GB∕T 35770-2022《 合规管理体系 要求及使用指南》之4：“4组织环境-4.3确定合规管理体系的范围”专业深度解读和应用指导材料（雷泽佳编写2025D0）

GB∕T35770-2022《合规管理体系要求及使用指南》之4：“4组织环境-4.3确定合规管理体系的范围”专业深度解读和应用指导材料GB∕T35770-2022《合规管理体系要求及使用指南》之4：“4组织环境-4.3确定合规管理体系的范围”专业深度解读和应用指导材料（雷泽佳编制-2025D0）GB∕T35770-2022《合规管理体系要求及使用指南》 GB∕T35770-2022《合规管理体系要求及使用指南》4组织环境4.3确定合规管理体系的范围组织应确定合规管理体系的边界和适用性，以确立其范围。注：合规管理体系的范围旨在理清组织面临的主要合规风险，以及合规管理体系适用的地理和/或组织边界，尤其当组织是较大实体的一部分时。组织应根据以下内容确定合规管理体系的范围：——4.1提及的内部和外部因素；——4.2、4.5和4.6提及的要求。范围应作为文件化信息可获取。“4.3确定合规管理体系的范围”术语、定义与涵义解读“4.3确定合规管理体系的范围”核心术语、定义与涵义解读表术语定义涵义解读合规管理体系组织为确立合规方针、目标以及实现这些目标的过程而形成的相互关联或相互作用的一组要素。-“合规管理体系”是组织建立合规管理活动的核心对象，其范围的界定直接影响体系的适用性、有效性与可操作性；-确定范围的过程实质上是明确“体系要管什么”“由谁来管”“在哪里管”的过程，需结合组织的结构、业务、风险特征进行系统性策划；-范围的确定是合规管理体系实施的前提，也是后续合规义务识别与合规风险评估的基础。边界指组织根据其内部和外部因素以及相关要求，界定的合规管理体系适用的组织结构、业务领域或地理区域的界限。-边界是组织范围确定的物理与组织维度的划分标准，用于明确合规管理体系所覆盖的单位、业务范围和地域区域。例如，一个跨国集团公司应明确其合规管理体系是否适用于所有子公司，还是仅适用于某一特定地区或业务单元。边界应清晰、明确，避免因边界模糊导致合规管理失效或重复管理；-边界应与组织的治理结构、法律主体、运营模式相匹配。适用性合规管理体系的要素、过程及控制措施与组织内外部环境、合规需求的匹配程度。-适用性是判断合规管理体系范围是否合理的重要标准。组织在确定范围时应评估其合规管理体系是否能够有效应对组织所面临的合规风险，是否覆盖了组织实际运营中需履行的合规义务；-若体系范围超出组织实际能力或资源，可能造成体系无法运作；若范围过窄，又可能遗漏关键合规风险；-适用性评估应贯穿于体系建立、运行、评审与改进全过程。范围组织通过界定边界、明确适用性后，确定的合规管理体系覆盖的合规风险领域、组织单元、地理区域及过程的总和。-范围是组织合规管理体系确定后的最终成果，是对体系适用对象、内容、区域的正式界定；-范围的作用在于明确体系的管理对象和边界，便于组织内部各相关方理解体系的适用范围，也有利于第三方审核机构进行合规性评价；-范围文件应作为合规管理体系建立的基础性文件，并在内部沟通和内外部审核中保持一致。较大实体规模较大、结构复杂且可能包含多个子组织、业务单元或跨地理区域运营的组织实体（如集团公司、跨国企业）。-当组织为“较大实体”时，其合规管理体系范围的确定更为复杂。应明确体系适用的层级（如总部、子公司）、地区范围（如境内、境外）以及业务单元（如生产、销售、研发等）；-较大实体应考虑合规管理体系的集中与分散管理机制，确保范围的灵活性与一致性。内部因素影响组织合规管理体系有效性的内部环境要素，包括组织架构、治理结构、业务流程、资源能力、文化价值观等。-内部因素是组织在确定范围时必须考量的内部环境条件。例如，组织的治理结构是否集中、管理层是否重视合规、资源是否充足、企业文化是否支持合规管理等，都会影响其合规管理体系范围的设定；-内部因素的分析应体现组织的合规治理能力及合规资源的配置情况。外部因素影响组织合规管理体系有效性的外部环境要素，包括法律法规、监管政策、行业准则、市场环境、相关方期望等。-外部因素是组织确定合规管理体系范围时必须回应的外部环境要求。例如，国家法律法规的更新、行业监管政策的变化、客户或投资者对合规表现的期望等，都会影响组织对合规管理范围的选择；-组织应建立外部合规环境的动态评估机制，确保范围设定始终与外部要求保持一致。要求明示的、通常隐含的或必须履行的与合规相关的需求或期望，包括法律法规要求、监管要求、合同义务、行业自律要求、组织自身承诺等。-要求是组织确定合规管理体系范围的核心输入；-范围设定必须全面覆盖组织所面临的各类合规义务，包括强制性要求（如法律、法规）、明示要求（如合同义务）和隐含要求（如行业惯例）；-要求的识别应建立在系统性合规义务清单的基础上。文件化信息组织需要控制和维护的，与合规管理体系范围相关的信息及其载体，包括范围说明书、合规义务清单、边界界定文件等。-文件化信息是组织对合规管理体系范围进行记录、传达和控制的重要工具；-组织应将范围确定的过程和结果形成正式文件，确保其可追溯性、可验证性，并便于内部沟通和外部审核；-文件化信息应包含范围确定的依据、范围边界、适用性说明、排除项说明等。“4.3确定合规管理体系的范围”目的和意图解析“4.3确定合规管理体系的范围”目的和意图说明表解析维度“4.3确定合规管理体系的范围”目的和意图说明本条款总体核心目的和意图定位指导组织基于4.1提及的内部和外部因素（如组织架构、法律法规、市场环境）及4.2、4.5和4.6提及的要求（如监管义务、合同约定、相关方期望），科学界定合规管理体系的物理边界（地理区域）与组织边界（业务单元/职能层级），明确体系适用的合规风险领域、关键单元及过程，为后续合规义务识别、风险评估及体系建立提供清晰基准，避免管理重叠、资源浪费或合规盲区，确保合规管理活动聚焦核心、有的放矢。核心价值和预期结果/成效/收益1)明确合规管理责任与协作边界：清晰划分不同组织层级（如总部、子公司）、职能部门（如采购、销售、法务）的合规管理职责，避免职责交叉或空白，同时明确与外部合作方（如供应商、代理商）的合规管理衔接点，提升合规治理的系统性与规范性；

2)防范合规风险遗漏与管理盲区：通过覆盖关键合规义务（如法律法规、行业准则、组织自身承诺）及高风险领域（如跨国经营中的涉外合规、数据处理中的隐私保护），有效识别“灰色地带”或“边缘业务”的合规风险，强化组织整体风险防控能力；

3)统一内部合规标准与文化：尤其适用于集团公司、跨国企业等较大实体，避免不同业务单元、地域分支机构因合规标准碎片化导致的管理混乱，推动形成全员认同的统一合规文化，减少“双重标准”引发的合规冲突；

4)支持体系建立与持续改进：为合规管理体系的设计（如制度流程制定）、实施（如培训、监督）、评审（如内部审核、第三方认证）及改进提供明确框架，确保所有合规活动均在既定范围内开展，同时为体系有效性评价提供可衡量的边界依据；

