GB／T 35770-2022  合規管理體系 要求及使用指南

為此，組織應結合諸多事項，包括但不限于： 業務模式，包括組織活動和運行的戰略、性質、規模、復雜性和可持續性； 與第三方業務關系的性質和范圍： 法律和監管環境； 經濟狀況； 社會、文化、環境背景； 內部結構、方針、過程、程序和資源，包括技術； 自身的合規文化。

.2理解相關方的需要和期望

組織應確定： 與合規管理體系有關的相關方； 這些相關方的有關需求； 哪些需求將通過合規管理體系予以解決

組織應確定合規管理體系的邊界和適用性，以確立其范圍。 注：合規管理體系的范圍旨在理清組織面臨的主要合規風險，以及合規管理體系適用的地理和/或組織邊界燃氣標準規范范本，尤其 當組織是較大實體的一部分時。 組織應根據以下內容確定合規管理體系的范圍： 4.1提及的內部和外部事項； 4.2、4.5和4.6提及的需求。 范圍應作為文件化信息可獲取，

組織根據本文件的要求，應建立、實施、維護和持續改進合規管理體系，包括所需的過程及其相互 作用， 合規管理體系應反映組織的價值觀、目標、戰略和合規風險，并且應結合組織環境（見4.1）

組織應系統識別來源于組織活動、產品和服務的合規義務，并評估其對運行所產生的影響。 組織應建立過程以： a）識別新增及變更的合規義務，確保持續合規； b）評價已識別的變更的義務所產生的影響，并對合規義務管理實施必要的調整。 組織應維護其合規義務的文件化信息

組織應基于合規風險評估，識別、分析和評價其合規風險， 組織應通過將其合規義務與活動、產品、服務以及運行的相關方面關聯，來識別合規風險 組織應評估與外包的和第三方的過程相關的合規風險。 組織應定期評估合規風險，并在組織環境發生重大變化時進行評估。 組織應保留有關合規風險評估和應對合規風險措施的文件化信息

GB/T35770—2022/ISO37301:202

治理機構和最高管理者應確保下列原則得到實施： 合規團隊應能直接接觸治理機構； 合規團隊的獨立性； 合規團隊具有適當的權限和能力。 注1：直接接觸包括：向治理機構的直接匯報線、定期提交報告以及參加其會議 注2：獨立性是指合規團隊的運行不受任何不當干擾和/或壓力。

治理機構和最高管理者應確立合規方針，該方針： a）適合于組織的宗旨，

b）為設定合規目標提供框架， c）包括滿足適用需求的承諾， d）包括持續改進合規管理體系的承諾。 合規方針應： 與組織的價值觀、目標和戰略保持一致； 要求遵守組織的合規義務； 根據5.1.3支持合規治理原則； 提及并描述合規職能； 概述不遵守組織的合規義務、方針、過程和程序的后果； 鼓勵提出疑慮，并且禁止任何形式的報復； 用通俗易懂的語言書寫，易于所有人員理解其原則和意圖； 被適當地實施和執行； 作為文件化信息可獲��； 在組織內予以溝通； 視情況，可被相關方獲取。

5.3崗位、職責和權限

5.3.1治理機構和最高管理者

治理機構和最高管理者應確保在組織內分配并溝通相關崗位的職責和權限。 治理機構和最高管理者應分配職責和權限，以便： a）確保合規管理體系符合本文件的要求； b）獲得合規管理體系績效的報告。 治理機構應： 確保根據合規目標的實現情況對最高管理者進行衡量： 對最高管理者運行合規管理體系的情況進行監督。 最高管理者應： 為建立、制定、實施、評價、維護和改進合規管理體系配置足夠且適當的資源； 確保建立及時有效的合規績效報告制度； 確保戰略和運行目標與合規義務相協同； 確立和維護問責機制，包括紀律處分和結果； 確保合規績效與人員績效考核掛鉤。

合規團隊應負責合規管理體系的運行，包括： 推進識別合規義務； 編制合規風險評估文件（見4.6）； 使合規管理體系與合規目標保持一致； 監視和測量合規績效； 分析和評價合規管理體系的績效，以確認是否需要采取糾正措施； 確立合規報告和文件化制度； 確保按策劃的時間間隔對合規管理體系進行評審（見9.2和9.3)：

