合规管理实务手册解读

合规管理实务手册——解读目录概述合规管理

企业合规义务员工行为管理合规产品的发轫与进化一、概述二、合规管理三、企业合规义务1.反垄断合规义务2.禁止不正当竞争行为3.进出口贸易管制4.建立和实施商业伙伴管理制度5.会计记录和财务报告真实准确6.数据信息安全四、员工行为管理1.忠诚2.合理使用公司财产3.禁止内幕交易4.对外交往5.举报和投诉1.合规与合规义务2.合规风险1.合规管理体系2.合规管理组织3.合规义务的识别和维护4.合规风险的管理5.合规专项审计6.合规报告7.违规投诉与举报、调查8.合规整改9.合规管理绩效考核、反馈和问责10.合规培训11.合规文化建设目录概述合规与合规义务合规合规义务合规管理1.1合规合规是对合规义务的遵守；违规是对合规义务的违反。打个形象的比喻：合规义务 如同一枚硬币，这个硬币的正面就是合规，硬币的反面就是违规。合规所需要遵守的规定及后果按照合规义务的内外部来源可以分为两类：类别示例性质违反的后果外部法律法规、监管机构的监管规定、行业准则、企业与相关当事人所签订的经济合同等禁止性及义务性规定为主给企业（及其员工）带来法律责任，包括民事、行政乃至刑事责任内部企业内部的规章制度、行为准则、内控流程以及企业其他的合规性要求以企业内部控制措施为主企业的合规防线被突破，最终造成违法、违规事项1.2合规义务实质性合规义务，是指以禁止性及要求性规定为基础而产生的合规义务。违反了这 些规定会给公司带来法律责任、经济或者名誉上的损害。控制性合规义务，是指为了防止风险的发生，从而建立一套风险防控的流程而形成

的义务。控制性合规义务是在一定的环境下，组织为了提高经营效率、充分有效地获 得和使用各种资源，达到既定管理目标，而实施的各种制约和调节的组织、计划、程 序和方法，例如各类内部控制措施所规定的内容和要求。1.3合规管理合规管理是一个企业为了达到合规目的而对合规风险进行识别、分析、评价以及

应对。良好的合规管理体系，一方面帮助企业管控风险，从而降低企业所面临的风险敞 口；另一方面，在企业面对政府机关调查和追诉时有时可以帮助企业减轻甚至免 除法律责任，从而让企业实实在在地享受到合规红利——这已经成为很多国家的 立法趋势（比如中国的《反不正当竞争法》第七条关于商业贿赂的规定），同时 也成为很多国家的执法动向（比如美国关于《反海外腐败法》的执法）。1.3合规管理有关合规管理的相关标准清单包括但不限于如下内容：分类名称发布机构发布时间国际标准ISO

19600:2014Compliance

ManagementSystems—Guidelines国际标准组织（International

Organization

forStandardization）2014-12-15（该标准正在修订中，修订完毕之后其编号将变更为ISO37301，并成为一个可以用来认证的标准）ISO

37001

Anti-bribery

Management

Systems国际标准组织（InternationalOrganization

forStandardization）2016ISO

31022

Legal

RisksManagement

Systems国际标准组织（InternationalOrganization

forStandardization）待发布国内标准合规管理体系指南（GB/T35770-2017/ISO19600:2014）中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会2017-12-29中央企业合规管理指引（试行）国务院国有资产监督管理委员会2018-11-02企业境外经营合规管理指引国家发展和改革委员会2018-12-262.合规风险法律风险欺诈风险操作风险其他合规风险2.1法律风险法律风险是指直接违反法律法规的禁止性及义务性的规定而给企业造成的风险。2.2欺诈风险欺诈风险，也可以称之为舞弊风险，是指企业员工违反其对企业所负有的勤勉尽责 义务以及相应的法律法规甚至是道德规范，采用种种欺诈或者舞弊手段躲避或绕开 企业所设定的内控流程，以达到侵占公司资产或其他损公肥私的目的所带来的风险。欺诈或者舞弊的发生一般都同时具备三个风险因素：动机或压力。具有舞弊的动机是舞弊发生的首要条件；机会。舞弊者需要具有舞弊的机会才可能成功；借口。舞弊者可能对自身的舞弊行为进行的各种解释。2.3操作风险操作风险是指由于信息系统、内部控制缺陷或者行为人的疏忽大意等非主观故意因 素而造成损失的风险。2.4其他合规风险其他合规风险是对上述合规风险的拾遗补缺，在法律风险、欺诈风险以及操作风险 之外的，对企业目标所造成的种种不确定性。比如某国企支付手段过于保守，导致 企业的营业额长期在低水平徘徊，但国资委对于国有企业保值增值不是没有要求的——这种对风险的不恰当管理而给企业目标所造成的不确定性也是一种风险——我们可以把其归纳进其他合规风险当中，虽然也有人认为应当把该风险归纳至法律风险当中去。合规风险识别与评价框架图合规风险识别风险实质性控制具体合规义务执行人风险评价实证合规义性合务（重规义大）务（重大）风险代码风险名称风险源代码风险源案例案件／来源合规义务／来源合规义务／来源合规义务执行人合规义务执行人合规义务执行人风险源引发风险的频率后果严重程度发生的可能性风险值风险测量维度低1-2；风险中3-4；风险高5-6风险值低1-8；中9-64；高65-216合规管理合规管理流程图2.合规管理组织合规管理组织的本质是企业内有关涉及合规管理的员工的分工协作关系，其内涵是 人们在职、责、权方面的结构体系，又称权责结构。这个结构体系的主要内容包括：合规职能结构，即为完成公司合规管理目标所需的各项业务工作及其比例关系。合规层次结构，即各合规管理层次的构成，又称纵向结构。合规部门结构，即各合规管理部门的构成，又称横向结构。职权结构，即各层次、各部门在权力和责任方面的分工及相互关系。3.合规义务的识别和维护合规义务的识别合规义务的识别是企业合规管理的基础。合规义务的识别首先应考虑企业的组织背景，确定与企业合规义务相关的内外部因素和相关方的要求和期望，以确保企业合规义务识别的全面性和准确性。3.合规义务的识别和维护合规义务的维护为保证合规义务的及时更新，公司应当充分识别新的和变更的法律、法规、准则和其他合规义务，一般及时获取最新法律法规、监管政策等资讯的途径请参考图表：合规义务确定合规义务的目的重大合规义务实质性合规义务控制性合规义务合规义务的维护建设性的指导确定合规义务的目的确定合规义务的目的是对合规风险的全面梳理，

也是合规风险评价的基础。正如《合规管理体系指南》第3.6条所指出的那样：组织应通过将其合规义务与其行为、产品、服务和运营相关各方面进行比对，以识别出不合规行为可能发生的情况，从而识别出相应的合规风险。确定合规义务的重要成果之一是重大合规义务清单。重大合规义务相对于一个合规风险，会有很多外部及内部的法

律及规定，相应地也有很多的控制性合规义务。如果要把所有的合规义务都确定下来，是不现实的、也是没有必要的。另外，确定合规义务如果不按轻重缓急予以区分，则会在总体上降低合规义务人对合规风险、尤其是重大合规风险的敏感度。因此，一个组织在确定与合规风险相关联的合规义务时，要把那些重大的合规义务确定下来。重大合规义务往往具有如下特点：①

