CFIE

中國工業經濟聯合會團體標準

T/CFIE001—2023

工業企業合規管理準則

ComplianceAdministrationCodeonIndustrialEnterprises

2023-7-15發布2023-7-15實施

中國工業經濟聯合會??發布

T/CFIE001—2023

工業企業合規管理準則

1范圍

本文件規定了工業企業建立、實施、評估、保持及改進合規管理體系的總體要求。

本文件適用于所有工業企業，不論其類型、規模、性質，也無論其是私營的、公共的或非盈利的，

也適用于為工業企業提供服務和產品的企業。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T35770-2022合規管理體系要求及使用指南

ISO37301-2021合規管理體系要求及使用指南

3術語和定義

下列術語和定義適用于本文件。

組織organization

為實現目標，由職責、權限和相互關系構成自身功能的個體或群體。

工業企業和為工業企業提供服務和產品的企業industrialenterprisesandenterprises

providingservicesandproductsforindustrialenterprises

工業企業，是指直接從事工業性生產經營活動(或勞務)的營利性經濟組織。為工業企業提供服務

和產品的企業，包括工業企業供應鏈上的工業企業，也包括為工業企業提供服務和產品的其他企業。

利益相關方interestedparty

能影響決策或活動、受決策或活動所影響或認為自己受決策或活動影響的個體或企業。

最高管理者topmanagement

在最高層指揮和控制企業的個體或群體。

管理體系managementsystem

企業為確立方針和目標以及實現這些目標的過程所形成的相互關聯或相互作用一組要件。

方針policy

由最高管理者發布的企業的宗旨和方向。

目標objective

要實現的結果。

風險risk

不確定性對目標的影響。

過程process

1

T/CFIE001—2023

使用或轉化輸入以實現某結果的相互關聯或相互作用的一組活動。

能力competence

應用知識和技能實現預期目標的本領。

文件化信息documentedinformation

企業需要控制和保存的信息或載體。

績效performance

可測量的結果。

持續改進continualimprovement

提高績效的循環活動。

有效性effectiveness

策劃的活動得以實現的程度和策劃的結果得以達到的程度。

需求requirement

規定的、不言而喻的或有義務履行的需要和期望。

符合conformity

滿足需求。

不符合nonconformity

未滿足需求。

糾正措施correctiveaction

為了消除造成不符合的措施并防止其再發生所采取的措施。

審核audit

獲取審核證據并對其進行客觀評價，以判定審核準則滿足程度的系統的、獨立的過程。

測量measurement

確定數值的過程。

監視monitoring

確定體系、過程或活動的狀態。

治理機構governingbody

對企業的活動、治理、方針負有最終責任和權利的一個人或一組人，最高管理者對其報告并對其負

責。

人員personal

在國家法律或實踐中被確認為具備工作關系的個人，或依賴于企業活動的任何合同關系中的個人。

合規職能compliancefunction

對合規管理體系運行負有責任、享有權利的一個人或一組人。

合規風險compliancerisk

2

T/CFIE001—2023

因不符合企業合規義務而發生不合規的可能性及其后果。

合規義務complianceobligation

企業強制性遵守的需求，以及企業自愿選擇遵守的需求。

合規compliance

履行企業的全部合規義務。

不合規noncompliance

未履行合規義務。

合規文化complianceculture

貫穿整個企業的價值觀、道德規范、信仰和行為，并與企業結果和控制系統相互作用，產生于有利

合規的行為規范。

行為conduct

其結果影響顧客、員工、供應商、市場和社區的行為和實踐。

第三方thirdparty

獨立于企業的個人或機構。

程序procedure

為執行某項活動或過程所規定的途徑。

4組織環境

理解組織及其所處的環境

企業應確定與其宗旨相關的，并影響其實現合規管理體系預期結果的內部和外部因素，為此，企業

應綜合諸多因素，包括但不限于：

——商業模式，包括企業活動和運行的戰略、性質、規模、復雜性和可持續性；

——與第三方業務關系的性質與范圍；

——法律和監管環境；

——經濟狀況；

——社會、文化、環境背景；

——內部結構、方針、過程、程序和資源，包括技術；

——自身的合規文化。

理解利益相關方的需求和期望

4.2.1企業應理解可能影響合規管理體系、受合規管理體系影響或認為受合規管理體系影響的人或組

織的需求和期望。

4.2.2有些需求是強制性的，如法律、法規、許可、執照以及政府或法院措施。

4.2.3有些利益相關方的需求和期望是非強制性的，但企業希望通過簽訂協議或合同的形式自愿采納，

這種情況下這些需求和期望就會成為合規義務。

4.2.4外部利益相關方包括：

——政府和政府機構；

——監管機構；

——客戶；

——承包商；

——第三方中介機構；

3

T/CFIE001—2023

——所有者、股東、投資者；

——非政府組織；

——社會團體；

——業務伙伴。

4.2.5內部利益相關方的需求示例有：

——合規管理體系的利益相關方

——這些利益相關方的需求

——哪些需求將通過合規管理體系予以解決。

確定合規管理體系的范圍

4.3.1企業應確定合規管理體系的邊界和適用性，以確定其范圍。

