35770-2022合规管理体系-要求及使用指南标准及内审员培训教材

35770-2022合规管理体系要求及使用指南标准及内审员培训教材作者：李柏伦2021.08.19目

录1.GB/T35570-2022标准制定背景和意义2.GB/T35570-2022标准认证的重要意义3.GB/T35570-2022标准主要内容4.GBT35770-2022体系标准的应用5.GBT35770-2022标准条款内容详细解释6.内部审核步骤及内部审核技巧1.标准制定背景和意义

ISO组织于2021年发布ISO37301:2021《合规管理体系要求及使用指南》，编制的主要目的是为了保证合规管理体系的可用性，即保证组织建立的合规管理体系有效并正常运行，能够为组织的合规管理发挥作用。

我们国家等同采用ISO37301:2021发布GB/T35770-2022《合规管理体系要求及使用指南》，实施后全部代替GB/T35770-2017。1.标准制定背景和意义

近年来，全球贸易关系愈加复杂，全球产业链进入深度调整与重构时期。

在国家层面，各国建立了严格的合规监管制度，监管机构加强了立法深度和执法力度，引导和督促企业实施更加主动的合规经营。1.标准制定背景和意义

在国际层面，联合国、经济合作与发展组织、世界银行集团、非洲开发银行集团、亚洲太平洋经济合作组织、国际商会等国际性组织相继制定全球性契约、指南和指引等，对合规管理核心问题形成国际共识，在相关贸易活动中对不合规行为实施联合惩戒。合规已经成为各类组织成功和可持续发展的基础。2.标准认证的重要意义

GB/T35770的制定对于各类组织的合规管理能力建设、政府监管活动、国际贸易交流、沟通合作改善等具有重要的意义。

一是为各类组织提高自身的合规管理能力提供系统化方法，它采用PDCA理念完整覆盖了合规管理体系建设、运行、维护和改进的全流程，基于合规治理原则为组织建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。2.标准认证的重要意义

二是为监管机构和司法机构采信组织的合规整改计划、合规管理体系实践提供参考依据，监管机构和司法机构在对组织违反相关法律的行为作出处罚时，可以将组织的合规管理体系运行情况作为衡量处罚力度的一个考量因素。2.标准认证的重要意义

三是为便利全球范围内相关方之间的贸易、交流与合作提供了通用规则，各类组织可以通过声明符合GB/T35770或者获得依据GB/T35770所进行的认证，在相关方之间传递信任，进而为贸易、交流与合作提供便利。3.标准主要内容

GB/T35770规定了组织建立、运行、维护和改进合规管理体系的要求，并提供了使用指南，适用于全球任何类型、规模、性质和行业的组织。3.标准主要内容（一）组织环境

组织所处的环境构成了组织赖以生存的基础。这些环境既涉及法律法规、监管要求、行业准则、良好实践、道德标准，又涉及组织自行制定或公开声明遵守的各类规则。3.标准主要内容（二）领导作用领导是合规管理的根本，对于整个组织树立合规意识、建立高效的合规管理体系具有至关重要的作用。3.标准主要内容（三）策划策划是预测潜在的情形和后果，对于确保合规管理体系能实现预期效果，防范并减少不希望的影响，实现持续改进具有重要作用。3.标准主要内容（四）支持支持是合规管理的重要保障，对于合规管理体系在各个层面得到认可并保障合规行为实施具有重要的支持作用。3.标准主要内容（五）运行运行是立足于执行层面，策划、实施和控制满足合规义务和战略层面规划的措施相关的流程，以确保组织运行合规管理体系。3.标准主要内容（六）绩效评价绩效评价是对合规管理体系建立并运行后的绩效、体系有效性评价，对于查找可能存在的问题、后续改进合规管理体系等具有重要意义。3.标准主要内容（七）改进改进是对合规管理体系运行中发生不合格/不合规情况做出反应、评价是否需要采取措施，消除不合格/不合规的根本原因，以避免再次发生或在其他地方发生，并持续改进，以确保合规管理体系的动态持续有效。4.GB/T35770-2022体系标准的应用一、作为各类组织自我声明符合的依据。

各类组织通过实施GB/T35770，建立并运行合规管理体系，一方面使得组织的行为以及行为结果合规，另一方面在需要时还能够据此标准追溯组织是否符合了合规管理体系规定的内容或证实是否达到了合规要求。4.GB/T35770-2022体系标准的应用二、作为认证机构开展认证的依据。GB/T35770规定了合规管理体系的要求，并提供了建议做法和指南，认证机构在认证活动中，可以直接应用或者在其认证技术规范中明确GB/T35770作为组织符合合规管理体系要求的认证依据。4.GB/T35770-2022体系标准的应用三、作为政府机构监管的依据。政府机构可以将GB/T35770确立的合规管理理念应用于行政监管活动，通过对组织的合规管理体系运行情况评价结果来匹配相应的监管手段和措施，实施精准监管。4.GB/T35770-2022体系标准的应用四、作为司法机关对违规企业量刑与监管验收的依据。可以将GB/T35770确立的合规管理体系要求作为司法机关对涉及违规企业量刑的考量依据，可以作为落实依法不捕不诉不提出判实刑建议等司法意见、制定合规指引、督促企业合规整改和第三方监管验收的依据。5.GB/T35770-2022标准条款内容详细解释1.范围2.规范性引用3.术语和定义4.组织环境5.领导作用6.策划7.支持8.运行9.绩效评价10.改进5.GB/T35770-2022--1.范围

