政策法规

国家标准ISO37301《企业合规管理要求及应用指南》

时间：2021-10-31来源：转载

合规管理系统要求及使用指南

1、范围
本文件规定了要求,并提供了建立、开发和维护的指南。实施、评估、维护和改进组织内部有效的合规管理体系。
本文件适用于所有类型的组织,不论活动的类型、规模和性质,也不论该组织来自公共、私营或非营利部门。
如果一个组织没有一个理事机构作为一个单独的职能部门,本文件中规定的所有关于理事机构的要求都适用于最高管理层。

2、规范性引用文件
本文件中没有规范性引用文件。

3、术语和定义
以下术语和定义适用于本文件。

3.1、组织
有自己的职责、权限和关系以实现其目标的个人或群体(3.6)
注1:组织的概念包括但不限于独资商、公司、法人团体、商号、企业、当局、合伙企业、慈善机构或机构,或其部分或组合,无论是否成立。公共或私人。
注2:如果该组织是较大实体的一部分,则术语“组织”仅指较大实体中在合规管理体系范围内的部分
3.2、相关方(首选术语)
利益相关者(认可术语)
能够影响、被某一决定或活动影响或认为自己受其影响的人或组织(3.1)
3.3、高层管理人员
在最高层次上领导和控制一个组织(3.1)的人或一群人

3.4、管理制度
一个组织的一组相互关联或相互作用的要素(3.1),用来建立政策(3.5)和目标(3.6)以及实现这些目标的过程(3.8)
注1:一个管理系统可以针对一个或多个专业。
注2:管理体系要素包括组织结构、角色和职责、计划和运作。
3.5、政策
组织的意图和方向(31),由其最高管理层(3.3)正式表达。注1:政策也可以由组织的管理机构(321)正式表达。
3.6、目标
要达到的结果
注1:目标可以是战略目标、战术目标或作战目标。
注2:目标可以涉及不同的学科(如财务、健康和安全以及环境)。例如,它们可以是组织范围内的,或者特定于项目、产品、服务或过程(3.8))
注3:目标可以用其他方式表达,如预期结果、目的、操作标准、合规性目标,或使用其他具有类似含义的词语(如目的、目的或目标)
注4:在合规管理体系中,合规目标由组织设定,与合规政策一致,以实现具体结果。
3.7、风险
不确定性对目标的影响
注1:效应是偏离预期的正或负。
注2:不确定性是指与某一事件、其后果或可能性有关的信息、理解或了解不足的状态,甚至是部分的。
注3:风险通常以潜在的“事件”(定义见SO指南73)和“后果”(定义见指南73)或两者的组合为特征。
注4:风险通常表示为事件后果(包括环境变化)和相关发生“可能性”(定义见sO指南73)的组合。
3.8、过程
一组相互关联或相互作用的活动,使用或转换输入来传递结果
注1:过程的结果称为输出、产品还是服务取决于引用的上下文。
3.9、能力
运用知识和技能达到预期效果的能力

3.10、文件化信息
组织需要控制和维护的信息及其包含的媒介
注1:记录的信息可以是任何格式和媒体,也可以来自任何来源。
注2:文件化信息可参考:
-管理体系(3.4),包括相关过程(3.8)
为组织运作而创建的信息(文档):
取得结果的证据(记录)。
3.11、绩效审核

可衡量的结果
注1:缋效可与定量或定性结果相关。
注2:绩效可与管理活动、过程(3.8)、产品、服务、系统或组织(3.1)相关
3.12、持续改进
提高绩效的经常性活动(3.11)
3.13、有效性
计划活动实现和计划结果实现的程度
3.14、要求
明示的、通常隐含的或强制性的需要或期望
注1:“一般默示”是指组织(3.1)和相关方(3.2)的习惯或惯例是暗示所考虑的需要或期望。
注2:规定要求是指文件化信息(3.10)中规定的要求。
3.15、一致性
满足要求(3.14)
3.16、不合格
不满足要求(3.14)
注1:不符合项不一定是不合格项(3)
3.17、纠正措施
消除不合格原因(3.16)和防止再次发生的措施
3.18、审计
系统和独立的过程(3.8),用于获取证据并对其进行客观评估,以确定满足审计标准的程度
注1:审计可以是内部审计(第一方)或外部审计(第二方或第三方(3.30)),也可以是联合审计(结合两个或两个以上的专业)。
No注:內部审核由组织(3.1)自己或外部代表其进行。

注3:ISo19011中定义了“审计证据”和“审计准则”。
注4:独立性可以通过对被审计活动不负贵任或不存在偏见和利益冲突来证明。

3.19、测量
确定值的过程(38)
3.20、监测
确定系统、过程(3.8)或活动的状态
注1:为确定状态,可能需要检查、监督或严格观察。
3.21、管理机构
对一个组织(3 .1)的活动、治理和政策(3.5)负有最终责任和权力的个人或团体,高层(3.3)向其报告,并由其对高层管理人员负责
注1:并非所有组织,特别是小型组织,都有一个独立于最高管理层的管理机构。
注2:理事机构可包括但不限于堇事会、董事会委员会、监事会或受托人。
3.22、人员
在国家法律或实践中被确认为工作关系的个人,或在依赖于组织活动的任何合同关系中的个人(3.1)
3.23、合规功能
对合规(3.26)管理体系(3.4)的运行负有责任和权力的个人或团体
注1:最好指派一个人监督合规管理系统。
3.24、合规风险
不遵守组织合规义务(3.25)的发生可能性和后果(3.2Z)
3.25、合规义务
组织(3.1)必须遵守的要求(3.14)以及组织自愿选择遵守的要求(3.14)
3.26、顺从
满足组织的所有(3.1)合规义务(3.25)
3.27、不合规
不履行合规义务(325)
3.28、合规文化
存在于组织(3.1)中的价值观、道德、信仰和行为(3.29),并与组织结构和控制系统相互作用,产生有利于遵守的行为规范(3.26)

3.29、行为
影响客户、员工、供应商、市场和社区结果的行为和实践
3.30、第三方
独立于组织的个人或团体(31)
No注1:所有业务伙伴均为第三方,但并非所有第三方均为业务伙伴。
3.31、程序
执行活动或过程的特定方式(3.8)
来源:|sO9000:2015,3.4.5
4、组织背景
4.1、了解组织及其背景
组织应确定与其目的相关的、影响其实现合规管理体系预期结果能力的外部和內部问題。为此,本组织应审议范围广泛的问题,包括但不限于:商业模式,包括组织活动和运营的战略、性质、规模、复杂性和可持续性;与第三方业务关系的性质和范围:法律监管背景;经济形势;社会、文化和环境背景;内部结构、政策、流程、程序和资源,包括技术合规文化。
4.2、了解相关方的需求和期望
组织应确定:
与合规管理体系相关的相关方;
相关方的相关要求;
哪些要求将通过合规管理系统解决。
4.3、确定合规管理体系的范围

