ISO 37000：2021《 組織治理指南》專業(yè)解讀和應用培訓指導材料之7：“6治理原則”之4：“6.4監(jiān)督”

ISO37000：2021《組織治理指南》專業(yè)解讀和應用培訓指導材料之7：“6治理原則”之4：“6.4監(jiān)督”ISO37000：2021《組織治理指南》專業(yè)解讀和應用培訓指導材料之7：“6治理原則”之4：“6.4監(jiān)督” （雷澤佳編制） ISOISO37000-2021《組織治理—指南》6.4監(jiān)督6.4.1原則治理機構應監(jiān)督組織的績效，以確保其滿足治理機構對組織合乎道德的行為及合規(guī)義務的意圖和期望。治理原則監(jiān)督原則治理機構應監(jiān)督組織的績效，以確保其滿足治理機構對組織合乎道德的行為及合規(guī)義務的意圖和期望。治理機構的角色與責任：治理機構是組織治理的核心，負責制定戰(zhàn)略、設定目標、決策重大事項并監(jiān)督組織運營。在監(jiān)督過程中，治理機構扮演著關鍵角色，確保組織的行為和決策符合道德標準和合規(guī)要求；確定監(jiān)督的具體內(nèi)容和范圍；治理機構在確定監(jiān)督的具體內(nèi)容和范圍時，應綜合考慮組織的戰(zhàn)略目標、業(yè)務特點、風險狀況以及合規(guī)要求。具體來說，監(jiān)督內(nèi)容可以包括組織的財務績效、運營效率、戰(zhàn)略執(zhí)行情況、風險管理、內(nèi)部控制、合規(guī)性、道德行為等多個方面。范圍則應涵蓋組織的所有關鍵部門和業(yè)務流程，確保監(jiān)督的全面性和有效性。治理機構可以通過以下方式評估組織的道德行為和合規(guī)義務履行情況：審查相關政策和制度：檢查組織是否制定了明確的道德準則和合規(guī)政策，并確保這些政策和制度得到有效執(zhí)行；監(jiān)測關鍵業(yè)務流程：對組織的采購、銷售、財務、人力資源等關鍵業(yè)務流程進行監(jiān)測，確保其行為符合道德和合規(guī)要求；開展員工培訓和宣傳：通過培訓和宣傳活動，提高員工對道德和合規(guī)要求的認識和理解，鼓勵員工積極踐行道德準則和合規(guī)政策；建立舉報機制：設立舉報渠道，鼓勵員工積極舉報違反道德和合規(guī)要求的行為，并對舉報進行及時處理和反饋；定期進行合規(guī)審計：聘請專業(yè)的審計機構對組織的合規(guī)情況進行審計，確保組織的合規(guī)義務得到有效履行。治理機構可以通過以下措施確保監(jiān)督的有效實施：建立健全的監(jiān)督機制：制定明確的監(jiān)督政策、流程和制度，確保監(jiān)督工作的規(guī)范化和標準化；設立專門的監(jiān)督機構或崗位：如內(nèi)部審計部門、合規(guī)官等，負責具體的監(jiān)督工作；采用多種監(jiān)督方式：結合定期審計、專項審計、突擊檢查、員工舉報等多種方式，提高監(jiān)督的靈活性和有效性；加強信息溝通與反饋：確保監(jiān)督結果能夠及時、準確地反饋給治理機構，以便其及時作出決策和調(diào)整；強化責任追究與激勵：對監(jiān)督中發(fā)現(xiàn)的問題進行嚴肅處理，對表現(xiàn)優(yōu)秀的部門和個人給予表彰和獎勵。治理機構可以通過以下方式確保監(jiān)督結果的有效利用：及時分析監(jiān)督結果：對監(jiān)督過程中收集到的數(shù)據(jù)和信息進行及時分析，找出存在的問題和風險點；制定改進措施：根據(jù)監(jiān)督結果，制定具體的改進措施和行動計劃，明確責任人和完成時限；跟蹤改進效果：對改進措施的執(zhí)行情況進行跟蹤和評估，確保問題得到有效解決和風險得到有效控制；將監(jiān)督結果納入績效考核：將監(jiān)督結果作為組織績效考核的重要依據(jù)之一，激勵員工積極參與監(jiān)督工作并改進自身工作；持續(xù)完善監(jiān)督機制：根據(jù)監(jiān)督結果和實踐經(jīng)驗，不斷完善監(jiān)督機制和方法，提高監(jiān)督的效率和效果。ISOISO37000-2021《組織治理—指南》6.4.2理論依據(jù)治理機構的有效監(jiān)督確保了組織以預期的和要求的方式實現(xiàn)組織宗旨和戰(zhàn)略結果。監(jiān)督很重要，因為治理機構需要確保分配給他人的任務按要求執(zhí)行，以及在授權的范圍內(nèi)做出決策。通過監(jiān)督，治理機構可以在必要的時候采取糾正措施來實現(xiàn)組織宗旨。治理機構的監(jiān)督工作取決于各種因素，包括組織的規(guī)模及復雜程度。理論依據(jù)監(jiān)督的核心作用與重要性；確保組織宗旨與戰(zhàn)略實現(xiàn)：監(jiān)督是治理機構確保組織沿著正確方向前進的關鍵手段。