ISO 37301-2021 合規(guī)管理體系要求及使用指南(中文版)

1、IS037301:2021合規(guī)管理體系要求及使用指南BS ISO 37301： 2021范圍本文檔詳細說明了要求，并提供了在組織內建立，開發(fā)，實施，評估，維護和改進有效合規(guī)管理系統(tǒng) 的指南。本文檔適用于所有類型的組織，無論活動的類型，規(guī)模和性質如何，以及該組織來自公共部門，私營 部門還是非營利部門。如果組織沒有獨立的理事機構，則本文檔中指定的涉及理事機構的所有要求均適用于高層管理人員。規(guī)范性引用本文檔中沒有規(guī)范性引用。術語和定義就本文檔而言，以下術語和定義適用。ISO 和 I EC 在以下地址維護用于標準化的術語數據庫： ISO 在線瀏覽平臺：可從 httDS： HYPERLINK /obD

2、/obD 獲得IEC Electropedia：httD： HYPERLINK http:/www.electroD/ www.electroD/獲得3.1組織具有職責，權限和關系以實現其目標的職能的個人或一群人注釋 1：組織的概念包括但不限于獨資，公司，公司，公司，企業(yè)，機構，合伙企業(yè)，慈善機構或機 構，或其 部分或組合，無論是否成立，公共或私人的。注釋 2：如果組織是較大實體的一部分，則術語“組織僅指在合規(guī)管理系統(tǒng)范圍內的較大實體的一部分3.2利害關系方（優(yōu)先條款） 利益相關者（允許的期限）可能會影響，感知到或被決策或活動影響的個人或組織33高層管理人員在最高級別指導和控制組織的或群人注釋

3、 1：最髙管理者有權在組織內委派權限并提供資源。注釋 2：如杲管理系統(tǒng)（站的范圍僅覆蓋組織的一部分，則商層管理人員是指指導和控制組織的該部分的人員。注釋 3：就本文檔而言，術語“最高管理人員*”是指最高級別的執(zhí)行管理人員。3.4管理系統(tǒng)組織的一組柑互關聯或相互作用的元素，用于建立1：管理系統(tǒng)可以處理一個或多個學科。注釋 2：管理系統(tǒng)元素包括組織的結構，角色和職責，計劃和運營。ISO2021-保留所有權利126S0 2021-26S0 2021-保留所有權利3.5BS ISO 37301： 2021ISO 37301： 2021政策組織最高管理者正式表達的組織的育圖初方向注釋 1：策略也可以由組

4、織的理箏祝構正式表達。3.6客歡的要達到的結果注釋 1：目標可以是戰(zhàn)略性，戰(zhàn)術性或操作性的。注釋 2：目標可以涉及不同的學科（例如金融，健康和安全以及環(huán)境）。例如，它們可以在整個組織 范圍內，或特定于項目，產品，服務或過痙（服）注釋 3：目標可以用其他方式表示，例如作為預期結果，目的，操作準則，作為趙-痂潸況的目標，或 通過使用具有相似含義的其他詞語（例如目標，目的或目標）。4：組織應設定合規(guī)目標與合規(guī)政龍-致，3.7風險不確定性對目標的影響注釋 1：影響是與預期的偏差正或負。2：3：險的特征通常是參考潛在的“事件”（ISO73中定義）和“后果”（ISO73）,或綜合考慮。注釋 4：風險通常表

5、示為事件后果（包括環(huán)境變化）和相關的“可能性（如 ISO 指南 73 中定義）的組合3.8過程一組相互關聯或交互的活動，這些活動使用或轉換輸入以提供結果 注釋 1：過程的結果稱為輸出，產品還是服務取決于引用的上下文。3.9權限應用知識和技能以達到預期結果的能力BS ISO 37301： 2021ISO 37301： 20213.10書面信息組織要求控制和維護的優(yōu)怠以及包含該信息的媒體注釋 1：記錄的信息可以采用任何格式和媒體，并且可以來自任何來源。注釋 2：記錄的信息可以參考：管理系統(tǒng),包括相關過療為組織運作而創(chuàng)建的信息（文檔）；取得成果的證據（記錄）。3.11表現可測量的結果注釋 1：績效可

6、能與定量或定性發(fā)現有關。注釋 2：績效可能與管理活動，流程,產品，服務，系統(tǒng)或妙有關。3.12持續(xù)改進經常性活動以提高綢獲3.13效力實現計劃的活動和達到計劃的結果的程度3.14要求所陳述的需求或期望，通常是隱含的或強制性的注釋 1： “一般隱含的心表示隱含在考慮中的需求或期望對于組綁和槪夫方是一種慣例或慣例。注 2：規(guī)定的要求是已陳述的要求，例如在君勵筑您中。3.15符合滿足耍求：3.16不合格未滿足雯求注 1：不合格不一定是不令移。3.17糾正措施消除不合格的原因并防止再次發(fā)生的措施3.18審計系統(tǒng)和獨立的場第用于獲取證據并對其進行客觀評估，以確定滿足審核標準的程度1：審核可以是內部審核（

7、第方）或外部審核（第二方或第三方）O并且可以是合并審核（個學科）。注釋 2：內部審核由組織 此身；或由外部團體代表組織）進行。5S0 2021-保留所有權利BS ISO 37301： 2021BS ISO 37301： 2021ISO 37301： 2021BS ISO 37301： 2021BS ISO 37301： 2021ISO 37301： 2021 PAGE 10 PAGE 106S0 2021-保留所有權利 PAGE 9 PAGE 9ISO 2021-保國所有權利注釋 3： “審核證據心秋，審核標準”在 ISO 19011 中定義。4：3.19測量過程確定一個值3.20監(jiān)控確定系統(tǒng)

8、，痂鐵活動的狀態(tài)注釋 1：要確定狀態(tài)，可能需要檢查，監(jiān)替或嚴格觀察。3.21理事機構對組綁矽活動，治理和政熒負有最終責任和權力，并且衣高管理者向其報告并由最高管理者負責的個 人或一群人注釋 1：并非所有組織，特別是小型組織，都將擁有一個獨立于高層管理人員的理事機構。注釋 2：理事機構可以包括但不限于董事會，董事會委員會，監(jiān)事會或受托人。3.22人員在國家法律或慣例中被視為工作關系的關系中的個人，或在依賴于組織活動的合同關系中的個人3.23合規(guī)功能對遵從性管理系統(tǒng)的運作負有責任和權限的個人或團體注釋 1：最好將一個人分配給合規(guī)管理系統(tǒng)的監(jiān)督。3.24合規(guī)風險不遵守與組織遵守義務發(fā)生的可能性和后果

