ISO-37301-2021-合規(guī)管理體系要求及使用指南(中文版)

1范圍本文檔適用于所有類型的組織，無論活動的類型，規(guī)模和性質(zhì)如何，以及該組織來自公共部門，私營部門還是非營利部門。如果組織沒有獨立的理事機構，則本文檔中指定的涉及理事機構的所有要求均適用于高層管理人員。2規(guī)范性引用3術語和定義一ISO在線瀏覽平臺：可從httDS://www.iso.—IECElectropedia:可在htt組織注釋1:組織的概念包括但不限于獨資，公司，公司，公司，企業(yè)，機構，合伙企業(yè)，慈善機構或機構，或利害關系方(優(yōu)先條款)利益相關者(允許的期限)注釋1:最高管理者有權在組織內(nèi)委派權限并提供資源。注釋2:如杲管理系統(tǒng)(站>注釋1:管理系統(tǒng)可以處理一個或多個學科。注釋2:管理系統(tǒng)元素包括組織的結構，角色和職責，計劃和運營。政策組織最高管理者正式表達的組織的'育圖初方向注釋1:策略也可以由組織的理箏祝構正式表達?？蜌g的要達到的結果注釋1:目標可以是戰(zhàn)略性，戰(zhàn)術性或操作性的。注釋2:目標可以涉及不同的學科(例如金融，健康和安全以及環(huán)境)。例如，它們可以在整個組織范圍內(nèi)，或特定于項目，產(chǎn)品，服務或過痙(服))·注釋3:目標可以用其他方式表示，例如作為預期結果，目的，操作準則，作為趙-痂潸況的目標，或通過使用具有相似含義的其他詞語(例如目標，目的或目標)。注釋4:在合規(guī)管理系統(tǒng)中，組織應設定合規(guī)目標與合規(guī)政龍-致，以取得特定結果。風險不確定性對目標的影響注釋1:影響是與預期的偏差■正或負。注釋2:不確定性是指與事件，其后果或可能性有關的信息，了解或知識的缺乏狀態(tài)，甚至是部分的注釋3:風險的特征通常是參考潛在的“事件”(如ISO指南73中定義)和“后果”(如ISO指南73中定義),或綜合考注釋4:風險通常表示為事件后果(包括環(huán)境變化)和相關的“可能性”(如ISO指南73中定義)的組合過程一組相互關聯(lián)或交互的活動，這些活動使用或轉換輸入以提供結果注釋1:過程的結果稱為輸出，產(chǎn)品還是服務取決于引用的上下文。權限應用知識和技能以達到預期結果的能力書面信息組織要求控制和維護的優(yōu)怠以及包含該信息的媒體注釋1:記錄的信息可以采用任何格式和媒體，并且可以來自任何來源。注釋2:記錄的信息可以參考：一為組織運作而創(chuàng)建的信息(文檔);—取得成果的證據(jù)(記錄)。表現(xiàn)可測量的結果注釋1:績效可能與定量或定性發(fā)現(xiàn)有關。注釋2:績效可能與管理活動，流程，產(chǎn)品，服務，系統(tǒng)或妙有關。持續(xù)改進經(jīng)常性活動以提高綢獲效力實現(xiàn)計劃的活動和達到計劃的結果的程度要求所陳述的需求或期望，通常是隱含的或強制性的注釋1:“一般隱含的心表示隱含在考慮中的需求或期望對于組綁和概夫方是一種慣例或慣例。注2:規(guī)定的要求是已陳述的要求，例如在君勵筑您中。符合不合格注1:不合格不一定是不令移。糾正措施消除不合格的原因并防止再次發(fā)生的措施審計系統(tǒng)和獨立的場第用于獲取證據(jù)并對其進行客觀評估，以確定滿足審核標準的程度注釋1:審核可以是內(nèi)部審核(第·方)或外部審核(第二方或第三方)0并且可以是合并審核(合并兩個或多個學科)。注釋2:內(nèi)部審核由組織(3)此身；或由外部團體代表組織)進行。注釋3:“審核證據(jù)心秋，審核標準”在ISO19011中定義。進入注釋4:獨立性可以通過對所審核活動的責任自由或?qū)ζ姾屠鏇_突的自由來證明。過程確定一個值監(jiān)控確定系統(tǒng)，痂鐵活動的狀態(tài)注釋1:要確定狀態(tài)，可能需要檢查，監(jiān)替或嚴格觀察。理事機構對組綁矽活動，治理和政炎負有最終責任和權力，并且衣高管理者向其報告并由最高管理者負責的個人或一群人注釋1:并非所有組織，特別是小型組織，都將擁有一個獨立于高層管理人員的理事機構。注釋2:理事機構可以包括但不限于董事會，董事會委員會，監(jiān)事會或受托人。人員在國家法律或慣例中被視為工作關系的關系中的個人，或在依賴于組織活動的合同關系中的個人合規(guī)功能注釋1:最好將一個人分配給合規(guī)管理系統(tǒng)的監(jiān)督。合規(guī)風險合規(guī)義務組織0)須制必須遵守的要求以及組織自愿選擇遵守的要求滿足妙說所有要求合規(guī)義務未履行履約義務合規(guī)文化遍布整個組織的價值觀，道德，信念和行為，并與組織的結構和控制系統(tǒng)進行交互以產(chǎn)生有助于今規(guī)的行為規(guī)范執(zhí)行影響客戶，員工，供應商，市場和社區(qū)成果的行為和做法第三方獨立于組織的個人或機構注釋1:所有業(yè)務伙伴均為第三方，但并非所有第三方均為業(yè)務伙伴。程序指定的進行活動或過程的方式4組織環(huán)境4.1了解組織及其背景組織應確定與其口的相關并影響其實現(xiàn)合規(guī)管理系統(tǒng)預期結果能力的外部和內(nèi)部問題。為此，組織應考慮廣泛的問題，包括但不限于：業(yè)務模型，包括戰(zhàn)略，性質(zhì)，規(guī)模和規(guī)模的復雜性以及組織活動和運營的可持續(xù)性；一與第三方的業(yè)務關系的性質(zhì)和范圍；—法律和法規(guī)環(huán)境：一經(jīng)濟狀況；一一社會，文化和環(huán)境背景；內(nèi)部結構，政策，流程，程序和資源，包括技術；它的合規(guī)文化。4.2了解有關方面的需求和期望組織應確定：與合規(guī)管理系統(tǒng)有關的利害關系方；這些利害關系方的有關要求；一這些要求中的哪些將通過合規(guī)管理系統(tǒng)解決。4.3確定合規(guī)管理系統(tǒng)的范圍組織應確定合規(guī)管理系統(tǒng)的范圍和適用性以建立其范圍。注：合規(guī)管理系統(tǒng)的范圍旨在闡明組織面臨的主要合規(guī)風險以及合規(guī)管理系統(tǒng)將適用的地理或組織邊界，或兩者都適用，特別是在組織是大型實體的一部分的情況下。一在確定此范圍時，組織應考慮：一生1中提到的外部和內(nèi)部問題—和4.6中提到的要求，,該范圍應作為文檔信息提供。4.4合規(guī)管理系統(tǒng)組織應根據(jù)本文件的耍求建立，實施，維護和持續(xù)改進合規(guī)管理系統(tǒng)，包插所需的過程及其相互作用04.5遵從管理體系應反映組織的價值觀，目標，戰(zhàn)略和遵從風險，并考慮到組織的環(huán)境(見4d)。4.6合規(guī)義務組織應系統(tǒng)地識別其活動，產(chǎn)品和服務產(chǎn)生的合規(guī)義務，并評估其對運營的影響。組織應具備以下流程：b)評估已識別變更的影響，并在合規(guī)義務管理中實施任何必要的變更。組織應保持其合規(guī)義務的書面信息。