客服热线:021-8034****

ISO37301与ISO19600差异分析,ISO37301中有关合规调查过程的要求分析

  
很多企业对ISO37301与ISO19600差异分析,ISO37301中有关合规调查过程的要求分析都不是很了解,今天企业易就为大家简单介绍一下ISO37301与ISO19600差异分析,ISO37301中有关合规调查过程的要求分析,希望大家能对ISO37301与ISO19600差异分析,ISO37301中有关合规调查过程的要求分析有一个深入的了解.如果对ISO37301与ISO19600差异分析,ISO37301中有关合规调查过程的要求分析还有疑问,可查看更多内容.
ISO37301与ISO19600差异分析,ISO37301中有关合规调查过程的要求分析

ISO37301与ISO19600差异分析

ISO 37301《合规管理体系 要求及使用指南》标准将替代ISO 19600:2014《合规管理体系 指南》,目前已发布国际标准草案(FDIS),并计划于2021年上半年正式发布。ISO/FDIS 37301标准更加强调建立合规文化的重要性,彰显了合规文化建设在合规管理体系建立中的核心作用,内容上增加了对雇佣过程、合规疑虑的汇报及调查程序等相关条款,在使用上将原来的指南类标准转换为适用于认证的要求类管理体系标准。

ISO 37301与ISO 19600差异分析

一、引言

面对日益复杂的国际形势和日趋严峻的贸易保护主义态势,为了应对全球化竞争中企业面临的合规风险,强化企业对合规文化和合规管理体系的认识,国际标准化组织(ISO)于2018年启动了对ISO 19600标准[1]的修订工作,将原来的指南类标准修订为适用于认证的要求类管理体系标准,以期为各类组织合规管理体系的建立提供明确思路和清晰指导。获得国际通认的合规性管理体系有助于增加对组织的信任,从而减少全球贸易壁垒。

对于已建立合规管理体系的组织而言,怎样理解新标准的修订内容,及时将组织的合规管理体系按新标准要求调整,使合规管理体系符合新标准的要求,进而获得专业的认证是组织面临的挑战,也是证明组织经营管理合规的机会。本文从两个标准的差异比对和对新标准的理解,为组织调整和建立合规管理体系提供指导。

二、结构框架及要素

1.ISO/FDIS 37301标准结构框架

考虑到管理体系标准的统一性和融合性,ISO/FDIS 37301(以下简称“新版标准)[2]的结构框架上与ISO TC 309其他标准结构,如ISO 37001《反贿赂管理体系 要求及使用指南》的结构保持统一,即采用正文要求加附录指南的结构,保持了管理体系的高阶架构,并在此基础上对标准中部分条款内容进行了合并或拆分。新旧标准框架的差异见表1.

表 1 ISO/FDIS 37301与ISO 19600标准的差异分析表

2.合规管理体系要素分析

新版标准引言中给出了如图1所示的合规管理体系的几大要素。

图1 合规管理体系要素

(1)领导作用、治理及文化作为三大核心支柱。合规管理体系最根本的驱动力在于领导层对合规建设的关键作用,从而形成自上而下积极传导的合规文化。因此,强有力的合规管理体系,要求组织的治理机构、最高管理者发挥带头和示范作用,树立组织和领导层清晰的价值观,促进和鼓励合规行为,将合规理念灌输到每一位职员的思想和行动中。

(2)组织的目标、原则及内外部环境作为合规管理体系建设的三大基础。新标准以良好治理、均衡、完整、透明、当责及可持续性为原则,指导组织建设合规管理体系。与此同时,全面识别和充分理解组织所处的法律、信息化程度、财务、组织架构及相关方的要求等内外部环境是确保合规管理体系有效性和完整性的基础。强大的合规管理体系可协助组织持续遵从和遵守各相关方的要求,从而协助组织保护和提升声誉和信誉,增强第三方对组织的信任,获得更多的商机,实现可持续性发展。

