集团合规管理手册.docx
XX集团合规管理手册第一章总则第一节合规理念第一条XX集团的合规理念为:合规从高层做起、全员主动合规、合规创造价值。第二条合规从高层做起。XX集团首项合规理念为“合规从高层做起,集团高度重视,加强顶层设计,企业各级管理人员带头发挥表率作用,带动全员合规,把集团的核心价值观、企业治理的基本原则和方法融入到合规管理中,在集团内部全面推广合规文化。第三条全员主动合规。XX集团的合规是全员合规、主动合规。合规是集团所有单位和全体员工共同的职责,是XX集团健康发展的内在要求。第四条合规创造价值。合规帮助XX集团管控风险,减少监管处罚、民事赔偿、商誉受损等不利影响,降低XX集团需承担的责任和损失。合规帮助XX集团塑造一个信仰合规的价值观,合规意识渗透到经营管理活动的多方面和全过程,成为XX集团的宝贵财富,吸引优秀的合作伙伴和客户,提升XX集团的品牌价值,成为XX集团可持续发展的动力和核心竞争力。第二节合规要求第五条XX集团和全体员工的经营管理和职业行为应当符合法律、法规、规章及其他规范性文件、行业规范和自律规则,各单位章程、股东(大)会议事规则、董事会议事规则、监事会议事规则及规章制度的要求,并应当遵守行业公认并普遍遵守的职业道德和行为准则,守法合规、忠诚爱岗、廉洁自律、公平诚信。具体合规要求见本手册第三章和第四章规定。第三节合规管理目标第六条XX集团合规管理目标是通过建立健全集团合规管理体系,普及“合规从高层做起、全员主动合规、合规创造价值''的合规文化,有效识别和管理合规风险,实现从“要我合规''向“我要合规”、“我能合规”、"共同合规”的不断进步,努力提升集团依法治企能力和合规管理能力,确保依法合规经营,维护和提升XX集团的良好声誉和品牌价值,助力集团建设具有全球竞争力的世界一流企业。第四节合规管理基本原则第七条XX集团合规管理的基本原则为:(一)全面性,即合规管理全面覆盖;(二)独立性,即合规工作机构和合规负责人具有独立性;(三)及时性,即及时识别估合规风险、建立合规管理机制、履行合规管理职责和采取处置措施等;(四)有效性,即有效保障经营管理的合规性。第五节制定依据第八条本手册制定依据包括法律法规、集团的合规管理制度以及行业公认的行为规范和道德准则。第九条本手册第二章合规管理体系依据的国资委和集团合规风险管理制度和文件包括但不限于:(一)关于在部分中央企业开展合规管理体系建设试点工作的通知(国资厅发法规201623号);(二)XX集团合规管理规定;(三)XX集团合规风险识别机制方案;(四)XX集团合规检查领域和对象的定性定量标准;(五)XX集团合规检查操作指引;(六)XX集团年度合规工作考核验收管理细则;(七)集团总部部门内部及跨部门合规管理工作标准化沟通流程图;(八)XX集团年度合规管理体系建设工作方案;(九)其他有关合规管理的规章制度。第十条本手册第三章企业合规义务和第四章员工行为准则涉及的法律法规包括但不限于:(一)中华人民共和国公司法;(二)中华人民共和国企业国有资产法;(三)企业国有资产监督管理暂行条例(国务院令第378号公布,国务院令第588号修订);(四)中共中央、国务院关于深化国有企业改革的指导意见(中发201522号);(五)国资委关于全面推进法治央企建设的意见(国资发法规2015166号);(六)国资委中央企业合规管理指引(试行)(国资发法规2018106#);(七)发改委等七部委企业境外经营合规管理指引(发改外资(2018)1916号);(八)中华人民共和国刑法;(九)中华人民共和国反垄断法;(+)中华人民共和国反不正当竞争法;(十一)中华人民共和国证券法;(十二)中华人民共和国商业银行法;(十三)中华人民共和国保险法;(十四)中华人民共和国对外贸易法;(十五)中华人民共和国环境保护法;(十六)中华人民共和国反洗钱法;(十七)中华人民共和国网络安全法;(十八)金融机构反洗钱规定(中国人民银行令(2006)第1号);(十九)上市公司信息披露管理办法(中国证券监督管理委员会令第40号);(二十)其他有关的法律法规等。第十一条有关法律法规、规章制度、行业规范如有变动,应当按照变动后现行有效的版本执行。第六节适用范围第十二条本合规手册适用于集团及集团下属全资、控股及其受托管理的公司及其它所属单位。