4.7合規(guī)風險評估組織應基于合規(guī)風險評估，識別，分析和評估其合規(guī)風險。組織應通過將合規(guī)義務與其活動，產(chǎn)品，服務和運營的相關方面相關聯(lián)來識別合規(guī)風險。組織應評估與外包和第三方流程相關的合規(guī)風險。應定期評估合規(guī)風險，并應在情況或組織環(huán)境發(fā)生重大變化時進行評估。組織應保留有關合規(guī)風險評估以及應對其合規(guī)風險的措施的書面信息。5.1領導與承諾5.1.1領導機構和高層管理人員一理事機構利城高管理者應通過以下方式表現(xiàn)出對合規(guī)管理體系的領導和承諾：一確保建立合規(guī)政策和合規(guī)目標并與組織的戰(zhàn)略方向兼容；—確保將合規(guī)管理系統(tǒng)要求集成到組織的業(yè)務流程中：—確保合規(guī)管理系統(tǒng)所需的資源可用；·傳達有效的合規(guī)管理和遵守合規(guī)管理系統(tǒng)要求的重要性；—確保合規(guī)管理系統(tǒng)達到預期結果：一指導和支持人員為合規(guī)管理系統(tǒng)的有效性做出貢獻：—促進持續(xù)改進；一支持其他相關角色以展示其在其職責范圍內(nèi)的領導能力。注意：本文檔中對“業(yè)務''的引用可以廣義地解釋為那些對于組織存在的目的而言至關重要的活動。理事機構和最高管理者應：建立并維護組織的價值觀；確保制定和實施政策，流程和程序以實現(xiàn)合規(guī)口標；確保及時告知他們有關合規(guī)事宜，包拾不合規(guī)的情況，并確保采取適當?shù)拇胧灰弧_保遵守承諾，并適當處理違規(guī)和違規(guī)行為；一確保適當?shù)貙⒑弦?guī)責任包括在職位描述中；一任命或提名合規(guī)職能；—確保按照2x3提出和解決問題的系統(tǒng)成立。5.1.2合規(guī)文化組織應在組織內(nèi)的各個層次上建立，維護和促進合規(guī)文化。理事機構，高層管理人員和管理層應表現(xiàn)出對整個組織所需的共同行為和行為標準的積極，可見，一致和持續(xù)的承諾。最高管理者應鼓勵建立和支持合規(guī)的行為。它應防止而不是容忍損害合規(guī)性的行為。5.1.3合規(guī)治理理事機構和城高管理者應確保執(zhí)行以下原則：一直接將遵約職能移交給理事機構：—遵守職能的獨立性：一合規(guī)職能的適當權限和能力。注1:直接訪問可包括：直接向理事機構報告，向理事機構定期提交報告并參加其會議。注2:獨立是指對順應功能的操作沒有任何不適當?shù)腡擾或壓力，或兩者都不存在。5.2合規(guī)政策理事機構和最高管理者應制定合規(guī)政策，以：a)適合組織的目的；b)提供設定合規(guī)目標的框架；c)包括滿足適用要求的承諾；d)包括對合規(guī)管理系統(tǒng)的持續(xù)改進的承諾。遵守政策應：與組織的價值觀，目標和戰(zhàn)略保持一致；一要求遵守組織的合規(guī)義務；支持符合5.1.3的合規(guī)性治理原則：一參考并描述合規(guī)功能；概述不遵守組織的合規(guī)義務，政策，流程和程序的后果；一鼓勵引起關注并禁止任何形式的報復；—用通俗易懂的語言寫成，以便所有人員都可以輕松理解其原理和意圖；一適當實施和執(zhí)行；—可以作為記錄信息使用；—在組織內(nèi)部進行溝通；一適當時可供感興趣的各方使用。5.3角色，職貴和權限5.3.1領導機構和高層管理人員理事機構和最高管理者應確保在組織內(nèi)分配和傳達有關角色的職責和權限。理事機構和最高管理者應分配以下職責和權限：a)確保合規(guī)管理系統(tǒng)符合本文件的要求；b)向理事機構和最高管理者匯報合規(guī)管理系統(tǒng)的績效。理事機構應：一確保根據(jù)達到合規(guī)目標衡量最高管理層；一對最高管理者進行有關合規(guī)性管理系統(tǒng)運行的監(jiān)督。一最高管理者應：分配足夠和適當?shù)馁Y源以建立，開發(fā)，實施，評估，維護和改進合規(guī)管理系統(tǒng)；一確保建立有效的及時報告履約情況的系統(tǒng)；確保戰(zhàn)略和運營目標與合規(guī)義務之間保持一致；建立和維護問責機制，包括紀律處分和后果；—確保將合規(guī)績效納入人員績效評估。5.3.2合規(guī)功能合規(guī)職能應負責合規(guī)管理系統(tǒng)的運行，包括以下內(nèi)容：—促進確定履約義務；一—記錄合規(guī)風險評估：一使合規(guī)管理系統(tǒng)與合規(guī)目標保持一致；監(jiān)控和衡量合規(guī)績效；分析和評估合規(guī)性管理系統(tǒng)的性能，以確定是否需要采取糾正措施；一建立合規(guī)報告和文件記錄系統(tǒng)：確保按計劃的時間間隔審核合規(guī)性管理系統(tǒng)(請參閱92和21〉:一建立引起關注并確保解決關注的系統(tǒng)。遵守職能應監(jiān)督：在整個組織中適當分配實現(xiàn)己確定合規(guī)性義務的職責；合規(guī)義務己整合到政策，流程和程序中；一所有相關人員均按要求接受培訓；—建立合規(guī)績效指標。一遵從功能應提供：有權訪問合規(guī)政策，流程和程序資源的人員；—就合規(guī)性相關事宜向組織提供建議。注意合規(guī)功能的特定職責并不能免除其他人員的合規(guī)責任。組織應確保符合性功能可以訪問：高級決策者，以及在決策過程中盡早做出貢獻的機會；一組織的各個級別；5.3.3所需的所有人員，文件化信息和數(shù)據(jù)；5.3.4一有關有關法律，法規(guī)，守則和組織標準的專家意見。5.3.5管理管理層應通過以下方式負責其職責范圍內(nèi)的合規(guī)：一與合規(guī)部門合作并提供支持，并鼓勵人員這樣做；確保其控制范圍內(nèi)的所有人員均遵守組織的合規(guī)義務，政策，流程和程序；一識別并傳達其運營中的合規(guī)風將合規(guī)義務納入其職責范圍內(nèi)的現(xiàn)有業(yè)務實踐和程序中；一參加和支持合規(guī)培訓活動：培養(yǎng)人員對合規(guī)義務的意識，并指導他們滿足培訓和能力要求；鼓勵其人員提出合規(guī)性問題并給予支持，并排除任何形式的報復行為；根據(jù)需要積極參與管理和解決與合規(guī)性相關的事件和問題；5.3.6一確保在確定需要采取糾正措施后，建議并實施適當?shù)募m正一遵守組織的合規(guī)義務，政策，流程和程序：一參加所需的培訓。6規(guī)劃6.1應對風險和機遇的行動在規(guī)劃合規(guī)管理系統(tǒng)時，組織應考慮4JL中提到的問題和4中提到的要求，并確定需要解決的風險和機遇：—確保合規(guī)管理系統(tǒng)可以達到預期結果；一實現(xiàn)持續(xù)改進。一在規(guī)劃合規(guī)管理系統(tǒng)時，組織應考慮：一其合規(guī)目標(見人2);確定的合規(guī)義務(請參閱生1):一合規(guī)風險評估的結果(見邊)。