ISO 37301-2021 合规管理体系要求及使用指南(中文版)文档格式.docx
《ISO 37301-2021 合规管理体系要求及使用指南(中文版)文档格式.docx》由会员分享,可在线阅读,更多相关《ISO 37301-2021 合规管理体系要求及使用指南(中文版)文档格式.docx(32页珍藏版)》请在冰点文库上搜索。
ISO37301:
政策
组织最高管理者正式表达的组织的意图和方向
策略也可以由组织的理事机构正式表达。
3.6
客观的
要达到的结果
目标可以是战略性,战术性或操作性的。
目标可以涉及不同的学科(例如金融,健康和安全以及环境)。
例如,它们可以在整个组织范围内,或特定于项目,产品,服务或过程(服))。
目标可以用其他方式表示,例如作为预期结果,目的,操作准则,作为达标情况的目标,或通过使用具有相似含义的其他词语(例如目标,目的或目标)。
注释4:
在合规管理系统中,组织应设定合规目标与合规政策一致,以取得特定结果。
3.7
风险
不确定性对目标的影响
影响是与预期的偏差-正或负。
不确定性是指与事件,其后果或可能性有关的信息,了解或知识的缺乏状态,甚至是部分的
风险的特征通常是参考潜在的“事件”(如ISO指南73中定义)和“后果”(如ISO指南73中定义
),或综合考虑。
风险通常表示为事件后果(包括环境变化)和相关的“可能性”(如ISO指南73中定义)的组合
3.8
过程
一组相互关联或交互的活动,这些活动使用或转换输入以提供结果
过程的结果称为输出,产品还是服务取决于引用的上下文。
3.9
权限
应用知识和技能以达到预期结果的能力
2 ©
ISO2021-保留所有权利
3.10
书面信息
组织要求控制和维护的信息以及包含该信息的媒体
记录的信息可以采用任何格式和媒体,并且可以来自任何来源。
记录的信息可以参考:
—管理系统,包括相关过程;
—为组织运作而创建的信息(文档);
一取得成果的证据(记录)。
3.11
表现
可测量的结果
绩效可能与定量或定性发现有关。
绩效可能与管理活动,流程,产品,服务,系统或组织有关。
3.12
持续改进
经常性活动以提高绩效
3.13
效力
实现计划的活动和达到计划的结果的程度
3.14
要求
所陈述的需求或期望,通常是隐含的或强制性的
“一般隐含的1*表示隐含在考虑中的需求或期望对于组织和相关方是一种惯例或惯例。
注2:
规定的要求是已陈述的要求,例如在书面信息中。
3.15
符合
满足要求:
3.16
不合格
未满足要求
注1:
不合格不一定是不合格。
3.17
纠正措施
消除不合格的原因并防止再次发生的措施
3.18
审计
系统和独立的过程,用于获取证据并对其进行客观评估,以确定满足审核标准的程度
审核可以是内部审核(第一方)或外部审核(第二方或第三方)。
并且可以是合并审核(合并两个或多个学科)。
内部审核由组织(3JJ本身;
或由外部团体代表组织)进行。
"
审核证据1*和"
审核标准”在ISO19011中定义。
进入注释4:
独立性可以通过对所审核活动的责任自由或对偏见和利益冲突的自由来证明。
3.19
测量
过程确定一个值
3.20
监控
确定系统,流程或活动的状态
注释1:
要确定状态,可能需要检查,监督或严格观察。
3.21
理事机构
对组织的活动,治理和政策负有最终责任和权力,并且最高管理者向其报告并由最高管理者负责的个人或一群人
并非所有组织,特别是小型组织,都将拥有一个独立于高层管理人员的理事机构。
理事机构可以包括但不限于董事会,董事会委员会,监事会或受托人。
3.22
人员
在国家法律或惯例中被视为工作关系的关系中的个人,或在依赖于组织活动的合同关系中的个人
3.23
合规功能
对遵从性管理系统的运作负有责任和权限的个人或团体
最好将一个人分配给合规管理系统的监督。
3.24
合格风险
不遵守与组织遵守义务发生的可能性和后果
3.25
合规义务
组织(SI)强制必须遵守的要求以及组织自愿选择遵守的要求
3.26
遵守
满足组织的所有要求合规义务
3.27
违规
未履行履约义务
3.28
合规文化
遍布整个组织的价值观,道德,信念和行为,并与组织的结构和控制系统进行交互以产生有助于合规的行为规范