9、3.25合規(guī)義務組織 0）須制必須遵守的要求以及組織自愿選擇遵守的要求3.26遵守滿足妙說所有要求合規(guī)義務3.27違規(guī)未履行履約義務3.28合規(guī)文化遍布整個組織的價值觀，道德，信念和行為，并與組織的結構和控制系統(tǒng)進行交互以產生有助于今規(guī) 的行為規(guī)范3.29執(zhí)行影響客戶，員工，供應商，市場和社區(qū)成果的行為和做法3.30第三方獨立于組織的個人或機構1：3.31程序指定的進行活動或過程的方式來源:ISO 9000： 2015, 3.4.5組織環(huán)境了解組織及其背景 為此，組織應考慮廣泛的問題，包括但不限于：業(yè)務模型，包括戰(zhàn)略，性質，規(guī)模和規(guī)模的復雜性以及組織活動和運營的可持續(xù)性；與第三方的業(yè)務關系的性

10、質和范圍；法律和法規(guī)環(huán)境：經濟狀況；社會，文化和環(huán)境背景；它的合規(guī)文化。組織應確定：與合規(guī)管理系統(tǒng)有關的利害關系方； 這些利害關系方的有關要求；這些要求中的哪些將通過合規(guī)管理系統(tǒng)解決。確定合規(guī)管理系統(tǒng)的范圍組織應確定合規(guī)管理系統(tǒng)的范圍和適用性以建立其范圍。注：合規(guī)管理系統(tǒng)的范圍旨在闡明組織面臨的主要合規(guī)風險以及合規(guī)管理系統(tǒng)將適用的地理或組織邊 界，或兩者都適用，特別是在組織是大型實體的一部分的情況下。在確定此范圍時，組織應考慮：1中提到的外部和內部問題中提到的要求,該范圍應作為文檔信息提供。合規(guī)管理系統(tǒng)組織應根據本文件的耍求建立，實施，維護和持續(xù)改進合規(guī)管理系統(tǒng)，包插所需的過程及其相互作用O遵

11、從管理體系應反映組織的價值觀，目標，戰(zhàn)略和遵從風險，并考慮到組織的環(huán)境（見 4d）。合規(guī)義務組織應具備以下流程：確定新的和更改的合規(guī)義務，以確保持續(xù)合規(guī)；評估已識別變更的影響，并在合規(guī)義務管理中實施任何必要的變更。組織應保持其合規(guī)義務的書面信息。合規(guī)風險評估組織應基于合規(guī)風險評估，識別，分析和評估其合規(guī)風險。組織應評估與外包和第三方流程相關的合規(guī)風險。組織應保留有關合規(guī)風險評估以及應對其合規(guī)風險的措施的書面信息。領導領導與承諾領導機構和高層管理人員理事機構利城高管理者應通過以下方式表現出對合規(guī)管理體系的領導和承諾：確保建立合規(guī)政策和合規(guī)目標并與組織的戰(zhàn)略方向兼容；確保將合規(guī)管理系統(tǒng)要求集成到組

12、織的業(yè)務流程中：確保合規(guī)管理系統(tǒng)所需的資源可用；傳達有效的合規(guī)管理和遵守合規(guī)管理系統(tǒng)要求的重要性；確保合規(guī)管理系統(tǒng)達到預期結果：一指導和支持人員為合規(guī)管理系統(tǒng)的有效性做出貢獻：促進持續(xù)改進；支持其他相關角色以展示其在其職責范圍內的領導能力。注意：本文檔中對“業(yè)務的引用可以廣義地解釋為那些對于組織存在的目的而言至關重要的活動。 理事機構和最高管理者應：建立并維護組織的價值觀；確保制定和實施政策，流程和程序以實現合規(guī)標；確保及時告知他們有關合規(guī)事宜，包拾不合規(guī)的情況，并確保采取適當的措施；確保遵守承諾，并適當處理違規(guī)和違規(guī)行為；確保適當地將合規(guī)責任包括在職位描述中；任命或提名合規(guī)職能；2x3提出和

13、解決問題的系統(tǒng)成立。合規(guī)文化組織應在組織內的各個層次上建立，維護和促進合規(guī)文化。理事機構，高層管理人員和管理層應表現出對整個組織所需的共同行為和行為標準的積極，可見，一 致和持續(xù)的承諾。最高管理者應鼓勵建立和支持合規(guī)的行為。它應防止而不是容忍損害合規(guī)性的行為。合規(guī)治理理事機構和城高管理者應確保執(zhí)行以下原則：直接將遵約職能移交給理事機構：遵守職能的獨立性：合規(guī)職能的適當權限和能力。注 1：直接訪問可包括：直接向理事機構報告，向理事機構定期提交報告并參加其會議。注 2：獨立是指對順應功能的操作沒有任何不適當的 T 擾或壓力，或兩者都不存在。合規(guī)政策理事機構和最高管理者應制定合規(guī)政策，以：適合組織的

14、目的；提供設定合規(guī)目標的框架；包括滿足適用要求的承諾；遵守政策應：與組織的價值觀，目標和戰(zhàn)略保持一致； 一要求遵守組織的合規(guī)義務；5.1.3的合規(guī)性治理原則：參考并描述合規(guī)功能；概述不遵守組織的合規(guī)義務，政策，流程和程序的后果；鼓勵引起關注并禁止任何形式的報復；用通俗易懂的語言寫成，以便所有人員都可以輕松理解其原理和意圖；適當實施和執(zhí)行；可以作為記錄信息使用；在組織內部進行溝通；適當時可供感興趣的各方使用。職貴和權限領導機構和高層管理人員理事機構和最高管理者應分配以下職責和權限：確保合規(guī)管理系統(tǒng)符合本文件的要求；理事機構應：確保根據達到合規(guī)目標衡量最高管理層；對最高管理者進行有關合規(guī)性管理系統(tǒng)

15、運行的監(jiān)督。最高管理者應：一確履約情況的系統(tǒng)；確保戰(zhàn)略和運營目標與合規(guī)義務之間保持一致；建立和維護問責機制，包括紀律處分和后果；確保將合規(guī)績效納入人員績效評估。合規(guī)功能合規(guī)職能應負責合規(guī)管理系統(tǒng)的運行，包括以下內容：促進確定履約義務；記錄合規(guī)風險評估：監(jiān)控和衡量合規(guī)績效；分析和評估合規(guī)性管理系統(tǒng)的性能，以確定是否需要釆取糾正措施；建立合規(guī)報告和文件記錄系統(tǒng)：確保按計劃的時間間隔審核合規(guī)性管理系統(tǒng)（92 21一建立引起關注并確保解決關注的系統(tǒng)。遵守職能應監(jiān)督：在整個組織中適當分配實現己確定合規(guī)性義務的職責；一所有相關人員均按要求接受培訓；建立合規(guī)績效指標。遵從功能應提供：有權訪問合規(guī)政策，流程和