GB/T357702022/ISO37301:2021

6.1應對風險和機會的措施

在策劃合規管理體系時，組織應根據4.1提及的事項和4.2提及的需求，并確定需要應對 機會，以便： 確保合規管理體系能夠實現預期結果， 預防或減少不利影響，

實現持續改進。 在策劃合規管理體系時，組織應結合： 其合規目標（見6.2）， 經識別的合規義務（見4.5）， 合規風險評估結果（見4.6）。 組織應策劃以下活動： a）應對這些風險和機會的措施； b）如何： 1）將措施納入合規管理體系過程并實施 2）評價這些措施的有效性

5.2合規目標及其實現

組織應在相關職能和層級上確立合規目標。 合規目標應： a）與合規方針一致； b）可測量（如果可行)； c） 體現適用的需求； d）予以監視； e）予以溝通； f）視情況予以更新； g）作為文件化信息可獲取。 策劃如何實現合規目標時，組織應確定： 要做什么， 需要什么資源， 由誰負責， 何時完成， 如何評價結果。

當組織確定需要變更合規管理體系時，應對這些變更的實施進行策劃。 組織應結合： 變更目的及其潛在后果； 合規管理體系設計和運行的有效性； 足夠的資源的可獲取性； 職責和權限的分配或再分配。

當組織確定需要變更合規管理體系時，應對這些變更的實施進行策劃。 組織應結合： 變更目的及其潛在后果； 合規管理體系設計和運行的有效性； 足夠的資源的可獲取性； 職責和權限的分配或再分配

GB/T35770—2022/ISO37301:2021

組織應： 確定在其控制下工作、影響合規績效的人員所需的能力； 確保這些人員在適當的教育、培訓或經驗的基礎上勝任工作； 適用時，采取措施獲得所需的能力，并評價所采取措施的有效性。 適當的文件化信息應作為能力證據可獲取。 注：適當的措施可能包括，例如：向現有人員提供培訓、指導或重新分配工作；或者聘用或勞務雇用能夠勝任的 人員

組織應針對其所有人員開發、確立、實施和維護以下過程： a）要求人員遵守組織的合規義務、方針、過程和程序，作為人員的聘用條件； b）在聘用后的適當期間內，新聘用人員能獲得合規方針的副本或者有渠道獲得合規方針，并獲得 關于合規方針的培訓； c）對于違反組織合規義務、方針、過程和程序的人員，應采取適當的紀律處分。 作為聘用過程的一部分，組織應結合崗位和人員可能引發的合規風險，在任何聘用、調動和普升之 前按要求進行盡職調查。 組織應實施對績效目標、績效獎金和其他激勵措施進行定期評審的過程，以驗證是否有適當的措施 來防止鼓勵不合規

組織應定期對有關人員進行培訓，培訓應在聘用開始時和組織策劃的時間間隔實施。 培訓應： a）適合于人員的崗位及其面臨的合規風險； b）進行有效性評估； c）進行定期評審。 結合已識別的合規風險，組織應確保實施程序對代表組織開展業務并可能給組織帶來合規風險的 第三方進行培訓，提高其合規意識。 培訓記錄應作為文件化信息予以保留

在組織控制下工作的人員應知道： 合規方針； 他們對合規管理體系有效性的貢獻，包括改善合規績效帶來的效益； 不符合合規管理體系要求的后果； 提出合規疑慮的方法和程序（見8.3）； 工作崗位的合規義務與合規方針的關系； 支持合規文化的重要性。

GB/T35770—2022/ISO37301:2021

組織應確定與合規管理體系有關的內部和外部溝通，包括： 溝通什么， ）何時溝通， ）與誰溝通， ）如何溝通。 組織應： 結合溝通需求，綜合考慮溝通的多樣性和潛在障礙； 確立溝通的過程，確保結合了相關方的意見； 在確立溝通過程時： ·應將其合規文化、合規目標和義務納人溝通內容； 。應確保所溝通的合規信息與來源于合規管理體系的信息一致且可信； 對與合規管理體系相關的溝通內容進行回應； 視情況，保留文件化信息作為其溝通的證據； 在組織的各層級和職能內部溝通與合規管理體系有關的信息，視情況包括合規管理體系的 變更； 確保人員能在溝通過程中為合規管理體系的持續改進做出貢獻； 確保人員能在溝通過程中提出合規疑慮（見8.3）； 通過組織確立的溝通過程，對外溝通包括其合規文化、合規目標和義務在內的與合規管理體系 相關的信息

