ISO37301 合规管理体系要求及使用指南
合规管理体系要求及使用指南
1 范围
本文件规定了组织建立、开发、实施、评估、维护和改进有效合规管理体系的要求和使用指南。
本文件适用于所有类型的组织,不论其组织形式、规模、性质,也不论其是公共、私营或非营利部门。
在组织没有设置独立合规管理机构的情况下,本文件中规定适用于管理机构的全部要求适用于最高管理层。
2 引用标准
本文件无任何引用标准。
3 术语和定义
下列术语和定义为本文件所适用。
以下网址是ISO和IEC为术语标准化建立的数据库:
——ISO 在线浏览平台:网址 https://www.iso.Org/obp
——IEC电子百科:网址http://www.Electropedia.Org/
3.1组织 Organization
为实现目标(3.6),由职责、权限和相互关系构成自身功能的一个人或一组人。
注1:组织的概念包括但不限于个体经营者、公司、集团、商行、企事业单位、权力机构、合伙企业、慈善机构或研究机构,或上述组织的部分或组合体,无论是否为法人,公有或私有。
注2:如果组织是较大实体的一部分,则“组织”仅指较大实体在合规管理体系范围内的部分。
3.2 相关方(优先术语)interested party
利益相关方(许用术语)
能影响、被影响或认为自己受到某个决定或活动影响的个人或组织(3.1)。
3.3 高管理层 Top management
在最高层指挥和控制组织(3.1)的一个人或一组人。
注1:最高管理层在组织中拥有授权和提供资源的权力。
注2:若管理管理体系范围(3.4)仅覆盖组织的一部分,则最高管理层是指那些指挥和控制组织该部分的人员。
注3:本文件中,“最高管理层”是指最高级别的执行管理层。
3.4 管理体系 Management system
组织(3.1)建立方针(3.5)和目标(3.6)以及实现这些目标的过程(3.8)的相互关联或相互作用的一组要素。
注1:一个管理体系可能涉及一个或多个方面。
注2:管理体系要素包括组织的结构、角色和职责、策划、运行等。
3.5 方针 Policy
由最高管理层(3.3)正式发布的组织(3.1)的宗旨和方向。
注:方针也可由组织的治理机构(3.21)正式发布。
3.6 目标 Objective
要实现的结果。
注1:目标可以是战略的、战术的,或操作层面的。
注2:目标可能涉及不同方面(如财务、健康与安全、环境),也可以是不同层面,例如,它可以是整个组织层面、某个项目层面、产品、服务或过程(3.8)。
注3:目标可用其他方式表述,如预期结果、目的、操作准则作为合规(3.26)目标,或使用具有相似含义的其他词汇。
注4:在合规管理体系中,合规目标由组织确定,与合规方针保持一致,以实现特定的结果。
合规目标是组织(3.1)确定的与合规方针(3.5)保持一致,以实现合规管理体系(3.4)特定的结果。
3.7 风险 Risk
不确定性对目标的影响(3.6).
注1:影响是指偏离预期,可以是正向的或反向的。
注2:不确定性是一种状态,是指对某事件、其后果或其发生的可能性缺乏(包括部分缺乏)信息、理解或知识。
注3:通常用潜在的“事件”(如ISO指南73中所定义)和“后果”(如果ISO指南73中所定义)或二者的组合来描述风险的特征。
注4:通常用“事件”、“后果”(包括环境的变化)和事件发生的“可能性”(如ISO指南73中所定义)的组合来表示风险。
3.8 过程 Process
将输入进行利用或转化为某一结果的一系列相互关联或作用的活动。
注:根据具体语境,某一过程的结果可称为输出、产品或服务。
3.9 能力 Competence
运用知识和技能获得预期结果的本领。
3.10 文件化信息 Documented in formation
组织(3.1)需要控制并保持的信息及信息载体。
注1:文件化信息可能以任何形式和载体存在,来自任何方面。
注2:文件化信息可能涉及:
包括相关过程(3.8)的管理体系(3.4);
为组织运行而产生的信息(文件);
已实现结果的证据(记录)。
3.11 绩效 Performance
可衡量的结果。
注1:绩效可能与定量或定性的结果相关。
注2:绩效可能与活动、过程(3.8)、产品、服务、体系或组织(3.1)的管理有关。
3.12 持续改进 Continual improvement
提升绩效(3.11)的循环活动或过程。
3.13 有效性 Effectiveness
策划活动的程度和策划结果实现的程度。
3.14 要求 Requirement
明示的、通常隐含的必须满足的需要或期望。
注1:“通常隐含”是指那些对组织(3.1)和相关方(3.2)的需要或期望不言而喻的惯例或习惯。
注2:明确要求是指以文件化信息等形式公布的要求。
3.15 合格 Conformity
满足管理体系要求(3.14)。
3.16 不合格 Nonconformity
不满足要求(3.14)。
注:不合格不一定是不合规(3.16)。
3.17 纠正措施 Corrective action
消除不合格(3.16)原因并预防其再次发生所采取的行动。
3.18 审核 Audit
系统、独立地获取审核证据并予以客观评价,以确定审核准则满足程度的过程(3.8)。
注1:审核可以是内部审核(第一方)或外部审核【第二方或第三方(3.30)】,也可以是结合审核(结合两个或多个领域)。
注2:内部审核由组织自身进行,或组织委托的外部人员进行。
注3:“审核证据”和“审核准则”的定义见ISO 19011。
注4:独立性是指与正在被审核的活动无责任关系、无偏见和利益冲突。
3.19 测量 Measurement
确定数值的过程(3.8)。
3.20 监视 Monitoring
确定体系、过程(3.8)或活动的状态。
注:为确定状态可能需要进行检查、监督或密切观察。
3.21 治理机构 Governing body
对组织(3.1)的活动、治理、方针(3.5)享有权力并承担最终责任的一个人或一组人,最高管理层(3.3)向其报告,并对其负责。
注1:并不是所有的组织,尤其是小型组织,都会有一个独立于最高管理层的治理机构。
注2:治理机构可包括但不限于董事会、董事会委员会、监事会或其受托人。
3.22 人员 Personnel
在法律或实践中被确认为具备工作关系的个人,或依赖于组织(3.1)活动的任何合同关系中的个人。
3.23 合规职能部门 Compliance function
对合规(3.26)管理体系(3.4)运行享有的权力、承担责任一个人或一组人。
注:指定一个人负责合规管理体系监督是合适的。
3.24 合规风险 Compliance risk
因不符合组织(3.1)合规义务(3.25)而发生不合规(3.27)的可能性和后果。
3.25 合规义务 Compliance obligations
组织(3.1)必须遵守的要求(3.14),及其自愿选择遵守的要求。
3.26 合规 Compliance
履行组织(3.1)的全部合规义务(3.25)。
3.27 不合规 Noncompliance
不履行合规义务(3.25)。
3.28 合规文化 Compliance culture
整个组织(3.1)的价值观、道德准则、信仰和行为(3.29),并与组织结构和控制系统相互作用,产生有利于合规(3.26)的行为规范。
3.29 行为 Conduct
结果影响客户、员工、供应商、市场和社区的行为和做法。
3.30 第三方 Third party
独立于组织(3.1)的个人或团体。
注:所有业务伙伴都是第三方,但并非所有第三方都是业务伙伴。
3.31 程序 Procedure
规定从事某项活动的方法或过程(3.8)。
4 组织环境 Context of the organization
4.1 理解组织及其环境 Understanding the organization and its context