(3)建立、制定、实施、维护、评估和改进作为合规管理体系的六大行动。合规管理体系的建设遵循PDCA循环逻辑,以持续改进原则为基础,在领导力和合规文化的内核驱动下,结合组织的合规目标、原则及内外部环境,建立合规管理体系,制定符合组织文化和目标的相关流程并在组织内有效地运行实施,并通过定期、不定期地维护和评估,纠正和改进合规管理体系的漏洞。

三、新版标准主要的差异

1. 强化领导作用和合规文化

新版标准在合规文化方面增加了最高管理者对合规行为的促进作用和对不合规行为的遏制及零容忍态度。结构上,新版标准将合规文化从支持(第7章)调整到领导作用(第5章)章节。从对合规文化的要求及结构上的调整不难看出,新版标准强调了建立合规文化在合规管理体系建设中发挥的重要作用。

治理机构积极参与和监督是合规管理体系有效运行的组成部分。新版标准在治理机构和最高管理者(5.3.1条款)中增加了对治理机构实质性的责任义务,要求治理机构确保最高管理者达到合规目标,同时要求对最高管理者进行合规管理体系运行情况的监督。

2.新增内容

(1)雇佣

人是管理组织得以合规经营的关键要素。新版标准在对合规管理体系所管控的“人的范围从原有法律认可的雇佣“员工延伸到了与组织存在合同关系的所有“职员,并增加了对雇佣程序(7.2.2条款)的内容,要求组织对职员增加以下的管理措施。

雇佣条件中要求职员须遵守组织的合规义务、政策、流程和程序。

在开始雇用的合理期间内向职员发放或提供获取合规方针及合规方针相关的培训。

对违反组织合规义务、政策、流程和程序的职员,应采取适当的纪律处分。

同时,要求组织考虑因岗位和人事安排造成的合规风险。在职员聘用、转岗或晋升以前,需按照要求进行尽职调查,并要求组织定期对绩效目标、绩效奖金和其他激励措施进行审核,以确保有合理的措施防止违规行为。

(2)合规疑虑的汇报

畅通合规疑虑的汇报渠道和建立合理的调查程序是组织识别和预防合规风险,改进合规管理体系行之有效的方法。新版标准在合规方针中要求组织倡导提出合规疑虑的行为,并禁止任何形式的报复;同时在沟通条款中增加了员工提出合规疑虑的沟通流程要求;在意识(7.3条款)中提出了合规疑虑汇报的方法和程序;最后,在“第8章 运行中专门增加了对合规疑虑的汇报(8.3条款)程序,以鼓励和协助职员能够对可疑或实际违反合规方针或合规义务的不合规情况进行汇报,同时要求保障该程序的保密性,保护提出合规疑虑者免遭报复。

(3)调查程序

新版标准还增加了对上述报告的调查程序(8.4条款),以评价、评估、调查和处理可疑或实际违规事件的报告。调查程序以公平公正的原则,由无利益冲突且有能力胜任该项工作的人员独立开展。

四、其他转变

新版标准将旧版标准8.3条款外包过程中对外包和第三方相关的过程的合规风险调整到4.6条款,要求组织保留有关合规风险评估和应对其风险措施的文件化信息。

新版标准中对合规团队责任义务进行了调整,将合规团队的主要职责分为对合规管理体系的运行、行使监督及提供相关信息等三大内容。在合规管理运行的义务上,从原先的识别合规风险调整为对合规风险评估的记录,即风险评估工作中合规团队能够不再是组织者的角色。除此之外,新标准中合规团队不再是为员工提供或组织持续培训的角色,而是监督对人员的培训是否要求开展。

五、结束语

本文列出了ISO/FDIS 37301和ISO 19600的主要差异,为已建立合规管理体系的组织提供应对转变的参考。新版标准更加注重合规文化在企业管理上的作用,强化治理机构在合规管理中的领导作用,为组织可持续发展的长效机制提供良好的指导,协助企业提升全球竞争力。

[参考文献]

[1] ComplianCE management systems — Guidelines:ISO 19600:2014[S].

[2] Compliance management systems — Requirements with guidance for use:ISO/FDIS 37301[S].