1)將行動整合并實施到其合規(guī)管理系統(tǒng)流程中；2)評估這些措施的有效性。6.2合規(guī)目標和實現(xiàn)目標的計劃組織應在相關職能和級別上建立合規(guī)目標。a)與合規(guī)政策保持一致；b)可衡量的(如果可行);C)考慮適用的要求；f)適當更新；g)作為文檔信息可用。在計劃如何實現(xiàn)其合規(guī)目標時，組織應確定：一將要做什么;需要什么資源；誰來負責；何時完成；如何評估結果。6.3變更計劃當組織確定需要更改合規(guī)管理系統(tǒng)時，應以計劃的方式進行更改。組織應考慮：一變更的目的及其潛在后果；-合規(guī)管理系統(tǒng)的設計和運營有效性；一是否有足夠的資源；一職責和權限的分配或重新分配。7支持7.1資源組織應確定并提供建立，實施，維護和持續(xù)改進合規(guī)管理系統(tǒng)所需的資源。組織應：一確定在其控制下從事影響其合規(guī)表現(xiàn)的人員的必要能力；■根據(jù)適當?shù)慕逃?，培訓或?jīng)驗，確保這些人勝任；-在適用的情況下，采取行動以獲得必要的能力，并評估所采取行動的有效性。應提供適當?shù)臅嫘畔⒆鳛閯偃瘟Φ淖C據(jù)。7.2.2注：可采取的行動包括，例如，提供培訓，指導或重新安排在職人員：或雇用或簽約合資格的人。7.2.3就業(yè)過程就其所有人員而言，組織應制定，建立，實施和維護流程，以使：b)在開始雇用的合理期間內(nèi)，員工將收到遵c)對于違反組織合規(guī)性義務，政策，過程和7.2.4作為雇用過程的一部分，組織應考慮由角色和人員造成的合規(guī)風險，并在雇用，調(diào)動和晉升之前按照要求進行盡職調(diào)查程序。7.2.5組織應實施一個程序，對績效目標，績效獎金和其他激勵措施進行定期審查，以驗證是否已采取適當?shù)拇胧﹣矸乐构膭钸`規(guī)行為。7.2.6訓練組織應從雇用開始之時起，并按組織確定的計劃間隔定期對有關人員進行培訓。培訓應為：a)適合人員的角色以及人員所面臨的合規(guī)風險；b)評估有效性；c)定期審查。考慮到已識別的合規(guī)風險，組織應確保實施程序以解決對合規(guī)意識的培訓，以及對代表其行事并可能給組織帶來合規(guī)風險的第三方的培訓。培訓記錄應保留為書面信息。7.3意識在組織控制下工作的人員應了解：—遵守政策；—它們對合規(guī)管理系統(tǒng)有效性的貢獻，包括改進合規(guī)績效的好處；一不符合合規(guī)管理系統(tǒng)要求的影響；—引起合規(guī)性問題的程序和程序的方式(見S3);—遵守政策與其職責相關的遵守義務的關系；支持合規(guī)文化的重要性。7.4溝通組織應確定與合規(guī)管理系統(tǒng)有關的內(nèi)部和外部通信，包括：a)關于它將傳達什么;d)如何溝通。組織應：在考慮其傳播需求時，考慮多樣性的方面和潛在的障礙；確保在建立其溝通流程時考慮到有關方面的意見fcs);—建立溝通流程時):包括關于其合規(guī)文化，合規(guī)目標和義務的溝通；一確保要傳達的合規(guī)信息與合規(guī)管理系統(tǒng)內(nèi)生成的信息一致并且可靠；一回應有關其合規(guī)管理系統(tǒng)的相關溝通；-適當保留文件化信息作為其通訊的證據(jù)；-在組織的各個級別和職能之間內(nèi)部傳達與合規(guī)管理系統(tǒng)有關的信息，包括酌情更改合規(guī)管理系統(tǒng)確保其溝通過程使人員能夠為持續(xù)改進合規(guī)管理系統(tǒng)做出貢獻；—確保其溝通過程使人員能夠提出疑慮(見S3);7.5由組織的溝通流程建立的外部溝通與合規(guī)管理系統(tǒng)有關的信息，并包括有關其合規(guī)文化，合規(guī)目標和義務的交流。7.6記錄的信息7.5.1一般的組織的合規(guī)管理系統(tǒng)應包括：a)本文件要求的文件資料；b)組織確定為達標管理系統(tǒng)的有效性所必需的文件化信息。注：遵從性管理系統(tǒng)的文檔化信息范圍可能因一個組織而異，這是由于以下原因：一組織的規(guī)模及其活動，過程，產(chǎn)品和服務的類型；流程及其交互的復雜性；一人的能力。7.5.2創(chuàng)建和更新文檔信息一在創(chuàng)建和更新文檔信息時，組織應確保適當：標識和描述(例如標題，日期，作者或參考編號);一格式(例如語言，軟件版本，圖形)和媒體(例如紙張；電子);—審查和批準其適用性和適當性。7.5.3控制文件信息合規(guī)管理系統(tǒng)和本文件所要求的文件信息應受到控制，以確保：a)它是可用的，并且適合在需要的地方和時間使用；b)它得到了充分的保護(例如，避免了機密性，使用不當或完整性的損失)。一為了控制書面信息，組織應酌情開展以下活動：一控制變更(例如版本控制);—保留和處置。組織應確定必要的外部來源的書面信息，這些信息對于合規(guī)性管理系統(tǒng)的計劃和運行是必要的，并應加以控制。注意訪問可能意味著要決定是否僅允許查看文檔信息，或者是有關查看和更改文檔信息8.1運行計劃與控制組織應通過以下方式計劃，實施和控制滿足要求所需的過程，以及實施塾條中確定的措施：一根據(jù)標準實施過程控制。應提供必要的書面信息，以確信該過程已按計劃進行。組織應控制計劃的變更并審查意外變更的后果，并采取必要的措施以減輕任何不利影響。組織應確?？刂婆c合規(guī)管理系統(tǒng)相關的外部提供的過程，產(chǎn)品或服務。注意：將組織的業(yè)務外包不會減輕組織的法律責任或合規(guī)性義務。組織應確保對第三方過程進行控制和監(jiān)視。8.2建立控制和程序組織應實施控制措施以管理其合規(guī)義務和相關的合規(guī)風險。這些控制措施應予以維護，定期檢查和測試，以確保注：測試控件是指進行有計劃的練習，以查看控件是否達到了預期的目的或不能被繞過，或者在降低風險的影響8.3引起關注組織應建立，實施和維護·個過程，以鼓勵和報告(在合理的理由下認為該信息是真實的)企圖，懷疑或?qū)嶋H違反合規(guī)政策或合規(guī)義務的情況?！Ｃ艿靥幚韴蟾妫唤M織應確保所有人員都了解報告程序，其權利和保護并能夠使用它們。&4調(diào)查程序組織應制定，建立，實施和維護過程，以評估，評估，調(diào)查和結清關于可疑或?qū)嶋H違規(guī)事件的報告。這些程序應調(diào)查過程應由主管人員獨立進行，不得有利益沖突。組織應將調(diào)查結果用于適當?shù)馗倪M合規(guī)管理系統(tǒng)(參見第10條)°組織應定期向理事機構或最高管理者報告調(diào)查的數(shù)量和結果。組織應保留有關調(diào)查的書面信息。9績效評估組織應監(jiān)視合規(guī)管理系統(tǒng)，以確保實現(xiàn)合規(guī)目標。一為確保有效結果而進行的監(jiān)測，測量，分析和評估方法；一監(jiān)測和測量的結果應進行分析和評估。文件信息應作為結果的證據(jù)。組織應評估合規(guī)績效和合規(guī)管理系統(tǒng)的有效性。