与控制风险高度相关；②

具有非常强的强制性和义务性；③

一旦违反这些义务就会引发风险或者让风险管控失去控制。实质性合规义务①

定义在法律及规定当中，通过禁止性及义务性规定所归纳出来的义务，我们称之为实质性合规义务（substantive

obligations）。相应地，我们在合规审核时，要根据实质性义务做实质性测试（substantive

test）。②

特征实质性合规义务一般有如下特征：第一、它的来源是禁止性的规定（比如，法律或者公司禁 止某个行为）或者是义务性的规定（比如，某某必须或者 应当履行某个义务）；第二、违反了这些规定会给合规主体和义务人带来法律责 任、经济或者名誉上的损害；第三、实质性合规义务具有 普适性——所有适格的合规义务人都必须遵守。③

确定实质性合规义务制定合规义务的根据来自于法律及规定，但又不同于法律及规定本身。相对于法律及规定而言，合规义务的表述更类似于简单明了的操作指

令。实质性合规义务【示例】以《反垄断法》当中的“转售价格维持”（Resale

PriceMaintenance）为例：《反垄断法》第14条明确规定：禁止经营者与交易相对人达成下列垄断协：（一）固定向第三人转售商品的价格；（二）限定向第三人转售商品的最低价格；（三）国务院反垄断执法机构认定的其他垄断协议。但是，《反垄断法》对于“转售价格维持”的禁止性规定从合规管理实务的角度来说要达到防控“转售价格维持”的风险的目的还缺乏可操作性，组织还需要根据自己的实际情况将其翻译成可以实际遵守的合规义务。实质性合规义务【接上页】为了避免涉嫌转售价格维持：不得在与经销商、零售商的任何形式的协议中规定经销商、零售商应按照某一价格销售或不得低于某一价格销售；不得要求（不论是书面、口头还是暗示）经销商、零售商按照某一价格销售或不得低于某一价格销售；不得对经销商、零售商的价格调整进行干涉，不得因其价格原因而停止供货、解除合同、取消返利、折扣、费用或采取其他惩罚措施；不得在任何内部文件或对外文件、邮件往来中涉及对经销商销售价格或零售商零售价格的控制，不得使用“破价”、

“红线价”等涉嫌价格管控的词语；不得在发现经销商、零售商销售价格低于预期时，向其发出书面函件、电子邮件或进行口头警告，不得在与经销商、零售商人员的对话中涉及价格控制内容；不得与经销商或零售商商定转售价格、促销价格或要求经销商或零售商在进行价格调整前取得我们公司同意；除非获得经销商书面授权且明确声明经销商对价格有最终决定权，不得代经销商与零售商商定供货价格；不得因为经销商、零售商“破价”或“低于建议价格”销售而对他们予以处罚；不得强制经销商、零售商执行建议转售价格或建议零售价格或对它们施加压力，使得它们不得不这么做（比如，反复地将将建议价格发给经销商、零售商，以至于看起来是在威胁它们）。不得将建议转售价格或建议零售价格变为固定价格或最低价格；不得以设置转售价格浮动空间、利润率的形式固定经销商、零售商的销售价格或设置价格下限。控制性合规义务①

定义根据内控制度所确定的义务，我们称之为控制性义务（controlobligations）。内控制度是为了让合规义务人遵守实质性合规义务、避免合规风险的发生而制定的内部控制制度，从而也是控制性合规义务的来源。相应地，我们在合规审核时，往往要通过控制性义务做控制性测试（control

test）。②特征控制性合规义务来自于组织已经制定有的以及没有制定但应当制定的内控制度所确定的控制措施，是组织为了达到管理某个合规风险的目的而为相关合规义务人所预先设定的行动方案。相比较实质性合规义务，有的控制性合规义务不具有普遍性——各个组织在做好风险管控的前提下，可以根据自身的大小和特点选择性使用。③

确定控制性合规义务确定控制性合规义务的来源主要有两个：组织为了管理某个合规风险已经制定有的内控制度；组织为了管理某个合规风险应当制定但却没有制定的内控制度。控制性合规义务【示例】我们同样还以《反垄断法》当中的“转售价格维持”（Resale

PriceMaintenance）为例：公司为了避免涉嫌转售价格维持，规定了十项实质性的合规义务。为了让这十项合规义务落实到位，公司并规定了如下规定：公司法务必须对公司的销售人员进行《反垄断法》培训，并对这十项合规义务逐条予以解释和说明；销售部门每一个季度都要在销售工作会议上和每一个销售人员一起复习这十项合规义务；公司法务在审查经销合同时必须严格对照上述十项合规义务来审查合同。虽然公司规定了上述三项规定，但公司的转售价格维持现象还是屡禁不止，公司的合规人员通过同行交流发现其他公司针对转售价格维持现象还规定了处罚措施：公司对于屡教不改的合规义务人将会采取扣发奖金等处罚措施——这些处罚措施虽然在公司内部还没有制定与实施，但这些措施以及与其相关的合规义务应当写入重大的控制性合规义务清单。合规义务的维护《合规管理体系指南》第3.5.2条对合规义务的维护做了规定，但这些义务的维护更多地是指实质性合规义务的更新：组织宜有适当的过程识别新的和变更的法律、法规、准则和其他合规义务，以确保持续合规。组织宜有过程评价已识别的变更和任何变更的实施对合规义务管理的影响。《合规管理体系指南》并就“获取关于法律和其他合规义务变更信息的过程”示例，包括：列入相关监管部门收件人名单；成为专业团体的会员；订阅相关信息服务；参加行业论坛和研讨会；监视监管部门网站；与监管部门会晤；与法律顾问洽商；监视合规义务来源（如：监管声明和法院判决）。合规义务的更新不仅仅是对实质性义务的更新，同时也应当包括对控制性义务的更新。比如，上述5.4.3所提及的控制性合规义务（或者内控模块的设计）是否能够有效地控制转售价格维持的风险、在实务当中是否能够得到有效的执行、如果不能有效地控制风险或者不能得到有效的执行，那么公司还应当采取什么样的措施、是否应当增加或者调换一个或多个内控模块等等就构成了合规义务的更新和维护。建设性的指导合规义务是合规义务人的底限，合规义务人一旦违反了合规义务就会引发合规风险。所以实质性合规义务的表述往往是禁止性或者义务性的表述，比如义务人不得做什么样的行为或者应当做什么样的行为。在实务中，为了更好地帮助合规义务人履行

合规义务，组织除了设定禁止性的规定之外，还可以提供一些建设性的指导，以帮助义务人员进一步做好合规工作。建设性的指导【示例】我们还是以《反垄断法》当中的“转售价格维持”（ResalePriceMaintenance）为例，组织除了设定前述的禁止性规定之外，还可以提供建设性的指导：尊重经销商、零售商的经营自由和独立地位，不干涉、不限制其销售价格或零售价格（法律虽未禁止设置最高价格，但应非常小心，应提前取得法务批准）；只能建议经销商的转售价格或零售商的零售价格，且明确建议价格仅供参考，经销商、零售商有决定其价格的自由；可以设定最高转售价格，但前提条件是该最高转售价格的设定不是实际上在设定最低转售价格或对转售价格进行限制。具体合规义务人识别具体合规义务人的目的识别具体合规义务人的方法合规义务人的排序识别具体合规义务人的目的具体合规义务人是合规义务的具体执行人。合规义务落实到具体的合规义务人，避免了合规管理职责不清，这与公司自上而下、全员合规的合规管理理念和方法是不相矛盾的，同时也顾及了合规管理的精准化要求，可以让组织把有限的合规资源用到最需要合规管理的节点、部门及人员。合规义务人可以是一群人（比如一个部门），也可以是一个人或者一个岗位。识别具体合规义务人的方法①确定实质性义务下的合规义务人：谁是实质性合规义务的具体执行人且违反该实质性合规义务就会给组织带来风险谁就是实质性义务下的合规义务人。识别具体合规义务人的方法②确定控制性义务下的合规义务人：谁具体负责履行某个控制性合规义务且疏于履行该义务就会给组织带来风险谁就是该控制义务的合规义务人。【接前例】该公司规定凡是与政府官员发生的费用都必须由公司

