或极少的相关数据信息,或对比性信息
20%~<40%
■ 在该评分项要求中结果很少,或在少数方面有一些改进和(或)处于初期绩效水平
■ 在该评分项要求中有少量显示趋势的数据,或处于较低水平
■ 在该评分项要求中有少量相关数据信息,或对比性信息
40%~<60%
■ 在该评分项要求的多数方面有改进和(或)良好水平
■ 在该评分项要求的多数方面处于取得良好趋势的初期阶段,或处于一般水平
■ 在该评分项要求中能够获得相关数据,或对比性信息
60%~<80%
■ 在该评分项要求的大多数方面有改进趋势和(或)良好水平
■ 与该评分项要求中一些趋势和(或)当前显示了良好到优秀的水平
■ 在该评分项要求中处于获得大量相关数据,或对比性信息
80%~100%
■ 在该评分项要求重要的大多数方面,当前结果/水平/绩效达到优良水平
■ 与该评分项要求中大多数的趋势显示了领先和优秀的水平
■ 在该评分项要求中能够获得充分相关数据,或对比性信息
6
T/CEEAS 005—2022
6.2 评价结果
6.2.1 评价结果计算
评价机构应按照表A.1,根据各评价指标对应的评价条款给出分值。合规管理体系有效性评价满
分为1000分,附加项为50分,评价得分采用求和法计算得出,即各项评价指标的得分之和。计算公式
见公式(1):
X =Σm
i=1 (Σn
j=1
Aij)+βΣl
k=1
Bk ……………………(1)
式中:
X ———企业的合规管理体系有效性得分;
i ———评价指标的序号;
m ———评价指标的数量;
j ———某评价指标下设定的评价条款的序号;
n ———某评价指标下设定的评价条款的数量;
Aij ———评价条款的得分;
β ———附加指标的系数,对于有党组织的企业,赋予1的系数,对于未设立党组织的企业赋予0
的系数;
k ———附加项条款的序号;
l ———附加项条款的数量;
Bk ———附加条款的得分。
6.2.2 评价结论
根据计算得到的企业合规管理体系有效性得分,判定企业合规管理体系有效性评价的等级。评价
等级共分为5级,分别为AAAAA、AAAA、AAA、AA 和A,对应的得分分值范围见表3。其中,被判定
为A 级的企业,需根据评价报告进行整改后,重新进行评价。企业如存在以下情况之一,应判定为未达
到评级要求:
a) 企业的合规管理体系有效得分在600及以下;
b) 标明★的重要评价指标得分没有达到该项指标的60%;
c) 存在因合规管理体系不完善或实施过程不符合造成的重大不合规行为。
表3 评价结果的等级评价标准
等级等级评价标准含义
AAAAA 901及以上达到合规管理行业标杆水平
AAAA 801~900 达到合规管理行业优秀水平
AAA 701~800 达到合规管理行业良好水平
AA 601~700 达到合规管理行业合格水平
A 600及以下未达到评级要求
6.2.3 评价报告
评价报告宜对评价机构的基本情况、被评价企业的基本信息、评价依据、评价过程、评价结论及改进
7
T/CEEAS 005—2022
的建议等方面的内容进行描述,并从合规环境、领导作用和资源投入、合规制度与运行机制、合规文化以
及绩效评估改进5个方面,对企业当前合规管理体系有效性进行分析。
第三方评价机构提供的评价报告宜给出下列内容:
a) 评价机构的基本情况;
b) 被评价企业的基本信息;
c) 评价依据;
d) 评价过程;
e) 评价基准日和评价报告日;
f) 评价数据及其来源;
g) 合规管理体系有效性得分;
h) 评价结论及改进的建议。
6.2.4 评级证书
评价机构对评级结论为AA(含)以上4个级别的企业,可依据评价报告颁发评级证书。
评级证书应包括参评企业名称、边界和范围、评价依据、评价结论(等级)等信息,并明示合规管理体
系有效性评价等级设置。
证书有效期不超过3年。
6.3 评价流程
企业合规管理有效性评价流程如下。
a) 企业向第三方评价机构提交评价申请书。被评价企业需具备以下条件:
1) 企业在生产经营活动中恪守道德规范,遵守法律法规,无违法乱纪现象;
2) 企业没有出现过严重的产品质量事件和安全事故;
3) 诚信经营、公平交易,在商业活动中无欺诈行为、无违规行为。
b) 初审和受理。对于提交申请书的企业,第三方评价机构根据企业提交的申请材料、第三方数据
和合规管理档案,确定是否受理。受理后签订工作合同,确定合作关系。
