合规资料收集管理规定

合规资料收集管理规定第一章总则1.1目的为统一公司合规资料收集口径、降低法律风险、提升审计通过率，特制定本规定。本规定所称“合规资料”系指为证明公司、子公司、关联实体及员工在财务、税务、反洗钱、出口管制、数据跨境、反垄断、劳动用工、环保、知识产权、反商业贿赂等十大领域持续符合中国及业务所在国强制性规范的全部原始凭证、过程记录与结论性文件。1.2适用范围本规定适用于××科技股份有限公司（以下简称“公司”）总部、各事业部、境内35家分公司、境外14家分支机构、3家并表子公司及全部外部顾问、供应商、渠道商、外包团队。1.3合规资料分级A级：监管机构现场检查、刑事调查、重大诉讼直接调阅的资料，缺失即构成重大合规事件。B级：年度审计、税务稽查、客户尽调、银行授信、上市披露所需资料，缺失可能导致重大财务或声誉损失。C级：内部合规自查、管理评审、培训评估所需资料，缺失影响考核但不直接触发外部处罚。1.4职责矩阵合规管理委员会（主任由首席合规官兼任）：负责解释本规定、审批例外事项。法务合规部：制定收集清单模板、组织抽查、出具整改意见书。财务部、税务部、人力部、采购部、信息安全部：按领域主责收集、校验、归档。各部门合规联络人（UCO）：每部门至少1名，名单在OA固化，异动3日内更新。外部机构：律所、审计师、尽调机构须签署《保密及合规资料处理协议》（附件1），否则禁止接触任何A级资料。第二章收集清单与判定规则2.1十大领域核心资料清单（节选示例）a)财务与审计原始单据：发票、合同、收付款水单、物流单、出入库单、成本计算表、银行对账单、调节表。过程记录：审批流截图、预算变更单、费用报销单、OA流程号。结论性文件：审计报告、管理层建议书、整改回执。b)税务增值税及附加完税凭证、出口退税备案单证、关联交易同期资料、税收优惠批复、转让定价报告。c)反商业贿赂礼品招待审批单、金额≥200元须附受益人身份证明、合规培训签到表、第三方尽职调查表（DDQ）、高风险交易合规审查表。d)数据跨境数据出境安全评估报告、个人信息保护影响评估（PIA）、标准合同（SCC）签署版、网信办备案回执。2.2判定规则“四同原则”：同一交易、同一主体、同一期间、同一币种资料必须归集在同一文件夹，禁止拆分存放。“双人复核”：A级资料须由部门UCO与法务合规部专员交叉核对原件，并在PDF加盖双人电子章。“30日补全”：无法当期取得的资料，须填写《缺失说明及补全计划表》（附件2），经首席合规官书面批准后方可延迟，最长不超过30日。第三章收集流程3.1事前嵌入合同草拟阶段：标准条款必须包含“资料提供义务”及“违约责任”章节，明确对方须按本规定清单提供资料，否则公司有权暂停付款或扣除5%合同款作为违约金。系统固化：ERP、SRM、HRIS新增“合规资料上传”必填节点，未上传则流程无法流转至下一环节。3.2事中收集步骤1：触发交易发生当日，系统自动推送“资料收集任务”至责任人OA待办。步骤2：上传责任人48小时内扫描原件、命名、上传至“合规云”指定目录。命名规则：领域代码_部门_年月_流水号_版本号，例如：TAX_FIN_202506_001_V1.0。步骤3：校验系统OCR识别发票号码、金额，与ERP数据比对，差异>1元自动冻结付款并推送预警。步骤4：复核UCO在3个工作日内完成人工复核，点击“通过”或“退回”。退回须一次性列明全部问题，禁止分次退回。3.3事后补录对于历史2020—2024年纸质档案，公司启动“回溯补录项目”：第1周：外包扫描团队进驻各办事处，使用Kodak高速扫描仪（600dpi、OCR双层PDF）。第2—4周：AI分类引擎初分，准确率92%，剩余8%由UCO手工分拣。第5周：法务合规部抽检10%，抽检不合格率>2%则整批返工。第6周：全部上传至“合规云”只读区，原纸质档案打码、封存、运输至第三方档案库，保存10年。第四章归档与存储4.1存储架构采用“本地加密NAS+云端对象存储”混合模式：本地NAS：DellEMCIsilon，AES-256加密，保存近2年热数据，RAID6+双活控制器。云端：阿里云OSS冷归档型，保存2—10年数据，采用KMS白盒密钥，合规密钥轮转周期90天。