本文档详细说明了要求，并提供了在组织内建立，开发，实施，评估，维护和改进有效合规管理系统的指南。

本文档适用于所有类型的组织，无论活动的类型，规模和性质如何，以及该组织来自公共部门，私营部门还是非营利部门。

如果组织没有独立的理事机构，则本文档中指定的涉及理事机构的所有要求均适用于高层管理人员。5.GB/T35770-2022--2.规范性引用--3.术语和定义本文档中没有规范性引用。5.GB/T35770-2022--组织环境4.1了解组织及其背景

组织应确定与其目的相关并影响其实现合规管理系统预期结果能力的外部和内部问题。为此，组织应考虑广泛的问题，包括但不限于：—业务模型，包括战略，性质，规模和规模的复杂性以及组织活动和运营的可持续性；—与第三方的业务关系的性质和范围；5.GB/T35770-2022--组织环境4.1了解组织及其背景一法律和法规环境；一经济状况；一社会，文化和环境背景；一内部结构，政策，流程，程序和资源，包括技术；—它的合规文化。5.GB/T35770-2022--组织环境4.2了解有关方面的需求和期望

组织应确定：一与合规管理系统有关的利害关系方；一这些利害关系方的有关要求；—这些要求中的哪些将通过合规管理系统解决。5.GB/T35770-2022--组织环境4.3确定合规管理系统的范围组织应确定合规管理系统的范围和适用性以建立其范围。注：合规管理系统的范围旨在阐明组织面临的主要合规风险以及合规管理系统将适用的地理或组织边界，或两者都适用，特别是在组织是大型实体的一部分的情况下。在确定此范围时，组织应考虑：一竺中提到的外部和内部问题」—4.2、4.5和銓中提到的要求。该范围应作为文档信息提供。5.GB/T35770-2022-组织环境4.4合规管理系统组织应根据本文件的要求建立，实施，维护和持续改进合规管理系统，包括所需的过程及其相互作用。遵从管理体系应反映组织的价值观，目标，战略和遵从风险，并考虑到组织的环境。5.GB/T35770-2022--组织环境4.5合规义务

组织应系统地识别其活动，产品和服务产生的合规义务，并评估其对运营的影响。组织应具备以下流程：a） 确定新的和更改的合规义务，以确保持续合规；b） 评估已识别变更的影响，并在合规义务管理中实施任何必要的变更。组织应保持其合规义务的书面信息。5.GB/T35770-2022--组织环境4.6合规风险评估组织应基于合规风险评估，识别，分析和评估其合规风险。组织应通过将合规义务与其活动，产品，服务和运营的相关方面相关联来识别合规风险。组织应评估与外包和第三方流程相关的合规风险。应定期评估合规风险，并应在情况或组织环境发生重大变化时进行评估。组织应保留有关合规风险评估以及应对其合规风险的措施的书面信息。5.GB/T35770-2022--5.领导作用5.1领导与承诺5.1.1领导机构和高层管理人员理事机构和最高管理者应通过以下方式表现出对合规管理体系的领导和承诺：—确保建立合规政策和合规目标并与组织的战略方向兼容；一确保将合规管理系统要求集成到组织的业务流程中；一确保合规管理系统所需的资源可用；一传达有效的合规管理和遵守合规管理系统要求的重要性；5.GB/T35770-2022--5.领导作用一确保合规管理系统达到预期结果；一指导和支持人员为合规管理系统的有效性做出贡献；—促进持续改进；一支持其他相关角色以展示其在其职责范围内的领导能力。注意：本文档中对“业务”的引用可以广义地解释为那些对于组织存在的目的而言至关重要的活动。理事机构和最高管理者应：5.GB/T35770-2022--5.领导作用—建立并维护组织的价值观；一确保制定和实施政策，流程和程序以实现合规目标；一确保及时告知他们有关合规事宜，包括不合规的情况，并确保采取适当的措施；一确保遵守承诺，并适当处理违规和违规行为；一确保适当地将合规责任包括在职位描述中；一任命或提名合规职能；一确保按照8.3建立提出和解决问题的系统。5.GB/T35770-2022--5.领导作用5.1.2合规文化组织应在组织内的各个层次上建立，维护和促进合规文化。理事机构，高层管理人员和管理层应表现出对整个组织所需的共同行为和行为标准的积极，可见，一致和持续的承诺。最高管理者应鼓励建立和支持合规的行为。它应防止而不是容忍损害合规性的行为。5.GB/T35770-2022--5.领导作用5.1.3合规治理