c) 提供材料。企业按要求提交详细的评审材料。
d) 尽职调查。对于受理的企业,第三方评价机构应组织不少于2位评审员深入企业实地考察走
访核实,收集音频、视频、图片及文字材料。
e) 评审委员会评审。包括2位实地查访的评审员在内,每个企业由不少于5位评审委员参与评
审。在详细审核企业的所有评审文件后,投票给予评级级别,出具综合评级意见,并签名背书。
f) 终审。对照本文件,考察评审过程是否契合、规范、科学。
g) 公示。在不低于3家指定媒体对企业初步的评级结果进行公示,接受社会监督。
h) 出具评价报告和颁发评级证书。公示结束,第三方评价机构向评级通过的企业出具评价报
告,并颁发评级证书。评级时效不超过3年,评级满1年后企业可申请延续评级或上调评级。
i) 公告。第三方评价机构向企业提供评级公告,企业可进行宣传,提升品牌价值。
j) 服务和动态跟踪。对于评级通过的企业,第三方评价机构应做好客户服务,同时进行动态跟踪
和合规缺失监督。
企业自评时可根据评价实际需求对评价流程进行修改简化。
8
T/CEEAS 005—2022
附 录 A
(规范性)
企业合规管理体系有效性评价细则
A.1 表A.1给出了企业合规管理体系有效性评价细则的内容。
表A.1 企业合规管理体系有效性评价细则
评价维度评价指标评价条款分值得分
合规环境
评估
内外部
因素
利益相关
方的需要
和期望
合规管理
体系的
范围
合规义务
规范性文件:是否制定了识别内外部因素的规范性文件,或在相关文件
中对此做了规定。例如:管理手册、程序文件、行为准则、合规管理办法
等企业的相关规章制度文件
10
环境分析文件:是否按照规范性文件的要求识别了内外部因素并形成了
如企业内外部环境分析报告等证据性文件。外部环境因素宜包括产业
政策、国内外市场需求和发展趋势、主要竞争对手、区域产业布局、供应
链等。内部因素宜包括企业自身资源、技术、人员、历史、合规文化以及
所提供的产品/服务等
10
结果应用:内外部因素的分析结果是否作为合规义务识别、风险分析的
输入,是否作为建立合规方针、制定合规目标的依据10
定期评估:是否定期对内外部因素进行了评估、更新10
规范性文件:企业是否制定了识别利益相关方的规范性文件,或在相关
文件中对此做了规定。例如:管理手册、程序文件、合规管理办法等10
利益相关方期望:企业是否按照纲领性文件的要求识别了与合规管理有
关的相关方的需要和期望,并形成证据性文件。利益相关方包括与企业
生存发展存在关联或关系的客户、承包商、供应商、投资者、应急服务机
构、非政府组织、个人等。证据文件呈现形式可为分析报告、相关方需求
和期望分析表等
10
前置依据:识别的相关方合规性要求是否作为后续的合规义务识别的
依据10
定期评估:是否按制度要求定期对相关方的合规性要求进行了评估、更新10
覆盖范围:企业是否有明确的确定覆盖范围的依据,是否考虑了内外部
影响因素、相关方要求、合规义务以及合规风险评估情况等10
地域边界、组织边界与业务边界:企业是否在规范性文件中明确了合规
管理体系的覆盖范围,所确定的范围是否明确阐明了合规管理体系涉及
的地域边界(如跨省、跨国)、组织边界(如分公司、总部)和业务边界(产
品、过程、服务)
10
规范性文件:企业是否制定了识别合规义务的规范性文件,或在相关文
件中对此做了规定,如合规义务识别办法10
组织管理:企业是否按文件要求,按照治理层、经营管理层、实施层不同
的层级,从合规管理、法务、风控、监察、审计、财务、业务、人力等不同的
专业领域的职能以及组织性质等方面识别其合规义务
10
9
T/CEEAS 005—2022
表A.1 企业合规管理体系有效性评价细则(续)
评价维度评价指标评价条款分值得分
合规环境
评估
合规义务
义务清单:企业是否依据规定编制合规义务清单,合规义务清单是否涵
盖了企业需遵守的强制性要求(例如法律法规;许可、执照或其他形式的
授权;监管机构发布的命令、条例或指南;法院的判决或行政决定;条约、
公约和协议;签署合同所产生的义务;上级单位的要求等)和自愿性要求
(例如与社会团体、非政府组织、公共权利机构和客户签订的协议;企业
的要求;自愿的原则或规程;自愿性标志或环境承诺;相关团体或产业的
标准等),以及与企业密切关联的市场交易、财务税收、劳务用工、投融