4.3.2合規管理體系宜合理且與企業規模相匹配，宜考慮企業合規的風險性質與程度。

4.3.3確定合規管理體系的范圍時和決定企業采納哪些要求時，宜理解企業所處環境和相關方的利益

需求。

4.3.4企業選擇在整個企業，企業內具體單元，或具體職能部門實施合規管理體系的時候，具有自由

度和靈活性。

4.3.5合規管理體系應在企業所有不同單元的組織中實施，以避免道德行為和合規方法的雙重標準。

合規管理體系

4.4.1根據本文件的要求，企業應建立、實施、維護和持續改進合規管理體系。合規管理體系應反映

企業的價值觀、目標、戰略和合規風險。

4.4.2合規管理體系是一個框架，該框架是基本架構、方針、過程和程序的有機組合，其目的是實現

預期的合規結果，并發揮預防作用，發現和應對不合規行為。

4.4.3合規管理體系框架具有結構性特征，先建立必要的基礎結構，而在其上構建合規管理體系。合

規管理體系需要通過方針、過程和程序的實施使其運行，并對其進行維護和持續改進。

4.4.4合規管理體系也不能完全避免發生錯誤，但應有相應的措施對錯誤做出適當的反應，包括對過

程、體系和受影響方的補救。

4.4.5合規管理體系宜以良好治理、匹配性、完整性、透明、問責制和可持續性等原則為基礎。

4.4.6合規管理體系應作為文件化信息提供。

合規義務

4.5.1企業應將合規義務作為確立、制定、實施、評估、維護和改進其合規管理體系的基礎。

4.5.2企業強制性遵守的合規義務包括：

——法律法規；

——許可、執照或者其他形式的授權；

——監管機構發布的命令、條例或指南；

——法院判決或行政決定；

4.5.3企業自愿選擇遵守的合規義務包括：

——與社會團體或非政府組織簽訂的協議；

——與公共權利機構簽訂的協議；

——自愿性標準或環境承諾；

——簽署合同產生的義務；

——相關組織的和產業的標準等。

4.5.4企業應按部門、職能和不同類型的活動來識別合規義務，以便確定受到這些合規義務影響的主

體。

4.5.5企業可以通過以下方式獲取關于法律和其他合規義務變更信息：

——列出相應的監管部門并對其發布信息進行跟蹤；

——成為專業團體會員；

——訂閱相關信息服務；

——參加行業論壇和研討會；

4

T/CFIE001—2023

——監管部門網站；

——與監管部門會晤；

——與法律顧問洽商；

——監視合規義務來源（如監管聲明和法院判決）等。

4.5.6企業可采取基于風險管理的方法，即首先識別出與業務相關的最重要的合規義務，然后關注所

有其他合規義務。

4.5.7在適當的情況下，企業應建立并維護一個單獨文件，列出所有合規義務，并定期更新。

4.5.8除列出合規義務外，該文件還應包括；

——合規義務的影響；

——合規義務的管理；

——與合規義務相關的控制措施；

——風險評估等。

合規風險評估與管理

4.6.1企業應對合規風險進行評估、識別、分析并采取應對措施。

4.6.2企業應將其合規義務與其活動、產品、服務以及運行聯系起來，以識別合規風險。

4.6.3企業應評估外包和第三方相關的合規風險。

4.6.4企業應定期評估合規風險，并在企業所處的環境發生重大變化時進行再評估：

——當出現新的活動、產品或服務時，或它們產生變更時；

——企業結構或戰略變化；

——重大的外部變化，如金融、經濟環境、市場條件、債務和客戶關系；

——合規義務發生改變；

——并購；

——不合規（即使是單一不合規事件也可能構成合規義務的實質性變化）。

4.6.5企業應保持合規風險評估和應對措施相關的文件化信息。

合規風險級別

4.7.1對所識別的合規風險一般可分為三類：重大風險、中等風險、一般風險。

a)重大風險

法律、法規、政策以及地方法治環境的重大變化對經營活動產生的風險；監管機構出具的各類處罰

決定、監管意見、風險提示等情況；向監管機構報送證明性材料、專項匯報材料、監管意見落實整改情

況、各類合規材料等；業務開展過程中存在的違反法律、法規、政策的重大風險信息；各類制度文件中

存在的不符合法律、法規、政策要求的情況；因合規問題導致企業被訴的情況；其他應被確定為重要

合規風險的事項。

b)中等風險

企業經營活動中新出現的風險或原有風險的變化；既定合規風險應對方案執行情況及執行效果發生

變化，不能全部達到原來目標；對企業經營可能存在一定影響，但影響較小或未來造成直接損失較小；

其他可以被認定為中等合規風險的事項。

c)一般風險

除上述重要風險、中等風險外，企業對推動合規管理、提升合規管理水平、保障公司健康發展相關

的，但影響較小，需要通過加強管理等方式進行完善的事項，作為一般合規風險事項進行管理。

4.7.2合規風險還可以分為固有風險和剩余風險。固有風險是指企業未采取任何合規風險處理措施情

況下所面臨的合規風險。剩余風險是現有的合規風險處理措施無法有效控制的仍然存在的合規風險。

5領導作用

領導作用和承諾

5.1.1治理機構和最高管理者

5.1.1.1治理機構和最高管理者應從以下方面發揮其對合規管理體系的領導作用并做出承諾：

5

T/CFIE001—2023

——確保合規方針和合規目標與企業的戰略一致；

——確保合規管理體系的要求融入業務過程；

——確保配置了合規管理體系所需的資源；

——就合規管理的重要性和符合合規要求的重要性進行溝通；

——確保合規管理實現預期結果；

——指導和支持合規管理人員提升合規管理體系的有效性；

——持續改進。

5.1.1.2治理機構和最高管理者應：

——確立和堅持企業的價值觀；

——確保制定的方針按確定的程序實施，以實現合規目標；

——確保能夠及時獲知合規事件，包括不合規情況，并確保采取適當措施；

——確保遵守合規承諾，并妥善處理不合規事項和違規行為；

——確保合規責任在工作職責中得到適當體現；

——任命和提名主要合規管理人員；

——確保建立了提出和解決疑慮的機制。

5.1.2合規文化