组织应确定与其目标相关、影响其实现合规管理体系预期结果能力的内部和外部因素。
为此,组织应广泛考虑各种因素,包括但不限于:
——商业模式,包括组织活动和运营的战略、性质、规模、层次上的复杂性和可持续性;
——与第三方业务合作的性质和范围;
——法律和法规的要求;
——经济环境;
——社会、文化和环境因素;
——内部组织架构、方针、过程、程序、资源,包括技术;
——自身的合规文化。
4.2 理解利益相关方的需求和期望 Understanding the needs and expectations of interested parties
组织应确定:
——与合规管理体系有关的相关方;
——上述相关方的要求;
——合规管理体系将处理上述哪些要求。
4.3 确定合规管理体系范围 Determining the scope of the compliance management system
组织应确定合规管理体系的边界及合规管理体系对确定范围的适应性。
注:合规管理体系的范围旨在明确组织面临的主要合规风险,以及合规管理体系将适用的地理或组织边界,或两者边界,尤其组织是较大实体的一部分时。
确定范围时,组织应考虑:
——4.1提及的内部和外部因素;
——4.2、4.5和4.6提及的要求。
合规体系范围应形成文件化信息。
4.4 合规管理体系 Compliance management system
组织应建立、实施、维持并持续改进合规管理体系,包括程序及其相互关系,以符合本文件要求。
合规管理体系应反映组织价值观、目标、战略和合规风险,考虑组织环境(参见4.1)。
4.5 合规义务 Compliance obligation
组织应系统识别来自于其活动、产品和服务的合规义务,并评估其对运营所产生的影响。
组织应建立程序以:
a)识别新增和变化的合规义务,以保证持续合规;
b)评估已识别的义务变化所产生的影响,并对合规义务管理进行必要的调整。
组织应保持合规义务文件化信息。
4.6 合规风险评估 Compliance risk assessment
组织应通过合规风险评估,识别、分析和评价其合规风险。
组织应将其合规义务与活动、产品、服务以及运营的相关方面联系起来,以识别合规风险。
组织应评估外包和第三方程序相关的合规风险。
组织应定期评估合规风险,并在情势或组织环境发生变化时重新评价。
组织应保持合规风险评估和应对的文件化信息。
5 领导作用 Leadership
5.1 领导作用与承诺 Leadership and commitment
5.1.1 治理机构和最高管理层
治理机构和最高管理层应通过以下方式展现其对合规管理体系的领导作用和承诺:
——确保制定与组织战略方向相一致的合规方针与合规目标;
——确保合规管理体系要求融入组织的业务流程;
——确保配置合规管理体系所需的资源;
——就有效合规管理的重要性和合规管理体系要求符合性进行沟通;
——指导、支持员工为有效合规管理体系作出贡献;
——促进持续改进;
——支持其他相关管理人员在其职责范围内展现其领导作用。
注:本文件中提及的“业务”可广义地解释为对组织发展目标产生重要影响的活动。
治理机构和最高管理层应:
——确立和坚持组织的核心价值观;
——确保制定并实施方针、过程和程序,以实现合规目标;
——确保合规事项能够及时向其通报,包括不合规情况,并采取适当措施;
——确保遵守合规承诺,并妥善处理不合规事项和违规行为;
——确保合规责任在工作职责中充分体现;
——任命或提名合规职能部门(参见5.3.2);
——确保根据8.3建立了举报查处制度。
5.1.2 合规文化 Compliance culture
组织应在其各个层级推行、维持、提升合规文化。
治理机构、最高管理层和其他管理层应宣示其对组织所作有关共同行为准则的积极、可见、一致且持续的承诺。
最高管理层应鼓励、促进、支持合规行为,防范且不容忍损害合规的行为。
5.1.3 合规治理 Compliance governance
治理机构和最高管理层应确保下列原则得到实施:
——合规职能部门可以直接接触治理机构;
——合规职能部门的独立性;
——合规职能部门适当的职责和权限。
注1:直接接触包括:直接向治理机构汇报,定期提交报告,参加治理机构会议。
注2:独立性是指合规职能不受任何不当干扰、施压。
5.2 合规方针 Compliance policy
治理机构和最高管理层应建立符合以下要求的合规方针:
a)适合于组织宗旨;
b)为合规目标提供框架;
c)满足适用要求的承诺;
d)包括持续改进合规管理体系的承诺。
合规方针应:
——与组织的价值观、目标和战略保持一致;
——必须符合组织的合规义务;
——根据5.1.3支持合规治理原则;
——明确并阐述合规职能部门;
——明确不遵守组织合规义务、方针、过程和程序的后果;
——鼓励举报并禁止任何形式的报复;
——使用通俗易懂的语言,易于所有人理解其原则和意图;
——易于实施和执行;
——为可获取的文件化信息;
——在组织内部沟通;
——适当时相关方可以获取。
5.3 岗位、责职和权限 Roles, responsibilities and authorities
5.3.1 治理机构和最高管理层 Governing body and top management
治理机构和最高管理层应确保在组织内分配和沟通相关岗位的职责和权限。
治理机构和最高管理层分配职责和权限,以:
a)确保合规管理体系符合本文件的要求;
b)向治理机构和最高管理层报告合规管理体系的绩效。
治理机构应:
确保最高管理层的管理绩效可以根据合规目标的实现程度进行衡量;
对最高管理层运行合规管理体系的情况进行监督。
最高管理层应:
——为建立、开发、实施、评估、维持和改进合规管理体系配置足够、适当的资源;
——确保建立及时有效的合规绩效报告制度;
——确保战略和运营目标与合规义务相协调;
——建立和维护问责机制,包括纪律处分和后果;
——确保合规绩效与人员绩效考核挂钩。
5.3.2 合规职能部门 Compliance function
合规职能部门应负责合规管理体系的运行,包括:
——促进识别合规义务;
——合规风险评估文件化(参见4.6);
——使合规管理体系与合规目标保持一致;
——监视、测量合规绩效;
——分析、评估合规管理体系的绩效,以决定是否需要采取纠正措施;
——建立合规报告和记录制度;
——确保按计划期限对合规管理体系进行评审;
——建立举报制度并确保进行查处。
合规职能部门应监督:
——履行已识别的合规义务的职责在整个组织内适当分配;
——合规义务纳入方针、过程和程序;
——所有相关人员按要求接受培训;
——建立合规绩效指标。
合规职能部门还应:
——向相关人员提供与合规方针、过程、程序有关的资源;
——就合规相关事项向组织提供建议。
注:合规职能部门的具体职责并不会因此减免其他人员的合规责任。
组织应确保合规职能部门能够:
——接触高级决策者,并有机会在早期决策过程中提供建议;
——接触组织所有层级;
——获取所需要的人员、文件化信息和数据;
——获得专家就法律、法规、规范和组织标准相关建议。
5.3.3 管理层 Management
管理层应通过以下方式对其职责范围内的合规工作负责:
——配合、支持合规职能部门,并鼓励员工共同参与;
——确保其管理范围内的所有人员都遵守组织的合规义务、方针、过程和程序;
——识别其运营中的合规风险并进行沟通;
——在其职责范围内将合规义务融入现有的业务运行和程序中;
——参加、协助合规培训活动;
——培养员工合规意识,指导他们满足培训和能力要求;
——鼓励、支持员工合规举报,防止任何形式的报复;
——根据要求积极参与合规相关事件和问题的管理、处理;
——一旦需要采取纠正措施,应建议并采取适当措施。
5.3.4 员工 Personnel
所有员工应:
——遵守组织的合规义务、方针、过程和程序;