5)提升外部信任与响应能力：满足监管机构对合规管理透明度的要求（如披露合规体系覆盖范围）、投资者对合规风险管控的关注、客户对供应链合规的期望，增强组织在市场中的声誉与可信度，降低因合规信息不透明引发的外部质疑。“4.3确定合规管理体系的范围”条款与其他条款条款逻辑关联关系分析“4.3确定合规管理体系的范围”与GB∕T35770-2022其他条款条款逻辑关联关系分析表4.3主题事项关联GB∕T35770其他条款逻辑关联关系分析关联性质说明确定合规管理体系的边界和适用性4.1理解组织及其环境4.1提供了组织内外部环境的分析结果（含业务模式、法律监管环境、社会文化背景、气候变化等因素），是确定合规管理体系范围的核心输入依据。范围界定需结合4.1识别的内外部因素，明确物理边界（如地理区域）和组织边界（如特定单元、职能），避免因环境因素考虑不足导致范围偏差。信息输入与依据关系4.2理解相关方的需要和期望4.2明确了相关方（如监管机构、客户、员工、社区）的合规需求和期望，这些需求直接影响范围界定——既需覆盖强制性需求（如监管要求），也需纳入组织自愿采纳的相关方需求（如客户合规协议）。结合附录A要求，范围需匹配相关方需求，避免因需求遗漏导致合规管理“盲区”。信息输入与约束关系4.5合规义务4.5要求系统识别组织活动、产品和服务相关的合规义务（含强制性要求如法律法规、强制性标准，自愿性要求如行业准则），范围界定需全面覆盖这些义务所涉及的业务领域，确保无合规义务遗漏。例如，若组织存在跨境业务，范围需包含跨境相关的合规义务（如数据出境合规）。依据与约束关系4.6合规风险评估4.6提供了合规风险（含固有风险、剩余风险）的评估结果，范围需优先覆盖已识别的高风险领域（如金融行业的反洗钱风险、制造业的安全生产风险），同时兼顾中低风险领域，确保风险管控无死角。结合附录A要求，范围需与合规风险的性质和程度相匹配，避免风险集中领域未纳入管理。依据与决策支持关系范围应作为文件化信息可获取7.5文件化信息7.5（含7.5.1总则、7.5.2创建更新、7.5.3控制）要求对范围文件进行规范化管理：需满足“标记说明（如标题、日期）、形式载体（如电子/纸质）、评审批准”（7.5.2），确保范围文件可获取、易检索、受保护（防泄密/篡改）（7.5.3），并作为合规管理体系的基础文件（如管理手册的核心内容），为后续体系运行提供依据。流程衔接与输出关系范围界定对体系整体设计和运行的影响4.4合规管理体系4.4要求建立、实施、维护和改进合规管理体系，范围的确定为体系设计提供了明确边界——需根据范围明确体系覆盖的组织层级、职能及业务过程，避免体系设计“过大或过小”。结合附录A要求，若组织为集团型实体，范围需覆盖所有子/分公司以避免道德操守和合规双重标准，确保体系一致性。前序过程与体系设计关系范围对目标设定和资源配置的影响6.2合规目标及其实现的策划6.2要求在相关职能和层级设定合规目标，目标需严格在已确定的范围内设定（如范围内的“高风险领域不合规发生率下降10%”），避免目标超出范围或未覆盖范围核心领域；同时，目标实现所需的资源（如人力、技术资源）配置需基于范围，确保资源投向范围内的关键合规事项。约束与支持关系范围对职责分配和沟通的影响5.3岗位、职责和权限5.3要求分配合规职责和权限，需以已确定的范围为依据：治理机构需监督范围整体合规，合规团队需覆盖范围内所有组织单元，各级管理者需对其职责范围内的合规事项负责，普通人员需履行范围内的合规义务，确保职责无遗漏、无交叉。约束与实施依据关系范围对运行控制和程序建立的影响8.1运行的策划和控制8.1要求对范围内的运行过程（含自身业务过程、外包过程及第三方活动）进行策划和控制：需针对范围内的活动制定运行准则（如生产过程合规操作规范），控制第三方合规风险（如供应商合规管理），确保合规义务在运行中落实。若范围涉及数字化业务，还需纳入数字技术相关的运行控制（如数据合规管理）。流程衔接与运行依据关系范围对绩效评价和监督的影响9.1监视、测量、分析和评价9.1要求开展的监视、测量活动需全面覆盖范围内的所有相关过程和活动：需针对范围内的合规目标、义务及风险设计指标（如范围内“合规培训完成率”“不合规事件数量”），分析评价范围覆盖的职能/业务单元的合规绩效，确保绩效评价无“空白区域”，真实反映体系运行效果。约束与评价依据关系范围对管理评审的影响9.3管理评审9.3要求治理机构和最高管理者评审合规管理体系的适宜性、充分性和有效性，范围相关变更（如组织业务扩张、合规义务调整导致范围需更新）是管理评审的重要输入；评审需评估现有范围是否仍匹配组织环境及相关方需求，若不匹配则需决策调整，确保范围持续适宜。信息输入与评审依据关系范围对改进措施的影响10.2不符合与纠正措施若因范围界定不当（如遗漏新业务领域、边界模糊）导致不合规（如未覆盖数字化业务的数据合规义务），需通过10.2的纠正措施流程：评审不合规原因、确定范围调整方案（如扩展范围至数字化业务）、验证调整效果，确保范围与组织实际业务、合规义务及风险状态持续一致，避免同类不合规重复发生。反馈与改进关系“4.3确定合规管理体系的范围”条款核心涵义解析（理解要点解读）；“4.3确定合规管理体系的范围”条款核心涵义解析表条款内容概述子条款原文子条款核心涵义解析（理解要点详细解读）本条款核心涵义总体概述4.3确定合规管理体系的范围1)本条款的核心目标是引导组织通过系统性分析，明确合规管理体系的适用边界（包括物理边界、组织边界和职能边界）及其适用性，科学合理地界定体系所覆盖的地理区域、组织单元、业务领域及合规风险领域，确保体系与组织的规模、结构、运营模式及合规风险特征相匹配；

2)范围确定应以组织环境（4.1）、相关方需求（4.2）、合规义务（4.5）及合规风险评估（4.6）为基础依据，并形成可获取的文件化信息，为后续合规义务识别、风险评估及体系运行提供清晰基准；

3)范围设定需避免多组织场景下的合规“双重标准”，确保合规体系聚焦核心风险，资源配置合理，体系运行有效；

4)范围确定是合规管理体系“实施的前提”，也是后续合规义务识别与合规风险评估的基础，同时需与GB/T35770-2022中4.4（合规管理体系设计）、7.5（文件化信息控制）等条款形成逻辑衔接，确保体系整体一致性。界定体系的边界与适用性以明确范围组织应确定合规管理体系的边界和适用性，以确立其范围。本句是本条款的基础性要求，明确组织建立合规管理体系的首要任务是“界定范围”，该范围是体系有效运行的前提。

1)“边界”的核心涵义：是指合规管理体系所适用的物理边界（如总部办公场所、生产基地、境外分支机构、仓储中心）、组织边界（如母公司、全资子公司、控股子公司、参股企业、业务部门、项目组）及职能边界（如采购、销售、人力资源、研发、财务等职能领域）。边界的界定需与组织的治理结构、法律主体、运营模式相匹配，例如：集团公司需明确体系是否覆盖所有子公司，或仅适用于核心业务单元；跨国企业需明确境外某区域分支机构是否纳入体系，避免因边界模糊导致管理重叠（如多部门重复管控同一业务）或合规盲区（如遗漏境外子公司的当地合规义务）；

2)“适用性”的核心涵义：指合规管理体系的要素、过程及控制措施与组织内外部环境、合规需求的匹配程度。组织应评估体系是否能有效应对自身面临的合规风险（如高风险领域是否有针对性控制），是否覆盖需履行的全部合规义务（如法律、法规、合同约定、行业自律要求），同时应避免两种极端：范围过宽超出组织资源能力（如小型企业强行覆盖跨国业务合规，导致体系无法落地），范围过窄遗漏关键合规风险（如科技企业未将数据合规、知识产权合规纳入范围）；

3)范围应具有适应性与合理性：“范围宜合理且与组织相匹配”“若组织由多个组织组成，合规管理体系宜在所有组织中实施以避免道德操守和合规双重标准”，进一步强调范围设定需结合组织实际场景——例如，集团型企业需通过范围界定统一各子公司合规标准，防止因“各自为政”导致的合规冲突；中小型企业可根据业务规模聚焦核心业务领域，无需盲目扩大范围；

4)边界与适用性的关联性：边界是“范围的框架”，适用性是“范围的有效性标尺”，二者共同决定范围是否“精准”——例如，界定“生产业务”为组织边界后，需进一步评估针对生产环节的环保、安全合规控制措施是否适用，确保边界内的合规风险能被有效管控。明确范围的核心目的与特殊场景要求注：合规管理体系的范围旨在理清组织面临的主要合规风险，以及合规管理体系适用的地理和/或组织边界，尤其当组织是较大实体的一部分时。本注释从“目的”和“特殊场景”两方面补充说明范围的核心价值，为组织理解范围设定的必要性提供指引，同时呼应附录A的灵活适用原则。

1)范围的核心目的：注释明确范围的根本作用是“理清组织面临的主要合规风险”，即通过范围界定，让组织从“全风险覆盖”转向“核心风险聚焦”——例如，金融行业优先将反洗钱、反恐怖融资风险纳入范围，制造业优先将安全生产、环境保护风险纳入范围，避免合规管理“泛化”导致资源分散，确保资源投向高优先级、高影响度的合规风险领域，提升体系运行效率；