ISO37301中有关合规调查过程的要求分析

合规调查是实现合规管理的重要手段,有效的合规调查能协助组织识别出不合规行为的根本原因,为组织改进合规管理体系提供支撑。ISO 37301《合规管理体系 要求及使用指南》是ISO 19600:2014《合规管理体系 指南》的修订版,对合规调查提出了新的要求。本文对ISO 37301中有关合规调查的新要求进行归纳和总结,并从理解和实施应用的角度进行解读分析。

ISO 37301中有关合规调查过程的要求分析

一、引言

合规是组织可持续发展的基石,是1个组织走向规范经营的系统化过程。有效合规管理体系的1个特点,就是有1个良好的运行机制,对组织、以及人员或有关第三方的不当行为的任何指控或怀疑进行及时和彻底的调查。新版标准ISO 37301[1]以ISO 19600[2]:2014为基础进行修订,由1个指南性标准修订为要求性标准,并在第八章新增了“8.4调查过程(Investigation proCEsses),对组织开展合规调查提出了要求。

二、新版标准对调查过程要求的分析

何为“调查?新版标准对此并未明明确义,但同样隶属于国际标准化组织机构治理标准化技术委员会(ISO/TC 309)的另1个国际标准工作组-举报工作组(WG3)正在制定的ISO/FDIS 37002《举报管理体系 指南》则给出了定义,认为调查是指通过建立事实和客观评价,以明确不当行为是否已经发生、正在发生或可能发生以及发生程度的系统的、独立的和记录在案的过程[3]。

关于合规的调查过程,新版标准在8.4条款提出了以下五点要求。

1.组织应制定、建立、实施和保持过程以对可疑的或实际的不合规情况进行评估、评价、调查和关闭报告,这些过程应确保公平、公正的决策。

2.调查过程应由有能力的人员独立进行,且不存在利益冲突。

3.适用时,组织应将调查结果用于改进合规管理体系。

4.组织应定期向治理机构或最高管理者报告调查的数量和结果。

5.组织应保持调查的文件信息。

在确保调查过程公正、独立方面,新版标准建议组织在适当时可设立独立委员会监督调查过程,并保证其完整性和独立性。

同时,新版标准还建议组织建立1个调查报告机制,包含报告调查结果的级别等内容。实践中,法律有时会要求组织报告其不合规行为,在这种情况下,组织必须根据适用的法规或其他约定通知相应的监管机构,即使法律没有要求组织报告不合规行为,组织也能够考虑自愿向监管机构披露不合规行为,以减轻不合规的后果。

关于“文件信息, 新版标准给出的定义是“必须由组织控制和维护的信息以及所包含的媒介。尽管新版标准并未对保留什么文件信息以及怎样保留提出进1步的要求,但实际上,保留文件信息是管理体系标准的通用要求,是体系运行规范的重要体现。文件信息能够任何格式和载体存在,并可来自任何来源。在合规调查方面,可考虑保留的文件信息包含举报、计划、证据、访谈、报告等调查过程中所有输入和输出的信息。在实践中,这些文件信息往往也会被按照不同的保密等级进行保管。

三、怎样应对新版标准对调查过程的要求

针对合规调查过程这部分的要求,本文认为,组织可从以下几个方面进行应对并有效实施调查。

1.基于风险构建合规调查机制

组织应基于风险建立调查机制。若有可靠的信息表明,员工或商业伙伴存在不当行为,或者在接到举报或发现合规风险时,无论是最高管理层还是合规职能团队,都应评估已知的事实和问题的潜在严重性,若现有的事实没有足够的理由或证据支撑决策,则应及时启动调查,必要时终止与第三方的合作。调查必须彻底、独立且具有分析性。

调查应由有能力的人员进行,他们能够来自合规职能团队、内部审计部门、法律部门或其他合适的管理者或第三方,这些人员必须是非被调查对象,也不存在任何利益冲突,并且具备丰富的调查经验。实践中,合规调查通常由合规职能团队组织执行,若涉及跨国、跨领域、跨部门等,调查过程则应由合规职能团队、内部审计部门或法律部门的最高级别进行协调。