9.1.3有關合規(guī)績效的反饋來源組織應建立，實施，評估和維護過程，以從各種來源尋求并接收有關其合規(guī)績效的反饋。應對信息進行分析和嚴格評估，以找出不符合項的根本原因，確保采取適當?shù)拇胧?，并將此信息反映在?.1.5組織應制定，實施和維護一套適當?shù)闹笜?，以幫助組織評估其合規(guī)目標的實現(xiàn)并評估其合規(guī)績效。9.1.6合規(guī)報告組織應建立，實施和維護合規(guī)報告流程，以確保：d)實施系統(tǒng)和流程以確保信息的準確性和完整性；合規(guī)部門向理事機構或最高管理層發(fā)布的任何報告均應得到充分保護，以免發(fā)生變更。9.1.5保持記錄中必須保留組織合規(guī)活動的準確，最新記錄，以幫助進行監(jiān)視和審查過程，并證明與合規(guī)管理系統(tǒng)的符合性。9.2內(nèi)部審核組織應按計劃的時間間隔進行內(nèi)部審核，以提供有關合規(guī)管理系統(tǒng)是否：一組織對合規(guī)管理系統(tǒng)的要求；b)有效地實施和維護。組織應計劃，建立，實施和維護審核計劃，包括頻率，方法，職責，計劃要求和報告。在建立內(nèi)部審核計劃人)時，組織應考慮相關過程的重要性以及以前審核的結果。c)確保將審核結果報告給相關管理人員和管理層。注1:相關管理可以包括合規(guī)職能，最高管理者和管理機構。應提供書面信息，作為審核計劃和審核結果實施的證據(jù)。注2:ISO19011中給出了有關審核管理系統(tǒng)的指南。9.3.1總則9.3.2領導機構和最高管理者應按計劃的時間間隔審查組織的合規(guī)管理系統(tǒng)，以確保其持續(xù)的適用性，充分性和有效性。管理評審應包括：a)先前的管理評審所采取的措施的狀態(tài)；b)與合規(guī)管理系統(tǒng)相關的外部和內(nèi)部問題的更改；c)與合規(guī)管理系統(tǒng)有關的利害關系方的需求和期望的變化；d)有關合規(guī)績效的信息，包括以下方面的趨勢：一不合格，不合規(guī)和糾正措施；一監(jiān)測和測量結果；■審計結果；e)持續(xù)改進的機會。管理評審應考慮：-遵守政策的充分性；遵守職能的獨立性；達到合規(guī)目標的程度；—資源是否充足；一合規(guī)風險評估的充分性；一現(xiàn)有控制措施和績效指標的有效性；提出疑慮的人，有關方面的溝通，包括反饋(見9L2)和投訴；■調(diào)查(見脂):一報告系統(tǒng)的有效性。9.3.3管理評審結果管理評審的結果應包括與持續(xù)改進機會以及對合規(guī)管理體系進行任何更改的需求有關的決策。應提供書面信息，作為管理評審結果的證據(jù)。10改進10.1持續(xù)改進組織應不斷提高合規(guī)管理體系的適用性，充分性和有效性。10.2不合格和糾正措施當發(fā)生不符合項或不符合項時，組織應：a)對不符合項或不符合項做出反應，并在適用的情況下：1)采取措施進行控制和糾正；b)評估采取行動消除不合格或不合規(guī)原因或兩者的原因的必要性，以使其不會在其他地方再次發(fā)生或發(fā)生，方法是：1)審查不合格或不合規(guī)，或兩者兼而有之；2)確定不合格或不合格或兩者的原因；3)確定是否存在相似的不合格品或不合格品，或同時存在或可能發(fā)生類似的不合格品；c)實施所需的任何行動；d)審查采取的任何糾正措施的有效性；糾正措施應適合于所遇到的不合格或不合格或兩者的影響。應提供書面信息作為以下方面的證據(jù)：不符合或不符合或兩者的性質(zhì)，以及隨后采取的任何措施；-任何糾正措施的結果。附件A(資料性的)A.1.1總則本附件中指南的月的是指出組織在實施合規(guī)性管理系統(tǒng)時可以采取的方法和行動類型。它并不旨在是全面的或規(guī)范性的，組織也沒有義務實施本指南中的所有建議以使合規(guī)性管理系統(tǒng)滿足本文檔的要求o為了履行其合規(guī)義務，組織應就其合規(guī)風險的性質(zhì)和范圍采取合理的措施。組織可以選擇將此遵從性管理系統(tǒng)作為一個單獨的系統(tǒng)來實施，但是，理想情況下，它將與其他管理系統(tǒng)(例如風險，反賄賂，質(zhì)量，環(huán)境，信息安全和社會責任)一起實施。舉幾個例子。在這種情況下，組織可以參考ISO31000,ISO37001,ISO9001,ISO14001和ISO/1EC27001以及ISO26000《A.1.2范圍任何規(guī)模，復雜性或行業(yè)的組織都可以按照其要求將本文檔應用于創(chuàng)建合規(guī)性管理系統(tǒng)。這將使他們了解其背景，業(yè)務運營，由此產(chǎn)生的義務和合規(guī)風險，并幫助他們采取合理的步驟來履行其義務。應遵守文件中的每個要求。但是，僅推薦本附件中的指南。實際上，在小型組織中，根據(jù)本文檔實施合規(guī)性管理系統(tǒng)通常較為容易，因為它們不那么復雜。中小型組織將通過使用本文檔要求的原則來增強其組織實踐。本文檔涉及理事機構和高層管理人員，并定義了這些術語在各種上下文和位置中的含義。本文檔可供所有組織使用，因此，如果特定組織不使用這些術語，請注意其使用意圖：要求或指示將適用于在頂峰擁有權威和責任的個人或人群組織的。A.2規(guī)范性引用文件本文檔無規(guī)范性引用。用戶可以參考參考書目以獲取與合規(guī)性相關的其他信息和國際標準。該文件采用了ISO開發(fā)的高級結構(HLS),以改善其國際管理體系標準之間的一致性。HLS結構列出了子句序列，通用術語和定義，以及構成ISO管理系統(tǒng)標準(MSS)核心的相同核心文本。這意味著某些定義可以以不熟悉的方式使用。提供的定義可以在使用本文檔時提供澄清。MSS的這種通用方法為用戶增加了此類標準的價值。對于選為“集成”)管理系統(tǒng)的組織而言，此功能特別有用。尚未采用MSS或合規(guī)性管理框架的組織可以輕松地將此文檔作為其組織內(nèi)的獨立指南。A·4組織的背景A.4.1了解組織及其背景該條款的目的是組織對可能影響其合規(guī)性管理系統(tǒng)的重要問題建立高層(例如戰(zhàn)略)理解。然后，所獲得的知識將用于指導規(guī)劃，實施，操作和改進合規(guī)性管理系統(tǒng)的方法。這是審查有關組織的所有可用信息的過程：組織做什么,在哪里，如何以及為什么。根據(jù)合規(guī)義務評估外部和關鍵因素對組織的影響。這些合規(guī)性義務中最明顯的是組織在其經(jīng)營所在的法律和法規(guī)環(huán)境中產(chǎn)生的，但義務或風險也可能由本文檔中建議的其他因素引起。組織還應考慮可能會產(chǎn)生影響的相關未來趨勢。應考慮內(nèi)部因素。文檔中包含一些示例。此列表并不詳盡，并且可能還有其他與組織相關的列表。A.4.2了解有關方面的需求和期望組織應建立對可能會影響合規(guī)管理系統(tǒng)，受其影響或認為自己受到合規(guī)管理系統(tǒng)影響的人員或組織的需求和期望有些是強制性的，因為它們已被納入正式的耍求中，例如法律，法規(guī)，許可證和執(zhí)照以及政府或法院的訴訟?？