——报告合规事件、问题和漏洞;
——按要求参加培训。
6 策划 Planning
6.1 合规风险和机遇的应对措施 Actions to address risks and opportunities
进行合规管理体系策划时,组织应考虑4.1中提到的因素和4.2中提到的要求,并确定需要应对的风险和机遇:
——确保合规管理体系能够达到预期的结果;
——防止或减少非预期的影响;
——持续改进。
在策划合规管理体系时,组织应考虑:
——合规目标(参见6.2);
——经识别的合规义务(参见4.5);
——合规风险评估结果(参见4.6);
组织应策划:
a)应对这些风险和机遇的措施;
b)如何:
1)将措施整合到合规管理体系过程中并予实施;
2)评估这些措施的有效性。
6.2 合规目标与实现 Compliance objectives and planning to achieve them
组织应对相关部门和层级设立合规目标。
合规目标应:
a)符合合规方针;
b)可测量(可行时);
c)考虑适用要求;
d)得到监视;
e)沟通;
f)及时更新;
g)能提供文件化信息。
在策划如何实现其合规目标时,组织应确定:
——要做什么;
——需要什么资源;
——由谁负责;
——何时完成;
——如何评估结果。
6.3 策划变更 Planning of changes
当组织确定需要变更合规管理体系时,应按策划方案实施。
7 支持 Support
7.1 资源 Resources
组织应确定并提供建立、实施、维持和改进合规管理体系所需要的资源。
7.2 能力 Competence
7.2.1 一般要求 General
组织应:
——确定对合规绩效有影响的人员应具备的能力;
——确保这些人员经适当教育、培训,或者经验能够胜任工作;
——采取措施让他们能够获得所需能力,并评估措施的有效性。
——应有可获取的适当文件化信息证明胜任;
注:适用的措施可能包括:对现有人员进行培训、指导或重新安排适当工作;雇佣、聘用能胜任的人员等。
7.2.2 雇佣程序 Employment process
组织应开发、建立、实施并维持以下与全体员工相关的过程:
a)将遵守组织合规义务、方针、过程和程序作为雇佣条件;
b)新入职人员能及时获得合规方针或提供获取合规方针的路径,并对其进行合规方针方面的培训。
c)对违反组织合规义务、方针、流程和程序的人员采取相应纪律处分。
组织应考虑岗位和人员可能导致合规风险,在任何雇佣、调动和晋升前按要求进行尽职调查。
组织应对合规目标、绩效奖和其他激励措施进行定期评审,以验证预防不合规行为的措施是否适当。
7.2.3 培训 Training
组织应在雇佣时以及按定期培训计划的时间对有关人员进行培训。
培训应:
a)与人员职责和其面临的合规风险相适应;
b)进行有效性评估;
c)进行定期评审。
基于已识别合规风险,采取措施提升被授权的第三方或可能带来合规风险的第三方合规意识,进行合规培训。
培训记录应作为文件化信息保留。
7.3 意识 Awareness
组织控制下的工作人员应清楚:
——合规方针;
——对合规管理体系有效性的贡献,包括提升合规绩效的益处;
——不符合合规管理要求的后果;
——合规举报方法和程序(参见8.3);
——合规方针与岗位合规义务的关系;
——支持合规文化的重要性。
7.4 沟通 Communication
组织应明确与合规管理体系相关的内部和外部沟通要求,包括:
a)沟通的内容;
b)沟通的时间;
c)沟通的对象;
d)沟通的方式。
组织应:
——考虑沟通需要的多样化方式和潜在障碍;
——确保建立能够考虑第三方意见的沟通程序;
——在沟通过程中:应将合规文化、合规目标和义务纳入沟通内容,并确保沟通的合规信息来自合规管理体系,真实可靠;
——对与合规管理体系相关的沟通内容进行回应;
——保留适当的文件化信息作为沟通的证据;
——在组织各个层级和部门内部沟通与合规管理体系有关的信息,包括合规管理体系的变化(酌情);
——确保沟通过程有助于相关人员为合规管理体系持续改进做出贡献;
——确保沟通过程有助于相关人员举报违规(参见8.3);
——组织建立的沟通过程中与合规管理体系相关的外部沟通,包括合规文化、合规目标和义务方面的信息。
7.5 文件化信息 Documented information
7.5.1 一般要求 General
组织的合规管理体系应包括:
a)本文件要求的文件化信息;
b)为确保合规管理体系有效性所必需的文件化信息。
注:不同组织的合规管理体系文件化信息的复杂程度可能不同,其取决于:
——组织的规模及其活动、过程、产品和服务的类型;
——过程的复杂程度及相互作用;
——人员能力。
7.5.2 创建和更新文件化信息 Creating and updating documented information
创建和更新文件化信息时,组织应确保适当的:
——标识和说明(例如:标题、日期、作者,或编号):
——形式(例如:语言文字、软件版本、图表)和载体(例如:纸质、电子);
——评审和批准,以确保适当性和充分性。
7.5.3 文件化信息的控制 Control of documented information
组织应控制合规管理体系和本文件所要求的文件化信息,以确保:
a)在需要的地点和时间均可获得并运用;
b)得到充分保护(例如:防止泄露、不当使用或完整性受损)。
为控制文件化信息,组织应管理以下活动:
——分发、访问、检索和使用;
——储存和保护,包括保持可读性;
——控制变化(例如:版本控制);
——保留和处置。
组织应确定对合规管理体系策划、运行所需的适当外部最初文件化信息,并予控制。
注:访问可能指仅允许查看文件化信息,或指允许查看并授权更改文件化信息。
8 运行 Operation
8.1 运行策划和控制 Operation planning and control
组织应通过以下方式策划、实施和控制为满足要求以及实施第6条各项措施所必需的过程:
——建立过程准则:
——根据准则对过程实施控制。
必要时文件化信息应能够被获得,以证明过程已按策划实施。
组织应控制计划变更,并对非预期变更的后果进行评估,必要时采取措施降低任何不利影响。
组织应确保与合规管理体系有关的外部过程、产品或服务均得到控制。
注:运营外包不会免除组织的法律责任或合规义务。
组织应确保第三方过程得到控制和监督。
8.2 建立控制及程序 Establishing control and procedures
组织应对其合规义务和相关合规风险实施控制,并对控制措施进行维护、不定期评审和测试,以确保其持续有效。
测试控制指通过有计划的演练测试控制措施是否可行、是否达到预期效果、能否被规避、是否切实有效地降低风险的影响或发生可能性。
8.3 举报 Raising concerns
组织应建立、实施、维持一个鼓励并创造机会对试图、疑似或实际存在的违反合规方针或合规义务的行为(有合理理由相信信息真实的情况下)举报的程序。
该程序应:
——在整个组织内可见、易理解;
——对举报保密;
——接受匿名举报;
——防止举报者受到报复;
——使人们接受举报建议。
组织应确保所有人员了解举报程序及其权利和保护措施,并能够运用相关程序。
8.4 调查过程 Investigation processes
组织应开发、建立、实施并维持对疑似或实际存在的不合规行为的评估、评价、调查和终止的程序。这些程序应确保能公平、公正作出决定。
调查应由无利益冲突的合规管理人员独立进行。
组织应运用调查结果对合规管理体系进行适当的改进。
组织应保留有关调查的文件化信息。
9 绩效评价 Performance evaluation
9.1 监视、测量、分析和评价
9.1.1 一般要求 General
组织应对合规管理体系进行监视,以确保实现合规目标。
组织应确定:
——监视和测量的内容;