第十三条XX集团及其员工为本手册项下的合规义务人。第七节定义第十四条除非上下文另有要求或文义另作说明,本手册中的词语或简称与XX集团合规管理规定所列相关词语或简称的定义相同。此外,除非上下文另有要求或文义另作说明,下列词语在本手册中的含义如下:(一)XX集团(或“全集团”):指集团及下属单位。(二)员工:指全集团员工。(三)本手册:指XX集团合规手册。第二章合规管理体系第一节概述第十五条合规管理体系包括合规管理制度体系、合规管理组织体系、合规风险管理机制和合规文化建设机制。第十六条各单位应当建立与其经营范围、组织结构、业务规模、行业特征相适应的合规管理体系。第二节合规管理制度体系第十七条合规管理制度体系是指各单位建立的、由不同层次和不同形式的管理制度文件组成的企业合规管理活动的制度性、规范化安排。主要由以下部分组成:(一)合规管理基本制度:确立合规行为准则,适用于企业及其全体员工;(二)专项合规管理办法:规定具体合规管理行为规范,适用于企业特定管理行为及相关管理人员或业务单位及其员工;(三)合规管理工作流程:根据合规管理基本制度和专项合规管理办法,明确合规行为准则和具体合规管理行为规范的执行程序,即合规管理各参与方履行职责的程序,适用于合规管理基本制度和专项合规管理办法规定的适用范围;(四)合规管理工具:合规管理工作流程中使用的合规管理辅助手段,包括管理表单、问卷、信息化工具等;(五)合规工作方案:根据合规管理制度和实际需要制定的合规管理体系建设方案。各单位应当根据所在国家或地区的法律规定、监管要求和当地的文化习惯以及集团关于合规管理制度体系建设的要求,建设规范有效、切合本单位实际的合规管理制度体系。第十八条各单位应当根据内外部情况变化和合规管理制度的执行情况,不断完善合规管理制度体系的建设。第三节合规管理组织体系第十九条合规管理组织体系是指各单位从治理层、管理层到执行层关于开展合规管理工作的责任主体及其职责安排,包括合规管理的治理机构、领导机构、合规负责人、合规工作小组、合规工作机构、合规工作人员等设置及其合规管理职责。第二十条合规管理治理机构集团董事会风险管理委员会是集团合规管理工作的治理机构,具体职责见XX集团有限公司董事会专门委员会议事规则第5项董事会风险管理委员会议事规则。各下属单位根据本单位的治理结构确定合规管理工作的治理机构及其职责。第二十一条合规管理领导机构集团风险管理委员会是集团合规管理工作的领导机构,具体职责见XX集团合规管理规定第十条规定。各下属单位可以根据实际需要确定本单位合规管理工作的领导机构及其职责。第二十二条合规负责人集团总法律顾问是集团的合规负责人,具体职责见XX集团合规管理规定第十二条规定。各二级公司总法律顾问(副总法律顾问)是本单位的合规负责人,具体职责见XX集团合规管理规定第十二条规定。各二级公司下属单位根据集团和上级单位的合规管理要求任命本单位合规负责人,逐级上报备案。第二十三条合规工作小组集团设立合规工作小组,由总法律顾问担任组长,组员由风险管理部及其他各职能部门负责人及合规工作联系人组成。风险管理部(法律合规部)作为秘书部门。工作小组的具体工作职责包括:(一)落实年度合规工作计划实施工作;(二)负责协调和组织合规工作的年度运行;(三)承担合规工作的项目推进和质量监控;(四)对集团合规管理的具体任务落实跟踪督办。各下属单位可以根据实际需要确定本单位合规工作小组及其职责。第二十四条合规工作机构集团的法律工作机构是集团的合规工作机构,具体职责见XX集团合规管理规定第十三条规定。各下属单位应当设置本单位的合规工作机构,各下属单位合规工作机构具体职责见XX集团合规管理规定第十三条规定。第二十五条合规工作人员和合规工作对接人员各单位合规工作机构应当设置专职合规工作人员,各单位专职合规工作人员任职资格见XX集团合规管理规定第十八条规定。各单位在其他职能部门应当设置合规工作对接人员,负责与本单位合规工作机构和其他部门对接联系开展合规工作,具体工作职责参照XX集团合规管理规定第十五条(七)规定。第四节合规风险管理机制第二十六条合规风险是指因各单位或其工作人员的经营管理或职业行为违反法律、规则和准则,而使各单位受到法律制裁、被采取监管措施、遭受财产损失或声誉损失的风险。