GB∕T 35770-2022《 合规管理体系 要求及使用指南》之27：“8运行-8.pdfVIP

GB/T35770-2022《合规管理体系要求及使用指南》之27：

“8运行-8.2确立控制和程序”专业深度解读和应用指导材料（雷泽佳编制-2025D0）

GB/T35770-2022《合规管理体系要求及使用指南》

8运行

8.2确立控制和程序

组织应实施控制以管理其合规义务和相关合规风险。

应对这些控制进行维护、定期评审和测试，以确保其持续有效。

注：测试控制是指实施经过设计的活动以检验控制是否按照既定目的运行，或者不能被规避，或者切实有效地降低风险的后果或可能性。

1~~“8.2确立控制和程序”术语、定义与涵义解读

“8.2确立控制和程序”核心术语、定义与涵义解读表

术语定义涵义解读

1）“为管理合规义务及相关合规风险”：“控制”的核心定位是“风险-义务”的桥梁，所有控制措施的设计均需以已识

别的合规义务（如法律法规、监管要求、合同约定）和合规风险（如不合规导致的法律制裁、声誉损害）为输入，不能脱

组织为管理合规义务

离具体义务与风险孤立存在。例如，针对数据保护义务（如《中华人民共和国个人信息保护法》要求），需设计个人信息

及相关合规风险实

收集授权、数据访问权限管控等针对性控制，直接对应“未授权收集个人信息”的合规风险；

施的、旨在防止、发

2）“防止、发现和纠正不合规行为”：这是控制的三重核心功能，构成合规风险防控的完整闭环：“防止”侧重事前阻

现和纠正不合规行为

断（如采购审批中的权限隔离，避免单人操控采购全流程）；“发现侧重事中监测（如财务系统对异常报销的自动预警

的措施组合，包括但

,及时识别不合规行为）；“纠正侧重事后补救（如违规事件后的流程整改、问责机制）。三者需协同设计，缺一不可

控制不限于文件化运行方

,避免仅关注“防止”忽视“发现纠正”导致的风险漏控；

针、过程、程序、工

3）“措施组合”及具体形式：控制并非单一手段，是多层次、跨职能的系统化安排。“清晰实用的文件化方针程序”“

作指示、系统报告、

系统和例外报告“不相容职责分离”“自动化过程等，均是控制的具体载体。例如，“自动化过程可通过信息化系

批准机制、不相容职

统嵌入控制逻辑（如合同审批系统强制触发合规审查节点），减少人为干预导致的合规偏差；“不相容职责分离（如会

责分离、自动化过程

计与出纳岗位分离）则通过岗位设计从源头降低舞弊风险；

等。

4）此处的“控制”需满足“嵌入性”“有效性”“可持续性”三大要求：“嵌入性要求控制融入组织日常经营过程（

如将合规审查嵌入合同签订流程，非额外增加独立环节），避免“两张皮”；“有效性”要求控制能切实降低风险（如

术语定义涵义解读

审批机制需真正阻止不合规决策，非形式化签字）；“可持续性要求控制可通过维护、评审和测试持续优化，适应内

外部环境变化（如法规更新后及时调整控制措施）。

1）“为进行某项活动或过程”：“程序”是控制落地的“操作手册”，聚焦合规相关活动或过程（如合规审查、违规举