资、招投标、产品质量、安全环保、节能减排、知识产权、商业伙伴等方面
的活动
10
管理体系:企业是否已经将识别出的合规义务融入到合规管理体系文
件,以履行合规义务10
定期更新:企业是否按照规定程序定期更新合规义务10
领导作用
和资源
投入
最高
管理层
参与度
管理
机构的职
能与资源
企业是否将合规管理体系建设和合规要求有效嵌入公司章程、法人治理
和业务流程之中,确保合规管理有效落实、有效执行20
领导参与程度:最高管理者是否通过参与合规管理体系的建设(包括批
准纲领性文件、合规方针、合规目标、分配职责权限、评审合规管理体系、
及时采取纠正措施等行为)来践行合规承诺
20
以身作则:治理机构及最高管理者是否以身作则,履行合规管理职责和
义务。例如:企业主要负责人是否作为推进法治建设第一责任人,是否
制定发展方向、制定发展战略及其发展目标、向企业的所有人员和相关
方传达合规管理要求等
20
独立部门:企业是否明确了独立的合规职能部门或设立了合规管理委员
会,专职合规人员数量不低于公司人员数量的3% 20
有效职能:合规职能部门是否能够直接接触到治理机构和最高管理
者,例如直接向公司总经理和间接向审计委员会、主席或整个董事会汇
报工作,定期参加治理机构和最高管理者的会议等
10
独立性:合规职能部门是否具有不与组织结构或其他因素冲突的独立
性,在行动上能够不受垂直管理者的干涉10
发言权:合规管理部门是否具有必要的权限,例如不被上级部门否决或
修改报告和信息,能够根据需要指导其他员工,具有申明和提出合规疑
虑的发言权
10
支撑保障:合规管理部门是否具有必要的资源,支持其不受限制地执行
合规管理体系的必要工作和职责,例如不受其他工作干扰的专职人员、
能够独立支配的物质和经费、必要的技术等
10
合规职能部门职责和权限:企业是否明确规定了合规职能部门的职责和
权限20
10
T/CEEAS 005—2022
表A.1 企业合规管理体系有效性评价细则(续)
评价维度评价指标评价条款分值得分
领导作用
和资源
投入
管理者职
责与绩效
合规管理
信息化
建设
管理者职责和权限:是否明确规定了治理机构和最高管理者的合规管理
职责和权限。最高管理层的主要职责是否包括了为建立、制定、实施、评
价、维护、改进合规管理体系配置了足够的资源,建立及时有效的合规绩
效报告制度,战略和运行目标与合规义务相协同,建立和维护问责机
制,确保合规绩效与人员绩效考核挂钩
10
管理者绩效:治理机构的主要职责是否包括了制定合理的最高管理者的
管理绩效,以确保可以根据合规目标的实现程度测量管理绩效;是否包
括了对最高管理者运行合规管理体系的情况进行监督
10
各层管理者职责和权限:企业是否明确规定了各层管理者在其职责范围
内的合规方面的职责和权限20
是否能将合规制度、典型案例、合规培训、违规行为记录等纳入合规信息
系统20
是否能运用信息化手段将合规要求和防控措施嵌入业务流程,加强关键
节点的合规审查10
是否将合规管理信息系统与财务、投资、采购等其他信息系统实现了互
联互通和数据共用共享10
是否利用大数据等技术加强了对重点领域关键环节的事实检测,并实现
合规风险及时预警、快速处置10
合规制度
与运行
机制
合规管理
制度体系
合规管理
机制运行
企业是否根据使用范围、效力层级等构建了分级分类的合规管理制度体
系和相关规范性文件20
合规管理基本制度是否完善,明确了总体目标、机构职责、运行机制、考
核评价、监督问责等主要内容20
是否针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管
理、数据保护、国际化业务等重点领域制定了专项合规管理制度30
是否根据法律法规、政策监管、风险与机遇等变化情况及时对规章制度
进行修订完善,并对执行落实情况进行检查20
合规风险识别评估预警机制:企业是否建立并定期更新合规风险数据
库,对企业以及商业项目风险发生的可能性、影响程度、潜在后果等进行
分析,对典型性、普遍性或者可能产生严重后果的风险及时预警
30
合规审查机制:是否将合规审查作为必经程序嵌入到规章制度制定、重
大事项决策、重要合同签订、重大项目运营等经营管理流程。企业重大
决策事项合规审查意见是否由首席合规官签字,并对决策事项的合规性
提出明确意见
30
合规报告制度:是否建立了合规报告制度,发生较大合规风险事件,相关