合规风险管理是指对合规风险进行识别、预防、应对和管控,以及追究合规管理相关责任的过程。合规风险管理机制通常包括以下几方面:(一)合规风险识别和管控机制;(二)合规审查和报告机制;(三)合规检查整改机制;(四)合规举报监督机制;(五)合规责任追究机制;(六)合规管理绩效考核机制。第二十七条合规风险识别和管控机制合规风险识别是指各单位为实现对合规风险全面、准确、有效的管理而对合规风险进行甄别、评估、聚焦的动态过程和机制。合规风险识别应当遵循全面覆盖、准确定位和重点突出的基本原则。合规风险识别的过程是建立一个从合规风险库到重大合规风险清单到年度合规风险重点项目的聚焦过程,具体步骤包括甄选合规风险、评估合规风险和聚焦合规风险。具体见XX集团合规风险识别机制方案。各单位应当尽快建立合规风险评估制度,按照紧急程度和风险等级采取相应措施,以化解和缓释识别的合规风险。各单位合规工作机构应当主动及时进行合规风险提示和法规宣贯,防范合规风险发生。第二十八条合规咨询和合规审查机制各部门及员工在日常经营管理和工作中发现合规问题,或对合规风险及其管理存在疑问,应当及时咨询本单位合规工作机构。下一级单位发现重大疑难合规事项,应当及时向上一级合规工作机构进行合规咨询。必要时,各单位可以根据相关制度规定提请合规审查。各单位合规工作机构应当对本单位的规章制度进行合规审查。具体规定见XX集团合规管理规定第三十条规定。第二十九条合规报告机制合规报告分为定期合规工作报告和不定期合规风险事项报告。各单位应当根据上级单位要求报送年度合规工作报告。各单位针对重大违规事项或因违反监管要求,可能受到处罚或制裁、遭受重大资产损失或声誉损失的重大风险事项时,应当及时提交不定期报告。具体规定见XX集团合规管理规定第三十八条至第四十二条规定。第三十条合规检查和整改机制各单位应当对本单位及下属单位经营管理活动是否符合法律法规、监管要求、企业规章制度和行业规范等进行合规检查。各单位每年年初应当制定合规检查工作计划,并按照工作计划开展合规检查工作。当本单位或下属单位或同行业其他公司出现重大合规风险时,还应当安排不定期合规检查。合规检查流程一般包括:制定合规检查工作计划,组建检查小组,收集和评价检查证据,形成检查结论,撰写、审批和下发检查报告,开展合规整改。在不定期合规检查中,根据需要还可能进行危机处理。对于合规检查中发现的问题,被检查单位应当制定合规整改方案,积极开展整改工作,并在整改期限内完成整改,提出合规管理优化建议,形成合规管理的闭环。集团总部及集团总部对下属公司的合规检查的检查领域和对象的确定标准具体见XX集团合规检查领域和对象的定性定量标准,集团总部及集团总部对下属公司的合规检查的流程具体见XX集团合规检查操作指引。第三十一条合规举报监督机制各单位应当建立合规举报监督机制,保障员工和外部客户都能够正常行使举报、投诉违法违规行为的权利。合规举报监督机制应当包括以下几方面内容:(一)设立举报与投诉热线;(二)鼓励实名举报的同时,不排斥匿名举报;(三)保护投诉与举报人,严禁对投诉与举报人打击报复;(四)针对投诉与举报,应当进行调查,必要时,可以根据相关制度提请合规检查;(五)在调查过程中,对相关责任人进行询问;(六)经调查证实存在合规问题的单位进行合规整改,违规人员进行责任追究等。各单位及其员工发现违法违规行为或合规风险隐患,应当主动、及时地向本单位合规工作机构报告。第三十二条合规责任追究机制各单位应当建立合规责任追究机制,对从事违反法律、规则和准则或者不认真履行应尽的岗位职责等行为,致使单位受法律制裁、监管处罚、重大财务损失和声誉损失的风险的人员进行责任追究。合规问责的对象包括各级管理人员、各级合规工作人员及其他员工。具体规定见XX集团合规管理规定第三十一条规定。第三十三条合规管理绩效考核机制各单位应当建立合规管理绩效考核机制,将合规管理有效性纳入高级管理人员、各职能部门和下属单位及员工的绩效考核范围。各单位合规工作机构负责对本单位各职能部门日常的合规管理能力和合规状况进行跟踪评价,协助本单位相关职能部门对合规管理工作进行考核。具体规定见XX集团合规管理规定第三十三条规定。第五节合规文化建设机制合规文化是组织成员普遍遵守的依法合规经营的思想观念、道德标准和价值取向,是企业诚信经营的意识和行为。