3.29
执行
影响客户,员工,供应商,市场和社区成果的行为和做法
3.30
第三方
独立于组织的个人或机构
所有业务伙伴均为第三方,但并非所有第三方均为业务伙伴。
4 ©
ISO2021—保留所有权利
3.31
程序
指定的进行活动或过程的方式
[来源:
ISO9000:
2015,3.4.5]
4组织环境
4.1了解组织及其背景
组织应确定与其目的相关并影响其实现合规管理系统预期结果能力的外部和内部问题。
为此,组织应考虑广泛的问题,包括但不限于:
—业务模型,包括战略,性质,规模和规模的复杂性以及组织活动和运营的可持续性;
与第三方的业务关系的性质和范围;
—法律和法规环境;
—经济状况;
-社会,文化和环境背景;
—内部结构,政策,流程,程序和资源,包括技术;
—它的合规文化。
4.2了解有关方面的需求和期望
组织应确定:
-与合规管理系统有关的利害关系方;
-这些利害关系方的有关要求;
—这些要求中的哪些将通过合规管理系统解决。
4.3确定合规管理系统的范围
组织应确定合规管理系统的范围和适用性以建立其范围。
注:
合规管理系统的范围旨在阐明组织面临的主要合规风险以及合规管理系统将适用的地理或组织边界,或两者都适用,特别是在组织是大型实体的一部分的情况下。
在确定此范围时,组织应考虑:
一4.1中提到的外部和内部问题
—4.2、4.5和4.6中提到的要求。
该范围应作为文档信息提供。
4.4合规管理系统
组织应根据本文件的要求建立,实施,维护和持续改进合规管理系统,包括所需的过程及其相互作用
遵从管理体系应反映组织的价值观,目标,战略和遵从风险,并考虑到组织的环境(见4d)。
ISO2021-保留所有权利 5
4.5合规义务
组织应系统地识别其活动,产品和服务产生的合规义务,并评估其对运营的影响。
组织应具备以下流程:
a)确定新的和更改的合规义务,以确保持续合规;
b)评估已识别变更的影响,并在合规义务管理中实施任何必要的变更。
组织应保持其合规义务的书面信息。
4.6合规风险评估
组织应基于合规风险评估,识别,分析和评估其合规风险。
组织应通过将合规义务与其活动,产品,服务和运营的相关方面相关联来识别合规风险。
组织应评估与外包和第三方流程相关的合规风险。
应定期评估合规风险,并应在情况或组织环境发生重大变化时进行评估。
组织应保留有关合规风险评估以及应对其合规风险的措施的书面信息。
5领导
5.1领导与承诺
5.1.1领导机构和高层管理人员
理事机构和最高管理者应通过以下方式表现出对合规管理体系的领导和承诺:
—确保建立合规政策和合规目标并与组织的战略方向兼容;
—确保将合规管理系统要求集成到组织的业务流程中;
—确保合规管理系统所需的资源可用;
一传达有效的合规管理和遵守合规管理系统要求的重要性;
-确保合规管理系统达到预期结果;
一指导和支持人员为合规管理系统的有效性做出贡献;
-促进持续改进;
-支持其他相关角色以展示其在其职责范围内的领导能力。
注意:
本文档中对“业务”的引用可以广义地解释为那些对于组织存在的目的而言至关重要的活动。
理事机构和最高管理者应:
-建立并维护组织的价值观;
—确保制定和实施政策,流程和程序以实现合规目标;
—确保及时告知他们有关合规事宜,包括不合规的情况,并确保采取适当的措施;
—确保遵守承诺,并适当处理违规和违规行为;
—确保适当地将合规责任包括在职位描述中;
—任命或提名合规职能;
6 ©
—确保按照2x3提出和解决问题的系统。
成立。
5.1.2合规文化
组织应在组织内的各个层次上建立,维护和促进合规文化。
理事机构,高层管理人员和管理层应表现出对整个组织所需的共同行为和行为标准的积极,可见,一致和持续的承诺。
最高管理者应鼓励建立和支持合规的行为。
它应防止而不是容忍损害合规性的行为。
5.1.3合规治理
理事机构和最高管理者应确保执行以下原则:
—直接将遵约职能移交给理事机构;
—遵守职能的独立性;
—合规职能的适当权限和能力。
直接访问可包括:
直接向理事机构报告,向理事机构定期提交报告并参加其会议。
独立是指对顺应功能的操作没有任何不适当的干扰或压力,或两者都不存在。
5.2合规政策