的合规官事先进行审批，就这个控制性合规义务而言，该公司的合规官就是合规义务人。合规义务人的排序一个合规义务的合规义务人既有实质性义务的义务人，也有控制性义务的义务人。对于同一类义务下的合规

义务人，其义务人的数量也可能不止一个。因为合规义务人也是潜在的合规责任人，因此合规责任人也可能不止一个。合规责任有大有小，合规义务有高有低。所以确定合规义务人的时候，可以把合规义务人按照其合规义务的大小或者是潜在的合规责任的大小做一个排序。排序可以采用损失减少原则（Loss

reductionprinciple）——损失减少原则是指一个有效率的合规体系在众多义务人中分摊责任时，应当让能够以最低代价来减少损失的一方作为首要的合规义务人并承担主要责任。合规义务人的排序【示例】在贿赂风险管理的过程中，贿赂风险的合规义务人可能包括：销售部门的主管和业务人员（其在销售的过程中不能私下通过财物等手段获得或者保有业务）；合规总监（其负责审查所有的发生在政府官员身上所发生的费用）；财务总监（其负责审批费用的报销）。这三类人当中能够用最小的代价来减少贿赂风险带来的损失的一方应当是销售部门的人员，其对贿赂风险的防控简单到不去做就可以了，而其他两方合规义务人对贿赂风险的防控需要公司花费人力、物力及财力进行审查。因此，销售部门的主管和业务人员应当列为首要合规义务人，并承担主要责任。合规风险的管理合规风险的识别合规风险的评价合规风险的控制4.1合规风险的识别合规风险识别指查找、识别、列举和描述公司运转过程中可能面临的合规风险及其 风险源的过程。4.2合规风险的评价合规风险评价是指对已经识别出的风险从风险发生的可能性、风险源发生频率和风

险发生后果的严重程度等维度进行评估以确认合规风险的风险敞口或者风险值。4.3合规风险的控制风险控制是一种内部控制，是在一定情况下，公司为了提高合规风险管理效率、充 分有效地获得和使用各种资源，达到既定管理目标，而在公司内部实施的各种职责 划分、行动计划、操作程序和实施方法。合规风险根据对象的不同，可以从组织内部、商业合作伙伴、其他特定风险领域三 个方向来进行控制。415.合规专项审计工作要点合规专项审计原则合规专项审计的事前基础准备合规专项审计的流程证据的收集和评价审计报告审计后的合规整改工作底稿的整理与保存总结6.合规报告合规报告的内容应当包含图表十六中的七个 部分：各部门合规责任法律环境监控、预防及检测合规风险确认当下合规工作的重点及顺序对现有合规体系的总结改进计划管理层的审查及推荐7.违规投诉与举报、调查组织为保障合规管理机制的有效运行，应建立并完善违规投诉与举报的体系，并在此基础上建立针对不合规行为的调查机制。这就包括组织应当建立举报网络、营造安全举报环境并针对投诉、举报信息创立一个调查机制。建立前提：营造一个严密的违规投诉举报网络建立基础：创建一个令员工放心的安全举报环境建立核心：创立一个针对投诉举报信息的调查机制8.合规整改合规整改指的是员工在出现违规违纪的情况下，组织采取纠正措施从而达成其对建立有效合规方案的承诺。纠正措施通常由两个方面构成：对违规行为人或者未能履行合规义务的合规义务人进行记录处分;找出组织合规体系内新的风险敞口并进行改进。9.合规管理绩效考核、反馈和问责合规管理的绩效考核是组织提升合规执行力的重要举措，特别是针对合规机制尚未完善的组织，通过绩效考核来提升合规执行力就显得尤其重要。在《合规管理体系指南》（GB/T

35770-

2017/ISO19600:2014）的7.2中，员工绩效计划被列为一种有效的控制措施用以确保对合规义务的履行。考核机制可以采取各种形式，如矩阵、九宫格、计分卡等，而且需要制定详细的合规考核标准，考核内容可以包括：·按时完成或参加所有的合规培训·严格执行组织合规政策和流程·有无任何违反合规的行为·积极支持和配合合规职能部门工作·及时汇报违规行为或合规风险以避免或减少因合规风险给组织带来的损失和负面影响10.1合规培训培训的主要内容应当涵盖以下三个部分：·基本合规知识培训基本合规知识培训围绕组织合规体系的内容进行，介绍组织的合规工具、价值观与行为准则。·重大风险培训重大风险培训则面向不同的几大风险模块进行，包括反腐败与反贿赂，反不正当竞争与反洗钱等。·专业性合规培训专业性合规培训则面向特定的专业人群展开，如面向组织税务人员展开税务合规培训，针对金融业从业人员进行金融合规培训等。11.合规文化建设一个组织的合规文化是该组织在合规上长期传承、沉淀的行为规范、思维方式和价值观念。组织看重合规工作是源于组织认可合规以及与合规具有相同性质的要素背后的价值和作用，从而树立正确的合规价值观以及道德准则和信仰。合规价值观与组织的结构和控制系统相互作用，从而产生出导致合规结果的行为规范。合规文化的建设可以分成十个部分。企业合规义务反垄断合规义务禁止垄断行为垄断行为的法律责任反垄断法的域外效力如何防范垄断行为风险反垄断合规调查及其应对1.1禁止垄断行为垄断行为是指排除、限制市场竞争的行为。禁止垄断行为是为了保护公平竞争的市场环境，维

护消费者利益和社会公共利益。《中华人民共和国反垄断法》（下称“《反垄断法》”）规定的垄断行为包括垄断协议、滥用市场支配地位和具有限制竞争效果的经营者集中，有关垄断行为的主要表现形式请见图表：1.2垄断行为的法律责任企业违反《反垄断法》规定实施垄断行为，将可能面临行政责任、民事责任甚至刑