良好的企业合规文化有助于弥补法规和制度漏洞,防范和减少合规风险,重构企业文化。合规文化建设对于企业避免遭受法律制裁、监管处罚、重大财务损失或声誉损失,实现可持续发展具有重要意义。XX集团的合规文化内涵主要包括“合规从高层做起、全员主动合规、合规创造价值”等合规理念,各单位应以此为基础开展各项合规文化建设工作。第三十四条合规文化建设机制包括合规理念的宣导、合规培训与教育制度、合规文化的培育等。第三十五条合规理念宣导合规理念宣导是指通过多种方式宣传合规知识,提倡合规风气,对合规理念进行宣传和倡导,协助培育合规文化。合规理念的宣导方式应注意针对性、创新性和知识性,达到合规文化宣传效果。第三十六条合规培训与教育各单位应当注重合规培训的普及性,将合规培训纳入员工培训范围,每年制定合规培训计划,组织合规培训,通过培训让员工掌握基本合规知识和合规管理要求。各单位应当注重合规培训的专业性,持续关注法律、规则和准则的最新发展,密切结合本单位的重点合规风险项目,及时为管理层提供合规建议。各单位应当注重合规培训的有效性,通过合规检查和考核检测合规培训教育的效果,对出现违规行为的单位和个人进行重点培训教育。各单位应当注重合规培训的规范性,有关合规培训的信息和事项应当记录在案,包括培训的时间地点和方式、培训人员和培训材料、受训人员的签到表和其他证明其参加培训的有关证明材料、培训考试的试卷和结果等。第三十七条合规文化培育各单位应当通过建立有效的合规管理组织体系、制度体系、合规风险管控机制和合规文化建设机制,围绕“合规从高层做起、全员主动合规、合规创造价值”的合规理念,鼓励合规的行为,倡导合规的风气,营造合规的氛围,培育本单位的合规文化,形成合规管理软实力。第三章企业合规义务第一节合法雇佣和劳动安全保障义务第三十八条员工是XX集团宝贵的财富,是集团改革发展的保障。各单位应当遵守并认真贯彻执行所在国及所在地区劳动用工相关的法律法规,建立和完善本单位的劳动用工制度,尊重和维护员工的合法权益,创建良好的工作氛围。第三十九条各单位应当保障员工取得劳动报酬、休息休假、获得劳动安全卫生保护、享受社会保险以及接受职业技能培训等各项合法权益,不得以任何形式规避履行其对员工的法定义务。第四十条各单位应当建立、健全和实施保障员工健康和安全的劳动安全卫生制度,严格执行所在国及所在地区劳动安全卫生规范和标准,对员工进行劳动安全卫生教育,防止安全事故,减少职业危害。各单位应当为员工提供符合所在国及所在地区法律规定的劳动安全卫生条件和必要的劳动防护用品,对从事有职业危害作业的劳动者应当定期进行健康检查。因未建立和实施必要的劳动安全卫生制度或者未提供必要的劳动防护用品,相关单位可能受到劳动行政部门的警告,若员工因此受到损害,该单位负有赔偿责任。各单位应当在员工职业培训中宣传安全劳动知识,鼓励员工正确使用劳动工具,提醒有危险作业的员工提高安全意识。第四十一条各单位应当为员工创造公平公正的工作环境,根据能力和绩效考核、晋升员工。各单位不得以任何理由(包括员工的人种、文化、宗教、年龄、民族、或性取向等为由)歧视任何员工。除所在国及所在地区法律法规规定或工作内容要求,各单位不得以员工的性别或残疾状况为由拒绝录用或提高录用标准。第四十二条如果资源允许,各单位可以采取措施保证对各少数群体员工的实质公平对待,如对全体员工进行多元教育,提供相关权益保护的咨询,成立多元小组以及制定有关方针来帮助弱势员工。第二节依法纳税义务第四十三条各单位应当依法纳税,积极履行代扣代缴税款的义务。第四十四条各单位应当依法进行税务登记、设置账簿、保管凭证、纳税申报;各单位应当如实向税务机关反映本单位的生产经营情况和执行财务制度的情况,按有关规定提供相应的报表和资料,不得瞒报、漏报、误报,不得偷税漏税。第三节反垄断义务第四十五条垄断是指在没有法定许可的情况下,经营主体利用其市场地位,实施阻碍贸易、限制和排除公平竞争的行为,包括达成并实施垄断协议、滥用市场主导地位以排挤其他竞争者或实行具有或者可能具有排除、限制竞争效果的经营者集中。第四十六条实施垄断行为,有可能面临被反垄断执法机构责令停业、没收违法所得并被处以罚款的处罚。各单位应当在经营活动中遵守公平竞争原则,遵守反垄断法及各国反托拉斯法的规定,在法律框架内进行良性竞争,自觉避免垄断行为的发生。