理事机构和最高管理者应制定合规政策,以:
a)适合组织的目的;
b)提供设定合规目标的框架;
c)包括满足适用要求的承诺;
d)包括对合规管理系统的持续改进的承诺。
遵守政策应:
—与组织的价值观,目标和战略保持一致;
—要求遵守组织的合规义务;
—支持符合5.1.3的合规性治理原则:
参考并描述合规功能;
—概述不遵守组织的合规义务,政策,流程和程序的后果;
—鼓励引起关注并禁止任何形式的报复;
-用通俗易懂的语言写成,以便所有人员都可以轻松理解其原理和意图;
—适当实施和执行;
-可以作为记录信息使用;
—在组织内部进行沟通;
-适当时可供感兴趣的各方使用。
ISO2021-保留所有权利 7
5.3角色,职责和权限
5.3.1领导机构和高层管理人员
理事机构和最高管理者应确保在组织内分配和传达有关角色的职责和权限。
理事机构和最高管理者应分配以下职责和权限:
a)确保合规管理系统符合本文件的要求;
b)向理事机构和最高管理者汇报合规管理系统的绩效。
理事机构应:
—确保根据达到合规目标衡量最高管理层;
一对最高管理者进行有关合规性管理系统运行的监督。
最高管理者应:
-分配足够和适当的资源以建立,开发,实施,评估,维护和改进合规管理系统;
一确保建立有效的及时报告履约情况的系统;
—确保战略和运营目标与合规义务之间保持一致;
—建立和维护问责机制,包括纪律处分和后果;
—确保将合规绩效纳入人员绩效评估。
5.3.2合规功能
合规职能应负责合规管理系统的运行,包括以下内容:
—促进确定履约义务;
—记录合规风险评估;
—使合规管理系统与合规目标保持一致;
-监控和衡量合规绩效;
-分析和评估合规性管理系统的性能,以确定是否需要采取纠正措施;
-建立合规报告和文件记录系统;
—确保按计划的时间间隔审核合规性管理系统(请参阅92和9.3):
建立引起关注并确保解决关注的系统。
遵守职能应监督:
—在整个组织中适当分配实现已确定合规性义务的职责;
—合规义务已整合到政策,流程和程序中;
—所有相关人员均按要求接受培训;
—建立合规绩效指标。
遵从功能应提供:
-有权访问合规政策,流程和程序资源的人员;
-就合规性相关事宜向组织提供建议。
8 ©
注意合规功能的特定职责并不能免除其他人员的合规责任。
组织应确保符合性功能可以访问:
-高级决策者,以及在决策过程中尽早做出贡献的机会;
一组织的各个级别;
-所需的所有人员,文件化信息和数据;
一有关有关法律,法规,守则和组织标准的专家意见。
5.3.3管理
管理层应通过以下方式负责其职责范围内的合规:
一与合规部门合作并提供支持,并鼓励人员这样做;
—确保其控制范围内的所有人员均遵守组织的合规义务,政策,流程和程序;
一识别并传达其运营中的合规风险;
—将合规义务纳入其职责范围内的现有业务实践和程序中;
—参加和支持合规培训活动;
—培养人员对合规义务的意识,并指导他们满足培训和能力要求;
-鼓励其人员提出合规性问题并给予支持,并排除任何形式的报复行为;
—根据需要积极参与管理和解决与合规性相关的事件和问题;
—确保在确定需要采取纠正措施后,建议并实施适当的纠正措施。
5.3.4人员
所有人员应:
—遵守组织的合规义务,政策,流程和程序;
—报告合规问题,问题和失败;
—参加所需的培训。
6规划
6.1应对风险和机遇的行动
在规划合规管理系统时,组织应考虑4JL中提到的问题和4 2
中提到的要求,并确定需要解决的风险和机遇:
-确保合规管理系统可以达到预期结果;
—防止或减少不良影响;
—实现持续改进。
在规划合规管理系统时,组织应考虑:
—其合规目标(见人2);
—确定的合规义务(请参阅4.5):
—合规风险评估的结果(见4.6)。
组织应计划:
ISO2021-保留所有权利 9
a)应对这些风险和机遇的行动;
b)如何:
1)将行动整合并实施到其合规管理系统流程中;
2)评估这些措施的有效性。
6.2合规目标和实现目标的计划
组织应在相关职能和级别上建立合规目标。
遵守目标应:
a)与合规政策保持一致;
b)可衡量的(如果可行);
c)考虑适用的要求;
d)被监视;
e)沟通;
f)适当更新;
g)作为文档信息可用。