通過有效的監(jiān)督，治理機構能夠驗證組織是否按照既定的宗旨和戰(zhàn)略在運營，確保組織目標的實現(xiàn)不偏離預期軌道；強化組織執(zhí)行力：監(jiān)督不僅關注結果，還關注過程。它促使組織內(nèi)部各級人員嚴格按照治理機構的要求執(zhí)行任務，確保每一項工作都得到有效執(zhí)行，從而提高組織的整體執(zhí)行力。監(jiān)督的必要性：任務執(zhí)行與決策控制；任務執(zhí)行監(jiān)督：治理機構在分配任務后，必須對這些任務的執(zhí)行情況進行監(jiān)督。這有助于確保任務得到正確、高效的執(zhí)行，避免因執(zhí)行不力或偏離要求而導致的問題；決策控制：監(jiān)督還包括對決策過程的控制。治理機構需要確保決策者在授權的范圍內(nèi)做出決策，避免決策失誤或濫用職權的情況發(fā)生。這有助于維護組織的穩(wěn)定和秩序。監(jiān)督的糾正措施與組織宗旨實現(xiàn)；及時發(fā)現(xiàn)并糾正問題：監(jiān)督過程中，治理機構能夠及時發(fā)現(xiàn)組織運營中存在的問題和偏差。通過采取糾正措施，治理機構可以迅速調(diào)整組織的行為和決策，確保其重新回歸正軌，從而實現(xiàn)組織宗旨；持續(xù)改進與優(yōu)化：監(jiān)督不僅僅是一次性的活動，而是一個持續(xù)的過程。通過不斷的監(jiān)督、反饋和糾正，治理機構能夠推動組織持續(xù)改進和優(yōu)化，提升組織的整體績效和競爭力。監(jiān)督工作的影響因素。組織規(guī)模與復雜性：不同規(guī)模和復雜程度的組織對監(jiān)督工作的要求各不相同。大型組織由于部門眾多、業(yè)務復雜，需要更加系統(tǒng)和全面的監(jiān)督體系來確保其正常運營。而小型組織則可能更注重靈活性和效率，監(jiān)督工作也相應地更加簡潔明了；定制化監(jiān)督方案：因此，治理機構在制定監(jiān)督方案時，必須充分考慮組織的規(guī)模和復雜性。通過定制化的監(jiān)督方案，治理機構能夠更有效地滿足組織的需求，確保其監(jiān)督工作的針對性和有效性。ISOISO37000-2021《組織治理—指南》6.4.3實踐的關鍵環(huán)節(jié)6.4.3.1總則為實施有效監(jiān)督，治理機構應：a)要求他們所委派的團隊對組織管理的所有事務提供及時準確的報告；b)確保內(nèi)部控制體系的實施，包括風險管理體系、合規(guī)管理體系和財務控制體系；c)采取糾正措施；d)確保收到的報告和證據(jù)的準確性，以及內(nèi)部控制體系的有效性。實踐的關鍵環(huán)節(jié)總則為實施有效監(jiān)督，治理機構應：要求他們所委派的團隊對組織管理的所有事務提供及時準確的報告；治理機構為了實施有效監(jiān)督，首先需要確保所委派的團隊（如管理層、內(nèi)部審計團隊等）能夠對其負責的組織管理事務進行及時且準確的報告。這種報告機制應涵蓋組織的各個方面，包括但不限于財務狀況、運營績效、風險管理、合規(guī)情況等。及時準確的報告能夠幫助治理機構及時了解組織的實際運營狀況，為決策提供依據(jù)，同時也是監(jiān)督過程的基礎；治理機構可以通過以下幾個步驟來確保委派的團隊提供及時準確的報告：明確報告要求：治理機構應制定清晰的報告指南或模板，明確報告的內(nèi)容、格式、提交時間和頻率等要求。這有助于確保團隊了解報告的標準和期望；建立報告機制：治理機構應建立高效的報告機制，包括報告提交渠道、審批流程和反饋機制等。這可以確保報告能夠及時提交并得到有效處理；培訓團隊：治理機構應對委派的團隊進行定期培訓，提高他們的報告撰寫能力和對組織管理的理解。這有助于確保團隊能夠準確、全面地反映組織管理的情況；定期審查報告：治理機構應定期審查團隊提交的報告，檢查其準確性和完整性。對于不符合要求的報告，應及時要求團隊進行修正或重新提交；建立獎懲機制：治理機構可以建立獎懲機制，對及時準確提交報告的團隊給予獎勵，對拖延或提交不準確報告的團隊進行懲罰。這有助于激勵團隊提高報告質(zhì)量。確保內(nèi)部控制體系的實施，包括風險管理體系、合規(guī)管理體系和財務控制體系；內(nèi)部控制體系是組織治理的重要組成部分，它涵蓋了風險管理體系、合規(guī)管理體系和財務控制體系等多個方面。治理機構需要確保這些體系得到有效實施，以維護組織的穩(wěn)定運營和合規(guī)性。風險管理體系幫助組織識別、評估和管理潛在風險；合規(guī)管理體系確保組織遵守相關法律法規(guī)和內(nèi)部政策；財務控制體系則保障組織財務信息的準確性和完整性。