16、程序資源的人員；就合規(guī)性相關事宜向組織提供建議。組織應確保符合性功能可以訪問：高級決策者，以及在決策過程中盡早做出貢獻的機會；組織的各個級別；所需的所有人員，文件化信息和數據；一有關有關法律，法規(guī)，守則和組織標準的專家意見。管理管理層應通過以下方式負責其職責范圍內的合規(guī)： 一與合規(guī)部門合作并提供支持，并鼓勵人員這樣做；確保其控制范圍內的所有人員均遵守組織的合規(guī)義務，政策，流程和程序; 一識別并傳達其運營中的合規(guī)風險；將合規(guī)義務納入其職責范圍內的現有業(yè)務實踐和程序中；參加和支持合規(guī)培訓活動：培養(yǎng)人員對合規(guī)義務的意識，并指導他們滿足培訓和能力要求；根據需要積極參與管理和解決與合規(guī)性相關的事件和問題

17、；一確保在確定需要釆取糾正措施后，建議并實施適當的糾正措施。人員報告合規(guī)問題，問題和失??；參加所需的培訓。規(guī)劃應對風險和機遇的行動在規(guī)劃合規(guī)管理系統(tǒng)時，組織應考慮 4JL 中提到的問題和 4 中提到的要求，并確定需要解決的風險和機遇：確保合規(guī)管理系統(tǒng)可以達到預期結果； 防止或減少不良影響：實現持續(xù)改進。在規(guī)劃合規(guī)管理系統(tǒng)時，組織應考慮：其合規(guī)目標（2）；確定的合規(guī)義務（1）：合規(guī)風險評估的結果（見辿）。組織應計劃：應對這些風險和機遇的行動；如何：將行動整合并實施到其合規(guī)管理系統(tǒng)流程中；評估這些措施的有效性。合規(guī)目標和實現目標的計劃組織應在相關職能和級別上建立合規(guī)目標。遵守目標應：a） 與合規(guī)政

18、策保持一致； b） 可衡量的（如果可行）； C）考慮適用的要求；被監(jiān)視；溝通；適當更新；作為文檔信息可用。一將要做什么；誰來負責；何時完成；如何評估結果。變更計劃組織應考慮：變更的目的及其潛在后果；-合規(guī)管理系統(tǒng)的設計和運營有效性； 一是否有足夠的資源；一職責和權限的分配或重新分配。支持資源組織應確定并提供建立，實施，維護和持續(xù)改進合規(guī)管理系統(tǒng)所需的資源。BS ISO 37301： 2021BS ISO 37301： 2021ISO 37301： 2021BS ISO 37301： 2021BS ISO 37301： 2021ISO 37301： 2021權限組織應：一確定在其控制下從事影響其

19、合規(guī)表現的人員的必要能力；根據適當的教育，培訓或經驗，確保這些人勝任；應提供適當的書面信息作為勝任力的證據。注：可采取的行動包括，例如，提供培訓，指導或重新安排在職人員：或雇用或簽約合資格的人。就業(yè)過程就其所有人員而言，組織應制定，建立，實施和維護流程，以使：雇用條件要求人員遵守組織的合規(guī)義務，政策，流程和程序；在開始雇用的合理期間內，員工將收到遵從政策的副本或對其進行訪問并獲得有關該政策的培訓 的機會；對于違反組織合規(guī)性義務，政策，過程和程序的人員，應采取適當的紀律處分。作為雇用過程的一部分，組織應考慮由角色和人員造成的合規(guī)風險，并在雇用，調動和晉升之前按照 要求進行盡職調查程序。組織應實施

20、一個程序，對績效目標，績效獎金和其他激勵措施進行定期審查，以驗證是否已采取適當 的措施來防止鼓勵違規(guī)行為。訓練培訓應為：適合人員的角色以及人員所面臨的合規(guī)風險；評估有效性；定期審查?？紤]到已識別的合規(guī)風險，組織應確保實施程序以解決對合規(guī)意識的培訓，以及對代表其行事并可能 給組織帶來合規(guī)風險的第三方的培訓。培訓記錄應保留為書面信息。意識在組織控制下工作的人員應了解：遵守政策；它們對合規(guī)管理系統(tǒng)有效性的貢獻，包括改進合規(guī)績效的好處；不符合合規(guī)管理系統(tǒng)要求的影響；引起合規(guī)性問題的程序和程序的方式（S3）；支持合規(guī)文化的重要性。CIS02021-保留所有權利11BS ISO 37301： 2021BS

21、 ISO 37301： 2021ISO 37301： 2021BS ISO 37301： 2021BS ISO 37301： 2021ISO 37301： 2021 PAGE 12 PAGE 126S0 2021-保留所有權利溝通組織應確定與合規(guī)管理系統(tǒng)有關的內部和外部通信，包括：關于它將傳達什么；c） d） 組織應：fcs）；建立溝通流程時）：包括關于其合規(guī)文化，合規(guī)目標和義務的溝通；一回應有關其合規(guī)管理系統(tǒng)的相關溝通；-適當保留文件化信息作為其通訊的證據；-在組織的各個級別和職能之間內部傳達與合規(guī)管理系統(tǒng)有關的信息，包括酌情更改合規(guī)管理系統(tǒng)確保其溝通過程使人員能夠為持續(xù)改進合規(guī)管理系統(tǒng)做出

22、貢獻；確保其溝通過程使人員能夠提出疑慮（見 S3）；交流。記錄的信息一般的組織的合規(guī)管理系統(tǒng)應包括：本文件要求的文件資料；組織確定為達標管理系統(tǒng)的有效性所必需的文件化信息。流程及其交互的復雜性； 一人的能力。創(chuàng)建和更新文檔信息在創(chuàng)建和更新文檔信息時，組織應確保適當：標識和描述（例如標題，日期，作者或參考編號）；格式（例如語言，軟件版本，圖形）和媒體（例如紙張；電子）；審查和批準其適用性和適當性?？刂莆募畔⒑弦?guī)管理系統(tǒng)和本文件所要求的文件信息應受到控制，以確保：它是可用的，并且適合在需要的地方和時間使用；它得到了充分的保護（例如，避免了機密性，使用不當或完整性的損失）為了控制書面信息，組織應酌

