35770-2022合規(guī)管理體系-要求及使用指南標準及內(nèi)審員培訓教材

35770-2022合規(guī)管理體系要求及使用指南標準及內(nèi)審員培訓教材作者：李柏倫2021.08.19目

錄1.GB/T35570-2022標準制定背景和意義2.GB/T35570-2022標準認證的重要意義3.GB/T35570-2022標準主要內(nèi)容4.GBT35770-2022體系標準的應用5.GBT35770-2022標準條款內(nèi)容詳細解釋6.內(nèi)部審核步驟及內(nèi)部審核技巧1.標準制定背景和意義

ISO組織于2021年發(fā)布ISO37301:2021《合規(guī)管理體系要求及使用指南》，編制的主要目的是為了保證合規(guī)管理體系的可用性，即保證組織建立的合規(guī)管理體系有效并正常運行，能夠為組織的合規(guī)管理發(fā)揮作用。

我們國家等同采用ISO37301:2021發(fā)布GB/T35770-2022《合規(guī)管理體系要求及使用指南》，實施后全部代替GB/T35770-2017。1.標準制定背景和意義

近年來，全球貿(mào)易關系愈加復雜，全球產(chǎn)業(yè)鏈進入深度調(diào)整與重構時期。

在國家層面，各國建立了嚴格的合規(guī)監(jiān)管制度，監(jiān)管機構加強了立法深度和執(zhí)法力度，引導和督促企業(yè)實施更加主動的合規(guī)經(jīng)營。1.標準制定背景和意義

在國際層面，聯(lián)合國、經(jīng)濟合作與發(fā)展組織、世界銀行集團、非洲開發(fā)銀行集團、亞洲太平洋經(jīng)濟合作組織、國際商會等國際性組織相繼制定全球性契約、指南和指引等，對合規(guī)管理核心問題形成國際共識，在相關貿(mào)易活動中對不合規(guī)行為實施聯(lián)合懲戒。合規(guī)已經(jīng)成為各類組織成功和可持續(xù)發(fā)展的基礎。2.標準認證的重要意義

GB/T35770的制定對于各類組織的合規(guī)管理能力建設、政府監(jiān)管活動、國際貿(mào)易交流、溝通合作改善等具有重要的意義。

一是為各類組織提高自身的合規(guī)管理能力提供系統(tǒng)化方法，它采用PDCA理念完整覆蓋了合規(guī)管理體系建設、運行、維護和改進的全流程，基于合規(guī)治理原則為組織建立并運行合規(guī)管理體系、傳播積極的合規(guī)文化提供了整套解決方案。2.標準認證的重要意義

二是為監(jiān)管機構和司法機構采信組織的合規(guī)整改計劃、合規(guī)管理體系實踐提供參考依據(jù)，監(jiān)管機構和司法機構在對組織違反相關法律的行為作出處罰時，可以將組織的合規(guī)管理體系運行情況作為衡量處罰力度的一個考量因素。2.標準認證的重要意義

三是為便利全球范圍內(nèi)相關方之間的貿(mào)易、交流與合作提供了通用規(guī)則，各類組織可以通過聲明符合GB/T35770或者獲得依據(jù)GB/T35770所進行的認證，在相關方之間傳遞信任，進而為貿(mào)易、交流與合作提供便利。3.標準主要內(nèi)容

GB/T35770規(guī)定了組織建立、運行、維護和改進合規(guī)管理體系的要求，并提供了使用指南，適用于全球任何類型、規(guī)模、性質和行業(yè)的組織。3.標準主要內(nèi)容（一）組織環(huán)境

組織所處的環(huán)境構成了組織賴以生存的基礎。這些環(huán)境既涉及法律法規(guī)、監(jiān)管要求、行業(yè)準則、良好實踐、道德標準，又涉及組織自行制定或公開聲明遵守的各類規(guī)則。3.標準主要內(nèi)容（二）領導作用領導是合規(guī)管理的根本，對于整個組織樹立合規(guī)意識、建立高效的合規(guī)管理體系具有至關重要的作用。3.標準主要內(nèi)容（三）策劃策劃是預測潛在的情形和后果，對于確保合規(guī)管理體系能實現(xiàn)預期效果，防范并減少不希望的影響，實現(xiàn)持續(xù)改進具有重要作用。3.標準主要內(nèi)容（四）支持支持是合規(guī)管理的重要保障，對于合規(guī)管理體系在各個層面得到認可并保障合規(guī)行為實施具有重要的支持作用。3.標準主要內(nèi)容（五）運行運行是立足于執(zhí)行層面，策劃、實施和控制滿足合規(guī)義務和戰(zhàn)略層面規(guī)劃的措施相關的流程，以確保組織運行合規(guī)管理體系。3.標準主要內(nèi)容（六）績效評價績效評價是對合規(guī)管理體系建立并運行后的績效、體系有效性評價，對于查找可能存在的問題、后續(xù)改進合規(guī)管理體系等具有重要意義。3.標準主要內(nèi)容（七）改進改進是對合規(guī)管理體系運行中發(fā)生不合格/不合規(guī)情況做出反應、評價是否需要采取措施，消除不合格/不合規(guī)的根本原因，以避免再次發(fā)生或在其他地方發(fā)生，并持續(xù)改進，以確保合規(guī)管理體系的動態(tài)持續(xù)有效。4.GB/T35770-2022體系標準的應用一、作為各類組織自我聲明符合的依據(jù)。