5.1.2.1企業應在各個層級建立、維護并推廣合規文化。治理機構、最高管理者和管理者應對企業合

規共同行為準則做出積極的、明示的、一致且持續的承諾。

5.1.2.2最高管理者應鼓勵、倡導和支持合規行為，應阻止、不容忍不合規的行為及損害合規的行為。

5.1.2.3支持合規文化發展的要素包括：

——發布清晰的價值觀；

——管理層遵守價值觀并積極實施；

——不論其職務，保持不合規處理中的一致性；

——在指導、輔導和領導中以身作則；

——錄用關鍵職能的人員時應進行適當的評估，包括盡職調查；

——在入職培訓或新員工訓練中強調合規和組織價值觀；

——持續進行合規培訓，包括對所有人員和相關利益方的培訓；

——持續就合規問題進行溝通；

——建立績效考核體系并將合規表現與績效工資掛鉤；

——對合規管理績效和結果予以明確認可；

——對故意或因疏忽而違反合規義務的情況給予即時懲戒；

——將合規義務和每個崗位聯系起來，強調合規是實現企業目標的途徑；

——在內部和外部就合規進行公開和適當的溝通。

5.1.2.4合規文化的形成體現于以下方面的實現程度：

——上述事項得以實施；

——利益相關方相信上述事項已經實施；

——企業員工理解合規義務與自身工作和所在業務單元的相關性；

——企業各層級都按照要求對不合規采取補救并采取糾正措施；

——重視合規職能所扮演的角色及其目標；

——企業員工應受到鼓勵向包括最高管理者和治理機構在內的管理層提出疑慮。

5.1.2.5企業應實現：

a)測量其合規文化；

b)尋求所有員工的意見，以確定他們是否感知到治理機構、最高管理者和中層管理者對合規的

承諾；

c)根據企業合規文化制定行動計劃。

5.1.3合規治理

合規治理應遵循以下原則：

6

T/CFIE001—2023

——合規職能部門能夠直接接觸治理機構和最高管理者。如有需要，他們能夠繞過組織中的其他

人直接與最有權采取行動的人溝通。例如，合規職能部門能夠直接向CEO報告或向董事會報

告；

——合規職能部門應是獨立的、可以自由行動、不受垂直管理者的干涉；

——合規職能部門擁有必要的權限。合規職能部門應不是一個能夠被上級否決或被其修改報告或

信息的初級部門。合規職能部門能夠根據需要指導其他員工。合規職能部門應有“發言權”，

以申明和提出合規疑慮；

——合規職能部門應有足夠的資源來支持企業執行合規管理體系的必要工作和職責，包括獲取相

應的技術以使合規管理體系能夠全面和有效地支持企業實現其合規目標。

合規方針

5.2.1治理機構和最高管理者應確立合規方針，該方針應遵循：

a)符合企業的宗旨；

b)為實現合規目標設定框架；

c)有落實的承諾；

d)有持續改進合規體系的承諾。

5.2.2合規方針應：

——與企業的價值觀、目標和戰略一致；

——要求遵守企業的合規義務；

——支持合規治理原則；

——清晰闡述合規職能；

——概述不遵守合規義務的后果；

——鼓勵提出疑惑，并且禁止任何形式的報復；

——用通俗易懂的語言書寫，易于所有員工理解；

——被實施和執行；

——作為文件化信息可獲取；

——在企業內傳達；

——適宜時，便于利益相關方獲取。

5.2.3合規方針應由治理機構批準。

5.2.4合規方針不應是個獨立的文件，應有其他文件的支持，包括運行方針和過程。

5.2.5在制定合規方針時應考慮：

a)具體的區域或屬地義務；

b)企業的戰略、目標、文化和治理方法；

c)企業結構；

d)不合規風險的性質和等級；

e)內部方針和程序；

f)行業標準等。

5.2.6合規方針可包括：

——使命宣言；

——總體方針聲明；

——管理以及責任和資源的分配；

——標準合規程序；

——審計、盡職調查等。

崗位、職責和權限

5.3.1治理機構和最高管理者

5.3.1.1治理機構的積極參與和監督是合規管理不可或缺的組成部分。

5.3.1.2為確保合規管理體系有效，治理機構和最高管理者需要以身作則，積極、明確地支持合規與

合規管理體系。

7

T/CFIE001—2023

5.3.1.3許多企業根據其規模可以設立合規管理的總負責人。該負責人可以兼任企業其他職務。

5.3.1.4最高管理者應鼓勵和支持合規的行為，而不容忍侵害合規的行為。

5.3.1.5最高管理者應確保：

——企業對合規的承諾與其價值觀、目標和戰略一致

——幫助所有員工認識到實現與自己相關的合規目標的重要性

——建立一種鼓勵報告不合規和不會受到報復的環境

——將合規納入更廣泛的組織文化和文化變更舉措中

——識別不合規并及時采取行動予以糾正

——運行目標和指標不會影響合規行為。

5.3.1.6最高管理者應按計劃的時間間隔（每季度或每月）檢查合規管理體系的績效，以確保合規管

理體系實現其目標。

5.3.1.7最高管理者應通過制定標準并對合理監督做出承諾從而實現合規管理的有效性。最高管理者

應了解合規管理體系的內容和運行，并應確保企業擁有有效的合規管理體系所需要的程序。

5.3.2合規職能

5.3.2.1合規職能應負責合規管理體系的運行，包括：

——促進識別合規義務；

——記錄對合規風險的評估；

——使合規管理體系與合規目標保持一致；

——監督和測量合規績效；

——分析和評估合規管理體系的績效，以決定是否需要采取糾正措施；

——建立合規報告和記錄制度；

——按計劃對合規管理體系進行評審；

——建立提出疑慮以及確保疑慮得到解決的機制。

5.3.2.2合規職能應監督：

——有效地分配相關的職責，以履行已經識別的合規義務；

——合規義務的履行已經被納入方針、過程和程序；

——所有相關人員按要求接受培訓；

——建立合規績效指標。

5.3.2.3合規職能應：

——向相關人員提供與合規方針、過程和程序有關的資源；

——可以就合規相關事宜向企業提供建議。

5.3.2.4企業應確保合規職能能夠：

——接觸最高管理者，并在決策過程中有早期提出建議的機會；