治理機構應定期審查這些體系的運行情況，確保其有效性；治理機構可以通過以下幾個步驟來確保內(nèi)部控制體系的實施：設計合理的內(nèi)部控制體系：治理機構應與相關部門合作，設計符合組織實際情況和需求的內(nèi)部控制體系。這包括確定關鍵控制點、制定控制措施和建立監(jiān)控機制等；明確責任分工：治理機構應明確各部門和崗位在內(nèi)部控制體系中的責任分工，確保每個環(huán)節(jié)都有人負責。這有助于確保內(nèi)部控制體系的順利運行；培訓員工：治理機構應對員工進行內(nèi)部控制體系的培訓，提高他們對內(nèi)部控制的認識和理解。這有助于確保員工能夠遵守內(nèi)部控制規(guī)定并積極參與內(nèi)部控制工作；定期審計和評估：治理機構應定期對內(nèi)部控制體系進行審計和評估，檢查其運行情況和有效性。對于發(fā)現(xiàn)的問題和不足，應及時進行整改和完善；建立持續(xù)改進機制：治理機構應建立內(nèi)部控制體系的持續(xù)改進機制，根據(jù)組織的發(fā)展變化和外部環(huán)境的變化不斷調(diào)整和優(yōu)化內(nèi)部控制體系。這有助于確保內(nèi)部控制體系始終保持有效性和適應性。采取糾正措施；在監(jiān)督過程中，治理機構難免會發(fā)現(xiàn)組織運營中存在的問題或偏差。為了糾正這些問題，治理機構需要采取及時有效的糾正措施。這些措施可能包括調(diào)整策略、更換人員、加強培訓、完善制度等。治理機構應確保糾正措施得到妥善執(zhí)行，并跟蹤其效果，以確保問題得到根本解決；治理機構在發(fā)現(xiàn)組織管理中存在的問題時，可以采取以下糾正措施：分析問題原因：治理機構應首先分析問題產(chǎn)生的原因和影響范圍，明確問題的性質(zhì)和嚴重程度。這有助于為采取糾正措施提供依據(jù)；制定糾正措施計劃：治理機構應根據(jù)問題產(chǎn)生的原因和影響范圍，制定具體的糾正措施計劃。這包括確定糾正措施的目標、內(nèi)容、時間表和責任人等；實施糾正措施：治理機構應組織相關部門和人員按照糾正措施計劃的要求實施糾正措施。這包括調(diào)整策略、更換人員、加強培訓、完善制度等；跟蹤和驗證糾正效果：治理機構應對糾正措施的實施情況進行跟蹤和驗證，確保其有效性和及時性。對于未達到預期效果的糾正措施，應及時進行調(diào)整和完善；建立預防措施：治理機構應根據(jù)糾正措施的實施情況，總結經(jīng)驗教訓，建立相應的預防措施，防止類似問題再次發(fā)生。確保收到的報告和證據(jù)的準確性，以及內(nèi)部控制體系的有效性。治理機構在收到團隊提供的報告和證據(jù)后，需要對其準確性和可靠性進行仔細審查。這是確保監(jiān)督過程有效性的關鍵步驟。同時，治理機構還應定期評估內(nèi)部控制體系的有效性，包括其設計是否合理、執(zhí)行是否到位、是否存在漏洞等。通過不斷審查和改進內(nèi)部控制體系，治理機構能夠提升組織的整體治理水平，降低潛在風險；治理機構可以通過以下幾個步驟來確保收到的報告和證據(jù)的準確性以及內(nèi)部控制體系的有效性：建立報告和證據(jù)審核機制：治理機構應建立報告和證據(jù)的審核機制，對收到的報告和證據(jù)進行仔細審查和核實。這有助于確保報告和證據(jù)的真實性和準確性；定期審查內(nèi)部控制體系：治理機構應定期對內(nèi)部控制體系進行審查，檢查其運行情況和有效性。這包括評估控制措施的執(zhí)行情況、監(jiān)控機制的運行效果以及關鍵控制點的控制效果等；利用外部審計和評估：治理機構可以邀請第三方機構對組織的管理和內(nèi)部控制體系進行審計和評估，以獲取更客觀、全面的反饋和建議。這有助于治理機構發(fā)現(xiàn)潛在問題和改進空間；建立反饋和改進機制：治理機構應建立反饋和改進機制，鼓勵員工和相關方對組織管理和內(nèi)部控制體系提出意見和建議。這有助于治理機構及時發(fā)現(xiàn)和解決問題，不斷完善組織治理體系；持續(xù)監(jiān)控和更新：治理機構應持續(xù)監(jiān)控組織運營情況和外部環(huán)境的變化，及時調(diào)整和更新內(nèi)部控制體系。這有助于確保內(nèi)部控制體系始終保持有效性和適應性。ISOISO37000-2021《組織治理—指南》6.4.3.2監(jiān)督績效治理機構應基于以下評估和糾正措施來監(jiān)督組織績效：a)組織價值觀和治理方針是否能有效地指導組織、組織文化和組織合乎道德的行為；b)基于管理報告和績效，以確保組織根據(jù)適用的衡量標準、意圖和期望來評價結果（見6.3.3）；c)將關于組織評估和應對關鍵威脅和機會的風險信息（例如：風險職能部門接收的信息）考慮到組織風險框架中（見6.9）；d)組織合規(guī)文化和滿足合規(guī)義務方面的合規(guī)信息（例如：直接從合規(guī)職能部門收到的信息）；e)組織對有關相關方的識別和對接；f)組織的財務結果和財務資源，需確保組織在財務上保持穩(wěn)?。