事责任。1.3反垄断法的域外效力

反垄断法的域外效力是指，即使垄断行为并未发生在相关国家境内或管辖范围内，但是如果其对该国的市场经济产生较大的影响，那么该国的执法机构就对该垄断行为享有管辖权。此外，中国的《反垄断法》同样也具有域外效力。2014年，国家发改委对日本住友 等十二家汽车零部件和轴承生产企业针对中国市场的价格垄断行为进行处罚，相关处 罚信息可在国家发改委官网获取。1.4如何防范垄断行为风险制定反垄断合规制度出具反垄断行为合规承诺反垄断合规培训1.5反垄断合规调查及其应对国家反垄断执法机构对企业的反垄断调查包括书面调查和场所检查两种方式，见图 表。其中场所检查包括提前通知和突袭搜查两种方法，而后者在司法实践中被多次 运用，也往往是对被调查企业而言最为棘手的调查方法。1.5反垄断合规调查及其应对企业应当从平时的防范工作和搜查现场的配合工作两个方面控制因突袭搜查带来的 企业合规风险，具体措施请见图表：平时的防范工作健全合规管理制度，组织合规培训，降低企业被执法部门突袭调查的风险；建立突袭调查的应对机制和应急小组，在企业资料的整理与保存、商业秘密的保护、员工的应对培训等方面进行有效安排以应对突袭调查；搜查现场的配合由于行政执法需要至少两人，因此当参与搜查的执法人员仅有一人，或调查人员无法出示有效的执法证件时，应当拒绝其进入企业进行调查；在搜查过程中，企业员工应当配合调查人员，避免误解。但同时也应当注意维护企业的合法权益，尽量仅向调查人员提供法律要求的资料，避免商业秘密等关键信息的泄露。对于不确定、有疑问的问题应当及时咨询法务人员及外部律师。在搜查之后，企业应当及时与政府部门取得联系，做出有效沟通和协调，减少搜查带来的企业经营风险。禁止不正当竞争行为不正当竞争行为的基本范围不正当竞争行为的法律责任防范商业贿赂合规风险防范虚假广告宣传合规风险防范公司秘密泄露的合规风险2.1不正当竞争行为的基本范围不正当竞争行为是指，扰乱市场竞争秩序，损害其他经营者或者消费者合法权益的 行为。禁止不正当竞争行为是为了鼓励和保护公平的市场竞争，保护经营者和消费 者的合法权益。《反不正当竞争法》规定的不正当竞争行为包括混淆行为、商业贿赂、虚假宣传、 侵犯商业秘密、非法有奖销售、商业诋毁和网络不正当竞争行为。2.2不正当竞争行为的法律责任行政责任民事责任刑事责任违法行为行政责任商业贿赂、侵犯商业秘密、诋毁商誉和网络不正当行为10万元—300万元的罚款虚假宣传20万元—200万元的罚款非法有奖销售5万元—50万元的罚款混淆行为违法经营额5万元以上违法经营额五倍以下的罚款没有违法经营额或违法经营额不足5万元25万元以下的罚款混淆行为、商业贿赂、虚假宣传，情节严重的吊销营业执照2.3防范商业贿赂合规风险商业贿赂的类型商业贿赂类型不正当交易行为不正当交易行为是指商业贿赂中情节轻微、数额较小，违反商业道德和市场规则，依照党政机关、行业主管（监管）部门以及行业自律组织的有关规定，应当予以处理的行为。一般违法行为一般违法行为是商业贿赂中情节较轻、数额不大，违反《反不正当竞争法》和其他法律法规，尚未构成犯罪，应当给予行政处罚的行为。犯罪行为犯罪行为是商业贿赂中数额较大，或者具有其他严重情节，依照《刑法》应当受到刑罚处罚的行为。2.3防范商业贿赂合规风险腐败及商业贿赂的风险风险类型含义举例合规风险指一个公司因员工违反了法律规定而受到法律惩处的风险。如果甲公司经理A为了把其公司的次品卖给乙公司，从而向乙公司的经理B行贿，那么甲公司的经理A会因为违反了法律规定而受到处罚，同时也会给甲公司带来合规风险。而乙公司的经理B也会因受贿而受到处罚，甚至被追究刑事责任。欺诈风险指公司因其员工违反忠诚义务而受贿，从而欺骗该公司并使公司遭受经济损失等风险。如果甲公司经理A为把其公司的次品卖给乙公司，从而向乙公司的经理B行贿，则乙公司购入次品会导致自身产品质量下降，从而给自身造成损失。名誉风险指公司因为员工的贪污或贿赂行为使公司声誉蒙受损失。尤其是媒体曝光后，往往会给公司形象造成严重打击，影响其进一步的经营。诉讼风险指贿赂事件发生后可能会使公司陷入一系列的诉讼案件中，如因腐败和贿赂而被开除的员工对公司提起劳动仲裁或诉讼。2.3防范商业贿赂合规风险新《反不正当竞争法》（2017年版）反商业贿赂条款解读：除非是例外情形，交易相对方不再是商业贿赂的收受主体删除了账外暗中给予、收受回扣视同行贿、受贿的规定。区分员工职务行为和个人行为,为经营者抗辩和豁免预留了空间行政处罚力度加大商业贿赂风险的预防：公司员工禁止腐败行为，禁止任何形式的索贿、行贿及受贿行为，对于其他公司或个人的索贿或行贿，应当果断拒绝公司在日常的交往活动中常有对外提供礼品和邀请，或者从外部接受礼品和邀请的情况，提供和接受礼品应当遵循适当的标准员工的反腐败与反贿赂规制应可以依靠建立专门的内部监督机构以及开展专项行动来进行2.4防范虚假广告宣传合规风险虚假宣传、虚假广告的界定虚假广告宣传的法律责任违反禁止虚假广告宣传相关法律法规规定需承担行政责任和/或民事责任虚假广告宣传风险的预防为有效预防虚假广告宣传的合规风险，公司应：指定专门的部门和人员进行广告宣传合规审核工作对现有所有宣传渠道的宣传内容进行全面审查 建立公司广告宣传的内部审核机制并保证其有效运行2.5防范公司秘密泄露的合规风险公司秘密的含义公司秘密是指关系到公司的权力和利益，依照特定程序规定，在一定时间内只限一定范围内的人员知悉的事项公司秘密泄露及其风险公司秘密的泄露是指使公司秘密被不应知悉者知悉，其行为模式包括但不限于以下类型：以欺诈、盗窃、利诱、胁迫、贿买或其它不正当手段获取公司秘密披露、使用或允许他人使用以前项手段获取的公司秘密违反协议或者违反公司有关保守商业秘密的要求，披露、使用或允许他人使用所掌握的商业秘密2.5防范公司秘密泄露的合规风险公司秘密泄露的防范对策公司应当要求员工在日常工作中自觉保守公司秘密，并主动尽到保守秘密的最大注意义务。具体应做到：653.进出口贸易管制美国进出口贸易管制部门违反进出口贸易管制的风险如何确保遵守出口贸易管制规则2019/8/63.1美国进出口贸易管制部门所属单位职责法律依据国防贸易管制指挥部(Directorate

ofDefense

Trade

Controls，DDTC)国务院国防产品和服务出口《国际武器贸易条例》International

Traffic

inArmsRegulations（ITAR）、《武器出口管理法案》Arms

Export

Control

Act海外资产控制办公室(The

Office

ofForeign

Assets

Control，OFAC)财政部经济和贸易的综合制裁《对敌交易法令》Trading

with

theEnemy

Act、《国际紧急经济权利法》International

EmergencyEconomic

Powers

Act工业安全局(Bureau

of

Industry

andSecurity，BIS)商业部两用物品出口；反经济抵制规则《出口管理法案》Export

Administration

Act、《出口管理条例》Export

AdministrationRegulations(EAR)美国海关及边境保卫局(U.S.Customs

and

Border

Protection

，CPB),美国能源部、美国食品药品监督管理局(U.S.Food

&

DrugAdministration，FDA)美国农业部3.2违反进出口贸易管制的风险执法机构法律依据处罚对象处罚类型处罚内容OFACTEA、IEEPA公司及个人行政25万美元、交易金额两倍或并罚刑事100万美元、20年监禁或并罚DTCITAR个人刑事10年监禁行政50万美元公司行政禁止与政府签订合同、失去出口许可BISEAR个人刑事20年监禁、100万美元或并罚公司行政100万美元单个违规行为行政25万美元或出口价值两倍，取其中高者3.3如何确保遵守出口贸易管制规则对潜在的“危险信号”进行审查是确保出口符合美国出口法律法规的一个重要步骤。 有关危险信号可能是这样的：非同寻常的交货条件关于交易的信息很少在没有过往交易的情况下要求提供备件或修理配件买方的业务线与产品不相匹配除了进行非正式的“危险信号”审查外，公司还应该对所有的供应商和客户进行全面

的筛选。建立和实施商业伙伴管理制度什么是重要商业伙伴管理制度商业伙伴带来的合规风险如何建立和实施商业伙伴管理制度4.1什么是重要商业伙伴管理制度 企业的商业伙伴包括但不限于客户、代理商、分包商、供应商、经销商和咨询顾问

等。商业伙伴的违规行为很可能会对企业的经营产生影响。4.2商业伙伴带来的合规风险由于企业业务种类繁多、法律关系多元，与之建立商业贸易关系的合作伙伴也纷繁 多样。而商业伙伴自身作为独立的市场主体，进行的商业经营活动也十分丰富，因 此为企业带来的合规风险也复杂多样。“不怕神一样的对手，就怕猪一样的队友。