组织应确定边界和实施管理体系，以确定其范围

说明合规管理系统的范围旨在阐明组织面临的主要合规风险以及合规管理系统将适用的地域或组织边界，或两者兼而有，特别是当组织是一个较大实体的一部分时。

在确定这一范围时,组织应考虑4.1中提到的外部和内部问题;-4.2中提到的要求。4.5和4.6范围应作为文件化信息提供。
4.4、合规管理体系
组织应根据本文件的要求建立、实施、保持和持续改进合规管理体系,包括所需的过程及其相互作用。
合规管理体系应反映组织的价值观、目标、战略和合规风险,并考虑到组织的环境(见4.1)
4.5、合规义务
组织应系统地确定其活动、产品和服务所产生的合规义务,并评估其对其运作的影响。组织应建立过程以:
a)确定新的和变更的合规义务,以确保持续合规
评估已识别变更的影响,并在合规义务管理中实施任何必要的变更。
组织应保持其合规义务的文件化信息。
4.6、合规风险评估
组织应根据合规风险评估,识别、分析和评估其合规风险。
组织应通过将其合规义务与其活动、产品、服务及其运营的相关方面相联系来识别合规风险。组织应评估与外包和第三方过程相关的合规风险。
合规风险应定期进行评估,并在环境或组织环境发生重大变化时进行评估。
组织应保留有关合规风险评估和解决其合规风险的措施的文件化信息。
5、领导
5.1、领导和承诺
5.1.1、理事机构和最高管理者
理事机构和最高管理层应通过以下方式展示对合规管理体系的领导和承诺:
确保制定合规政策和合规目标,并与组织的战略方向相一致:

确保将合规管理体系要求整合到组织的业务流程中
确保合规管理体系所需的资源可用;
传达有效合规管理和符合合规管理体系要求的重要性;确保合规管理体系达到预期结果:
指导和支持人员为合规管理体系的有效性做出贡献;促进持续改进;
支持其他相关角色在其职责范围内发挥领导作用。
注:本文件中提及的“业务”可广义地解释为指那些对组织存在的目的至关重要的活动。管理机构和最高管理层应:
树立和维护组织的价值观;
确保制定和实施政策、流程和程序,以实现合规目标;
确保及时告知他们合规事项,包括不合规情况,并确保采取适当措施;
确保遵守承诺,并妥善处理不合规和不合规行为:
确保合规责任适当地包含在工作描述中;
任命或指定合规职能部门(见5.3.2)确保建立了根据8.3提出和解决问题的制度。
5.1.2、合规文化
组织应在组织内的所有层面上发展、维持和促进合规文化
理事机构、最高管理层和管理层应表现出对整个组织所需的共同行为和行为标准的积极、可见、一致和持续的承诺。
最高管理者应鼓励创造和支持合规性的行为。它应防止而不是容忍损害合规性的行为。
5.1.3、合规治理
理事机构和最高管理者应确保下列原则得到实施:
合规职能部门直接进入理事机构
合规职能的独立性;
合规职能部门的适当权限。

5.2、合规政策
理事机构和最高管理层应制定一项合规政策

a)适用于组织的目的

b)提供设定合规目标的框架;
c包括满足适用要求的承诺:
d)包括对合规管理体系持续改进的承诺。

合规政策应与组织的价值观、目标和战略保持一致:要求遵守组织的合规义务;
根据5.1.3支持合规治理原则:
参考并描述合规功能
概述不遵守组织合规义务、政策、流程和程序的后果;
鼓励提出关切并禁止任何形式的报复
用通俗易懂的语言书写,以便所有人员都能轻松理解原则和意图:得到适当的实施和执行;作为文件化信息提供;在组织内部进行沟通;视情况提供给相关方。
5.3、角色、职责和权限
5.3.1、理事机构和最高管理者
理事机构和最高管理者应确保在组织内分配和传达相关角色的职责和权限。
理事机构和最高管理者应分配以下职责和权限:
a)确保合规管理体系符合本文件的要求;
b)向理事机构和最高管理层报告合规管理体系的绩效。
c)理事机构应确保最高管理层根据合规目标的实现情况进行衡量
对最高管理层合规管理体系的运行进行监督。

最高管理者应:

1)为建立、开发、实施、评价、维护和改逬合规管理体系分配足够和适当的资源;
2)确保建立有效的合规绩效及时报告制度;
3)确保战略和运营目标与合规义务保持一致:
4)建立和维持问责机制纪律处分和后果
5)确保合规绩效与员工绩效考核相结合。
5.3.2、合规功能
合规职能部门应负责合规管理体系的运行,包括:
促进确定遵守义务;
记录合规风险评估(见4.6);
使合规管理体系与合规目标保持一致:
监控和测量合规绩效;
_分析和评估合规管理体系的绩效,以确定是否需要采取纠正措施;
-建立合规报告和文件制度;
-确保按计划的时间间隔对合规管理体系进行审查(见和9.3);

-建立提出关切和确保关切得到解决的制度。
合规职能部门应监督:
在整个组织內适当分配实现已确定的合规义务的责任;
合规义务纳入政策、流程和程序;
所有相关人员按要求接受培训;
建立合规绩效指标。
合规职能部门应提供:
有权获得合规政策、流程和程序资源的人员;
就合规相关事宜向组织提供建议。
注:合规职能部门的具体职责并不免除其他人员的合规责任。
组织应确保合规职能部门有权获取:
高级决策者和在决策过程早期作出贡献的机会
组织的各级所需的所有人员、文件化信息和数据;
关于法律、法规、守则和组织标准的专家意见。

5.3.3、管理
管理层应通过以下方式负责其职责范围内的合规性:
与合规职能部门合作并支持合规职能部门,鼓励员工也这样做:
确保其控制范围内的所有人员遵守组织的合规义务、政策、流程和程序
识别和沟通运营中的合规风险:
将合规义务纳入其职责范围内的现有业务实践和程序
参加并支持合规培训活动;
培养员工遵守义务的意识,指导他们满足培训和能力要求
鼓励其员工提出合规问题,并支持他们,防止任何形式的报复;
按要求积极参与合规相关事件和问题的管理和解决;
确保在确定纠正措施的必要性后,建议并实施适当的纠正措施。
5.3.4、人员
所有人员应:
遵守组织的合规义务、政策、流程和程序;
报告合规问题、问题和失败;
按要求参加培训。
6、规划
6.1、应对风险和机遇的行动
在规划合规管理体系时,组织应考虑4.1中提到的问题和4.2中提到的要求,并确定需要解决的风险和机遇:
确保合规管理体系能够实现其预期结果:
防止或减少不期望的影响;
实现持续改进。
在规划合规管理体系时,组织应考虑
其合规目标(见6.2)
确定的合规义务(见4.5):
合规风险评估结果(见4.6)

组织应计划:
a)应对这些风险和机遇的行动;
b)如何:
1)将行动整合并实施到合规管理体系过程中;

2)评估这些行动的有效性。
6.2、合规目标及其实现计划
组织应在相关职能和层级建立合规目标。
合规目标应:
a)符合合规政策;
b)可测量(如可行
c)考虑适用要求;
d)被监控;
e)沟通方式
f)视情况更新:
g)作为文件化信息提供。
在规划如何实现其合规目标时,组织应确定:

将要做什么;
需要哪些资源;
谁将负责;
何时完成;
如何评估结果。
6.3、变更策划
当组织确定合规管理体系需要变更时,应按计划进行变更。
组织应考虑：
变更的目的及其潜在后果;
合规管理体系的设计和运行有效性
充足资源的可用性;
职责和权力的分配或再分配。

