十八像医疗核心制度

十八像医疗核心制度第一章总则第一条本制度依据《中华人民共和国反不正当竞争法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》等相关国家法律法规，参照行业最佳实践标准，结合十八像医疗集团母公司关于企业内控体系建设的统一要求，以及公司为系统性防控专项风险、规范业务流程、提升合规管理水平的内部需求，制定本制度。本制度旨在通过明确管理职责、细化操作规范、完善运行机制，构建全方位、多层次的核心管理制度体系，确保公司各项业务活动符合法律法规及内部规章要求，保障公司资产安全、信息安全及声誉形象。第二条本制度适用于十八像医疗集团总部各部门、各下属单位及全体员工，涵盖公司在医疗健康服务、技术研发、供应链管理、财务管理、人力资源管理、信息化建设等所有业务场景下的专项管理活动。各业务单元应根据本制度要求，结合具体业务特点，制定相应的实施细则，确保管理要求全面覆盖、有效落地。第三条本制度涉及的核心术语定义如下：（一）“XX专项管理”指公司针对特定领域（如反商业贿赂、数据安全、招标采购、财务内控等）的风险识别、防控、处置及持续优化的系统性管理活动，包括制度建设、流程规范、培训宣贯、监督考核等环节。（二）“XX风险”指公司在经营活动中可能因管理缺陷、操作失误、外部环境变化等因素导致的法律责任、财务损失、声誉损害或运营中断等潜在不利影响。专项风险包括但不限于合规风险、财务风险、信息安全风险、业务运营风险等。（三）“XX合规”指公司及其员工在履行职责过程中，严格遵循国家法律法规、行业准则及内部规章，确保各项业务活动合法、合规、合理的行为状态。合规管理贯穿公司治理、业务决策、操作执行的始终。第四条专项管理应遵循以下核心原则：（一）全面覆盖原则：管理范围覆盖公司所有业务单元、全体员工及关键业务环节，确保无死角、无盲区。（二）责任到人原则：明确各层级、各部门、各岗位在专项管理中的具体职责，建立可追溯的责任体系。（三）风险导向原则：聚焦高风险领域和关键环节，优先配置资源，实施差异化管控策略。（四）持续改进原则：定期评估管理有效性，根据内外部环境变化及时调整优化制度流程。（五）全员参与原则：强化员工合规意识，通过培训、宣传等方式推动合规文化落地生根。第二章管理组织机构与职责第五条公司主要负责人对公司专项管理工作负总责，承担第一责任人的职责，负责领导专项管理工作的组织架构建设、重大风险决策及资源保障。分管领导为公司专项管理工作的直接责任人，负责具体组织、协调、监督制度的执行落地，并对分管领域的风险管控效果负责。第六条公司设立专项管理领导小组，作为公司专项管理工作的最高决策机构，负责统筹规划、综合协调及重大事项审批。领导小组由公司主要负责人担任组长，分管领导担任副组长，成员包括各主要业务部门负责人、法务合规部负责人、内审部负责人等。领导小组下设办公室，挂靠法务合规部，负责日常工作的具体推进。第七条专项管理领导小组主要履行以下职责：（一）审议公司专项管理制度及重大风险防控方案；（二）协调跨部门专项管理事项，解决执行中的重大问题；（三）监督评估专项管理工作的有效性，提出改进要求；（四）对公司重大风险事件进行决策处置，授权启动应急预案。第八条牵头部门职责：（一）法务合规部作为专项管理的牵头部门，负责统筹制度体系建设、风险识别评估、合规审查监督、培训宣传及考核评价等工作；（二）牵头部门应建立专项管理台账，定期汇总分析风险状况，向领导小组报告工作进展；（三）牵头部门需定期组织跨部门专项治理行动，推动问题整改闭环。第九条专责部门职责：（一）业务部门/下属单位作为专项管理的关键实施主体，负责本领域的业务合规审核、流程优化、风险处置及日常防控；（二）各业务部门应指定专岗负责专项管理具体事务，并定期向牵头部门报送管理报告；（三）专责部门需配合牵头部门开展风险排查、合规审查及培训宣贯等工作。第十条业务部门/下属单位职责：（一）落实公司专项管理制度要求，结合业务实际制定实施细则；（二）组织开展本领域的风险排查，建立风险清单及应对措施；（三）对员工行为进行合规监督，及时制止违规操作并报告异常情况。第十一条基层执行岗责任：（一）全体员工作为专项管理的基层执行岗，应严格遵守制度规定，履行岗位合规承诺；（二）员工需主动学习专项管理知识，提升合规操作能力；（三）员工发现违规行为或潜在风险，应立即上报并配合调查处置。第三章专项管理重点内容与要求第十二条采购管理：（一）业务操作合规标准：供应商准入需严格执行尽职调查，建立合格供应商名录；招标采购过程应遵循公开、公平、公正原则，确保流程透明；合同签订需明确权责，关键条款须经合规审核；采购资金支付需符合审批权限要求。（二）禁止性行为：严禁关联交易利益输送、严禁违规转包分包、严禁收受供应商回扣或好处费。（三）重点防控：防范采购信息泄露、防止采购价格异常波动、杜绝虚假验收等问题。第十三条财务管理：（一）业务操作合规标准：资金审批权限应严格遵循公司财务制度，大额资金支付需集体决策；税务申报需符合法律法规，严禁偷税漏税；财务报告应真实完整，及时披露关联交易信息。（二）禁止性行为：严禁虚列支出、严禁设立账外“小金库”、严禁违规拆借资金。