——运用监视、测量、分析和评价的方法,以确保结果有效;
——何时实施监视和测量;
——何时对监视和测量的结果进行分析和评价;
组织应保留作为成果证据的文件化信息。
组织应对合规绩效和合规管理体系的有效性进行评价。
9.1.2 合规绩效的反馈信息来源 Sources of feedback on compliance performance
组织应建立、实施、评价和维持寻求并接收各种合规绩效反馈信息的程序,并对信息进行分析和严格评估以确定不合规的根本原因,确保采取适当措施,并将该信息纳入4.6条要求的定期风险评估中。
9.1.3 监测指标的制定 Development of indicators
组织应制定、实施并维持一套适当的监测指标,以有助于组织评估其合规目标的实现程度和合规绩效。
9.1.4 合规报告 Compliance reporting
组织应建立、实施、维持合规报告程序,以确保:
a)明确适当的报告准则;
b)明确的报告周期;
c)建立非常规报告系统以便于临时报告;
d)实施保证信息准确性、完整性的机制和程序;
e)合规职能部门向治理机构或最高管理层提交的任何报告均应受到充分保护,以防止被修改。
9.1.5 保存记录 Record-keeping
组织应保存合规管理活动准确、适时的记录,以有助于监视和评审,以及证明合规管理体系的符合性。
9.2 内部审核 Internal audit
组织应按计划周期进行内部审核,以提供信息说明合规管理体系是否:
a)符合组织自身对其合规管理体系的要求和本文件的要求;
b)得到有效实施和维持。
9.2.2 内部审核方案 Internal audit program
组织应策划、建立、实施和维持一个或多个包括频次、方法、职责、策划要求和报告的审核方案。
组织在制定内部审核方案时,应考虑相关过程的重要性和以往审核的结果。
组织应:
a)确定每次审核的目标、准则和范围;
b)选择审核员并指导审核,以确保审核过程客观、公正;
c)确保向相关管理者和管理层报告审核结果。
注1:相关管理层可包括合规职能部门、最高管理层和治理机构。
保留文件化信息作为实施审核方案和审核结果的证据。
注2:管理体系审核指南参见ISO 19011。
9.3 管理评审 Management review
9.3.1 一般要求 General
治理机构和最高管理层应按计划周期对组织的合规管理体系进行评审,以确保其维持适当、充分和有效。
9.3.2 管理评审输入 Management review inputs
管理评审应包括:
a)此前管理评审提出的改进措施实施情况;
b)与合规管理体系相关的外部和内部因素的变化;
c)与合规管理体系相关的利益相关方需求和期望的变化;
d)合规绩效信息,包括以下方面:
不合格、不合规和纠正措施;
监视和测量结果;
审核结果;
e)持续改进的机会。
管理评审应考虑:
——合规方针的充分性;
——合规职能的独立性;
——合规目标的实现程度;
——资源充分性;
——合规风险评估的充分性;
——现有控制措施和绩效指标的有效性;
——与举报人、相关方沟通情况,包括反馈(参见9.1.2)和投诉。
——调查(参见8.4);
——报告机制的有效性。
9.3.3 管理评审的结果 Management review results
管理评审的结果应包括有关持续改进机会的决定,以及有关合规管理体系改进要求。
评审文件化信息应保留以作为管理评审成果的证据。
10 改进 Improvement
10.1 持续改进 Continual improvement
组织应持续改进合规管理体系的适当性、充分性和有效性。
10.2 不合格和纠正措施 Nonconformity and corrective action
当发现不合格或不合规时,组织应:
a)对不合格或不合规作出以下反应:
1)采取措施控制并纠正;
2)对后果进行处理;
b)就以下方面进行评估确定采取消除不合格、不合规原因行动的必要性,以防止其再次发生或在其他场合发生:
1)对不合格、不合规进行审查;
2)确定导致不合格、不合规的原因;
3)确定是否有类似不合格、不合规,或发生可能性;
c)采取任何必要措施;
d)评审所采取纠正措施的有效性;
e)必要时,对合规管理体系进行改进。
纠正措施应与不合格、不合规的影响相适应。
组织应保留文件化信息以证明:
——不合格、不合规的性质和采取的所有后续措施;
——所有纠正措施的成果。
附件A
使用指南
A.1 背景和范围 Background and Scope
A.1.1 总则 General
本指南旨在说明组织在实施其合规管理体系时可以采取方法和类型,它不是全面的或规范性文件,组织也没有义务实施本指南中的所有建议以建立符合本文件要求的合规管理体系。组织所采取的措施与其为了遵守合规义务而面临的合规风险的范围和性质来说应当是适当的。
组织可以选择将此合规管理体系作为一个独立的体系来实施,然而,理想的是它与其他管理体系(如风险、反贿赂、质量、环境、信息安全和社会责任等)共同实施。对此,组织可以参考ISO31000、ISO37001、ISO9001、ISO14001和ISO/IEC27001、以及ISO26000。
A.1.2 范围 Scope
任何规模、复杂程度、行业的组织都可根据本文件要求建立自己的合规管理体系,以帮助组织理解自己的环境、业务运行、义务和合规风险,采取适当措施以满足义务要求。本文件每一要求应被遵循,不过,本指南仅为推荐适用。
实践中,小型组织因为不那么复杂,通常更容易实施符合本文件要求的合规管理体系,中小型组织可以按照本文件要求的原则加强合规管理。
本文件涉及治理机构和最高管理层,其定义用于不同部分和语境中。在了解本文件术语意图的情况下,可供所有组织使用,即使某个组织不使用这些术语。它们可被要求或建议适用于组织顶层具有权力和责任的个人或群体。
A.2 规范性引用文件 Normative reference
本文件并未引用任何规范性文件。使用者可以参考索引中其他信息以及与合规相关的国际标准。
A.3 术语和定义 Terms and definitions
本文件采用了ISO制定的高级结构(HLS),以改善其管理体系国际标准之间的一致性。HLS结构列出了组成ISO管理体系标准(MSS)核心的子句序列、通用术语、定义以及相同的核心文本。这意味着有些定义可以通过非常规方式使用。使用本文件时,所提供的定义可以起到澄清作用。
MSS的这种通用方法增加了此类标准对使用者的价值。它对于选择运行单独的(有时称为“集成”)管理体系的组织更有用。该体系可以同时满足两个或多个管理体系的要求。没有采用MSS或合规管理框架的组织可以采用本文件作为其组织内的独立指南。
有关MSS和HLS结构的更多信息,请访问:https://www.iso.org/managementsystem-standards.html。
A.4 组织背景 Context of the organization
A.4.1 理解组织及其背景 Understanding the organization and its context
本条款的目的是帮助组织对可能影响其合规管理体系的重要问题建立高层次(例如:战略性)的理解。所获得的知识将用于指导合规管理体系的策划、实施、运行和改进。
这是一个审查关于组织的所有可用信息的过程:做了什么、在哪里做的、如何做、为何这么做。评估外部以及关键因素以此确定其会对组织合规义务产生何种影响。
最明显的合规义务产生于组织所处的法律和监管环境之中,但义务风险也可能来自于本文件中提及的其他因素。组织还应考虑到可能产生影响的相关未来趋势。
A.4.2 理解相关方的需求和期望 Understanding the needs and expectations of interested parties
组织应识别可能影响合规管理体系和(或)受合规管理体系影响,以及认为自己受合规管理体系影响的个人和(或)组织的需求和期望。