各類組織通過實施GB/T35770，建立并運行合規(guī)管理體系，一方面使得組織的行為以及行為結果合規(guī)，另一方面在需要時還能夠據(jù)此標準追溯組織是否符合了合規(guī)管理體系規(guī)定的內(nèi)容或證實是否達到了合規(guī)要求。4.GB/T35770-2022體系標準的應用二、作為認證機構開展認證的依據(jù)。GB/T35770規(guī)定了合規(guī)管理體系的要求，并提供了建議做法和指南，認證機構在認證活動中，可以直接應用或者在其認證技術規(guī)范中明確GB/T35770作為組織符合合規(guī)管理體系要求的認證依據(jù)。4.GB/T35770-2022體系標準的應用三、作為政府機構監(jiān)管的依據(jù)。政府機構可以將GB/T35770確立的合規(guī)管理理念應用于行政監(jiān)管活動，通過對組織的合規(guī)管理體系運行情況評價結果來匹配相應的監(jiān)管手段和措施，實施精準監(jiān)管。4.GB/T35770-2022體系標準的應用四、作為司法機關對違規(guī)企業(yè)量刑與監(jiān)管驗收的依據(jù)?？梢詫B/T35770確立的合規(guī)管理體系要求作為司法機關對涉及違規(guī)企業(yè)量刑的考量依據(jù)，可以作為落實依法不捕不訴不提出判實刑建議等司法意見、制定合規(guī)指引、督促企業(yè)合規(guī)整改和第三方監(jiān)管驗收的依據(jù)。5.GB/T35770-2022標準條款內(nèi)容詳細解釋1.范圍2.規(guī)范性引用3.術語和定義4.組織環(huán)境5.領導作用6.策劃7.支持8.運行9.績效評價10.改進5.GB/T35770-2022--1.范圍

本文檔詳細說明了要求，并提供了在組織內(nèi)建立，開發(fā)，實施，評估，維護和改進有效合規(guī)管理系統(tǒng)的指南。

本文檔適用于所有類型的組織，無論活動的類型，規(guī)模和性質如何，以及該組織來自公共部門，私營部門還是非營利部門。

如果組織沒有獨立的理事機構，則本文檔中指定的涉及理事機構的所有要求均適用于高層管理人員。5.GB/T35770-2022--2.規(guī)范性引用--3.術語和定義本文檔中沒有規(guī)范性引用。5.GB/T35770-2022--組織環(huán)境4.1了解組織及其背景

組織應確定與其目的相關并影響其實現(xiàn)合規(guī)管理系統(tǒng)預期結果能力的外部和內(nèi)部問題。為此，組織應考慮廣泛的問題，包括但不限于：—業(yè)務模型，包括戰(zhàn)略，性質，規(guī)模和規(guī)模的復雜性以及組織活動和運營的可持續(xù)性；—與第三方的業(yè)務關系的性質和范圍；5.GB/T35770-2022--組織環(huán)境4.1了解組織及其背景一法律和法規(guī)環(huán)境；一經(jīng)濟狀況；一社會，文化和環(huán)境背景；一內(nèi)部結構，政策，流程，程序和資源，包括技術；—它的合規(guī)文化。5.GB/T35770-2022--組織環(huán)境4.2了解有關方面的需求和期望

組織應確定：一與合規(guī)管理系統(tǒng)有關的利害關系方；一這些利害關系方的有關要求；—這些要求中的哪些將通過合規(guī)管理系統(tǒng)解決。5.GB/T35770-2022--組織環(huán)境4.3確定合規(guī)管理系統(tǒng)的范圍組織應確定合規(guī)管理系統(tǒng)的范圍和適用性以建立其范圍。注：合規(guī)管理系統(tǒng)的范圍旨在闡明組織面臨的主要合規(guī)風險以及合規(guī)管理系統(tǒng)將適用的地理或組織邊界，或兩者都適用，特別是在組織是大型實體的一部分的情況下。在確定此范圍時，組織應考慮：一竺中提到的外部和內(nèi)部問題」—4.2、4.5和銓中提到的要求。該范圍應作為文檔信息提供。5.GB/T35770-2022-組織環(huán)境4.4合規(guī)管理系統(tǒng)組織應根據(jù)本文件的要求建立，實施，維護和持續(xù)改進合規(guī)管理系統(tǒng)，包括所需的過程及其相互作用。遵從管理體系應反映組織的價值觀，目標，戰(zhàn)略和遵從風險，并考慮到組織的環(huán)境。5.GB/T35770-2022--組織環(huán)境4.5合規(guī)義務

組織應系統(tǒng)地識別其活動，產(chǎn)品和服務產(chǎn)生的合規(guī)義務，并評估其對運營的影響。組織應具備以下流程：a） 確定新的和更改的合規(guī)義務，以確保持續(xù)合規(guī)；b） 評估已識別變更的影響，并在合規(guī)義務管理中實施任何必要的變更。組織應保持其合規(guī)義務的書面信息。5.GB/T35770-2022--組織環(huán)境4.6合規(guī)風險評估組織應基于合規(guī)風險評估，識別，分析和評估其合規(guī)風險。組織應通過將合規(guī)義務與其活動，產(chǎn)品，服務和運營的相關方面相關聯(lián)來識別合規(guī)風險。組織應評估與外包和第三方流程相關的合規(guī)風險。應定期評估合規(guī)風險，并應在情況或組織環(huán)境發(fā)生重大變化時進行評估。組織應保留有關合規(guī)風險評估以及應對其合規(guī)風險的措施的書面信息。5.GB/T35770-2022--5.領導作用5.1領導與承諾5.1.1領導機構和高層管理人員理事機構和最高管理者應通過以下方式表現(xiàn)出對合規(guī)管理體系的領導和承諾：—確保建立合規(guī)政策和合規(guī)目標并與組織的戰(zhàn)略方向兼容；一確保將合規(guī)管理系統(tǒng)要求集成到組織的業(yè)務流程中；一確保合規(guī)管理系統(tǒng)所需的資源可用；一傳達有效的合規(guī)管理和遵守合規(guī)管理系統(tǒng)要求的重要性；5.GB/T35770-2022--5.領導作用一確保合規(guī)管理系統(tǒng)達到預期結果；一指導和支持人員為合規(guī)管理系統(tǒng)的有效性做出貢獻；—促進持續(xù)改進；一支持其他相關角色以展示其在其職責范圍內(nèi)的領導能力。注意：本文檔中對“業(yè)務”的引用可以廣義地解釋為那些對于組織存在的目的而言至關重要的活動。理事機構和最高管理者應：5.GB/T35770-2022--5.領導作用—建立并維護組織的價值觀；一確保制定和實施政策，流程和程序以實現(xiàn)合規(guī)目標；一確保及時告知他們有關合規(guī)事宜，包括不合規(guī)的情況，并確保采取適當?shù)拇胧?；一確保遵守承諾，并適當處理違規(guī)和違規(guī)行為；一確保適當?shù)貙⒑弦?guī)責任包括在職位描述中；一任命或提名合規(guī)職能；一確保按照8.3建立提出和解決問題的系統(tǒng)。5.GB/T35770-2022--5.領導作用5.1.2合規(guī)文化組織應在組織內(nèi)的各個層次上建立，維護和促進合規(guī)文化。理事機構，高層管理人員和管理層應表現(xiàn)出對整個組織所需的共同行為和行為標準的積極，可見，一致和持續(xù)的承諾。最高管理者應鼓勵建立和支持合規(guī)的行為。它應防止而不是容忍損害合規(guī)性的行為。5.GB/T35770-2022--5.領導作用5.1.3合規(guī)治理