7、支架
7.1、资源
组织应确定并提供建立、实施、保持和持续改进合规管理体系所需的资源。
7.2、能力
7.2.1、概述
组织应做到:
确定在其控制下从事影响其合规绩效的工作的人员的必要能力:
确保这些人员在适当的教育、培训或经验的基础上胜任工作
在适用的情况下,采取措施获得必要的能力,并评估所采取措施的有效性。
应提供适当的文件化信息作为能力证明。
适用的行动可以包括,例如,向当前就业人员提供培训、指导或重新分配;

或雇用或聘用合格人员。
7.2.2、聘用流程
对于其所有人员,组织应制定、建立、实施和保持以下过程:
雇佣条件要求员工遵守组织的合规义务、政策、流程和程序；
在其开始受雇的合理期限内,员工收到合规政策的副本,或获得与该政策相关的合规政策和培训；

对于违反组织合规义务、政策、流程和程序的人员,应采取适当的纪律处分。
作为雇佣过程的一部分,组织应考虑角色和人员带来的合规风险,并在任何雇佣、调动和晋升之前按照要求应用尽职调查程序。
组织应实施一个过程,对绩效目标、绩效奖金和其他激励措施进行定期审查,以验证是否有适当的措施来防止鼓励不合规行为。
7.2.3、培训
组织应从开始就业时起,按组织确定的计划时间间隔,定期向有关人员提供培训。培训应为:
a）适用于人员角色和人员面临的合规风险
b)有效性评估
c)定期审查。

考虑到已识别的合规风险,组织应确保实施程序,以解决代表其行事可能对组织构成合规风险的第三方的合规意识和培训问题。
培训记录应作为文件化信息保存。
7.3、意识
在组织控制下工作的人员应了解
合规政策;
-他们对合规管理体系有效性的贡献,包括改进合规绩效的好处;
-不符合合规管理体系要求的影响;
-提出合规问题的方法和程序(见8.3)
-合规政策和与其角色相关的合规义务的关系
-支持合规文化的重要性。
7.4、沟通
组织应确定与合规管理体系有关的內外部沟通,包括:
a)它将传达什么;
b)何时沟通;
C)与谁沟通:
d)如何沟通。
组织应:
在考虑其沟通需求时,考虑多样性和潜在障碍的各个方面;
确保在建立沟通流程时考虑相关方的意见
在建立沟通过程时:
包括沟通其合规文化、合规目标和义务;
确保要传达的合规信息与合规管理体系內生成的信息一致,且可靠；
负责公司合规管理体系的相关沟通;
酌情保留文件化信息作为其通信的证据;
在组织的各个级别和职能部门內部传达与合规管理体系有关的信息,包括合规管理体系的变更(视情况而定)
确保沟通过程員工能够为合规管理体系的持续改逬作岀贡献
确保其沟通过程使人员能够提出问题(见8.3);

7.5、文件化信息
7.5.1、概述
组织的合规管理体系应包括:
a)本文件要求的文件化信息:
组织确定为合规管理体系有效性所必需的文件化信息。
注:合规管理体系的文件化信息范围因组织而异,原因如下：
组织的规模及其活动、过程、产品和服务的类型;

过程及其相互作用的复杂性;
人的能力。
7.5.2、创建和更新文件化信息
在创建和更新文件化信息时,组织应确保:
标识和描述(如标题、日期、作者或参考号):
格式(如语言、软件版本、图形)和媒体(如纸质、电子版)对适宜性和充分性进行审查和批准。
7.5.3、文件化信息的控制
应控制合规管理体系和本文件要求的文件化信息,以确保:
a)它是可用的,适用于使用,并在需要时;
b)它得到了充分的保护(例如,防止失去机密性、不当使用或完整性)。为控制文件化信息,组织应在适用的情况下处理以下活动:
分发、访问、检索和使用
储存和保存,包括易读性的保存；
变更控制(如g版本控制)
保留和处置；
组织确定为合规管理体系的策划和运行所必需的外部来源的文件化信息,应酌情加以识别和控制。
访问可能意味着决定是否只允许查看文档化信息,或者是否允许和授权查看和更改文档化信息。

8、操作
8.1、运营计划和控制
组织应计划、实施和控制满足要求所需的过程,并通过以下方式实施第6条确定的行动建立过程标准
根据标准实施过程控制
应在必要的范围内提供文件化信息,以确保过程按计划进行。
组织应控制计划的变更,并评审非计划变更的后果,必要时采取措施减轻任何不利影响。
组织应确保外部提供的与合规管理体系有关的过程、产品或服务得到控制。
注:外包一个组织的业务并不解除该组织的法律责任或合规义务。
组织应确保第三方过程得到控制和监控。
8.2、建立控制和程序
组织应实施控制,以管理其合规义务和相关合规风险。应对这些控制措施进行维护、定期审查和测试,以确保其持续有效。
注:测试控制措施意味着进行一次设计的练习,以查看控制措施是否达到了预期的效果或不能绕过的效果,或者是否确实有效地降低了风险的影响或可能性。
8.3、提出问题
组织应建立、实施和维持一个程序,以鼓励和促使报告(在有合理理由相信信息真实的情况下)企图、怀疑或实际违反合规政策或合规义务的行为。
该过程应:
在整个组织内可见和可接近
对报告保密
接受任何人的报告
保护举报者不受报复;
使人员能够接受建议。
组织应确保所有人员了解报告程序、他们的权利和保护,并能够使用这些程序。
8.4、流程
组织应制定、建立、实施和保持过程,以评估、评价、调查和关闭可疑的实际不符合情况的报告。这些程序应确保公平和公正的决策。

调查过程应由称职人员独立进行,不得有利益冲突。
组织应酌情利用调查结果改进合规管理体系(见第10条)。
组织应定期向理事机构或最高管理层报告调查的数量和结果。
组织应保留有关调查的文件化信息。
9、绩效评估
9.1、监视、测量、分析和评价
9.1.1、概述
组织应对合规管理体系进行监控,以确保合规目标的实现。
组织应确定
需要监视和测量的内容:
监视、测量、分析和评价的方法(如适用),以确保结果的有效性;
何时进行监视和测量;
对监视和测量的结果进行分析和评价。
应提供文件化信息作为结果的证据。
组织应对合规绩效和合规管理体系的有效性进行评价。
9.1.2、合规性反馈来源
组织应建立、实施、评价和保持从各种来源寻求和接收其合规绩效反馈的过程。应对信息进行分析和严格评估,以确定不合规的根本原因,确保采取适当的措施,并在4.6中要求的定期风险评估中反映该信息。
9.1.3、指标制定
组织应制定、实施和保持一套适当的指标,以协助组织评估其合规目标的实现情况和评估其合规绩效。
9.1.4、合规报告
组织应建立、实施和维护合规报告流程,以确保:
a)确定适当的报告标准;
b)确定定期报告的时间表;
c)实施了一个异常报告系统,以方便临时报告