”在风险不断提高的商业环境中，不正当经营的商业合作伙伴可能使企业遭受重大

财务损失甚至法律制裁或监管处罚，并带来品牌的负面影响和声誉损失。4.3如何建立和实施商业伙伴管理制度建立商业伙伴管理制度实施商业伙伴管理制度对于具体的实施方式，企业具体可以从尽职调

查、合同条款约束、培训和沟通、监控和惩罚四个方面展开工作。合同条款约束培训和沟通监控和惩罚会计记录和财务报告真实准确会计记录和财务报告的编制标准会计记录和财务报告带来的法律风险如何确保会计记录和财务报告真实准确5.1会计记录和财务报告的编制标准会计记录包括：各种会计账簿、会计凭证、会计报表及发票、合同、签约等其他原 始资料。财务报告包括：反映企业财务状况和经营成果的书面文件，包括资产负债表、利润 表、现金流量表、所有者权益变动表、附表及会计报表附注和财务情况说明书。对于会计记录和财务报告，要求数字真实、计算准确、内容完整、说明清楚。对财 务会计报告的编制依据、编制要求、提供对象作出规定的法规制度主要有《会计法》、《企业财务会计报告条例》、《会计基础工作规范》.5.2会计记录和财务报告带来的法律风险根据中华人民共和国财政部发布的《企业内部控制应用指引第14号——财务报告》 第三条，企业在编制、对外提供和分析利用财务报告时，至少应当关注下列风险：编制报告违反会计法律法规和国家统一的会计准则制度，可能导致企业承担法律责任和声誉受损。提供虚假报告，误导报告使用者，造成决策失误，干扰市场秩序。不能有效利用报告，难以及时发现企业经营管理中存在的问题，可能导致企业和经营风险失控。在本手册中，我们着重介绍法律风险，失真的会计记录和财务报告将可能给公司带 来行政责任、民事责任和刑事责任。5.3如何确保会计记录和财务报告真实准确规范企业财务报告控制流程，明晰各岗位职 责健全财务报告各环节授权批准制度建立日常信息核对制度充分利用会计信息技术2019/8/6数据信息安全什么是数据信息安全数据信息安全立法框架与网络安全等级保护标准违反数据信息安全的责任如何确保数据信息安全6.1什么是数据信息安全数据信息安全性，是指信息的完整性、可用性、保密性和可靠性。数据信息安全的 实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破 坏。6.2数据信息安全立法框架与网络安全等级保护标准2017年6月1日，我国第一部全面规范网络空间安全管理方面的基础性法律《中华人民共和国网安法》（“网安法”）正式实施。随后，有关数据信息安全的相关配套法规、规章、规范也陆续颁布，整体性立法和制度框架逐渐搭建6.3违反数据信息安全的责任行政责任违法行为行政责任出处网络运营者、网络产品或服务提供者未向用户明示即取得用户信息收集与提供的服企业务无关的个人信息泄露、篡改、毁损其收集的个人信息未经同意，向他人提供用户下罚：被处以警告、没收违法所得、处违法所得1倍—10倍的罚款；没有违法所得的，处100万元以款；直接责任人员：被处1万元—10万元罚款；信息、未妥善保管用户个人信息或未及时情节采取补救措施并告知用户未依照规定或约网站严重：被责令暂停相关业务、停业整顿、关闭、吊销相关业务许可证或吊销营业执照。《网安法》第六章——法律责任定删除或更正个人信息的以非法方式获取、出售或向他人提供个人信息被没收违法所得，并处违法所得1倍以上10倍以下罚款没有违法所得的，处100万元以下罚款侵犯商业秘密10万元—300万元以下的罚款《反不正当竞争法》第二十一条违反《保守国家秘密法》故意或过失泄露国家秘密违反《专利法》向外国申请专利，泄露国家秘密被给予行政处分《保守国家秘密法》第四十八条、第四十九条、第五十条、第五十

一条《专利法》第七十一条6.3违反数据信息安全的责任民事责任刑事责任类型违法行为刑事责任公民个人信息窃取、非法获取、出售或提供公民个人信息的，将可能构成侵犯公民个人信息罪企业：被判处罚金，直接责任人员：7年以下有期徒刑或者拘役，并处或者单处罚金。经营由反竞争情报并处款；以下者违反反垄断法的规定，达成并实施垄断协议的，垄断执法机构责令停止违法行为，没收违法所得，上一年度销售额百分之一以上百分之十以下的罚尚未实施所达成的垄断协议的，可以处五十万元的罚款。在司法实践中，有个别涉及竞争情报的案件以强迫交易罪进行定罪处罚。犯强迫交易罪的处7年以下有期徒刑或者拘役，并处或者单处罚金。商业秘密侵犯商业秘密罪7年以下有期徒刑或者拘役，并处或者单处罚金。国家机密为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或情报的最高可判处死刑。6.4如何确保数据信息安全针对数据信息的收集、处理、转让、分享等各个环节制定相应的合规管理制度。建立数据安全事故预警和处理制度预警对数据安全进行全面的评估，从数据的重要性程度、安全风险程度、安全事件发生的

可能性等方面找出重大的风险源。制定具有针对性的合规应对流程，并定期组织培训，安排演练。对数据安全保持持续性地关注和监控，确保第一时间发现问题。处理在安全事故发生后，企业不仅要向用户履行告知义务，还要向监管机关及时报告。企业内部则应当及时启动应急预案，查找风险源，并根据之前制定好的风险管理流程，妥善处理安全事故。注意全面记录事故经过、原因及处理措施。追责在安全事故得到有效控制后，企业应启动追责程序。查找系统漏洞、调查失职人员，向数据侵害方提出索赔。在企业内部开展事后交流会，总结经验教训。员工行为管理忠诚利益冲突徇私舞弊利益输送1.1利益冲突利益冲突的表现公司应禁止的利益冲突形式包括但不限于以下几个方面：帮助竞争对手自营与公司竞争在供应商处兼职利用公司的时间或资产开展与工作无关的活动利用公司的影响1.1利益冲突利益冲突引发的风险和后果：员工违反忠诚义务从事与公司存在利益冲突的活动，不仅会给公司带来损失或者损失风险，而且不利于员工个人的职业发展。首先，员工从事与公司存在利益冲突的活动将使得原本属于公司的客户流失。这将直接导致公司实际的利益损失。除此之外，员工私自从事不利于公司的活动将使得公司的声誉受到影响。其次，员工被公司因上述原因辞退后个人声誉受到影响，难以在行业内立足。除此以外，根据《劳动合同法》第三条、第三十九条、第四十六条，由于员工存在利益冲突而被辞退的，公司无须对其进行经济补偿。1.1利益冲突利益冲突的对策：公司员工应遵守以下规则，正确处理与公司的利益关系，避免个人利益与企业利益发生冲突：1、公司员工不得参与或协助任何与公司相竞争的活动；2、公司员工不得投资与公司存在竞争关系的非上市公司；3、公司员工不得在与公司存在竞争关系的单位兼任职务或提供帮助；4、公司员工不得在不向公司进行披露的情况下直接或者间接地作为公司的供应商或者经销商与公司交易；5、公司员工不得以各种方式侵占或不当利用公司的资产；6、未经公司授权或批准，员工不得以公司名义或公司员工名义进行考察、谈判、签约、招投标、竞拍、为自身或他人提供担保、证明等相关业务活动公司应建立员工利益冲突申报制度，对任何已经发生或即将发生的员工利益冲突事项，员工应主动、如实、全面地向其上级主管领导及专门的风险申报负责人进行申报。1.2徇私舞弊徇私舞弊行为类型概览资产侵占或挪用贪污贿赂腐败财务报表舞弊发票与舞弊1.2徇私舞弊徇私舞弊引发的风险和后果重大的舞弊行为会导致整个组织的垮台、巨大的投资损失、重大的法律费用、关键人员的监禁 并且会侵蚀资本市场的信心。除了直接支出的调查、审计费用之外，为了控制风险和损害所支 出的公关费用与潜在的机会成本，对于企业而言都是难以估量的损失。除此之外，重大的商业舞弊行为可能涉及职务犯罪，相关责任人可能会被追究刑事责任；单位 也可能成为职务犯罪的主体，依据刑法被追究单位犯罪的刑事责任，主管和直接责任人员也可 能因此面临刑罚，包括牢狱之灾。1.2徇私舞弊徇私舞弊的对策禁止将工作中所使用和占有的公用物品带离工作场所禁止以各种方式窃取、侵吞、挪用公司财产员工不得利用在本公司的职权及优势地位为本人及亲友、利益相关者谋取不正当利益负责对外业务岗位的员工在入职时及劳动合同存续期间，应当依照公司要求申报主要家庭成员从业情况，并定期更新申报公司与员工亲属管理、经营和实际控制的公司进行交易时，该员工应主动申报并回避1.3利益输送利益输送行为利益输送是指公司员工通过各种合法或非法手段，向私人转移公司资产或利润的行为。利益输送者往往是公司掌握关键业务的人员或者拥有一定决定权的高级管理人员。利益输送引发的风险公司员工利益输送的行为往往在公司遭受损失后进行自查时才能被发现，且多数情况下该员工都身兼要职且长期反复进行利益输送，被查处时已经给公司造成了严重后果。利益输送行为很有可能