理事機構和最高管理者應確保執(zhí)行以下原則：一直接將遵約職能移交給理事機構；一遵守職能的獨立性；一合規(guī)職能的適當權限和能力。注1：直接訪問可包括：直接向理事機構報告，向理事機構定期提交報告并參加其會議。注2：獨立是指對順應功能的操作沒有任何不適當?shù)母蓴_或壓力，或兩者都不存在。5.GB/T35770-2022--5.領導作用5.2合規(guī)政策理事機構和最高管理者應制定合規(guī)政策，以：a） 適合組織的目的；b） 提供設定合規(guī)目標的框架；c） 包括滿足適用要求的承諾；d） 包括對合規(guī)管理系統(tǒng)的持續(xù)改進的承諾。5.GB/T35770-20221--5.領導作用遵守政策應：一與組織的價值觀，目標和戰(zhàn)略保持一致；一要求遵守組織的合規(guī)義務；一支持符合5.1.3的合規(guī)性治理原則：一參考并描述合規(guī)功能；一概述不遵守組織的合規(guī)義務，政策，流程和程序的后果；5.GB/T35770-2022--5.領導作用—鼓勵引起關注并禁止任何形式的報復；一用通俗易懂的語言寫成，以便所有人員都可以輕松理解其原理和意圖；一適當實施和執(zhí)行；一可以作為記錄信息使用；一在組織內(nèi)部進行溝通；一適當時可供感興趣的各方使用。5.GB/T35770-2022--5.領導作用5.3角色，職責和權限5.3.1領導機構和高層管理人員理事機構和最高管理者應確保在組織內(nèi)分配和傳達有關角色的職責和權限。理事機構和最高管理者應分配以下職責和權限：a） 確保合規(guī)管理系統(tǒng)符合本文件的要求；b） 向理事機構和最高管理者匯報合規(guī)管理系統(tǒng)的績效。5.GB/T35770-2022--5.領導作用理事機構應：一確保根據(jù)達到合規(guī)目標衡量最高管理層；一對最高管理者進行有關合規(guī)性管理系統(tǒng)運行的監(jiān)督。最高管理者應：—分配足夠和適當?shù)馁Y源以建立，開發(fā)，實施，評估，維護和改進合規(guī)管理系統(tǒng);一確保建立有效的及時報告履約情況的系統(tǒng)；一確保戰(zhàn)略和運營目標與合規(guī)義務之間保持一致；一建立和維護問責機制，包括紀律處分和后果；一確保將合規(guī)績效納入人員績效評估。5.GB/T35770-2022--5.領導作用5.3.2合規(guī)功能合規(guī)職能應負責合規(guī)管理系統(tǒng)的運行，包括以下內(nèi)容：一促進確定履約義務；一記錄合規(guī)風險評估；一使合規(guī)管理系統(tǒng)與合規(guī)目標保持一致；一監(jiān)控和衡量合規(guī)績效；一分析和評估合規(guī)性管理系統(tǒng)的性能，以確定是否需要采取糾正措施；—建立合規(guī)報告和文件記錄系統(tǒng)；一確保按計劃的時間間隔審核合規(guī)性管理系統(tǒng)（請參閱9.2和9.3）:一建立引起關注并確保解決關注的系統(tǒng)。5.GB/T35770-2022--5.領導作用遵守職能應監(jiān)督：一在整個組織屮適當分配實現(xiàn)已確定合規(guī)性義務的職責；一合規(guī)義務已整合到政策，流程和程序中；一所有相關人員均按要求接受培訓；—建立合規(guī)績效指標。遵從功能應提供：一有權訪問合規(guī)政策，流程和程序資源的人員；一就合規(guī)性相關事宜向組織提供建議。5.GB/T35770-2022--5.領導作用注意合規(guī)功能的特定職責并不能免除其他人員的合規(guī)責任。組織應確保符合性功能可以訪問：一高級決策者，以及在決策過程中盡早做出貢獻的機會；一組織的各個級別；一所需的所有人員，文件化信息和數(shù)據(jù)；一有關有關法律，法規(guī)，守則和組織標準的專家意見。5.GB/T35770-2022--5.領導作用5.3.3管理人員管理層應通過以下方式負責其職責范圍內(nèi)的合規(guī)：一與合規(guī)部門合作并提供支持，并鼓勵人員這樣做；一確保其控制范圍內(nèi)的所有人員均遵守組織的合規(guī)義務，政策，流程和程序；一識別并傳達其運營中的合規(guī)風險；一將合規(guī)義務納入其職責范圍內(nèi)的現(xiàn)有業(yè)務實踐和程序中；5.GB/T35770-2022--5.領導作用—參加和支持合規(guī)培訓活動；一培養(yǎng)人員對合規(guī)義務的意識，并指導他們滿足培訓和能力要求；—鼓勵其人員提出合規(guī)性問題并給予支持，并排除任何形式的報復行為；一根據(jù)需要積極參與管理和解決與合規(guī)性相關的事件和問題；一確保在確定需要采取糾正措施后，建議并實施適當?shù)募m正措施。5.GB/T35770-2022--5.領導作用5.3.4工作人員所有人員應：一遵守組織的合規(guī)義務，政策，流程和程序；一報告合規(guī)問題，問題和失??；一參加所需的培訓。5.GB/T35770-2022--6.策劃6.1應對風險和機遇的行動在規(guī)劃合規(guī)管理系統(tǒng)時，組織應考慮4.1中提到的問題和4.2中提到的要求，并確定需要解決的風險和機遇：一確保合規(guī)管理系統(tǒng)可以達到預期結果；—防止或減少不良影響；一實現(xiàn)持續(xù)改進。5.GB/T35770-2022--6.策劃在規(guī)劃合規(guī)管理系統(tǒng)時，組織應考慮：—其合規(guī)目標（見6.2）；一確定的合規(guī)義務（請參閱4.5）:一合規(guī)風險評估的結果（見4.6）.組織應計劃：a） 應對這些風險和機遇的行動；b） 如何：1） 將行動整合并實施到其合規(guī)管理系統(tǒng)流程中；2） 評估這些措施的有效性。5.GB/T35770-2022--6.策劃6.2合規(guī)目標和實現(xiàn)目標的計劃組織應在相關職能和級別上建立合規(guī)目標。遵守目標應：a） 與合規(guī)政策保持一致；b） 可衡量的（如果可行）；c） 考慮適用的要求；d） 被監(jiān)視；e） 溝通；f） 適當更新；g） 作為文檔信息可用。5.GB/T35770-2022--6.策劃在計劃如何實現(xiàn)其合規(guī)目標時，組織應確定：一將要做什么；一需要什么資源；一誰來負責；一何時完成；—如何評估結果。5.GB/T35770-2022--6.策劃6.3變更策劃

