?ISO2021-保留所有權(quán)利18037301:2021合規(guī)管理體系要求及使用指南本文檔詳細(xì)說明了要求，并提供了在組織內(nèi)建立，開發(fā)，實(shí)施，評(píng)估，維護(hù)和改進(jìn)有效合規(guī)管理系統(tǒng)的指南。本文檔適用于所有類型的組織，無(wú)論活動(dòng)的類型，規(guī)模和性質(zhì)如何，以及該組織來自公共部門，私營(yíng)部門還是非如果組織沒有獨(dú)立的理事機(jī)構(gòu)，則本文檔中指定的涉及理事機(jī)構(gòu)的所有要求均適用于高層管理人員。本文檔中沒有規(guī)范性引用。就本文檔而言，以下術(shù)語(yǔ)和定義適用。組織具有職責(zé)，權(quán)限和關(guān)系以實(shí)現(xiàn)其目標(biāo)的職能的個(gè)人或一群人注釋1：組織的概念包括但不限于獨(dú)資，公司，公司，公司，企業(yè)，機(jī)構(gòu)，合伙企業(yè)，慈善機(jī)構(gòu)或機(jī)構(gòu)，或其一部分或組合，無(wú)論是否成立，公共或私人的。注釋2：如果組織是較大實(shí)體的一部分，則術(shù)語(yǔ)“組織”僅指在合規(guī)管理系統(tǒng)范圍內(nèi)的較大實(shí)體的一部分利害關(guān)系方(優(yōu)先條款)利益相關(guān)者(允許的期限)可能會(huì)影響，感知到或被決策或活動(dòng)影響的個(gè)人或組織高層管理人員在最高級(jí)別指導(dǎo)和控制林的R或一群人注釋1：最高管理者有權(quán)在組織內(nèi)委派權(quán)限并提供資源。注釋2：如果管理系統(tǒng)(站)的范圍僅覆蓋組織的一部分，則高層管理人員是指指導(dǎo)和控制組織的該部分的人員。注釋3：就本文檔而言，術(shù)語(yǔ)“最高管理人員**”是指最高級(jí)別的執(zhí)行管理人員。管理系統(tǒng)紐多的一組相互關(guān)聯(lián)或相互作用的元素，用于建立策略和目標(biāo)以及實(shí)現(xiàn)這些目標(biāo)的"注釋1：管理系統(tǒng)可以處理一個(gè)或多個(gè)學(xué)科。注釋2：內(nèi)部審核由組織(3JJ本身；或由外部團(tuán)體代表組織)進(jìn)行。政策紐鄉(xiāng)撮高管理者正式表達(dá)的林的'意圖幫方向注釋1：策略也可以由組織的瘞偵夜正式表達(dá)?？陀^的要達(dá)到的結(jié)果注釋2：目標(biāo)可以涉及不同的學(xué)科(例如金融，健康和安全以及環(huán)境)。例如，它們可以在整個(gè)組織范圍內(nèi)，或特定于項(xiàng)目，產(chǎn)品，服務(wù)或過程(服))-注釋3：目標(biāo)可以用其他方式表示，例如作為預(yù)期結(jié)果，目的，操作準(zhǔn)則，作為西折拷?jīng)r的目標(biāo)，或通過使用具有相似含義的其他詞語(yǔ)(例如目標(biāo)，目的或目標(biāo))。注釋4：在合規(guī)管理親劣屮，組織應(yīng)設(shè)定合規(guī)目標(biāo)與合規(guī)政策一致，以取得特定結(jié)果。風(fēng)險(xiǎn)不確定性對(duì)目標(biāo)的影響注釋1：影響是與預(yù)期的偏差-正或負(fù)。注釋2：不確定性是指與事件，其后果或可能性有關(guān)的信息，了解或知識(shí)的缺乏狀態(tài)，甚至是部分的注釋3：風(fēng)考慮。注釋4：風(fēng)險(xiǎn)通常表示為事件后果(包括環(huán)境變化)和相關(guān)的“可能性”(如ISO指南73中定義)的組合.8過程一組相互關(guān)聯(lián)或交互的活動(dòng)，這些活動(dòng)使用或轉(zhuǎn)換輸入以提供結(jié)果注釋1：過程的結(jié)果稱為輸出，產(chǎn)品還是服務(wù)取決于引用的上下文。9寂限應(yīng)用知識(shí)和技能以達(dá)到預(yù)期結(jié)果的能力3.10書面信息組織要求控制和維護(hù)的髭度以及包含該信息的媒體注釋1：記錄的信息可以采用任何格式和媒體，并且可以來自任何來源。注釋2：記錄的信息可以參考：一管理系統(tǒng),包括相關(guān)近建；一為組織運(yùn)作而創(chuàng)建的信息(文檔)；一取得成果的證據(jù)(記錄)。11表現(xiàn)可測(cè)量的結(jié)果注釋1：績(jī)效可能與定量或定性發(fā)現(xiàn)有關(guān)。注釋2：績(jī)效可能與管理活動(dòng)，流程,產(chǎn)品，服務(wù)，系統(tǒng)或組織有關(guān)。12轉(zhuǎn)續(xù)改進(jìn)經(jīng)常性活動(dòng)以提高齢13效方實(shí)現(xiàn)計(jì)劃的活動(dòng)和達(dá)到計(jì)劃的結(jié)果的程度14要求所陳述的需求或期望，通常是隱含的或強(qiáng)制性的注2：規(guī)定的要求是已陳述的要求，例如在書面信息中。15符合滿足要求:16不合格親滿足要憲是而合游。17糾正措施消除不合格的原因并防止再次發(fā)生的措施18計(jì)系統(tǒng)和獨(dú)立的過程，用于獲取證據(jù)并對(duì)其進(jìn)行客觀評(píng)估，以確定滿足審核標(biāo)準(zhǔn)的程度注釋1：審核可以是內(nèi)部審核(第一方)或外部審核(第二方或第三方)。并且可以是合并審核(合并兩個(gè)或多個(gè)學(xué)科)。進(jìn)入注釋4：獨(dú)立性可以通過對(duì)所審核活動(dòng)的責(zé)任自由或?qū)ζ姾屠鏇_突的自由來證明。3.19測(cè)量球確定一個(gè)值3.20監(jiān)控注釋1：要確定狀態(tài)，可能需要檢查，監(jiān)督或嚴(yán)格觀察。3.21困事機(jī)構(gòu)對(duì)紐紹的活動(dòng)，治理和攻黃負(fù)有最終責(zé)任和權(quán)力，并且最高管理者向其報(bào)告并由最高管理者負(fù)責(zé)的個(gè)人或一薜人注釋1：并非所有組織，特別是小型組織，都將擁有一個(gè)獨(dú)立于高層管理人員的理事機(jī)構(gòu)。注釋2：理事機(jī)構(gòu)可以包括但不限于董事會(huì)，董事會(huì)委員會(huì)，監(jiān)事會(huì)或受托人。3.22人員在國(guó)家法律或慣例中被視為工作關(guān)系的關(guān)系中的個(gè)人，或在依賴于組織活動(dòng)的合同關(guān)系中的R3.23對(duì)遵從性管理系統(tǒng)的運(yùn)作負(fù)有責(zé)任和權(quán)限的個(gè)人或團(tuán)體注釋1:最好將一個(gè)人分配給合規(guī)管理系統(tǒng)的監(jiān)督。3.24合規(guī)風(fēng)險(xiǎn)不遵守與組織遂亨義務(wù)發(fā)生的可能性和后果3.25合規(guī)義務(wù)組織3強(qiáng)制必須遵守的要美以及組織自愿選擇遵守的要求3.26遵守滿足組織的所有要求合規(guī)義務(wù)3.27違規(guī)未履行履約義務(wù)3.28合規(guī)文化遍布整個(gè)紐紹的價(jià)值觀，道德，信念和行為，并與組織的結(jié)構(gòu)和控制系統(tǒng)進(jìn)行交互以產(chǎn)生有助于合刼的行為規(guī)范3.29執(zhí)行影響客戶，員工，供應(yīng)商，市場(chǎng)和社區(qū)成果的行為和做法3.30第三方獨(dú)立于組織的個(gè)人或機(jī)構(gòu)注釋1：所有業(yè)務(wù)伙伴均為第三方，但并非所有第三方均為業(yè)務(wù)伙伴。31程序指定的進(jìn)行活動(dòng)或過程的方式4組織環(huán)境4.1了解組織及其背景組織應(yīng)確定與其目的相關(guān)并影響其實(shí)現(xiàn)合規(guī)管理系統(tǒng)預(yù)期結(jié)果能力的外部和內(nèi)部問題。為此，組織應(yīng)考慮廣泛的問題，包括但不限于：—業(yè)務(wù)模型，包括戰(zhàn)略，性質(zhì)，規(guī)模和規(guī)模的復(fù)雜性以及組織活動(dòng)和運(yùn)營(yíng)的可持續(xù)性；—與第三方的業(yè)務(wù)關(guān)系的性質(zhì)和范圍；法規(guī)環(huán)境；一社會(huì)，文化和環(huán)境背景；一內(nèi)部結(jié)構(gòu)，政策，流程，程序和資源，包括技術(shù)；—它的合規(guī)文化。4.2了解有關(guān)方面的需求和期望一與合規(guī)管理系統(tǒng)有關(guān)的利害關(guān)系方；一這些利害關(guān)系方的有關(guān)要求；—這些要求中的哪些將通過合規(guī)管理系統(tǒng)解決。4.3確定合規(guī)管理系統(tǒng)的范圍組織應(yīng)確定合規(guī)管理系統(tǒng)的范圍和適用性以建立其范圍。注：合規(guī)管理系統(tǒng)的范圍旨在闡明組織面臨的主要合規(guī)風(fēng)險(xiǎn)以及合規(guī)管理系統(tǒng)將適用的地理或組織邊界，或兩者都適用，特別是在組織是大型實(shí)體的一部分的情況下。在確定此范圍時(shí)，組織應(yīng)考慮：求。該范圍應(yīng)作為文檔信息提供。4.4合規(guī)管理系統(tǒng)組織應(yīng)根據(jù)本文件的要求建立，實(shí)施，維護(hù)和持續(xù)改進(jìn)合規(guī)管理系統(tǒng)，包括所需的過程及其相互作用O遵從管理體系應(yīng)反映組織的價(jià)值觀，目標(biāo)，戰(zhàn)略和遵從風(fēng)險(xiǎn)，并考慮到組織的環(huán)境(見4d)o4.5合規(guī)義務(wù)組織應(yīng)系統(tǒng)地識(shí)別其活動(dòng)，產(chǎn)品和服務(wù)產(chǎn)生的合規(guī)義務(wù)，并評(píng)估其對(duì)運(yùn)營(yíng)的影響。