业务及职能部门是否能及时向合规管理部门报告。重大合规风险事件
是否能及时向监管部门报告
30
11
T/CEEAS 005—2022
表A.1 企业合规管理体系有效性评价细则(续)
评价维度评价指标评价条款分值得分
合规制度
与运行
机制
合规管理
机制运行
违规问题整改机制:是否建立违规问题整改机制,通过健全规章制度、优
化业务流程等,提升企业合规管理水平。是否设立违规举报平台,公布
举报电话、邮箱或者信箱等,相关部门是否按照职责受理违规举报,并就
举报问题进行调查和处理
30
违规追责问责机制:是否建立违规行为追责问责机制,明确责任范围,细
化问责标准,针对问题和线索能够及时开展调查,并按照规定追责违规
人员责任。是否建立经营管理和员工履职违规行为记录制度,将违规行
为性质、发生次数、危害程度等作为考核评价、职级评定等工作的依据
30
协同运作机制:是否结合实际建立了合规管理与法务管理、内部控制等
协同运作机制,是否建立了集团公司与子公司、分公司的协同运作机
制,加强统筹协调,避免交叉重复
20
合规文化
合规理念
合规
文化推广
员工职责
与绩效
企业治理层和高级管理者是否塑造了合规的企业精神和价值理念10
企业管理人员是否从自身做起,践行合规文化理念,带头垂范,以身作则10
企业是否承诺自上而下保持一致地实施合规文化10
是否通过发布合规手册、签订合规承诺等方式,加强合规宣传,强化全员
合规经营意识10
企业的员工是否能从情感和理智上认同企业合规文化,并做出认同的
承诺10
是否建立常态化合规培训机制,制定年度培训计划,并将合规管理作为
培训必修内容10
企业在关键职能人员的招聘、晋升时,是否将合规文化作为考察评估因
素,例如尽职调查10
是否在入职培训或新员工训练时强调合规和企业的价值观10
企业是否利用各种时机、场合推广合规文化,并持续地就合规问题进行
沟通10
企业是否明确规定了员工应履行的合规职责,内容是否满足合规要求10
企业是否在绩效考核体系中考虑对合规行为的评估,并将合规表现与绩
效挂钩10
是否对企业涉诉量下降等合规管理业绩和结果予以明确认可,奖励符合
企业合规文化的行为,树立典型模范或榜样10
企业是否惩戒不遵守合规文化的员工和行为,包括管理层为了实现业务
目标鼓励员工实施不合规行为、阻止合规人员有效履行职责等行为,面
对竞争利益时违反合规承诺的行为等
10
12
T/CEEAS 005—2022
表A.1 企业合规管理体系有效性评价细则(续)
评价维度评价指标评价条款分值得分
绩效评估
改进
监视、测
量、分析
和评价
内部审核
管理评审
证据性文件:企业是否制定了合规监测方案等证据性文件,以确定需要监视
和测量的对象、适用的方法、实施的时间、分析和评价的要求等方面内容10
监测方案:企业制定的监测方案是否包括了以下内容,合规义务内容、合
规风险管理、职责分配、培训、计划执行等;合规管理体系、合规绩效;目
标达成、不合规事件、指标领先或滞后情况等
10
反馈机制:企业是否建立合规绩效反馈机制以及确保反馈渠道或来源有
效、反馈信息真实的措施。例如:发现或识别不合规行为的临时报告,通
过热线、投诉和其他反馈渠道(包括举报)获得的信息,非正式讨论、研讨
会与焦点小组,抽样和诚信测试,如神秘顾客,直接观察、正式访谈、设施
参观与视察,培训反馈等
10
信息渠道:企业是否按要求建立并维护相应渠道,以监测、反馈合规绩
效。信息来源一般包括内部人员,如来自举报设施、求助热线、情况反
馈、建议箱等,客户,如投诉处理系统等,第三方、供应商、承包商、监管机
构,以及过程的控制记录和活动记录等
10
指标评估:企业是否制定相应指标,以评估合规目标实现程度。指标可包
括识别的不合规问题、不合规的后果、报告和采取纠正措施花费的时间反
应性指标;也可以是长期目标(收入、健康和安全、声誉等)的潜在损失/收
益为衡量标准的不合规风险、不合规趋势等预测性指标,还可包括如有效
培训人员的比例、监管机构介入的频率、反馈机制的使用程度等指标
20
有效性:企业是否定期评审合规指标内容,以确保其适宜性和有效性10
合规义务变化:合规报告的内容是否反映出合规义务变化情况、合规风
险评估结果、合规目标实现情况、合规表现情况、举报事项总结及结果处
置等,必要时需针对地方监管要求编制并上报相应信息
10