當組織確定需要更改合規(guī)管理系統(tǒng)時，應以計劃的方式進行更改。組織應考慮：一變更的目的及其潛在后果；一合規(guī)管理系統(tǒng)的設計和運營有效性；一是否有足夠的資源；一職責和權限的分配或重新分配。5.GB/T35770-2022--7.支持7.1資源組織應確定并提供建立，實施，維護和持續(xù)改進合規(guī)管理系統(tǒng)所需的資源。5.GB/T35770-2022--7.支持7.2能力7.2.1概述

組織應：一確定在其控制下從事影響其合規(guī)表現(xiàn)的人員的必要能力；-根據(jù)適當?shù)慕逃嘤柣蚪?jīng)驗，確保這些人勝任；一在適用的情況下，采取行動以獲得必要的能力，并評估所采取行動的有效性。應提供適當?shù)臅嫘畔⒆鳛閯偃瘟Φ淖C據(jù)。注：可采取的行動包括，例如，提供培訓，指導或重新安排在職人員；或雇用或簽約合資格的人。5.GB/T35770-2022--7.支持7.2.2就業(yè)流程就其所有人員而言，組織應制定，建立，實施和維護流程，以使：a） 雇用條件要求人員遵守組織的合規(guī)義務，政策，流程和程序；b） 在開始雇用的合理期間內(nèi)，員工將收到遵從政策的副本或對其進行訪問并獲得有關該政策的培訓的機會；c） 對于違反組織合規(guī)性義務，政策，過程和程序的人員，應采取適當?shù)募o律處分。5.GB/T35770-2022--7.支持7.2.2就業(yè)流程作為雇用過程的一部分，組織應考慮由角色和人員造成的合規(guī)風險，并在雇用，調(diào)動和晉升之前按照要求進行盡職調(diào)查程序。組織應實施一個程序，對績效目標，績效獎金和其他激勵措施進行定期審查，以驗證是否已采取適當?shù)拇胧﹣矸乐构膭钸`規(guī)行為。5.GB/T35770-2022--7.支持7.2.3培訓組織應從雇用開始之時起，并按組織確定的計劃間隔定期對有關人員進行培訓。培訓應為：a） 適合人員的角色以及人員所面臨的合規(guī)風險；b） 評估有效性；c） 定期審查。5.GB/T35770-2022--7.支持7.2.3培訓考慮到已識別的合規(guī)風險，組織應確保實施程序以解決對合規(guī)意識的培訓，以及對代表其行事并可能給組織帶來合規(guī)風險的第三方的培訓。培訓記錄應保留為書面信息。5.GB/T35770-2022--7.支持7.3意識在組織控制下工作的人員應了解：一遵守政策；—它們對合規(guī)管理系統(tǒng)有效性的貢獻，包括改進合規(guī)績效的好處；一不符合合規(guī)管理系統(tǒng)要求的影響；一引起合規(guī)性問題的程序和程序的方式（見8.3）；一遵守政策與其職責相關的遵守義務的關系；一支持合規(guī)文化的重要性。5.GB/T35770-2022--7.支持7.4信息溝通組織應確定與合規(guī)管理系統(tǒng)有關的內(nèi)部和外部通信，包括：a）關于它將傳達什么；b）何時溝通；c）與之溝通；d）如何溝通。5.GB/T35770-2022--7.支持組織應：一在考慮其傳播需求時，考慮多樣性的方面和潛在的障礙；一確保在建立其溝通流程時考慮到有關方面的意見fes）；一建立溝通流程時）：一包括關于其合規(guī)文化，合規(guī)目標和義務的溝通；一確保要傳達的合規(guī)信息與合規(guī)管理系統(tǒng)內(nèi)生成的信息一致并且可靠；5.GB/T35770-2022--7.支持一回應有關其合規(guī)管理系統(tǒng)的相關溝通；一適當保留文件化信息作為其通訊的證據(jù)；-在組織的各個級別和職能之間內(nèi)部傳達與合規(guī)管理系統(tǒng)有關的信息，包括酌情更改合規(guī)管理系統(tǒng)一確保其溝通過程使人員能夠為持續(xù)改進合規(guī)管理系統(tǒng)做出貢獻；一確保其溝通過程使人員能夠提出疑慮（見8.3）；-由組織的溝通流程建立的外部溝通與合規(guī)管理系統(tǒng)有關的信息，并包括有關其合規(guī)文化，合規(guī)目標和義務的交流。5.GB/T35770-2022--7.支持7.5文件化信息7.5.1總則