理事机构和最高管理者应确保执行以下原则：一直接将遵约职能移交给理事机构；一遵守职能的独立性；一合规职能的适当权限和能力。注1：直接访问可包括：直接向理事机构报告，向理事机构定期提交报告并参加其会议。注2：独立是指对顺应功能的操作没有任何不适当的干扰或压力，或两者都不存在。5.GB/T35770-2022--5.领导作用5.2合规政策理事机构和最高管理者应制定合规政策，以：a） 适合组织的目的；b） 提供设定合规目标的框架；c） 包括满足适用要求的承诺；d） 包括对合规管理系统的持续改进的承诺。5.GB/T35770-20221--5.领导作用遵守政策应：一与组织的价值观，目标和战略保持一致；一要求遵守组织的合规义务；一支持符合5.1.3的合规性治理原则：一参考并描述合规功能；一概述不遵守组织的合规义务，政策，流程和程序的后果；5.GB/T35770-2022--5.领导作用—鼓励引起关注并禁止任何形式的报复；一用通俗易懂的语言写成，以便所有人员都可以轻松理解其原理和意图；一适当实施和执行；一可以作为记录信息使用；一在组织内部进行沟通；一适当时可供感兴趣的各方使用。5.GB/T35770-2022--5.领导作用5.3角色，职责和权限5.3.1领导机构和高层管理人员理事机构和最高管理者应确保在组织内分配和传达有关角色的职责和权限。理事机构和最高管理者应分配以下职责和权限：a） 确保合规管理系统符合本文件的要求；b） 向理事机构和最高管理者汇报合规管理系统的绩效。5.GB/T35770-2022--5.领导作用理事机构应：一确保根据达到合规目标衡量最高管理层；一对最高管理者进行有关合规性管理系统运行的监督。最高管理者应：—分配足够和适当的资源以建立，开发，实施，评估，维护和改进合规管理系统;一确保建立有效的及时报告履约情况的系统；一确保战略和运营目标与合规义务之间保持一致；一建立和维护问责机制，包括纪律处分和后果；一确保将合规绩效纳入人员绩效评估。5.GB/T35770-2022--5.领导作用5.3.2合规功能合规职能应负责合规管理系统的运行，包括以下内容：一促进确定履约义务；一记录合规风险评估；一使合规管理系统与合规目标保持一致；一监控和衡量合规绩效；一分析和评估合规性管理系统的性能，以确定是否需要采取纠正措施；—建立合规报告和文件记录系统；一确保按计划的时间间隔审核合规性管理系统（请参阅9.2和9.3）:一建立引起关注并确保解决关注的系统。5.GB/T35770-2022--5.领导作用遵守职能应监督：一在整个组织屮适当分配实现已确定合规性义务的职责；一合规义务已整合到政策，流程和程序中；一所有相关人员均按要求接受培训；—建立合规绩效指标。遵从功能应提供：一有权访问合规政策，流程和程序资源的人员；一就合规性相关事宜向组织提供建议。5.GB/T35770-2022--5.领导作用注意合规功能的特定职责并不能免除其他人员的合规责任。组织应确保符合性功能可以访问：一高级决策者，以及在决策过程中尽早做出贡献的机会；一组织的各个级别；一所需的所有人员，文件化信息和数据；一有关有关法律，法规，守则和组织标准的专家意见。5.GB/T35770-2022--5.领导作用5.3.3管理人员管理层应通过以下方式负责其职责范围内的合规：一与合规部门合作并提供支持，并鼓励人员这样做；一确保其控制范围内的所有人员均遵守组织的合规义务，政策，流程和程序；一识别并传达其运营中的合规风险；一将合规义务纳入其职责范围内的现有业务实践和程序中；5.GB/T35770-2022--5.领导作用—参加和支持合规培训活动；一培养人员对合规义务的意识，并指导他们满足培训和能力要求；—鼓励其人员提出合规性问题并给予支持，并排除任何形式的报复行为；一根据需要积极参与管理和解决与合规性相关的事件和问题；一确保在确定需要采取纠正措施后，建议并实施适当的纠正措施。5.GB/T35770-2022--5.领导作用5.3.4工作人员所有人员应：一遵守组织的合规义务，政策，流程和程序；一报告合规问题，问题和失败；一参加所需的培训。5.GB/T35770-2022--6.策划6.1应对风险和机遇的行动在规划合规管理系统时，组织应考虑4.1中提到的问题和4.2中提到的要求，并确定需要解决的风险和机遇：一确保合规管理系统可以达到预期结果；—防止或减少不良影响；一实现持续改进。5.GB/T35770-2022--6.策划在规划合规管理系统时，组织应考虑：—其合规目标（见6.2）；一确定的合规义务（请参阅4.5）:一合规风险评估的结果（见4.6）.组织应计划：a） 应对这些风险和机遇的行动；b） 如何：1） 将行动整合并实施到其合规管理系统流程中；2） 评估这些措施的有效性。5.GB/T35770-2022--6.策划6.2合规目标和实现目标的计划组织应在相关职能和级别上建立合规目标。遵守目标应：a） 与合规政策保持一致；b） 可衡量的（如果可行）；c） 考虑适用的要求；d） 被监视；e） 沟通；f） 适当更新；g） 作为文档信息可用。5.GB/T35770-2022--6.策划在计划如何实现其合规目标时，组织应确定：一将要做什么；一需要什么资源；一谁来负责；一何时完成；—如何评估结果。5.GB/T35770-2022--6.策划6.3变更策划