籫)資源的分配、組織的職責和能力（包括人員及其發(fā)展）需確保組織能夠實現(xiàn)其組織宗旨、價值創(chuàng)造目標和戰(zhàn)略結果；h)組織對數(shù)據(jù)的管控和處理應確保數(shù)據(jù)被當作有價值的、戰(zhàn)略性的組織資源（見6.8）；i)組織負責任地（包括合乎道德地）使用和適當投資包括人工智能和網(wǎng)絡安全在內(nèi)的技術；j)組織對計劃、變革和其他實質(zhì)性轉變的管理以及對計劃外事件和意外的響應。注1：ISO31000和IEC31010中提供了有助于風險管理的附加信息。注2：ISO37301中提供了有助于合規(guī)管理的附加信息。注3：ISO/IEC38500中提供了有助于組織管理信息技術的附加信息。注4：ISO/IEC38507中提供了對組織使用人工智能有幫助的治理啟示的附加信息。監(jiān)督績效治理機構應基于以下評估和糾正措施來監(jiān)督組織績效：組織價值觀和治理方針是否能有效地指導組織、組織文化和組織合乎道德的行為；組織價值觀和治理方針是組織文化的核心，它們?yōu)榻M織提供了明確的方向和準則，確保組織在追求目標的過程中保持一致性和道德性。治理機構在監(jiān)督組織績效時，首要關注的是這些價值觀和方針是否真正起到了指導作用。價值觀滲透：治理機構需要評估組織的價值觀是否深入人心，是否成為了員工行為的準則。這包括觀察員工在日常工作中是否體現(xiàn)出這些價值觀，以及組織在決策和行動時是否以這些價值觀為依據(jù)；治理方針的實施：治理方針是組織治理的具體體現(xiàn)，它規(guī)定了組織的管理方式、決策流程等。治理機構需要檢查這些方針是否得到了有效執(zhí)行，是否對組織的行為產(chǎn)生了積極的影響，以及是否有助于組織實現(xiàn)其長期目標；道德行為的促進：組織價值觀和治理方針還應促進組織及其成員合乎道德的行為。治理機構需要監(jiān)督組織是否建立了道德行為的激勵機制，是否對違反道德的行為進行了及時的處理，以及是否通過教育和培訓提升了員工的道德意識。評估組織價值觀和治理方針對組織文化和道德行為的指導效果，可以從以下幾個方面進行：員工行為觀察：觀察員工在日常工作中的行為是否符合組織的價值觀和治理方針，是否體現(xiàn)了組織的道德標準。這可以通過匿名調(diào)查、員工訪談、日常觀察等方式進行；文化氛圍感知：通過員工滿意度調(diào)查、文化評估問卷等工具，了解員工對組織文化和道德氛圍的感知和認同程度；績效關聯(lián)分析：分析組織價值觀和治理方針與組織績效之間的關聯(lián)性，看其是否對組織目標的實現(xiàn)產(chǎn)生了積極影響。這可以通過對比不同部門或團隊的績效數(shù)據(jù)，以及分析關鍵績效指標的變化趨勢來完成；案例研究：選取一些典型案例，如員工行為、決策過程等，進行深入分析，看其是否體現(xiàn)了組織價值觀和治理方針的指導作用。基于管理報告和績效，以確保組織根據(jù)適用的衡量標準、意圖和期望來評價結果（見6.3.3）；管理報告和績效是衡量組織績效的重要依據(jù)。治理機構應確保這些報告和績效數(shù)據(jù)能夠真實、準確地反映組織的運營狀況，并根據(jù)適用的衡量標準、意圖和期望來評價結果。管理報告的完整性：管理報告應包含組織的各個方面，如財務、運營、市場、人力資源等。治理機構需要審查這些報告是否全面、準確，是否提供了足夠的信息來評估組織的績效；績效數(shù)據(jù)的可靠性：績效數(shù)據(jù)是評估組織績效的基礎。治理機構需要確保這些數(shù)據(jù)的收集、處理和分析過程科學、規(guī)范，數(shù)據(jù)結果真實可靠。同時，還需要關注數(shù)據(jù)的時效性和可比性，以便進行縱向和橫向的對比分析；衡量標準的適用性：治理機構需要根據(jù)組織的實際情況和目標，制定適用的衡量標準。這些標準應既具有挑戰(zhàn)性又可實現(xiàn)，能夠激勵組織不斷提升績效。同時，還需要確保這些標準與組織的意圖和期望相一致，以便對組織績效進行準確的評估。要確保管理報告和績效數(shù)據(jù)能夠準確反映組織績效，可以從以下幾個方面入手：數(shù)據(jù)收集與驗證：建立完善的數(shù)據(jù)收集機制，確保數(shù)據(jù)的準確性和完整性。同時，對數(shù)據(jù)進行定期驗證和審計，確保其真實可靠。衡量標準的選擇：根據(jù)組織的戰(zhàn)略目標和業(yè)務特點，選擇合適的衡量標準。