d)实施制度和流程,确保信息的准确性和完整性;
向组织的正确职能或领域提供准确和完整的信息,以便及时采取预防、纠正和补救措施。
合规职能部门向理事机构或最高管理层发布的任何报告应受到充分保护,以防被修改。
9.1.5、记录保存
应保留组织合规活动的准确、最新记录,以协助监测和审查过程,并证明符合合规管理体系。
9.2、内部审核
9.2.1、概述
组织应按计划的时间间隔进行内部审核,以提供有关合规管理体系是否:
a)符合
组织自身对其合规管理体系的要求;
本文件的要求;
b)有效实施和保持。
9.2.2、内部审计方案
组织应计划、建立、实施和保持一个(或多个)审计计划,包括频率、方法、责任、要求和报告
组织在制定内部审计方案时,应考虑有关过程的重要性和以往审计的结果。
组织应
a)确定每次审计的目标、标准和范围
b)选择审核员并进行审核,以确保审核过程的客观性和公正性;
c)确保审计结果报告给相关经理和管理层。
注1:相关管理可包括合规职能部门、最高管理层和理事机构。
文件化信息应作为实施审计方案和审计结果的证据。
注2:1S019011中给出了审计管理系统的指南。
9.3、管理评审
9.3.1、概述
理事机构和最高管理者应按计划的时间间隔对组织的合规管理体系进行评审,以确保其持续的适宜性、充分性和有效性。

9.3.2、管理评审输入
管理评审应包括:
a)以往管理评审的行动状态;
b)与合规管理体系相关的外部和内部变更;
c）与合规管理体系相关的相关方需求和期望的变化合规绩效信息,包括以下方面的趋势:不合格、不符合和纠正措施;、监视和测量结果
d）审核结果
e)持续改进的机会。
管理评审应考虑:
合规政策的充分性:
合规职能的独立性;
达到合规目标的程度;
资源的充足性;
合规风险评估的充分性;
现有控制措施和绩效指标的有效性:
提出问题的人员、相关方的沟通,包括反馈(见9.1.2)和投诉;
调查(见8.4):
报告制度的有效性。
9.3.3、管理评审结果
管理评审的结果应包括与持续改进机会有关的决定以及合规管理体系变更的任何需要。文件化信息应作为管理评审结果的证据。
10、改进
10.1、持续改进
组织应持续改进合规管理体系的适宜性、充分性和有效性。

10.2、不符合和纠正措施
当不合格或不符合发生时,组织应
a)对不合格项或不符合项作出反应,如适用
1)采取措施加以控制和纠正
2)处理后果;
评估采取行动消除不合格或不符合原因的必要性,以便不在其他地方再次发生或发生,方法是:
1)评审不合格或不符合,或两者兼有;
2)确定不合格或不符合的原因,或两者兼而有之;
3)确定是否存在或可能发生类似的不合格项或不符合项,或两者兼有
实施任何必要的行动;
d)审查所采取的任何纠正措施的有效性;
e)如有必要,对合规管理体系进行更改。
纠正措施应适用于所遇到的不合格或不符合或两者的影响。
文件化信息应作为以下证据:
不合格或不符合的性质,或两者,以及随后采取的任何措施:任何纠正措施的结果。

附件A
(资料性)
本文件使用指南
A.1背景和范围
A.1.1概述
本附件中的指南旨在说明组织在实施其合规管理体系时可采取的方法和行动类型。其目的不是全面或规定性的,组织也没有义务实施本指南中的所有建议,以建立符合本文件要求的合规管理体系。本组织为履行其遵约义务而采取的步骤,就其面临的遵约风险的性质和程度而言,应当是合理的。
一个组织可以选择将此合规管理系统作为一个单独的系统来实施,但是,理想情况下,它将与其其他管理系统(如风险、反贿赂、质量、环境、信息安全和社会责任)一起实施,仅举几个例子。在这些情况下,组织可以参考is31000、iSO37001、so9001、14001和SO/C27001以及SO26000
A.1.2范围
任何规模、复杂程度或行业的组织都可以通过遵循本文档的要求来应用本文档来创建合规管理系统。这将使他们了解自己的背景、业务运营、由此产生的义务和合规风险,并帮助他们采取合理步骤履行义务。应遵循文件中的每项要求。然而,本附件中的指南只是简单的建议。
在实践中,在小型组织中实施符合本文档的法规遵从性管理系统通常比较容易,因为它们不太复杂。中小型组织将利用本文件要求的原则加强其组织实践。
本文件涉及管理机构和最高管理层,并定义了这些术语在各种上下文和位置中的含义。本文件可供所有组织使用,因此,如果某个特定组织不使用这些术语,请查看其使用意图:要求或说明将适用于在组织最高点拥有权力和责任的个人或群体。
A.2参考文献
本文件无规范性引用文件。用户可以参考参考书目中与合规性相关的其他信息和国际标准
A.3术语和定义
本文件采用了由开发的高级结构(HLS),以改进其管理体系国际标准之间的一致性。HLS结构规定了构成管理体系标准(MSS)核心的条款顺序、通用术语和定义以及相同的核心文本。这意味着有些定义可以用一种不熟悉的方式来使用。在使用本文件时,所提供的定义可以提供澄清。

MSS的这种通用方法增加了此类标准对用户的价值。它对于那些选择运行一个(有时称为“集成”)管理系统的组织特牜寺别有用,该系统可以同时满足两个或多个管理系统的要求。没有釆用MSS戜法规遵从性管理框架的组织可以很容易地米用,小。本文档作为其组织内的独立指南。
F有关MSs和HLS结构的更多信息,请访问:-systen -standards .html,
A.4组织背景
A.4.1了解组织及其背景
该条款的目的是组织对可能影响其合规管理体系的重要问题建立高层次(如战略)的理解。所获得的知识将用于指导合规管理系统的规划、实施、运行和改进。
这是一个审查组织所有可用信息的过程:它做什么,在哪里,如何和为什么。评估外部和关键因素对组织合规义务的影响。
这些合规义务中最明显的是来自于一个组织所处的法律和监管环境,但义务或风险也可能来自于本文件中建议的其他因素。组织还应考虑可能产生影响的相关未来趋势。
应该考虑内部因素。文件中包括了一些例子。此列表并非详尽无遗,可能还有其他与组织相关的列表。
A.4.2了解相关方的需求和期望
组织应了解可能影响、受合规管理体系影响或认为自己受合规管理体系影响的人员或组织的求和期望。
有些是强制性的,因为它们已纳入正式要求,如法律、法规、许可证和执照以及政府或法院诉讼。这里可能有其他「未包含的正式要求适用。
当利益相关方的其他需求和期望被指定时,这些需求和期望就成为义务,组织决定通过签订协议或合同自愿采纳这些需求和期望。一旦组织决定了它们,它们就成为合规义务。
外部利益相关方的例子包括:
政府和政府机构;
-监管机构;
-顾客;
承包商
供应商
第三方中介机构;
所有者、股东和投资者;
非政府组织;