当组织确定需要更改合规管理系统时，应以计划的方式进行更改。组织应考虑：一变更的目的及其潜在后果；一合规管理系统的设计和运营有效性；一是否有足够的资源；一职责和权限的分配或重新分配。5.GB/T35770-2022--7.支持7.1资源组织应确定并提供建立，实施，维护和持续改进合规管理系统所需的资源。5.GB/T35770-2022--7.支持7.2能力7.2.1概述

组织应：一确定在其控制下从事影响其合规表现的人员的必要能力；-根据适当的教育，培训或经验，确保这些人胜任；一在适用的情况下，采取行动以获得必要的能力，并评估所采取行动的有效性。应提供适当的书面信息作为胜任力的证据。注：可采取的行动包括，例如，提供培训，指导或重新安排在职人员；或雇用或签约合资格的人。5.GB/T35770-2022--7.支持7.2.2就业流程就其所有人员而言，组织应制定，建立，实施和维护流程，以使：a） 雇用条件要求人员遵守组织的合规义务，政策，流程和程序；b） 在开始雇用的合理期间内，员工将收到遵从政策的副本或对其进行访问并获得有关该政策的培训的机会；c） 对于违反组织合规性义务，政策，过程和程序的人员，应采取适当的纪律处分。5.GB/T35770-2022--7.支持7.2.2就业流程作为雇用过程的一部分，组织应考虑由角色和人员造成的合规风险，并在雇用，调动和晋升之前按照要求进行尽职调查程序。组织应实施一个程序，对绩效目标，绩效奖金和其他激励措施进行定期审查，以验证是否已采取适当的措施来防止鼓励违规行为。5.GB/T35770-2022--7.支持7.2.3培训组织应从雇用开始之时起，并按组织确定的计划间隔定期对有关人员进行培训。培训应为：a） 适合人员的角色以及人员所面临的合规风险；b） 评估有效性；c） 定期审查。5.GB/T35770-2022--7.支持7.2.3培训考虑到已识别的合规风险，组织应确保实施程序以解决对合规意识的培训，以及对代表其行事并可能给组织带来合规风险的第三方的培训。培训记录应保留为书面信息。5.GB/T35770-2022--7.支持7.3意识在组织控制下工作的人员应了解：一遵守政策；—它们对合规管理系统有效性的贡献，包括改进合规绩效的好处；一不符合合规管理系统要求的影响；一引起合规性问题的程序和程序的方式（见8.3）；一遵守政策与其职责相关的遵守义务的关系；一支持合规文化的重要性。5.GB/T35770-2022--7.支持7.4信息沟通组织应确定与合规管理系统有关的内部和外部通信，包括：a）关于它将传达什么；b）何时沟通；c）与之沟通；d）如何沟通。5.GB/T35770-2022--7.支持组织应：一在考虑其传播需求时，考虑多样性的方面和潜在的障碍；一确保在建立其沟通流程时考虑到有关方面的意见fes）；一建立沟通流程时）：一包括关于其合规文化，合规目标和义务的沟通；一确保要传达的合规信息与合规管理系统内生成的信息一致并且可靠；5.GB/T35770-2022--7.支持一回应有关其合规管理系统的相关沟通；一适当保留文件化信息作为其通讯的证据；-在组织的各个级别和职能之间内部传达与合规管理系统有关的信息，包括酌情更改合规管理系统一确保其沟通过程使人员能够为持续改进合规管理系统做出贡献；一确保其沟通过程使人员能够提出疑虑（见8.3）；-由组织的沟通流程建立的外部沟通与合规管理系统有关的信息，并包括有关其合规文化，合规目标和义务的交流。5.GB/T35770-2022--7.支持7.5文件化信息7.5.1总则