第四十七条各单位应当避免与具有竞争关系的同行企业或者交易相对人达成具有操纵市场价格效果的垄断协议。垄断协议分为横向垄断协议和纵向垄断协议。横向垄断协议包括:固定或变更商品价格的协议、分割市场的协议、联合抵制协议等。纵向垄断协议包括:固定转售商品价格的协议、限定转售商品最低价格的协议等。协议可以是口头的,也可以是任何默契行为。第四十八条各单位在兼并、收购其他企业单位或其股权资产时,应当严格遵守相关国家反垄断法规定,遵守法律对于经营者集中的标准。如有疑问,应当及时向有关部门申报审查,征求其意见。第四节反不正当竞争义务第四十九条不正当竞争是指经营者在经营活动中,通过采取违反公认的商业道德的手段,争取交易机会或者破坏其他经营者的竞争优势,扰乱社会经济秩序的行为。实施反不正当竞争行为,有可能面临民事损害赔偿、行政处罚,甚至刑事责任。第五十条公平竞争有益于市场经济健康发展。各单位应当自觉维护市场秩序的公平性,不以排挤竞争对手为目的,以低于成本的价格销售商品或提供服务;没有正当理由的情况下,不应违背购买者的意愿搭售商品、服务或者附加其他不合理的条件。依法具有独占地位的单位,不应限定他人购买其指定的经营者的商品或服务。各单位参与海内外市场竞争,应当严格遵守适用的反不正当竞争国际法和国内法。第五十一条各单位在经营活动中应当禁止以下行为:(一)假冒行为。各单位不得假冒他人注册商标,伪造或冒用认证标志、名优标志等质量标志,伪造产地,擅自使用知名商品特有的或近似的名称、包装、装潢,擅自使用他人商号及通过其他含有不实成分的手段,实施损害竞争对手的行为。(二)虚假宣传。反不正当竞争法律普遍禁止通过虚假广告宣传欺骗和误导消费者的行为。各单位不得利用广告等宣传方式对商业信誉或服务或商品质量、性能、用途、售后服务等方面进行可能引起误解的宣传。(三)串通投标。反不正当竞争法律普遍禁止通过串通投标,以达到抬高标价、压低标价等排挤竞争对手目的的行为。(四)商业贿赂。商业贿赂是在商业活动中违反公平竞争原则,采用给予、收受财物或者其他利益等手段,以提供或者获取交易机会或者其他经济利益的行为。商业贿赂既可能引发民事责任、行政责任,也可能构成刑事犯罪。(五)侵犯商业秘密,损害商业信誉。各单位不得侵犯他人合法保护的商业秘密,捏造、散布虚伪事实以损害竞争对手的商业信誉,以及从事其他法律法规禁止的限制竞争行为。第五节反洗钱义务第五十二条洗钱是指将毒品犯罪、走私犯罪、黑社会性质的组织犯罪、恐怖活动犯罪、贪污贿赂犯罪、破坏金融管理秩序犯罪、金融诈骗罪等犯罪活动的犯罪所得,通过掩饰、隐瞒其来源和性质,并借助各种方式使其合法化的行为。第五十三条协助洗钱的行为包括:提供资金账户;协助将财产转换为现金、金融票据、有价证券;协助转移资金;将犯罪资金转化为有形资产等掩饰资金来源和性质的行为。第五十四条洗钱及协助洗钱的行为构成刑事犯罪,企业和相关责任人都将依法被追究刑事责任。洗钱或协助任何单位及个人从事洗钱的行为不仅构成犯罪,还会给企业带来巨大经济损失和信誉损失,使公众对其失去信任。第五十五条各单位应当与资金来源合法且声誉良好的客户、中介机构及商业伙伴等进行经营来往。第五十六条各单位应当鼓励员工在怀疑客户、中介机构及商业伙伴存在洗钱行为时自觉履行报告义务,报告前无需先行确认该项业务是否是洗钱行为。各单位应当告知员工,任何员工无权阻碍或者干扰其他员工依法履行报告的职责。除非为配合执法部门的工作,员工报告的内容应当对第三方及被怀疑人严格保密。第六节遵守出口管制和贸易制裁规定义务第五十七条出口管制是指一国政府通过建立一系列审查、限制和控制机制,以直接或间接的方式防止本国限定的商品或技术通过各种途径流通或扩散至目标国家,从而保护本国的安全、外交和经济利益的行为。在中国,出口管制通常是指中国政府对从中国境内向境外转移管制物项以及中国公民、法人及其他组织向外国公民、法人及其他组织提供管制物项的行为所采取的禁止或限制性措施。因为集团业务遍及海内外,因此集团不仅受中国出口管制法律的管辖,还有可能受其他国家出口管制法律的管辖。第五十八条美国政府对出口管制的管辖权宽泛,调查手段隐蔽,制裁措施严厉。美国的出口管制主要涉及用于军事目的的装备、专用物资、技术的出口管制和商业出口管制。