——接觸企業的所有層級；

——接觸所有需要的人員、文件化信息和數據；

——可以就相關法律、法規、政策和企業標準收集專家意見。

5.3.3管理者

管理者應通過以下方式對其職責范圍內的合規工作負責：

——配合和支持合規職能，并鼓勵員工共同參與；

——確保其管理范圍內的所有人員都遵守企業的合規義務、方針、過程和程序；

——識別其運行中的合規風險并進行溝通；

——在其職責范圍內將合規義務融入現有的商業慣例和程序；

——參加并協調合規培訓活動；

——培養員工的合規意識，指導他們進行培訓并達到相關能力要求；

——鼓勵并支持員工提出合規疑慮，并防止任何形式的報復；

——根據要求積極參與合規問題的管理、解決；

——確保糾正措施能夠得到推薦并實施。

8

T/CFIE001—2023

5.3.4員工

企業所有員工應：

——遵守企業的合規義務、方針、過程和程序；

——報告合規的疑慮、問題和漏洞；

——根據要求參加培訓。

6策劃

風險與機會的應對措施

6.1.1企業進行合規管理體系策劃時，應結合4.1理解組織及其所處的環境中提及的因素和4.2理解

利益相關方的需求和期望中提及的需求，并確定需要應對的風險和機會，從而：

——確保合規管理能實現預期結果；

——預防或減少非預期的影響；

——實現持續改進。

6.1.2在策劃合規管理體系時，企業應結合：

——其合規目標（見6.2）；

——經識別的合規義務（見4.5）；

——合規風險評估結果（見4.6）。

6.1.3企業應策劃以下活動：

a)應對風險和機會的措施；

b)將措施納入合規管理體系并實施；

c)評價這些措施的有效性。

6.1.4合規管理體系的策劃是在戰略層面上展開的，而運行策劃則是針對運行層面的。

6.1.5策劃的目的是預測可能發生的情況和后果，因此策劃具有預防性。根據合規風險評估的結果，

企業應策劃在不利影響發生之前處理它們，以及如何從有利條件或環境中獲益。

6.1.6策劃還應包括將對合規管理體系必要或有益的行動融入業務活動和過程中。還應策劃評估合規

管理體系有效性的方法包括技術方法、內部審核或管理評審。

合規目標和達到目標的策劃

6.2.1企業應在相關職能和層級上建立合規目標。

6.2.2合規目標應：

a)與合規方針一致；

b)可量測（如果可行）；

c)反映適用的需求；

d)予以監視；

e)予以傳達；

f)視情況予以更新；

g)作為文件化信息可獲取。

6.2.3為實現合規目標，策劃應確定：

——做什么；

——需要什么資源；

——誰負責；

——何時完成；

——結果如何評價。

6.2.4企業應確定實現合規目標所需的行動、時間和責任人。應定期監視、記錄、評估和更新合規目

標及實現目標的進度。

針對修改的策劃

6.3.1當確定需要修改合規管理體系時，企業應有計劃地實施修改。

9

T/CFIE001—2023

6.3.2企業應統籌：

——修改的目的及其可能的后果

——合規管理體系設計和運行的有效性

——足夠的資源的可獲取性

——責任和權利的分配或再分配。

7支持

資源

為建立、實施、維護和持續改進合規管理體系，企業應確定并提供所需的資源。資源包括財力、人

力和技術資源，包括獲得外部咨詢和獲得專業技能的機會，也包括獲得企業基礎設施、技術發展情況等

信息，還包括合規管理、法律義務方面的最新參考資料。

能力

7.2.1通則

企業應：

——確定在其管理下的員工具有實現合規績效的能力

——確保這些員工接受適當培訓并獲得相應經驗從而能夠勝任相關工作

——采取有效措施幫助員工獲得必要的能力并評估措施的有效性

——能力應能夠被證明并作為文件化信息可獲取。

7.2.2聘用過程

7.2.2.1企業應針對其所有員工制定、建立、實施和保持以下過程：

a)將遵守企業的合規義務、方針、過程和程序作為員工的聘用條件；

b)確保新入職員工有渠道獲得合規方針，并獲得合規方針培訓；

c)對于違反企業合規義務、方針、過程和程序的員工，應采取適當的紀律處分。

7.2.2.2企業應結合崗位和員工可能引發的合規風險在聘用、調動和晉升之前按要求進行盡職調查。

7.2.2.3企業應對績效目標、績效獎金和其他激勵措施進行定期評審，以驗證是否有適當的措施來防

止不合規。

7.2.3培訓

7.2.3.1企業應定期對有關人員進行培訓，可以在聘用開始時和企業預先規劃好的時間點實施。

7.2.3.2培訓應：

a)與職責和員工面臨的合規風險相適應；

b)進行有效性評估；

c)進行定期評估。

7.2.3.3基于已識別的合規風險，企業可依照程序對代表其業務并可能給其帶來風險的第三方進行培

訓，提高其合規意識。

7.2.3.4培訓記錄應作為文件化信息予以保留。

7.2.3.5當下列情況出現時，應考慮再次進行合規培訓：

——職位或職責的改變；

——內部方針、過程和程序的變更；

——組織結構的改變；

——合規義務的改變，特別是法律要求和利益相關方需求的改變；

——活動、產品或服務的改變；

——監視、審核、評審、投訴等環節產生了不合規問題，包括利益相關方反饋。

意識

7.3.1企業員工應知曉：

10

T/CFIE001—2023

——合規方針；

——他們對合規管理體系有效性的貢獻，包括改善合規績效帶來的效益；

——不符合合規管理體系要求的后果；

——提出合規疑慮的方法和程序；

——工作崗位的合規義務與合規方針的關系；

——合規文化的重要性。

7.3.2提高合規意識的方法包括：

——培訓；

——與最高管理者溝通；

——獲得易于參照執行和容易獲得的參考資料；

——定期更新合規問題等。

溝通

7.4.1企業應進行與合規管理體系有關的內部和外部溝通，包括溝通什么，何時溝通，和誰溝通，如

何溝通。

7.4.2企業應：

——綜合考慮溝通的多樣性和潛在障礙；

——在溝通過程中，確保考慮利益相關方的意見；

——在溝通過程中:

a)應將合規文化、合規目標和義務納入溝通內容；

b)應確保溝通中的合規管理體系的信息一致且可信。

——對與合規管理體系內容相關的溝通內容進行回應；

——保留適宜的文件化信息作為其溝通的證據；

——在企業的各個層級和職能內部進行溝通，溝通內容包括與合規管理體系有關的信息，也包括

合規管理體系變更的情況；

——確保員工能在溝通過程中為合規管理體系的持續改進做出貢獻；

——確保員工能在溝通過程中提出疑慮；

——建立對外溝通渠道并傳播包括合規文化、合格目標和義務在內的與合規管理體系相關的信息；

——根據企業的方針，采取面向所有利益相關方的務實的對外溝通方式；

——溝通應堅持透明、適當、可信、響應、可訪問和清晰的原則。

文件化信息

7.5.1通則

企業的合規管理體系應包括：

a)本文件要求的文件化信息；

b)確定的、對于合規管理體系有效性來說必要的文件化信息。

7.5.2文件化信息的創建和更新

企業創建和更新文件化信息時，應確保：

——予以適當標識和說明（例如：標題、日期、作者或參考編號）；

——使用適當的形式（例如，語言、軟件版本、圖形）和載體（例如紙質的、電子的）；

——對適用性和充分性進行適當的評審和判斷。

7.5.3文件化信息的控制

7.5.3.1企業應控制本文件所要求的文件化信息，以確保文件化信息：

a)無論何時何處需要時都易于和適于取用；

b)得到充分地保護（例如，避免泄露機密、不當使用或失去完整性）

7.5.3.2為控制文件化信息，適當時，企業應進行以下活動：

——分發、訪問、檢索和使用；

11

T/CFIE001—2023

——存儲和保存，包括保持易讀性；

——對變更的控制（例如，版本控制）；

——保留和處置。

7.5.3.3適當時，應識別和控制由組織確定的，對合規管理體系的策劃和運行來說必要的來自外部的

文件化信息。

8運行

運行的策劃與控制

8.1.1企業應策劃、實施、控制以滿足合規要求以及實施第6條所確定的措施所需的過程，具體通過

以下方式：

——對過程確立準則；

——按照準則對過程實施控制。

8.1.2運行控制的一個基本要素是制定行為準則，其中規定了企業合規義務的全面承諾。行為準則應

適用于所有人員并使其能夠獲得和使用。

8.1.3運行控制是針對可能導致偏離合規方針或違反合規義務的情況而實施的。這些情況可能與所有

業務情況、活動或過程（例如：生產、安裝、服務、維護）或承包商、供應商或銷售商有關。

8.1.4控制的程度取決于所履行的職能的重要性或復雜性、不合規的潛在后果、相關的或可能的技術

支持。

8.1.5當運行控制失效時，則有必要采取措施來處理不期望的結果或影響。

8.1.6如果企業活動中使用第三方或外包，企業應對其進行盡職調查，以確保企業對合規的標準和承

諾不會降低。企業應確保簽訂適當的服務水平協議（SLAs）以規定服務提供者的合規義務。

8.1.7一個良好的外包過程應考慮以下幾點：

——初步和持續的盡職調查；

——實施適當的控制；

——進行持續的監視；

——對法律/合同協議的適當審查；

——考慮服務水平協議；

——使用基于本文件被認證的第三方。

8.1.8在與第三方訂立合同時，企業應采取措施，以確保其采購、運行和財務方面得以適當管理。根

據企業和交易的規模，企業實施的采購、運行、商業和其他非財務控制措施能夠降低合規風險。

建立控制和程序

8.2.1企業需要有效的控制，以確保企業的合規義務得以履行，不合規得以防止、發現和糾正。控制

的設計應足夠嚴格，以促進在特定的企業活動和運行環境中實現合規義務。在可能情況下，這種控制應

嵌入企業的正常經營過程中。

8.2.2控制包括：

——清晰、實用且易于遵守的文件化方針、過程、程序和工作指示；

——系統報告和例外報告；

——批準；

——分離不相容的崗位和職責；

——自動化過程；

——年度合規計劃；

——人員績效計劃；

——合規評估和審核；

——展示管理層承諾和模范行為，以及其他促進合規行為的措施；

——就員工的行為（標準、價值觀、行為準則）進行積極、公開和頻繁的溝通。

8.2.3在制定支持合規管理的程序時，應考慮到：

——將合規義務納入程序，包括計算機系統、表格、報告系統、合同等；

12

T/CFIE001—2023

——與企業的其他評審和控制職能保持一致；

——持續監視和測量；

——評估和報告（包括管理監督），以確保員工遵守程序；

——識別、報告和上報針對不合規情況的具體安排。

報告疑慮

8.3.1企業應建立、實施并保持一個鼓勵并有助于對試圖、涉嫌或實際存在的，違反合規方針或合規

義務的行為（基于合理理由相信信息真實性的情況下）進行舉報的過程。

8.3.2該過程應：

——在整個企業內可知可用

——對舉報保密

——接受匿名舉報

——保護舉報者免于遭受打擊報復

——方便舉報的進行。

8.3.3企業應確保所有員工了解舉報程序、了解自身的權利和保障機制，并能夠運用相關程序。

調查過程

8.4.1企業應通過評估、評價、調查形成有關涉嫌或實際的不合規情形的報告，并做出結論。這些過

程應確保公平、公正地做出決定。

8.4.2調查過程應由具備相應能力的人員獨立進行，且避免利益沖突。

8.4.3適當時，企業應利用調查結果改進合規管理體系。

8.4.4企業應定期向治理機構或最高管理者報告調查的次數和結果。

8.4.5企業應保留有關調查的文件化信息。

8.4.6有效的合規管理體系的一個特點是具有功能良好的機制，以便及時、徹底地調查對本企業、其

他人員或有關第三方不當行為的任何指控或懷疑。

8.4.7有效的調查機制能查明不當行為的根源、合規管理的漏洞和責任缺失的原因，包括管理者、最

高管理者和治理機構之間的責任缺失。縝密的根源分析涉及不合規的程度和普遍性，牽扯到的人員，以

及嚴重性、持續時間和頻率。

8.4.8企業應確保調查是公正和獨立的，且應酌情考慮設立獨立的委員會來監督調查活動并確保調查

的完整性和獨立性。

8.4.9企業應建立關于調查的報告機制，包括調查報告的級別。

8.4.10即使法律不要求企業報告不合規行為，企業也應考慮主動向監管機構披露不合規行為，以減輕

不合規行為的后果。

9績效評價

監視、測量、分析和評價

9.1.1通則

9.1.1.1企業應對合規管理體系進行監視，以確保合格目標的實現。

9.1.1.2企業應確定：

——需要被監視和測量的對象；

——適用的監視、測量、分析和評價方法，以確保有效的結果；

——何時應實施監視和測量；

——何時應對監視和測量的機構進行分析和評價；

——文件化信息作為結果證據可獲取。

9.1.1.3企業應評價合規績效及合規管理體系的有效性。

9.1.1.4合規管理體系的監視通常包括：