組織應(yīng)具備以下流程：a)確定新的和更改的合規(guī)義務(wù)，以確保持續(xù)合規(guī)；b)評(píng)估已識(shí)別變更的影響，并在合規(guī)義務(wù)管理中實(shí)施任何必要的變更。組織應(yīng)保持其合規(guī)義務(wù)的書面信息。4.6合規(guī)風(fēng)險(xiǎn)評(píng)估組織應(yīng)基于合規(guī)風(fēng)險(xiǎn)評(píng)估，識(shí)別，分析和評(píng)估其合規(guī)風(fēng)險(xiǎn)。組織應(yīng)通過將合規(guī)義務(wù)與其活動(dòng)，產(chǎn)品，服務(wù)和運(yùn)營(yíng)的相關(guān)方面相關(guān)聯(lián)來識(shí)別合規(guī)風(fēng)險(xiǎn)。組織應(yīng)評(píng)估與外包和第三方流程相關(guān)的合規(guī)風(fēng)險(xiǎn)。應(yīng)定期評(píng)估合規(guī)風(fēng)險(xiǎn)，并應(yīng)在情況或組織環(huán)境發(fā)生重大變化時(shí)進(jìn)行評(píng)估。組織應(yīng)保留有關(guān)合規(guī)風(fēng)險(xiǎn)評(píng)估以及應(yīng)對(duì)其合規(guī)風(fēng)險(xiǎn)的措施的書面信息。5.1領(lǐng)導(dǎo)與承諾5.1.1領(lǐng)導(dǎo)機(jī)構(gòu)和高層管理人員理事機(jī)構(gòu)和最高管理者應(yīng)通過以下方式表現(xiàn)出對(duì)合規(guī)管理體系的領(lǐng)導(dǎo)和承諾：—確保建立合規(guī)政策和合規(guī)目標(biāo)并與組織的戰(zhàn)略方向兼容；一確保將合規(guī)管理系統(tǒng)要求集成到組織的業(yè)務(wù)流程中；一確保合規(guī)管理系統(tǒng)所需的資源可用；一傳達(dá)有效的合規(guī)管理和遵守合規(guī)管理系統(tǒng)要求的重要性；一確保合規(guī)管理系統(tǒng)達(dá)到預(yù)期結(jié)果；一指導(dǎo)和支持人員為合規(guī)管理系統(tǒng)的有效性做出貢獻(xiàn)；續(xù)改進(jìn)；一支持其他相關(guān)角色以展示其在其職責(zé)范圍內(nèi)的領(lǐng)導(dǎo)能力。注意：本文檔中對(duì)“業(yè)務(wù)”的引用可以廣義地解釋為那些對(duì)于組織存在的目的而言至關(guān)重要的活動(dòng)。理事機(jī)構(gòu)和—建立并維護(hù)組織的價(jià)值觀；一確保制定和實(shí)施政策，流程和程序以實(shí)現(xiàn)合規(guī)目標(biāo)；一確保及時(shí)告知他們有關(guān)合規(guī)事宜，包括不合規(guī)的情況，并確保采取適當(dāng)?shù)拇胧?；一確保遵守承諾，并適當(dāng)處理違規(guī)和違規(guī)行為；一確保適當(dāng)?shù)貙⒑弦?guī)責(zé)任包括在職位描述中；一任命或提名合規(guī)職能；x題的系統(tǒng)。成立。?ISO2021-保留所有權(quán)利5.1.2合規(guī)文化組織應(yīng)在組織內(nèi)的各個(gè)層次上建立，維護(hù)和促進(jìn)合規(guī)文化。理事機(jī)構(gòu)，高層管理人員和管理層應(yīng)表現(xiàn)出對(duì)整個(gè)組織所需的共同行為和行為標(biāo)準(zhǔn)的積極，可見，一致和持續(xù)的最高管理者應(yīng)鼓勵(lì)建立和支持合規(guī)的行為。它應(yīng)防止而不是容忍損害合規(guī)性的行為。5.1.3合規(guī)治理理事機(jī)構(gòu)和最高管理者應(yīng)確保執(zhí)行以下原則：一直接將遵約職能移交給理事機(jī)構(gòu)；一遵守職能的獨(dú)立性；一合規(guī)職能的適當(dāng)權(quán)限和能力。注1：直接訪問可包括：直接向理事機(jī)構(gòu)報(bào)告，向理事機(jī)構(gòu)定期提交報(bào)告并參加其會(huì)議。注2：獨(dú)立是指對(duì)順應(yīng)功能的操作沒有任何不適當(dāng)?shù)母蓴_或壓力，或兩者都不存在。理事機(jī)構(gòu)和最高管理者應(yīng)制定合規(guī)政策，以：a；b)提供設(shè)定合規(guī)目標(biāo)的框架；c)包括滿足適用要求的承諾；d)包括對(duì)合規(guī)管理系統(tǒng)的持續(xù)改進(jìn)的承諾。守政策應(yīng)：；一要求遵守組織的合規(guī)義務(wù)；一參考并描述合規(guī)功能；一概述不遵守組織的合規(guī)義務(wù)，政策，流程和程序的后果；—鼓勵(lì)引起關(guān)注并禁止任何形式的報(bào)復(fù)；一用通俗易懂的語(yǔ)言寫成，以便所有人員都可以輕松理解其原理和意圖；一適當(dāng)實(shí)施和執(zhí)行；一可以作為記錄信息使用；一在組織內(nèi)部進(jìn)行溝通；一適當(dāng)時(shí)可供感興趣的各方使用。5.3角色，職責(zé)和權(quán)限5.3.1領(lǐng)導(dǎo)機(jī)構(gòu)和高層管理人員理事機(jī)構(gòu)和最高管理者應(yīng)確保在組織內(nèi)分配和傳達(dá)有關(guān)角色的職責(zé)和權(quán)限。理事機(jī)構(gòu)和最高管理者應(yīng)分配以下職責(zé)和權(quán)限：a)確保合規(guī)管理系統(tǒng)符合本文件的要求；b)向理事機(jī)構(gòu)和最高管理者匯報(bào)合規(guī)管理系統(tǒng)的績(jī)效。一確保根據(jù)達(dá)到合規(guī)目標(biāo)衡量最高管理層；一對(duì)最高管理者進(jìn)行有關(guān)合規(guī)性管理系統(tǒng)運(yùn)行的監(jiān)督?！峙渥銐蚝瓦m當(dāng)?shù)馁Y源以建立，開發(fā)，實(shí)施，評(píng)估，維護(hù)和改進(jìn)合規(guī)管理系統(tǒng);一確保建立有效的及時(shí)報(bào)告況的系統(tǒng)；一確保戰(zhàn)略和運(yùn)營(yíng)目標(biāo)與合規(guī)義務(wù)之間保持一致；一建立和維護(hù)問責(zé)機(jī)制，包括紀(jì)律處分和后果；一確保將合規(guī)績(jī)效納入人員績(jī)效評(píng)估。5.3.2合規(guī)功能合規(guī)職能應(yīng)負(fù)責(zé)合規(guī)管理系統(tǒng)的運(yùn)行，包括以下內(nèi)容：一促進(jìn)確定履約義務(wù)；一記錄合規(guī)風(fēng)險(xiǎn)評(píng)估；一使合規(guī)管理系統(tǒng)與合規(guī)目標(biāo)保持一致；一監(jiān)控和衡量合規(guī)績(jī)效；一分析和評(píng)估合規(guī)性管理系統(tǒng)的性能，以確定是否需要采取糾正措施；—建立合規(guī)報(bào)告和文件記錄系統(tǒng)；一確保按計(jì)劃的時(shí)間間隔審核合規(guī)性管理系統(tǒng)(請(qǐng)參閱92和93):一建立引起關(guān)注并確保解決關(guān)注的系統(tǒng)。能應(yīng)監(jiān)督：一在整個(gè)組織屮適當(dāng)分配實(shí)現(xiàn)已確定合規(guī)性義務(wù)的職責(zé)；一合規(guī)義務(wù)已整合到政策，流程和程序中；一所有相關(guān)人員均按要求接受培訓(xùn)；—建立合規(guī)績(jī)效指標(biāo)。遵從功能應(yīng)提供：一有權(quán)訪問合規(guī)政策，流程和程序資源的人員；一就合規(guī)性相關(guān)事宜向組織提供建議。注意合規(guī)功能的特定職責(zé)并不能免除其他人員的合規(guī)責(zé)任。組織應(yīng)確保符合性功能可以訪問：一高級(jí)決策者，以及在決策過程中盡早做出貢獻(xiàn)的機(jī)會(huì)；一組織的各個(gè)級(jí)別；?ISO2021-保留所有權(quán)利一所需的所有人員，文件化信息和數(shù)據(jù)；一有關(guān)有關(guān)法律，法規(guī)，守則和組織標(biāo)準(zhǔn)的專家意見。管理管理層應(yīng)通過以下方式負(fù)責(zé)其職責(zé)范圍內(nèi)的合規(guī)：一與合規(guī)部門合作并提供支持，并鼓勵(lì)人員這樣做；一確保其控制范圍內(nèi)的所有人員均遵守組織的合規(guī)義務(wù)，政策，流程和程序；一識(shí)別并傳達(dá)其運(yùn)營(yíng)中的合規(guī)風(fēng)險(xiǎn)；一將合規(guī)義務(wù)納入其職責(zé)范圍內(nèi)的現(xiàn)有業(yè)務(wù)實(shí)踐和程序中；—參加和支持合規(guī)培訓(xùn)活動(dòng)；一培養(yǎng)人員對(duì)合規(guī)義務(wù)的意識(shí)，并指導(dǎo)他們滿足培訓(xùn)和能力要求；—鼓勵(lì)其人員提出合規(guī)性問題并給予支持，并排除任何形式的報(bào)復(fù)行為；一根據(jù)需要積極參與管理和解決與合規(guī)性相關(guān)的事件和問題；一確保在確定需要采取糾正措施后，建議并實(shí)施適當(dāng)?shù)募m正措施。