社会和社区团体
商业伙伴。
有关各方的例子包括:
理事机构:
管理
一员工
风险管理、内部控制、内部审计、人力资源等内部职能。
A.4.3确定合规管理体系的范围
确定管理体系的范围是组织建立合规管理体系适用的物理和组织边界的过程。在这样做时,组织可以自由和灵活地选择在整个组织、组织内的特定单位或特定职能部门内实施合规管理体系。
通常,合规管理系统将在整个组织中实施,如果是组织团体,则在整个组织团体中实施,以避免道德行为和合规的双重标准。
考虑到本组织面临的遵约风险的性质和程度,范围应当合理和相称。
在确定合规管理体系的范围和确定组织将采用哪些要求时,对相关利益方的背景和要求的理解是一个考虑因素。
A.4.4合规管理体系
合规管理系统是一个框架,它整合了基本结构、政策、流程和程序,以实现预期的合规结果,并采取行动防止、发现和应对不合规行为。
通常,合规管理系统框架是一个结构性问题:构建该系统所需的基础设施。然后需要通过执行政策、过程和程序使其具有可操作性。然后需要保持和不断改进。
合规管理系统有许多要素。管理体系的某些要素将被设计为支持期望的行为,而其他要素将被设计为防止不期望的行为。有些要素仅用于监控组织的合规绩效,或在发生不合规情况时提供警报。
合规管理系统将认识到错误确实会发生,并将制定相应的流程以确保做出适当的反应。适当的反应将包括对过程、系统和受影响方的补救。
遵约管理制度应以善政、相称性、完整性、问责制和可持续性原则为基础。合规管理体系应作为文件化信息提供。
A.4.5合规义务
组织应将合规义务作为建立合作伙伴关系的基础。发展。实施、评估、维护和改进合规管理体系。

组织必须遵守的要求包括:
-法律法规;
-许可证、执照或其他形式的授权;监管机构发布的命令、规则或指南;
法院或行政法庭的判决;
条约、公约和议定书。
组织自愿选择遵守的要求可以包括:
与社区团体或非政府组织的协定;
一与公共机构和客户的协议:
-组织要求,如政策和程序:
自愿原则或行为守则;
自愿贴标签或作出环境承诺;
与本组织的合同安排产生的义务;
-相关组织和行业标准。
组织应按部门、职能和组织活动的不同类型确定合规义务,以确定谁受这些合规义务的影响。
获取法律和其他合规乂务变更信息的过程可包括
在相关监管机构的邮件列表中:
专业团体的成员资格;
-订阅相关信息服务;
-参加行业论坛和研讨会;
监管机构网站监控
与监管机构会面;
与法律顾问的安排;
监督合规义务的来源(如监管声明、法院判决)。
应采取基于风险的方法,即组织应从确定与业务相关的最重要的合规义务开始,然后将重点放在所有其他合规义务上(帕累托原则)
在适当的情况下,组织应建立并维护一个单独的文件(如asa登记册或日志),列出其所有合规义务,并有一个定期更新文件的流程。
除规定合规义务外,该文件还应包括但不限于
-合规义务的影响
合规义务的管理;
-与合规义务相关的控制措施;

风险评估。
A.4.6合规风险评估
合规风险评估是实施合规管理体系的基础,是管理已识别合规风险的资源和流程的配置和充足依据
合规风险的特征是不遵守组织合规政策和义务的可能性和后果。
合规风险包括固有合规风险和剩余合规风险。固有合规风险是指组织在未采取相应合规风险处理措施的情况下,处于非受控状态所面临的所有合规风险。剩余合规风险是指组织现有合规风险处理措施不能有效控制的合规风险。
组织应通过考虑不合规的根本原因和来源及其后果来分析合规风险,同时包括这些后果可能发生的可能性。例如,后果可能包括人身和环境损害、经济损失、名誉损害、行政变更以及民事和刑事责任。
合规风险识别包括合规风险源的识别和合规风险情况的定义。组织应根据部门职责、岗位职责和不同类型的组织活动,识别不同部门、职能和不同类型组织活动中的合规风险源。组织应定期识别合规风险源,并定义每个合规风险源对应的合规风险情况,以制定合规风险源清单和合规风险情况清单
风险评估包括将组织可接受的合规风险水平与合规政策中规定的合规风险水平进行比较。
应定期重新评估合规性,并在出现以下情况时:
新的或改变的活动、产品或服务:
组织结构或战略的变化;
重大外部变化,如金融经济环境、市场状况、负债和客户关系;
合规义务的变更;
并购:
不合规(即使是单一的不合规事件也可能构成环境的重大变化)和未遂事件。
合规风险评估的范围和详细程度取决于组织的风险状况、背景、规模和目标,并因具体子领域(如环境、财务、社会)而异
基于风险的合规管理方法并不意味着在合规风险较低的情况下,组织可以接受不合规行为。它帮助组织将主要注意力和资源集中在更高风险上作为优先事项,并最终涵盖所有合规风险。所有确定的合规风险/情况都要接受监测和处理。
在进行风险评估(参见SO31000指南)时,应注意适当的技术(详见EC31010)。

A.5领导力
A.5.1领导和承诺
A.5.1.1管理机构和最高管理层
有效的合规需要管理机构和高层管理人员的积极承诺,这种承诺渗透到整个组织。
对于合规管理体系而言,管理机构和最高管理者必须清楚、明显地表明他们致力于实现合规管理体系的目标。
不合规可能会对业务造成负面影响,如声誉受损、经营许可证丧失、机会丧失和重大成本。因此,管理机构和最高管理层应认识到有效合规管理的战略重要性。
这份文件列出了许多领导层可以展示其承诺的方式。最根本的办法是通过积极和有形的支持,建立和维护合规管理体系。
承诺程度由以下程度表示:
理事机构和各级管理层积极表明致力于建立。通过他们的行动和决策,开发、实施、评估、维护和改进一个有效且响应迅速的合规管理系统
-合规政策由理事机构正式批准:
最高管理者负责确保组织的合规承诺得到充分实现;
各级管理人员始终向员工传达组织将履行其合规义务的明确信息(通过言语和行动证明)
遵守承诺以明确和令人信服的声明和行动支持广泛传达给所有人员和相关利益方;
合规职能部门的工作人员具有适当的能力、地位、权威和独立性,反映了有效合规的重要性,并可直接接触理事机构
有足够的资源来建立。发展。通过对所有人员和相关方进行提高认识的活动和培训,实施、评估、维护和改进强有力的合规文化;
政策、程序和程序不仅反映法律要求,而且也反映自愿守则和本组织的核心价值观;
组织分配并要求对组织各级管理层的合规性负责;
对合规管理体系进行定期审查(建议至少每年进行一次)
组织的合规绩效不断提高:
及时采取纠正措施;
管理机构和最高管理者遵循组织的合规管理体系。

A.5.1.2合规文化
支持发展合规文化的因素包括组明确的公布值;
管理层积极而明显地执行和遵守价值观;不符合处理的一致性,无论位置如何;指导、指导和以身作则;
对关键职能的潜在人员进行适当的聘用前评估,包括尽职调查强调合规性和组织价值观的入职或入职培训计划;
持续的合规培训,包括对所有人员和相关方的培训更新:就合规问题进行持续沟通;
绩效评估系统,考虑对合规行为的评估,并考虑绩效工资,以实现合规关键绩效指标和结果;一对合规管理和成果的明显认可;
在故意或过失违反合规义务的情况下,及时和适当的纪律处分;
组织战略和个人角色之间的明确联系,强调合规性是实现组织成果的关键;
在内部和外部就合规性进行公开和适当的沟通。
合规文化的证据体现在以下程度:
-实施上述各项;
相关方(特别是人员)认为上述各项已经实施;
员工了解与其自身活动和业务部门活动相关的合规义务的相关性;
纠正措施,以解决不合规是“拥有”和行动,在所有适当的层次,组织的要求;
重视合规职能的作用及其目标;
鼓励员工向适当的管理层,包括最高理层和理事机构提出合规问题。
组织应:
a)衡量其合规文化;
)征求所有人员的意见,以确定他们是否理解管理杋构的慐见。最高管理者和中层管理者对合规的承诺;
C)根据组织合规文化指标的结果制定行动计划。
A.5.1.3合规治理
合规治理基于以下基本原则。