這些標準應具有明確性、可衡量性、可達成性、相關性和時限性（SMART原則）?？冃Х治雠c報告：對收集到的績效數(shù)據(jù)進行深入分析，找出存在的問題和機會，并據(jù)此編制績效報告。報告應清晰、準確地反映組織的績效狀況，并提出改進建議。反饋與溝通：將績效報告及時反饋給相關部門和人員，并進行有效的溝通。這有助于確保所有人員對組織績效有共同的認識和理解，從而推動持續(xù)改進。將關于組織評估和應對關鍵威脅和機會的風險信息（例如：風險職能部門接收的信息）考慮到組織風險框架中（見6.9）；組織在運營過程中會面臨各種威脅和機會，這些都需要通過風險評估來識別和應對。治理機構在監(jiān)督組織績效時，應特別關注風險職能部門提供的關鍵威脅和機會的風險信息，并將這些信息納入組織的風險框架中進行綜合考慮。風險框架的更新與完善：：組織應建立一個完善的風險框架，用于指導風險評估、應對和監(jiān)控。治理機構在監(jiān)督績效時，應確保風險框架的有效性，并根據(jù)風險職能部門提供的信息進行必要的調(diào)整和優(yōu)化；風險信息的收集與整理：風險職能部門應負責收集各種風險信息，包括內(nèi)部風險和外部風險以及市場風險、信用風險、操作風險等，這些信息應全面、準確，以便治理機構能夠做出正確的決策。對這些信息應進行整理、分類和歸檔，以便后續(xù)分析和使用。風險分析與評價：對收集到的風險信息進行析與評價，確定風險的可能性、影響程度和優(yōu)先級。這可以通過使用風險評估工具和方法來完成，如風險矩陣、故障樹分析等。風險應對的監(jiān)督：治理機構還應監(jiān)督組織對關鍵威脅和機會的應對情況，確保風險應對措施得到及時、有效的執(zhí)行，從而降低風險對組織績效的負面影響；風險信息的溝通：將風險信息及時傳達給相關部門和人員，并進行有效的溝通。組織合規(guī)文化和滿足合規(guī)義務方面的合規(guī)信息（例如：直接從合規(guī)職能部門收到的信息）；合規(guī)是組織運營的重要基礎，它關乎組織的聲譽、穩(wěn)定性和長期發(fā)展。治理機構在監(jiān)督組織績效時，必須重視合規(guī)文化和滿足合規(guī)義務方面的信息。合規(guī)政策與程序審查：審查組織的合規(guī)政策和程序是否完善、有效，是否符合相關法律法規(guī)和行業(yè)標準的要求；合規(guī)信息的獲?。汉弦?guī)職能部門是組織合規(guī)管理的核心部門，它負責收集、整理和分析與組織合規(guī)相關的各種信息。治理機構應直接從合規(guī)職能部門獲取這些信息，以便及時了解組織的合規(guī)狀況；合規(guī)文化的培育：組織應致力于培育一種積極的合規(guī)文化，確保員工能夠自覺遵守法律法規(guī)和內(nèi)部規(guī)章制度。治理機構應監(jiān)督組織在這方面的努力，包括合規(guī)培訓、合規(guī)宣傳、合規(guī)激勵等措施的實施情況；合規(guī)培訓與教育：了解組織是否定期開展合規(guī)培訓和教育活動，員工是否充分了解合規(guī)要求和道德標準；合規(guī)行為觀察：觀察員工在日常工作中的行為是否符合合規(guī)要求，是否存在違規(guī)行為。這可以通過匿名調(diào)查、員工訪談、日常觀察等方式進行；合規(guī)審核與檢查：定期對組織的合規(guī)情況進行審核和檢查，包括合規(guī)文件的完整性、合規(guī)流程的執(zhí)行情況等。這可以由內(nèi)部合規(guī)部門或外部審計機構進行；合規(guī)事件處理：了解組織對合規(guī)事件的處理方式和效果，看其是否能夠及時、有效地應對合規(guī)風險。對于任何違反合規(guī)義務的行為，治理機構都應及時采取措施進行糾正，并追究相關責任人的責任。組織對有關相關方的識別和對接；在現(xiàn)代組織中，相關方的識別和有效對接是監(jiān)督績效的重要組成部分。相關方包括但不限于股東、客戶、供方、員工、政府監(jiān)管機構、社區(qū)以及環(huán)境組織等。治理機構需要建立一套系統(tǒng)來識別和評估這些相關方的需求和期望，確保組織能夠與之有效對接。識別和分類：治理機構應明確哪些個體或群體對組織具有重要影響，并根據(jù)其影響程度進行分類。這有助于組織優(yōu)先處理與關鍵相關方的關系；溝通和參與：治理機構應建立有效的溝通渠道，確保組織能夠及時、準確地與相關方進行溝通。此外，鼓勵相關方參與組織的決策過程也是建立良好關系的重要方式；滿足期望和利益：治理機構應關注如何滿足相關方的期望和利益，通過持續(xù)改進和創(chuàng)新來增強相關方的信任和滿意度。組織的財務結果和財務資源，需確保組織在財務上保持穩(wěn)??；組織的財務結果和財務資源是其持續(xù)運營和發(fā)展的基礎。