23、情開展以下活動：分發(fā)，獲取，檢索和使用：儲存和保存，包括保持易讀性：控制變更（例如版本控制）；保留和處置。組織應確定必要的外部來源的書面信息，這些信息對于合規(guī)性管理系統(tǒng)的計劃和運行是必要的，并應 加以控制。注意訪問可能意味著要決定是否僅允許查看文檔信息，或者是有關查看和更改文檔信息的權限。運行運行計劃與控制組織應通過以下方式計劃，實施和控制滿足要求所需的過程，以及實施墊條中確定的措施：建立過程標準；根據標準實施過程控制。應提供必要的書面信息，以確信該過程已按計劃進行。組織應確?？刂婆c合規(guī)管理系統(tǒng)相關的外部提供的過程，產品或服務。組織應確保對第三方過程進行控制和監(jiān)視。建立控制和程序組織應實施控制

24、措施以管理其合規(guī)義務和相關的合規(guī)風險。這些控制措施應予以維護，定期檢查和測 試，以確保其持續(xù)有效性。注：測試控件是指進行有計劃的練習，以查看控件是否達到了預期的目的或不能被繞過，或者在降低 風險的影響或可能性方面是否有效。引起關注組織應建立，實施和維護個過程，以鼓勵和報告（在合理的理由下認為該信息是真實的）企圖，懷 疑或實際違反合規(guī)政策或合規(guī)義務的情況。該過程應：在整個組織中可見并可以訪問；保密地處理報告；接受匿名舉報；保護舉報人免受報復； 一使人員能夠接收建議。組織應確保所有人員都了解報告程序，其權利和保護并能夠使用它們。ISO2021-保國所有權利13BS ISO 37301： 2021B

25、S ISO 37301： 2021ISO 37301： 2021BS ISO 37301： 2021BS ISO 37301： 2021ISO 37301： 2021 PAGE 14 PAGE 146S0 2021-保留所有權利&4 調查程序組織應制定，建立，實施和維護過程，以評估，評估，調查和結淸關于可疑或實際違規(guī)事件的報告。 這些程序應確保公平公正的決策。調查過程應由主管人員獨立進行，不得有利益沖突。組織應將調查結果用于適當地改進合規(guī)管理系統(tǒng)（10條組織應定期向理事機構或最高管理者報告調查的數量和結果。組織應保留有關調查的書面信息?？冃гu估監(jiān)測，測量，分析和評估總則組織應確定：需要監(jiān)視利測

26、量的內容；一，何時進行監(jiān)測和測量；監(jiān)測和測量的結果應進行分析和評估。文件信息應作為結果的證據。組織應評估合規(guī)績效和合規(guī)管理系統(tǒng)的有效性。有關合規(guī)績效的反饋來源組織應建立，實施，評估和維護過程，以從各種來源尋求并接收有關其合規(guī)績效的反饋。應對信息進 行分析和格評估，以找出不符合項的根本原因，確保采取適當的措施，并將此信息反映在牛6要求的定期風險評估中指標制定組織應制定，實施和維護一套適當的指標，以幫助組織評估其合規(guī)目標的實現并評估其合規(guī)績效。合規(guī)報告組織應建立，實施和維護合規(guī)報告流程，以確保：確定了適當的報告標準；確定定期報告的時間表；實施了例外報告系統(tǒng)，以促進臨時報告；實施系統(tǒng)和流程以確保信息

27、的準確性和完整性；合規(guī)部門向理事機構或最高管理層發(fā)布的任何報告均應得到充分保護，以免發(fā)生變更。保持記錄中必須保留組織合規(guī)活動的準確，最新記錄，以幫助進行監(jiān)視和審查過程，并證明與合規(guī)管理系統(tǒng)的符 合性。內部審核總則組織應按計劃的時間間隔進行內部審核，以提供有關合規(guī)管理系統(tǒng)是否：符合：組織對合規(guī)管理系統(tǒng)的要求； 一本文件的要求；有效地實施和維護。內部審核程序 在建立內部審核計劃人）時，組織應考慮相關過程的重要性以及以前審核的結果。組織應：確定每次審核的審核目標，標準和范圍；選擇審核員并進行審核，以確保審核過程的客觀性和公正性；確保將審核結果報告給相關管理人員和管理層。注 1：相關管理可以包括合規(guī)職

28、能，最高管理者和管理機構。應提供書面信息，作為審核計劃和審核結果實施的證據。注 2： ISO 19011 中給出了有關審核管理系統(tǒng)的指南。管理評審總則領導機構和最高管理者應按計劃的時間間隔審查組織的合規(guī)管理系統(tǒng)，以確保其持續(xù)的適用性，充分 性和有效性。管理評審應包括：先前的管理評審所采取的措施的狀態(tài)；與合規(guī)管理系統(tǒng)相關的外部和內部問題的更改；與合規(guī)管理系統(tǒng)有關的利害關系方的需求和期望的變化；有關合規(guī)績效的信息，包括以下方面的趨勢：ISO2021-保留所有權利15BS ISO 37301： 2021BS ISO 37301： 2021ISO 37301： 2021BS ISO 37301： 20

29、21BS ISO 37301： 2021ISO 37301： 2021 PAGE 16 PAGE 166S0 2021-保留所有權利一不合格，不合規(guī)和糾正措施； 一監(jiān)測和測量結果；審計結果； e）管理評審應考慮：-遵守政策的充分性；遵守職能的獨立性； 資源是否充足；合規(guī)風險評估的充分性；一現有控制措施和績效指標的有效性；提出疑慮的人，有關方面的溝通，包括反饋（92）和投訴；調查（見脂）：報告系統(tǒng)的有效性。管理評審結果應提供書面信息，作為管理評審結果的證據。改進持續(xù)改進組織應不斷提高合規(guī)管理體系的適用性，充分性和有效性。不合格和糾正措施當發(fā)生不符合項或不符合項時，組織應：對不符合項或不符合項做出

30、反應，并在適用的情況下：采取措施進行控制和糾正；處理后果；法是：審査不合格或不合規(guī)，或兩者兼而有之；確定不合格或不合格或兩者的原因；確定是否存在相似的不合格品或不合格品，或同時存在或可能發(fā)生類似的不合格品；實施所需的任何行動；審査釆取的任何糾正措施的有效性；如有必要，對合規(guī)性管理系統(tǒng)進行更改。應提供書面信息作為以下方面的證據：不符合或不符合或兩者的性質，以及隨后采取的任何措施;-任何糾正措施的結果。IS02021-保留所有權利17BS ISO 37301： 2021BS ISO 37301： 2021ISO 37301： 2021BS ISO 37301： 2021BS ISO 37301：

31、2021ISO 37301： 2021 PAGE 20 PAGE 206S0 2021-保留所有權利 PAGE 21 PAGE 21CIS0 2021-保留所有權利附件A（資料性的） A背景和范圍總則本附件中指南的冃的是指出組織在實施合規(guī)性管理系統(tǒng)時可以采取的方法和行動類型。它并不旨在是 全面的或規(guī)范性的，組織也沒有義務實施本指南中的所有建議以使合規(guī)性管理系統(tǒng)滿足本文檔的要求 o 為了履行其合規(guī)義務，組織應就其合規(guī)風險的性質和范圍采取合理的措施。組織可以選擇將此遵從性管理系統(tǒng)作為一個單獨的系統(tǒng)來實施，但是，理想情況下，它將與其他管理 系統(tǒng)（風險，反賄賂，質量，環(huán)境，信息安全和社會責任）ISO