組織的合規管理體系應包括： a）本文件要求的文件化信息； b）組織確定的，對于合規管理體系有效性所必需的文件化信息。 注：不同組織的合規管理體系文件化信息的程度可能不同，取決于： 組織的規模及其活動、過程、產品和服務的類型； 過程及其相互作用的復雜度； 人員的能力

7.5.2文件化信息的創建和更新

在創建和更新文件化信息時，組織應確保適當的： 標記和說明（例如，標題、日期、作者或文件編號）， 形式（例如，語言文字、軟件版本、圖形）和載體（例如，紙質的、電子的） 針對適宜性和充分性的評審和批準

7.5.3文件化信息的控制

應控制合規管理體系和本文件要求的文件化信息，以確保其： ）在需要的場所和時間均可獲得并適于使用：

GB/T 35770—2022/ISO37301:2021

b）得到充分保護（例如，防止泄密、不當使用或完整性受損）。 為了控制文件化信息，組織應開展以下適用的活動： 分發、訪問、檢索和使用； 存儲和防護，包括保持易讀性； 對變更的控制（例如，版本控制）； 保留和處置。 對于組織確定的，策劃和運行合規管理體系必要的、來自外部的文件化信息，應視情況進行識別，并 予以控制。 查看和變更文件化信息的權限

8.1 運行的策劃和控制

為滿足要求和實施第6章確定的獵施，組織應通過以下方式 對過程確立準則； 按照準則對過程實施控制。 文件化信息應根據必要程度可獲取，以便確認過程已按照策劃得到實施。 組織應控制已策劃的變更，并評審非預期變更的后果，必要時采取措施減輕不利影響。 組織應確保與合規管理體系相關的，由外部提供的產品、過程或服務受控。 主：對組織運行的外包不會免除組織的法律責任或合規義務。 組織應確保第三方過程得到控制和監視

組織應實施控制以管理其合規義務和相關合規風險。應對這些控制進行維護、定期評審和測試，以 確保其持續有效。 注：測試控制是指實施經過設計的活動以檢驗控制是否按照既定目的運行，或者不能被規避，或者切實有效地降低 風險的后果或可能性。

組織應確立、實施并維護一個報告過程，以鼓勵和促進（在有合理理由相信信息真實的情況下）報告 式圖、涉嫌或實際存在的違反合規方針或合規義務的行為。 該過程應： 在整個組織內可見并可訪問； 對報告保密； 接受匿名報告； 保護報告者免于遭受打擊報復； 便于人員獲得建議。 組織應確保所有人員了解報告程序 棒序

組織應開發、確立、實施并維護過程，以評估、評價、調查有關涉嫌或實際的不合規情形的報告，并 論。這些過程應確保能公平、公正的做出決定。

調查過程應由具備相應能力的人員獨立進行，且避免利益沖突。 組織應視情況利用調查結果改進合規管理體系（見第10章）。 組織應定期向治理機構或最高管理者報告調查的次數和結果 組織應保留有關調查的文件化信息

調查過程應由具備相應能力的人員獨立進行，且避免利益沖突。 組織應視情況利用調查結果改進合規管理體系（見第10章）。 組織應定期向治理機構或最高管理者報告調查的次數和結果。 組織應保留有關調查的文件化信息

9.1監視、測量、分析和評價

GB/T35770—2022/ISO37301:2021

組織對白規 組織應確定： 需要監視和測量什么； 適用的監視、測量、分析和評價的方法，以確保有效的結果； 何時實施監視和測量； 何時對監視和測量的結果進行分析和評價。 文件化信息應作為結果證據可獲取。 組織應評價合規績效和合規管理體系的有效性

9.1.2合規績效的反饋來源

組織應確立、實施、評價和維護能夠使其從多種渠道尋求并獲取合規績效反饋的過程。組織應對信 息進行分析和嚴格評估，以確認不合規的根本原因，確保采取適當的措施，并在4.6要求的定期風險評 估中反映上述信息

組織應開發、實施和維護一套適當的指標，以幫助組織評價其合規目標的實現情況并評估合規 績效。

組織應確立、實施和維護合規報告的過程，以確保： a) 界定適當的報告準則； b 確立定期報告的時間表； 實施非常規報告機制以便于臨時報告； 實施保證信息準確性和完整性的機制和過程： e) 向組織中合適的職能或板塊提供準確和完整的信息，以便及時采取預防、糾正和補救措施 合規團隊向治理機構或最高管理者提交的任何報告內容均應受到充分保護以防止被修改