4.2元数据要求每条记录必须包含12个元数据字段：领域、部门、交易对手、金额、币种、期间、资料类型、页数、扫描人、复核人、上传时间、MD5哈希。缺失任一字段，系统拒绝归档。4.3保存期限A级：永久保存（WORM一次写入多次读取）。B级：自交易结束日起10年。C级：3年，到期自动转入“待销毁库”，经首席合规官二次确认后方可执行销毁。4.4销毁流程销毁申请→法务合规部初审→合规管理委员会季度例会审批→第三方销毁机构上门粉碎→出具《销毁证明》→审计部备案。任何个人无权单独销毁资料。第五章质量控制5.1指标与阈值资料及时率：当月应上传且已上传/当月应上传≥98%。资料完整率：已上传且元数据完整/已上传≥99%。抽检准确率：抽检合格份数/抽检份数≥97%。低于阈值即触发黄色预警，连续2个月低于阈值触发红色预警，红色预警将冻结该部门预算新增申请。5.2抽检方法采用“分层随机+重点覆盖”双轨制：分层随机：按部门、金额、领域三维分层，每层随机抽取5%。重点覆盖：单笔金额≥500万元、关联交易、政府补贴、行政处罚记录必抽。5.3整改闭环出具《合规资料缺陷单》，明确缺陷描述、整改措施、责任人、完成日期。责任人须在7日内提交整改证据，法务合规部3日内验证。整改完成前，系统对该交易标记“冻结”，禁止付款、开票、发货。第六章培训与考核6.1培训频次新员工入职3日内完成“合规资料收集”线上课程（45分钟，满分90分，低于90分需重考）。在职员工每年复训1次，新增制度发布后2周内完成补训。6.2考核权重部门KPI中“合规资料质量”占15%，与奖金直接挂钩。个人晋升评审须附“合规资料无违规证明”，由法务合规部出具，近2年有红色预警记录者一票否决。6.3培训记录培训签到表、考试成绩、现场照片上传至“合规云>培训”目录，保存5年。未参训人员由系统自动锁定ERP账号，完成补训后24小时内解锁。第七章技术接口与数据安全7.1API接口提供RESTfulAPI，支持JSON格式，鉴权采用OAuth2.0+JWT，有效期30分钟，刷新令牌24小时。接口限速：每IP每秒≤100次，超限返回429状态码。7.2日志审计所有上传、下载、删除、修改操作写入Graylog，保留180天，日志字段包括：用户ID、IP、时间、操作类型、文件MD5、返回码。法务合规部每月使用ELK规则匹配异常行为，如非工作时间大量下载A级资料，触发SIEM告警。7.3数据跨境境外机构需访问A级资料时，须通过公司SDP（软件定义边界）隧道，强制MFA双因子认证，并填写《跨境数据访问申请单》，经首席合规官与信息安全部联合批准后方可开通，访问有效期≤7日，到期自动回收权限。第八章例外与应急8.1例外申请因国家秘密、第三方保密、不可抗力无法收集的资料，由部门总经理发起《合规资料例外申请》，说明原因、替代措施、风险等级，首席合规官48小时内批复，一事一议。8.2应急场景a)监管机构突袭检查30分钟响应：法务合规部立即启用“监管响应群”，通知CIO准备只读账号，通知档案室准备纸质原件。2小时完成：按监管机构清单导出电子资料，打印并加盖骑缝章，装箱运输至检查地点。b)系统被勒索病毒攻击立即切断Isilon与OSS同步，启用快照回滚至攻击前1小时状态。向公安网安支队报案，并在24小时内向监管机构提交《重大信息安全事件报告》。第九章监督与问责9.1问责阶梯首次轻微违规：口头警告+线上通报。重复违规或造成B级资料缺失：扣减当季绩效10%，强制补训8小时。造成A级资料缺失或监管机构罚款：扣减全年绩效30%，降级或调岗，并保留公司追偿权利。9.2举报机制设立24小时合规热线（400-XXX-XXXX）及加密邮箱（compliance@），接受匿名举报。举报查实后，按挽回损失金额1%奖励举报人，最高10万元，奖金由合规管理委员会主席签发。9.3内部审计审计部每年开展一次专项审计，覆盖所有A级资料样本100%，B级30%，C级10%。审计报告直接呈报董事会审计委员会，并抄送监事会。第十章附则10.1生效与解释本规定自董事会批准之日起生效，原《资料管理办法》《档案管理规定》同时废止。法务合规部拥