32、31000, ISO 37001, ISO 9001, ISO 14001 ISO / 1EC 27001 ISO 26000范圍任何規(guī)模，復雜性或行業(yè)的組織都可以按照其要求將本文檔應用于創(chuàng)建合規(guī)性管理系統(tǒng)。這將使他們 了解其背景，業(yè)務運營，由此產生的義務和合規(guī)風險，并幫助他們采取合理的步驟來履行其義務。應 遵守文件中的每個要求。但是，僅推薦本附件中的指南。實際上，在小型組織中，根據本文檔實施合規(guī)性管理系統(tǒng)通常較為容易，因為它們不那么復雜。中小 型組織將通過使用本文檔要求的原則來增強其組織實踐。本文檔涉及理事機構和高層管理人員，并定義了這些術語在各種上下文和位置中的含義。本文檔可供 所有組織使

33、用，因此，如果特定組織不使用這些術語，請注意其使用意圖：要求或指示將適用于在頂 峰擁有權威和責任的個人或人群組織的。A.2規(guī)范性引用文件本文檔無規(guī)范性引用。用戶可以參考參考書目以獲取與合規(guī)性相關的其他信息和國際標準。A3術語和定義ISO 開發(fā)的高級結構（HLS）,以改善其國際管理體系標準之間的一致性。HLS ISO 管理系統(tǒng)標準（MSS）悉的方式使用。提供的定義可以在使用本文檔時提供澄清。MSSMSS（時稱為“集成）MSSMSS HLS 結構的更多信息，請訪問：https HYPERLINK http:/www.iso.o/ /www.iso.o ） g / managementsys（ems

34、iandards.html。A4組織的背景了解組織及其背景該條款的目的是組織對可能影響其合規(guī)性管理系統(tǒng)的重要問題建立高層（例如戰(zhàn)略）理解。然后，所 獲得的知識將用于指導規(guī)劃，實施，操作和改進合規(guī)性管理系統(tǒng)的方法。 這是審查有關組織的所有可用信息的過程：組織做什么，在哪里，如何以及為什么。根據合規(guī)義務評 估外部和關鍵因素對組織的影響。這些合規(guī)性義務中最明顯的是組織在其經營所在的法律和法規(guī)環(huán)境中產生的，但義務或風險也可能由 本文檔中建議的其他因素引起。組織還應考慮可能會產生影響的相關未來趨勢。應考慮內部因素。文檔中包含一些示例。此列表并不詳盡，并且可能還有其他與組織相關的列表。了解有關方面的需求和

35、期望組織應建立對可能會影響合規(guī)管理系統(tǒng)，受其影響或認為自己受到合規(guī)管理系統(tǒng)影響的人員或組織的 需求和期望的理解。有些是強制性的，因為它們已被納入正式的耍求中，例如法律，法規(guī)，許可證和執(zhí)照以及政府或法院 的訴訟?？赡艽嬖诖颂幬窗ǖ钠渌揭蟆．斨付死嫦嚓P方的其他需求和期望時，這些義務和義務就成為了義務，并且組織決定通過簽訂協(xié) 議或合同自愿采用這些義務和期望。一旦組織決定了它們，它們便成為合規(guī)義務。外部利益相關方的示例包括：政府和政府機構； 監(jiān)管機構；顧客;承包商：供應商；第三方中介；非政府組織；社會和社區(qū)團體；商務伙伴。內部利益相關方的示例包括：理事機構；管理；雇員;內部職能，例如風險管

36、理，內部控制，內部審計，人力資源。確定合規(guī)管理體系的范圍確定遵從性管理系統(tǒng)的范圍是組織確定遵從性管理系統(tǒng)將應用到的物理和組織邊界的過程。這樣，組 織可以自曲選擇在整個組織內，組織中的特定單位或特定職能中實施法規(guī)遵從管理系統(tǒng)的自曲度和靈 活性。通常，合規(guī)管理系統(tǒng)將在整個組織中實施，對于一組組織而言，則將在整個組織中實施，以避免道德 行為和合規(guī)的雙重標準?？紤]到組織所面臨的合規(guī)風險的性質和程度，范圍應合理且相稱。建立合規(guī)管理系統(tǒng)的范圍并確定組織將采用哪些要求時，應考慮對相關利益方的上下文和要求的了解合規(guī)管理體系合規(guī)管理系統(tǒng)是一個框架，該框架集成了必要的結構，政策，流程和程序，以實現所需的合規(guī)結果，

37、 并采取措施防止，發(fā)現和應對不合規(guī)情況。通常，合規(guī)性管理系統(tǒng)框架是結構性問題：構建該系統(tǒng)所必需的基礎結構。然后需要通過執(zhí)行政策， 流程和程序來使其可操作。然后，需要對其進行維護并對其進行持續(xù)改進。合規(guī)性管理系統(tǒng)包含許多要素。管理系統(tǒng)的某些元素將被設計為支持所需的行為，而其他元素將被設 計為防止不良行為。有些元素僅用于監(jiān)視組織的合規(guī)性績效，或者在發(fā)生不合規(guī)情況時發(fā)出警報。合規(guī)管理系統(tǒng)將認識到確實會發(fā)生錯誤，并將制定流程以確保做出適當的反應。適當的反應將包括對 流程，系統(tǒng)和受影響方的補救。合規(guī)管理系統(tǒng)應作為文檔信息提供。合規(guī)義務組織強制性必須遵守的要求包括：法律法規(guī)；許可證，執(zhí)照或其他形式的授權；

38、監(jiān)管機構發(fā)布的命令，規(guī)則或指南；法院或行政法庭的判決：條約，公約和議定書。組織自愿選擇遵守的要求可以包括：與社區(qū)團體或非政府組織的協(xié)議；與公共機構和客戶的協(xié)議；自愿性原則或行為準則；自愿標簽或環(huán)境承諾；與組織的合同安排下產生的義務；相關的組織和行業(yè)標準。獲取有關法律變更和其他合規(guī)義務的信息的過程可以包括：一，專業(yè)團體的成員；訂閱相關的信息服務； 監(jiān)控監(jiān)管機構的網站； 與監(jiān)管機構會面；與法律顧問的安排；監(jiān)視合規(guī)義務的來源（例如，法規(guī)聲明，法院判決）。應該采取基于風險的方法，即組織應首先確定與業(yè)務相關的最重要的合規(guī)義務，然后集中精力處理所 有其他合規(guī)義務（帕累托原理）。在適當的情況下，組織應建立并