人員一遵守組織的合規(guī)義務(wù)，政策，流程和程序；一報(bào)告合規(guī)問題，問題和失??；一參加所需的培訓(xùn)。6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的行動(dòng)A在規(guī)劃合規(guī)管理系統(tǒng)時(shí)，組織應(yīng)考慮4JL中提到的問題和42A中提到的要求，并確定需要解決的風(fēng)險(xiǎn)和機(jī)遇：一確保合規(guī)管理系統(tǒng)可以達(dá)到預(yù)期結(jié)果；—防止或減少不良影響；一實(shí)現(xiàn)持續(xù)改進(jìn)。在規(guī)劃合規(guī)管理系統(tǒng)時(shí)，組織應(yīng)考慮：—其合規(guī)目標(biāo)(見人2)；一確定的合規(guī)義務(wù)(請(qǐng)參閱以):一合規(guī)風(fēng)險(xiǎn)評(píng)估的結(jié)果(見陰)o組織應(yīng)計(jì)劃：a)應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)遇的行動(dòng)；1)將行動(dòng)整合并實(shí)施到其合規(guī)管理系統(tǒng)流程中；2)評(píng)估這些措施的有效性。6.2合規(guī)目標(biāo)和實(shí)現(xiàn)目標(biāo)的計(jì)劃組織應(yīng)在相關(guān)職能和級(jí)別上建立合規(guī)目標(biāo)。a)與合規(guī)政策保持一致；b)可衡量的(如果可行)；g)作為文檔信息可用。在計(jì)劃如何實(shí)現(xiàn)其合規(guī)目標(biāo)時(shí)，組織應(yīng)確定：—如何評(píng)估結(jié)果。6.3變更計(jì)劃當(dāng)組織確定需要更改合規(guī)管理系統(tǒng)時(shí)，應(yīng)以計(jì)劃的方式進(jìn)行更改。一變更的目的及其潛在后果；一合規(guī)管理系統(tǒng)的設(shè)計(jì)和運(yùn)營(yíng)有效性；一是否有足夠的資源；一職責(zé)和權(quán)限的分配或重新分配。組織應(yīng)確定并提供建立，實(shí)施，維護(hù)和持續(xù)改進(jìn)合規(guī)管理系統(tǒng)所需的資源。7.2權(quán)限一確定在其控制下從事影響其合規(guī)表現(xiàn)的人員的必要能力；-根據(jù)適當(dāng)?shù)慕逃?，培?xùn)或經(jīng)驗(yàn)，確保這些人勝任；?ISO2021-保留所有權(quán)利一在適用的情況下，采取行動(dòng)以獲得必要的能力，并評(píng)估所采取行動(dòng)的有效性。應(yīng)提供適當(dāng)?shù)臅嫘畔⒆鳛閯偃瘟Φ淖C據(jù)。注：可采取的行動(dòng)包括，例如，提供培訓(xùn)，指導(dǎo)或重新安排在職人員；或雇用或簽約合資格的人。就其所有人員而言，組織應(yīng)制定，建立，實(shí)施和維護(hù)流程，以使：雇用條件要求人員遵守組織的合規(guī)義務(wù)，政策，流程和程序；在開始雇用的合理期間內(nèi)，員工將收到遵從政策的副本或?qū)ζ溥M(jìn)行訪問并獲得有關(guān)該政策的培訓(xùn)的機(jī)會(huì)；對(duì)于違反組織合規(guī)性義務(wù)，政策，過程和程序的人員，應(yīng)采取適當(dāng)?shù)募o(jì)律處分。作為雇用過程的一部分，組織應(yīng)考慮由角色和人員造成的合規(guī)風(fēng)險(xiǎn)，并在雇用，調(diào)動(dòng)和晉升之前按照要求進(jìn)行盡職調(diào)查程序。組織應(yīng)實(shí)施一個(gè)程序，對(duì)績(jī)效目標(biāo)，績(jī)效獎(jiǎng)金和其他激勵(lì)措施進(jìn)行定期審查，以驗(yàn)證是否已采取適當(dāng)?shù)拇胧﹣矸乐构膭?lì)違規(guī)行為。組織應(yīng)從雇用開始之時(shí)起，并按組織確定的計(jì)劃間隔定期對(duì)有關(guān)人員進(jìn)行培訓(xùn)。適合人員的角色以及人員所面臨的合規(guī)風(fēng)險(xiǎn)；定期審查?？紤]到已識(shí)別的合規(guī)風(fēng)險(xiǎn)，組織應(yīng)確保實(shí)施程序以解決對(duì)合規(guī)意識(shí)的培訓(xùn)，以及對(duì)代表其行事并可能給組織帶來合規(guī)風(fēng)險(xiǎn)的第三方的培訓(xùn)。培訓(xùn)記錄應(yīng)保留為書面信息。7.3意識(shí)在組織控制下工作的人員應(yīng)了解：—它們對(duì)合規(guī)管理系統(tǒng)有效性的貢獻(xiàn)，包括改進(jìn)合規(guī)績(jī)效的好處；一不符合合規(guī)管理系統(tǒng)要求的影響；一引起合規(guī)性問題的程序和程序的方式(見S3)；一遵守政策與其職責(zé)相關(guān)的遵守義務(wù)的關(guān)系；一支持合規(guī)文化的重要性。7.4溝通組織應(yīng)確定與合規(guī)管理系統(tǒng)有關(guān)的內(nèi)部和外部通信，包括：關(guān)于它將傳達(dá)什么；何時(shí)溝通；與之溝通；d)如何溝通。一在考慮其傳播需求時(shí)，考慮多樣性的方面和潛在的障礙；一確保在建立其溝通流程時(shí)考慮到有關(guān)方面的意見fes)；一建立溝通流程時(shí))：一包括關(guān)于其合規(guī)文化，合規(guī)目標(biāo)和義務(wù)的溝通；一確保要傳達(dá)的合規(guī)信息與合規(guī)管理系統(tǒng)內(nèi)生成的信息一致并且可靠；一回應(yīng)有關(guān)其合規(guī)管理系統(tǒng)的相關(guān)溝通；一適當(dāng)保留文件化信息作為其通訊的證據(jù)；-在組織的各個(gè)級(jí)別和職能之間內(nèi)部傳達(dá)與合規(guī)管理系統(tǒng)有關(guān)的信息，包括酌情更改合規(guī)管理系統(tǒng)一確保其溝通過程使人員能夠?yàn)槌掷m(xù)改進(jìn)合規(guī)管理系統(tǒng)做出貢獻(xiàn)；一確保其溝通過程使人員能夠提出疑慮(見S3)；-由組織的溝通流程建立的外部溝通與合規(guī)管理系統(tǒng)有關(guān)的信息，并包括有關(guān)其合規(guī)文化，合規(guī)目標(biāo)和義務(wù)的7.5記錄的信息1一般的組織的合規(guī)管理系統(tǒng)應(yīng)包括：a)本文件要求的文件資料；b)組織確定為達(dá)標(biāo)管理系統(tǒng)的有效性所必需的文件化信息。注：遵從性管理系統(tǒng)的文檔化信息范圍可能因一個(gè)組織而異，這是由于以下原因：一組織的規(guī)模及其活動(dòng)，過程，產(chǎn)品和服務(wù)的類型；-流程及其交互的復(fù)雜性；一人的能力。7.5.2創(chuàng)建和更新文檔信息在創(chuàng)建和更新文檔信息時(shí)，組織應(yīng)確保適當(dāng)：一標(biāo)識(shí)和描述(例如標(biāo)題，日期，作者或參考編號(hào))；一格式(例如語(yǔ)言，軟件版本，圖形)和媒體(例如紙張；電子)；一審查和批準(zhǔn)其適用性和適當(dāng)性。7.5.3控制文件信息合規(guī)管理系統(tǒng)和本文件所要求的文件信息應(yīng)受到控制，以確保：a)它是可用的，并且適合在需要的地方和時(shí)間使用；b)它得到了充分的保護(hù)(例如，避免了機(jī)密性，使用不當(dāng)或完整性的損失)。為了控制書面信息，組織應(yīng)酌情開展以下活動(dòng)：一分發(fā)，獲取，檢索和使用；一儲(chǔ)存和保存，包括保持易讀性；—控制變更(例如版本控制)；一保留和處置。組織應(yīng)確定必要的外部來源的書面信息，這些信息對(duì)于合規(guī)性管理系統(tǒng)的計(jì)劃和運(yùn)行是必要的，并應(yīng)加以控制。注意訪問可能意味著要決定是否僅允許查看文檔信息，或者是有關(guān)查看和更改文檔信息的權(quán)限。8運(yùn)行8.1運(yùn)行計(jì)劃與控制組織應(yīng)通過以下方式計(jì)劃，實(shí)施和控制滿足要求所需的過程，以及實(shí)施篁。條中確定的措施：過程標(biāo)準(zhǔn)；一根據(jù)標(biāo)準(zhǔn)實(shí)施過程控制。應(yīng)提供必要的書面信息，以確信該過程已按計(jì)劃進(jìn)行。組織應(yīng)控制計(jì)劃的變更并審查意外變更的后果，并采取必要的措施以減輕任何不利影響。組織應(yīng)確?？刂婆c合規(guī)管理系統(tǒng)相關(guān)的外部提供的過程，產(chǎn)品或服務(wù)。注意：將組織的業(yè)務(wù)外包不會(huì)減輕組織的法律責(zé)任或合規(guī)性義務(wù)。組織應(yīng)確保對(duì)第三方過程進(jìn)行控制和監(jiān)視。8.2建立控制和程序組織應(yīng)實(shí)施控制措施以管理其合規(guī)義務(wù)和相關(guān)的合規(guī)風(fēng)險(xiǎn)。這些控制措施應(yīng)予以維護(hù)，定期檢查和測(cè)試，以確保其持續(xù)有效性。注：測(cè)試控件是指進(jìn)行有計(jì)劃的練習(xí)，以查看控件是否達(dá)到了預(yù)期的目的或不能被繞過，或者在降低風(fēng)險(xiǎn)的影響或可能性方面是否有效。組織應(yīng)建立，實(shí)施和維護(hù)一個(gè)過程，以鼓勵(lì)和報(bào)告(在合理的理由下認(rèn)為該信息是真實(shí)的)企圖，懷疑或?qū)嶋H違反合規(guī)政策或合規(guī)義務(wù)的情況。