——培訓的有效性；

——控制的有效性；

13

T/CFIE001—2023

——有效分配履行合規義務的職責；

——合規義務的時效性；

——解決先前發現的合規缺陷的有效性；

——未按計劃進行內部合規檢查的情況；

——針對合規風險對業務戰略進行審查，以便適當更新。

9.1.1.5合規績效監視通常包括：

——不合規和“近乎不合規”（即未造成負面影響的事件）的情況；

——未履行合規義務的情況；

——未實現目標的情況；

——合規文化現狀；

——確立的領先和滯后指標。

9.1.2合規績效的反饋來源

9.1.2.1企業應能夠從多種渠道獲取合規績效反饋。企業應對績效反饋信息進行分析和嚴格評估，以

確定不合規的根本原因，確保采取適當的措施，并在4.6要求的定期風險評估中反映上述信息。

9.1.2.2合規績效反饋來源包括：

——人員（例如：通過舉報工具、求助熱線、反饋、意見箱）；

——顧客（例如：通過投訴處理系統）；

——第三方；

——供應商；

——承包商；

——監管機構；

——過程控制日志和活動記錄（包括電子版和紙質版）。

9.1.2.3合規績效反饋包括：

——合規問題；

——不合規和合規疑慮；

——新出現的合規問題；

——持續的監管和企業的變更；

——對合規有效性和績效的評論。

9.1.2.4信息收集方法包括：

——出現或識別出不合規的特別報告；

——通過熱線、投訴和其他反饋渠道（包括舉報）獲得的信息；

——非正式討論、研討會和分組座談會；

——抽樣和誠信實驗，如神秘購物；

——感知調查的結果；

——直接觀察、正式訪談、工廠巡視和檢查；

——審核和評審；

——利益相關方面質詢、培訓期間的反饋（特別是員工的反饋）

9.1.2.5應建立信息的分類、存儲和檢索系統。信息分類類目包括：

——來源；

——部門；

——不合規描述；

——義務類別；

——指標；

——嚴重性；

——實際或潛在影響。

9.1.3指標的制定

14

T/CFIE001—2023

9.1.3.1企業應制定、實施和保持一套合適的指標，以幫助企業評估其合規目標的實施程度和合規績

效。

9.1.3.2指標包括：

——經過有效培訓的員工比例；

——監管機構介入的頻率；

——反饋機制的使用（包括用戶對這些機制價值的評論）。

9.1.3.3反映性指標包括：

——按類型、區域和頻率報告已識別的問題和不合規；

——不合規的后果，包括對經濟補償、罰款和其他處罰、補救成本、聲譽或員工時間成本影響的

估價；

——報告和采取糾正措施所花費的時間。

9.1.3.4預測性指標包括：

——不合規導致的潛在損失/收益（收入、安全、聲譽等）；

——不合規趨勢（基于過去趨勢預測不合格率）。

9.1.4合規報告

9.1.4.1企業應建立、實施和保持合規報告的過程，以確保：

a)適當的報告準則；

b)制定定期報告的時間表；

c)建立非常規報告機制以便于臨時報告；

d)實施保證信息準確性和完整性的機制和過程；

e)向企業中適合的職能提供準確和完整的信息，以便及時采取預防、糾正和補救措施。

9.1.4.2合規職能向治理機構和最高管理者提交的報告內容均應受到充分保護，以防止被修改。

9.1.4.3合格報告應包括：

——企業按要求向任何監管機構通報的任何事項；

——合規義務變化及其對企業的影響，以及為了履行新義務擬采取的措施和方法；

——對合規績效的測量，包括不合規和持續改進；

——可能的不合規的數量和詳細內容，以及對它們的分析；

——采取的糾正措施；

——合規管理體系的有效性、業績和趨勢的信息；

——與監管機構的接觸和關系進展；

——審核和監視活動的結果；

——監視行動計劃的執行，特別是那些源自審核報告或監管要求的行動計劃。

9.1.4.4合規方針應鼓勵及時報告超出常規報告時間范圍的重大事件。

9.1.5記錄保持

9.1.5.1企業應保留合規活動的記錄，以監視和評審合規過程，并表明其符合合規管理體系要求。

9.1.5.2記錄保存應包括對合規問題、宣稱的不合規以及解決措施的記錄和分類。

9.1.5.3記錄應以清晰、容易辨認和便于檢索的方式保存。

9.1.5.4記錄應受到保護，以免被增加、刪除、修改、未經授權使用或隱藏。

9.1.5.5企業和合規管理體系記錄包括：

——合規績效信息，包括合規報告；

——不合規及糾正措施的詳細內容；

——對合規管理體系的評審和審核的結果。

內部審核

9.2.1通則

企業應在策劃的時間間隔實施內部審核，為對合規管理體系進行以下判斷提供信息：a)是否符合企

業自身對合規管理體系的要求，及本文件的要求;b)是否得到有效地實施和維護。

15

T/CFIE001—2023

9.2.2內部審核方案

9.2.2.1企業應策劃、制定、實施和維護一個或多個審核方案，包括頻次、方法、職責、策劃要求和

報告。

9.2.2.2在制定內部審核方案時，企業應結合相關過程的重要性和以往審核結果。

9.2.2.3企業應：

a)界定每次審核的目標、準則和范圍；

b)選擇審核員并實施審核，以確保審核過程客觀公正；

c)確保將審核結果報告給相關管理者和管理層。

9.2.2.4審核職能無論其是內部的還是外部的，都應免于利益沖突并保存獨立性。

管理評審

9.3.1通則

治理機構和最高管理者應在策劃的時間間隔內組織合規管理體系的評審，以確保合規管理體系持續

的適用性、充分性和有效性。

9.3.2管理評審輸入

9.3.2.1管理評審應包括下列內容：

a)以往管理評審所采取措施的情況；

b)與合規管理體系有關的外部和內部的變化；

c)與合規管理體系有關的利益相關方需求和期望的變化；

d)關于合規績效的信息，包括不符合、不合規與糾正措施，監視和測量的結果，審核結果；

e)持續改進的機會。

9.3.2.2管理評審應考慮：

——合規方針的充分性；

——合規職能的獨立性；

——合規目標的達成度；

——資源的充分性；

——合規風險評估的充分性；

——現有控制措施和績效指標的有效性；

——與提出疑慮的人員、利益相關方溝通，包括反饋和投訴；

——調查；

——報告機制的有效性。

9.3.3管理評審結果

9.3.3.1管理評審的結果包括與持續改進機會有關的決定和任何需要對合規管理體系進行的修改。

9.3.3.2文件化信息應作為管理評審結果的證據可獲取。

9.3.3.3管理評審還包括以下方面的建議：

——合規方針以及與它相關的目標、體系、結構和人員所需的改變

——合規過程的改變，以確保與運行實踐和體系有效整合

——需監視的未來潛在不合規的區域

——與不合規相關的糾正措施

——當前合規體系和長期持續改進目標之間的差距或不足