39、維護一個列出所有合規(guī)義務的文件（例如注冊簿或日志），并制定一 個定期更新該文件的過程。除規(guī)定合規(guī)義務外，該文件還應包括但不限于：履約義務的影響；遵守義務的管理；與合規(guī)義務相關的控制：風險評估。合規(guī)風險評估合規(guī)風險的特征是發(fā)生的可能性以及不遵守組織的合規(guī)政策和義務的后果。合規(guī)風險包括固有合規(guī)風險和殘留合規(guī)風險。固有合規(guī)風險是指組織處于不受控制的狀態(tài)而沒有任何 相應的合規(guī)風險處理措施時所面臨的所有合規(guī)風險。殘余合規(guī)風險是指組織現有的合規(guī)風險處理措施 無法有效控制的合規(guī)風險。可以包搖例如人身和環(huán)境損害，經濟損失，名譽損害，行政變更以及民事和刑事責任。個合規(guī)風險源相對應的合規(guī)風險情況，以制定合規(guī)風險源

40、列表和合規(guī)風險情況 列表。應定期評估合規(guī)風險，并在存在以下情況時重新評估合規(guī)風險：新的或更改的活動，產品或服務；-改變組織的結構或策略；變更合規(guī)義務；并購；不合規(guī)（即使是單個不合規(guī)事件也可能構成情況的重大變化）和差錯。（財務，社會）可能有所不同。/將受到監(jiān)控和處理。進行風險評估時（請參見 ISO 31000）,應注意適當的技術（如 IEC31010 中所述）。BS ISO 37301： 2021BS ISO 37301： 2021ISO 37301： 2021BS ISO 37301： 2021BS ISO 37301： 2021ISO 37301： 202122ISO 2021-22ISO

41、2021-保留所有權利A5領導力領導和承諾領導機構和最高管理者有效的合規(guī)性需要領導機構和遍布整個組織的最高管理層的積極承諾。對于合規(guī)管理系統(tǒng)而言，至關重要的是，領導機構和高層管理人員必須清晰，可見地展示其對實現合 規(guī)管理系統(tǒng)目標的承諾。不合規(guī)可能會對業(yè)務造成負面影響，例如聲譽受損，經營許可喪失，機會喪失以及大量成本。因此， 理事機構和最高管理者應認識到有效合規(guī)管理的戰(zhàn)略重要性。該文件列出了領導者可以展示其承諾的多種方式。最基本的方法是通過積極可見的支持來建立和維護 合規(guī)性管理系統(tǒng)。承諾程度由以下程度指示：理事機構和各級管理層積極表現出對通過其行動和決定建立，發(fā)展，實施，評估，維持和改進有 效和

42、響應迅速的合規(guī)管理系統(tǒng)的承諾；合規(guī)政策由理事機構正式批準；最高管理者負責確保充分實現對組織合規(guī)性的承諾；各級管理人員始終向員工傳達清晰的信息（以言語和行為表示），表明該組織將履行其合規(guī)義務在行動支持的清晰和令人信服的聲明中，已向所有人員和有關各方廣泛傳達了合規(guī)承諾；合規(guī)職能的人員具有適當的能力，地位權限和獨立性，這反映了有效合規(guī)的重要性，并可以直接與理 事機構接觸：通過提高認識的活動和對所有人員和有關方面的培訓，為建立，發(fā)展，實施，評估，維持和改善 健全的合規(guī)文化分配了足夠的資源；政策，流程和程序不僅反映了法律要求，還反映了自愿守則和組織的核心價值；組織為組織的各個級別分配并要求對遵從管理負責

43、：對合規(guī)管理系統(tǒng)進行定期審查（建議至少每年一次）；及時采取糾正措施；理事機構和最高管理層正在遵循組織的合規(guī)性管理系統(tǒng)。合規(guī)文化支持合規(guī)文化發(fā)展的因素可以包括： 淸晰的公開價值集；積極，明顯地執(zhí)行和遵守價值觀的管理；以身作則的指導，指導和領導；-對潛在人員進行關鍵職能（包括盡職調查）的適當的職前評估；強調合規(guī)性和組織價值觀的入職培訓或入職培訓；持續(xù)的合規(guī)培訓，包括對所有人員和有關方面的培訓的更新；持續(xù)就合規(guī)問題進行溝通：考核考核制度，該考核制度應考慮對合規(guī)行為的評估并考慮績效薪酬，以實現合規(guī)關鍵績效指標 和成果；對合規(guī)管理成就和成果的可見認可；在故意或過失違反合規(guī)義務的情況下，迅速而按比例地進行

44、紀律處分；組織戰(zhàn)略與個人角色之間的明確聯系，強調合規(guī)性對于實現組織成果至關重要：遵守文化的證據由以下程度指示：以上各項已執(zhí)行；有關各方（特別是人員）認為上述各項已得到執(zhí)行；人員了解與他們自己的活動和其業(yè)務部門的活動相關的合規(guī)義務的相關性；遵守職能的作用及其目標得到重視；該組織應：衡量其合規(guī)文化；征求所有人員的意見，以確定他們是否理解理事機構，高層管理人員和中層管理人員對合規(guī)的承 諾；根據組織的合規(guī)文化指標的結果制定行動計劃。合規(guī)治理合規(guī)治理基于以下基本原則。合規(guī)職能可直接與理事機構和高層管理人員聯系。他們可以繞過組織中的其他人員（如果有必要），干擾。遵從功能具有權限。合規(guī)職能不是可以被推翻的初

45、級職位，也不可以由權限較高的人員更改報告或信 息。合規(guī)職能可以根據需要指導其他人員。合規(guī)職能部門應該有一個“ Mvo以倡導并提出任何合規(guī) 問題。合規(guī)職能有足夠的資源來支持組織不受限制地執(zhí)行合規(guī)管理系統(tǒng)的必要工作和職責，包括獲得技術以 使合規(guī)管理系統(tǒng)能夠全面有效地支持組織實現其合規(guī)目標。遵從政策遵從政策建立了組織的總體原則和行動承諾，以實現組織的遵從。它確定了所需的責任和績效水平， 并確定了將要評估的行動的期望。該策略應適合組織因其活動而產生的合規(guī)義務。合規(guī)政策應由理事機構批準。合規(guī)政策應指定：與組織及其運營環(huán)境的規(guī)模，性質和復雜性相關的合規(guī)性管理系統(tǒng)的應用程序和上下文；與內部和外部利益相關方的