一在整個(gè)組織中可見并可以訪問；一保密地處理報(bào)告；一接受匿名舉報(bào)；一保護(hù)舉報(bào)人免受報(bào)復(fù)；一使人員能夠接收建議。組織應(yīng)確保所有人員都了解報(bào)告程序，其權(quán)利和保護(hù)并能夠使用它們。8.4調(diào)查程序組織應(yīng)制定，建立，實(shí)施和維護(hù)過程，以評(píng)估，評(píng)估，調(diào)查和結(jié)清關(guān)于可疑或?qū)嶋H違規(guī)事件的報(bào)告。這些程序應(yīng)確保公平公正的決策。調(diào)查過程應(yīng)由主管人員獨(dú)立進(jìn)行，不得有利益沖突。組織應(yīng)將調(diào)查結(jié)果用于適當(dāng)?shù)馗倪M(jìn)合規(guī)管理系統(tǒng)(參見第10條)。組織應(yīng)定期向理事機(jī)構(gòu)或最高管理者報(bào)告調(diào)查的數(shù)量和結(jié)果。組織應(yīng)保留有關(guān)調(diào)查的書面信息。9.1監(jiān)測(cè)，測(cè)量，分析和評(píng)估總貝!J組織應(yīng)監(jiān)視合規(guī)管理系統(tǒng)，以確保實(shí)現(xiàn)合規(guī)目標(biāo)。—需要監(jiān)視和測(cè)量的內(nèi)容；一為確保有效結(jié)果而進(jìn)行的監(jiān)測(cè)，測(cè)量，分析和評(píng)估方法；一，何時(shí)進(jìn)行監(jiān)測(cè)和測(cè)量；一監(jiān)測(cè)和測(cè)量的結(jié)果應(yīng)進(jìn)行分析和評(píng)估。文件信息應(yīng)作為結(jié)果的證據(jù)。組織應(yīng)評(píng)估合規(guī)績(jī)效和合規(guī)管理系統(tǒng)的有效性。9.1.2有關(guān)合規(guī)績(jī)效的反饋來源組織應(yīng)建立，實(shí)施，評(píng)估和維護(hù)過程，以從各種來源尋求并接收有關(guān)其合規(guī)績(jī)效的反饋。應(yīng)對(duì)信息進(jìn)行分析和嚴(yán)格評(píng)估，以找出不符合項(xiàng)的根本原因，確保采取適當(dāng)?shù)拇胧⒋诵畔⒎从吃谏??要求的定期風(fēng)險(xiǎn)評(píng)估中9.1.3指標(biāo)制定組織應(yīng)制定，實(shí)施和維護(hù)一套適當(dāng)?shù)闹笜?biāo)，以幫助組織評(píng)估其合規(guī)目標(biāo)的實(shí)現(xiàn)并評(píng)估其合規(guī)績(jī)效。9.1.4合規(guī)報(bào)告組織應(yīng)建立，實(shí)施和維護(hù)合規(guī)報(bào)告流程，以確保：a)確定了適當(dāng)?shù)膱?bào)告標(biāo)準(zhǔn)；b)確定定期報(bào)告的時(shí)間表；c)實(shí)施了例外報(bào)告系統(tǒng)，以促進(jìn)臨時(shí)報(bào)告；d)實(shí)施系統(tǒng)和流程以確保信息的準(zhǔn)確性和完整性；e)向組織的正確職能或領(lǐng)域提供準(zhǔn)確和完整的信息，以便及時(shí)采取預(yù)防，糾正和補(bǔ)救措施。合規(guī)部門向理事機(jī)構(gòu)或最高管理層發(fā)布的任何報(bào)告均應(yīng)得到充分保護(hù)，以免發(fā)生變更。9.1.5保持記錄中必須保留組織合規(guī)活動(dòng)的準(zhǔn)確，最新記錄，以幫助進(jìn)行監(jiān)視和審查過程，并證明與合規(guī)管理系統(tǒng)的符合性。組織應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部審核，以提供有關(guān)合規(guī)管理系統(tǒng)是否：一組織對(duì)合規(guī)管理系統(tǒng)的要求；件的要求；b)有效地實(shí)施和維護(hù)。組織應(yīng)計(jì)劃，建立，實(shí)施和維護(hù)審核計(jì)劃，包括頻率，方法，職責(zé)，計(jì)劃要求和報(bào)告。在建立內(nèi)部審核計(jì)劃人)時(shí)，組織應(yīng)考慮相關(guān)過程的重要性以及以前審核的結(jié)果。a)確定每次審核的審核目標(biāo)，標(biāo)準(zhǔn)和范圍；b)選擇審核員并進(jìn)行審核，以確保審核過程的客觀性和公正性；c)確保將審核結(jié)果報(bào)告給相關(guān)管理人員和管理層。注1：相關(guān)管理可以包括合規(guī)職能，最高管理者和管理機(jī)構(gòu)。應(yīng)提供書面信息，作為審核計(jì)劃和審核結(jié)果實(shí)施的證據(jù)。9.3管理評(píng)審領(lǐng)導(dǎo)機(jī)構(gòu)和最高管理者應(yīng)按計(jì)劃的時(shí)間間隔審查組織的合規(guī)管理系統(tǒng)，以確保其持續(xù)的適用性，充分性和有效9.3.2管理評(píng)審輸入a)先前的管理評(píng)審所采取的措施的狀態(tài)；b)與合規(guī)管理系統(tǒng)相關(guān)的外部和內(nèi)部問題的更改；c)與合規(guī)管理系統(tǒng)有關(guān)的利害關(guān)系方的需求和期望的變化；d)有關(guān)合規(guī)績(jī)效的信息，包括以下方面的趨勢(shì)：一不合格，不合規(guī)和糾正措施；一監(jiān)測(cè)和測(cè)量結(jié)果；e)持續(xù)改進(jìn)的機(jī)會(huì)。一遵守政策的充分性；—遵守職能的獨(dú)立性；一達(dá)到合規(guī)目標(biāo)的程度；一合規(guī)風(fēng)險(xiǎn)評(píng)估的充分性；一現(xiàn)有控制措施和績(jī)效指標(biāo)的有效性；一提出疑慮的人，有關(guān)方面的溝通，包括反饋(見9丄2)和投訴；-調(diào)查(見脂)；一報(bào)告系統(tǒng)的有效性。9.3.3管理評(píng)審結(jié)果管理評(píng)審的結(jié)果應(yīng)包括與持續(xù)改進(jìn)機(jī)會(huì)以及對(duì)合規(guī)管理體系進(jìn)行任何更改的需求有關(guān)的決策。應(yīng)提供書面信息，作為管理評(píng)審結(jié)果的證據(jù)。組織應(yīng)不斷提高合規(guī)管理體系的適用性，充分性和有效性。10.2不合格和糾正措施當(dāng)發(fā)生不符合項(xiàng)或不符合項(xiàng)時(shí)，組織應(yīng)：a)對(duì)不符合項(xiàng)或不符合項(xiàng)做出反應(yīng)，并在適用的情況下：1)采取措施進(jìn)行控制和糾正；2)處理后果；b)評(píng)估采取行動(dòng)消除不合格或不合規(guī)原因或兩者的原因的必要性，以使其不會(huì)在其他地方再次發(fā)生成發(fā)生，方1)審查不合格或不合規(guī)，或兩者兼而有之；2)確定不合格或不合格或兩者的原因；3)確定是否存在相似的不合格品或不合格品，或同時(shí)存在或可能發(fā)生類似的不合格品；d)審查采取的任何糾正措施的有效性；e)如有必要，對(duì)合規(guī)性管理系統(tǒng)進(jìn)行更改。糾正措施應(yīng)適合于所遇到的不合格或不合格或兩者的影響。應(yīng)提供書面信息作為以下方面的證據(jù)：—不符合或不符合或兩者的性質(zhì)，以及隨后采取的任何措施;一任何糾正措施的結(jié)果。附件A(資料性的)本文件使用指南A.1.1總貝！]本附件中指南的目的是指出組織在實(shí)施合規(guī)性管理系統(tǒng)時(shí)可以采取的方法和行動(dòng)類型。它并不旨在是全面的或規(guī)范性的，組織也沒有義務(wù)實(shí)施本指南中的所有建議以使合規(guī)性管理系統(tǒng)滿足本文檔的要求O為了履行其合規(guī)義務(wù)，組織應(yīng)就其合規(guī)風(fēng)險(xiǎn)的性質(zhì)和范圍采取合理的措施。組織可以選擇將此遵從性管理系統(tǒng)作為一個(gè)單獨(dú)的系統(tǒng)來實(shí)施，但是，理想情況下，它將與其他管理系統(tǒng)(例如風(fēng)險(xiǎn)，反賄賂，質(zhì)量，環(huán)境，信息安全和社會(huì)責(zé)任)一起實(shí)施。舉幾個(gè)例子。在這種情況下，組織可以參考ISO任何規(guī)模，復(fù)雜性或行業(yè)的組織都可以按照其要求將本文檔應(yīng)用于創(chuàng)建合規(guī)性管理系統(tǒng)。這將使他們了解其背景，業(yè)務(wù)運(yùn)營(yíng)，由此產(chǎn)生的義務(wù)和合規(guī)風(fēng)險(xiǎn)，并幫助他們采取合理的步驟來履行其義務(wù)。應(yīng)遵守文件中的每個(gè)要求。實(shí)際上，在小型組織中，根據(jù)本文檔實(shí)施合規(guī)性管理系統(tǒng)通常較為容易，因?yàn)樗鼈儾荒敲磸?fù)雜。中小型組織將通過使用本文檔要求的原則來增強(qiáng)其組織實(shí)踐。本文檔涉及理事機(jī)構(gòu)和高層管理人員，并定義了這些術(shù)語(yǔ)在各種上下文和位置中的含義。本文檔可供所有組織使用，因此，如果特定組織不使用這些術(shù)語(yǔ)，請(qǐng)注意其使用意圖：要求或指示將適用于在頂峰擁有權(quán)尻和責(zé)任的個(gè)人或人群組織的。A.2規(guī)范性引用文件本文檔無(wú)規(guī)范性引用。