治理機構在監(jiān)督組織績效時，必須高度關注組織的財務健康狀況。財務結果分析：治理機構應定期審查組織的財務報表，包括利潤表、資產(chǎn)負債表和現(xiàn)金流量表等，以評估組織的盈利能力、償債能力和運營效率；風險管理：除了關注歷史財務結果外，治理機構還應關注潛在的財務風險，如市場風險、信用風險和流動性風險等，并制定相應的風險管理策略；財務規(guī)劃：為了確保組織在財務上保持穩(wěn)健，治理機構還應參與制定財務規(guī)劃，包括預算制定、資本支出計劃和現(xiàn)金流管理等。資源的分配、組織的職責和能力（包括人員及其發(fā)展）需確保組織能夠實現(xiàn)其組織宗旨、價值創(chuàng)造目標和戰(zhàn)略結果；資源的分配、組織的職責和能力是實現(xiàn)組織宗旨、價值創(chuàng)造目標和戰(zhàn)略結果的關鍵。治理機構在監(jiān)督組織績效時，應關注以下幾個方面：資源分配：治理機構應確保組織將有限的資源（包括人力、物力和財力）分配到最關鍵的業(yè)務領域和項目上，以實現(xiàn)最大的價值創(chuàng)造；職責和能力：治理機構應明確組織內(nèi)部各部門的職責和能力要求，并確保組織具備實現(xiàn)其宗旨和戰(zhàn)略結果所需的關鍵能力。這可能涉及人員培訓、技能提升和組織結構調(diào)整等方面；績效評估：為了持續(xù)優(yōu)化資源配置和提升組織能力，治理機構應建立一套績效評估體系，對組織內(nèi)部各部門和個人的績效進行定期評估，并根據(jù)評估結果進行相應的調(diào)整和改進。組織對數(shù)據(jù)的管控和處理應確保數(shù)據(jù)被當作有價值的、戰(zhàn)略性的組織資源（見6.8）；在數(shù)字化時代，數(shù)據(jù)已成為組織的重要資產(chǎn)，對數(shù)據(jù)的有效管控和處理對于組織績效至關重要。治理機構應確保數(shù)據(jù)被當作有價值的、戰(zhàn)略性的組織資源來對待。數(shù)據(jù)治理框架：組織應建立一套完整的數(shù)據(jù)治理框架，包括數(shù)據(jù)的收集、存儲、處理、使用和共享等各個環(huán)節(jié)，確保數(shù)據(jù)的質(zhì)量、安全性和合規(guī)性；數(shù)據(jù)價值挖掘：治理機構應鼓勵組織深入挖掘數(shù)據(jù)的價值，通過數(shù)據(jù)分析來指導決策、優(yōu)化運營、提升產(chǎn)品和服務質(zhì)量，從而增強組織的競爭力和市場響應速度；數(shù)據(jù)倫理和隱私保護：在利用數(shù)據(jù)的同時，組織應嚴格遵守數(shù)據(jù)倫理和隱私保護原則，確保數(shù)據(jù)的使用不會侵犯個人隱私和合法權益，維護組織的良好聲譽和社會形象。組織負責任地（包括合乎道德地）使用和適當投資包括人工智能和網(wǎng)絡安全在內(nèi)的技術；隨著技術的快速發(fā)展，人工智能和網(wǎng)絡安全等技術在組織中的應用日益廣泛。治理機構應確保組織在使用這些技術時保持負責任的態(tài)度，并進行適當?shù)耐顿Y。技術倫理和合規(guī)性：組織在使用人工智能等技術時，應確保其設計、開發(fā)和應用符合倫理和合規(guī)性要求，避免技術濫用和歧視性行為，保護用戶權益和社會公共利益；網(wǎng)絡安全保障：網(wǎng)絡安全是組織運營的重要基礎。治理機構應確保組織采取有效的安全措施來防范網(wǎng)絡攻擊和數(shù)據(jù)泄露等風險，保障業(yè)務的連續(xù)性和數(shù)據(jù)的完整性；戰(zhàn)略投資：治理機構應根據(jù)組織的戰(zhàn)略目標和業(yè)務需求，對人工智能和網(wǎng)絡安全等技術進行合理的投資規(guī)劃，確保技術的有效應用和持續(xù)創(chuàng)新。組織對計劃、變革和其他實質(zhì)性轉變的管理以及對計劃外事件和意外的響應。在快速變化的市場環(huán)境中，組織需要不斷適應和調(diào)整以應對各種挑戰(zhàn)和機遇。治理機構應確保組織具備有效管理計劃、變革和其他實質(zhì)性轉變的能力，以及對計劃外事件和意外的響應能力。變革管理：組織應建立一套完善的變革管理機制，包括變革規(guī)劃、執(zhí)行、監(jiān)控和評估等各個環(huán)節(jié)，確保變革過程的順利進行和變革目標的實現(xiàn)；風險管理：治理機構應關注組織面臨的各種風險，包括市場風險、操作風險、合規(guī)風險等，并建立相應的風險管理體系來識別、評估、監(jiān)控和應對這些風險；應急響應機制：對于計劃外事件和意外情況，組織應建立應急響應機制，包括應急預案的制定、演練和改進等，確保在緊急情況下能夠迅速、有效地采取行動，減少損失和負面影響。