46、關系將得到管理的原則。ISO2021-保留所有權利23BS ISO 37301： 2021BS ISO 37301： 2021ISO 37301： 2021BS ISO 37301： 2021BS ISO 37301： 2021ISO 37301： 2021 PAGE 24 PAGE 246S0 2021-保留所有權利如有必要，應將合規(guī)政策翻譯成其他語言。在制定合規(guī)政策時，應考慮：具體的國際，區(qū)域或地方義務；組織的戰(zhàn)略，目標，文化和治理方法；組織的結構；與違規(guī)有關的風險的性質和水平； e）f）行業(yè)標準。遵從策略可以包括：任務說明；一般政策聲明；管理策略以及職責和資源的分配；標準遵守程序；審核，

47、盡職調查和合規(guī)性。角色，職責和權限領導機構和最高管理者理事機構的積極參與和監(jiān)督是有效合規(guī)管理系統(tǒng)不可或缺的一部分。這有助于確保人員充分了解組織 的合規(guī)政策和運營合規(guī)程序，以及如何將其應用到他們的工作中，并確保他們有效地履行合規(guī)義務。為了使合規(guī)管理系統(tǒng)有效，管理機構和最高管理者需要以身作則，堅持并積極，可見地支持合規(guī)和合 規(guī)管理系統(tǒng)。盡管規(guī)模不限其他組織或職能（包括現有委員會，組織單位）或將要素外包給合規(guī)專家，但許多組織 還取決于其規(guī)模，由其全權負責合規(guī)管理。最高管理者應確保：組織對遵守其價值觀，目標和策略的承諾的一致性，以便適當地定位遵守情況；鼓勵所有員工接受實現自己負責或負責的合規(guī)目標的重要

48、性；建立鼓勵舉報違規(guī)行為的環(huán)境，舉報員工可以免受報復；將合規(guī)性納入更廣泛的組織文化和文化變革計劃中；識別違規(guī)行為并立即采取措施糾正或解決違規(guī)行為：運營目標和目標不會損害合規(guī)行為。KPI和其他關鍵信息按計劃的時間間隔（例如每季度或每月一次）以確保合規(guī)管理系統(tǒng)實現其目標。合規(guī)管理系統(tǒng)的有效性要求最高管理者通過制定標準和進行合理監(jiān)督來作出承諾。最高管理者應了解 合規(guī)管理系統(tǒng)的內容和操作，并應確保組織具有有效的合規(guī)管理系統(tǒng)的適當流程。遵從功能許多組織都有專職人員（例如合規(guī)官）負責日常合規(guī)管理，有些組織有跨職能的合規(guī)委員會來協(xié)調整 個組織內的合規(guī)。合規(guī)性功能與管理層一起工作。并非所有組織都將創(chuàng)建離散的合

49、規(guī)性功能。有些人會將此功能分配給現有職位或將該功能外包。外包 時，組織應考慮不將整個合規(guī)性職能分配給第三方。即使將部分功能外包，它也應考慮對其保持授權 并監(jiān)督此類功能。誠信和對合規(guī)的承諾；有效的溝通和影響力技能；能夠接受建議和指導的能力和地位；自信，業(yè)務知識和經驗以進行測試和挑戰(zhàn)；采取策略性，積極主動的合規(guī)方法； 有足夠的時間來滿足角色的需求。合規(guī)職能應具有權力，地位和獨立性。權威是指管理機構和最高管理者授予合規(guī)職能足夠的權力。身 份意味著其他人員可能會聽取并尊重他/她的意見。獨立性意味著合規(guī)職能盡可能不親自參與面臨合規(guī) 風險的活動。合規(guī)職能應沒有利益沖突，以履行其職責。管理最高管理者的職責不

50、應被視為放棄其他級別的合規(guī)性管理，因為所有經理都應在合規(guī)性管理系統(tǒng)方面 發(fā)揮作用。因此，重要的是清楚地闡明他們各自的職責并將其包括在他們的職務說明中。經理的合規(guī)責任將根據權限級別，影響力和其他因素（例如組織的性質和規(guī)模）而有所不同。但是， 某些職責可能在各種組織中是共同的。人員所有人員均應遵守合規(guī)義務。人員應確保他們了解自己的合規(guī)責任并有效地履行它們。為此，將通過合規(guī)管理系統(tǒng)的要素來為其提 供支持，例如培訓，政策和程序以及行為準則。人員應積極主動地尋求見解和改進意見，以幫助遵守法規(guī)管理系統(tǒng)。規(guī)劃應對風險和機遇的行動遵從性管理系統(tǒng)的計劃是在戰(zhàn)略級別執(zhí)行的，而運營計劃則是針對運營計劃和控制而制定的

51、。規(guī)劃的目的是預測潛在的情況和后果，因此是預防性的。根據合規(guī)風險評估的結果，組織應計劃如何 在不良后果發(fā)生之前解決這些不良影響，以及如何從有利于支持合規(guī)管理體系有效性的有利條件或狀 況中受益。運營控制或其他特定條款（例如資源規(guī)定，權限）來實現。還應該計劃評估合規(guī)管理系 統(tǒng)有效性的措施。這可以包括監(jiān)視，度量技術，內部審核或管理評審。合規(guī)目標和實現這些目標的計劃合規(guī)目標的一個示例：至少每年對相關人員進行合規(guī)培訓。應該確定實現目標所需的行動（即“什么”），相關的時間范圍（即“何時”）和負責人（要定期監(jiān)測，記錄，評估和更新目標的狀態(tài)和進度。CIS02021-保留所有權利25BS ISO 37301：

52、2021BS ISO 37301： 2021ISO 37301： 2021BS ISO 37301： 2021BS ISO 37301： 2021ISO 37301： 2021 PAGE 32 PAGE 326S0 2021-保留所有權利 PAGE 31 PAGE 31ISO 2021-保留所有權利一種。7 支持資源資源包括財務，人力和技術資源，以及獲得外部建議和專門技能，組織基礎設施，專業(yè)發(fā)展，技術以 及有關合規(guī)管理和法律義務的當代參考資料。能力總貝！J術語“能力是指應用知識和技能以達到預期結果的能力。能力需要知識，經驗和技能，以便人們可以 有效地履行其職責。組織應為所有人員確定完成其任務所

53、需的專業(yè)知識和知識，以便組織可以向客戶 提供其產品和服務。組織應建立勝任力的證據（例如工作說明，職位陳述），在填補職位時可以考慮 這些證據。應采取措施（例如培訓）以確保維持現有能力并獲得新能力。應該有足夠的能力證明文件，以及為保 持或獲得這些能力而采取的措施。就業(yè)過程在雇用人員或提拔現有人員之前，組織應進行盡職調查，包括參考或背景調查。培訓履行合規(guī)義務的理事機構，管理層和人員應有能力有效地履行這些義務。能力的實現可以通過多種方 式實現，包括通過教育，培訓或工作經驗所需的技能和知識。正確設計和執(zhí)行的培訓可以為工作人員提供有效的方式，以傳達以前無法確定的合規(guī)風險。教育和培訓應：在適當的情況下，基于