——對組織內的示范性合規行為的認可。

合規管理體系的認證

9.4.1通則

企業可委托具備認證資質的，并經中國工業經濟聯合會授權的認證機構依據本文件對其合規管理體

系進行認證，從而獲得可向相關方提供的能夠證明其合規管理體系有效運行的證明文件。

16

T/CFIE001—2023

9.4.2認證

本文件所稱認證，是認證機構根據本文件對工業企業合規管理體系的要求，評定企業合規管理體系

到達合格要求并出具合規認證證書。

9.4.3認證的跟蹤

認證機構應當對其認證的企業的合規管理體系的有效性進行持續的跟蹤調查或在規定的間隔時間

內再次進行認證。經認證的企業合規管理體系不能持續符合認證要求的情況下，認證機構應當暫停使用

直至撤銷認證證書，并予以公布。

9.4.4認證與合規風險

合規管理體系認證證書能夠證明企業擁有有效的合規管理體系并持續運營，但并不能保證企業不出

現合規風險。一個擁有有效的合規管理體系的企業能夠更好地避免不合規風險，能夠持續改善其合規管

理體系，是更好的企業治理者，也是更好的合作伙伴。

10改進

持續改進

10.1.1企業應持續改進合規管理體系，使其具有適用性、充分性和有效性。

10.1.2當企業認為有必要對合規管理體系進行變更時，應有計劃地實施。

10.1.3企業應結合：

——變更的目的及其潛在后果；

——合規管理體系設計和運行的有效性；

——充足資源的可用性；

——職責和權限的分配和再分配。

10.1.4合規管理體系的有效性的特點是它具有持續改進和發展的能力。企業的內部、外部環境以及業

務隨著時間的推移而變化，其顧客的性質和適用的合規義務也隨之變化。

10.1.5合規管理體系的充分性和有效性可通過多種方法進行持續和定期的評估，例如評審和內部審核。

10.1.6當合規管理體系做出改變時，企業也應考慮這些變化對運行、資源可用性、合規風險評估、企

業的合規義務及其持續改進過程的影響。

不符合或不合規的糾正措施

10.2.1發現不符合或不合規時，企業應采取下列措施：

a)對不符合或不合規做出反應，并采取控制和糾正措施；

b)對不合規造成的后果進行處理；

c)通過評估,采取避免其再次發生或在其他地方發生的措施，消除造成不符合或不合規的原因；

d)評審不符合或不合規,確定造成不符合或不合規的原因；確定是否存在或可能發生類似的不符

合或不合規。

e)實施任何必要措施；

f)評審所采取的任何糾正措施的有效性；

g)如必要，修改合規管理體系；

h)糾正措施應與不符合或不合規的影響相適應。

10.2.2文件化信息應作為以下事項的證據可獲取：

——不符合或不合規的性質及所采取的后續措施；

——任何糾正措施的結果。

10.2.3未能預防或檢測到一次性不合規，并不一定意味合規管理體系在預防和檢測不合規時缺乏有效

性。

10.2.4來自于分析不符合或不合規的信息能用于考慮：

——評估產品和服務性能；

——改進或重新設計產品和服務；

17

T/CFIE001—2023

——改變組織慣例和程序；

——再培訓員工；

——重新評估通知利益相關方的必要性；

——對潛在不合規問題做出早期預警；

——重新設計或審查控制；

——加強通知和逐級報告步驟；

——溝通有關不合規的事實和企業對不合規的立場。

10.2.5企業應識別導致不遵守方針或程序的行為的根本原因，并更新方針和程序。

11工業企業合規特別規定

整體要求

11.1.1工業企業在開展重點領域合規管理時，應根據企業所處的行業特點、企業的產品和服務、企業

的商業模式、企業經營范圍及特點、企業的規模大小、公司的類型等識別企業自己的合規義務。

11.1.2本文件提供的工業企業合規特別規定，只是為工業企業提供一個可供參考的合規檢查清單，企

業應根據自己實際情況，明確企業的專項管理重點領域并制定企業的專項合規管理清單。

產品與服務質量

企業應在產品與服務領域實施合規管理，識別并履行以下方面的合規義務，例如：

a)生產經營許可、強制性認證等資質要求；

b)產品質量安全要求，符合保障人體健康和人身、財產安全的國家標準、行業標準；

c)產品質量安全過程控制方面符合法律法規的強制性規定；

d)發生產品質量問題時應履行退貨、換貨、修理義務，需要召回的，應按照要求履行召回義務；

e)產品經營者、經營協助者、市場開辦者應履行相關義務；

f)及時響應監管部門監督檢查工作等。

安全生產

企業應在安全生產領域實施合規管理，識別并履行以下方面的合規義務，例如：

a)安全生產組織和管理；

b)安全生產風險管理；

c)安全生產保障；

d)安全生產教育和培訓等。

環境保護

企業應在環境保護領域實施合規管理，識別并履行以下方面的合規義務，例如：

a)保護經營所在地的環境資源；

b)環境保護的各項法律法規要求；

c)確定環境保護的對象、目標和方針，并與合規體系相適應；

d)確定環境保護合規工作負責人，統籌環保合規工作制度擬定、執行、評估、應急管理、糾正

措施等；

e)環境保護合規監督；

f)環境保護合規風險應急；

g)環境保護合規培訓教育；

h)產品回收、處置方面的環境保護等。

能源管理

企業應在能源管理領域實施合規管理，識別并履行以下方面的合規義務，例如：水、電、氣、新能

源、能效管理、能源供應、能源綠色和低碳化、能源采購、可持續供應等。

采購與供應鏈

18

T/CFIE001—2023

企業應在采購和供應鏈管理領域實施合規管理，識別并履行以下方面的合規義務，例如：

a)招投標管理制度；

b)嚴禁在招投標等采購過程中涉及串標、腐敗、欺詐、脅迫等行為；

c)加強對招投標等采購行為中的違規行為的處理；

d)建立第三方風險管控機制，對其開展盡職調查與合規分析評估，在進入實質性合作之前，要

求第三方做出合規承諾或認證，配合企業的管控與監督；

e)倉儲設備設施、人員資質、危險物品存儲、倉儲要求、消防等方面符合相關法律法規的規定；

f)物流運輸方面的合規義務包括外包運輸公司資質、運輸設備、運輸人員資質技能、載重、駕

駛行駛（速度、路線、限高、疲勞駕駛、酒駕）、環保方面（油耗、尾氣、噪聲）等。

市場交易及營銷

企業應在市場交易及營銷領域實施合規管理，識別并履行以下方面的合規義務，例如：

a)交易管理制度；

b)反商業賄賂、反腐敗；

c)資產交易；

d)廣告、促銷、品牌管理、銷售活動、合同、渠道等；

e)三包制度、服務體系、消費者權益保護、產品回收、電子商務等。

網絡及數據安全

企業應在網絡和數據安全領域實施合規管理，識別并履行以下方面的合規義務，例如：

a)依法依規保護企業、公民、社會公共利益；

b)建立互聯網安全管理制度與管理措施；

c)遵守國內外互聯網安全管理法律法規及監管規定；