第五十九条欧盟不同成员国的出口管制制度差异较大,敏感物品的出口许可标准、许可范围、许可程序等方面均不相同,出口商因此面临较大的不确定性。第六十条违反出口管制的出口商或者贸易伙伴可能遭受实施出口管制国家的制裁,制裁对象还可能包括个人或者国家。制裁的方式包括行政处罚、刑事处罚(比如美国法下的刑事罚款)等。第六十一条贸易制裁是一国或数国政府通过法令对另一国采取强硬措施,以断绝相互之间的经济和贸易关系的行为。贸易制裁是国家执行对外政策的一种工具。基于外交政策和国家安全的目标,一国政府可持续对某些国家、个人、团体和实体采取贸易制裁。目前实施贸易制裁措施较多的是美国和欧盟。第六十二条目前美国政府采取的贸易制裁措施主要有:(一)全面制裁:这些制裁几乎禁止所有“美国人”(包括个人及实体)与受全面制裁的国家或地区的直接或间接的交易往来,包括与位于或设立在这些司法辖区内的政府和非政府主体之间的交易往来;(二)不完全制裁:主要集中在限制或禁止特定"美国人''与受限主体之间的交易;(三)针对特定目标的名单制制裁措施:如从事特定非法行为的特定个人、团体和实体(例如:恐怖主义,毒品走私,大规模杀伤性武器扩散活动及海外逃避制裁者)。第六十三条作为非美国主体“导致”被禁止的交易全部或部分在美国发生,则都有可能受到美国制裁措施下的处罚与责任,而无论其位于何处。最有可能“导致”违反美国制裁规定的情形,是支付或接受与受全面制裁的国家或受限方有关的美元款项,或为该等交易之目的向美国或“美国人”采购货物。第六十四条欧盟的制裁通常包括适用于特定国家、人员、物品或最终用途的限制,从有限到全面制裁,制裁措施的性质和范围会根据不同情形而有所不同。欧盟的制裁措施很大程度上与欧盟出口管制措施重合,即对某些物品或技术,包括军用及两用物品/技术的跨境流动管制。欧盟针对服务及活动的制裁更广泛。第六十五条欧盟的制裁措施通过欧盟的决议和规定对所有成员国发生效力,并由欧盟成员国具体执行。第六十六条各单位应当根据实际情况,有针对性地建立出口管制和贸易制裁相关的完整有效的合规管理体系,减少违规风险,在企业因涉嫌违规而被调查或处罚时,降低被处罚风险。涉及美国出口管制的单位,应当根据美国商务部工业与安全局(BIS)出口服务办公室出口管制和合规部门的出口管理和合规计划(EMCP)整理的出口合规九要素(即:管理层承诺、风险评估、合规准则、合规培训、出口合规筛查、记录、审计、报告、纠错)建立合规管理体系。第七节商业伙伴合规义务第六十七条商业伙伴是指销售产品或服务的任何一方,以及提供产品或服务的任何一方。优质的商业伙伴对企业的持续健康发展至关重要。各单位应充分了解商业伙伴,并建立相适应的合规标准与道德要求。第六十八条各单位应当密切关注商业伙伴的资信状况,做好尽职调查工作,包括但不限于:(一)确保商业伙伴所提供的企业资料完整真实,包括企业的注册登记情况、股权结构、人力资源、行业声誉、经营业绩、以往信用等情况,必要时可以要求商业伙伴提供必要的财务资料。(二)保留要求商业伙伴配合检查和审计的权利。(三)密切注意有关商业伙伴的媒体报道,如有其不良报道,可以通过加强沟通来了解具体情况,必要时展开相应的调查。第六十九条各单位应当向商业伙伴传递、宣贯XX集团的合规理念、合规要求和合规文化,要求商业伙伴尊重和理解XX集团的对商业伙伴的合规管理要求,并要求商业伙伴遵守本合规手册中涉及商业伙伴的相关内容。第七十条各单位可以与商业伙伴互相交流合规管理经验,共同提高合规管理水平。第七十一条各单位应当在合同中设定合规条款,要求商业伙伴予以遵守。第七十二条必要时,各单位可以制定商业伙伴行为准则,适用于相关单位的所有商业伙伴及其员工、临时雇员、代理商和分包商等。第八节财务报告真实准确和上市公司信息披露义务第七十三条各单位编制财务会计报告,应当根据真实的交易、事项以及完整、准确的账簿记录等资料,并按照所适用的会计制度规定的编制基础、编制依据、编制原则和方法,做到数字真实、计算准确、内容完整、说明清楚。第七十四条集团下属各上市公司应当遵守中国及其他相关国家证券及证券交易法的有关规定,及时履行对股东和市场的信息披露义务,对于披露的信息应当做到及时、真实、准确、完整,相关文件应当按照规定登记备案。集团下属各上市公司还应当积极地接受和配合监管部门的实地抽查,主动提供完整的数据资料,协助监管部门开展监管工作。