赡艽嬖诖颂幬窗ǖ钠渌揭蟆．斨付死嫦嚓P方的其他需求和期望時，這些義務和義務就成為了義務，并且組織決定通過簽訂協(xié)議或合同自愿采用這些義務和期望。一旦組織決定了它們，它們便成為合規(guī)義務。外部利益相關方的示例包括：—政府和政府機構；監(jiān)管機構；·第三方中介；一所有者，股東和投資者；非政府組織；—社會和社區(qū)團體；·商務伙伴。內(nèi)部利益相關方的示例包括：一理事機構；一內(nèi)部職能，例如風險管理，內(nèi)部控制，內(nèi)部審計，人力資源。A.4.3確定合規(guī)管理體系的范圍確定遵從性管理系統(tǒng)的范圍是組織確定遵從性管理系統(tǒng)將應用到的物理和組織邊界的過程。這樣，組織可以自曲選擇在整個組織內(nèi)，組織中的特定單位或特定職能中實施法規(guī)遵從管理系統(tǒng)的自曲度和靈活性。通常，合規(guī)管理系統(tǒng)將在整個組織中實施，對于一組組織而言，則將在整個組織中實施，以避免道德行為和合規(guī)的雙重標準。考慮到組織所面臨的合規(guī)風險的性質(zhì)和程度，范圍應合理且相稱。建立合規(guī)管理系統(tǒng)的范圍并確定組織將采用哪些要求時，應考慮對相關利益方的上下文和要求的了解A.4.4合規(guī)管理體系合規(guī)管理系統(tǒng)是一個框架，該框架集成了必要的結構，政策，流程和程序，以實現(xiàn)所需的合規(guī)結果，并采取措施防止，發(fā)現(xiàn)和應對不合規(guī)情況。通常，合規(guī)性管理系統(tǒng)框架是結構性問題：構建該系統(tǒng)所必需的基礎結構。然后需要通過執(zhí)行政策，流程和程序來使其可操作。然后，需要對其進行維護并對其進行持續(xù)改進。合規(guī)性管理系統(tǒng)包含許多要素。管理系統(tǒng)的某些元素將被設計為支持所需的行為，而其他元素將被設計為防止不良行為。有些元素僅用于監(jiān)視組織的合規(guī)性績效，或者在發(fā)生不合規(guī)情況時發(fā)出警報。合規(guī)管理系統(tǒng)將認識到確實會發(fā)生錯誤，并將制定流程以確保做出適當?shù)姆磻?。適當?shù)姆磻獙▽α鞒蹋到y(tǒng)和受影響方的補救。遵守管理系統(tǒng)應基于善政，相稱性，完整性，透明度，問責制和可持續(xù)性的原則。合規(guī)管理系統(tǒng)應作為文檔信息提供。A.4.5合規(guī)義務組織應將合規(guī)義務作為建立，開發(fā)，實施，評估，維護和改進其合規(guī)管理體系的基礎。組織強制性必須遵守的要求包括：—法律法規(guī)；一許可證，執(zhí)照或其他形式的授權；—監(jiān)管機構發(fā)布的命令，規(guī)則或指南；法院或行政法庭的判決：一條約，公約和議定書。組織自愿選擇遵守的要求可以包括：一與社區(qū)團體或非政府組織的協(xié)議；—與公共機構和客戶的協(xié)議；組織要求，例如政策和程序；自愿性原則或行為準則；—自愿標簽或環(huán)境承諾；與組織的合同安排下產(chǎn)生的義務；—相關的組織和行業(yè)標準。組織應按部門，職能和組織活動的不同類型確定合規(guī)義務，以確定誰受這些合規(guī)義務影響。獲取有關法律變更和其他合規(guī)義務的信息的過程可以包括：在相關監(jiān)管機構的郵件列表中；一，專業(yè)團體的成員；訂閱相關的信息服務；參加行業(yè)論壇和研討會；監(jiān)控監(jiān)管機構的網(wǎng)站；與監(jiān)管機構會面；—與法律顧問的安排；■監(jiān)視合規(guī)義務的來源(例如，法規(guī)聲明，法院判決)。應該采取基于風險的方法，即組織應首先確定與業(yè)務相關的最重要的合規(guī)義務，然后集中精力處理所有其他合規(guī)義務(帕累托原理)。在適當?shù)那闆r下，組織應建立并維護一個列出所有合規(guī)義務的文件(例如注冊簿或日志),并制定一個定期更新該文件的過程。除規(guī)定合規(guī)義務外，該文件還應包括但不限于：—履約義務的影響；一遵守義務的管理；—與合規(guī)義務相關的控制：·風險評估。A.4.6合規(guī)風險評估合規(guī)風險評估是實施合規(guī)管理系統(tǒng)以及分配適當和足夠的資源和流程以管理已識別合規(guī)風險的基礎。合規(guī)風險的特征是發(fā)生的可能性以及不遵守組織的合規(guī)政策和義務的后果。合規(guī)風險包括固有合規(guī)風險和殘留合規(guī)風險。固有合規(guī)風險是指組織處于不受控制的狀態(tài)而沒有任何相應的合規(guī)風險處理措施時所面臨的所有合規(guī)風險。殘余合規(guī)風險是指組織現(xiàn)有的合規(guī)風險處理措施無法有效控制的合規(guī)風組織應通過考慮違規(guī)的根本原因和根源以及后果，來分析合規(guī)風險，同時包括可能發(fā)生這些后果的可能性。后果可以包搖例如人身和環(huán)境損害，經(jīng)濟損失，名譽損害，行政變更以及民事和刑事責任。合規(guī)風險的標識包括合規(guī)風險源的標識和合規(guī)風險情況的定義。組織應根據(jù)部門職責，職務職責和不同類型的組織活動，識別各個部門，職能和不同類型的組織活動中的合規(guī)風險源。組織應定期識別合規(guī)風險源，并定義與每個合規(guī)風險源相對應的合規(guī)風險情況，以制定合規(guī)風險源列表和合規(guī)風險情況列表。風險評估包括將組織可以接受的合規(guī)風險水平與合規(guī)政策中規(guī)定的合規(guī)風險水平進行比較。應定期評估合規(guī)風險，并在存在以下情況時重新評估合規(guī)風險：新的或更改的活動，產(chǎn)品或服務；-改變組織的結構或策略；■重大的外部變化，例如財務經(jīng)濟狀況，市場狀況，負債和客戶關系；變更合規(guī)義務；不合規(guī)(即使是單個不合規(guī)事件也可能構成情況的重大變化)和差錯。合規(guī)風險評估的詳細程度和水平取決于組織的風險狀況，背景，規(guī)模和目標，并且對于特定的子領域(例如環(huán)境，財務，社會)可能有所不同?；陲L險的合規(guī)管理方法并不意味著對于低合規(guī)風險情況，組織可以接受不合規(guī)的情況。它可以幫助組織將主耍注意力和資源集中在較高風險上，并將其作為優(yōu)先事項，并最終覆蓋所有合規(guī)風險。所有確定的合規(guī)風險/情況都將受到監(jiān)控和處理。進行風險評估時(請參見ISO31000),應注意適當?shù)募夹g(如IEC31010中所述)。A·5領導力A.5.1領導和承諾A.5.1.1領導機構和最高管理者有效的合規(guī)性需要領導機構和遍布整個組織的最高管理層的積極承諾。對于合規(guī)管理系統(tǒng)而言，至關重要的是，領導機構和高層管理人員必須清晰，可見地展示其對實現(xiàn)合規(guī)管理系統(tǒng)目標的承諾。