用戶可以參考參考書目以獲取與合規(guī)性相關(guān)的其他信息和國(guó)際標(biāo)準(zhǔn)。該文件采用了ISO開發(fā)的高級(jí)結(jié)構(gòu)(HLS),以改善其國(guó)際管理體系標(biāo)準(zhǔn)之間的一致性。HLS結(jié)構(gòu)列出了子句序列，通用術(shù)語(yǔ)和定義，以及構(gòu)成ISO管理系統(tǒng)標(biāo)準(zhǔn)(MSS)核心的相同核心文本。這意味著某些定義可以以不熟悉的方式使用。提供的定義可以在使用本文檔時(shí)提供澄清。MSS的這種通用方法為用戶增加了此類標(biāo)準(zhǔn)的價(jià)值。對(duì)于選擇運(yùn)行可以同時(shí)滿足兩個(gè)或多個(gè)MSS要求的單個(gè)(有時(shí)稱為“集成”)管理系統(tǒng)的組織而言，此功能特別有用。尚未采用MSS或合規(guī)性管理框架的組織可以輕松地將此文檔作為其組織內(nèi)的獨(dú)立指南。A.4.1了解組織及其背景該條款的目的是組織對(duì)可能影響其合規(guī)性管理系統(tǒng)的重要問題建立高層(例如戰(zhàn)略)理解。然后，所獲得的知識(shí)將用于指導(dǎo)規(guī)劃，實(shí)施，操作和改進(jìn)合規(guī)性管理系統(tǒng)的方法。這是審查有關(guān)組織的所有可用信息的過程：組織做什么，在哪里，如何以及為什么。根據(jù)合規(guī)義務(wù)評(píng)估外部和關(guān)鍵因素對(duì)組織的影響。這些合規(guī)性義務(wù)中最明顯的是組織在其經(jīng)營(yíng)所在的法律和法規(guī)環(huán)境中產(chǎn)生的，但義務(wù)或風(fēng)險(xiǎn)也可能由議的其他因素引起。組織還應(yīng)考慮可能會(huì)產(chǎn)生影響的相關(guān)未來趨勢(shì)。本文檔中建應(yīng)考慮內(nèi)部因素。文檔中包含一些示例。此列表并不詳盡，并且可能還有其他與組織相關(guān)的列表。A.4.2了解有關(guān)方面的需求和期望組織應(yīng)建立對(duì)可能會(huì)影響合規(guī)管理系統(tǒng)，受其影響或認(rèn)為自己受到合規(guī)管理系統(tǒng)影響的人員或組織的需求和期望有些是強(qiáng)制性的，因?yàn)樗鼈円驯患{入正式的要求中，例如法律，法規(guī)，許可證和執(zhí)照以及政府或法院能存在此處未包括的其他正式要求。的訴訟?？僧?dāng)指定了利益相關(guān)方的其他需求和期望時(shí)，這些義務(wù)和義務(wù)就成為了義務(wù)，并且組織決定通過簽訂協(xié)愿采用這些義務(wù)和期望。一旦組織決定了它們，它們便成為合規(guī)義務(wù)。議或合同自外部利益相關(guān)方的示例包括：一政府和政府機(jī)構(gòu)；-第三方中介；一所有者，股東和投資者；非政府組織；一社會(huì)和社區(qū)團(tuán)體；-商務(wù)伙伴。內(nèi)部利益相關(guān)方的示例包括：-雇員；一內(nèi)部職能，例如風(fēng)險(xiǎn)管理，內(nèi)部控制，內(nèi)部審計(jì)，人力資源。A.4.3確定合規(guī)管理體系的范圍確定遵從性管理系統(tǒng)的范圍是組織確定遵從性管理系統(tǒng)將應(yīng)用到的物理和組織邊界的過程。這樣，組選擇在整個(gè)組織內(nèi)，組織中的特定單位或特定職能中實(shí)施法規(guī)遵從管理系統(tǒng)的自由度和靈活性?？椏梢宰杂赏ǔ＃弦?guī)管理系統(tǒng)將在整個(gè)組織中實(shí)施，對(duì)于一組組織而言，則將在整個(gè)組織中實(shí)施，以避免道德的雙重標(biāo)準(zhǔn)。行為和合規(guī)考慮到組織所面臨的合規(guī)風(fēng)險(xiǎn)的性質(zhì)和程度，范圍應(yīng)合理且相稱。建立合規(guī)管理系統(tǒng)的范圍并確定組織將采用哪些要求時(shí)，應(yīng)考慮對(duì)相關(guān)利益方的上下文和要求的了解A.4.4合規(guī)管理體系合規(guī)管理系統(tǒng)是一個(gè)框架，該框架集成了必要的結(jié)構(gòu)，政策，流程和程序，以實(shí)現(xiàn)所需的合規(guī)結(jié)果，防止，發(fā)現(xiàn)和應(yīng)對(duì)不合規(guī)情況。并采取措施通常，合規(guī)性管理系統(tǒng)框架是結(jié)構(gòu)性問題：構(gòu)建該系統(tǒng)所必需的基礎(chǔ)結(jié)構(gòu)。然后需要通過執(zhí)行政策，來使其可操作。然后，需要對(duì)其進(jìn)行維護(hù)并對(duì)其進(jìn)行持續(xù)改進(jìn)。流程和程序合規(guī)性管理系統(tǒng)包含許多要素。管理系統(tǒng)的某些元素將被設(shè)計(jì)為支持所需的行為，而其他元素將被設(shè)計(jì)為防止不良行為。有些元素僅用于監(jiān)視組織的合規(guī)性績(jī)效，或者在發(fā)生不合規(guī)情況時(shí)發(fā)出警報(bào)。合規(guī)管理系統(tǒng)將認(rèn)識(shí)到確實(shí)會(huì)發(fā)生錯(cuò)誤，并將制定流程以確保做出適當(dāng)?shù)姆磻?yīng)。適當(dāng)?shù)姆磻?yīng)將包括對(duì)流程，系統(tǒng)和受影響方的補(bǔ)救。遵守管理系統(tǒng)應(yīng)基于善政，相稱性，完整性，透明度，問責(zé)制和可持續(xù)性的原則。合規(guī)管理系統(tǒng)應(yīng)作為文檔信息提供。A規(guī)義務(wù)組織應(yīng)將合規(guī)義務(wù)作為建立，開發(fā)，實(shí)施，評(píng)估，維護(hù)和改進(jìn)其合規(guī)管理體系的基礎(chǔ)。組織強(qiáng)制性必須遵守的要求包括：—法律法規(guī)；一許可證，執(zhí)照或其他形式的授權(quán)；一監(jiān)管機(jī)構(gòu)發(fā)布的命令，規(guī)則或指南；一法院或行政法庭的判決；一條約，公約和議定書。組織自愿選擇遵守的要求可以包括：一與社區(qū)團(tuán)體或非政府組織的協(xié)議；—與公共機(jī)構(gòu)和客戶的協(xié)議；一組織要求，例如政策和程序；一自愿性原則或行為準(zhǔn)則；一自愿標(biāo)簽或環(huán)境承諾；—與組織的合同安排下產(chǎn)生的義務(wù)；一相關(guān)的組織和行業(yè)標(biāo)準(zhǔn)。組織應(yīng)按部門，職能和組織活動(dòng)的不同類型確定合規(guī)義務(wù)，以確定誰(shuí)受這些合規(guī)義務(wù)影響。獲取有關(guān)法律變更和其他合規(guī)義務(wù)的信息的過程可以包括：一在相關(guān)監(jiān)管機(jī)構(gòu)的郵件列表中；一，專業(yè)團(tuán)體的成員；一訂閱相關(guān)的信息服務(wù)；一參加行業(yè)論壇和研討會(huì)；—監(jiān)控監(jiān)管機(jī)構(gòu)的網(wǎng)站；一與監(jiān)管機(jī)構(gòu)會(huì)面；一與法律顧問的安排；-監(jiān)視合規(guī)義務(wù)的來源(例如，法規(guī)聲明，法院判決)。應(yīng)該采取基于風(fēng)險(xiǎn)的方法，即組織應(yīng)首先確定與業(yè)務(wù)相關(guān)的最重要的合規(guī)義務(wù)，然后集中精力處理所有其他合規(guī)義務(wù)(帕累托原理)。在適當(dāng)?shù)那闆r下，組織應(yīng)建立并維護(hù)一個(gè)列出所有合規(guī)義務(wù)的文件(例如注冊(cè)簿或日志)，并制定一個(gè)定期更薪該文件的過程。除規(guī)定合規(guī)義務(wù)外，該文件還應(yīng)包括但不限于：—履約義務(wù)的影響；務(wù)的管理；一與合規(guī)義務(wù)相關(guān)的控制；-風(fēng)險(xiǎn)評(píng)估。A.4.6合規(guī)風(fēng)險(xiǎn)評(píng)估合規(guī)風(fēng)險(xiǎn)評(píng)估是實(shí)施合規(guī)管理系統(tǒng)以及分配適當(dāng)和足夠的資源和流程以管理已識(shí)別合規(guī)風(fēng)險(xiǎn)的基礎(chǔ)。合規(guī)風(fēng)險(xiǎn)的特征是發(fā)生的可能性以及不遵守組織的合規(guī)政策和義務(wù)的后果。合規(guī)風(fēng)險(xiǎn)包括固有合規(guī)風(fēng)險(xiǎn)和殘留合規(guī)風(fēng)險(xiǎn)。固有合規(guī)風(fēng)險(xiǎn)是指組織處于不受控制的狀態(tài)而沒有任何相應(yīng)的合規(guī)風(fēng)險(xiǎn)處理措施時(shí)所面臨的所有合規(guī)風(fēng)險(xiǎn)。殘余合規(guī)風(fēng)險(xiǎn)是指組織現(xiàn)有的合規(guī)風(fēng)險(xiǎn)處理措施無(wú)法有效控制的合規(guī)風(fēng)組織應(yīng)通過考慮違規(guī)的根本原因和根源以及后果，來分析合規(guī)風(fēng)險(xiǎn)，同時(shí)包括可能發(fā)生這些后果的可能性。后果可以包括例如人身和環(huán)境損害，經(jīng)濟(jì)損失，名譽(yù)損害，行政變更以及民事和刑事責(zé)任。合規(guī)風(fēng)險(xiǎn)的標(biāo)識(shí)包括合規(guī)風(fēng)險(xiǎn)源的標(biāo)識(shí)和合規(guī)風(fēng)險(xiǎn)情況的定義。