組織應保留合規活動準確且實時的記錄，以協助監視和評審合規過程，并證實其符合合規管理 求。

GB/T35770—2022/ISO37301:2021

組織應在策劃的時間間隔內實施內部審核，以便為合規管理體系提供以下信息： a）是否符合： 1）組織自身對合規管理體系的要求； 2）本文件的要求。 b）是否得到了有效地實施和維護。

9.2.2內部審核方案

現有控制和績效指標的有效性； 與提出疑慮的人員、相關方溝通，包括反饋（見9.1.2)和投訴； 調查（見8.4）； 報告機制的有效性

現有控制和績效指標的有效性； 與提出疑慮的人員、相關方溝通，包括反饋（見9.1.2)和投訴； 調查（見8.4）； 報告機制的有效性

9.3.3管理評審結果

組織應持續改進合規管理體系的適宜性、充分性和有效性。

組織應持續改進合規管理體系的適宜性、充分性和有

10.2不符合與糾正措施

發生不符合或不合規時，組織應： a）對不符合或不合規做出反應，并且如適用： 1）采取控制和糾正措施， 2）處置后果； D） 通過以下活動評價采取措施的需要，以消除產生不符合和/或不合規的原因，避免其再次發生 或在其他地方發生： 1）評審不符合和/或不合規， 2） 確定產生不符合和/或不合規的原因， 3） 確定是否存在或可能發生類似的不符合和/或不合規； c）實施任何所需的措施； d）評審所采取的任何糾正措施的有效性； e）如必要，變更合規管理體系。 糾正措施應與不符合和/或不合規產生的影響相適應。 文件化信息應作為以下事項的證據可獲�。� 不符合和/或不合規的性質和所采取的任何后續措施； 任何糾正措施的結果

附錄A （資料性） 本文件使用指南

2021年發布的"ISO/IEC導則，第1部分，2021，《ISO綜合補充件ISO專用程序》”中已經將“高層結構” 為“協調結構”

4.1理解組織及其環境

職能，諸如風險管理、內部控制、內部審核、人力

確定合規管理體系的范圍 程中，組織選擇在整個組織、組織內特定單元或特定職能內部實施合規管理體系時，具有自由度和靈 活性。 通常情況下，合規管理體系會在整個組織中實施，如果組織由多個組織組成，合規管理體系會在所 有組織中實施，這樣做的目的是為了避免在道德操守和合規方面的雙重標準，

GB/T35770—2022/ISO37301:202

合規管理體系的范圍宜合理且與組織相匹配，宜考慮組織所面臨的合規風險的性質和程度。 確立合規管理體系的范圍和確定組織將采納哪些需求時，宜結合對組織環境的理解和有關的相關 方的需求。

A.4.4合規管理體系

合規管理體系是一個框架，該框架是基本結構、方針、過程和程序的有機組合，其目的是實現預期的 合規結果，并發揮作用以預防、發現和響應不合規。 通常，合規管理體系框架具有結構性特征：在必要的基礎上構建這個體系。該體系需要通過方針 過程和程序的實施來使其運行，且對其進行維護和持續改進。 合規管理體系包含諸多要件。其中某些要件是為滿足預期行為而設計，某些要件用于防止非預期 行為而設計，而某些要件用于監視組織的合規績效或在發生不合規時提出警告。 合規管理體系無法完全避免錯誤的發生，但有相應的過程確保對錯誤做出適當的反應，包括對過 程、體系和受影響方的補救。 合規管理體系宜以良好治理、匹配性、誠信、透明、問責制和可持續性等原則為基礎。 合規管理體系宜作為文件化信息提供

組織宜將合規義務作為建立、開發、實施、評價、維護和改進其合規管理體系的基礎。 組織強制遵守的要求能包括： 法律法規； 許可、執照或其他形式的授權； 監管機構發布的命令、條例或指南； 法院判決或行政決定； 條約、公約和協議。 組織自愿選擇遵守的要求能包括： 與社會團體或非政府組織簽訂的協議； 與公共權力機構和客戶簽訂的協議； 組織的要求，如方針和程序； 自愿的原則或規程； 自愿性標志或環境承諾； 與組織簽署合同產生的義務； 相關組織的和產業的標準。 組織宜按部門、職能和不同類型的組織性活動來識別合規義務，以便確定誰受到這些合規義務的 影響。 獲取關于法律和其他合規義務變更信息的過程能包括： 列人相關監管部門收件人名單； 成為專業團體的會員； 訂閱相關信息服務； 參加行業論壇和研討會； 監視監管部門網站； 與監管部門會睛：