不合規(guī)可能會對業(yè)務造成負面影響，例如聲譽受損，經(jīng)營許可喪失，機會喪失以及大量成本。因此，理事機構和最高管理者應認識到有效合規(guī)管理的戰(zhàn)略重要性。該文件列出了領導者可以展示其承諾的多種方式。最基本的方法是通過積極可見的支持來建立和維護合規(guī)性管理承諾程度由以下程度指示：理事機構和各級管理層積極表現(xiàn)出對通過其行動和決定建立，發(fā)展，實施，評估，維持和改進有效和響應迅速的合規(guī)管理系統(tǒng)的承諾；一合規(guī)政策由理事機構正式批準；—最高管理者負責確保充分實現(xiàn)對組織合規(guī)性的承諾；各級管理人員始終向員工傳達清晰的信息(以言語和行為表示),表明該組織將履行其合規(guī)義務—在行動支持的清晰和令人信服的聲明中，已向所有人員和有關各方廣泛傳達了合規(guī)承諾；■合規(guī)職能的人員具有適當?shù)哪芰?，地位權限和獨立性，這反映了有效合規(guī)的重要性，并可以直接與理事機構接通過提高認識的活動和對所有人員和有關方面的培訓，為建立，發(fā)展，實施，評估，維持和改善健全的合規(guī)文化分配了足夠的資源；—政策，流程和程序不僅反映了法律要求，還反映了自愿守則和組織的核心價值；一組織為組織的各個級別分配并要求對遵從管理負責：一對合規(guī)管理系統(tǒng)進行定期審查(建議至少每年一次);—組織的合規(guī)績效不斷提高；及時采取糾正措施；理事機構和最高管理層正在遵循組織的合規(guī)性管理系統(tǒng)。A.5.1.2合規(guī)文化支持合規(guī)文化發(fā)展的因素可以包括：清晰的公開價值集；一積極，明顯地執(zhí)行和遵守價值觀的管理；在不遵守規(guī)定的情況下保持一致，無論其職位如何；以身作則的指導，指導和領導；-對潛在人員進行關鍵職能(包括盡職調(diào)查)的適當?shù)穆毲霸u估；一強調(diào)合規(guī)性和組織價值觀的入職培訓或入職培訓；一持續(xù)的合規(guī)培訓，包括對所有人員和有關方面的培訓的更新；一持續(xù)就合規(guī)問題進行溝通：考核考核制度，該考核制度應考慮對合規(guī)行為的評估并考慮績效薪酬，以實現(xiàn)合規(guī)關鍵績效指標和成果；—對合規(guī)管理成就和成果的可見認可；—在故意或過失違反合規(guī)義務的情況下，迅速而按比例地進行紀律處分；一組織戰(zhàn)略與個人角色之間的明確聯(lián)系，強調(diào)合規(guī)性對于實現(xiàn)組織成果至關重要：—在內(nèi)部和外部進行有關合規(guī)性的公開且適當?shù)臏贤?。遵守文化的證據(jù)由以下程度指示：一以上各項已執(zhí)行；有關各方(特別是人員)認為上述各項已得到執(zhí)行；人員了解與他們自己的活動和其業(yè)務部門的活動相關的合規(guī)義務的相關性；解決不合規(guī)問題的糾正措施是"擁有的",并根據(jù)需要在組織的所有適當級別上采取措施；遵守職能的作用及其目標得到重視；鼓勵并鼓勵員工向合規(guī)管理人員提出合規(guī)問題，包括高層管理人員和理事機構。a)衡量其合規(guī)文化；b)征求所有人員的意見，以確定他們是否理解理事機構，高層管理人員和中層管理人員對合規(guī)的承c)根據(jù)組織的合規(guī)文化指標的結果制定行動計劃。A.5.1.3合規(guī)治理合規(guī)治理基于以下基本原則。合規(guī)職能可直接與理事機構和高層管理人員聯(lián)系。他們可以繞過組織中的其他人員(如果有必要),并直接與最有權采取行動的人員進行溝通。這對理事機構和高層管理人員有直接好處，因此他們可以行使職責。這種訪問應該經(jīng)過計劃和系統(tǒng)的。例如，合規(guī)部門可以直接向首席執(zhí)行官報告，向?qū)徲嬑瘑T會，主席或整個董事會報告“虛合規(guī)職能應該是獨立的，并且不應與組織結構或其他要素相沖突。他們可以自由采取行動，而不受生產(chǎn)線管理的遵從功能具有權限。合規(guī)職能不是可以被推翻的初級職位，也不可以由權限較高的人員更改報告或信息。合規(guī)職能可以根據(jù)需要指導其他人員。合規(guī)職能部門應該有一個“Mvoice”,以倡導并提出任何合規(guī)問題。合規(guī)職能有足夠的資源來支持組織不受限制地執(zhí)行合規(guī)管理系統(tǒng)的必要工作和職責，包括獲得技術以使合規(guī)管理系統(tǒng)能夠全面有效地支持組織實現(xiàn)其合規(guī)目標。A.5.2遵從政策遵從政策建立了組織的總體原則和行動承諾，以實現(xiàn)組織的遵從。它確定了所需的責任和績效水平，并確定了將要評估的行動的期望。該策略應適合組織因其活動而產(chǎn)生的合規(guī)義務。合規(guī)政策應由理事機構批準。合規(guī)政策應指定：與組織及其運營環(huán)境的規(guī)模，性質(zhì)和復雜性相關的合規(guī)性管理系統(tǒng)的應用程序和上下文；一合規(guī)程度將與治理，風險，審計和法律等其他職能整合的程度；與內(nèi)部和外部利益相關方的關系將得到管理的原則。合規(guī)政策不應是獨立的文檔，而應得到其他文檔的支持，包括運營策略和流程。如有必要，應將合規(guī)政策翻譯成其他語言。在制定合規(guī)政策時，應考慮：a)具體的國際，區(qū)域或地方義務；b)組織的戰(zhàn)略，目標，文化和治理方法；e)通過的標準，規(guī)范，內(nèi)部政策和程序；遵從策略可以包括：—一般政策聲明；一管理策略以及職責和資源的分配；—標準遵守程序；—審核，盡職調(diào)查和合規(guī)性。A.5.3.1領導機構和最高管理者理事機構的積極參與和監(jiān)督是有效合規(guī)管理系統(tǒng)不可或缺的一部分。這有助于確保人員充分了解組織的合規(guī)政策和運營合規(guī)程序，以及如何將其應用到他們的工作中，并確保他們有效地履行合規(guī)義務。為了使合規(guī)管理系統(tǒng)有效，管理機構和最高管理者需要以身作則，堅持并積極，可見地支持合規(guī)和合規(guī)管理系盡管規(guī)模不限其他組織或職能(包括現(xiàn)有委員會，組織單位)或?qū)⒁赝獍o合規(guī)專家，但許多組織還取決于其規(guī)模，由其全權負責合規(guī)管理。最高管理者應鼓勵建立和支持合規(guī)性的行為，并且不應容忍損害合規(guī)性的行為。一組織對遵守其價值觀，目標和策略的承諾的一致性，以便適當?shù)囟ㄎ蛔袷厍闆r；一鼓勵所有員工接受實現(xiàn)自己負責或負責的合規(guī)目標的重要性；建立鼓勵舉報違規(guī)行為的環(huán)境，舉報員工可以免受報復；—將合規(guī)性納入更廣泛的組織文化和文化變革計劃中；一識別違規(guī)行為并立即采取措施糾正或解決違規(guī)行為：—運營目標和目標不會損害合規(guī)行為。