触犯刑法相关罪名，相关员工也极有可能面临刑事审判的不利后果利益输送的对策公司员工不得为亲友非法牟利不得进行关联交易不得进行财务协助90合理使用公司财产公司财产的范围侵犯公司财产的风险保护公司财产安全的对策2019/8/62.1公司财产的范围公司财产包括有形财产和无形财产。

公司的有形财产是指以具体物质产品形态存在的资产。包括但不限于：资金、拥有的资源、公司产品、机器设备、装置、厂房办公楼等不动产。

无形财产是指企业拥有或者控制的没有实物形态的可辨认的非货币性资产。包括但不限于：企业商标权、专利权、软件著作权、商誉、土地使用权、有价证券、数据与信息。2.2侵犯公司财产的风险员工应当自觉保卫公司财产，严禁利用职务便利危害公司财产安全。若直接接触公司财物的部门、安全保卫部门中关键性职位的员工选任不当，则其侵 占公司财产更为便利，也更易给公司造成严重财产损失。因此，关系到公司财产安全的关键性职位上的员工必须经过严格选任，否则会给公 司财产安全带来巨大风险。2.3保护公司财产安全的对策员工应当合理使用公司财产，禁止侵占、盗用公司财产和泄露专利技术等行为，确 保公司财产安全。禁止内幕交易内幕交易知情人内幕交易引发的风险内幕交易的对策3.1内幕交易知情人根据《证券法》第74条，证券交易内幕信息的知情人包括：发行人的董事、监事、高级管理人员;持有公司百分之五以上股份的股东及其董事、监事、高级管理人员，公司的实际控制人及其董事、监事、高级管理人员;发行人控股的公司及其董事、监事、高级管理人员;由于所任公司职务可以获取公司有关内幕信息的人员;证券监督管理机构工作人员以及由于法定职责对证券的发行、交易进行管理的其他人员;保荐人、承销的证券公司、证券交易所、证券登记结算机构、证券服务机构的有关人员;国务院证券监督管理机构规定的其他人。3.2内幕交易引发的风险员工内幕交易是对证券市场 公正、公平、公开的交易原 则的违反，不仅会使其自身 面临证监会的处罚甚至刑事 处罚，而且会严重损害其他 证券持有人的利益。3.3内幕交易的对策对于一般员工的行为要求，应当做到：严禁利用内幕信息交易本公司股票，不得泄露内幕信息，不得建议他人买卖本公司股票；主动配合公司进行内幕信息知情人的登记工作；主动配合公司做好相关期间个人交易本公司股票的自查工作，如实汇报并书面确认交易情况，并对上报信息的真实性、准确性和完整性负责；配合公司纪律监察部门对于内幕交易的调查工作。而对于常见的内部员工证券交易，则可以做出以下限制：员工进行与公司有关的直接或间接的股权投资，应当事先报公司备案；员工不得投资与公司有或者可能有重大业务关系、竞争关系或利益冲突的公司；不得在其投资的公司中兼职并领取报酬；不得进行其它可能损害基金份额持有人利益和公司利益的股权投资；不得进行无论在规模上还是性质上会影响员工正常履行工作职责的股权投资。4.对外交往对外交往的内容对外交往不当引起的风险员工对外交往行为准则4.1对外交往的内容员工的对外交往是指员工代表公司与公司的经销商、供应商、竞争对手、媒体以及 政府机关进行接触和联络。4.2对外交往不当引起的风险公司的对外交往原本就是商业活动中所不可避免的环节，但公司员工在与其他主体 交往尤其是在与政府机关交往时，必须把握交往的分寸，否则可能构成商业贿赂， 甚至触犯行贿罪。4.3员工对外交往行为准则与政府机关的交往时，应当注意：员工不得向政府或行业协会相关人员提供金钱，或任何可能导致被怀疑与该政府单位有特殊关系的礼品，避免触犯行贿罪等罪名员工应当熟知政府官员收礼的政策性规定，禁止采取与规定相违背的交往方式员工应时刻牢记自身代表企业形象，忠于公司，杜绝任何对公司不利的言行与供应商、经销商的交往时，对供应商的选择要求遵守客观、公正的原则，从公司利益

最大化出发，充分衡量供应商技术、质量、响应速度、交付能力、成本、环境、社会责任等方面是否符合公司标准要求，选择最优供应商。1005.举报和投诉建立举报与投诉制度员工举报和投诉制度的设置2019/8/6建立举报与投诉制度合规机制的有效运行需要公司建立完善的员工举报和投诉制度，以充分揭示公司潜 在或隐藏的合规风险。建立举报和投诉制度时的注意要点请参考图表：注意要点解读举报和投诉制度要让潜在的举报者相信公司反对任何欺诈和违法，并且充分重视内部举报。公司高层必须支持内部举报机制的建立。公司的高层应当利用合适的机会，表达公司对于欺诈、违法行为的零容忍，并且鼓励员工说出自己发现的问题，营造一个坦诚、诚信的内部环境。同时，在发布或是宣传公司的内部举报制度时，应当得到高层的支持并以管理层的名义向公司自上而下的发布，以传递一个清晰的信号给潜在的举报人：公司重视举报，任何员工的举报都会被严肃对待。在培训和宣传时，应当多宣传成功的内部举报案例，以鼓励潜在的举报人。要使举报者相信其可以切实得到举报制度的保护。内部举报制度应当在法律允许的范围内实行匿名举报，避免阻断举报途径。公司应当建立举报人信息保密的机制，并对保密机制进行大力宣传。公司要制定明确的反报复政策，明确规定打击报复的认定方式、申诉方法，从制度上给潜在的举报者以信心。在员工中推广举报流程，促使其毫无障碍地进行举报。关于内部机制的培训应当成为所有员工必须完成的强制培训项目；在所有入职培训中都必须有关于内部举报机制的培训内容；合规部门要制作、散发关于内部举报机制的小册子或宣传材料，分发给各部门的员工，或放在公司网站上方便查阅。5.2员工举报和投诉制度的设置设置员工举报和投诉制度可以有以下12种方式：建立举报网络并培训创造安全的举报环境提供多种方式供举报者提供举报信息保证举报热线的接听者是受过专业训练的人员跨国企业必须给当地员工使用“当地语言”的机会设置案件管理系统对举报信息进行分析提倡“首举不究”的原则设立“亲情大使”或“冤情大使”建立举报奖励制度鼓励客户或第三方投诉严禁打击报复举报人合规产品的发轫与进化网络安全等级保护反贿赂、反舞弊反不正当竞争|法律+IT解决方案商业伙伴风险管控|风险尽调商业伙伴风险管控|财务与合规审计反贿赂合规审计为某央企做合规管理体系建设及实施方案世界领先的无人驾驶汽车项目某电商跨境平台服务其他服务01020304服务产品OurserviceAEO认证及海关事务法律服务05060708091011AEO认证及海关事务法律服务参与货物国际流通，符合