組織的合規(guī)管理系統(tǒng)應包括：a） 本文件要求的文件資料；b） 組織確定為達標管理系統(tǒng)的有效性所必需的文件化信息。注：遵從性管理系統(tǒng)的文檔化信息范圍可能因一個組織而異，這是由于以下原因：一組織的規(guī)模及其活動，過程，產(chǎn)品和服務的類型；-流程及其交互的復雜性；一人的能力。5.GB/T35770-2022--7.支持7.5.2創(chuàng)建和更新文件化信息在創(chuàng)建和更新文件化信息時，組織應確保適當：一標識和描述（例如標題，日期，作者或參考編號）；一格式（例如語言，軟件版本，圖形）和媒體（例如紙張；電子）；一審查和批準其適用性和適當性。5.GB/T35770-2022--7.支持7.5.3 文件化信息的控制合規(guī)管理系統(tǒng)和本文件所要求的文件信息應受到控制，以確保：a） 它是可用的，并且適合在需要的地方和時間使用；b） 它得到了充分的保護（例如，避免了機密性，使用不當或完整性的損失）。為了控制書面信息，組織應酌情開展以下活動：5.GB/T35770-2022--7.支持一分發(fā)，獲取，檢索和使用；一儲存和保存，包括保持易讀性；—控制變更（例如版本控制）；一保留和處置。組織應確定必要的外部來源的書面信息，這些信息對于合規(guī)性管理系統(tǒng)的計劃和運行是必要的，并應加以控制。注意訪問可能意味著要決定是否僅允許查看文檔信息，或者是有關查看和更改文檔信息的權限。5.GB/T35770-2022--8.運行8.1運行計劃與控制組織應通過以下方式計劃，實施和控制滿足要求所需的過程，以及實施標準中確定的措施：—建立過程標準；一根據(jù)標準實施過程控制。5.GB/T35770-2022--8.運行應提供必要的書面信息，以確信該過程已按計劃進行。組織應控制計劃的變更并審查意外變更的后果，并采取必要的措施以減輕任何不利影響。組織應確?？刂婆c合規(guī)管理系統(tǒng)相關的外部提供的過程，產(chǎn)品或服務。注意：將組織的業(yè)務外包不會減輕組織的法律責任或合規(guī)性義務。組織應確保對第三方過程進行控制和監(jiān)視。5.GB/T35770-2022--8.運行8.2建立控制和程序組織應實施控制措施以管理其合規(guī)義務和相關的合規(guī)風險。這些控制措施應予以維護，定期檢查和測試，以確保其持續(xù)有效性。注：測試控件是指進行有計劃的練習，以查看控件是否達到了預期的目的或不能被繞過，或者在降低風險的影響或可能性方面是否有效。5.GB/T35770-2022--8.運行8.4調(diào)查過程組織應制定，建立，實施和維護過程，以評估，評估，調(diào)查和結清關于可疑或實際違規(guī)事件的報告。這些程序應確保公平公正的決策。調(diào)查過程應由主管人員獨立進行，不得有利益沖突。組織應將調(diào)查結果用于適當?shù)馗倪M合規(guī)管理系統(tǒng)（參見第10條）。組織應定期向理事機構或最高管理者報告調(diào)查的數(shù)量和結果。組織應保留有關調(diào)查的書面信息。5.GB/T35770-2022--9.績效評價9.1監(jiān)測，測量，分析和評估9.1.1總則組織應監(jiān)視合規(guī)管理系統(tǒng)，以確保實現(xiàn)合規(guī)目標。組織應確定：—需要監(jiān)視和測量的內(nèi)容；一為確保有效結果而進行的監(jiān)測，測量，分析和評估方法；一，何時進行監(jiān)測和測量；一監(jiān)測和測量的結果應進行分析和評估。文件信息應作為結果的證據(jù)。組織應評估合規(guī)績效和合規(guī)管理系統(tǒng)的有效性。5.GB/T35770-2022--9.績效評價9.1.2有關合規(guī)績效的反饋來源

組織應建立，實施，評估和維護過程，以從各種來源尋求并接收有關其合規(guī)績效的反饋。應對信息進行分析和嚴格評估，以找出不符合項的根本原因，確保采取適當?shù)拇胧?，并將此信息反映?.6要求的定期風險評估中5.GB/T35770-2022--9.績效評價9.1.3指標制定組織應制定，實施和維護一套適當?shù)闹笜?，以幫助組織評估其合規(guī)目標的實現(xiàn)并評估其合規(guī)績效。5.GB/T35770-2022--9.績效評價9.1.4合規(guī)報告組織應建立，實施和維護合規(guī)報告流程，以確保：a） 確定了適當?shù)膱蟾鏄藴剩籦） 確定定期報告的時間表；c） 實施了例外報告系統(tǒng)，以促進臨時報告；d） 實施系統(tǒng)和流程以確保信息的準確性和完整性；e） 向組織的正確職能或領域提供準確和完整的信息，以便及時采取預防，糾正和補救措施。合規(guī)部門向理事機構或最高管理層發(fā)布的任何報告均應得到充分保護，以免發(fā)生變更。5.GB/T35770-2022--9.績效評價9.1.5記錄必須保留組織合規(guī)活動的準確，最新記錄，以幫助進行監(jiān)視和審查過程，并證明與合規(guī)管理系統(tǒng)的符合性。5.GB/T35770-2022--9.績效評價9.2內(nèi)部審核9.2.1總則組織應按計劃的時間間隔進行內(nèi)部審核，以提供有關合規(guī)管理系統(tǒng)是否：a） 符合：一組織對合規(guī)管理系統(tǒng)的要求；—本文件的要求；b） 有效地實施和維護。5.GB/T35770-2022--9.績效評價9.2.2內(nèi)部審核程序

組織應計劃，建立，實施和維護審核計劃，包括頻率，方法，職責，計劃要求和報告。

在建立內(nèi)部審核計劃方案時，組織應考慮相關過程的重要性以及以前審核的結果。5.GB/T35770-2022--9.績效評價組織應：a） 確定每次審核的審核目標，標準和范圍；b） 選擇審核員并進行審核，以確保審核過程的客觀性和公正性；c） 確保將審核結果報告給相關管理人員和管理層。注1：相關管理可以包括合規(guī)職能，最高管理者和管理機構。應提供書面信息，作為審核計劃和審核結果實施的證據(jù)。注2：ISO19011中給出了有關審核管理系統(tǒng)的指南。5.GB/T35770-2022--9.績效評價9.3管理評審9.3.1總則