GB/T35770—2022/ISO37301:2021

不合規（即使是單一的不合規事件也能構成情況的實質變化）和近乎不合規。 合規風險評估的詳細程度和水平取決于組織的風險情況、環境、規模和目標，并能隨著具體的細分 領域（如：環境、財務、社會）變化。 基于風險方法的合規管理并不意味著在合規風險較低的情況下組織就接受不合規。它有助于組織 集中主要注意力和資源優先處理更高級別風險，最終覆蓋所有合規風險。所有已識別的合規風險/情況 都會得到監視和處理。 在進行風險評估（相關指導見ISO31000）時.宜注意適當的技術（見IEC.31010）

/T35770—2022/ISO37301:2021

A.5.1.1治理機構和最高管理者

A.5.1.2合規文化

GB/T357702022/ISO37301:2021

持續就合規問題進行溝通； 績效考核體系，結合對合規行為的評估，并將合規表現與績效工資掛鉤，以實現合規關鍵 措施和結果； 對合規管理業績和結果予以明確認可； 對故意或因疏忽而違反合規義務的情況給予即時和適當的處分； 在組織的戰略和個人崗位之間建立清晰的聯系，強調合規是實現組織結果所必不可少的； 在內部和外部就合規進行公開和適當的溝通。 合規文化的形成體現于下列方面的實現程度： 上述事項得以實施； 相關方（特別是組織的人員）相信上述事項已實施； 人員理解合規義務與自身活動和所在業務單元活動的相關性； 組織所有適當層級都按照要求自主應對不合規并采取糾正措施 重視合規團隊的崗位及其目標； 人員有能力且受到鼓勵向包括最高管理者和治理機構在內的適當的管理層提出合規疑慮 組織宜： a） 衡量其合規文化； b） 尋求所有人員的意見，以確定他們是否感知到治理機構、最高管理者和中層管理者對合 承諾； 根據組織合規文化指標的結果，確立行動計劃

A.5.1.3合規治理

合規治理建立在以下基本原則基礎上。 合規團隊能直接接觸治理機構和最高管理者。如有需要，他們能繞過組織中的其他人直接與一個 或多個最有權采取行動的人溝通。這直接禪益治理機構和最高管理者，便于他們履行職責。這種接觸 宜是有計劃和系統性的。例如，合規團隊能直接向首席執行官報告和間接向審核委員會、主席或整個董 事會報告。 合規團隊宜是獨立的，不與組織結構或其他要件沖突。他們可以自由行動、不受垂直管理者的 干涉。 合規團隊擁有權限。合規團隊在權限上不是一個能被上級否決或被其修改報告或信息的初級部 門。合規團隊能根據需要指導其他員工。合規團隊宜有“發言權”，以申明和提出合規疑慮。 合規團隊有足夠的資源來支持組織不受限制地執行合規管理體系的必要工作和職責，包括獲得技 術以使合規管理體系能全面和有效地支持組織實現其合規目標

合規方針確立了組織實現合規的首要原則和行動承諾。它設定了要求的職責和績效水平，并設定 對行動進行評估的期望。該方針宜與組織活動產生的合規義務相適應。 合規方針宜由治理機構批準。 合規方針宜規定： 與組織的規模、性質、復雜性及其環境有關的合規管理體系的應用和環境； 合規與其他職能的結合程度，如與治理、風險、審核和法務； 對內外部相關方的關系進行管理的原則。

合規方針不宜是一個獨立的文件，宜得到其他文件的支持，包括運行方針和過程。 如有必要，宜將合規方針翻譯成其他語言。 合規方針宜適合于組織因其范圍和活動而產生的合規義務。 開發合規方針，宜結合： a）具體的國際、區域或屬地義務； b）組織的戰略、目標、文化和治理方法； c） 組織結構； d）與不合規相關的風險的性質和等級； e）采用的標準、準則、內部方針和程序； f)行業標準。 合規方針可包括： 使命宣言； 總體方針聲明； 管理戰略以及責任和資源的分配； 標準合規程序； 審核、盡職調查和合規