组织的合规管理系统应包括：a） 本文件要求的文件资料；b） 组织确定为达标管理系统的有效性所必需的文件化信息。注：遵从性管理系统的文档化信息范围可能因一个组织而异，这是由于以下原因：一组织的规模及其活动，过程，产品和服务的类型；-流程及其交互的复杂性；一人的能力。5.GB/T35770-2022--7.支持7.5.2创建和更新文件化信息在创建和更新文件化信息时，组织应确保适当：一标识和描述（例如标题，日期，作者或参考编号）；一格式（例如语言，软件版本，图形）和媒体（例如纸张；电子）；一审查和批准其适用性和适当性。5.GB/T35770-2022--7.支持7.5.3 文件化信息的控制合规管理系统和本文件所要求的文件信息应受到控制，以确保：a） 它是可用的，并且适合在需要的地方和时间使用；b） 它得到了充分的保护（例如，避免了机密性，使用不当或完整性的损失）。为了控制书面信息，组织应酌情开展以下活动：5.GB/T35770-2022--7.支持一分发，获取，检索和使用；一储存和保存，包括保持易读性；—控制变更（例如版本控制）；一保留和处置。组织应确定必要的外部来源的书面信息，这些信息对于合规性管理系统的计划和运行是必要的，并应加以控制。注意访问可能意味着要决定是否仅允许查看文档信息，或者是有关查看和更改文档信息的权限。5.GB/T35770-2022--8.运行8.1运行计划与控制组织应通过以下方式计划，实施和控制满足要求所需的过程，以及实施标准中确定的措施：—建立过程标准；一根据标准实施过程控制。5.GB/T35770-2022--8.运行应提供必要的书面信息，以确信该过程已按计划进行。组织应控制计划的变更并审查意外变更的后果，并采取必要的措施以减轻任何不利影响。组织应确保控制与合规管理系统相关的外部提供的过程，产品或服务。注意：将组织的业务外包不会减轻组织的法律责任或合规性义务。组织应确保对第三方过程进行控制和监视。5.GB/T35770-2022--8.运行8.2建立控制和程序组织应实施控制措施以管理其合规义务和相关的合规风险。这些控制措施应予以维护，定期检查和测试，以确保其持续有效性。注：测试控件是指进行有计划的练习，以查看控件是否达到了预期的目的或不能被绕过，或者在降低风险的影响或可能性方面是否有效。5.GB/T35770-2022--8.运行8.4调查过程组织应制定，建立，实施和维护过程，以评估，评估，调查和结清关于可疑或实际违规事件的报告。这些程序应确保公平公正的决策。调查过程应由主管人员独立进行，不得有利益冲突。组织应将调查结果用于适当地改进合规管理系统（参见第10条）。组织应定期向理事机构或最高管理者报告调查的数量和结果。组织应保留有关调查的书面信息。5.GB/T35770-2022--9.绩效评价9.1监测，测量，分析和评估9.1.1总则组织应监视合规管理系统，以确保实现合规目标。组织应确定：—需要监视和测量的内容；一为确保有效结果而进行的监测，测量，分析和评估方法；一，何时进行监测和测量；一监测和测量的结果应进行分析和评估。文件信息应作为结果的证据。组织应评估合规绩效和合规管理系统的有效性。5.GB/T35770-2022--9.绩效评价9.1.2有关合规绩效的反馈来源

组织应建立，实施，评估和维护过程，以从各种来源寻求并接收有关其合规绩效的反馈。应对信息进行分析和严格评估，以找出不符合项的根本原因，确保采取适当的措施，并将此信息反映在4.6要求的定期风险评估中5.GB/T35770-2022--9.绩效评价9.1.3指标制定组织应制定，实施和维护一套适当的指标，以帮助组织评估其合规目标的实现并评估其合规绩效。5.GB/T35770-2022--9.绩效评价9.1.4合规报告组织应建立，实施和维护合规报告流程，以确保：a） 确定了适当的报告标准；b） 确定定期报告的时间表；c） 实施了例外报告系统，以促进临时报告；d） 实施系统和流程以确保信息的准确性和完整性；e） 向组织的正确职能或领域提供准确和完整的信息，以便及时采取预防，纠正和补救措施。合规部门向理事机构或最高管理层发布的任何报告均应得到充分保护，以免发生变更。5.GB/T35770-2022--9.绩效评价9.1.5记录必须保留组织合规活动的准确，最新记录，以帮助进行监视和审查过程，并证明与合规管理系统的符合性。5.GB/T35770-2022--9.绩效评价9.2内部审核9.2.1总则组织应按计划的时间间隔进行内部审核，以提供有关合规管理系统是否：a） 符合：一组织对合规管理系统的要求；—本文件的要求；b） 有效地实施和维护。5.GB/T35770-2022--9.绩效评价9.2.2内部审核程序

组织应计划，建立，实施和维护审核计划，包括频率，方法，职责，计划要求和报告。

在建立内部审核计划方案时，组织应考虑相关过程的重要性以及以前审核的结果。5.GB/T35770-2022--9.绩效评价组织应：a） 确定每次审核的审核目标，标准和范围；b） 选择审核员并进行审核，以确保审核过程的客观性和公正性；c） 确保将审核结果报告给相关管理人员和管理层。注1：相关管理可以包括合规职能，最高管理者和管理机构。应提供书面信息，作为审核计划和审核结果实施的证据。注2：ISO19011中给出了有关审核管理系统的指南。5.GB/T35770-2022--9.绩效评价9.3管理评审9.3.1总则

领导机构和最高管理者应按计划的时间间隔审查组织的合规管理系统，以确保其持续的适用性，充分性和有效性。5.GB/T35770-2022--9.绩效评价9.3.2管理评审输入管理评审应包括：a） 先前的管理评审所采取的措施的状态；b） 与合规管理系统相关的外部和内部问题的更改；c） 与合规管理系统有关的利害关系方的需求和期望的变化；5.GB/T35770-2022--9.绩效评价d） 有关合规绩效的信息，包括以下方面的趋势：一不合格，不合规和纠正措施；一监测和测量结果；-审计结果；e） 持续改进的机会。管理评审应考虑：一遵守政策的充分性；5.GB/T35770-2022--9.绩效评价—遵守职能的独立性；一达到合规目标的程度；一资源是否充足；一合规风险评估的充分性；一现有控制措施和绩效指标的有效性；一提出疑虑的人，有关方面的沟通，包括反馈（见9.1.2）和投诉；-调查（见8.4）；一报告系统的有效性。5.GB/T35770-2022--9.绩效评价9.3.3管理评审结果