領導機構和最高管理者應按計劃的時間間隔審查組織的合規(guī)管理系統(tǒng)，以確保其持續(xù)的適用性，充分性和有效性。5.GB/T35770-2022--9.績效評價9.3.2管理評審輸入管理評審應包括：a） 先前的管理評審所采取的措施的狀態(tài)；b） 與合規(guī)管理系統(tǒng)相關的外部和內(nèi)部問題的更改；c） 與合規(guī)管理系統(tǒng)有關的利害關系方的需求和期望的變化；5.GB/T35770-2022--9.績效評價d） 有關合規(guī)績效的信息，包括以下方面的趨勢：一不合格，不合規(guī)和糾正措施；一監(jiān)測和測量結果；-審計結果；e） 持續(xù)改進的機會。管理評審應考慮：一遵守政策的充分性；5.GB/T35770-2022--9.績效評價—遵守職能的獨立性；一達到合規(guī)目標的程度；一資源是否充足；一合規(guī)風險評估的充分性；一現(xiàn)有控制措施和績效指標的有效性；一提出疑慮的人，有關方面的溝通，包括反饋（見9.1.2）和投訴；-調(diào)查（見8.4）；一報告系統(tǒng)的有效性。5.GB/T35770-2022--9.績效評價9.3.3管理評審結果

管理評審的結果應包括與持續(xù)改進機會以及對合規(guī)管理體系進行任何更改的需求有關的決策。應提供書面信息，作為管理評審結果的證據(jù)。5.GB/T35770-2022--10.改進10.1持續(xù)改進組織應不斷提高合規(guī)管理體系的適用性，充分性和有效性。10.2不合格和糾正措施當發(fā)生不符合項或不符合項時，組織應：a） 對不符合項或不符合項做出反應，并在適用的情況下：1） 采取措施進行控制和糾正；2） 處理后果；5.GB/T35770-2022--10.改進b） 評估采取行動消除不合格或不合規(guī)原因或兩者的原因的必要性，以使其不會在其他地方再次發(fā)生成發(fā)生，方法是：1） 審查不合格或不合規(guī)，或兩者兼而有之；2） 確定不合格或不合格或兩者的原因；3） 確定是否存在相似的不合格品或不合格品，或同時存在或可能發(fā)生類似的不合格品；c） 實施所需的任何行動；5.GB/T35770-2022--10.改進d） 審查采取的任何糾正措施的有效性；e）如有必要，對合規(guī)性管理系統(tǒng)進行更改。糾正措施應適合于所遇到的不合格或不合格或兩者的影響。應提供書面信息作為以下方面的證據(jù)：—不符合或不符合或兩者的性質，以及隨后采取的任何措施;一任何糾正措施的結果。第二部分:內(nèi)審步驟及內(nèi)審技巧87管理體系審核術語審核準則：用作依據(jù)的一組方針、程序或要求。通常又稱為審核依據(jù)。審核準則標準QMS文件法律法規(guī)質量方針質量手冊程序文件作業(yè)標準銷售合同88管理體系審核術語審核證據(jù)：與審核準則有關的并能夠證實的記錄、事實陳述或其它信息。注：審核證據(jù)可以是定性的或定量的。審核證據(jù)查閱文件、記錄現(xiàn)場審核觀察到的現(xiàn)象審核員或他人測量的結果受審核者的談話89管理體系審核術語審核員：有能力實施審核的人員。能力的評價包括：教育培訓技能經(jīng)驗行為道德90管理體系審核的分類供方顧客組織認證機構第一方審核第三方審核第二方審核第二方審核第二方審核第二方審核91體系審核范圍審核范圍：在規(guī)定時間內(nèi)，對哪些管理體系要求、場所和產(chǎn)品進行審核。要求：應包含GBT35770-2022標準的所有要求，剪裁應予以說明。場所：凡與被審核的管理體系所覆蓋的部門和地區(qū)均應列入審核范圍。產(chǎn)品：在認證范圍內(nèi)的產(chǎn)品所涉及的活動，均應列入審核范圍。92內(nèi)部審核要求內(nèi)部審核必須按已計劃的時間日程進行內(nèi)部審核制定審核計劃時必須考慮被審核的流程和區(qū)域的狀況和重要性、以往審核的表現(xiàn)必須定義審核的準則、范圍、頻率和方法確保審核過程的客觀性和公正性審核員不得審核他們自己的工作93內(nèi)部審核要求內(nèi)部審核內(nèi)部審核員的資歷、職責和架構內(nèi)部審核的推行計劃頻次內(nèi)部審核的匯報模式內(nèi)部審核的標準表格（包括計劃表、檢查清單、不符合項目報告、觀察點報告、總結報告、糾正及預防行動報告）內(nèi)部審核記錄的保存期及地點94內(nèi)部審核要求內(nèi)部審核流程擁有者必須進行糾正及預防行動以確保不符合項目得以改善跟蹤活動必須包括對所采取糾正及預防行動的驗證和其驗證結果的成效報告可根據(jù)PDCA原理進行糾正及預防行動95一、審核計劃二、審核準備三、審核實施四、審核報告五、跟蹤驗證內(nèi)部審核實施步驟96任命組長分發(fā)實施計劃實施內(nèi)審開不合格項報告分析原因驗證直至關閉內(nèi)審相關資料歸檔制訂年度內(nèi)審計劃批準NY審核準備制訂審核實施計劃審核、批準NY制定、實施糾正措施制訂內(nèi)部審核報告審核、批準N分發(fā)內(nèi)審報告Y內(nèi)部審核管理流程圖97審核流程和職責—準備階段負責者工作步驟工作容及要求內(nèi)審部門提出內(nèi)審1.根據(jù)內(nèi)審時機提出2.領導同意。3.并確認審核組長審核組長成立審核組1.確定審核組成員2.領導授權，3.并通知準備審核組長制定審核計劃1.領導批準。2.召開小組會，明確分工3.審核前工作文件準備審核員編制檢查表1.審核員編制2.審核組長認可98審核流程和職責—實施階段審核組長苜次會議1.提前通知，明確要求。2.雙方參加。3.組長主持會議。審核組現(xiàn)場審核1.記錄審核結果2.開局不合格報告、受審核方確認審核組長末次會議1.雙方參加、簽到。2.宣讀不合格報告3.提出糾正和糾正措施要求負責者工作步驟工作容及要求99審核流程和職責—跟蹤階段負責者工作步驟工作容及要求審核組長審核報告1.領導批準。2.分發(fā)執(zhí)行責任者糾正措施1.原因分析、糾正措施計劃2.糾正措施實施、記錄審核員跟蹤審核1.糾正措施計劃確認2.糾正措施效果驗證100成立審核組體系文件審核確定審核計劃準備工作文件內(nèi)部審核準備階段101成立審核組在進行內(nèi)審前，管理者代表應任命審核組長及審核員組成審核組。審核組審核組長審核員102安排審核員考慮因素資格：經(jīng)過培訓并考試合格的管理體系內(nèi)審員。業(yè)務范圍：應與被審核部門無直接責任關系，但對被審核部門的業(yè)務有一定了解。團隊合作：應考慮審核員在工作中能否協(xié)調(diào)配合，團結合作。獲得被審核部門認可：當安排的審核員被審核部門不能接受時，應考慮另選審核員。103確定審核計劃擬審核過程和區(qū)域的狀況擬審核過程和區(qū)域的重要性以往的審核結果內(nèi)審策劃年度審核計劃追加審核計劃現(xiàn)場審核計劃104流程導向內(nèi)部審核年度計劃流程/生產(chǎn)車間一月二月三月四月五月六月七月八月COP1-1–COP5-1COP6-1–COP10-1SOP1-1–SOP20-1SOP21-1–SOP50-1MOP1-1–MOP10-1壓制生產(chǎn)車間二次加工生產(chǎn)車間裝瓶生產(chǎn)車間包裝生產(chǎn)車間105審核準備熟悉必要的體系文件編制檢查表審核組長審核檢查表現(xiàn)場審核準備106審核實施計劃審核目的審核范圍審核依據(jù)審核組成員審核日期審核日程安排審核報告發(fā)布日期及范圍審核實施計劃內(nèi)容107制定/日期：xxx/4月7日批準/日期：xxx/4月8日