組織應(yīng)根據(jù)部門職責(zé)，職務(wù)職責(zé)和不同類型的組織活動(dòng)，識(shí)別各個(gè)部門，職能和不同類型的組織活動(dòng)中的合規(guī)風(fēng)險(xiǎn)源。組織應(yīng)定期識(shí)別合規(guī)風(fēng)險(xiǎn)源，并定義與每個(gè)合規(guī)風(fēng)險(xiǎn)源相對(duì)應(yīng)的合規(guī)風(fēng)險(xiǎn)情況，以制定合規(guī)風(fēng)險(xiǎn)源列表和合規(guī)風(fēng)險(xiǎn)情況列表。風(fēng)險(xiǎn)評(píng)估包括將組織可以接受的合規(guī)風(fēng)險(xiǎn)水平與合規(guī)政策中規(guī)定的合規(guī)風(fēng)險(xiǎn)水平進(jìn)行比較。應(yīng)定期評(píng)估合規(guī)風(fēng)險(xiǎn)，并在存在以下情況時(shí)重新評(píng)估合規(guī)風(fēng)險(xiǎn)：一新的或更改的活動(dòng)，產(chǎn)品或服務(wù)；一改變組織的結(jié)構(gòu)或策略；-重大的外部變化，例如財(cái)務(wù)經(jīng)濟(jì)狀況，市場(chǎng)狀況，負(fù)債和客戶關(guān)系；一并購(gòu)；—不合規(guī)(即使是單個(gè)不合規(guī)事件也可能構(gòu)成情況的重大變化)和差錯(cuò)。合規(guī)風(fēng)險(xiǎn)評(píng)估的詳細(xì)程度和水平取決于組織的風(fēng)險(xiǎn)狀況，背景，規(guī)模和目標(biāo)，并且對(duì)于特定的子領(lǐng)域(例如環(huán)境，基于風(fēng)險(xiǎn)的合規(guī)管理方法并不意味著對(duì)于低合規(guī)風(fēng)險(xiǎn)情況，組織可以接受不合規(guī)的情況。它可以幫助組織將主要注意力和資源集中在較高風(fēng)險(xiǎn)上，并將其作為優(yōu)先事項(xiàng)，并最終覆蓋所有合規(guī)風(fēng)險(xiǎn)。所有確定的合規(guī)風(fēng)險(xiǎn)/情況都將受到監(jiān)控和處理。進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)(請(qǐng)參見ISO31000),應(yīng)注意適當(dāng)?shù)募夹g(shù)(如IEC31010中所述)。A.5.1領(lǐng)導(dǎo)和承諾A.5.L1領(lǐng)導(dǎo)機(jī)構(gòu)和最高管理者有效的合規(guī)性需要領(lǐng)導(dǎo)機(jī)構(gòu)和遍布整個(gè)組織的最高管理層的積極承諾。對(duì)于合規(guī)管理系統(tǒng)而言，至關(guān)重要的是，領(lǐng)導(dǎo)機(jī)構(gòu)和高層管理人員必須清晰，可見地展示其對(duì)實(shí)現(xiàn)合規(guī)管理系統(tǒng)不合規(guī)可能會(huì)對(duì)業(yè)務(wù)造成負(fù)面影響，例如聲譽(yù)受損，經(jīng)營(yíng)許可喪失，機(jī)會(huì)喪失以及大量成本。因此，理事機(jī)構(gòu)和最高管理者應(yīng)認(rèn)識(shí)到有效合規(guī)管理的戰(zhàn)略重要性。該文件列出了領(lǐng)導(dǎo)者可以展示其承諾的多種方式。最基本的方法是通過積極可見的支持來建立和維護(hù)合規(guī)性管理承諾程度由以下程度指示：-理事機(jī)構(gòu)和各級(jí)管理層積極表現(xiàn)出對(duì)通過其行動(dòng)和決定建立，發(fā)展，實(shí)施，評(píng)估，維持和改進(jìn)有效和響應(yīng)迅速的合規(guī)管理系統(tǒng)的承諾；一合規(guī)政策由理事機(jī)構(gòu)正式批準(zhǔn)；一最高管理者負(fù)責(zé)確保充分實(shí)現(xiàn)對(duì)組織合規(guī)性的承諾；-各級(jí)管理人員始終向員工傳達(dá)清晰的信息(以言語(yǔ)和行為表示)，表明該組織將履行其合規(guī)義務(wù)一在行動(dòng)支持的清晰和令人信服的聲明中，已向所有人員和有關(guān)各方廣泛傳達(dá)了合規(guī)承諾；-合規(guī)職能的人員具有適當(dāng)?shù)哪芰?，地位?quán)限和獨(dú)立性，這反映了有效合規(guī)的重要性，并可以直接與理事機(jī)構(gòu)接通過提高認(rèn)識(shí)的活動(dòng)和對(duì)所有人員和有關(guān)方面的培訓(xùn)，為建立，發(fā)展，實(shí)施，評(píng)估，維持和改善健全的合規(guī)文化分配了足夠的資源；一政策，流程和程序不僅反映了法律要求，還反映了自愿守則和組織的核心價(jià)值；一組織為組織的各個(gè)級(jí)別分配并要求對(duì)遵從管理負(fù)責(zé)；一對(duì)合規(guī)管理系統(tǒng)進(jìn)行定期審查(建議至少每年一次)；一組織的合規(guī)績(jī)效不斷提高；-及時(shí)采取糾正措施；一理事機(jī)構(gòu)和最高管理層正在遵循組織的合規(guī)性管理系統(tǒng)。A.1.2合規(guī)文化支持合規(guī)文化發(fā)展的因素可以包括：一清晰的公開價(jià)值集；一積極，明顯地執(zhí)行和遵守價(jià)值觀的管理；一在不遵守規(guī)定的情況下保持一致，無(wú)論其職位如何；一以身作則的指導(dǎo)，指導(dǎo)和領(lǐng)導(dǎo)；一對(duì)潛在人員進(jìn)行關(guān)鍵職能(包括盡職調(diào)查)的適當(dāng)?shù)穆毲霸u(píng)估；一強(qiáng)調(diào)合規(guī)性和組織價(jià)值觀的入職培訓(xùn)或入職培訓(xùn)；一持續(xù)的合規(guī)培訓(xùn)，包括對(duì)所有人員和有關(guān)方面的培訓(xùn)的更新；一持續(xù)就合規(guī)問題進(jìn)行溝通；一考核考核制度，該考核制度應(yīng)考慮對(duì)合規(guī)行為的評(píng)估并考慮績(jī)效薪酬，以實(shí)現(xiàn)合規(guī)關(guān)鍵績(jī)效指標(biāo)和成果；一對(duì)合規(guī)管理成就和成果的可見認(rèn)可；一在故意或過失違反合規(guī)義務(wù)的情況下，迅速而按比例地進(jìn)行紀(jì)律處分；一組織戰(zhàn)略與個(gè)人角色之間的明確聯(lián)系，強(qiáng)調(diào)合規(guī)性對(duì)于實(shí)現(xiàn)組織成果至關(guān)重要；一在內(nèi)部和外部進(jìn)行有關(guān)合規(guī)性的公開且適當(dāng)?shù)臏贤?。遵守文化的證據(jù)由以下程度指示：一以上各項(xiàng)已執(zhí)行；一有關(guān)各方(特別是人員)認(rèn)為上述各項(xiàng)已得到執(zhí)行；-人員了解與他們自己的活動(dòng)和其業(yè)務(wù)部門的活動(dòng)相關(guān)的合規(guī)義務(wù)的相關(guān)性；一解決不合規(guī)問題的糾正措施是“擁有的”，并根據(jù)需要在組織的所有適當(dāng)級(jí)別上采取措施；一遵守職能的作用及其目標(biāo)得到重視；一鼓勵(lì)并鼓勵(lì)員工向合規(guī)管理人員提出合規(guī)問題，包括高層管理人員和理事機(jī)構(gòu)。a)衡量其合規(guī)文化；b)征求所有人員的意見，以確定他們是否理解理事機(jī)構(gòu)，高層管理人員和中層管理人員對(duì)合規(guī)的承諾；c)根據(jù)組織的合規(guī)文化指標(biāo)的結(jié)果制定行動(dòng)計(jì)劃。A.L3合規(guī)治理合規(guī)治理基于以下基本原則。合規(guī)職能可直接與理事機(jī)構(gòu)和高層管理人員聯(lián)系。他們可以繞過組織中的其他人員(如果有必要)，并直接與最有權(quán)采取行動(dòng)的人員進(jìn)行溝通。這對(duì)理事機(jī)構(gòu)和高層管理人員有直接好處，因此他們可以行使日只責(zé)。這種訪問應(yīng)該經(jīng)過計(jì)劃和系統(tǒng)的。例如，合規(guī)部門可以直接向音席救行官報(bào)告，向?qū)弾瘑T會(huì)，主席或整個(gè)董事會(huì)報(bào)告“虛線”。合規(guī)職能應(yīng)該是獨(dú)立的，并且不應(yīng)與組織結(jié)構(gòu)或其他要素相沖突。他們可以自由采取行動(dòng)，而不受生產(chǎn)線管理的干擾。遵從功能具有權(quán)限。合規(guī)職能不是可以被推翻的初級(jí)職位，也不可以由權(quán)限較高的人員更改報(bào)告或信息。合規(guī)職能可以根據(jù)需要指導(dǎo)其他人員。合規(guī)職能部門應(yīng)該有一個(gè)“MV?！?，,以倡導(dǎo)并提出任何合規(guī)問題。合規(guī)職能有足夠的資源來支持組織不受限制地執(zhí)行合規(guī)管理系統(tǒng)的必要工作和職責(zé)，包括獲得技術(shù)以使合規(guī)管理系統(tǒng)能夠全面有效地支持組織實(shí)現(xiàn)其合規(guī)目標(biāo)。A從政策遵從政策建立了組織的總體原則和行動(dòng)承諾，以實(shí)現(xiàn)組織的遵從。它確定了所需的責(zé)任和績(jī)效水平，并確定了將要評(píng)估的行動(dòng)的期望。該策略應(yīng)適合組織因其活動(dòng)而產(chǎn)生的合規(guī)義務(wù)。