2)“较大实体”的特殊要求：

-定义：指代规模较大、结构复杂且可能包含多个子组织、业务单元或跨地理区域运营的组织实体（如集团公司、跨国企业、大型央企/国企）；

-特殊必要性：此类组织易因层级多（如总部-区域公司-子公司）、业务分散（如跨行业经营）、地域广（如境内外运营）导致合规标准不统一，需通过范围界定明确：体系适用的组织层级（仅总部？含一级子公司？含所有层级子公司？）、地理范围（仅境内？含特定境外区域？）、业务单元（仅核心业务？含非核心业务？），避免“双重标准”（如子公司合规要求低于总部）或管理空白（如境外子公司未纳入合规管控）；

-管理机制适配：较大实体在界定范围时，还需考虑合规管理的“集中与分散结合”机制——例如，总部统一制定范围框架及核心合规标准，子公司根据当地法规补充细化范围内容，既保证整体一致性，又兼顾地域差异性；

3)范围的自由度与灵活性：“组织选择在整个组织、组织内特定单元或特定职能内部实施合规管理体系时，具有自由度和灵活性”，但该灵活性需以“理清主要合规风险”为前提——例如，集团公司可根据子公司业务风险等级，将高风险子公司（如涉及跨境业务）纳入体系核心范围，低风险子公司（如本地服务类）采用“基础合规+定期监督”模式，既避免“一刀切”，又不偏离“聚焦主要风险”的核心目的。基于组织环境与合规需求的系统性输入组织应根据以下内容确定合规管理体系的范围：

——4.1提及的内部和外部因素；

——4.2、4.5和4.6提及的要求。本句明确范围设定需以4.1、4.2、4.5、4.6条款内容为“刚性输入依据”，避免主观随意性，体现合规管理体系“基于证据、关联场景”的系统性特征，同时与“结合组织环境与相关方需求”的要求深度融合。

1)依据1：4.1“内部和外部因素”——范围设定的“环境基础”；

-内部因素：包括组织架构（如“总部-分公司”模式决定范围是否覆盖分公司）、治理结构（如董事会对合规的重视程度影响范围的深度）、资源能力（如人力/财力资源决定范围的可落地性）、文化价值观（如合规文化成熟度影响范围的执行力度）；

-外部因素：包括法律法规（如数据安全法出台需将数据业务纳入范围）、监管政策（如行业监管要求升级需扩展范围）、市场环境（如客户对供应链合规的要求需将采购业务纳入范围）、相关方期望（如投资者对ESG合规的要求需将环境、社会责任领域纳入范围）；

-核心逻辑：4.1的内外部因素分析结果直接决定范围的“边界广度”与“适用性深度”，例如：若组织为“轻资产+外包模式”，需将外包服务商的合规管控纳入范围。

2)依据2：4.2“相关方的需求和期望”——范围设定的“相关方导向”；

-需识别的核心相关方：监管机构（如市场监管局、行业主管部门）、客户、员工、供方、投资者、社区等；

-需求转化：将相关方需求转化为范围内容——例如，客户要求“供应链合规”，则需将采购、供应商管理业务纳入范围；员工要求“劳动权益保护”，则需将人力资源管理（薪酬、社保、职业健康）纳入范围；监管机构要求“安全生产”，则需将生产、仓储、物流环节纳入范围。

3)依据3：4.5“合规义务”与4.6“合规风险评估”——范围设定的“合规与风险双驱动”；

-4.5“合规义务”：范围需全面覆盖组织已识别的合规义务对应的业务领域，无义务遗漏——例如，若合规义务包含“知识产权保护”，则需将研发、销售（商标使用）、采购（专利侵权排查）业务纳入范围；若包含“跨境税务合规”，则需将境外销售、资金跨境流动业务纳入范围；

-4.6“合规风险评估”：范围需优先纳入高风险领域，兼顾中低风险领域——例如，风险评估识别“数据出境”为高风险，则需将数据出境相关的IT、业务部门纳入范围；识别“广告合规”为中风险，则需将市场推广部门纳入范围。

4)输入依据的关联性：4.1（环境）为范围提供“场景边界”，4.2（相关方需求）为范围提供“利益导向”，4.5（合规义务）为范围提供“合规底线”，4.6（风险评估）为范围提供“优先级依据”，四者共同构成范围设定的“四维输入”，确保范围既“合法合规”，又“贴合组织实际”，还“满足相关方期望”。确保范围的可追溯性、透明度与文件化管控范围应作为文件化信息可获取。本句是对范围管理的“输出控制”要求，符合ISO管理体系标准对“成文信息”的通用管控原则，同时明确范围文件的“可获取性”要求，确保范围在体系全生命周期中可追溯、可验证、可沟通。

1)“文件化信息”的核心内容：根据7.5“文件化信息”条款要求，范围相关的文件化信息应至少包含：

-范围确定的依据（如4.1内外部因素分析报告、4.2相关方需求清单、4.5合规义务清单、4.6风险评估报告的关键结论）；

-范围边界描述（物理边界、组织边界、职能边界的具体界定，含“纳入项”与“排除项”及排除理由——例如，排除“非核心的后勤外包业务”，理由为“该业务合规风险低且由外包方主导管控”）；

-适用性说明（体系要素、过程及控制措施与范围的匹配关系——例如，针对“跨境业务”范围，明确需配置“涉外合规审查”“境外法律适配”等控制措施）；

-版本信息（如版本号、修订日期、修订原因、审批人）。

2)“可获取”的具体要求：

-访问便利性：范围文件需确保“在需要时便于检索、使用”——例如，内部员工可通过企业内网、文档管理系统查阅，外部审核机构（如第三方认证机构）可在审核时获取；

-管控合规性：需满“7.5.3成文信息控制”要求，包括：防止泄密（如涉密范围文件仅授权人员可访问）、防止篡改（如版本锁定、修改需审批）、保持可读性（如格式统一、语言规范）、保留与处置（如按规定保存期限留存，过期按程序处置）；

-沟通有效性：范围文件需作为内部合规沟通的“基础文件”（如新人培训需讲解范围边界）、外部沟通的“透明化依据”（如向客户披露合规体系覆盖范围）。

3)文件化的核心价值：

-内部：为各部门明确“是否在合规体系覆盖范围内”“需履行哪些合规职责”提供统一基准，避免因范围理解不一致导致的管理混乱；

-外部：为第三方审核、监管检查提供依据，证明范围设定的合理性及合规体系的覆盖完整性；

-改进：为体系持续改进提供追溯基础——例如，当业务扩张（如新增境外业务）或合规义务更新（如新增法规要求）时，可基于原范围文件评估调整需求，确保范围动态适配组织变化。实施“4.3确定合规管理体系的范围”应开展的核心活动要求；实施“4.3确定合规管理体系的范围”应开展的核心活动要求说明表子条款主题事项所需开展的核心活动核心活动具体实施要点及要求说明开展核心活动时需采用的工具/技术/方法开展核心活动时需特别注意事项4.3确定合规管理体系的范围确定管理体系的地理与组织边界，明确适用性-明确组织的物理边界，如总部办公场所、生产基地、境外分支机构、仓储中心等具体地点，标注各地点的核心业务功能；

-明确组织结构与管理体系的适用层级，如母公司、全资子公司、控股子公司、参股企业、业务部门、项目组等，区分“实际控制”与“非控制”主体；

-若组织是更大实体的一部分，需明确其在母公司治理结构中的角色、权限范围及合规管理衔接机制（如总部统一框架+子公司补充细则）；

-明确合规管理体系实施的地理范围，如境内特定区域、全国范围、跨国业务覆盖区域等，需结合当地法规差异（如数据本地化、劳动保护）细化管控要求；

-识别适用的合规义务与风险所在区域，确保边界覆盖义务对应的业务场景（如出口业务需覆盖目的国贸易合规义务）；

-组织选择在整个组织、组织内特定单元或特定职能内部实施合规管理体系时，需基于风险等级、业务相关性明确选择依据（如高风险的研发部门优先纳入），体现自由度与灵活性；

-若组织由多个组织组成（如集团公司），宜在所有子/分公司中统一实施合规管理体系，避免在道德操守和合规方面出现“双重标准”；

-较大实体（如集团公司、跨国企业）需进一步明确体系适用的组织层级（仅总部、含一级子公司或所有层级）、业务单元（核心业务/非核心业务），并制定“集中管控+地域差异化补充”的范围管理机制，兼顾一致性与灵活性。-组织架构图（标注体系覆盖单元及控制关系）；