審核部門與負責的質量體系要求

日期

時間

第一組

第二組

8:30-9:00

首次會議

9:00--12:00

總經(jīng)理、管理者代表(4.1、5、8.4)

營銷部（7.2、7.5、8.2.2)

13:00-17:00

技術部（7.1、7.3、8.1、8.5.1)

采購部（7.4)04月15日

17:00-17:30

審核組會議

8:30-12:00

品管部（8.2、8.3、7.6)

生產(chǎn)部（6.3、7.5、8.1)

13:00-15:30

品管部（4.2、8.5.2-3)

人事部（6.2、6.4）15:30-16:30

審核組會議

04月16日

16:30-17:30

末次會議

備注:本計劃按部門所負責的要求編制，審核時不排除對相關要求(如5.4.1、8.5等)的審核

現(xiàn)場審核計劃——范例

7.審核日程安排108安排審核計劃注意事項應覆蓋所有過程和班次。應覆蓋認證范圍（場所和活動）?？紤]審核活動和區(qū)域狀況及重要程度。以往審核結果。審核員的獨立性。109文件審核收集與受審核部門的質量活動有關的程序文件（包括公用的程序文件）、作業(yè)指導書、法規(guī)，必要時的合同等；以標準、合同、相關法規(guī)為依據(jù)對以上所收集的文件進行審核；若發(fā)現(xiàn)不符合、不充分，應記錄結果。通過文件審核，審核員了解受審核方的基本情況，為順利審核做好準備。110檢查表的作用保持審核目標的清晰和明確。保持審核內(nèi)容的周密和完整。保持審核節(jié)奏和連續(xù)性。減少審核員的偏見和隨意性。初期建議使用檢查表111檢查表的運用不能事前通報受審核方；不可逐條照本宣科；不可完全拋開檢查表；當發(fā)現(xiàn)新情況時，應調(diào)整檢查表內(nèi)容。112現(xiàn)場審核首次會議現(xiàn)場檢查審核組會議末次會議現(xiàn)場審核113首次會議——內(nèi)容會議開始：參加人員簽到，審核組長宣布會議開始，適當時請最高管理者或管理者代表講話；人員介紹：審核組長介紹審核組成員及分工，各受審核部門介紹陪同人員；重申審核目的和范圍；明確審核的目的，審核的依據(jù)，審核將涉及的部門；現(xiàn)場審核計劃的確認：現(xiàn)場審核計劃不宜做大的改動，征得各受審核部門的最后確認；強度審核的原則：強調(diào)審核的客觀、公正性，說明審核是抽樣的過程，說明相互配合的重要性，提出不合格的報告形式。會議結束：確定末次會議的時間、地點、出席人員，審核組長致謝。114現(xiàn)場審核按照審核檢查表，通過提問、面談、檢查文件、觀察有關方面的工作和現(xiàn)狀等形式來收集客觀證據(jù)。如果發(fā)現(xiàn)重大的可能導致不合格的線索，即使不在檢查表之列，也應加以記錄并進行調(diào)查。對于面談獲得的信息應通過實際觀察、測量和記錄等其他渠道予以驗證。115現(xiàn)場審核——觀察結果所有的審核觀察結果都應形成文件，在所有的工作都被審核之后，審核組應評審所有的觀察結果，以確定哪些要作為不符合項報告提出。審核審核組應確保這些報告的內(nèi)容清晰、準確地形成文件，并且有證據(jù)支持。應按審核所依據(jù)的標準或其他有關文件中相應條款的要求指出不符合項。組長應對觀察結果進行復審，所有認為不合格的觀察結果都應得到受審核方主管的認可。116注重過程的接口、職責在審核過程時看崗位職責的規(guī)定是否清晰，同時對應審核《崗位描述》文件。117現(xiàn)場檢查現(xiàn)場檢查現(xiàn)場檢查注意事項審核路線和方法審核過程的控制不合格項和不合格報告118現(xiàn)場檢查注意事項當發(fā)現(xiàn)不合格時，要追查到必要深度不要完全脫離檢查表要相信樣本要透過問題現(xiàn)象尋找客觀證據(jù)始終保持客觀、公正和禮貌與被審核方負責人共同確認事實審核員應隨機抽取樣本現(xiàn)場檢查119審核路線和方法順向追蹤逆向追溯按要求審核按部門審核現(xiàn)場檢查120順向審核從過程的始端查到過程的終端例如：從合同查到產(chǎn)品出廠從文件管理部門查到具體的文件有效性從不合格產(chǎn)生，查到糾正措施121逆向審核從過程的終端查到過程的始端例如：從幾件計量檢測設備查到計量檢測設備的管理從幾種原材料的標識查到進貨檢驗與試驗及采購控制從設計輸出查到設計輸計輸入122順向和逆向審核靈活應用實際的審核往往是”順向”和”逆向”組合實際的審核往往是按部門審核和按要素審核組合制定審核計劃時，應用按部門或按要素展開審核的策略確定抽樣方式時，應用”順向”或”逆向”的審核策略123審核過程控制控制客觀性控制審核進度控制審核計劃控制審核氣氛控制審核結果控制紀律組長控制審核全過程現(xiàn)場檢查124現(xiàn)場檢查——觀察結果所有的審核觀察結果都應形成文件，在所有的工作都被審核之后，審核組應評審所有的觀察結果，以確定哪些要作為不合格項提出報告。審核組應確保這些報告的內(nèi)容清晰、準確地形成文件，并且有證據(jù)支持。應按審核所依據(jù)的標準或其它有關文件中相應條款的要求指出不合格項。125不合格項和不合格報告不合格的形成及類型不合格報告編寫不合格報告內(nèi)容不合格報告分發(fā)現(xiàn)場檢查126不合格形成不合格的形成文文不符：管理體系文件與gbt35570標準或有關法規(guī)、合同要求不符文實不符：未按管理體系文件的規(guī)定執(zhí)行實效不符：雖按管理體系文件規(guī)定執(zhí)行，但缺乏有效性127