WCO或供应链安全标准的企业生产商进/出口商报关行承运商综合经营者仓储业经营者国内：《中华人民共和国海关企业信用管理办理》署令第237号第3条海关根据企业信用状况将企业认定为认证企业、一般信用企业和失信企业。认证企业分为高级认证企业和一般认证企业。第5条认证企业是中国海关经认证的经营者（AEO）第30条“经认证的经营者（AEO）”，指以任何一种方式参与货物国际流通，符合本办法规定的条件以及《海关认证企业标准》并且通过海关认证的企业。何谓AEO？

AEO（Authorized

Economic

Operator，经认证的经营者）国际：WCO《全球贸易安全与便利标准框架》AEO

is

a

party

involved

in

the

international

movement

of

goods

in

whateverfunction

that

has

been

approved

by

or

on

behalf

of

a

national

Customsadministration

as

complying

with

WCO

or

equivalent

supply

chain

securitystandards.

AEOs

may

include

manufacturers,

importers,

exporters,

brokers,

carriers,

consolidators,

intermediaries,

ports,

airports,

terminaloperators,

integrated

operators,

warehouses,

distributors

and

freight

forwarders.以任何一种方式参与货物国际流通，并被海关当局认定符合世界海关组织或相应

供应链安全标准的一方。包括：生产商、进口商、出口商、报关行、承运商、理货人、中间商、口岸和机场、货站经营者、综合经营者、仓储业经营者和分销商。通过AEO认证的益处以高级认证企业为例，除适用一般认证企业管理措施外，还适用下列管理措施：（一）进出口货物平均查验率在一般信用企业平均查验率的20%以下；（e.g

2018年海关对AEO高级认证企业平均查验率仅为0.52%，而对失信企业平均查验率近100%。）（二）可以向海关申请免除担保；（三）减少对企业稽查、核查频次；（四）可以在出口货物运抵海关监管区之前向海关申报；（五）海关为企业设立协调员；（六）AEO互认国家或者地区海关通关便利措施；（七）国家有关部门实施的守信联合激励措施；（八）因不可抗力中断国际贸易恢复后优先通关；（九）进出口货物平均检验检疫抽批比例在一般信用企业平均抽批比例的20%以下（法律、行政法规、规章或者海关有特殊要求的除外）；（十）出口货物原产地调查平均抽查比例在一般信用企业平均抽查比例的20%以下；（十一）优先向其他国家（地区）推荐食品、化妆品等出口企业的注册。（十二）海关总署规定的其他管理措施。梳理业务流程、提出整改意见向海关提出申请海关现场审核

完成认证颁发证书协助执行与维护准备认证材料前期沟通、摸底和签约AEO项目流程梳理公司架构及进出口业务流程； 检查业务规范及贸易安全情况，提出整改意见；为客户开展AEO及关务知识培训； 协助客户建立一站式贸易合规管理系统；协助客户准备全套认证材料； 协助客户与监管部门沟通、配合现场审核。AEO认证辅导关务专项合规审查及风险防控日常海关事务咨询及代理协助客户开展主动披露；协助客户应对海关稽查；协助客户应对海关核查； 对海关归类、估价、原产地等业务进行专项合规检查；原产地关务筹划。加工贸易合规事务咨询；进出口通关合规事务咨询； 自贸区与海关特殊监管区业务咨询；知识产权海关保护事务代理；海关行政处罚、刑事案件代理。网络安全等级保护网络安全物理安全网络安全主机安全应用安全数据安全及备份恢复安全物理环境安全通信网络安全区域边界安全计算环境安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理技术要求管理要求等保2.0等保1.0等保1.0等保2.0安全管理制度安全管理机构安全建设管理安全运维管理基本要求安全管理中心安全管理人员陈立彤律师团队安全技术建设整改（由团队下的技术团队负责）为客户系统网络层面、主机层面的访问控制、安全审计、身份鉴别、入侵防范、恶意代码防范等提供技术支持对应用层面的安全审计、访问控制、身份鉴别、剩余信息保护、资源控制等提供技术支持为客户数据安全及备份恢复提供技术支持，尤其涉及到数据回迁问题安全管理建设整改协助客户完成信息安全管理工作

职能部门的设立。提供人员安全意识/关键岗位人员技能/应急预案培训及审核服务，以满足人员管理制度要求。为客户完善各项

管理制度，例如变更管理制度、备份与恢复制度。并协助客户完成系统操作规程，安全设计方案等文件，以满足各项管理制度要求为客户数据安全管理提供制度文件为客户提供各项

记录表单，协助客户补充安全检查记录、数据备份记录，协助完成外联单位列表、信息资产清单等文件反贿赂、反舞弊反贿赂、反舞弊培训：FCPA、中国反贿赂法、反舞弊；法律意见：具体的一些营销手段是否合法；审计：全面诊断是否有行贿行为、内控是否有效；合规专项调查调查：是否有行贿行为、是否要自我举报、如何整改、合规体系建设；反舞弊调查：员工是否索贿、受贿、如何清退；合规尽责调查：风险为基础、供应商&经销商的资质、履约能力、是否被处罚过、是否有负面舆情。反不正当竞争|法律+IT解决方案知识产权保护面临的挑战机床全部进口，无法监控是否平行进口，还是假货；无法监控经销商销售到哪个客户，无法确定经销商真假混卖，无法精准进行客户实行售后维修服务；第三方售后服务网点使用配件，进行机床维修。无法判断是假货，还是平行进口配件，或进口整机后拆机销售维修配件；导致售后维修周期无法保证，配件难，价格不透明，服务质量得不到保障。讨论：云平台一体化解决方案云平台IT配套解决方案使用经销商、售后服务云平台系统，实现从销售线索到汇款、渠道经销商管道、售后服务全程监控。一个完善的销售、售后网络，该网络一般由互联网络管理系统支撑，链接厂家、各级代理商、各地售后服务中心及各地市特约维修网点打破对于服务不可控的现状，服务全流程可视化企业和客户利益得到保证，完备透明互联网化的从销售到售后服务一体化管理体系。对于品牌商而言，重视售后服务，保持客户满意度，售后可以变为利润中心，好的售后服务是二次营销的开始货品唯一编码可以查出各国市场的串货，假货。管理到渠道商的客户，主动进行售后服务流程，进行360度客户满意度分析，防止客户到第三方维修点去维修，使用假配件或者平行进口配件。应用系统的合作伙伴功能，可以联合第三方维修点，更好的为客户服务。ORACL