管理评审的结果应包括与持续改进机会以及对合规管理体系进行任何更改的需求有关的决策。应提供书面信息，作为管理评审结果的证据。5.GB/T35770-2022--10.改进10.1持续改进组织应不断提高合规管理体系的适用性，充分性和有效性。10.2不合格和纠正措施当发生不符合项或不符合项时，组织应：a） 对不符合项或不符合项做出反应，并在适用的情况下：1） 采取措施进行控制和纠正；2） 处理后果；5.GB/T35770-2022--10.改进b） 评估采取行动消除不合格或不合规原因或两者的原因的必要性，以使其不会在其他地方再次发生成发生，方法是：1） 审查不合格或不合规，或两者兼而有之；2） 确定不合格或不合格或两者的原因；3） 确定是否存在相似的不合格品或不合格品，或同时存在或可能发生类似的不合格品；c） 实施所需的任何行动；5.GB/T35770-2022--10.改进d） 审查采取的任何纠正措施的有效性；e）如有必要，对合规性管理系统进行更改。纠正措施应适合于所遇到的不合格或不合格或两者的影响。应提供书面信息作为以下方面的证据：—不符合或不符合或两者的性质，以及随后采取的任何措施;一任何纠正措施的结果。第二部分:内审步骤及内审技巧87管理体系审核术语审核准则：用作依据的一组方针、程序或要求。通常又称为审核依据。审核准则标准QMS文件法律法规质量方针质量手册程序文件作业标准销售合同88管理体系审核术语审核证据：与审核准则有关的并能够证实的记录、事实陈述或其它信息。注：审核证据可以是定性的或定量的。审核证据查阅文件、记录现场审核观察到的现象审核员或他人测量的结果受审核者的谈话89管理体系审核术语审核员：有能力实施审核的人员。能力的评价包括：教育培训技能经验行为道德90管理体系审核的分类供方顾客组织认证机构第一方审核第三方审核第二方审核第二方审核第二方审核第二方审核91体系审核范围审核范围：在规定时间内，对哪些管理体系要求、场所和产品进行审核。要求：应包含GBT35770-2022标准的所有要求，剪裁应予以说明。场所：凡与被审核的管理体系所覆盖的部门和地区均应列入审核范围。产品：在认证范围内的产品所涉及的活动，均应列入审核范围。92内部审核要求内部审核必须按已计划的时间日程进行内部审核制定审核计划时必须考虑被审核的流程和区域的状况和重要性、以往审核的表现必须定义审核的准则、范围、频率和方法确保审核过程的客观性和公正性审核员不得审核他们自己的工作93内部审核要求内部审核内部审核员的资历、职责和架构内部审核的推行计划频次内部审核的汇报模式内部审核的标准表格（包括计划表、检查清单、不符合项目报告、观察点报告、总结报告、纠正及预防行动报告）内部审核记录的保存期及地点94内部审核要求内部审核流程拥有者必须进行纠正及预防行动以确保不符合项目得以改善跟踪活动必须包括对所采取纠正及预防行动的验证和其验证结果的成效报告可根据PDCA原理进行纠正及预防行动95一、审核计划二、审核准备三、审核实施四、审核报告五、跟踪验证内部审核实施步骤96任命组长分发实施计划实施内审开不合格项报告分析原因验证直至关闭内审相关资料归档制订年度内审计划批准NY审核准备制订审核实施计划审核、批准NY制定、实施纠正措施制订内部审核报告审核、批准N分发内审报告Y内部审核管理流程图97审核流程和职责—准备阶段负责者工作步骤工作容及要求内审部门提出内审1.根据内审时机提出2.领导同意。3.并确认审核组长审核组长成立审核组1.确定审核组成员2.领导授权，3.并通知准备审核组长制定审核计划1.领导批准。2.召开小组会，明确分工3.审核前工作文件准备审核员编制检查表1.审核员编制2.审核组长认可98审核流程和职责—实施阶段审核组长苜次会议1.提前通知，明确要求。2.双方参加。3.组长主持会议。审核组现场审核1.记录审核结果2.开局不合格报告、受审核方确认审核组长末次会议1.双方参加、签到。2.宣读不合格报告3.提出纠正和纠正措施要求负责者工作步骤工作容及要求99审核流程和职责—跟踪阶段负责者工作步骤工作容及要求审核组长审核报告1.领导批准。2.分发执行责任者纠正措施1.原因分析、纠正措施计划2.纠正措施实施、记录审核员跟踪审核1.纠正措施计划确认2.纠正措施效果验证100成立审核组体系文件审核确定审核计划准备工作文件内部审核准备阶段101成立审核组在进行内审前，管理者代表应任命审核组长及审核员组成审核组。审核组审核组长审核员102安排审核员考虑因素资格：经过培训并考试合格的管理体系内审员。业务范围：应与被审核部门无直接责任关系，但对被审核部门的业务有一定了解。团队合作：应考虑审核员在工作中能否协调配合，团结合作。获得被审核部门认可：当安排的审核员被审核部门不能接受时，应考虑另选审核员。103确定审核计划拟审核过程和区域的状况拟审核过程和区域的重要性以往的审核结果内审策划年度审核计划追加审核计划现场审核计划104流程导向内部审核年度计划流程/生产車间一月二月三月四月五月六月七月八月COP1-1–COP5-1COP6-1–COP10-1SOP1-1–SOP20-1SOP21-1–SOP50-1MOP1-1–MOP10-1压制生产車间二次加工生产車间装瓶生产車间包裝生产車间105审核准备熟悉必要的体系文件编制检查表审核组长审核检查表现场审核准备106审核实施计划审核目的审核范围审核依据审核组成员审核日期审核日程安排审核报告发布日期及范围审核实施计划内容107制定/日期：xxx/4月7日批准/日期：xxx/4月8日