d)建立數據安全和合規管理制度；

e)遵守國（境）內外數據安全法律法規及監管規定；

f)建立數據與隱私保護體系，保障企業及用戶的數據與信息安全等。

人力資源、勞動管理和工會

企業應在人力資源、勞動管理及工會領域實施合規管理，識別并履行以下方面的合規義務，例如：

a)勞動合同管理制度；

b)人力資源管理制度；

c)遵守國家關于工會管理的法律法規等。

資產

企業應在資產管理領域實施合規管理，識別并履行以下方面的合規義務，例如企業資產專項管理，

包括但不限于固定資產與存貨、無形資產管理、投融資及擔保、股權管理等。

財務稅收

企業應在財務稅收領域實施合規管理，識別并履行以下方面的合規義務，例如：

a)財務稅收管理體制；

b)財務風險管理制度；

c)財務預算管理制度；

d)財務事項操作和審批流程；

e)財經紀律；

f)嚴格遵守稅收法律法規等。

知識產權

企業應在知識產權領域實施合規管理，識別并履行以下方面的合規義務，例如：

a)商業秘密、專利、商標、著作權、原產地標識等保護；

b)確權知識產權，規范實施許可和轉讓；

19

T/CFIE001—2023

c)依法規范使用他人知識產權；

d)防止侵權行為的發生；

e)確保各類知識產權獲取、維護、運用方面的合規；

f)加強知識產權合規文化建設等。

投資并購

圍繞企業經營發展目標，在企業改革、上市、投融資、以及其他投資并購工作中做合規盡職調查、

合規論證、謹慎審查以及投后管理等合規管控措施。

出口管制

企業應在出口管制領域實施合規管理，識別并履行以下方面的合規義務，例如：

a)建立企業出口合規管理體系；

b)加強出口管制合規制度、風險評估及配套管理措施建設；

c)遵守國（境）內外出口管制法律、法規、監管規定，保證跨境交易中的安全性和合規性；

d)發揮管理層領導作用，確保出口風險評估制度、流程及措施的有效性；

e)建立出口授權合規審查、驗證、管理機制；

f)確保出口管制過程中的制度、流程、措施以文件化信息的形式保存；

g)建立出口管制合規培訓機制；建立出口管制合規審議、評估制度等；

h)加強出口管制合規監督、分析，確保違規問題披露的及時性、客觀性，確保違規整改的有效

性。

反壟斷

企業應在反壟斷領域實施合規管理，識別并履行以下方面的合規義務，例如：

a)建立健全反壟斷管理制度；

b)依法開展公平競爭，防止壟斷協議、濫用市場支配地位、限制排除競爭行為；

c)不得進行不公平競爭行為，共同營造公平有序的市場競爭環境，維護市場秩序；

d)遵循自愿、平等、公平、誠信原則，遵循相關法律、法規、監管要求，強化和落實企業主體

責任。

反不公平競爭

企業應在反不公平競爭領域實施合規管理，識別并履行以下方面的合規義務，例如：

a)建立健全反不正當競爭領域的合規管理制度；

b)公平參與競爭，確保企業在生產經營和市場競爭中做到：

1)不得利用技術手段，通過影響用戶選擇或者其他方式，實施妨礙、破壞其他經營者合法

提供的產品、服務正常運行的不正當競爭行為；

2)不實施混淆行為，引人誤認為是他人商品、服務或者與他人存在特定聯系；

3)不編造、傳播虛假信息或者誤導性信息，損害競爭對手商業信譽、商品聲譽信息；

4)不進行虛假交易或為虛假交易提供便利等。

反腐敗

根據國（境）內外反腐敗法律、法規及監管要求，建立完善的捐贈、禮品和招待管理辦法，建立健

全企業與商業合作伙伴、政府工作人員等的交往禮儀和規范，構建預防腐敗行為的管理機制和措施，防

止腐敗行為。

反洗錢/反恐怖主義融資

依據國（境）內外金融法律、法規及監管要求，結合企業自身特點，建立對交易的跟蹤、監控體系，

有效識別和應對跨市場、跨行業和跨機構的洗錢和恐怖融資風險，包括對企業期貨交易受到攻擊的特殊

風險等，建立健全反洗錢的風險管理措施，防范洗錢。

刑事合規和行政合規

20

T/CFIE001—2023

11.19.1遵守司法機關關于刑事合規管理的法規、命令。通過事先建立合規管理體系并落實合規制度，

在涉案情況發生時，作為獲得司法機構減免處罰的依據。

11.19.2遵守行政機關行政有關合規的行政管理規定和相關措施。通過事先建立合規管理體系并落實

合規制度，在涉及行政處罰事項時，作為獲得行政機構減免處罰的依據。

境外業務

遵守海外投資并購、對外承包工程、國際貿易管制、反壟斷、反傾銷、反補貼、各國安全審查制度、

勞工保護、環境保護、國際貿易仲裁、調解等領域的法律法規、國際公約、國際慣例等.

企業的環境保護、社會責任和公司治理（ESG）

11.21.1近年來ESG的重要性被廣泛普及，投資人及利益攸關方關注日趨提升，同時ESG與國家雙碳

目標的實施、企業社會責任落實及公司合規治理目標吻合，成為企業提升治理水平有效途徑。

11.21.2加強企業在ESG的投資，提升ESG評級，進一步完善企業的ESG表現將成為尋求提升和發展

的企業的戰略和政策核心組成部分。

11.21.3企業應根據企業的實際情況實施ESG,例如環境方面關于生物多樣性、廢物、水及資源的使用、

低碳規劃等；社會責任方面包括社區及社會責任、古跡保護、勞工人權以及安全健康等；公司治理方面

涉及公司治理模式、合規、高管薪酬、多元化、依法納稅等。具有更良好ESG表現的企業能夠以多種方

式直接或間接地提升企業價值。

11.21.4企業宜編制企業的ESG報告并依法依規發布或自愿發布。

關停并轉、破產及其他

11.22.1企業在停產或關閉或破產時，應嚴格遵守相關法律法規，依法合規處理遺留問題，不給社會

造成需要治理的問題。

11.22.2企業還應依法合規處理工業用地、遵守園區、社區等相關規定，并及時發現其他領域可能出

現的合規問題。

21

T/CFIE001—2023

A

A

附錄A

（規范性）

工業企業合規管理有效性評估參考指標

所有指標均依據本標準列出，指標定義、解釋、分項內容和應用方法應結合本標準予以把握。本有

效性評估指標僅供企業治理機構、認證機構、行業組織或相關監管機構對企業合規管理有效性評估時參

考。

評估時，應考慮各指標的有和無，如有則應考慮有效性的強和弱。建議評估結果可分級，800分以

上為AAA級，600分至800為AA級。500分至600分為A級。如合規管理有效性低于A級標準，建議企業應在

此方面進行整改。

考慮到合規管理體系的復雜性和各項指標包含的豐富內容，分數評估應與評估報告結合使用，評估

報告應具體描述有無相關內容建設、不符合或有效性弱的內容、原因及可能導致的后果，以便企業的整

改和合規體系建設。

表A.1工業企業合規管理有效性評估參考指標表

治理內容分項內容評估參考分值（1000分）

1.治理組織70分

治理機構和最高管理者

合規職能

管理者