現(xiàn)場審核——不合格性質不合格的性質體系性不合格：管理體系文件與標準或有關法規(guī)、合同要求不符實施性不合格：未按管理體系文件的規(guī)定執(zhí)行效果性不合格：雖按管理體系文件規(guī)定執(zhí)行，但缺乏有效性128不合格類型不合格的類型嚴重不合格一般不合格體系運行出現(xiàn)系統(tǒng)性失效。體系運行出現(xiàn)區(qū)域性失效影響產(chǎn)品或體系運行的后果嚴重的不合格現(xiàn)象對滿足管理體系過程或體系文件的要求而言，是個別的、偶然的、孤立的性質輕微的問題對保證所審核區(qū)域的體系有效性而言，是個次要的問題129不合格報告的內(nèi)容受審核部門問題發(fā)生地點審核依據(jù)不合格事實描述；審核員簽名、責任部門簽名；不合格性質判定；不合格條款編號；原因分析；糾正和糾正措施計劃；糾正措施驗證結果。130不合格事實描述不合格事實確認原因分析制定糾正措施認可糾正措施糾正措施執(zhí)行糾正措施驗證審核員責任部門責任部門責任部門審核員責任部門審核員不合格報告使用流程131受審核部門問題發(fā)生地點審核依據(jù)不合格項描述：審核員/日期：責任部門/日期：不符合：不合格類型：□嚴重不合格□一般不合格原因分析：責任部門/日期：糾正和糾正措施計劃：審核員/日期：責任部門/日期：糾正措施驗證結果：審核員/日期：不合格報告——范例132不合格事實描述要點不合格事實描述要點準確地描述觀察到的事實，包括時間、地點、人物（用職務或職稱）、何種情況。使其有可重查性和可追溯性力求簡明精煉，抓住核心的不合格加以概括提煉，無關的、多余的話不要寫對統(tǒng)計數(shù)據(jù)要有分析和歸納，不要遺漏任何有益信息觀點、結論要從描述中自然流露，不要光寫結論不寫事實，并盡可能使用行業(yè)/公司術語133不合格報告的分發(fā)不合格報告應分發(fā)至不合格產(chǎn)生的責任部門和相關部門。不合格報告的分發(fā)應留有分發(fā)記錄并保存，以便后續(xù)的糾正措施跟蹤。不合格報告編號發(fā)放日期發(fā)放部門接受人糾正措施預計完成日期糾正措施實際完成日期不合格報告分發(fā)記錄R82210520220425134審核組會議在當天審核工作完成后召開；時間一小時左右為宜；僅審核組成員參加；討論并確定審核中有爭議的事項；整理審核結果；確定當天的不合格報告。135末次會議目的：向受審核部門介紹審核總體情況；提出后續(xù)的工作要求；結束現(xiàn)場審核。要求：準時開始、結束，以不超過一小時為宜；由審核組長支持會議。參加人員：與首次會議一致。136末次會議——內(nèi)容會議開始：與會者簽到，審核組長致謝受審核部門在審核期間的配合；強調(diào)審核的局限性：審核時抽樣進行的，存在一定風險；宣讀不合格報告：說明不合格報告的數(shù)量、分類，并按重要程度依次宣讀不合格報告；宣布審核結論：就受審核部門在確保整個組織的質量體系的有效運行，實現(xiàn)總的質量目標方面提出審核結論。結論應全面總結質量工作的優(yōu)缺點。提出糾正措施要求：提出采取糾正措施的要求，提出受審核部門糾正措施計劃的答復時間，完成糾正措施的時限，驗證糾正措施的方法。會議結束：向受審核部門表示感謝，受審核部門主管對改進的承諾，必要時邀請最高管理者或管理者代表講話。137內(nèi)部審核報告審核報告的編制審核報告的分發(fā)與存檔審核報告138審核報告——內(nèi)容審核日期；審核的目的和范圍；受審核的部門；實施審核所依據(jù)的文件、標準；審核組成員姓名；受審核部門的主要參與者姓名與職務；所有不合格報告及不合格項分布；質量管理體系運行有效性的結論性意見；審核報告分發(fā)清單。139內(nèi)部審核報告編號：受控狀態(tài)：發(fā)放編號：擬制人：xxx日期：2022年4月20日批準人：xxx日期：2022年4月20日XXXX有限公司審核報告——范例140審核報告審核日期：2022年4月15日~2022年4月16日受審核部門：…

…內(nèi)審組成員：組長：XXX日期：審核員：XXX日期：…

…審核員：XXX日期：頁碼：1/5審核報告——范例141審核目的：本公司合規(guī)管理手冊、程序文件已頒布3個月，為檢驗公司的合規(guī)管理體系是否運行正常，是否已具備申請GBT35570-2022認