审核部门与负责的质量体系要求

日期

时间

第一组

第二组

8:30-9:00

首次会议

9:00--12:00

总经理、管理者代表(4.1、5、8.4)

营销部（7.2、7.5、8.2.2)

13:00-17:00

技术部（7.1、7.3、8.1、8.5.1)

采购部（7.4)04月15日

17:00-17:30

审核组会议

8:30-12:00

品管部（8.2、8.3、7.6)

生产部（6.3、7.5、8.1)

13:00-15:30

品管部（4.2、8.5.2-3)

人事部（6.2、6.4）15:30-16:30

审核组会议

04月16日

16:30-17:30

末次会议

备注:本计划按部门所负责的要求编制，审核时不排除对相关要求(如5.4.1、8.5等)的审核

现场审核计划——范例

7.审核日程安排108安排审核计划注意事项应覆盖所有过程和班次。应覆盖认证范围（场所和活动）。考虑审核活动和区域状况及重要程度。以往审核结果。审核员的独立性。109文件审核收集与受审核部门的质量活动有关的程序文件（包括公用的程序文件）、作业指导书、法规，必要时的合同等；以标准、合同、相关法规为依据对以上所收集的文件进行审核；若发现不符合、不充分，应记录结果。通过文件审核，审核员了解受审核方的基本情况，为顺利审核做好准备。110检查表的作用保持审核目标的清晰和明确。保持审核内容的周密和完整。保持审核节奏和连续性。减少审核员的偏见和随意性。初期建议使用检查表111检查表的运用不能事前通报受审核方；不可逐条照本宣科；不可完全抛开检查表；当发现新情况时，应调整检查表内容。112现场审核首次会议现场检查审核组会议末次会议现场审核113首次会议——内容会议开始：参加人员签到，审核组长宣布会议开始，适当时请最高管理者或管理者代表讲话；人员介绍：审核组长介绍审核组成员及分工，各受审核部门介绍陪同人员；重申审核目的和范围；明确审核的目的，审核的依据，审核将涉及的部门；现场审核计划的确认：现场审核计划不宜做大的改动，征得各受审核部门的最后确认；强度审核的原则：强调审核的客观、公正性，说明审核是抽样的过程，说明相互配合的重要性，提出不合格的报告形式。会议结束：确定末次会议的时间、地点、出席人员，审核组长致谢。114现场审核按照审核检查表，通过提问、面谈、检查文件、观察有关方面的工作和现状等形式来收集客观证据。如果发现重大的可能导致不合格的线索，即使不在检查表之列，也应加以记录并进行调查。对于面谈获得的信息应通过实际观察、测量和记录等其他渠道予以验证。115现场审核——观察结果所有的审核观察结果都应形成文件，在所有的工作都被审核之后，审核组应评审所有的观察结果，以确定哪些要作为不符合项报告提出。审核审核组应确保这些报告的内容清晰、准确地形成文件，并且有证据支持。应按审核所依据的标准或其他有关文件中相应条款的要求指出不符合项。组长应对观察结果进行复审，所有认为不合格的观察结果都应得到受审核方主管的认可。116注重过程的接口、职责在审核过程时看岗位职责的规定是否清晰，同时对应审核《岗位描述》文件。117现场检查现场检查现场检查注意事项审核路线和方法审核过程的控制不合格项和不合格报告118现场检查注意事项当发现不合格时，要追查到必要深度不要完全脱离检查表要相信样本要透过问题现象寻找客观证据始终保持客观、公正和礼貌与被审核方负责人共同确认事实审核员应随机抽取样本现场检查119审核路线和方法顺向追踪逆向追溯按要求审核按部门审核现场检查120顺向审核从过程的始端查到过程的终端例如：从合同查到产品出厂从文件管理部门查到具体的文件有效性从不合格产生，查到纠正措施121逆向审核从过程的终端查到过程的始端例如：从几件计量检测设备查到计量检测设备的管理从几种原材料的标识查到进货检验与试验及采购控制从设计输出查到设计输计输入122顺向和逆向审核灵活应用实际的审核往往是”顺向”和”逆向”组合实际的审核往往是按部门审核和按要素审核组合制定审核计划时，应用按部门或按要素展开审核的策略确定抽样方式时，应用”顺向”或”逆向”的审核策略123审核过程控制控制客观性控制审核进度控制审核计划控制审核气氛控制审核结果控制纪律组长控制审核全过程现场检查124现场检查——观察结果所有的审核观察结果都应形成文件，在所有的工作都被审核之后，审核组应评审所有的观察结果，以确定哪些要作为不合格项提出报告。审核组应确保这些报告的内容清晰、准确地形成文件，并且有证据支持。应按审核所依据的标准或其它有关文件中相应条款的要求指出不合格项。125不合格项和不合格报告不合格的形成及类型不合格报告编写不合格报告内容不合格报告分发现场检查126不合格形成不合格的形成文文不符：管理体系文件与gbt35570标准或有关法规、合同要求不符文实不符：未按管理体系文件的规定执行实效不符：虽按管理体系文件规定执行，但缺乏有效性127