A.5.3崗位、職責和權際

A.5.3.1治理機構和最高管理者

治理機構的積極參與和監督是有效合規管理體系不可或缺的組成部分。這有助于確保人員充分理 解組織的合規方針、合規運行程序以及這些方針和程序如何應用于他們的工作，并確保他們有效地履行 合規義務。 為使合規管理體系有效，治理機構和最高管理者需要以身作則，堅持并積極、明確地支持合規與合 規管理體系。 許多組織視其規模也有合規管理的全面負責人，盡管該負責人可能有其他崗位或職能，例如現有的 委員會、組織的單元或合規專家的外包要件。 最高管理者宜鼓勵創造和支持合規的行為，而不宜容忍侵害合規的行為 最高管理者宜確保： 組織對合規的承諾與其價值觀、目標和戰略一致，以便適當地定位合規工作； 鼓勵所有員工承認實現其負責或負有責任的合規目標的重要性； 創造一種鼓勵報告不合規并使報告的員工不會受到報復的環境； 將合規納人更廣泛的組織文化和文化變更舉措中； 識別不合規井即時采取行動予以糾正或處理； 運行目標和指標不會影響合規行為。 最高管理者宜參考關鍵績效指標和其他關鍵信息并按策劃的時間間隔（例如：每季度或每月）評審 合規管理體系的績效，以確保合規管理體系實現其目標。 合規管理體系的有效性要求最高管理者通過制定標準和實施合理監督做出承諾。最高管理者宜了 解合規管理體系的內容和運行，并宜確保組織擁有有效的合規管理體系所需的足夠的過程。

A.5.3.2合規團隊

許多組織都由專門人員（例如：合規官)負責日常合規管理，有些組織還設有跨職能合規委員會來協 22

許多組織都由專門人員（例如：合規官）負責日常合規管理，有些組織還設有跨職能合規委員會來

照明標準規范范本GB/T35770—2022/ISO37301:2021

調整個組織的合規工作。合規團隊會與管理層一起合作。 并非所有的組織都創建獨立的合規團隊；一些組織將此職能分配至現有崗位或職能外包。外包 時，組織不宜將全部合規職能分配給第三方。即使組織將部分職能外包，也宜考慮維護組織對這些職能 的權限并對其進行監督。 分配合規管理體系職責，宜考慮確保合規團隊證實： 誠信和對合規的承諾； 有效的溝通和影響力； 有能力接受建議和指導； 具備設計、實施和維護合規管理體系的相關能力： 具備面對測試和挑戰的信心、業務知識和經驗； 以戰略性、積極的方式對待合規； 有足夠的時間來滿足合規崗位的需求。 合規團隊宜擁有權限、地位和獨立性。權限意味著合規團隊被治理機構和最高管理者授予足夠的 權力。地位意味著其他人員很可能傾聽和尊重他/她的意見。獨立性意味著合規團隊盡可能地不親自 參與可能暴露在合規風險之下的活動。 合規團隊履行其崗位不宜存在利益沖突

最高管理者的職責不宜被視為免除其他各級管理者的合規職責，因為所有管理者都在合規管理體 系方面發揮作用。因此，明確設定他們各自的職責并列人其崗位描述之中很重要。 管理者的合規職責必然會根據權限的級別、影響力和其他因素而有所不同，如組織的性質和規模， 然而，一些職責很可能在不同的組織中是通用的

所有人員都宜履行合規義務。 人員宜確保了解自已的合規職責并有效地執行這些職責。對此，人員將通過合規管理體系的要件 獲得支持，如培訓、方針和程序以及行為準則 人員宜積極主動地洞察不足與改進，以促進合規管理體系的績效

滅火系統標準規范范本A.6.1風險與機會的應對措施

合規管理體系的策劃是在戰略層面上開展的，而運行策劃則是針對運行層面的策劃和控制開展的。 策劃的目的是預測可能發生的情況和后果，因此它是預防性的。根據合規風險評估的結果，組織宜 策劃如何在不利影響發生之前應對它們，以及如何從支持合規管理體系有效性的有利條件或環境中 獲益。 策劃還宜包括確定如何將被認為對合規管理體系必要或有益的行動融人業務活動和過程中。這種 融入能通過目標設定、運行控制或其他具體條款（例如：資源規定、能力）實現。還宜策劃評價合規管理 體系有效性的措施。這包括監視、測量技術、內部審核或管理評審

A.6.2合規目標及其實現的策劃