54、對員工知識和能力差距的評估；具有足夠的靈活性以說明一系列技術，以適應組織和人員的不同需求；由經驗豐富且合格的人員設計，開發(fā)和交付：以適用的當地語言提供：定期評估和評估其有效性。組織應在發(fā)生不當行為的地區(qū)提供培訓。只要存在以下情況，就應考慮合規(guī)性再培訓：職位或職責的改變；內部政策，流程和程序的變化；組織結構的變化；遵守義務的變化，尤其是法律要求和利害關系方的要求；活動，產品或服務的變更；一由監(jiān)控，審計，審查，投訴和不合規(guī)引起的問題，包括有關方面的反饋。意識可以通過諸如但不限于以下方法來提高合規(guī)意識：培訓（面對面或在線）：高層管理人員的溝通；易于遵循且易于獲取的參考資料；定期更新合規(guī)性問題。傳達對

55、合規(guī)性的承諾：建立意識并激勵人員采用合規(guī)管理系統(tǒng)；鼓勵員工提出有助于持續(xù)改進合規(guī)績效的建議。溝通應根據組織的政策，釆用針對所有利益相關方的外部交流的實用方法。組織應分配適當的資源和具有相關知識的人員來協(xié)調和促進監(jiān)管互動。交流方法可以包括網站和電子郵件，新聞稿，廣告和定期新聞通訊，年度（或其他定期）報告，非正 式討論，開放日，焦點小組，社區(qū)對話，參與社區(qū)活動和電話熱線。這些方法可以鼓勵理解和接受組 織對合規(guī)性的承諾。交流應遵循透明，適當，可信，響應，可訪問和清晰的原則。文件信息總貝！I記錄的信息可以包括：組織的合規(guī)政策和程序；合規(guī)管理系統(tǒng)的目標，指標，結構和內容； 分配角色和責任以實現合規(guī)性；有

56、關合規(guī)義務的登記冊；違規(guī)，未遂和調查的記錄；年度合規(guī)計劃：人事記錄，包括但不限于培訓記錄；審核過程，審核時間表和相關的審核記錄。文件化信息可以包括與監(jiān)管報告要求有關的事項。記錄的信息可以包括各種媒體（數字和非數字媒體 ）O創(chuàng)建和更新文檔信息應更新記錄的信息以反映內部和外部的更改，以確保它們是最新的和最新的。文件信息的控制可以準備文件化信息以獲取法律建議，因此可以成為法律特權的主題。操作運作計劃和控制精心設計的合規(guī)性管理系統(tǒng)包括可以對合規(guī)文化既有內容又有影響的措施（例如政策，流程，程序）。他們著眼于減少合規(guī)風險評估過程中發(fā)現的風險，并旨在降低這些風險。運營控制的基本要素是行為準則，其中規(guī)定了組織

57、對相關合規(guī)性義務的完全承諾。行為準則應適用于 所有人員， 并可供他們使用。根據并源自行為準則，應將合規(guī)措施納入組織的日常運營中，以培養(yǎng)合 規(guī)文化。與業(yè)務流程有關的情況需要操作控制，而缺少此類控制可能導致偏離合規(guī)政策或違反合規(guī)義務。這些 情況可能與所有業(yè)務情況，活動或過程（例如生產，安裝，服務，維護）或承包商，供應商或銷售商 有關?？刂频某潭瓤梢愿鶕讉€因素而變化，例如所執(zhí)行功能的重要性或復雜性，違規(guī)或涉及或可獲得的技 術支持的潛在后果。當操作控制失敗時，必須采取措施來解決任何不良后果。以規(guī)定服務提供商的合規(guī)義務。精心設計的外包流程應考慮以下因素： 初步和正在進行的盡職調查；實施適當的控制：進行

58、持續(xù)監(jiān)控；對法律/合同協(xié)議的適當審查； 審議 SLA；使用經本文檔認證的第三方。與第三方簽訂合同時，組織應實施控制措施，以確保對活動的采購，運營，商業(yè)和其他非財務方面進 行適當的管理。根據組織和交易的規(guī)模，組織實施的采購，運營，商業(yè)和其他非財務控制措施可以降 低合規(guī)風險。建立控制和程序需要有效的控制措施以確保滿足組織的合規(guī)義務，并防止，發(fā)現和糾正不合規(guī)情況。控件的設計應足 夠嚴格，以促進實現特定于組織活動和運營環(huán)境的合規(guī)性義務。此類控件應盡可能嵌入到正常的組織 過程中?？丶梢园ǎ呵逦?，實用且易于遵循的書面操作政策，流程，程序和工作說明；系統(tǒng)和異常報告；批準；角色和職責不相容的隔離；自動化流

59、程：年度合規(guī)計劃：人員績效計劃；符合性評估和審核；表現出管理承諾和模范行為；以及其他促進合規(guī)行為的措施；就員工的預期行為（標準和價值觀，行為準則）在制定支持合規(guī)性管理的程序時，應考慮：一與組織中其他審查和控制職能的致性；持續(xù)的監(jiān)測和測量；評估和報告（包括管理監(jiān)督）以確保員工遵守程序；識別，報告和升級違規(guī)事件和違規(guī)風險的具體安排。提出關注在適當的情況下，應將其升級至最高管理層和理事機構，包括有關委員會。即使在當地法規(guī)沒有要求的情況下，組織也應考慮建立舉報人機制，以允許匿名或保密，以便組織的 員工和代理商可以舉報不合規(guī)行為或尋求指導，而不必擔心受到報復。有關舉報管理系統(tǒng)的更多指南，請參見 ISO

60、37002。A.&4 調査過程有效的合規(guī)管理系統(tǒng)的一個特點是一個運行良好的機制，用于及時，徹底地調查組織，其人員或相關 第三方的任何指控或懷疑的不當行為。這包括組織響應的文檔，包括所釆取的任何紀律或補救措施， 以及考慮到所汲取的教訓對合規(guī)管理系統(tǒng)進行的修訂。一個有效的調查機制可以識別不當行為，合規(guī)管理系統(tǒng)漏洞和問責失誤的根本原因，包括管理人員， 高層管理人員和理事機構之間的關系。經過深思熟慮的根本原因分析可解決違規(guī)的程度和普遍性，所 涉人員的數量和水平以及違規(guī)的嚴重性，持續(xù)時間和頻率。組織應確保調查是公正和獨立的。他們應酌情考慮建立獨立的委員會來監(jiān)督調查并保證其完整性和獨 立性。組織應建立有關