其中有些需求和期望是强制性的,因为它们已被纳入正式要求,如法律、法规、许可、执照、政府或法院措施。此外还可能有其他未包含的正式要求。
在识别出利益相关方的其他需求和期望后,这些需求和期望就会成为义务,组织可通过签订协议或合同等形式自愿采纳这些需求和期望。一旦被组织采纳,这些需求和期望就会成为合规义务。
外部利益相关方包括:
——政府和政府机构;
——监管机构;
——客户;
——承包商;
——供应商;
——第三方中介机构;
——所有者、股东、投资者;
——非政府组织;
——协会和社区组织;
——商业伙伴;
内部利益相关方包括:
——治理机构;
——管理层;
——员工;
——风险管理、内部控制、内部审核、人力资源等在内部职能部门。
A.4.3 确定合规管理体系的范围 Determining the scope of the compliance management system
确定合规管理体系的范围意味着组织需要为应用该体系设定物理边界和组织界限。对此,组织可以自主、灵活选择在整个组织、内部单位或具体职能部门内实施合规管理体系。
合规管理体系通常在整个组织中实施。如仅在组织内某一团体实施则范围应覆盖整个团体,以避免道德行为和合规产生双重标准。
应在考虑组织面临合规风险性质和程度的基础上,确定合规管理体系范围,范围确定应合理并与组织业务规模相适应。
在确定合规管理体系范围和决定采用哪些要求时,应理解利益相关方的背景和要求。
应在理解相关方需求和期望的前提下,确定合规管理体系范围及明确组织适用的合规要求。如组织确定某些要求不适用其合规管理体系范围,应说明理由。
A.4.4 合规管理体系 Compliance management system
合规管理体系是一个框架,它整合了基本结构、方针、流程和程序,以实惠预期的合规结果,并采取行动防止、发现和应对不合规行为。
通常,合规管理框架提供了一个结构模式,它包含了构建这个体系所必需的基础结构。它需要通过执行方针、过程和程序使其具备可操作性,并需不断维护和改进。
合规管理体系包含许多要素。其中某些要素用于满足预期,某些要求用于防止非预期行为。而某些要求用于监视组织的合规绩效或在发生不合规时提出警告。
合规管理体系可识别发生的错误,并通过相应程序确保做出适当反应。其中,适当反应包括对过程、体系和受影响方实施的补救措施。
合规管理体系应以良好治理、平衡、整体、透明度、责任和可持续等原则为基础。
A.4.5 合规义务 Compliance obligations
组织应将合规义务作为建立、发展、实施、评价、维护和改进其合规管理体系的基础。
组织必须遵守的要求包括:
——法律法规;
——许可、执照或其他形式的授权;
——监管机构的命令、规划或指南;
——法院判决或行政裁决;
——条约、公约和议定书。
——组织自愿选择遵守的要求可以包括:
——与社区团体或非政府组织的协定;
——与公共机构和客户的协议;
——组织要求,如方针、程序;
——自愿原则或行为守则;
——自愿标识或环境承诺;
——基于本组织的合同安排所产生的义务;
——相关组织和行业标准。
组织应按部门、包括职能和不同类型的组织性活动区分合规义务,以确定这些合规义务适用的对象。
获取法律和其他合规义务的变更信息的程序包括:
——相关监管机构的公示清单;
——专业团体成员的信息;
——订阅相关信息服务;
——参加行业论坛和研讨会;
——跟踪监管机构的网站;
——与监管机构会面;
——法律顾问信息;
——监视合规义务的来源(例如:监管声明、法院判决)。
组织应采取以风险为基础的方法,例如,优先履行确定的、与业务最为相关的合规义务,随后将点扩展至其他合规义务上(帕累托原则)。
在适当情况下,组织应建立并维护独立的文件记录(如登记册和日志)以列出其所有合规义务,并建立定期更新文件的程序。
除规定合规义务外,文件还应包括但不限于:
——合规义务的影响;
——合作义务的管理;
——与合规义务相关的控制措施;
——风险评估。
A.4.6 合规风险评估 Compliance risk assessment
合规风险评估是合规管理体系实施以及分配适当和充分资源和流程来管理已发现的合规风险的基础。
合规风险的特征是不遵守组织合规方针与义务的可能性和后果。
合规风险包括固有合规风险和残余合规风险。固有合规风险是指组织在未采取相应合规风险处理措施的情况下,处于非受控状态所面临的全部合规风险。残余合规风险是指组织现有合规风险处理措施不能有效控制的合规风险。
组织应考虑不合规行为的根本原因、来源、后果、后果发生的可能性,以分析合规风险。例如,后果可能包括人身和环境损害、经济损失、名誉损失、行政收费以及民事和刑事责任。
合规风险识别包括合规风险源的识别和合规风险等级的定义。组织应根据部门职责、岗位职责和不同类型组织活动识别其中的合规风险源。组织应定期识别合规风险源,并定义每个合规风险源对应的合规风险等级,以制定合规风险源清单和合规风险等级清单。
风险评估包括,将组织可接受的合规风险水平与合规方针规定的合规风险水平进行比较。
定期以及有下列情形时重新评估合规风险:
——出现新的活动、产品或服务,以及原有活动、产品或服务发生变化;
——组织架构或战略发生改变;
——重大外部变化,如金融经济环境、市场状况、负债和客户关系;
——合规义务发生变化;
——发生并购;
——出现不合规行为(即使是单一事件,也可能构成环境的重大变化或接近违规的变化)。
——合规风险评估的范围和细致程度取决于组织的风险状况、背景、规模和目标,并因具体子领域(例如:环境、财务、社会)存在差异。
——以风险为基础的合规管理方法并不意味着在合规风险较低的情况下,组织可以接受不合规行为。该方法帮助组织将主要精力和资源优先集中在更高风险上,并最终扩展至全部合规风险。所有确定的合规风险/情形都要接受监视和处理。
在进行风险评估(参见ISO31000指南)时,应注意相关技术内容(详见IEC31000)。
A.5 领导作用 Leadership
A.5.1 领导作用和承诺 Leadership and commitment
有效的合规需要治理机构和最高管理层的积极承诺,这种承诺应覆盖整个组织。
治理机构和最高管理层清楚、明确地表宣示其对实现合规管理体系目标的承诺对合规管理体系至关重要。
不合规可能会对运营造成负面影响,如声誉受损、失去经营许可、失去机遇和经济损失。因此,治理机构和最高管理层应认识到有效合规管理重要的战略价值。
本文件列出了诸多领导层做出其承诺的方式。最根本的办法是通过积极和有形的支持建立和维护合规管理体系。
承诺程度体现在:
——治理机构和各级管理层通过自己的行动和决策,积极致力于建立、发展、实施、评估、维护和改进有效、反应迅速的合规管理体系;
——合规方针由治理机构正式批准;
——最高管理层负责确保组织的合规承诺得到充分实现;
——各级管理层始终向员工传达统一、明确的信息(通过语言和行政表明),即组织将履行其合规义务;
——通过明确、可靠的行动,将合规承诺传达给所有人和利益相关方;
——合规职能部门应配备具有适当能力、权威的人员,授予其保障有效合规的独立职责,并可以直接向治理机构报告;
——投入足够资源开展提高合规意识的活动,并对全员和利益相关方进行培训,以建立、发展、实施、评估、维护和改进健全的合规文化;
——方针、过程和程序不仅体现法律要求,也体现组织自愿遵从和核心价值观;
——组织应明确各层级合规职责和责任;
——定期评审合规管理体系(建议至少每年一次);
——组织的合规绩效持续改进;
——及时采取纠正措施;
——组织的治理机构和最高管理层应遵从合规管理体系。
A.5.1.2 合规文化 Compliance culture
支持合规文化发展的内容包括:
——明确、公开的价值观;
——管理层积极、明确践行和遵从价值观;
——无论如何都应保持对不合规处理的一致性;
——监督、以身作则;