合規(guī)政策應(yīng)由理事機(jī)構(gòu)批準(zhǔn)。規(guī)政策應(yīng)指定：—與組織及其運(yùn)營(yíng)環(huán)境的規(guī)模，性質(zhì)和復(fù)雜性相關(guān)的合規(guī)性管理系統(tǒng)的應(yīng)用程序和上下文；一合規(guī)程度將與治理，風(fēng)險(xiǎn)，審計(jì)和法律等其他職能整合的程度；一與內(nèi)部和外部利益相關(guān)方的關(guān)系將得到管理的原則。合規(guī)政策不應(yīng)是獨(dú)立的文檔，而應(yīng)得到其他文檔的支持，包括運(yùn)營(yíng)策略和流程。如有必要，應(yīng)將合規(guī)政策翻譯成其他語(yǔ)言。合規(guī)政策應(yīng)適合因組織范圍和活動(dòng)而產(chǎn)生的合規(guī)義務(wù)。在制定合規(guī)政策時(shí)，應(yīng)考慮：具體的國(guó)際，區(qū)域或地方義務(wù)；組織的戰(zhàn)略，目標(biāo)，文化和治理方法；與違規(guī)有關(guān)的風(fēng)險(xiǎn)的性質(zhì)和水平；e)通過的標(biāo)準(zhǔn)，規(guī)范，內(nèi)部政策和程序；f)行業(yè)標(biāo)準(zhǔn)。遵從策略可以包括：一管理策略以及職責(zé)和資源的分配；一審核，盡職調(diào)查和合規(guī)性。A.5.3角色，職責(zé)和權(quán)限A.5.3.1領(lǐng)導(dǎo)機(jī)構(gòu)和最高管理者理事機(jī)構(gòu)的積極參與和監(jiān)督是有效合規(guī)管理系統(tǒng)不可或缺的一部分。這有助于確保人員充分了解組織的合規(guī)政策和運(yùn)營(yíng)合規(guī)程序，以及如何將其應(yīng)用到他們的工作中，并確保他們有效地履行合規(guī)義務(wù)。為了使合規(guī)管理系統(tǒng)有效，管理機(jī)構(gòu)和最高管理者需要以身作則，堅(jiān)持并積極，可見地支持合規(guī)和合規(guī)管理系盡管規(guī)模不限其他組織或職能(包括現(xiàn)有委員會(huì)，組織單位)或?qū)⒁赝獍o合規(guī)專家，但許多組織還取決于其最高管理者應(yīng)鼓勵(lì)建立和支持合規(guī)性的行為，并且不應(yīng)容忍損害合規(guī)性的行為。理者應(yīng)確保：一組織對(duì)遵守其價(jià)值觀，目標(biāo)和策略的承諾的一致性，以便適當(dāng)?shù)囟ㄎ蛔袷厍闆r；一鼓勵(lì)所有員工接受實(shí)現(xiàn)自己負(fù)責(zé)或負(fù)責(zé)的合規(guī)目標(biāo)的重要性；一建立鼓勵(lì)舉報(bào)違規(guī)行為的環(huán)境，舉報(bào)員工可以免受報(bào)復(fù)；—將合規(guī)性納入更廣泛的組織文化和文化變革計(jì)劃中；一識(shí)別違規(guī)行為并立即采取措施糾正或解決違規(guī)行為；一運(yùn)營(yíng)目標(biāo)和目標(biāo)不會(huì)損害合規(guī)行為。最高管理者應(yīng)參考KPI和其他關(guān)鍵信息按計(jì)劃的時(shí)間間隔(例如每季度或每月一次)審查合規(guī)管理系統(tǒng)的性能，以確保合規(guī)管理系統(tǒng)實(shí)現(xiàn)其目標(biāo)。合規(guī)管理系統(tǒng)的有效性要求最高管理者通過制定標(biāo)準(zhǔn)和進(jìn)行合理監(jiān)督來作出承諾。最高管理者應(yīng)了解合規(guī)管理系統(tǒng)的內(nèi)容和操作，并應(yīng)確保組織具有有效的合規(guī)管理系統(tǒng)的適當(dāng)流程。A.3.2遵從功能許多組織都有專職人員(例如合規(guī)官)負(fù)責(zé)日常合規(guī)管理，有些組織有跨職能的合規(guī)委員會(huì)來協(xié)調(diào)整個(gè)組織內(nèi)的合規(guī)。合規(guī)性功能與管理層一起工作。并非所有組織都將創(chuàng)建離散的合規(guī)性功能。有些人會(huì)將此功能分配給現(xiàn)有職位或?qū)⒃摴δ芡獍?。外包時(shí)，組織應(yīng)考慮不將整個(gè)合規(guī)性職能分配給第三方。即使將部分功能外包，它也應(yīng)考慮對(duì)其保持授權(quán)異監(jiān)督此類W能。在分配合規(guī)性管理系統(tǒng)的責(zé)任時(shí)，應(yīng)考慮確保合規(guī)性功能表明：一誠(chéng)信和對(duì)合規(guī)的承諾；一有效的溝通和影響力技能；一能夠接受建議和指導(dǎo)的能力和地位；一在設(shè)計(jì)，實(shí)施和維護(hù)合規(guī)管理系統(tǒng)方面的相關(guān)能力；一自信，業(yè)務(wù)知識(shí)和經(jīng)驗(yàn)以進(jìn)行測(cè)試和挑戰(zhàn)；—采取策略性，積極主動(dòng)的合規(guī)方法；一有足夠的時(shí)間來滿足角色的需求。合規(guī)職能應(yīng)具有權(quán)力，地位和獨(dú)立性。權(quán)威是指管理機(jī)構(gòu)和最高管理者授予合規(guī)職能足夠的權(quán)力。身份意味著其他人員可能會(huì)聽取并尊重他/她的意見。獨(dú)立性意味著合規(guī)職能盡可能不親自參與面臨合規(guī)風(fēng)險(xiǎn)的活動(dòng)。合規(guī)職能應(yīng)沒有利益沖突，以履行其職責(zé)。A.5.3.3管理最高管理者的職責(zé)不應(yīng)被視為放棄其他級(jí)別的合規(guī)性管理，因?yàn)樗薪?jīng)理都應(yīng)在合規(guī)性管理系統(tǒng)方面發(fā)揮作用。因此，重要的是清楚地闡明他們各自的職責(zé)并將其包括在他們的職務(wù)說明中。經(jīng)理的合規(guī)責(zé)任將根據(jù)權(quán)限級(jí)別，影響力和其他因素(例如組織的性質(zhì)和規(guī)模)而有所不同。但是，某些職責(zé)可能在各種組織中是共同的。所有人員均應(yīng)遵守合規(guī)義務(wù)。人員應(yīng)確保他們了解自己的合規(guī)責(zé)任并有效地履行它們。為此，將通過合規(guī)管理系統(tǒng)的要素來為其提供支持，例如培訓(xùn)，政策和程序以及行為準(zhǔn)則。人員應(yīng)積極主動(dòng)地尋求見解和改進(jìn)意見，以幫助遵守法規(guī)管理系統(tǒng)。A.6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的行動(dòng)遵從性管理系統(tǒng)的計(jì)劃是在戰(zhàn)略級(jí)別執(zhí)行的，而運(yùn)營(yíng)計(jì)劃則是針對(duì)運(yùn)營(yíng)計(jì)劃和控制而制定的。規(guī)劃的目的是預(yù)測(cè)潛在的情況和后果，因此是預(yù)防性的。根據(jù)合規(guī)風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織應(yīng)計(jì)劃如何在不良后果發(fā)生之前解決這些不良影響，以及如何從有利于支持合規(guī)管理體系有效性的有利條件或狀況中受益。規(guī)劃還應(yīng)包括確定如何將被認(rèn)為對(duì)合規(guī)管理系統(tǒng)必要或有益的行動(dòng)納入業(yè)務(wù)活動(dòng)和流程。合并可以通過目標(biāo)設(shè)定，運(yùn)營(yíng)控制或其他特定條款(例如資源規(guī)定，權(quán)限)來實(shí)現(xiàn)。還應(yīng)該計(jì)劃評(píng)估合規(guī)管理系統(tǒng)有效性的措施。這可以包括監(jiān)視，度量技術(shù)，內(nèi)部審核或管理評(píng)審。A.6.2合規(guī)目標(biāo)和實(shí)現(xiàn)這些目標(biāo)的計(jì)劃應(yīng)該以可以測(cè)量結(jié)果的方式指定目標(biāo)。合規(guī)目標(biāo)的一個(gè)示例：至少每年對(duì)相關(guān)人員進(jìn)行合規(guī)培訓(xùn)。應(yīng)該確定實(shí)現(xiàn)目標(biāo)所需的行動(dòng)(即“什么”)，相關(guān)的時(shí)間范圍(即“何時(shí)”)和負(fù)責(zé)人(即“誰(shuí)”)。應(yīng)根據(jù)需要定期監(jiān)測(cè)，記錄，評(píng)估和更新目標(biāo)的狀態(tài)和進(jìn)度。資源包括財(cái)務(wù)，人力和技術(shù)資源，以及獲得外部建議和專門技能，組織基礎(chǔ)設(shè)施，專業(yè)發(fā)展，技術(shù)以及有關(guān)合規(guī)管理和法律義務(wù)的當(dāng)代參考資料。術(shù)語(yǔ)“能力”是指應(yīng)用知識(shí)和技能以達(dá)到預(yù)期結(jié)果的能力。能力需要知識(shí)，經(jīng)驗(yàn)和技能，以便人們可以有效地履行其職責(zé)。組織應(yīng)為所有人員確定完成其任務(wù)所需的專業(yè)知識(shí)和知識(shí)，以便組織可以向客戶提供其產(chǎn)品和服務(wù)。組織應(yīng)建立勝任力的證據(jù)(例如工作說明，職位陳述)，在填補(bǔ)職位時(shí)可以考慮這些證據(jù)。應(yīng)采取措施(例如培訓(xùn))以確保維持現(xiàn)有能力并獲得新能力。應(yīng)該有足夠的能力證明文件，以及為保持或獲得這些能力而采取的措施。