注1：ISO31000：2018《風險管理——指南》和]IEC31010-2019《風險評估—風險評估技術》中提供了有助于風險管理的附加信息。注2：ISO37301：2021《合規(guī)管理體系——要求和使用指南》中提供了有助于合規(guī)管理的附加信息。注3：ISO/IEC38500-2015《信息技術——組織IT治理》中提供了有助于組織管理信息技術的附加信息。注4：ISO/IEC38507《信息技術——IT治理——組織使用人工智能的治理影響》中提供了對組織使用人工智能有幫助的治理啟示的附加信息。ISOISO37000-2021《組織治理—指南》6.4.3.3獲得保證為了對組織進行有效的監(jiān)督，除了從授權人那里收取的報告之外，治理機構還應確保恰當?shù)卦O計治理體系以及治理體系運行符合預期。如果治理機構不能保證做到這些事情，那么它應使用額外的獨立擔保手段。治理機構應做到：a)根據(jù)評估的風險確定所需的擔保評審級別；b)確保提供保證者有適當?shù)臋嗔妥銐虻馁Y源向治理機構提供準確的評估；c)確保提供保證者具有必要的能力和本領，且努力方向是聚焦的；d)仔細評審內(nèi)部提供保證者的報告途徑，以維護他們的獨立性和權威性（見注1）；e)仔細評審任何外部提供保證者的獨立擔保能力（見注1）；f)確保向治理機構提供的保證服務得到整合和優(yōu)化，從而作為一個整體，支持和實現(xiàn)有效的內(nèi)部控制體系，并解決組織的重大風險和重大事項；g)證實組織對保證的承諾，并在整個組織內(nèi)適當、清晰地溝通保證體系。獨立和準確地通知治理機構的保證過程包括：——治理機構的直接核查；——將直接報告和私人會議的風險管理和合規(guī)管理作為獨立的控制職能；——將直接報告和私人會議的內(nèi)部審核作為獨立的提供保證者，包括治理流程有效性和績效的洞察和建議，特別是風險管理和合規(guī)管理；——對相關方和治理機構的外部審核和相關的報告；——正式和非正式的舉報流程、人員和客戶反饋機制（見注3）。在聘用外部審核師的地方，應輪換審核事務所或審核員，還應仔細考慮他們提供的非審核服務和透明度，以確保持續(xù)的獨立保證。注1：獨立保證是在沒有任何不當干擾的情況下對信息進行驗證。它需要與控制和保證職能有匹配的權利和充足的資源，它還需要不限制人員、資源和數(shù)據(jù)的訪問。注2：內(nèi)部審核職能經(jīng)常遵循普遍可接受的職業(yè)標準和規(guī)則。注3：ISO37002中提供了有助于舉報的其他信息。獲得保證確保治理體系的有效監(jiān)督與獨立擔保；監(jiān)督與治理體系設計的重要性；為了對組織進行有效的監(jiān)督，治理機構應確保治理體系的設計是恰當?shù)?。這意味著治理機構不僅要關注治理體系的建立，還要確保這一體系能夠全面、準確地反映組織的宗旨、戰(zhàn)略和目標。治理體系的設計應涵蓋組織的各個方面，包括但不限于組織結構、決策流程、風險控制、利益相關者參與等。通過恰當?shù)脑O計，治理機構能夠確保組織在運營過程中始終遵循既定的治理原則和價值觀。驗證治理體系運行符合預期；治理機構應確保治理體系的運行符合預期。這意味著治理機構需要定期評估治理體系的有效性，確保其在實際操作中能夠發(fā)揮預期的作用。這包括檢查各項治理措施是否得到有效執(zhí)行，治理流程是否順暢，以及治理決策是否基于充分的信息和合理的判斷。通過持續(xù)的監(jiān)督和評估，治理機構能夠及時發(fā)現(xiàn)并解決治理體系中存在的問題，確保其持續(xù)有效地支持組織的運營和發(fā)展。使用獨立擔保手段的必要性。如果治理機構不能保證做到上述事情，那么它應使用額外的獨立擔保手段。這意味著在某些情況下，治理機構可能需要借助外部力量來增強對組織治理的監(jiān)督。這些獨立擔保手段可能包括聘請獨立的第三方機構對治理體系進行評估和審計，或者引入獨立的監(jiān)督委員會來監(jiān)督治理機構的決策和行為。通過引入這些額外的獨立擔保手段，治理機構能夠進一步提高治理體系的透明度和公信力，增強利益相關者對組織的信任和支持。治理機構應做到：根據(jù)評估的風險確定所需的擔保評審級別；治理機構應對組織面臨的風險進行全面評估，這些風險可能包括但不限于財務風險、運營風險、合規(guī)風險、戰(zhàn)略風險等?；陲L險評估的結果，治理機構應確定所需的擔保評審級別。風險越高，所需的擔保評審級別也應相應提高，以確保對高風險領域的充分監(jiān)督和審查。這一步驟體現(xiàn)了風險導向的治理原則，即根據(jù)風險的重要性和可能性來分配資源和管理精力。