-地图与区域划分工具（标注地理覆盖范围及对应法规差异）；

-法律实体清单（明确各实体是否纳入体系及判断依据）；

-业务流程图（标注体系覆盖的业务环节及合规控制点）；

-边界界定文件（记录边界划分依据、理由及排除项说明）；

-风险-边界矩阵（关联风险等级与边界覆盖深度，如高风险区域需细化至业务流程级）。-避免遗漏关键业务单位（如边缘业务部门、外包业务合作方管控）或法律实体，尤其是存在实际控制权的关联企业；

-考虑跨境合规义务的特殊性（如不同国家数据合规、劳动法规差异），避免统一管控导致的合规漏洞；

-建议与组织战略（如市场扩张方向、并购计划）保持一致，确保范围具备前瞻性；

-应定期（如每年）更新边界信息，或在组织业务调整（如新增分支机构、剥离业务线）时即时更新；

-若选择仅在特定单元/职能实施，需书面说明排除其他单元/职能的理由（如低合规风险、资源有限性），避免随意性；

-对于参股企业，需根据股权比例、实际控制权情况确定是否纳入范围（如持股50%以下且无实际控制权，需书面说明排除理由并每半年评审一次），确保与治理结构匹配。——依据4.1内部和外部因素系统分析内外部因素，作为范围确定的核心输入-识别并分析组织面临的外部合规环境：包括适用的法律法规（如行业监管条例、国家/地方立法、国际公约）、监管政策（如监管机构最新指引、专项整治要求）、行业准则（如行业自律公约、最佳实践）、市场环境（如客户对供应链合规的要求、投资者ESG期望）、社会期待（如社区环保要求、员工权益保护诉求）等；

-评估内部管理因素：包括组织架构（如“总部-分公司-办事处”三级架构）、治理结构（如董事会合规委员会设置、管理层合规权责）、资源能力（如合规团队人力配置、预算规模、技术工具配备）、文化价值观（如合规文化成熟度、员工合规意识水平）、业务流程（如核心业务与辅助业务的风险差异、外包业务占比）等；

-将内外部因素分析结果分类整理（如外部法规类、外部市场类、内部资源类、内部流程类），明确各因素对范围设定的具体影响（如高监管强度的金融行业需扩大范围至反洗钱、反恐怖融资领域）；

-识别影响范围设定的关键驱动因素，如行业性质（金融、医疗等强监管行业需全面覆盖）、监管强度（如重点监管领域需细化至岗位级范围）、组织规模（大型组织需分层级界定范围，避免管控盲区）等；

-形成内外部因素分析报告，明确分析结论、数据来源及验证方式，作为范围确定的正式依据；

-外部因素需特别纳入国际合规要求（如跨境业务涉及的FATF反洗钱标准、GDPR、出口管制清单），内部因素需评估现有合规管理流程的覆盖盲区（如外包业务合规管控流程是否完善、远程办公场景下的合规管理漏洞）。-SWOT分析法（梳理内外部因素对合规范围的优劣势、机会与威胁，关联范围调整方向）；

-利益相关者分析矩阵（识别影响范围的关键相关方及具体合规需求权重）；

-合规风险清单（关联内外部因素对应的风险领域及等级）；

-环境扫描工具（如PESTEL分析法，全面覆盖政治、经济、社会、技术、环境、法律因素，标注各因素对范围的影响程度）；

-内部环境分析矩阵（量化评估内部资源对范围的支撑能力，如人力、预算与范围覆盖广度的匹配度）；

-国际合规义务映射表（针对跨国业务，关联国家/地区与对应合规义务及范围要求）。-外部因素应以最新法规和政策为准（如通过政府官网、专业合规数据库（如威科、北大法宝）获取实时信息），避免使用过时内容，每年至少开展一次全面外部环境扫描，每季度更新高风险领域法规；

-内部因素应结合组织实际运营情况（如通过管理层访谈、部门调研、流程穿行测试验证），避免主观判断，确保分析结果客观可追溯；

-应建立外部因素动态更新机制（如设置法规预警提醒、指定专人跟踪监管动态），防止信息滞后导致范围与环境不匹配；

-分析过程需保留客观证据（如法规条文截图、调研记录、访谈纪要），确保可追溯；

-当外部因素发生重大变化（如行业监管政策调整、新法规颁布）时，需在30个工作日内启动范围评审，避免范围滞后；

-对于跨国组织，需按国家/地区分别梳理外部因素，避免“统一分析”导致的地域合规需求遗漏。——依据4.2、4.5和4.6提及的要求整合多条款要求，确保范围覆盖合规义务与核心风险-分析4.2“理解相关方的需求和期望”：识别监管机构（如安全生产、环境保护要求）、客户（如供应链合规、产品质量追溯要求）、员工（如劳动报酬、职业健康安全要求）、供方（如公平合作、账款支付要求）、投资者（如信息披露、ESG合规要求）等相关方的合规需求，并将需求转化为范围覆盖内容（如将客户供应链合规要求转化为采购业务、供应商管理业务纳入范围）；

-梳理4.5“合规义务”：分类识别强制性义务（如法律法规、行政监管要求、强制性标准）、自愿性义务（如行业自律公约、组织自身公开承诺、社会责任倡议），确保范围全面覆盖所有义务对应的业务领域（如知识产权保护义务对应研发、销售（商标使用）、采购（专利侵权排查）业务纳入范围；跨境税务合规义务对应境外销售、资金跨境流动业务纳入范围）；

-应用4.6“合规风险评估”结果：优先将高风险领域（如跨境业务的涉外合规、数据处理的隐私保护、金融行业的反洗钱）纳入范围，兼顾中低风险领域，形成“风险优先级-范围覆盖深度”对应关系（如高风险领域覆盖至岗位操作级，中低风险领域覆盖至部门管理级）；

-建立“合规需求-合规义务-合规风险-范围覆盖”的映射关系表，明确每个范围项对应的需求来源、义务条款及风险点，确保范围无遗漏、无冗余；

-综合4.2、4.5、4.6的输出结果，形成范围设定的输入清单，明确需纳入范围的业务单元、流程、区域及管控深度；

-对于存在交叉的合规义务（如某业务同时涉及数据合规与劳动合规），需在范围中明确协同管控要求，避免管控碎片化；对于动态变化的合规义务（如临时监管专项检查要求），需在范围中预留“临时纳入机制”，确保快速响应。-合规义务清单（标注义务类型、对应业务领域、生效/失效日期）；

-合规风险评估报告（含风险等级、风险领域、风险发生概率及影响度）；

-合规需求矩阵（关联相关方类型、具体需求、需求优先级及范围覆盖内容）；

-合规控制点识别表（对应范围覆盖的业务流程及关键控制点）；

-相关方需求清单（细化各相关方具体合规诉求及验收标准）；

-风险优先级矩阵（按风险影响度、发生概率确定优先覆盖领域及管控深度）；

-“需求-义务-风险-范围”映射关系表（可视化呈现各要素关联关系，便于评审与更新）。-确保4.2、4.5、4.6条款要求之间的逻辑一致性（如相关方需求需对应合规义务，合规义务需关联合规风险，避免“需求无义务支撑”或“义务无风险对应”的范围项）；

-避免遗漏高风险或高影响领域（如金融行业的反洗钱、反恐怖融资，制造业的安全生产、环境保护，互联网行业的数据安全）；

-应定期（如每半年）评审合规义务及风险等级，同步更新范围，避免义务过期或风险未覆盖；

-当新增合规义务（如《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》实施）时，需在30个工作日内启动范围调整，确保义务及时纳入；

-若某业务领域同时涉及多项合规义务/高风险，需在范围中明确该领域的专项管控要求（如成立专项合规小组），避免管控碎片化；

-对于自愿性义务，需在范围文件中明确“自愿采纳的理由”及“放弃采纳的评估流程”，避免随意增减导致范围可信度降低。范围应作为文件化信息可获取编制并维护文件化范围信息，确保可控可追溯-将确定的合规管理体系范围形成正式文件化信息，明确范围的边界（物理边界、组织边界、职能边界）、适用对象（覆盖的组织单元、业务流程、岗位）、排除部分及排除理由（如排除非核心的后勤外包业务，理由为“该业务合规风险低且由外包方主导管控，且已通过外包合同约定合规责任”）；

-范围文件需包含：范围确定的依据（4.1内外部因素分析报告关键结论、4.2相关方需求清单核心内容、4.5合规义务清单摘要、4.6风险评估报告关键结果）、适用性说明（体系要素、过程及控制措施与范围的匹配关系，如“跨境业务范围需配置‘涉外合规审查’‘境外法律适配’‘跨境资金合规管控’等控制措施”）、版本信息（版本号、修订日期、修订原因、审批人、生效日期）、适用的组织架构版本（确保范围与组织实际结构同步）；