——对可能担任关键职务的人员进行相应的职前评估,包括尽职调查;
——强调合规性和组织价值观的入职或培训计划;
——强调合规和组织价值观的入职或岗前培训计划;
——持续的合规培训,包括对全员和相关方。
——合规问题的持续沟通;
——建立以实现合规关键绩效指标和结果为目标并将合规行为评价和绩效工资纳入考虑因素的绩效评估系统;
——对合规管理先进行为和成效公开认可表彰;
——对故意或过失违反合规义务的行为及时给予适当处分;
——在组织的战略和个人角色之间建立清晰的联系,强调合规是实现组织成果的必要条件;
——合规事项在内部和外部进行公开和适当的沟通。
以下内容体现合规文化的水平:
——上述各项要求的实施;
——利益相关方(特别是个人)认为上述各项已经实施;
——员工理解合规义务与自身活动,以及业务单位活动的相关性;
——组织各适当层级均按要求实施不合规纠正措施;
——重视合规职能部门的作用和目标;
——鼓励员工向适当的管理层(包括治理机构和最高管理层)举报。
组织应:
a)衡量其合规文化;
b)征求全员意见,以确定他们是否了解治理机构、最高管理层和中级管理层对合规的承诺;
c)根据组织合规文化指标的结果,制定行动计划。
A.5.1.3 合规治理 Compliance governance
合规治理遵守以下原则:
合规职能部门可以直接接触治理机构和最高管理层,他们可以绕过组织中的其他人直接与一个或多个最有权采取行动的个人沟通。这一机制有利于治理机构和最高管理层履行职责。这种接触应该是有计划和系统性的。例如,合规职能部门可以直接向首席执行官报告,并间接向审核委员会、董事会主席或整个董事会报告。
合规职能部门应该是独立的,与组织机构或其他部门没有利益冲突。可以自主行动,不受各级管理部门干涉。
合规职能部门具有权威性,不是一个可以被上级否决、被修改报告或信息的低级部门。合规职能部门可根据需要指导其他部门。合规职能部门有倡导合规并提出合规问题的发言权。
合规职能部门需要足够的资源以支持组织满足实施合规管理体系要求的工作和职责,包括获取技术以使合规管理体系能够全面、有效地支持组织实现其合规目标。
A.5.2 合规方针 Compliance policy
合规方针确立组织实现合规目标的总体原则和行动承诺,设定合规要求和责任的层次,以及评估相关行为预期效果。该方针应与组织活动产生的合规义务相适应。
合规方针应经治理机构批准。
——合规方针内容包括:
——与组织规模、性质、复杂程度及运行环境有关的合规管理体系的适用和背景因素;
——合规与其他职能,如治理、风险、审核和法律等的结合程度;
——管理内、外部利益相关方关系的原则。
合规方针不应是一个单独的文件,而应得到其他文件的支持,包括实施方针和程序。
如有必要,应将合规方针翻译成其他语言。
合规方针应与组织范围和活动产生的合规义务相适应。
制定合规方针应考虑:
a)国际、地区或当地的具体义务要求;
b)组织的战略、目标、文化和治理方法;
c)组织结构;
d)与不合规相关的风险性质和等级;
e)采用的标准、规范、内部方针和程序;
f)行业标准。
合规方针可包括:
——宗旨;
——总体方针声明;
——管理战略、责任和资源分配;
——标准的合规程序;
——审核、尽职调查和合规。
A.5.3 角色、职责和权限 Roles、responsibilities and authorities
A.5.3.2 治理机构和最高管理层 Governing body and management
治理机构的积极参与监督是有效合规管理体系不可或缺的组成部分,这有助于确保员工充分理解组织的合规方针、合规运行程序,以及这些方针和程序如何应用于他们的工作,并确保他们有效地履行合规义务。
为确保合规管理体系有效,治理机构和最高管理层需要以身作则,拥护并积极、明确支持合规和合规管理体系。
许多组织视其规模会有合规管理总负责人,尽管该负责人可能有其他角色和职能,例如来自现有委员会、组织单位或外包合规专家。
最高管理层应鼓励、支持合规行为,不容忍损害合规的行为。
最高管理层应确保:
——与组织对合规价值、目标和战略的承诺一致的相应合规定位;
——鼓励所有员工认可其负责的合规目标实现的重要性;
——创造一种鼓励举报违规行为且举报人员不被报复的环境;
——将合规融入更广泛的组织文化和文化变革计划;
——识别不合规并立即行动予以纠正或处理;
——运行目标和指标不会影响合规行为;
最高管理层应参考KPI和其他关键信息并按照计划周期(如按季或按月)评审合规管理体系的绩效,以确保合规管理体系实现其目标;
有效管理要求由最高管理层作出制定标准和实施适当监督的承诺,最高管理层应了解合规管理体系内容和运行要求,确保组织拥有适当程序实现有效合规管理。
A.5.3.2 合规职能部门 Compliance function
许多组织都是专职人员(如合规官)负责日常管理,有些组织还设有跨职能的合规委员会协调整个组织的合规工作。合规职能部门会与管理层合作。
并非所有的组织都会创建独立的合规职能部门,有些组织会将此职能分配给已有部门或外包。外包时组织不应将全部合规职能分配给第三方,即使部分职能外包,组织也应具有权威并监督其职能行使。
在明确合规管理体系责任时,应注意合规职能能够体现:
——诚信和合规承诺;
——有效的沟通和具备发挥作用的技能;
——有能力和地位要求接受建议和指导;
——具备设计、实施和维护合规管理体系的相关能力;
——具备面对测试和挑战的信心、业务知识和经验;
——以策略性、积极的方式实现合规;
——有足够的时间满足合规角色的要求。
合规职能部门应具有相应权威、地位和自主性。权威指合规职能部门被治理机构和最高管理层授予足够的权力;地位指其他人员能够倾听和尊重其意见;自主性指合规职能部门尽可能不牵涉存在合规风险的活动。
合规职能部门履行其职能不应存在利益冲突。
A.5.3.3 管理层 Management
最高管理层的责任不应被视为免除其他各级管理人员的合规责任,因为所有管理人员都需要在合规管理体系方面发挥作用。因此,组织必须明确规定其各自责任,并将其列入职责说明。
管理人员的合规责任必然会根据权力的级别、影响力和其他因素而有所不同,如组织的性质和规模。然而,一些职责可能在不同的组织中通用。
A.5.3.4 员工 Personnel
所有员工都应履行合规义务;
员工应确保了解自己的合规责任并有效地履行。对此,组织应通过合规管理体系要素,如培训、方针、程序和行为守则给予支持。
员工应主动地洞察有利于提升合规管理体系绩效的不足与改进。
A.6 策划 Planning
A.6.1 合规风险和机会的应对措施 Actions to address risks and opportunities
合规管理体系策划是在战略层面上的,而运行计划是针对运行层面的策划与控制。
策划的目的是预测可能发生的情况和后果,因此策划具有预防性。根据合规风险评估的结果,组织应计划如何在不利影响发生之前解决它们,以及如何从有助于合规管理体系有效性的有利条件或环境中获益。
策划还应包括确定如何将被认为对合规管理体系有必要或有益的行动纳入业务活动和程序中。该行动可通过目标设定、业务控制或其他具体条款(例如:资源、权限)实现。还应规划评估合规管理体系的有效性措施,可包括监视、测量技术、内部审核或管理评审。
A.6.2 合规目标和实现计划 Compliance objectives and planning to achieve them
制定的目标应该有可以衡量其结果的方式。
合规目标举例:至少每年向相关人员提供合规培训。
应确定实现目标所需的行动(“什么”)、相关的时间进程(“何时”)和责任人(“谁”)。应定期监视、记录、评估和更新目标的状态和进度。
A.7 支持 Support
A.7.1 资源 Resource
资源包括财政、人力和技术资源,以及获得外部咨询和专门技能的机会、组织基础设施、关于合规管理和法律义务的现行参考材料、专业发展和技术。