最高管理者應參考KPI和其他關鍵信息按計劃的時間間隔(例如每季度或每月一次)審查合規(guī)管理系統(tǒng)的性能，合規(guī)管理系統(tǒng)的有效性要求最高管理者通過制定標準和進行合理監(jiān)督來作出承諾。最高管理者應了解合規(guī)管理系統(tǒng)的內(nèi)容和操作，并應確保組織具有有效的合規(guī)管理系統(tǒng)的適當流程。A.5.3.2遵從功能許多組織都有專職人員(例如合規(guī)官)負責日常合規(guī)管理，有些組織有跨職能的合規(guī)委員會來協(xié)調(diào)整個組織內(nèi)的合規(guī)。合規(guī)性功能與管理層一起工作。并非所有組織都將創(chuàng)建離散的合規(guī)性功能。有些人會將此功能分配給現(xiàn)有職位或?qū)⒃摴δ芡獍?。外包時，組織應考慮不將整個合規(guī)性職能分配給第三方。即使將部分功能外包，它也應考慮對其保持授權并監(jiān)督此類功能。在分配合規(guī)性管理系統(tǒng)的責任時，應考慮確保合規(guī)性功能表明：誠信和對合規(guī)的承諾；—有效的溝通和影響力技能；—在設計，實施和維護合規(guī)管理系統(tǒng)方面的相關能力；自信，業(yè)務知識和經(jīng)驗以進行測試和挑戰(zhàn)；一采取策略性，積極主動的合規(guī)方法；有足夠的時間來滿足角色的需求。合規(guī)職能應具有權力，地位和獨立性。權威是指管理機構和最高管理者授予合規(guī)職能足夠的權力。身份意味著其他人員可能會聽取并尊重他/她的意見。獨立性意味著合規(guī)職能盡可能不親自參與面臨合規(guī)風險的活動。合規(guī)職能應沒有利益沖突，以履行其職責。A.5.3.3管理最高管理者的職責不應被視為放棄其他級別的合規(guī)性管理，因為所有經(jīng)理都應在合規(guī)性管理系統(tǒng)方面發(fā)揮作用。因此，重要的是清楚地闡明他們各自的職責并將其包括在他們的職務說明中。經(jīng)理的合規(guī)責任將根據(jù)權限級別，影響力和其他因素(例如組織的性質(zhì)和規(guī)模)而有所不同。但是，某些職責可能在各種組織中是共同的。A.5.3.4人員所有人員均應遵守合規(guī)義務。人員應確保他們了解自己的合規(guī)責任并有效地履行它們。為此，將通過合規(guī)管理系統(tǒng)的要素來為其提供支持，例如培訓，政策和程序以及行為準則。人員應積極主動地尋求見解和改進意見，以幫助遵守法規(guī)管理系統(tǒng)。A.6規(guī)劃A.6.1應對風險和機遇的行動遵從性管理系統(tǒng)的計劃是在戰(zhàn)略級別執(zhí)行的，而運營計劃則是針對運營計劃和控制而制定的。規(guī)劃的目的是預測潛在的情況和后果，因此是預防性的。根據(jù)合規(guī)風險評估的結果，組織應計劃如何在不良后果發(fā)生之前解決這些不良影響，以及如何從有利于支持合規(guī)管理體系有效性的有利條件或狀況中受益。規(guī)劃還應包括確定如何將被認為對合規(guī)管理系統(tǒng)必要或有益的行動納入業(yè)務活動和流程。合并可以通過目標設定，運營控制或其他特定條款(例如資源規(guī)定，權限)來實現(xiàn)。還應該計劃評估合規(guī)管理系統(tǒng)有效性的措施。這可以包括監(jiān)視，度量技術，內(nèi)部審核或管理評審。A.6.2合規(guī)目標和實現(xiàn)這些目標的計劃應該以可以測量結果的方式指定目標。合規(guī)目標的一個示例：至少每年對相關人員進行合規(guī)培訓。應該確定實現(xiàn)目標所需的行動(即“什么”),相關的時間范圍(即“何時”)和負責人(即“誰”)o應根據(jù)需要定期監(jiān)測，記錄，評估和更新目標的狀態(tài)和進度。一種。7支持資源包括財務，人力和技術資源，以及獲得外部建議和專門技能，組織基礎設施，專業(yè)發(fā)展，技術以及有關合規(guī)管理和法律義務的當代參考資料。A.7.2能力A.7.2.1總貝!J術語“能力''是指應用知識和技能以達到預期結果的能力。能力需要知識，經(jīng)驗和技能，以便人們可以有效地履行其職責。組織應為所有人員確定完成其任務所需的專業(yè)知識和知識，以便組織可以向客戶提供其產(chǎn)品和服務。組織應建立勝任力的證據(jù)(例如工作說明，職位陳述),在填補職位時可以考慮這些證據(jù)。應采取措施(例如培訓)以確保維持現(xiàn)有能力并獲得新能力。應該有足夠的能力證明文件，以及為保持或獲得這些能力而采取的措施。A.7.2.2就業(yè)過程在雇用人員或提拔現(xiàn)有人員之前，組織應進行盡職調(diào)查，包括參考或背景調(diào)查。A.7.2.3培訓履行合規(guī)義務的理事機構，管理層和人員應有能力有效地履行這些義務。能力的實現(xiàn)可以通過多種方式實現(xiàn)，包括通過教育，培訓或工作經(jīng)驗所需的技能和知識。培訓計劃的目的是確保人員有能力以與組織的合規(guī)文化及其對合規(guī)承諾相一致的方式勝任其職務。正確設計和執(zhí)行的培訓可以為工作人員提供有效的方式，以傳達以前無法確定的合規(guī)風險。教育和培訓應：—在適當?shù)那闆r下，基于對員工知識和能力差距的評估；一具有足夠的靈活性以說明一系列技術，以適應組織和人員的不同需求；一由經(jīng)驗豐富且合格的人員設計，開發(fā)和交付：—以適用的當?shù)卣Z言提供：一定期評估和評估其有效性。如果不遵守規(guī)定會導致嚴重后果，則交互式培訓可能是最佳的培訓形式。組織應在發(fā)生不當行為的地區(qū)提供培訓。只要存在以下情況，就應考慮合規(guī)性再培訓：—職位或職責的改變；—內(nèi)部政策，流程和程序的變化；一組織結構的變化；一遵守義務的變化，尤其是法律要求和利害關系方的要求；—活動，產(chǎn)品或服務的變更；一由監(jiān)控，審計，審查，投訴和不合規(guī)引起的問題，包括有關方面的反饋。A.7.3意識意識涉及確保合規(guī)策略可供所有人員訪問和使用，并被理解。可以通過諸如但不限于以下方法來提高合規(guī)意識：—培訓(面對面或在線):—高層管理人員的溝通；—易于遵循且易于獲取的參考資料；一定期更新合規(guī)性問題。傳達對合規(guī)性的承諾：—建立意識并激勵人員采用合規(guī)管理系統(tǒng)；一鼓勵員工提出有助于持續(xù)改進合規(guī)績效的建議。A.7.4溝通應根據(jù)組織的政策，采用針對所有利益相關方的外部交流的實用方法。感興趣的各方可以包括監(jiān)管機構，客戶，承包商，供應商，投資者，緊急服務，非政府組織和鄰居。組織應分配適當?shù)馁Y源和具有相關知識的人員來協(xié)調(diào)和促進監(jiān)管互動。交流方法可以包括網(wǎng)站和電子郵件，新聞稿，廣告和定期新聞通訊，年度(或其他定期)報告，非正式討論，開放日，焦點小組，社區(qū)對話，參與社區(qū)活動和電話熱線。這些方法可以鼓勵理解和接受組織對合規(guī)性的承諾。交流應遵循透明，適當，可信，響應，可訪問和清晰的原則。