第九节环境保护义务第七十五条各单位应当主动履行环境保护义务,落实遵守环境保护法律法规的主体责任,及时采取有效措施防止污染和危害。各单位可以通过宣传教育或参与社会活动等各种方式提高员工环境保护意识。第七十六条各单位应当遵守中国及相关国家环保法律法规,树立环保合规管理意识。产生环境污染的单位应当开展环境保护工作计划,建立相关的环境保护责任制度。排放污染物的单位应当按照国务院环境保护行政主管部门的规定申报登记及/或履行中国和其他国家所规定的申报登记规定。生产、储存、运输有毒化学物品和含有放射性物质物品的单位应当遵守国家有关规定,防止污染环境。第七十七条各单位在建设或改造项目时,应当依照相关规定进行环境影响评价,防止污染环境和破坏生态。第十节数据保护和信息安全义务第七十八条数据保护(数据安全保护)是指采取相应的硬件和软件系统保护企业的各种敏感数据文档(包括设计文档、设计图纸源代码、营销方案、财务报表及其他各种涉及国家机密、商业秘密、重要数据的文档)不受破坏、窃取、盗用、滥用及其他不法行为的侵害。为确保数据安全,各单位应当统筹规划数据保护系统的发展建设,设立各层次、各领域、各行业的数据安全保护制度,加强数据应用过程的数据安全和信息保障。第七十九条数据保护的措施包括但不限于:(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;(二)制定内部安全管理制度和操作规程,严格身份认证和权限管理;(三)采取技术措施,监测、记录网络运行状态、网络安全事件,并留存相关网络日志;(四)采取数据分类、重要数据备份和加密认证等措施;(五)建立健全关键信息基础设施安全监测评估制度,信息安全维护部门对可能存在的风险隐患及时检测评估,对发现的问题及时整改,并将有关情况报送上级部门和主管单位;(六)在境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家有关个人信息和重要数据出境安全评估管理的法律法规进行评估;(七)定期对从业人员进行网络安全教育、技术培训和技能考核,对关键岗位专业技术人员应定期组织培训和测评;(八)制定网络安全事件应急预案,并定期进行演练;(九)建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全和数据保护的投诉和举报,有关主管部门责令改正,给予警告,制定惩处措施;(十)与第三方数据储存商合作时,应确保其有行业内标准的数据保护机制和制度。第八十条各单位人员在采集和管理信息数据时:(一)不得窃取个人信息,不得发布禁止发布的信息;(二)任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、法规禁止发布或者传输的信息;(三)属于禁止发布或者传输的信息内容,应当立即停止传输该信息,采取消除等处置措施,防止信息继续扩散,保存有关记录,并向有关主管部门报告;(四)网络运营人员不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息;(五)禁止私自下载和转移重要的个人信息和企业数据至个人移动数据传输设备;(六)禁止重要信息数据随意出境,未经个人信息主体同意或可能侵害个人利益的个人信息,可能影响国家安全、损害公共利益、影响集团信息安全的信息不得随意出境;(七)不得从事其他集团和本单位有关数据保护和信息管理规章制度禁止的行为。第四章员工行为准则第一节忠诚义务第八十一条员工应当履行对集团及本单位的忠诚义务,以促进集团及本单位发展、维护集团及本单位的良好声誉为己任,不从事任何损害集团及本单位声誉和利益的行为。第八十二条员工应当遵守国家的法律法规,遵守集团及本单位的规章制度,遵守劳动纪律和职业道德。员工应当勤勉尽责,按时完成单位及其上级主管交办的工作任务,并自觉接受上级领导的管理,定期接受单位工作考评。第八十三条员工应当向单位如实提供与工作相关的个人基本资料、从业经历等信息。第八十四条员工应当遵守竞业禁止规定,在任职期间及离职后的一段时间内不得从事以下产生利益冲突的业务或活动:(一)自己经营或者为他人经营与本单位同类的业务;(二)作为供应商或经销商与本单位直接或间接交易而不向本单位坦诚披露;(三)从事其他有损集团和本单位利益的活动。