確保提供保證者有適當?shù)臋嗔妥銐虻馁Y源向治理機構提供準確的評估；治理機構應確保那些負責提供保證（如內(nèi)部審計、風險管理、合規(guī)審查等部門或人員）具有適當?shù)臋嗔?，以便他們能夠獨立、客觀地開展工作。同時，治理機構還應確保這些保證者擁有足夠的資源，包括人力、財力、物力等，以支持他們完成評估任務并提供準確的評估結果。這一步驟是確保評估質(zhì)量和有效性的關鍵，因為缺乏權力或資源的保證者可能無法全面、深入地開展評估工作。確保提供保證者具有必要的能力和本領，且努力方向是聚焦的；治理機構還應關注提供保證者的能力和本領，確保他們具備完成評估任務所需的專業(yè)知識和技能。這包括對相關法規(guī)、政策、標準的理解，以及對組織業(yè)務流程、風險點的熟悉等。此外，治理機構還應確保保證者的努力方向是聚焦的，即他們應專注于關鍵領域和重要問題的評估，避免分散精力和資源。這一步驟有助于提高評估的針對性和實效性，確保評估結果能夠為治理機構提供有價值的參考。仔細評審內(nèi)部提供保證者的報告途徑，以維護他們的獨立性和權威性（見注1）；報告途徑的仔細評審：治理機構應密切關注并仔細評審內(nèi)部提供保證者（如內(nèi)部審計、風險管理等部門）的報告途徑。報告途徑是指這些保證者如何向治理機構傳遞其評估結果、發(fā)現(xiàn)的問題以及改進建議的渠道和方式。通過仔細評審，治理機構可以確保報告途徑的暢通無阻，使得保證者的聲音能夠被及時、準確地傳達至決策層；維護獨立性與權威性的重要性：維護內(nèi)部提供保證者的獨立性和權威性是至關重要的。獨立性意味著保證者在執(zhí)行其職責時不受其他部門的干擾或影響，能夠客觀地、公正地提供評估結果。權威性則是指保證者的評估結果和建議能夠得到治理機構和其他利益相關者的認可和尊重。通過維護這兩點，治理機構可以確保獲得準確、可靠的保證信息，從而做出更加明智的決策。仔細評審任何外部提供保證者的獨立擔保能力（見注1）；治理機構在尋求外部保證時，必須對外部提供保證者（如第三方審計機構、咨詢公司等）的獨立擔保能力進行仔細評審。這一步驟是確保外部保證者能夠提供客觀、公正、準確保證信息的關鍵。評審過程應涵蓋外部保證者的專業(yè)資質(zhì)、行業(yè)經(jīng)驗、聲譽以及過往業(yè)績等多個方面，以全面評估其是否具備提供獨立擔保的能力。獨立保證的定義與要求：在沒有任何不當干擾的情況下對信息進行驗證的，保證者必須能夠自由地、獨立地開展工作，不受任何外部壓力或利益沖突的影響。這是確保保證結果客觀性和公正性的基礎；獨立保證的支撐條件：為了實現(xiàn)獨立保證，治理機構必須確保保證者擁有與控制和保證職能相匹配的權利和充足的資源。這包括必要的授權、資金支持、技術支持等，以確保保證者能夠順利開展工作。同時，治理機構還應確保保證者在獲取人員、資源和數(shù)據(jù)方面沒有限制，以便他們能夠全面、深入地了解組織的運營情況，并據(jù)此提供準確的評估結果。這些支撐條件是確保獨立保證有效性的關鍵所在。確保保證服務的整合與優(yōu)化：確保向治理機構提供的保證服務得到整合和優(yōu)化，從而作為一個整體，支持和實現(xiàn)有效的內(nèi)部控制體系，并解決組織的重大風險和重大事項；確保向治理機構提供的保證服務得到整合和優(yōu)化：在組織治理中，保證服務可能來自多個部門或外部機構，如內(nèi)部審計、風險管理、合規(guī)性檢查等。這些服務各自獨立可能無法充分發(fā)揮其效用，甚至可能產(chǎn)生重復或沖突。因此，治理機構需要確保這些保證服務得到有效的整合與優(yōu)化，以形成一個協(xié)同工作的整體；支持和實現(xiàn)有效的內(nèi)部控制體系：整合與優(yōu)化后的保證服務應作為一個整體，共同支持和實現(xiàn)組織的內(nèi)部控制體系。內(nèi)部控制體系是組織治理的重要組成部分，它確保組織資源的合理分配、保護資產(chǎn)安全、保證財務信息的準確性和完整性，以及促進組織目標的實現(xiàn)。通過整合與優(yōu)化保證服務，可以加強內(nèi)部控制體系的有效性，提高組織的運營效率和風險防控能力；解決組織的重大風險和重大事項：整合與優(yōu)化后的保證服務不僅應支持內(nèi)部控制體系，還應關注并解決組織的重大風險和重大事項。重大風險可能包括市場風險、信用風險、操作風險等，而重大事項可能涉及組織戰(zhàn)略調(diào)整、重大投資決策等。保證服務應能夠對這些風險和事項進行及時識別、評估和管理，為治理機構提供有針對性的建議和解決方案，幫助組織有效應對挑戰(zhàn)，實現(xiàn)可持續(xù)發(fā)展。證實組織對保證的承諾與溝通；證實組織對保證的承諾，并在整個組織內(nèi)適當、清晰地溝通保證體系。證實組織對保證的承諾：組織應對保證作出明確的承諾，這種承諾應體現(xiàn)在