合规职能部门可以直接接触理事机构和最高管理层。如果需要,他们可以绕过组织中的其他人,直接与一个或多个最有权米取行动的人沟通。这对管理机构和最高管理层有直接好处,使他们能够履行职责。这种访问应该是有计划和系统的。例如,合规职能部门可以直接向首席执行官报告,向审计委员会、主席或整个事会报告虚线
合规职能应是独立的,不受组织结构或其他因素的影响。他们可以自由行动,不受直线管理的干涉。
合规职能部门拥有权力。合规职能部门不是一个可以被否决的初级职位,也不是一个可以由其上级修改报告或信息的职位。合规职能部门可根据需要指导其他工作人员。合规职能部门应“在谈判桌上发表意见”,倡导并提出合规问题。
合规职能部门有足够的资源支持组织不受限制地开展合规管理体系的必要工作和职责,包括获取技术,使合规管理系统能够全面有效地支持组织实现其合规目标。
A.5.2合规政策
合规政策确立了组织实现合规的首要原则和行动承诺。它设定了所需的责任和绩效水平,并设定了评估行动的预期。该政策应与组织活动产生的合规义务相适应。
合规政策应由理事机构批准。
合规政策应规定:
与组织规模、性质和复杂性及其运行环境相关的合规管理体系的应用和背景:
合规性与其他职能(如治理、风险管理)整合的程度。审计法律;管理与内部和外部利益相关方关系的原则。
合规政策不应是一个独立的文件,而应得到其他文件的支持,包括运营政策和流程。如有必要,应将合规政策翻译成其他语言。
合规政策应适用于组织因其范围和活动而产生的合规义务。
r在制定合规政策时,应考虑到
to:
a)具体的国际、区域或地方义务
b)组织的战略、目标、文化和治理方法:
c)组织结构:
d)与不合规相关的风险性质和级别
e)采用的标准、规范、内部政策和程序;
行业标准。

合规政策可包括
使命宣言;
般政策声明;
管理策略和责任与资源分配:
标准合规程序;
审计、尽职调查和合规。
A.5.3角色、职责和权限
A.5.3.1管理机构和最高管理层
理事机构的积极参与和监督是有效合规管理体系的组成部分。这有助于确保员工充分了解组织的合规政策和操作合规程序,以及这些政策和程序如何应用于他们的工作,并确保他们有效地履行合规义务。
为了使合规管理体系有效,管理机构和最高管理层需要以身作则,坚持并积极和明显地支持合规和合规管理体系。
许多组织,视其规模而定,也有人全面负责合规管理,尽管这可能是除了其他角色或职能之外的,包括现有的委员会、组织单位或将要素外包给合规专家。
最高管理层应鼓励创造和支持合规性的行为,而不应容忍损害合规性的行为。
最高管理层应确保:
-组织对遵守其价值观、目标和战略的承诺的一致性,以便适当地定位合规性:
鼓励所有员工接受实现其负责的合规目标的重要性:
创造一种环境,鼓励举报不合规行为,举报员工不会受到报复;
将合规纳入更广泛的组织文化和文化变革计划;
识别不符合项并立即采取行动纠正或解决;
运营目标和指标不会损害合规行为。
最高管理者应参考关键绩效指标和其他关键信息,按计划的时间间隔(如每季度或每月)审查合规管理体系的绩效,以确保合规管理体系实现其目标。
合规管理体系的有效性要求最高管理层通过制定标准和实施合理监督作出承诺。最高管理者应了解合规管理体系的内容和运作,并应确保组织拥有有效合规管理体系的适当流程。

A.5.3.2合规职能
许多组织都有一个专门负责日常合规管理的人员(如合规官),有些组织还有一个跨职能的合规委员会来协调整组织的合规。合规职能部门与管理层合作。
并非所有组织都会创建一个独立的合规职能部门;将此职能分配给现有职位或外包该职能。外包时,组织应考虑不将整个合规职能分配给第三方。即使它将部分职能外包,它也应该考虑保持对它的权威,并监督这些职能。
在分配合规管理系统的责任时,应考虑确保合规职能部门表明
诚实守信
有效的沟通和影响能力;
接受建议和指导的能力和地位;
设计、实施和维护合规管理体系的相关能力;
要测试和挑战的自信、商业知识和经验:
种战略性的、主动的合规方法;
有足够的时间来满足角色的需要。
合规职能应具有权威性、地位和独立性。权威意味着合规职能部门被管理机构和最高管理层授予了足够的权力。地位意味着其他人员可能会听取并尊重他她的意见。独立性意味着合规职能部门尽可能不亲自参与面临合规风险的活动。
遵约职能部门应不存在利益冲突,以履行其职责。
A.5.3.3管理
最高管理者的责任不应被视为免除其他管理层的合规责任,因为所有管理者都应在合规管理体系方面发挥作用。因此,重要的是,他们各自的责任明确规定,并纳入其工作说明。
必要时,管理者的合规责任将根据权力级别、影响和其他因素(如组织的性质和规模)而有所不同。然而,一些责任可能在不同的组织中是共同的。
A.5.3.4人员
所有人员都应遵守合规义务。
员工应确保他们意识到自己的合规责任,并有效地履行这些责任。在这方面,他们将通过合规管理系统的要素,如培训、政策和程序以及行为守则,得到支持。
员工应积极主动地提供见解和改进,以帮助合规管理系统的绩效。

A.6规划
A.6.1应对风险和机遇的行动
合规管理系统的规划是在战略层面上进行的,而不是在运营规划和控制方面进行的运营规划。
规划的目的是预测潜在的情况和后果,因此是预防性的。根据合规风险评估的结果,组织应计划如何在不期望的影响发生之前解决这些影响,以及如何从支持合规管理体系有效性的有利条件或环境中获益。
规划还应包括确定如何将合规管理体系认为或有益的行动纳入业务活动和流程。可通过目标设定、业务控制或其他具体条款(如资源规定、权限)实现合并。还应规划评估合规管理体系有效性的措施。这可以包括监视、测量技术、内部审计或管理评审。
A.6.2合规目标及其实现计划
目标应该以一种能够衡量结果的方式来规定。
合规目标的一个例子:至少每年向相关人员提供合规培训。
应确定实现目标所需的行动(即“什么”)、相关的时间表(即“何时”)和责任人(即“谁”)应定期监测、记录、评估和更新目标的状态和进度。
A.7支持
A.7.1资源
资源包括财政、人力和技术资源,以及获得外部咨询和专门技能、组织基础设施、专业发展、技术和关于遵约管理和法律义务的当代参考资料的机会。
A.7.2能力
A.7.2.1概述
术语“能力”是指运用知识和技能达到预期结果的能力。能力需要知识、经验和技能,这样才能有效地履行职责。组织应为所有人员确定完成其任务所需的专业知识和知识,以便组织能够向顾客提供其产品和服务。组织应建立胜任能力的证据(如工作描述、职位说明书),在填补职位时可予以考虑。
应采取措施(如培训)确保维持现有能力并获得新的能力。应有足够的能力文件,以及为保持或获得这些能力而采取的措施。
A.7.2.2聘用流程
在雇用人员或提拔现有人员之前,组织应进行尽职调查,包括推荐人或背景调查。