现场审核——不合格性质不合格的性质体系性不合格：管理体系文件与标准或有关法规、合同要求不符实施性不合格：未按管理体系文件的规定执行效果性不合格：虽按管理体系文件规定执行，但缺乏有效性128不合格类型不合格的类型严重不合格一般不合格体系运行出现系统性失效。体系运行出现区域性失效影响产品或体系运行的后果严重的不合格现象对满足管理体系过程或体系文件的要求而言，是个别的、偶然的、孤立的性质轻微的问题对保证所审核区域的体系有效性而言，是个次要的问题129不合格报告的内容受审核部门问题发生地点审核依据不合格事实描述；审核员签名、责任部门签名；不合格性质判定；不合格条款编号；原因分析；纠正和纠正措施计划；纠正措施验证结果。130不合格事实描述不合格事实确认原因分析制定纠正措施认可纠正措施纠正措施执行纠正措施验证审核员责任部门责任部门责任部门审核员责任部门审核员不合格报告使用流程131受审核部门问题发生地点审核依据不合格项描述：审核员/日期：责任部门/日期：不符合：不合格类型：□严重不合格□一般不合格原因分析：责任部门/日期：纠正和纠正措施计划：审核员/日期：责任部门/日期：纠正措施验证结果：审核员/日期：不合格报告——范例132不合格事实描述要点不合格事实描述要点准确地描述观察到的事实，包括时间、地点、人物（用职务或职称）、何种情况。使其有可重查性和可追溯性力求简明精炼，抓住核心的不合格加以概括提炼，无关的、多余的话不要写对统计数据要有分析和归纳，不要遗漏任何有益信息观点、结论要从描述中自然流露，不要光写结论不写事实，并尽可能使用行业/公司术语133不合格报告的分发不合格报告应分发至不合格产生的责任部门和相关部门。不合格报告的分发应留有分发记录并保存，以便后续的纠正措施跟踪。不合格报告编号发放日期发放部门接受人纠正措施预计完成日期纠正措施实际完成日期不合格报告分发记录R82210520220425134审核组会议在当天审核工作完成后召开；时间一小时左右为宜；仅审核组成员参加；讨论并确定审核中有争议的事项；整理审核结果；确定当天的不合格报告。135末次会议目的：向受审核部门介绍审核总体情况；提出后续的工作要求；结束现场审核。要求：准时开始、结束，以不超过一小时为宜；由审核组长支持会议。参加人员：与首次会议一致。136末次会议——内容会议开始：与会者签到，审核组长致谢受审核部门在审核期间的配合；强调审核的局限性：审核时抽样进行的，存在一定风险；宣读不合格报告：说明不合格报告的数量、分类，并按重要程度依次宣读不合格报告；宣布审核结论：就受审核部门在确保整个组织的质量体系的有效运行，实现总的质量目标方面提出审核结论。结论应全面总结质量工作的优缺点。提出纠正措施要求：提出采取纠正措施的要求，提出受审核部门纠正措施计划的答复时间，完成纠正措施的时限，验证纠正措施的方法。会议结束：向受审核部门表示感谢，受审核部门主管对改进的承诺，必要时邀请最高管理者或管理者代表讲话。137内部审核报告审核报告的编制审核报告的分发与存档审核报告138审核报告——内容审核日期；审核的目的和范围；受审核的部门；实施审核所依据的文件、标准；审核组成员姓名；受审核部门的主要参与者姓名与职务；所有不合格报告及不合格项分布；质量管理体系运行有效性的结论性意见；审核报告分发清单。139内部审核报告编号：受控状态：发放编号：拟制人：xxx日期：2022年4月20日批准人：xxx日期：2022年4月20日XXXX有限公司审核报告——范例140审核报告审核日期：2022年4月15日~2022年4月16日受审核部门：…

…内审组成员：组长：XXX日期：审核员：XXX日期：…

…审核员：XXX日期：页码：1/5审核报告——范例141审核目的：本公司合规管理手册、程序文件已颁布3个月，为检验公司的合规管理体系是否运行正常，是否已具备申请GBT35570-2022认