违反竞业禁止情节严重时,可能构成非法经营同类营业罪(例如:国有公司、企业的董事、经理利用职务便利,自己经营或者为他人经营与其所任职公司、企业同类的营业,获取非法利益)。第八十五条员工应当正确处理与集团及本单位的利益关系,避免个人利益与企业利益发生冲突的以下行为:(一)参与或协助任何与本单位相竞争的活动;(二)投资与本单位存在竞争关系的非上市公司;(三)在与本单位存在竞争关系的单位兼任职务或为其提供帮助;(四)在不向本单位进行披露的情况下直接或者间接地作为供应商或者经销商与本单位交易。第二节维护企业财产义务第八十六条企业财产包括有形财产和无形财产。有形财产包括资金、资源、产品、设备(包括移动设备和计算机)、装置、厂房等一切生产要素。无形财产包括专利权、商标权、著作权、商业秘密、域名等。第八十七条员工应当以负责、勤勉的方式处理、使用本单位财产,不得私用、滥用、侵占、擅自处置本单位财产。员工应当主动向单位有关部门报告老化设备或容易损坏的物件,避免损坏本单位财产。未经有权部门明确许可,员工不得将本单位财产从该财产所适应的办公场所移走,但便携式计算机和移动设备除外。第八十八条知识产权等无形财产是企业最有竞争价值的资产之一,员工应当保护和尊重XX集团无形财产,并防止他人侵害。第三节保密义务第八十九条保密信息是指不为公众所知、能为单位带来经济利益,经单位采取保密措施的技术信息和经营信息。包括但不限于客户信息、供应商信息、产品开发信息、质量信息、关键人事信息、财务信息,及任何凡扩散可能导致单位利益受损的信息。第九十条集团商业秘密,是指企业经营活动中不需为公众所知悉、对企业经营和经济利益具有重大影响需采取保密措施予以保护的经营信息和技术信息集团商业秘密范围:集团未公开的经营战略、策略,未公开的经营规划、经营计划、重要投融资经营决策和方案及收并购重组信息;谈判方案;不宜公开的对外投资项目;项目招投标标的;集团内部掌握的合同、协议、意向书、可行性报告及重要会议纪要;技术类知识产权;不宜对外的员工收入分配方案;其它根据经营需要确定的保密事项。第九十一条员工应当遵守XX集团保密规定及本单位保密相关的制度,履行保守国家秘密和集团商业秘密、保护集团和本单位保密信息的义务,应当依据法律法规、规章制度及合同要求,对客户的相关保密信息予以保密。员工与本单位的劳动关系终止之后,该项义务仍然有效。第九十二条对外提供保密信息前,员工应当严格遵照相关的管理流程。第九十三条在员工离职时,必须交出所有保密文件,不得抄录备份,更不得带去其他公司任职。第九十四条员工未经批准和授权,不得擅自向第三人披露集团及下属单位信息,包括技术信息、商业信息、业务信息和人事信息等。员工若发现泄密事件及隐患,应当及时阻止和报告,以便单位采取相关措施减少损失。第四节反腐败义务第九十五条全体员工尤其是管理人员应当以身作则,坚决抵制腐败行为。第九十六条全体员工尤其是管理人员不得有以下行为:(一)滥用职权,侵害国有资产权益;(二)利用职权谋取私利以及损害集团、本单位或下属单位利益;(三)擅自挪用、侵占、侵吞单位财产或者收受贿赂;(四)利用职务之便将集团及下属单位利益输送给自己或其他第三人。第九十七条全体员工尤其是管理人员应当正确行使职权,防止可能侵害公共利益、企业利益行为的发生,不得有下列行为:(一)利用职权为本人配偶、子女及其他特定关系人谋取职位或者经济利益,或为上述人员从事营利性活动提供便利条件;(二)与本人配偶、子女及其他特定关系人经营的企业发生可能损害单位经济利益的业务往来。本条中特定关系人,是指与员工有近亲属以及其他共同利益关系的人。第九十八条全体员工尤其是管理人员应当勤俭节约,不得有违反规定的职务消费以及奢侈浪费行为。对于有关商务礼节下的经济往来,员工应当严格执行集团及本单位规章制度中相关规定。第五节不得内幕交易义务第九十九条内幕交易是指掌握公司内幕信息的知情人和以不正当手段获取内幕信息的其它人员违反法律法规的规定,利用内幕信息进行交易的一种行为。第一百条内幕信息是指涉及公司的经营、财务、人事或者对公司的发展和价值或上市公司证券的市场供求有重大影响的尚未公开的信息。内幕信息应具备重大性和非公开性。参照中华人民共和