2.制定可执行的调查计划

启动调查后,制定调查计划是开展调查的关键。调查计划应每周或根据必须更新,以便调查组成员和组织管理者及时获得最新进展。在调查结束后,调查计划也有助于调查报告的编制。

不同的调查计划详细程度各不相同,但1个完整的调查计划应该包含预测、证明或反驳的要素、调查步骤、成功概率、预计完成日期5个不同阶段,每个阶段的特点和要求也不尽相同,如附表。

3.查明事实,收集必要的证据

调查应当及时查明事实,收集必要的证据。建议的调查途径包含文档收集、数据统计分析、询问访谈等。在开始访谈和询问以前,首先要熟悉与调查案件相关的政策规定,审查有关的文件和证据,期间,防止销毁证据及串通也是非常必要的。同时,尽可能保留相关的证据信息[4]。

除此之外,在执行调查过程中,调查人员须明确以下“4个要和“4个不要。

(1)要考虑适用的法律。

(2)要注意诽谤的风险。

(3)要保护调查涉及的所有相关人员。

(4)要考虑潜在的刑事和民事责任、经济损失及对组织和个人声誉的损害。

(5)不要把人员安全视为理所当然。

(6)不要认为人员会全力配合调查。

(7)不要忽视任何法律义务、组织的利益和上报的责任。

(8)不要相信有关人员会对问题和调查保密,直到事实已经明确。

4.潜在不当行为的分析和补救

根据新标准要求,在适用时,组织应将调查结果用于改进合规管理体系。实际上,有效的调查机制能识别出不当行为、合规管理体系的漏洞以及管理者、最高管理者和治理机构责任缺失的根本原因,严谨的根因分析能指出不合规的程度和普遍性、涉及人员的数量和级别,以及不合规的严重性、持续时间和频率。在调查过程中,组织能够从付款体系着手分析,如实施不当行为的资金是怎样获得的。

除此之外,调查组还应从全局审视现有的合规管理体系,包含什么控制措施是无效的,禁止性措施是否得到了执行,事前是否发现了不当行为,事前预警机制是否存在漏洞,能够采取什么补救措施防止再次发生及解决根本问题,管理层是否必须担责等。

5.建立报告机制和禁止报复机制

新标准对报告调查结果的级别也明确提出了要求。记录调查与执行调查一样重要,组织应建立报告机制,包含向谁报告、怎样报告、报告内容、谁能获取报告等内容,报告的方式可根据具体情况选用书面调查报告、口头调查报告、证明或宣誓书、非正式报告等形式。

对合规举报、合规调查的打击报复行为不会阻止、减少违规行为,反而会助长歪风邪气,不利于组织的长远发展。因此,管理者应从提升组织治理水平、协助组织规避风险的高度认识合规举报、合规调查的重要性,建立保密和禁止报复机制,在调查结果明确以前应对调查的进展情况保密,对于报告人的身份也应保密,除非该报告被用作收集进1步的证据,且被用作证据本身。即将出台的ISO 37002《举报管理体系 指南》国际标准,也将为组织在保护举报人方面提供更为具体的指引。

四、结论

合规调查是合规管理体系的有机组成部分。在合规或者贿赂方面,组织面临的情况通常是复杂多样的。要回应这些问题,必须明确谁来调查、调查的规模以及怎样获取相关的信息。除此之外,组织还应基于调查结果审视其合规程序,及时补救完善,充分发挥合规调查的积极作用,协助组织识别风险,进1步完善合规管理体系。

[参考文献]

[1] Compliance management systems — Requirements with guidance for use: ISO /FDIS 37301[S].

[2] Compliance management systems — Guidelines: ISO 19600:2014[S].

[3] Whistleblowing management systems – Guidelines: ISO/FDIS 37002[S].

[4] Occupational health and safety management systems – General guidelines for the application of ISO 45001 Part 3: Guidance on incident investigation: BS 45002-3:2018[S].

免责声明
• 
本文仅代表作者个人观点,本站未对其内容进行核实,请读者仅做参考,如若文中涉及有违公德、触犯法律的内容,一经发现,立即删除,作者需自行承担相应责任。涉及到版权或其他问题,请及时联系我们