-通过文件管理机制确保范围信息可获取（如内部员工通过企业内网/文档管理系统（如SharePoint、钉钉云文档）查阅，外部审核机构可在审核时通过指定渠道获取）、可更新（建立“申请-评审-审批-发布”的范围文件修订流程）；

-明确责任部门（如合规管理部门）或人员对范围文件的维护职责，包括定期评审（每年至少一次）、变更发起（业务调整时）、版本管控（历史版本归档、最新版本置顶）；

-确保范围文件的版本受控（如最新版本标注“现行有效”，历史版本标注“已作废”并注明作废原因）和变更可追溯（保留变更申请单、评审记录、审批意见）；

-范围文件需采用“模块化”结构，按“组织边界模块”“地理范围模块”“业务领域模块”“排除项模块”划分，便于局部修订与快速查找。-文件管理系统（符合ISO9001/GB/T35770-2022中7.5“成文信息控制”要求，支持版本控制、权限管理）；

-范围说明书标准模板（预设GB/T35770-2022要求的核心要素栏，含“依据摘要”“边界描述”“适用性说明”“排除项及理由”“版本信息”）；

-变更管理流程（含范围变更申请单、跨部门评审记录表、管理层审批表）；

-信息系统（如ERP、合规管理系统，支持范围文件检索与权限控制，设置“范围变更提醒”功能）；

-范围文件发放记录表（记录发放对象、接收确认及培训情况）；

-模块化范围说明书模板（按模块划分章节，支持局部修订时仅更新对应模块）。-文件内容应明确、权威且无歧义（避免使用“可能”“大概”“原则上”等模糊表述），需经最高管理层（如总经理、合规委员会）审批后发布，严禁未经审批私自修订；

-应避免范围文件过于宽泛（导致资源无法支撑，如小型企业将“全球业务”纳入范围却无跨境合规资源）或过于狭窄（导致风险遗漏，如遗漏新增数字化业务的数据合规要求），需结合组织实际资源能力平衡；

-应向相关人员（如各部门负责人、关键岗位员工、子公司合规专员）传达范围内容并开展专项培训（每年至少一次），通过测试验证理解程度，确保各层级对范围的认知一致；

-范围文件需满足7.5“成文信息控制”要求：防止泄密（涉密范围文件仅授权人员访问，设置访问日志）、防止篡改（修改需经合规部门审核及管理层双重审批）、保持可读性（格式统一（如PDF格式）、语言规范（使用行业标准术语））、保留与处置（按规定保存期限（如至少3年）留存，过期按程序处置并记录）；

-当范围文件修订后，需在15个工作日内完成内部传达（如邮件通知、系统公告）及旧版本替换（回收纸质版、删除系统旧版本），避免新旧版本混用；

-对于跨国组织，范围文件需提供多语言版本（如中英文），确保境外分支机构人员理解，且各语言版本内容保持一致，修订时同步更新所有语言版本。附录A使用指南补充说明开展范围合理性评估与动态调整-评估范围设置的合理性：判断范围是否与组织的合规风险性质和程度相匹配（如高风险的跨境业务需细化范围管控要求至“国家/地区-业务环节-合规要点”三级）、是否与组织规模、结构相匹配（如大型集团需明确总部与子公司的范围衔接机制（如总部统一制定范围框架，子公司补充当地法规要求），避免管理重叠或空白）；

-审查范围覆盖的完整性：确认范围是否覆盖组织所有主要业务活动（如生产、销售、研发、采购、人力资源、财务）及核心合规风险领域（如数据合规、反商业贿赂、反垄断、环境保护），无关键领域遗漏，通过“业务活动清单-范围覆盖清单”比对验证；

-验证范围实施的一致性：检查是否在组织内部统一实施合规管理体系（如子公司合规标准不低于总部，外包业务的合规要求不低于自营业务），通过“子公司合规制度-总部范围要求”比对、外包合同合规条款审查验证，避免“双重标准”；

-考察范围与组织环境及相关方需求的契合度：确认范围是否结合4.1组织环境（如行业监管强度、市场竞争格局）、4.2相关方需求（如监管机构专项检查重点、客户合规审计要求）设定，是否能响应外部合规监管及内部管理需求（如降本增效目标下的范围优化）；

-识别范围调整需求：当组织业务扩张（如新增境外分支机构、并购企业）、合规环境变化（如法规更新、监管政策调整）或合规风险等级调整（如某业务风险从“中风险”升至“高风险”）时，启动范围评审，确定是否需要调整范围边界（如扩大/缩小地理范围）或覆盖内容（如增加/减少业务领域）；

-对于范围调整，需开展“调整影响评估”，分析调整对合规义务覆盖、资源配置、风险管控的影响（如扩大范围需新增的人力、预算），形成评估报告作为调整决策依据。-合规风险-范围匹配矩阵（验证风险等级与范围覆盖深度、广度的匹配关系）；

-范围合理性评估检查单（含“风险匹配性”“组织适配性”“覆盖完整性”“需求契合度”4类一级指标及12项二级指标，如“高风险领域是否100%覆盖”）；

-组织环境-范围映射表（关联内外部环境因素与范围内容，标注影响程度）；

-合规管理体系范围评审报告模板（含调整建议、影响评估、资源需求测算）；

-业务活动-范围覆盖比对表（清单式比对，识别未覆盖的业务活动）；

-范围调整影响评估表（含“合规影响”“资源影响”“风险影响”“运营影响”维度及量化评分标准）。-范围评估应每年度至少开展1次，或在组织发生重大变化（如并购重组、业务转型、新法规颁布）时即时开展，评估结果需报治理机构（如董事会合规委员会）备案；

-若评估发现范围存在“覆盖过宽”（如纳入低风险且无合规义务的业务，如行政后勤的文具采购），需及时剔除，避免资源浪费；若发现“覆盖过窄”（如遗漏新增数据业务的合规要求），需立即补充，避免风险盲区；

-范围调整需经合规管理部门牵头、相关业务部门（如业务部门、财务部门、法务部门）参与评审，并报最高管理层审批后实施，重大调整（如范围扩大50%以上）需经治理机构审议；

-评估过程需保留记录（如评估会议纪要、风险分析报告、影响评估表），作为范围调整的依据，确保可追溯；

-范围调整后，需同步更新合规义务清单、风险评估报告、合规管理制度等关联文件，避免体系要素不一致；

-对于跨国组织，范围评估需按国家/地区分层开展，重点关注“地域合规差异”对范围的影响（如某国新增“数据出境许可”要求，需调整该国业务的范围管控深度）。PDCA过程方法融合应用说明按PDCA循环实施范围的策划、执行、检查与改进-策划阶段（Plan）：结合4.1内外部因素分析报告、4.2相关方需求清单、4.5合规义务清单、4.6风险评估报告，制定范围策划方案，明确范围边界、覆盖内容、确定依据、责任分工（如合规部门牵头、业务部门配合）、时间节点；输出范围策划方案的可行性评估报告（含资源需求测算，如人力、预算），确保范围设定与组织资源能力匹配；

-实施阶段（Do）：发布范围文件化信息，通过“全员邮件通知+部门专项培训”向各部门传达范围边界及管控要求（如“某业务部门需覆盖的合规义务及风险点”），开展范围认知培训（确保员工理解“是否在体系覆盖内”“需履行的合规职责”“违规后果”），按确定范围启动合规管理体系建设（如制度制定、流程设计、控制措施部署）；对于跨国/集团组织，需向子公司、境外分支机构同步传达范围要求，明确本地化补充规则；

-检查阶段（Check）：通过内部审核（9.2）验证范围是否覆盖所有合规义务及高风险领域（如审核清单包含“范围覆盖完整性”“与合规义务匹配性”检查项）；通过绩效评价（9.1）分析范围是否支撑合规目标实现（如“范围内高风险领域不合规发生率是否下降”）；通过相关方反馈（如监管检查意见、客户合规审计报告、员工合规调研）评估范围的合理性（如是否满足监管/客户需求、是否存在管控冗余）；

-改进阶段（Act）：根据内部审核结果、管理评审（9.3）结论（如治理机构对范围的优化建议）及合规环境变化（如法规更新、业务调整），制定范围调整方案（如扩大/缩小范围、细化管控要求）；将范围调整结果同步至合规义务清单、风险评估报告、合规管理制度等关联文件，保持体系各要素一致性；建立“范围改进效果验证机制”（如改进后3个月内开展专项检查，验证调整是否解决原有问题），形成“策划-实施-检查-改进”的闭环管理；