A.7.2.3培训
理事机构、管理层和负有合规义务的人员应当有能力有效地履行这些义务。能力的获得可以通过许多方式实现,包括通过教育、培训或工作经验所需的技能和知识。
培训计划的目标是确保人员有能力在符合组织合规文化及其合规承诺的管理层中履行其工作职责。
正确设计和执行的培训可以为员工提供一种有效的方式来沟通之前未确认的合规风险。
教育和培训应:
-在适当的情况下,基于对员工知识和能力差距的评估;
充分灵活地考虑各种技术,以适应组织和人员的不同需要
由经验丰富的合格人员设计、开发和交付:
-以当地语言交付(如适用);
定期评估其有效性。
可能是最好的训练形式,会造成严重后果。组织应在发生不当行为的领域提供培训。
当出现以下情况时,应考虑进行合规性再培训-职位或职责的改变;
内部政策、流程和程序的变更;-组织结构的变化;
合规义务的变化,特别是法律要求和相关方要求的变化;
一活动、产品或服务的变化:
由监控、审计、审查、投诉和不合规(包括相关方反馈)引起的问题。
A.7.3意识
意识包括确保所有人员都能访问和使用合规政策,并被理解。
提高合规意识的方法包括但不限于
培训(面对面或在线)
高层沟通
易于操作和容易获得的参考资料;
定期更新合规性问题。
传达合规承诺
-建立意识丼激励员工接受合规管理体系;

鼓励提出有助于持续改进合规绩效的建议。
A.7.4通信
应根据本组织的政策,采取以所有有关各方为对象的对外交流的实际办法。
有关各方可包括监管机构、客户、承包商、供应商、投资者、应急服务、非政府组织和邻国。
组织应分配适当的资源和具有相关知识的人员,以协调和促进监管互动。
通讯方法可包括网站和电子邮件、新闻稿、广告和定期通讯、年度(或其他定期)报告、非正式讨论、开放日、焦点小组、社区对话、参与社区活动和热线电话。这些方法可以鼓励理解和接受组织对法规遵从性的承诺。
通信应坚持透明、适当、可信、反应迅速、方便和清晰的原则。
A.7.5文件化信息
A.7.5.1概述
文件化信息可包括:
组织的合规政策和程序;
合规管理体系的目标、指标、结构和内容;
-合规角色和责任的分配;
相关合规义务登记册
-合规风险登记簿和基于合规风险评估流程的处理优先顺序;
不符合项、未遂事件和调查记录
年度合规计划
人事记录,包括但不限于培训记录;
一审核过程、审核时间表及相关审核记录。
文件化信息可包括与监管报告要求有关的事项。文件化信息可能包括各种媒体(数字和非数字)。
A.7.5.2创建和更新信息
应更新记录的信息,以反映内部和外部的变化,以确保这些变化是最新的。
A.7.5.3文件化信息的控制
备有文件的资料可用于获取法律意见,因此可享有法律特权。

A.8操作
A.8.1运营规划和控制
一个设计良好的合规管理系统包括各种措施(如政策、流程、程序),这些措施既能为合规文化提供内容,又能产生效果。它们旨在降低合规风险评估过程中确定的风险。
业务控制的一个基本要素是行为守则,其中规定了本组织对相关合规义务的充分承诺。行为准则应适用于所有人员,并为他们所用。根据并源于《行为守则》,应将遵约措施纳入本组织的日常运作,以培养遵约文化。
在与业务流程相关的情况下,如果缺少此类控制可能导致偏离合规政策或违反合规义务,则需要进行运营控制。这些情况可能与所有业务情况、活动或(例如g生产、安装、服务、维护)或承包商、供应商或供应商。
控制的程度取决于几个因素,如所执行功能的重要性或复杂性、不合规的潜在后果或所涉及或可用的技术支持。
当操作控制失败时,有必要采取措施来解决任何不良结果或影响。
如果在组织的活动中使用第三方或外包过程,组织应进行有效的尽职调查,以确保其标准和合规承诺不会降低。第三方的一个例子涉及产品和服务的提供以及产品的分销。组织应确保签订适当的服务水平协议(sla),规定服务提供商的合规义务。
精心设计的外包流程应考虑以下因素:
初步和持续尽职调查;
实施适当的控制:
进行持续监测:
对法律/合同协议进行适当审查;
SLA的考虑
使用经本文件认证的第三方。
在与第三方订立合同时,本组织应实行控制,以确保其活动的采购、业务、商业和其他非财务方面得到适当管理。根据组织和交易的规模,组织实施的采购、业务、商业和其他非财务控制可以降低合规风险。
A.8.2建立控制和程序
需要有效的控制来确保组织的合规义务得到履行,并防止、发现和纠正不合规行为。控制措施的设计应足够严格,以便于实现组织活动和运行环境特有的合规义务。在可能的情况下,这种控制应该嵌入到正常的组织过程中。

控制措施包括
清晰、实用且易于遵循的书面操作政策、流程、程序和工作说明;
系统和异常报告
批准;
不相容角色和责任的分离;
自动化流程
年度合规计划
人员绩效计划
合规性评估和审计;
表现出的管理承诺和模范行为,以及促进合规行为的其他措施;
就员工的预期行为(标准和价值观、行为准则)进行积极、公开和频繁的沟通。在制定支持合规管理的程序时,应考虑到:
将合规义务纳入程序,包括计算机系统、表格、报告系统、合同和其他法律文件;
与组织内其他审查和控制职能的一致性:持续的监视和测量;
评估和报告(包括管理监督),确保员工遵守程序;
确定身份的具体安排。报告和上报不合规和不合规风险。
A.8.3提出关切
在适当情况下,应向最高管理层和理事机构(包括相关委员会)上报。
即使当地法规没有要求,各组织也应考虑建立举报机制,允许匿名或保密,使组织的员工和代理人可以举报或寻求指导,而不必担心遭到报复。
有关举报管理系统的更多指导,请参阅37002
A.8.4调查过程
一个有效的合规管理系统的特点是一个运作良好的机制,能够及时和彻底地调查对本组织、其人员或有关第三方不当行为的任何指控或怀疑。这包括组织回应的文件。包括采取的任何纪律或补救措施,以及考虑到吸取的教训而对管理体系进行的修订。
一个有效的调查机制查明不当行为的根源、合规管理制度的弱点和问责失误,包括管理人员、最高管理人员和理事机构之间的过失。深思熟虑的根本原因分析可以解决

