法务、合规、内控、风险一体化管理原则与实施指南.docx

1

法务、合规、内控、风险一体化管理原则与实施指南

1范围

本文件规定企业能够用于提升其法务、合规、内控、风险一体化管理绩效的管理原则与实施指南。

本文件可帮助企业实现对其法务管理、合规管理、内部控制、风险管理等进行整合，达到1+1+1+14

的效果。这些整合将为企业自身和利益相关方带来价值。

本文件适用于具有一定规模，需要提高风险管控效率，集中行使同类职能，加强风险管控赋能的各

类集团公司、上市公司、中大型企业等。

本文件能够全部或部分地用于改进法务、合规、内控、风险一体化整合管理，然而，只有当本文件

的所有要求都被包含在企业的整合管理体系中且全部得到满足，企业才能声明符合本文件。

2规范性引用文件

下列文件（包括其更新版）中的内容通过文中的规范性引用而构成本文件必不可少的条款。

GB/TGB/TGB/T

GB/T

27914-2023

35770-2022

24353-2022

26317-2010

BSIPAS99:2012

风险管理法律风险管理指南

合规管理体系要求及使用指南

风险管理指南

公司治理风险管理指南

整合管理体系的框架——通用管理体系要求的规范

3术语和定义

下列术语和定义适用于本文件。

3.1与领导作用有关的术语

3.1.1管理体系managementsystem

企业(3.1.2)用于建立方针、目标(3.2.6)以及实现这些目标的过程(3.3.4)的相互关联或相互作用

的一组要素。

注：一个管理体系可关注一个或多个领域（例如：质量、环境、职业健康和安全、能源）。

注：管理体系的范围可能包括整个企业、其特定的职能、其特定的部门或跨企业的一个或多个职能。

2

3.1.2企业organization

为实现目标(3.2.6)，由职责、权限和相互关系构成自身功能的一个人或一组人。

注：企业包括但不限于个体经营者、公司、集团公司、商行、企事业单位、政府机构、合股经营的

公司、公益机构、社团，或上述单位中的一部分或结合体，无论其是否具有法人资格、公营或私营。

3.1.3最高管理者topmanagement

在最高层指挥并控制企业(3.1.2)的一个人或一组人。

注：最高管理者有权在企业内部授权并提供资源。

注：若管理体系(3.1.1)的范围仅覆盖企业的一部分，则最高管理者是指那些指挥并控制企业该部

分的人员。

3.1.4相关方interestedparty

能够影响决策或活动、受决策或活动影响，或感觉自身受到决策或活动影响的个人或企业(3.1.2)。

注：相关方可包括顾客、社区、供方、监管部门、非政府企业、投资方和员工等。

3.1.5治理机构governingbody

对企业（3.1.2）的活动、治理、方针负有最终责任和权力的一个人或一组人，最高管理者（3.1.3）

向其报告并对其负责。

注：并不是所有的组织，尤其是小型组织，都会有一个独立于最高管理者的治理机构。

注：治理机构可能包括但不限于董事会、董事会委员会、监事会或受托人。

3.1.6一体化integration

将两个或两个以上的不相同或不协调的事项，采取适当的方式，将其融合为一个整体，形成协同效

应，以实现企业目标的一项措施。

3.2与策划有关的术语

3.2.1内控internalcontrol企业内实现控制目标的过程。

3.2.2风险risk

不确定性对目标的影响。

注：影响指对预期的偏离----正面的或负面的。

注：不确定性是一种状态，是指对某一事件、其后果或其发生的可能性缺乏（包括部分缺乏）信息、

3

理解或知识。

3.2.3合规compliance

履行组织的全部合规义务(3.2.4)

3.2.4合规义务complianceobligations

法律法规和其他要求legalrequirementsandotherrequirements（许用术语）企业(3.1.2)

必须遵守的法律法规要求(3.2.5)，以及企业必须遵守或选择遵守的其他要求。

注：合规义务是与合规管理体系(3.1.1)相关的。

注：合规义务可能来自于强制性要求，例如：适用的法律和法规，或来自于自愿性承诺，例如：企

业的和行业的标准、合同规定、操作规程、与社团或非政府企业间的协议。

3.2.5要求requirement

明示的、通常隐含的或必须满足的需求或期望。

注：“通常隐含的”是指对企业(3.1.2)和相关方(3.1.4)而言是惯例或一般做法，所考虑的需求或

期望是不言而喻的。

注：法律法规要求以外的要求一经企业决定遵守即成为义务。

3.2.6目标objective

要实现的结果。

注：目标可能是战略性的、战术性的或