A.7.5文件信息A.7.5.1總貝!I記錄的信息可以包括：組織的合規(guī)政策和程序；合規(guī)管理系統(tǒng)的目標，指標，結構和內(nèi)容；分配角色和責任以實現(xiàn)合規(guī)性；有關合規(guī)義務的登記冊；—依從風險登記冊，并根據(jù)依從風險評估流程確定治療的優(yōu)先級；違規(guī)，未遂和調(diào)查的記錄；一年度合規(guī)計劃：一人事記錄，包括但不限于培訓記錄；—審核過程，審核時間表和相關的審核記錄。文件化信息可以包括與監(jiān)管報告要求有關的事項。記錄的信息可以包括各種媒體(數(shù)字和非數(shù)字媒體)0A.7.5.2創(chuàng)建和更新文檔信息應更新記錄的信息以反映內(nèi)部和外部的更改，以確保它們是最新的和最新的。A.7.5.3文件信息的控制可以準備文件化信息以獲取法律建議，因此可以成為法律特權的主題。A.8操作A.8.1運作計劃和控制精心設計的合規(guī)性管理系統(tǒng)包括可以對合規(guī)文化既有內(nèi)容又有影響的措施(例如政策，流程，程序)。他們著眼于減少合規(guī)風險評估過程中發(fā)現(xiàn)的風險，并旨在降低這些風險。運營控制的基本要素是行為準則，其中規(guī)定了組織對相關合規(guī)性義務的完全承諾。行為準則應適用于所有人員，并可供他們使用。根據(jù)并源自行為準則，應將合規(guī)措施納入組織的日常運營中，以培養(yǎng)合規(guī)文化。與業(yè)務流程有關的情況需要操作控制，而缺少此類控制可能導致偏離合規(guī)政策或違反合規(guī)義務。這些情況可能與所有業(yè)務情況，活動或過程(例如生產(chǎn)，安裝，服務，維護)或承包商，供應商或銷售商有關?？刂频某潭瓤梢愿鶕?jù)幾個因素而變化，例如所執(zhí)行功能的重要性或復雜性，違規(guī)或涉及或可獲得的技術支持的潛在后果。當操作控制失敗時，必須采取措施來解決任何不良后果。如果組織的活動中使用了第三方或外包流程，則組織應進行有效的盡職調(diào)查，以確保不會降低其標準和對合規(guī)性的承諾。第三方的一個示例涉及產(chǎn)品和服務的提供以及產(chǎn)品的分銷。組織應確保訂立適當?shù)姆账絽f(xié)議(SLA),以規(guī)定服務提供商的合規(guī)義務。精心設計的外包流程應考慮以下因素：初步和正在進行的盡職調(diào)查；實施適當?shù)目刂疲阂贿M行持續(xù)監(jiān)控；對法律/合同協(xié)議的適當審查；一使用經(jīng)本文檔認證的第三方。與第三方簽訂合同時，組織應實施控制措施，以確保對活動的采購，運營，商業(yè)和其他非財務方面進行適當?shù)墓芾怼８鶕?jù)組織和交易的規(guī)模，組織實施的采購，運營，商業(yè)和其他非財務控制措施可以降低合規(guī)風險。A.8.2建立控制和程序需要有效的控制措施以確保滿足組織的合規(guī)義務，并防止，發(fā)現(xiàn)和糾正不合規(guī)情況?？丶脑O計應足夠嚴格，以促進實現(xiàn)特定于組織活動和運營環(huán)境的合規(guī)性義務。此類控件應盡可能嵌入到正常的組織過程中?？丶梢园ǎ骸逦?，實用且易于遵循的書面操作政策，流程，程序和工作說明；—系統(tǒng)和異常報告；■批準；一角色和職責不相容的隔離；—自動化流程：一年度合規(guī)計劃：■人員績效計劃；—符合性評估和審核；—表現(xiàn)出管理承諾和模范行為；以及其他促進合規(guī)行為的措施；一就員工的預期行為(標準和價值觀，行為準則)進行積極，公開和頻繁的溝通。在制定支持合規(guī)性管理的程序時，應考慮：·將合規(guī)義務納入程序，包括計算機系統(tǒng)，表格，報告系統(tǒng)，合同和其他法律文件；一與組織中其他審查和控制職能的…致性；一持續(xù)的監(jiān)測和測量；評估和報告(包括管理監(jiān)督)以確保員工遵守程序；一識別，報告和升級違規(guī)事件和違規(guī)風險的具體安排。A.8.3提出關注在適當?shù)那闆r下，應將其升級至最高管理層和理事機構，包括有關委員會。即使在當?shù)胤ㄒ?guī)沒有要求的情況下，組織也應考慮建立舉報人機制，以允許匿名或保密，以便組織的員工和代理商可以舉報不合規(guī)行為或?qū)で笾笇В槐負氖艿綀髲?。有關舉報管理系統(tǒng)的更多指南，請參見ISO37002。A.&4調(diào)查過程有效的合規(guī)管理系統(tǒng)的一個特點是一個運行良好的機制，用于及時，徹底地調(diào)查組織，其人員或相關第三方的任何指控或懷疑的不當行為。這包括組織響應的文檔，包括所采取的任何紀律或補救措施，以及考慮到所汲取的教訓對合規(guī)管理系統(tǒng)進行的修訂。一個有效的調(diào)查機制可以識別不當行為，合規(guī)管理系統(tǒng)漏洞和問責失誤的根本原因，包括管理人員，高層管理人員和理事機構之間的關系。經(jīng)過深思熟慮的根本原因分析可解決違規(guī)的程度和普遍性，所涉人員的數(shù)量和水平以及違規(guī)的嚴重性，持續(xù)時間和頻率。組織應確保調(diào)查是公正和獨立的。他們應酌情考慮建立獨立的委員會來監(jiān)督調(diào)查并保證其完整性和獨立性。組織應建立有關調(diào)查的報告機制，包括報告調(diào)查結果的級別。注意：法律有時會要求組織舉報不合規(guī)情況。在這種情況下，將根據(jù)適用的法規(guī)或另行商定的方式通知監(jiān)管部即使法律沒有要求組織舉報不合規(guī)情況，也可以考慮將·不合規(guī)情況自愿披露給監(jiān)管機構，以減輕不合規(guī)的后果。A·9績效評估A.9.1.1概述監(jiān)視是收集信息的過程，目的是評估合規(guī)性管理系統(tǒng)和組織的合規(guī)性績效的有效性。對合規(guī)性管理系統(tǒng)的監(jiān)視通常包括：一培訓的有效性：—控制的有效性(例如通過樣本測試輸出);有效分配職責以履行合規(guī)義務；履約義務的貨幣；解決先前發(fā)現(xiàn)的合規(guī)性失敗的有效性；內(nèi)部合規(guī)檢查未按計劃執(zhí)行的情況；—針對合規(guī)風險審查業(yè)務策略，以進行適當?shù)母隆１O(jiān)視合規(guī)性能通常包括：不遵守和“近乎失誤”(即沒有不良影響的事件);沒有履行合規(guī)義務的情況；達不到目標的情況；一遵守文化的狀況；一建立領先和落后的指標。A.9.1.2關于合規(guī)績效的反饋來源一資料包括：人員(例如通過舉報設施，熱線服務，反饋，建議箱);客戶(例如通過投訴處理系統(tǒng));—第三方；一供應商；過程控制日志和活動記錄(包括基于計算機的和基于紙張的)。關于合規(guī)性表現(xiàn)的反饋可以包括：一一合規(guī)性問題：—不合規(guī)和合規(guī)性問題；一新出現(xiàn)的合規(guī)問題；一持續(xù)的法規(guī)和組織變革；—關于合規(guī)有效性和績效的評論。有很多收集信息的方法。下面列出的