-PDCA循环各阶段需保留完整记录（如策划方案及可行性评估报告、实施培训记录、检查报告、改进方案及验证记录），作为体系有效性评价及外部审核的依据。-PDCA循环工作表（含范围各阶段的目标、措施、责任人、时间节点、输出成果）；

-内部审核检查表（含“范围覆盖完整性”“与合规义务匹配性”“范围实施一致性”“范围改进有效性”等检查项及判定标准）；

-管理评审输入材料模板（含范围运行效果分析栏，如“范围内合规目标达成率”“范围相关投诉数量”）；

-合规管理体系范围改进跟踪表（记录改进措施、实施时间、责任人、验证结果、未达预期的原因分析）；

-范围培训签到表及测试试卷（验证培训效果）；

-PDCA阶段记录清单（明确各阶段需保留的记录类型、保存期限、责任部门）。-策划阶段需充分征求业务部门意见（如通过研讨会、问卷调研），避免“脱离业务实际”的范围设定（如仅由合规部门制定范围，未考虑业务可行性）；

-实施阶段需确保范围信息传达至所有相关方（包括子公司、关键外包商、境外分支机构），通过“接收确认”机制验证传达效果，避免信息不对称导致的管控失效；

-检查阶段需重点关注“范围与合规义务的动态匹配性”（如法规更新后范围是否同步调整）、“范围与业务的适配性”（如业务流程优化后范围是否对应调整）；

-改进阶段需避免“过度调整”（如频繁变更范围导致员工认知混乱），单次调整幅度不宜超过现有范围的30%，且调整间隔不短于6个月（重大合规事件除外）；

-PDCA循环需与组织的管理周期（如年度经营计划周期）同步，确保范围管理与整体经营管理协同；

-对于集团型组织，PDCA循环需分层实施（总部层面统筹策划与改进，子公司层面聚焦实施与检查），避免“一刀切”导致的效率低下。“4.3确定合规管理体系的范围”实施工作流程；“4.3确定合规管理体系的范围”实施工作流程表一级流程二级流程三级流程流程输入活动步骤实施和控制要求要点描述流程责任人流程输出范围确立准备明确标准要求与组织环境适配1)拆解4.3条款核心要求（边界界定、适用性评估、文件化要求）及附录A使用指南（自由度灵活性、避免双重标准、风险匹配性）；

2)收集并分析4.1“内部和外部因素”输出文件（内外部环境分析报告）、4.2“相关方需求”输出文件（相关方需求清单及优先级排序）、4.5“合规义务”输出文件（合规义务清单）、4.6“合规风险评估”输出文件（合规风险评估报告）；

3)梳理组织基础信息（法律主体证明、治理结构文件、业务架构图、地理运营分布图、战略规划文件）；

4)明确合规管理体系建设的初步目标（如覆盖核心风险、满足监管要求、统一集团标准等）。1)4.1内外部因素分析报告（含组织架构、资源能力、法律法规、监管政策等）；

2)4.2相关方需求清单（含监管机构、客户、员工、供方等需求）；

3)4.5合规义务清单（含强制性要求、自愿性要求）；

4)4.6合规风险评估报告（含风险等级、风险领域）；

5)组织章程、战略规划、组织结构图、地理分布图。1)组织合规管理部门、法务部门联合开展标准解读会，确保核心参与人员（业务部门负责人、风控人员）掌握4.3条款“边界+适用性”双核心要求，及附录A“灵活选择实施范围但避免双重标准”的原则；

2)结合组织战略（如市场扩张、业务收缩）分析内外部因素对范围的影响，例如跨国业务需优先纳入境外监管合规要求，资源有限的中小型组织需聚焦核心业务风险；

3)初步识别范围设定的约束条件（如资源上限、业务复杂度），避免范围过宽导致体系无法落地或过窄导致风险遗漏；

4)形成条款理解纪要，确保所有参与方对标准要求的认知一致。合规管理部门牵头，联合法务部门、业务部门代表、风控部门人员1)组织环境与合规体系适配分析报告；

2)合规管理体系初步目标说明书（含目标依据、优先级）。边界与适用性分析界定物理/组织边界并评估适用性1)识别物理边界：梳理组织所有运营场所（总部、生产基地、境外分支机构、仓储中心、外包服务场地等），明确各场地核心业务功能及合规风险特征；

2)界定组织边界：区分“实际控制”与“非控制”主体（如母公司、全资子公司、控股子公司、参股企业、项目组、外包商），明确是否纳入体系；

3)评估适用性：分析合规管理体系要素（如制度、流程、控制措施）与边界内业务、风险的匹配性，判断是否能覆盖合规义务及管控核心风险；

4)针对“较大实体”（如集团公司、跨国企业），明确体系适用的组织层级（总部/一级子公司/全层级）、地理范围（境内/特定境外区域）及业务单元（核心/非核心业务）。1)组织架构图（标注股权关系、管控模式）；

2)地理运营分布图（标注各场地业务类型、合规风险等级）；

3)法律主体清单（含法人资格、实际控制权证明）；

4)4.5合规义务清单（按业务领域、地域分类）；

5)4.6合规风险评估报告（按边界划分风险分布）；

6)集团管控手册（如适用）。1)采用“自上而下（总部统筹）+自下而上（业务单元反馈）”结合方式识别边界，避免遗漏边缘业务单元（如偏远分支机构、临时项目组）或关联企业（如存在实际控制权的参股公司）；

2)对跨国/跨区域组织，需结合当地法规差异（如数据本地化、劳动保护）细化地理边界管控要求，例如欧盟业务需单独纳入GDPR合规管控；

3)适用性评估需避免两种极端：一是范围超出资源能力（如小型企业强行覆盖跨国业务导致管控失效），二是范围过窄遗漏关键风险（如科技企业未纳入数据合规）；

4)若组织由多个实体组成，需优先在全体系实施统一合规标准，避免“双重标准”（如子公司合规要求低于总部），确需差异化的需书面说明理由并经合规委员会审批；

5)形成边界识别与适用性评估记录，明确“纳入项”与“排除项”及排除依据（如低风险、外包方主导管控）。合规管理部门牵头，联合法务部门、财务部门、业务单元负责人（含境外分支机构负责人）1)物理与组织边界界定报告（含纳入/排除项及理由）；

2)合规管理体系适用性评估报告（含匹配性分析、优化建议）；

3)较大实体范围分层管控方案（如适用）。范围决策依据整合整合多维度输入确定范围核心要素1)整合4.1内外部因素分析结果：提取影响范围的关键因素（如强监管行业需扩大范围至全业务，资源有限企业聚焦核心业务）；

2)整合4.2相关方需求：将监管机构强制要求、客户合规协议、员工权益保护等需求转化为范围覆盖内容（如客户要求供应链合规则纳入采购/供应商管理）；

3)整合4.5合规义务：确保范围覆盖所有义务对应的业务领域（如知识产权义务对应研发/销售/采购业务）；

4)整合4.6合规风险评估结果：优先将高风险领域（如金融反洗钱、制造业安全生产）纳入范围，兼顾中低风险领域，形成“风险等级-范围覆盖深度”对应关系（高风险覆盖至岗位级，中低风险覆盖至部门级）；

5)识别范围交叉或空白：针对跨业务领域的合规要求（如数据合规涉及IT/业务/法务多部门），明确协同管控机制。1)4.1内外部因素分析报告（关键因素提炼）；

2)4.2相关方需求清单（含需求转化方案）；

3)4.5合规义务清单（标注对应业务领域）；

4)4.6合规风险评估报告（风险等级及影响分析）；

5)业务流程清单（标注跨部门协同节点）；

6)前期边界与适用性评估报告。1)建立“需求-义务-风险-范围”映射表，确保每个范围项均有明确输入依据，避免主观随意性；

2)对高风险领域（如跨境数据传输、商业贿赂），需在范围中明确专项管控要求（如成立专项合规小组、增加审核节点）；

3)对动态变化的输入（如临时监管检查要求、新增合规义务），预留“临时纳入机制”，明确触发条件（如法规颁布后30日内启动范围评审）；

4)组织跨部门评审会（合规、法务、业务、风控），论证范围的合理性，重点评审“排除项”是否存在风险遗漏，“纳入项”是否具备资源支撑；

5)记录评审意见及决策依据，确保范围决策可追溯。合规管理部门牵头，组织合规委员会、法务部门、业务部门、风控部门、财务部门参与评审1)“需求-义务-风险-范围”映射关系表；