不符合、涉及人员的数量和级别,以及不符合的严重性、持续时间和频率。
各组织应确保调查是公正和独立的。他们应酌情考虑设立独立委员会监督调查,并保证调查的完整性和独立性。本组织应建立调查报告机制,包括报告调查结果的级别。
注:法律有时要求组织报告不合规情况。在这种情况下,应按照适用法规或其他约定通知监管机构。
即使法律不要求组织报告不合规行为,他们也可以考虑自愿向监管机构自我披露不合规行为,以减轻不合规行为的后果。
A.9绩效评估
A.9.1监视、测量、分析和评价
A.9.1.1概述
监控是为了评估合规管理体系的有效性和组织的合规绩效而收集信息的过程。
合规管理系统的监控通常包括:
培训效果
控制的有效性(例如通过样品测试输出)
有效分配履行合规义务的责任;
合规义务的货币;
解决先前发现的合规失败的有效性;
未按计划进行内部合规检查的情况;
针对合规风险审查业务策略,以实现适当的更新。
合规绩效监控通常包括:
不合规和“未遂事件”(即。e。无不良影响的事件)
未履行合规义务的情况:
未实现目标的情况;
合规文化状况:
-建立领先和滞后指标。
A.9.1.2合规绩效反馈来源
来源包括:
人员(例如,通过举报设施、求助热线、反馈、建议箱)
客户(例如通过投诉处理系统)
-第三方;

-供应商
承包商
一监管机构
-过程控制日志和活动记录(包括计算机和纸质记录)。对合规绩效的反馈可能包括:
合规问题;
一不合规和合规问题;
-新出现的合规问题;
正在进行的监管和组织变革;
合规有效性和绩效评论。
收集信息的方法有很多。下面列出的每种方法在不同的情况下都是相关的,应注慐选择适合组织规模、规模、性质和复杂性的各种工具。
信息收集可包括
出现或发现不符合项的特别报告;
通过热线、投诉和其他反馈(包括举报)获得的信息:非正式讨论、讲习班和重点小组;
-抽样和完整性测试,如神秘购物认知调查结果:
直接观察、正式面谈、参观和视察设施;-审核和评审;
在培训过程中提供的相关方查询、培训请求和反馈(尤其是员工的)。
应开发信息分类、存储和检索系统。
信息管理系统应捕获问题和投诉,并允许对与合规性有关的问题和投诉进行分类和分析。分析应考虑系统性和反复出现的问题,以便进行纠正或改进,因为这些问题可能会给组织带来重大的合规风险,而且可能更难识别。
信息分类标准可包括:
-来源
不符合描述
义务参考:
-严重性
实际或潜在影响。

A.9.1.3指标的制定
这一过程应考虑到合规风险评估的结果,以确保指标与组织合规风险的相关特征相关。什么和如何衡量合规绩效的问题在某些方面可能具有挑战性,但仍然是证明合规管理体系有效性的重要部分。此外,所需的指标将随着本组织的成熟程度以及执行新方案和订正方案的时间和程度而变化。
指标可以包括:
有效培训的员工百分比:
-调节器接触的频率;
反馈机制的使用(包括用户对这些机制的价值的评论)。反应性指标可包括:按类型、区域和频率确定、报告的问题和不符合项:
不合规的后果,包括对货币补偿、罚款和其他处罚、补救成本、声誉或员工时间成本造成的影响的评估
报告和采取纠正措施所用的时间。
预测指标可包括:
不符合的风险,衡量为随着时间的推移目标(收入、健康和安全、声誉等)的潜在损失/收益;
不合规趋势(基于过去趋势的预期合规率)。
A.9.1.4合规报告
尽管报告系统性问题和反复出现的问题特别重要,但如果一次性不合规是重大的或故意的,则同样值得关注。即使是一个小小的失败也可能表明当前流程和合规管理系统存在严重缺陷。如果不及时报告,可能导致认为故障无关紧要,并可能导致此类故障成为系统性问题。
合规报告应包括:
组织需要通知任何监管机构的任何事项:
合规义务的变化、其对组织的影响以及履行新义务的拟议行动方案;
-合规绩效的测量,包括不合规和持续性;可能不符合的数量和细节,以及随后的分析;
采取的纠正措施
合规管理体系的有效性、成就和趋势信息;
与监管机构的联系和关系发展;
审计结果以及监测活动;
监督行动计划的完整执行,特别是那些来自审计报告或监管机构要求的计划,或两者兼而有之。

合规政策应促进及时报告超出定期报告时限的重大事项。
A.9.1.5记录保存
记录保存应包括记录和分类合规问题和指称的不合规行为以及为解决这些问题而采取的步骤。
记录的存储方式应确保其保持清晰、易于识别和检索。
这些记录应受到保护,防止任何添加、删除、修改、未经授权的使用或隐藏。
组织的合规管理体系记录可以包括:
合规绩效信息,包括合规报告
不符合和纠正措施的详细信息:
合规管理体系审核结果及采取的措施。
A.9.2内部审计
审计职能,无论是内部审计职能还是外部审计职能,都应该没有利益冲突和独立性,以履行其职责。有关如何对管理体系进行审核的信息,请参见19011
A.9.3管理评审
管理审查还应包括以下方面的建议:
-合规政策及其相关目标、制度、结构和人员的变更需求;
变更合规流程,以确保与运营实践和系统有效整合;
未来潜在不符合项的监控区域
一与不符合有关的纠正措施;
-当前合规系统和长期持续改进计划中的差距或不足;对组织内模范合规行为的认可。
管理评审中记录的结果和任何建议的副本应提供给理事机构。
A.10改进
A.10.1持续改进
合规管理系统的有效性的特点是它具有不断改进和发展的能力。组织的内部和外部环境以及业务随着时间的推移而变化,其客户的性质和适用的合规义务也随之变化。
合规管理体系的充分性和有效性应通过多种方法进行持续和定期的评估,如审查或内部审计。

组织应制定措施,以审查其合规管理体系,并确保其保持最新和适合目的。在确定支持持续改进的行动的范围和时间尺度时,组织应考虑其背景、经济因素和其他相关情况。
一些组织调查员工,以衡量合规文化和评估控制的力度。持续改进的进一步信息来源可以是客户调查的结果、引起关注的报告、定期监测、定期审计或管理评审。
组织应考虑此类评估的结果和产出,以确定是否有必要或有机会改变合规管理体系。
为了帮助确保合规管理体系的完整性及其有效性得到保留,管理体系各个要素的变化应考虑到这些变化对整个管理体系有效性的依赖性和影响。
当对合规管理体系进行变更时,组织应考虑这些变更对管理体系、其运作、资源可用性、合规风险评估、组织的合规义务及其持续改进过程的影响。
A.10.2不符合和纠正措施
未能预防或检测到一次性不合规并不一定意味着合规管理体系在预防和检测不合规方面通常不有效。
分析不符合项或不符合项的信息可用于考虑:
评估产品和服务性能:
改进或重新设计产品和服务;
改变组织惯例和程序;
再培训员工
重新评估通知相关方的必要性
提供潜在不合规的早期预警;
重新设计或审查控制措施
-加强通知和上报步骤(内部和外部);
传达有关不合规的事实和组织对不合规的立场。
组织应找出导致不当行为的不遵守政策或程序或两者的根本原因,并根据经验教训更新政策和程序。