规范性文件:企业是否建立内部审核机制,编制了相应的规范性文件,或
在相关文件中对此做了规定。如内部审核管理制度、交叉检查的制度、
内部检查人员培训制度(内部合规管理体系审核员培训)等
10
规范执行:企业是否按规定的时间按照规范性文件要求实施内部审
核,包括过程有策划、计划编制、现场检查、出具结果、跟踪整改等。企业
是否组建了由合规内审员、企业合规师、首席合规师组成的分专业梯次
的合规团队,以支撑日常的内部审核工作
10
审核结果:企业内部审核是否形成明确的审核结果,相应问题的整改及应
用于管理体系的改进。审核过程是否形成必要的证据性文件予以留存,例
如内审方案、内审计划、内审检查表、内审报告、企业合规检查文件等
10
规范性文件:企业是否建立了管理评审机制,编制了相应的规范性文
件,或在相关文件中对此做了规定,例如管理评审制度、合规管理工作年
度总结制度等文件
10
定期评估:企业是否按照规范性文件要求,定期针对上一年度合规管理
措施实施情况报告、风险评估报告、合规目标评估结果、目标完成情况分
析、内控总结报告、年度合规计划等内容开展管理评审并有明确的评审
结果。必要时,也可单独根据管理体系运行情况设置专项时间和流程进
行管理评审
10
证据性文件:管理评审过程是否形成诸如管理评审计划、管理评审报告、
企业年度总结等证据性文件予以留存10
13
T/CEEAS 005—2022
表A.1 企业合规管理体系有效性评价细则(续)
评价维度评价指标评价条款分值得分
绩效评估
改进
体系持续
改进
不符合和
纠正措施
改进机制:企业是否建立了合规管理工作改进机制,制定了开展持续改
进的规章制度20
改进执行:企业持续改进的内容是否考虑了监测、分析和评价以及管理
评审的输出等结果,根据企业的合规报告结果或管理评审结果推动合规
管理体系持续改进,并形成证据性文件
10
效果评估:企业是否对持续改进的效果进行了评估;对于涉案企业经过
合规建设之后,是否符合有效性标准,能够通过合规审查,以达到从宽处
罚、处分的要求
20
负面规范:企业是否建立了应对潜在或已发生的不符合、不合规的规范
性文件,或在相关文件中对此做了规定10
原因分析及应对:企业按照规范性文件的要求,在发生不符合或不合规
时,是否对不符合、不合规的原因进行了分析,并制定了应对措施10
应对措施的有效性:企业是否对不符合或不合规的应对措施的有效性进
行评估,制定了应对无效的补救措施10
信息管理:企业是否按要求对不符合原因、采取应对措施及效果评估等
文件化信息进行管理10
注:共74款打分项,满分1000分。
A.2 表A.2给出了企业合规管理体系有效性评价附加项。
表A.2 企业合规管理体系有效性评价附加项
评价指标评价条款分值得分
党建在企业
合规管理中
的作用
企业合规管理工作是否能够坚持党的领导,充分发挥企业党委(党组)领导作用,落
实全面依法治国战略部署有关要求,把党的领导贯穿合规管理全过程20
企业党委(党组)是否发挥把方向、管大局、保落实的领导作用,推动合规要求在本企
业得到严格遵循和落实,不断提升依法合规经营管理水平10
企业是否严格遵守党内法规制度,企业党建工作机构能否在党委(党组)领导下按照
有关规定履行相应职责,推动相关党内法规制度有效贯彻落实10
企业是否将合规管理纳入党委(党组)法治专题学习,推动企业领导人员强化合规意
识,带头依法依规开展经营管理活动10
注:共4款打分项,共计50分。
14
T/CEEAS 005—2022
参 考 文 献
[1] T/CEEAS004—2021 企业合规师职业技能评价标准
[2] ISO37001:2016 Anti-briberymanagementsystems—Requirementswithguidanceforuse
[3] ISO37002:2021 Whistleblowingmanagementsystems—Guidelines
[4] ISO37301:2021 Compliancemanagementsystems—Requirementswithguidanceforuse
[5] 中央企业合规管理办法(国务院国有资产监督管理委员会令第42号)
[6] 涉案企业合规建设、评估和审查办法(试行)(全联厅发〔2022〕13号)
[7] 企业合规计划评价指南(美国司法部,2020版)