（三）重点防控：防范资金挪用风险、防范税务合规风险、防止财务数据造假。第十四条数据管理：（一）业务操作合规标准：数据采集需明确目的及范围，确保最小化收集；数据存储需符合安全等级要求，定期备份；数据使用需经授权审批，严禁非必要访问；数据共享需签订保密协议，确保第三方合规。（二）禁止性行为：严禁非法获取、泄露或交易患者信息、严禁过度收集敏感数据、严禁未脱敏处理公开数据。（三）重点防控：防范数据泄露风险、防范数据滥用风险、防止合规监管处罚。第十五条合同管理：（一）业务操作合规标准：合同签订前需审核对方资质及履约能力；合同条款应明确双方权利义务，避免法律风险；合同履行过程中需定期跟踪，确保按约定执行；合同变更需履行审批程序，留痕备查。（二）禁止性行为：严禁签订显失公平的格式条款、严禁未经授权变更合同、严禁将合同义务转嫁第三方。（三）重点防控：防范合同违约风险、防范合同欺诈风险、防止法律纠纷损失。第十六条安全管理：（一）业务操作合规标准：办公区域需定期开展安全检查，消除消防隐患；信息系统需加强访问控制，定期测试漏洞；应急演练需覆盖关键场景，确保预案有效；特种设备需定期维保，符合安全标准。（二）禁止性行为：严禁违规使用电器设备、严禁擅自处置报废设备、严禁未培训操作高危设备。（三）重点防控：防范火灾、盗窃等安全事故；防范信息系统被攻击或滥用；防止因管理疏漏导致重大损失。第十七条人力资源管理：（一）业务操作合规标准：招聘过程需避免性别、地域歧视；薪酬福利应合法合理，避免超额发放；绩效考核需客观公正，与薪酬挂钩；员工离职需规范交接，确保信息安全。（二）禁止性行为：严禁虚假招聘宣传、严禁违规提供高额返利、严禁泄露员工薪酬信息。（三）重点防控：防范招聘合规风险、防范薪酬税务风险、防止劳动争议纠纷。第十八条业务外包管理：（一）业务操作合规标准：外包项目需明确服务范围及标准，签订权责清晰的合同；外包方需具备相应资质，定期审核履约能力；外包过程需加强监控，确保服务质量达标；外包费用需按合同支付，严禁超付。（二）禁止性行为：严禁将核心业务外包、严禁对服务过程不闻不问、严禁为降低成本牺牲合规要求。（三）重点防控：防范外包方违约风险、防范外包资质造假风险、防止服务质量失控。第四章专项管理运行机制第十九条制度动态更新机制：（一）牵头部门每年汇总内外部法规变化及业务调整情况，提出制度修订建议；（二）领导小组审议通过修订方案后，由牵头部门组织修订，并按程序发布实施；（三）重大修订需进行全员宣贯培训，确保理解到位、执行到位。第二十条风险识别预警机制：（一）牵头部门每季度牵头开展专项风险排查，各业务部门同步排查本领域风险；（二）风险排查结果需按级别分类，重大风险提交领导小组研判，一般风险纳入台账管理；（三）风险预警信息需及时发布至相关单位，明确管控要求及责任分工。第二十一条合规审查机制：（一）将合规审查嵌入业务流程，关键节点包括但不限于：采购立项、合同签订、资金审批、数据使用等；（二）未经合规审查的决策或操作一律不得实施，需经审批备案后方可启动；（三）合规审查结果作为绩效考核的重要依据，不合格项需限期整改。第二十二条风险应对机制：（一）一般风险由业务部门自行处置，重大风险需上报领导小组统筹应对；（二）启动应急预案需明确处置流程、责任分工及上报要求，确保协同高效；（三）风险事件处置完毕后需形成报告，分析原因并优化防控措施。第二十三条责任追究机制：（一）明确违规情形及处罚标准，包括但不限于：罚款、降级、解除劳动合同等；（二）违规行为需经调查核实，处罚决定需按程序审批备案；（三）对责任人的追究可联动绩效考核、党纪团纪等综合处理。第二十四条评估改进机制：（一）每年对专项管理体系有效性开展评估，包括制度覆盖率、执行到位率、风险防控效果等；（二）评估结果作为制度优化的重要依据，需提出改进建议并跟踪落实；（三）定期向领导小组汇报评估情况，确保持续提升管理水平。第五章专项管理保障措施第二十五条组织保障：（一）各层级领导需履行专项管理推进责任，定期听取汇报、研究问题；（二）牵头部门需配备专职人员，确保专项管理工作有人抓、有人管；（三）定期召开专项管理会议，协调解决跨部门事项。第二十六条考核激励机制：（一）将专项合规情况纳入部门年度考核，考核结果与绩效奖金挂钩；（二）对专项管理优秀部门和个人予以评优表彰，营造正向激励氛围；（三）对发生重大违规的责任人，实行一票否决制，取消评优资格。第二十七条培训宣传机制：（一）分层级开展专项培训，管理层重点培训合规履职要求，一线员工重点培训操作规范；（二）定期发布合规简报，通报典型案例及政策变化；（三）通过内部平台、宣传栏等渠道强化合规文化宣传。第二十八条信息化支撑：（一）依托ERP、OA等系统实现专项管理流程自动化，减少人为干预；（二）开发风险监控平台，对关键指标进行实时预警；（三）通过大数据分析识别异常行为，提升风险防控能力。第二十九条文化建设：（一）编制专项合规手册，明确各领域行为规范及红线要求；（二）组织全员签订合规承诺书，强化责任意识；（三）设立合规举报渠道，鼓励员工主动监督。第三十条报告制度：（一）风险事件需按时限上报，重大事件需立即报告并启动应急预案；（二）年度管理