A.7.2 能力 Competence
A.7.2.1 一般要求 General
能力指运用知识和技能达到预期结果的本领。能力需要知识、经验和技能,以有效履行职责。组织应为所有人员确定完成其任务所需的专业知识和技术,以便向客户提供其产品和服务。组织应建立能力证明材料(例如:工作描述、职位说明),以便在填补职位空缺时参考。
组织应采取措施(例如培训)确保维持现有能力并获得新的能力。组织应持有足够能力证明文件,并为获得或维持能力采取措施。
A.7.2.2 雇佣程序 Employment process
在雇佣或任命现有人员之前,组织应进行相关尽职调查,包括征询或背景调查。
A.7.2.3 培训 Training
治理机构、管理层和负有合规义务的员工应有能力高效履行其义务。获得能力的途径包括教育、培训,及其基于工作经验获得技能和知识。
培训计划的目标是确保员工具有符合本组织合规文化和合规承诺的方式履行职责的能力。
适当设计并执行的培训可以为员工就此前未识别合规风险的提供有效沟通方法。
教育培训应:
——在适当情况下,基于对员工知识和能力的评估;
——有足够的灵活性,通过一系列的技术支持适应不同组织和人员的需要;
——由具备经验和水平的人员设计、开发和提供;
——以当地语言(如适用);
——定期评估和评价其有效性。
鉴于不合规会造成严重后果,互动式培训是理想的形式。组织应在发生不当行为的领域进行培训。
当出现下列情况时,应考虑再次培训:
——岗位或职责改变:
——内部方针、流程和程序变化;
——组织结构变化;
——合规义务变化,特别是法律和相关方要求的变化;
——活动、产品或服务的变化;
——由监视、审核、评审、投诉和合规(包括相关方反馈)引起的问题。
A.7.3 意识 Awareness
合规意识包括确保所有员工都能接触、利用辛辛苦苦理解合规方针。
提高合规意识的方法包括但不限于:
——培训(面对面或在线);
——与最高管理层沟通;
——易于获得和参照执行的参考资料;
——定期更新合规性问题。
合规承诺的沟通应:
——建立合规意识并鼓励员工接受合规管理体系;
——鼓励员工就持续提升合规绩效提供建议。
A.7.4 沟通 Communication
组织应根据合规方针,采取面向所有利益相关方的外部沟通方式。
利益相关方可包括监管机构、客户、承包商、供应商、投资者、应急服务机构、非政府组织和相邻方。
组织应分配适当的资源和具有相关知识的人员,以协调和促进与监管机构的互动。
沟通方式或包括网络、电子邮件、新闻稿、广告、定期通讯、年度(或其他定期)报告、非正式讨论、开放日、小组座谈、社区对话、参与社区活动和热线电话。这些方法可以促进对组织合规承诺的理解与接受。
沟通应坚持透明、适当、可信、回应、可及、清晰的原则。
A.7.5 文件化信息 Documented information
A.7.5.1 一般要求 General
文件化信息包括:
——组织的合规方针和程序;
——合规管理体系的目标、指标、结构和内容;
——合规角色和责任的分配;
——相关合规义务的清单;
——合规风险清单,包括根据合规风险评价流程确定优先次序;
——不合规、可能导致不合规的轻微差错及其调查记录;
——年度合规计划;
——员工档案,包括但不限于培训记录;
——审核程序、计划时间及相关记录。
文件化信息可包括与监管报告要求的有关事项。文件化信息包括各种媒介(数字、非数字)。
A.7.5.2 文件化信息的创建和更新 Creating and updating document information
文件化信息应及时更新,以反映内部和外部信息最新变化。
A.7.5.3 文件化信息的控制 Control of documented information
文件化信息可用于法律意见,因而成为法律保护的对象。
A.8 运行 Operation
A.8.1 运行的计划与控制 Operational planning and control
一个良好设计的合规管理体系包括体现合规文化内容和效果的各项措施(如:方针、流程和程序),这些措施旨在减少合规风险评估中识别的合规风险。
运行控制的基本要素是行为准则,它规定本组织对相关合规义务的全面承诺。行为准则适用于所有员工。应将基于并源自行为准则要求的合规措施纳入组织日常运行,培训合规文化。
运行控制是针对缺乏控制将导致合规方针偏离或违反合规义务的业务流程而实施的,这些流程可能与所有业务、活动或过程(例如:生产、安装、服务、维护)有关,也可能与承包商、供应商或卖方有关。
控制的程度取决于多个因素,如实施作用的重要性或复杂性、不合规的潜在后果、相关或可用的技术支持。
当运行控制失效时,有必要采取措施应对所有不良结果或影响。
如果组织活动中使用了第三方或外包流程,组织应对其进行有效的尽职调查,以确保合规标准和承诺不会降低。涉及第三方的其中一个例子是第三方产品、服务的提供和分销。组织应确保签订适当的服务水平协议(SLAs),以规定服务提供商的合规义务。
设计良好的外包流程应注意:
——初始和外包中的尽职调查;
——实施适当控制;
——进行持续监视;
——对适当的法律审查、合同评审;
——考虑服务水平协议;
——使用依据本文件认证的第三方。
组织在与第三方订立合同时应采取控制措施,以确保采购、运行、商业和其他非财务方面的活动得到适当管理。组织实施的与组织、交易规模相适应的采购、运营、商业和其他非财务控制措施可以降低合规风险。
A.8.2 建立控制和程序 Establishing controls and procedures
有效控制应确保合规义务得到履行,并可防止、发现和纠正不合规行为。控制措施的设计应足够严格,以有助于满足特定的组织活动和运营环境中的义务要求。在可能的情况下,控制措施应当整合到组织的正常运营过程中。
控制措施包括:
——清晰、实用并易于遵循的文件化运行方针、流程、程序和工作指南;
——制度和异常的报告;
——批准;
——分离不相容的角色和职责;
——自动化流程;
——年度合规计划;
——人员绩效计划;
——合规评估和审核;
——展现管理层的承诺和模范行为,以及其他促进合规的措施;
——对员工的预期行为(标准、价值观、行为准则)进行积极、公开和不时沟通。
——在制定支持合规管理的程序时,应考虑到:
——将合规义务纳入程序,包括计算机系统、表格、报告系统、合同和其他法律文件;
——与组织中其他评审和控制职能部门的一致性;
——持续监视和测量;
——评估和报告(包括管理监督),以确保人员遵守程序;
——识别、报告和上报针对不合规情况与不合规风险的具体安排。
A.8.3 举报 Raising concerns
必要时,应上报至最高管理层和治理机构,包括相关委员会。
即使当地法规没有要求,组织也应考虑建立匿名或保密举报机制,以便员工和代理人举报或寻求应对不合规行为的指导而不必担心报复。
有关举报管理体系指南,请参见ISO/DIS 37002。
A.8.4 调查程序 Investigation process
有效合规管理体系应具有良好的运行机制,以及时、彻底地调查对本组织、员工或相关第三方不当行为的任何指控或怀疑。这包括记录组织的应对过程、采取的纪律处分或补救措施,以及在汲取经验教训对合规管理体系进行修订。
有效的调查机制应查明包括管理者、最高管理层和治理机构在内的不当行为的根源、合规管理体系漏洞和责任缺失的原因,仔细分析不合规的程度、普遍性、严重性,涉及员工的数量、层级,以及持续时间和频率等情况查明发生不合规的根源。
组织应确保调查是公正和独立的,必要时设立独立的委员会监督调查活动,保证调查的完整性和独立性。
组织应建立调查报告机制,包括调查结果报告级别。
注:有时需要依法报告不合规,在此情形下,组织应遵守相关规定要求向监管机构报告。
即使法律没有要求报告不合规行为,组织也可以主动向监管机构披露不合规行为,以减轻不合规行为的后果。