NETSUITE-全面、完整的云平台CRM（市场、销售、支持部门、客户中心、经销商管理中心、

合作伙伴中心一体化管理）存货/仓库管理，按批次，序列号管理售后服务项目中心商业智能BI分析相关人员实时数据商业伙伴风险管控|风险尽调律师设计风控模型“尽调亚洲”风控模型具有如下特点：吸收了相同服务产品的优点（比如大数据、实时风控的概念）；避免了相同服务产品的缺点（比如单纯以地域和产品作为辨识、衡量风险的依据，但忽略了人的因素）；充分考虑到了亚太地域要素对风控的影响（包括语言和当地的合规法律文化）；也考虑到风险管理定制化的需求；同时顾及到界面的简单、清晰，做到reader-friendly尽调对象将按“高”、“中”、“低”三档进行风险评级，以便公司对尽调对象按风险敞口的大小进行管理。风险评级动态、持续的风险管理大数据的风控思路数据来源视公司风险管控的需求而定：利用现有的数据挖掘工具（比如风报、天眼查、企查查等）；公司及尽调目标公司按尽调要求提供的数据；检察院行贿犯罪大数据；工商调查数据等等。让Red-Flags从滞后变为提前当地语言管理当地风险大量实践表明，把尽调信息在本地语言与英语之间进行转换会大量损耗风险提示信息（riskindicators）。如果尽调目标是一个中国公司，那么用英文尽调，该尽调即使如“尽调亚洲”那样也是在线的，但它们是不可能做到对第三方风险进行持续的监控和管理。2019/8/6130商业伙伴风险管控|财务与合规审计对PE投资的项目公司进行合规审计某中国最为知名的证券公司之一下属的投资公司在PE投资了项目公司后，发现项目公司盈利状况远逊原来的可行性研究报告和尽调结果。为了查明原因，聘请会计师事务所和律师事务所一起对目标公司做财务和合规审计，并对相应的风险提出解决方案。2019/8/6132反贿赂合规审计为某央企做合规管理体系建设及实施方案合规管理体系建设及实施（一）培训：合规管理体系建设集团规章制度的合规审核（需要进行合规审核的集团规章制度约为20个，规章制度起草由集团自行完成）、起草海外项目法律合规工作指引（包括但不限于海外项目从尽职调查、机构设立到运营管理的法律合规事务规范化流程和管理要求）制定集团合规手册（根据国际大企业的规范标准，结合集团具体情况，制作集团合规手册）合规管理标准化建设（制定专项合规检查流程；制定合规检查领域和检查对象的定性定量标准；提出合规风险识别和聚焦机制方案）海外重大项目合同审查制度执行情况的合规检查涉及国家：斯里兰卡、新加坡、澳大利亚、白俄罗斯、英国等。涉及国家包括斯里兰卡、新加坡、澳大利亚、白俄罗斯、英国等工作成果：包括检查工作底稿或合规检查清单及合规检查报告等。海外产权（股权）管理情况的合规检查涉及国家（共39个国家）：北美洲（美国、加拿大、巴拿马、开曼群岛、英属维尔京群岛）、南美洲（巴西）、非洲（埃及、安哥拉、多哥、刚果（布）、吉布提、尼日利

亚、坦桑尼亚）、亚洲（阿联酋、巴基斯坦、菲律宾、哈萨克斯坦、韩国、柬埔寨、马来西亚、孟加拉国、缅甸、日本、沙特阿拉伯、斯里兰卡、泰国、土耳其、文莱、新加坡、印度、印度尼西亚、越南）、大洋洲（澳大利亚、新西兰）、欧洲（白俄罗斯、德国、法国、荷兰、英国）成果包括：（1）工作底稿或合规检查清单及合规检查报告；（2）涉及国家有关产权（股权）证明格式文件及相关法律规定汇总清单）。合规管理体系建设及实施（二）海外重大项目合同审查制度执行情况的合规检查涉及国家：斯里兰卡、新加坡、澳大利亚、白俄罗斯、英国等。涉及国家包括斯里兰卡、新加坡、澳大利亚、白俄罗斯、英国等工作成果：包括检查工作底稿或合规检查清单及合规检查报告等。海外产权（股权）管理情况的合规检查涉及国家（共39个国家）：北美洲（美国、加拿大、巴拿马、开曼群岛、英属维尔京群岛）、南美洲（巴西）、非洲（埃及、安哥拉、多哥、刚果（布）、吉布提、尼日利亚、坦桑尼亚）、亚洲（阿联酋、巴基斯坦、菲律宾、哈萨克斯坦、韩国、柬埔寨、马来西亚、孟加拉国、缅甸、日本、沙特阿拉伯、斯里兰卡、泰国、土耳其、文莱、新加坡、印度、印度尼西亚、越南）、大洋洲（澳大利亚、新西兰）、欧洲（白俄罗斯、德国、法国、荷兰、英国）成果包括：（1）工作底稿或合规检查清单及合规检查报告；（2）涉及国家有关产权（股权）证明格式文件及相关法律规定汇总清单）。合规管理体系建设及实施（三）合规管理体系建设及实施—关于XX国际集团（四）工作内容收集与项目相关信息1、收集企业相关制度2、对各部门负责人、员工代表进行访谈3、收集相关监管规定第三方合规管理办法根据美国长臂管辖和世界银行等监管要求，制订内容包括但是不限于（1）管理项目咨询（2）管理联营体合作伙伴（3）非政府组织和媒体（4）其他第三方（5）尽职调查的方法。投标合规管理办法根据美国长臂管辖和世界银行等五大银行监管要求，制订内容包括但是不限于：（1）业绩造假（2）贿赂（3）利益冲突（4）垄断、不正当竞争（5）其他违规情形及处罚。财税与资产合规管理办法根据美国长臂管辖和银行监管要求，重点制订包括但是不限于如下事项（1）境外账号（结合反洗钱法）、（2）税务管理合规，包括税务资质、申报、免税退税等（3）投资并购、项目融资合规（4）保函、保险合规（4）境外资产等。我公司已有现行办法，需梳理现有制度补充完善合规内容。海外员工合规管理办法包括但是不限于国内派驻境外员工和境外招聘的当地员工，包括聘用合同合规、用工规范、员工权益（个税、社保、保险等）、宗教文化习惯等。合规管理体系建设及实施（五）合规管理体系建设及实施招标与采购合规管理办法：采购管理办法我司已经有现行办法，无需重新制订，需梳理现有制度，补充完善合规内容。合同合规管理办法：合同管理办法我司已经有现行办法，无需重新制订，只需增加合规内容。业务招待合规管理办法：业务招待我司已经有现行办法，无需重新制订，需梳理现有制度，补充完善合规内容。捐赠和赞助合规管理办法：需要制订。合规风险评估管理办法：需针对境外的合规风险管理和内控合规审计和内部调查管理办法：主要是针对境外的合规审计和内部调查。合规考核和评价管理办法：主要是针对境外的合规审计和内部调查。境外公司治理合规管理办法：境外公司治理，包括但是不限于境外公司设立撤销，治理架构，决策层级、股权代持。信息、网安争议解决世界领先的无人驾驶汽车项目某公司无人驾驶项目全方位法务/合规为该公司的车联网产品——该公司的车载娱乐通信系统提供包括制定标准化商业合同（中英双语）、梳理商业模式和识别商业合作风险等法律服务；为该公司无人驾驶和供应商合作推出的首款商用无人驾驶小巴项目提供全程的法律服务，包括制定商业合作协议、审核销售合同和协助商业谈判等；为该公司无人驾驶在无人驾驶运营阶段的肇事风险提出无人驾驶肇事风险控制三原则理论，设计对应的风险识别、评价和控制体系，并参与事故演习；为该公司无人驾驶涉及的高精地图数据提供全面的法律分析，涵盖测绘、使用、分享、传输、商用等环节，并提出符合商业目的的具体解决方案、制定通用的合作协议；为该公司和XY汽车在高精地图方面的