A.2.2就業(yè)過程在雇用人員或提拔現(xiàn)有人員之前，組織應(yīng)進(jìn)行盡職調(diào)查，包括參考或背景調(diào)查。A.7.2.3培訓(xùn)履行合規(guī)義務(wù)的理事機(jī)構(gòu)，管理層和人員應(yīng)有能力有效地履行這些義務(wù)。能力的實(shí)現(xiàn)可以通過多種方式實(shí)現(xiàn)，包括通過教育，培訓(xùn)或工作經(jīng)驗(yàn)所需的技能和知識(shí)。培訓(xùn)計(jì)劃的目的是確保人員有能力以與組織的合規(guī)文化及其對(duì)合規(guī)承諾相一致的方式勝任其職務(wù)。正確設(shè)計(jì)和執(zhí)行的培訓(xùn)可以為工作人員提供有效的方式，以傳達(dá)以前無(wú)法確定的合規(guī)風(fēng)險(xiǎn)。一在適當(dāng)?shù)那闆r下，基于對(duì)員工知識(shí)和能力差距的評(píng)估；一具有足夠的靈活性以說明一系列技術(shù)，以適應(yīng)組織和人員的不同需求；一由經(jīng)驗(yàn)豐富且合格的人員設(shè)計(jì)，開發(fā)和交付；一以適用的當(dāng)?shù)卣Z(yǔ)言提供；—定期評(píng)估和評(píng)估其有效性。如果不遵守規(guī)定會(huì)導(dǎo)致嚴(yán)重后果，則交互式培訓(xùn)可能是最佳的培訓(xùn)形式。組織應(yīng)在發(fā)生不當(dāng)行為的地區(qū)提供培訓(xùn)。只要存在以下情況，就應(yīng)考慮合規(guī)性再培訓(xùn)：一職位或職責(zé)的改變；一內(nèi)部政策，流程和程序的變化；一組織結(jié)構(gòu)的變化；一遵守義務(wù)的變化，尤其是法律要求和利害關(guān)系方的要求；一活動(dòng)，產(chǎn)品或服務(wù)的變更；一由監(jiān)控，審計(jì)，審查，投訴和不合規(guī)引起的問題，包括有關(guān)方面的反饋。意識(shí)涉及確保合規(guī)策略可供所有人員訪問和使用，并被理解?？梢酝ㄟ^諸如但不限于以下方法來提高合規(guī)意識(shí)：一培訓(xùn)(面對(duì)面或在線)；一高層管理人員的溝通；一易于遵循且易于獲取的參考資料；一定期更新合規(guī)性問題。傳達(dá)對(duì)合規(guī)性的承諾：一建立意識(shí)并激勵(lì)人員采用合規(guī)管理系統(tǒng)；一鼓勵(lì)員工提出有助于持續(xù)改進(jìn)合規(guī)績(jī)效的建議。應(yīng)根據(jù)組織的政策，采用針對(duì)所有利益相關(guān)方的外部交流的實(shí)用方法。感興趣的各方可以包括監(jiān)管機(jī)構(gòu)，客戶，承包商，供應(yīng)商，投資者，緊急服務(wù)，非政府組織和鄰居。組織應(yīng)分配適當(dāng)?shù)馁Y源和具有相關(guān)知識(shí)的人員來協(xié)調(diào)和促進(jìn)監(jiān)管互動(dòng)。交流方法可以包括網(wǎng)站和電子郵件，新聞稿，廣告和定期新聞通訊，年度(或其他定期)報(bào)告，非正式討論，開放日，焦點(diǎn)小組，社區(qū)對(duì)話，參與社區(qū)活動(dòng)和電話熱線。這些方法可以鼓勵(lì)理解和接受組織對(duì)合規(guī)性的承諾。交流應(yīng)遵循透明，適當(dāng)，可信，響應(yīng)，可訪問和清晰的原則。A件信息A.7.5.1總則記錄的信息可以包括：一組織的合規(guī)政策和程序；一合規(guī)管理系統(tǒng)的目標(biāo)，指標(biāo)，結(jié)構(gòu)和內(nèi)容；一分配角色和責(zé)任以實(shí)現(xiàn)合規(guī)性；一有關(guān)合規(guī)義務(wù)的登記冊(cè)；一依從風(fēng)險(xiǎn)登記冊(cè)，并根據(jù)依從風(fēng)險(xiǎn)評(píng)估流程確定治療的優(yōu)先級(jí)；一年度合規(guī)計(jì)劃；一人事記錄，包括但不限于培訓(xùn)記錄；一審核過程，審核時(shí)間表和相關(guān)的審核記錄。文件化信息可以包括與監(jiān)管報(bào)告要求有關(guān)的事項(xiàng)。記錄的信息可以包括各種媒體(數(shù)字和非數(shù)字媒體)OA.7.5.2創(chuàng)建和更新文檔信息應(yīng)更新記錄的信息以反映內(nèi)部和外部的更改，以確保它們是最新的和最新的。A.7.5.3文件信息的控制可以準(zhǔn)備文件化信息以獲取法律建議，因此可以成為法律特權(quán)的主題。A.8.1運(yùn)作計(jì)劃和控制精心設(shè)計(jì)的合規(guī)性管理系統(tǒng)包括可以對(duì)合規(guī)文化既有內(nèi)容又有影響的措施(例如政策，流程，程序)O他們著眼于減少合規(guī)風(fēng)險(xiǎn)評(píng)估過程中發(fā)現(xiàn)的風(fēng)險(xiǎn)，并旨在降低這些風(fēng)險(xiǎn)。運(yùn)營(yíng)控制的基本要素是行為準(zhǔn)則，其中規(guī)定了組織對(duì)相關(guān)合規(guī)性義務(wù)的完全承諾。行為準(zhǔn)則應(yīng)適用于所有人員，并可供他們使用。根據(jù)并源自行為準(zhǔn)則，應(yīng)將合規(guī)措施納入組織的日常運(yùn)營(yíng)中，以培養(yǎng)合規(guī)文化。與業(yè)務(wù)流程有關(guān)的情況需要操作控制，而缺少此類控制可能導(dǎo)致偏離合規(guī)政策或違反合規(guī)義務(wù)。這些情況可能與所有業(yè)務(wù)情況，活動(dòng)或過程(例如生產(chǎn)，安裝，服務(wù)，維護(hù))或承包商，供應(yīng)商或銷售商有關(guān)。控制的程度可以根據(jù)幾個(gè)因素而變化，例如所執(zhí)行功能的重要性或復(fù)雜性，違規(guī)或涉及或可獲得的技術(shù)支持的潛在后果。當(dāng)操作控制失敗時(shí)，必須采取措施來解決任何不良后果。如果組織的活動(dòng)中使用了第三方或外包流程，則組織應(yīng)進(jìn)行有效的盡職調(diào)查，以確保不會(huì)降低其標(biāo)準(zhǔn)和對(duì)合規(guī)性的承諾。第三方的一個(gè)示例涉及產(chǎn)品和服務(wù)的提供以及產(chǎn)品的分銷。組織應(yīng)確保訂立適當(dāng)?shù)姆?wù)水平協(xié)議(SLA),以規(guī)定服務(wù)提供商的合規(guī)義務(wù)。精心設(shè)計(jì)的外包流程應(yīng)考慮以下因素：一初步和正在進(jìn)行的盡職調(diào)查；當(dāng)?shù)目刂?；一?duì)法律/合同協(xié)議的適當(dāng)審查；—使用經(jīng)本文檔認(rèn)證的第三方。與第三方簽訂合同時(shí)，組織應(yīng)實(shí)施控制措施，以確保對(duì)活動(dòng)的采購(gòu)，運(yùn)營(yíng)，商業(yè)和其他非財(cái)務(wù)方面進(jìn)行適當(dāng)?shù)墓芾怼８鶕?jù)組織和交易的規(guī)模，組織實(shí)施的采購(gòu)，運(yùn)營(yíng)，商業(yè)和其他非財(cái)務(wù)控制措施可以降低合規(guī)風(fēng)險(xiǎn)。A.8.2建立控制和程序需要有效的控制措施以確保滿足組織的合規(guī)義務(wù)，并防止，發(fā)現(xiàn)和糾正不合規(guī)情況?？丶脑O(shè)計(jì)應(yīng)足夠嚴(yán)格，以促進(jìn)實(shí)現(xiàn)特定于組織活動(dòng)和運(yùn)營(yíng)環(huán)境的合規(guī)性義務(wù)。此類控件應(yīng)盡可能嵌入到正常的組織控件可以包括：一清晰，實(shí)用且易于遵循的書面操作政策，流程，程序和工作說明；一系統(tǒng)和異常報(bào)告；-批準(zhǔn);一角色和職責(zé)不相容的隔離；一年度合規(guī)計(jì)劃；-人員績(jī)效計(jì)劃；一符合性評(píng)估和審核；一表現(xiàn)出管理承諾和模范行為；以及其他促進(jìn)合規(guī)行為的措施；一就員工的預(yù)期行為(標(biāo)準(zhǔn)和價(jià)值觀，行為準(zhǔn)則)進(jìn)行積極，公開和頻繁的溝通。在制定支持合規(guī)性管理的程序時(shí)，應(yīng)考慮：-將合規(guī)義務(wù)納入程序，包括計(jì)算機(jī)系統(tǒng)，表格，報(bào)告系統(tǒng)，合同和其他法律文件；一與組織中其他審查和控制職能的一致性；一持續(xù)的監(jiān)測(cè)和測(cè)量；一評(píng)估和報(bào)告(包括管理監(jiān)督)以確保員工遵守程序；一識(shí)別，報(bào)告和升級(jí)違規(guī)事件和違規(guī)風(fēng)險(xiǎn)的具體安排。A出關(guān)注在適當(dāng)?shù)那闆r下，應(yīng)將其升級(jí)至最高管理層和理事機(jī)構(gòu)，包括有關(guān)委員會(huì)。A.9.L2關(guān)于合規(guī)績(jī)效的反饋來源即使在當(dāng)?shù)胤ㄒ?guī)沒有要求的情況下，組織也應(yīng)考慮建立舉報(bào)人機(jī)制，以允許匿名或保密，以便組織的員工和代理商可以舉報(bào)不合規(guī)行為或?qū)で笾笇?dǎo)，而不必?fù)?dān)心受到報(bào)復(fù)。有關(guān)舉報(bào)管理系統(tǒng)的更多指南，請(qǐng)參見ISO37002oA查過