A.9 绩效评价 Performance evaluation
A.9.1监视、测量、分析和评价 Monitoring,measurement,analysis and evaluation
A.9.1.1 一般要求 General
监视是为了评估合规管理体系的有效性和组织的合规绩效而收集信息的过程。
合规管理体系的监视通常包括:
——培训的有效性;
——控制的有效性(例如:通过样品测试输出);
——有效分配履行合规义务的责任;
——合规义务的时效性;
——对先前发现的合规缺陷处理措施的效果;
——未按计划进行内部合规检查的情况;
——针对合规风险对经营策略进行审查,以便适当更新;
——合规绩效监视通常包括:
——不合规和轻微差错(如未造成负面影响的事件);
——未履行合规义务的情况;
——未实现目标的情况;
——合规文化现状;
——制定领先指标和落后的标准。
A.9.1.2 合规绩效的反馈来源 Source of feedback on compliance performance
反馈来源包括:
——人员(如:通过举报设施、求助热线、情况反馈、建议箱等);
——客户(如:通过投诉处理系统);
——第三方;
——供应商;
——承包商;
——监管机构;
——过程控制日志和活动记录(包括计算机和和纸质记录)。
合规绩效反馈内容可包括:
——合规;
——不合规及合规关注问题;
——新发现的合规问题;
——持续的监管和组织变化;
——对合规有效性和绩效批评。
收集信息的方式有多种多样。下面列出的每种方法都与其情况相关,应注意选择适合组织规模、范围、性质和复杂性的各种工具。
信息收集可包括:
——发现或识别不合规行为的临时报告;
——通过热线、投诉和其他反馈渠道(包括举报)获得的信息;
——非正式讨论、研讨会与座谈会;
——抽样和完整性测试,如神秘顾客;
——调查结果;
——直接观察、正式访谈、设施参观与视察;
——审核与评审;
——培训期间(特别是员工)提供的相关方询问、培训要求与反馈。
应建立分类、储存和信息检索系统。
信息管理系统应捕获问题和投诉,并允许对合规性相关问题和投诉进行分类和分析。分析应考虑问题的系统性和重复性,以便纠正或改进这些更难以识别且可能给组织带来重大合规风险的问题。
信息分类标准可包括:
——来源;
——部门;
——不合规问题说明;
——义务参考;
——指标;
——严重性;
——实际和潜在影响。
A.9.3 指标制定 Development of indicators
这一过程应考虑合规风险的评估结果,以确保各项指标与组织合规风险特征的相关性。如何测量合规绩效的问题在某些方面可能具有挑战性,但仍是证明合规管理体系有效性的重要部分。此外,指标将随着组织的成熟程度、实施新的、修订的计划的时间和范围而变化。
指标可包括:
——有效培训人员的比例;
——监管机构介入的频率;
——反馈机制的运用程度(包括用户对该机制的评价)。
反应性指标可包括:
——确认的不合规和问题,按类型、区域和频率进行报告。
——不合规的后果,包括评估货币补偿、罚款和其他处罚、补救费用、声誉或人员时间成本等造成的影响;
——报告和采取纠正措施耗费的时间。
预测性指标可包括:
——以长期目标(收入、健康和安全、声誉等)的潜在损失、收益为衡量标准的不合规风险;
——不合规趋势(基于过去趋势的预期合规率)。
A.9.1.4 合规报告 Compliance reporting
尽管报告系统性和重复性问题非常重要,但同样应关注一次性的重大或故意不合规行为。因为微小的问题也可能表明当前的流程和合规管理体系存在严重缺陷,如果不及时报告,则可能忽视问题,进而导致此类缺陷成为系统性问题。
合规报告应包括:
——组织需要通知监管机构的任何事项;
——合规义务的变化、及其对组织的影响以及完善行动方案以满足新的合规义务;
——合规绩效的测量,包括不合规和持续改进;
——可能的不合规行为的数量和细节,以及随后的分析;
——采取的纠正措施;
——合规管理体系的有效性、成就和趋势信息;
——与监管机构的联系和关系改进;
——审核和监视活动的结果;
——监视行动计划的完整执行,特别是基于审核报告或监管机构的要求,或两者兼而有之。
A.9.1.5 记录保存 Record-keeping
记录保存应包括对合规和涉嫌不合规问题的记录和分类,以及为解决问题采取的措施。
记录的存储方式应确保清晰、易于识别和检索。
记录应受到保护,防止任何添加、删除、修改、未经授权的使用或隐藏。
组织的合规管理体系记录可包括:
——合规绩效信息,包括合规报告;
——不合规及纠正措施的细节;
——合规管理体系评审和审核结果,及采取的措施。
A.9.2 内部审核 Internal audit
无论是内部还是外部的审核部门都应避免利益冲突并保持独立性,以履行其职责。
参见ISO 19011,以了解如何对管理体系进行审核的信息。
A.9.3 管理评审 Management review
管理评审应包括下列建议:
——合规方针及其相关目标、制度、结构和人员的变更需求;
——变更合规流程,以确保与运行实践和体系有效整合;
——未来潜在的不合规问题监视领域;
——不合规相关的纠正措施;
——当前合规体系和长期持续改进计划的差距或不足;
——对组织内模范合规行为的认可。
应向治理机构提供管理评审中的记录结果和全部建议。
A.10 改进 Improvement
A.10.1 持续改进 Continual improvement
具有持续改进和发展的能力是合规管理体系有效性的特征。组织的内部、外部环境以及业务会随着时间而发生变化,客户的性质和合规义务也会随之变化。
合规管理体系的充分性和有效性应通过多种方法进行持续、定期评估,如通过内部审核进行审查。
组织应建立合规管理体系评审方法,并确保其在最新状态,且适合其目标。在决定支持持续改进的行动范围和时间间隔的时候,组织应考虑其环境、经济因素和其他相关情况。
一些组织对员工进行调查以测评合规文化,评估控制强度。持续改进的进一步信息可能来自于顾客调查、举报、定期监视、审核或管理评审。
组织应考虑此类评估的结果和输出信息,以确定是否有必要或有机会改变合规管理体系。
为了帮助确保合规管理体系的持续保持完整性和有效性,管理体系各个要素的变化应考虑到其对整个管理体系有效性的依赖和影响。
变更合规管理体系时,组织应考虑这些变更对合规管理体系、组织运行、可用资源、合规风险评估、组织合规义务及其持续改进过程的影响。
A.10.2 不合格和纠正措施 Nonconformity and corrective action
一次不合规行为未能预防或测试并不一定意味合规管理体系在预防和检测不合规事件时无效。
分析不合格或不合规信息可用于考虑:
——评估产品和服务性能;
——改进或重新设计产品和服务;
——改进组织习惯和程序;
——员工再培训;
——重新评估通知利益相关方的必要性;
——对潜在不合规问题做出早期预警;
——重新设计或审查控制;
——强化通知和提升层级(内部和外部);
——沟通有关不合规的事实和组织对不合规的立场。
组织应当确定导致不遵守方针、程序行为的根本原因,并汲取经验教训更新方针和程序。
参考文献
(1)ISO 9000 质量管理体系——基础词汇
(2)ISO 9001 质量管理体系——要求
(3)ISO 14001 环境管理体系——要求及使用指南
(4)ISO 19011 管理体系审核指南
(5)ISO 22000 食品安全管理体系——食品链中任何组织的要求
(6)ISO 26000 社会责任指南
(7)ISO/IEC 27001 信息技术——安全技术——信息安全管理体系——要求
(8)ISO 31000 风险管理——指南
(9)ISO 31010 风险管理——风险评估技术
(10)ISO 37001 反贿赂管理体系——要求和使用指南
(11)ISO 37002 举报管理体系——指南
京公网安备 11010802041677号