2)范围决策评审会议纪要（含评审意见、决策依据）；

3)范围核心要素确认表（覆盖领域、边界、管控深度）。范围文件化与审批形成文件化信息并完成审批1)编制范围文件化信息：明确范围确定依据（4.1/4.2/4.5/4.6核心结论）、边界描述（物理/组织/职能边界）、适用性说明（体系要素与范围匹配关系）、排除项及理由、版本信息（版本号、修订日期、审批人）；

2)审核范围文件：合规管理部门组织法务、业务部门审核文件的准确性、完整性，确保无歧义（如避免“可能”“大概”等模糊表述）；

3)审批范围文件：按组织审批权限提交审批（如中小型组织提交总经理审批，大型集团提交董事会/合规委员会审批）；

4)归档范围文件：按“7.5文件化信息控制”要求，纳入体系文件管理（如管理手册第一章）。1)“需求-义务-风险-范围”映射关系表；

2)范围决策评审会议纪要；

3)范围文件草案（含依据、边界、适用性、排除项、版本信息）；

4)组织文件审批流程规定。1)范围文件化信息需包含以下核心内容：

-依据部分：摘要4.1内外部因素关键结论、4.2核心相关方需求、4.5关键合规义务、4.6高风险领域；

-边界部分：明确物理边界（具体地址/区域）、组织边界（具体单元/法人）、职能边界（具体职能领域如采购/销售）；

-适用性部分：说明体系要素（如制度、流程）如何覆盖范围内科控需求，例如“跨境业务范围配置涉外合规审查流程”；

-排除项部分：列明排除的业务/单元及理由（如“排除后勤外包业务，因风险低且外包合同约定合规责任”）；

-版本部分：标注版本号、修订日期、修订原因、审批人、生效日期；

2)审核环节需重点验证范围与标准要求的一致性（如是否覆盖4.3所有输入依据）、与组织实际的适配性（如是否匹配资源能力）；

3)审批后需确保文件格式规范（如统一PDF格式、使用行业标准术语）、易检索（如纳入企业内网文档系统）、防篡改（如版本锁定、修改需审批）；

4)范围文件作为合规管理体系基础性文件，需与管理手册、程序文件保持逻辑一致。合规管理部门（文件编制）、法务部门（合规性审核）、业务部门（业务适配性审核）、最高管理者/合规委员会（最终审批）、文档管理部门（归档）1)合规管理体系范围说明书（审批版，含完整文件化信息）；

2)范围文件审批记录（含审核意见、审批签字）；

3)范围文件归档凭证（含存储位置、访问权限）。范围沟通与动态维护内外部沟通及范围更新管控1)内部沟通：向组织各层级（总部/分支机构/子公司）、各职能部门（业务/法务/财务/HR）传达范围内容，开展专项培训（如新人入职培训、年度合规培训）；

2)外部沟通：根据需要向监管机构、客户、审核机构披露范围（如第三方认证时提供范围说明书）；

3)建立范围变更机制：明确变更触发条件（如组织业务扩张、法规更新、风险等级调整）、变更流程（申请-评审-审批-发布）；

4)定期评审范围：每年至少开展1次范围适用性评审，或在触发变更条件时即时评审，评估范围是否仍匹配组织环境及合规需求；

5)记录范围维护过程：保留沟通记录、变更申请/审批记录、评审报告。1)合规管理体系范围说明书（审批版）；

2)组织内部沟通平台（如企业内网、钉钉/企业微信）；

3)外部沟通需求（如监管问询、客户审核要求）；

4)组织变更记录（如新增分支机构、业务线调整）；

5)法规更新清单（如新增/修订法律法规、监管政策）；

6)年度合规管理评审报告；

7)范围变更申请表（模板）。1)内部沟通需确保不同层级人员理解范围与自身职责的关联：

-高层管理者：理解范围对战略落地的支撑作用；

-部门负责人：明确本部门在范围中的管控职责；

-基层员工：清楚自身岗位是否在体系覆盖内及需履行的合规义务；

沟通方式包括全员邮件、部门专题会、培训课件（含范围边界示意图），并通过测试验证理解程度；

2)外部沟通需控制信息披露范围，避免泄露商业秘密（如涉密业务的范围细节仅提供给授权审核机构）；

3)范围变更需遵循以下控制要求：

-变更申请：由业务部门或合规部门发起，说明变更原因、变更内容及对体系的影响；

-变更评审：组织合规、法务、业务部门评审变更的必要性、合理性；

-变更审批：重大变更（如范围扩大50%以上）需提交合规委员会/董事会审批，一般变更提交总经理审批；

-变更发布：更新范围文件并同步至所有相关方，旧版本标注“作废”并归档；

4)定期评审需重点关注：

-内外部因素变化（如市场环境、监管要求）对范围的影响；

-范围覆盖的完整性（是否有新增业务未纳入）；

-范围实施的有效性（是否仍能管控核心风险）；

评审结果需形成报告，作为体系持续改进的依据；

5)对跨国组织，范围维护需同步考虑多语言版本（如中英文），确保境外人员理解，且各语言版本内容一致。合规管理部门（牵头沟通与维护）、人力资源部门（培训组织）、内部沟通部门（平台支持）、各业务部门（配合沟通与评审）、法务部门（变更合规性审核）1)范围沟通记录（含邮件截图、培训签到表、测试成绩）；

2)外部沟通回复文件（如监管问询答复、客户审核反馈）；

3)范围变更申请/审批记录（含变更理由、评审意见）；

4)范围定期评审报告（含评审结论、改进措施）；

5)更新后的合规管理体系范围说明书（修订版）及版本变更记录。“4.3确定合规管理体系的范围”实施的证实方式；“4.3确定合规管理体系的范围”实施活动的证实方式清单（过程审核检查单）核心主题活动事项实施的证实方式证实方式如何实施的要点详细说明所需证据材料名称明确合规管理体系适用的组织边界和地理边界，含纳入/排除项界定查阅文件和记录评审

现场观察或检查

人员访谈或提问-查阅组织结构图（标注体系覆盖单元及控制关系）、边界界定文件（需明确“纳入项”“排除项”及排除理由，如非核心后勤外包业务的排除依据）、地理运营分布图（标注覆盖区域及对应法规差异），确认体系覆盖的组织层级（总部/子公司/分支机构）和物理区域；

-现场查看核心业务单元（如生产、采购、销售、研发）及境外分支机构是否纳入范围，验证排除项业务是否确实低风险且有管控衔接（如外包业务的合同合规约定）；

-访谈高层管理者、合规负责人及分支机构负责人，确认其对边界界定的理解，尤其是跨区域/跨层级业务的范围衔接逻辑。-组织结构图（标注体系覆盖单元）

-边界界定文件（含纳入/排除项及理由）

-地理运营分布图（标注覆盖区域及法规差异）

-合规管理体系范围声明文件

-高层及分支机构负责人访谈记录

-外包业务合规管控合同基于4.1内部和外部因素确定范围，含动态环境适配查阅文件和记录评审

人员访谈或提问

绩效证据分析

利用审核工具和方法验证-查阅组织内外部环境分析报告（含PESTEL分析记录、SWOT分析记录）、合规风险清单（关联内外部因素对应的风险领域），确认法规更新、组织架构调整、市场环境变化等因素对范围的影响；

-与管理层、合规团队访谈，了解内外部因素（如数据安全法实施、跨境业务扩张）如何驱动范围调整，是否建立环境动态评估机制（如每季度更新外部法规跟踪表）；

-分析近1-2年内外部环境变化记录与范围修订记录的关联性，验证范围是否随环境同步适配；

-利用“环境-范围映射表”（审核工具），验证内外部因素与范围覆盖内容的对应关系，避免关键环境因素遗漏。-组织内外部环境分析报告（含PESTEL/SWOT分析记录）

-合规风险清单（关联内外部因素）

-外部法规跟踪表（含更新记录）

-范围修订记录（关联环境变化原因）

-“环境-范围映射表”

-管理层及合规团队访谈记录基于4.2、4.5和4.6要求确定范围，含要素关联验证查阅文件和记录评审

人员访谈或提问

利用审核工具验证-查阅相关方需求清单（含监管机构、客户、员工需求）、合规义务清单（标注义务类型及对应业务领域）、合规风险评估报告（4.6输出，含风险等级及影响度）、“需求-义务-风险-范围”映射关系表，确认三者与范围的关联逻辑；

-与合规负责人、业务部门负责人访谈，确认相关方需求（如客户供应链合规要求）如何转化为范围覆盖内容（如采购业务纳入范围），合规义务（如知识产权保护）如何对应业务领域（研发/销售/采购），高风险领域（如反商业贿赂）如何优先纳入范围；

-利用合规管理信息系统或电子文档检索工具，验证4.2、4.5、4.6的输出文件是否作为范围设定的正式输入，是否存在未关联的需求/义务/风险。-相关方需求清单（含需求优先级）

-合规义务清单（按业务领域分类）

-合规风险评估报告（4.6输出）

-“需求-义务-风险-范围”映射关系表

-合规管理信息系统操作记录（检索4.2/4.5/4.6文件关联情况）

-合规负责人及业务部门访谈记录范围设定符合组织合规风险的性质和程度，含风险优先级适配查阅文件和记录评审

绩效证据分析

人员访谈或提问

利用审核工具验证-查阅合规风险评估报告（含风险等级矩阵）、高风险领域管控方案、历史合规事件记录（含监管处罚、内部不合规事件），确认高风险领域（如跨境数据传输、安全生产）是否100%纳入范围，管控深度是否与风险等级匹配（高风险覆盖至岗位级，中低风险覆盖至部门级）；

-分析近1-2年内部审核报告、监管检查结果，验证未覆盖的风险领域是否为低风险，已覆盖领域的不合规发生率是否下降；

-与风险管理负责人、合规负责人访谈，确认范围是否按风险优先级调整（如新增高风险业务时同步扩展范围）；

-利用“风险-范围匹配矩阵”（审核工具），验证风险等级与范围覆盖广度/深度的对应关系。-合规风险评估报告（含风险等级矩阵）

-高风险领域管控方案

-历史合规事件记录（监管处罚、内部不合规事件）

-内部审核报告、监管检查结果

-“风险-范围匹配矩阵”

-风险管理负责人及合规负责人访谈记录范围设定考虑组织环境及相关方需求，含外部反馈响应查阅文件和记录评审

人员访谈或提问

第三方证据验证-查阅相关方沟通记录（如监管问询回复、客户合规审计沟通纪要）、利益相关方调查报告（如投资者ESG期望调研）、合规承诺声明（如对外公开的社会责任承诺），确认范围是否覆盖相关方核心需求（如监管机构安全生产要求、客户数据隐私要求）；

-与合规负责人、公共关系负责人访谈，确认范围设定时是否主动收集外部相关方反馈，是否针对反馈调整范围（如客户要求供应链合规后将供应商管理纳入范围）；

-查阅第三方认证机构审核意见、监管机构合规评价报告，验证外部对范围合理性的反馈是否被采纳（如根据认证意见补充某业务领域至范围）。-相关方沟通记录（监管问询回复、客户合规审计纪要）

-利益相关方调查报告（投资者ESG调研、客户需求调研）

-合规承诺声明（对外公开版）

-第三方认证机构审核意见、监管机构合规评价报告

-合规负责人及公共关系负责人访谈记录范围设定具有灵活性与适应性，含较大实体分层管控查阅文件和记录评审

现场观察或检查

人员访谈或提问-查阅合规管理体系范围说明文件（需明确整体实施或局部实施及理由）、范围实施决定会议纪要（含资源、风险、业务特点的论证过程）；若为较大实体（如集团公司、跨国企业），需查阅“集中管控+地域差异化补充”的范围管理机制文件（如总部统一范围框架、子公司补充本地法规要求）；

-现场查看局部实施时，未纳入范围的业务单元是否有基础合规管控措施（如定期合规检查），子公司是否按分层机制执行范围要求（如境外子公司是否补充当地数据合规要求）；

-与合规负责人、子公司合规专员访谈，确认局部实施的合理性（如低风险业务采用“基础合规+定期监督”模式）、较大实体分层管控的协同性（如总部与子公司范围衔接无空白）。-合规管理体系范围说明文件（含实施方式及理由）

-范围实施决定会议纪要（含论证过程）

-较大实体范围分层管控方案（总部框架+子公司补充细则）

-未纳入范围业务单元的基础合规管控记录

-子公司范围执行报告

-合规负责人及子公司合规专员访谈记录范围文件化信息可获取，含受控管理与沟通查阅文件和记录评审

现场观察或检查

人员访谈或提问-查阅正式发布的合规管理体系范围文件（需包含范围确定依据摘要、边界描述、适用性说明、版本信息（版本号、修订日期、审批人、生效日期）、排除项说明），确认其为受控文件（有版本控制、审批记录）；

-现场查看文件管理系统（如SharePoint、企业内网），验证范围文件是否可检索（支持按组织单元/业务领域查询）、访问权限是否合理（如普通员工可查阅、修改需审批），相关业务部门是否有文件副本或访问路径；

-查阅文件发放记录、内部培训记录（如新人入职培训中的范围讲解），访谈基层员工，确认其知晓范围内容及自身职责是否在范围内；

-验证范围文件修订后是否同步更新关联文件（如合规手册、程序文件），旧版本是否标注“作废”并归档。-合规管理体系范围文件（受控版，含完整要素）

-范围文件审批记录（含管理层签字）

-文件管理系统操作记录（检索、访问权限设置）

-文件发放记录、内部培训记录（范围讲解部分）

-范围文件修订记录及关联文件更新清单

-基层员工访谈记录

-作废范围文件归档记录“4.3确定合规管理体系的范围”过程有效性评价操作；表A：与“4.3确定合规管理体系的范围”相关的方针和程序、行为和文化评价操作指引（成熟度评价A）4.3条文级别内容描述具体评价操作要点评价所需要的文件和记录4.3确定合规管理体系的范围组织应确定合规管理体系的边界和适用性，以确立其范围。注：合规管理体系的范围旨在理清组织面临的主要合规风险，以及合规管理体系适用的地理和/或组织边界，尤其当组织是较大实体的一部分时。组织应根据以下内容确定合规管理体系的范围：-4.1提及的内部和外部因素；-4.2、4.5和4.6提及的需求。范围应作为文件化信息可获取。1级未建立“确定合规管理体系范围”的专门程序，未明确范围确定的输入要素（4.1内外部因素、4.2/4.5/4.6相关需求）、边界界定方法及文件化要求。1)查阅组织合规管理体系程序文件，确认是否存在针对“确定合规管理体系范围”的独立程序或专项条款；

2)访谈合规职能人员及核心业务部门负责人，了解是否有明确的范围确定流程；

3)检查是否存在任何与范围确定相关的策划记录，确认无相关程序支撑。1)组织合规管理体系程序文件（如《合规管理手册》《合规体系策划程序》）；

2)合规职能与业务部门负责人访谈记录；

3)体系策划阶段的会议纪要、工作记录。2级已建立“确定合规管理体系范围”的程序，但程序不完整（如未明确4.1内外部因素的具体分析维度、未关联4.2/4.5/4.6的需求输入、未界定地理/组织边界的判断标准）；程序未在全业务活动中实施或实施不一致（如部分业务单元未参与范围确定、地理边界覆盖不全）。1)评审范围确定程序文件，检查是否包含“输入要素（4.1/4.2/4.5/4.6）、边界界定方法、实施流程、文件化要求”等核心内容，识别缺失项；

2)抽查不同业务单元（如总部/分支机构、核心业务/支持业务）的范围确定执行记录，判断实施一致性；

3)验证程序中是否明确“组织为较大实体一部分时的范围划分规则”，检查是否落实。1)《合规管理体系范围确定程序》及配套制度；

2)不同业务单元的范围确定执行记录（如部门参与清单、边界确认表）；

3)较大实体（如集团）的组织架构文件及范围划分相关沟通记录。3级已建立全面的“确定合规管理体系范围”程序，具体包括：

1)输入要素：明确需纳入4.1内外部因素（如政策法规、行业规范、组织战略、相关方诉求）、4.2相关方需求、4.5合规义务、4.6合规风险的分析要求；

2)边界界定：明确地理边界（如国内/国际业务区域）、组织边界（如总部/子公司/外包业务）的判断标准及优先级规则；

3)实施流程：规定范围确定的责任部门（如合规部牵头、业务部门配合）、时间节点（如体系建立/变更时）、评审机制；

4)文件化：要求形成《合规管理体系范围说明书》，明确边界、适用业务及排除项；

已创建并维护上述程序及范围文件化信息，但未全面覆盖外包/第三方业务的范围界定。1)逐项评审范围确定程序，验证“输入要素、边界界定、实施流程、文件化”四大核心模块的完整性；

2)检查《合规管理体系范围说明