在计划如何实现其合规目标时,组织应确定:
—将要做什么;
—需要什么资源;
一谁来负责;
—何时完成;
—如何评估结果。
6.3变更计划
当组织确定需要更改合规管理系统时,应以计划的方式进行更改。
组织应考虑:
—变更的目的及其潜在后果;
-合规管理系统的设计和运营有效性;
—是否有足够的资源;
—职责和权限的分配或重新分配。
7支持
7.1资源
组织应确定并提供建立,实施,维护和持续改进合规管理系统所需的资源。
10 ©
7.2权限
7.2.1一般的
组织应:
一确定在其控制下从事影响其合规表现的人员的必要能力;
-根据适当的教育,培训或经验,确保这些人胜任;
一在适用的情况下,采取行动以获得必要的能力,并评估所采取行动的有效性。
应提供适当的书面信息作为胜任力的证据。
可采取的行动包括,例如,提供培训,指导或重新安排在职人员;
或雇用或签约合资格的人。
7.2.2就业过程
就其所有人员而言,组织应制定,建立,实施和维护流程,以使:
a)雇用条件要求人员遵守组织的合规义务,政策,流程和程序;
b)在开始雇用的合理期间内,员工将收到遵从政策的副本或对其进行访问并获得有关该政策的培训
的机会;
c)对于违反组织合规性义务,政策,过程和程序的人员,应采取适当的纪律处分。
作为雇用过程的一部分,组织应考虑由角色和人员造成的合规风险,并在雇用,调动和晋升之前按照要求进行尽职调查程序。
组织应实施一个程序,对绩效目标,绩效奖金和其他激励措施进行定期审查,以验证是否已采取适当的措施来防止鼓励违规行为。
7.2.3训练
组织应从雇用开始之时起,并按组织确定的计划间隔定期对有关人员进行培训。
培训应为:
a)适合人员的角色以及人员所面临的合规风险;
b)评估有效性;
c)定期审查。
考虑到已识别的合规风险,组织应确保实施程序以解决对合规意识的培训,以及对代表其行事并可能给组织带来合规风险的第三方的培训。
培训记录应保留为书面信息。
7.3意识
在组织控制下工作的人员应了解:
—遵守政策;
—它们对合规管理系统有效性的贡献,包括改进合规绩效的好处;
—不符合合规管理系统要求的影响;
—引起合规性问题的程序和程序的方式(见S3);
遵守政策与其职责相关的遵守义务的关系;
ISO2021-保留所有权利 11
-支持合规文化的重要性。
7.4沟通
组织应确定与合规管理系统有关的内部和外部通信,包括:
a)关于它将传达什么;
b)何时沟通;
c)与之沟通;
d)如何沟通。
-在考虑其传播需求时,考虑多样性的方面和潜在的障碍;
—确保在建立其沟通流程时考虑到有关方面的意见fes);
—建立沟通流程时):
—包括关于其合规文化,合规目标和义务的沟通;
—确保要传达的合规信息与合规管理系统内生成的信息一致并且可靠;
一回应有关其合规管理系统的相关沟通;
-适当保留文件化信息作为其通讯的证据;
一在组织的各个级别和职能之间内部传达与合规管理系统有关的信息,包括酌情更改合规管理系统
—确保其沟通过程使人员能够为持续改进合规管理系统做出贡献;
—确保其沟通过程使人员能够提出疑虑(见S3);
—由组织的沟通流程建立的外部沟通与合规管理系统有关的信息,并包括有关其合规文化,合规目标和义务的交流。
7.5记录的信息
7.5.1一般的
组织的合规管理系统应包括:
a)本文件要求的文件资料;
b)组织确定为达标管理系统的有效性所必需的文件化信息。
遵从性管理系统的文档化信息范围可能因一个组织而异,这是由于以下原因:
—组织的规模及其活动,过程,产品和服务的类型;
一流程及其交互的复杂性;
-人的能力。
7.5.2 创建和更新文档信息
在创建和更新文档信息时,组织应确保适当:
一标识和描述(例如标题,日期,作者或参考编号);
12 ©
—格式(例如语言,软件版本,图形)和媒体(例如纸张;
电子);
—审查和批准其适用性和适当性。
7.5.3控制文件信息
合规管理系统和本文件所要求的文件信息应受到控制,以确保:
a)它是可用的,并且适合在需要的地方和时间使用;
b)它得到了充分的保护(例如,避免了机密性,使用不当或完整性的损失)。
为了控制书面信息,组织应酌情开展以下活动:
-分发,获取,检索和使用;
一储存和保存,包括保持易读性;
—控制变更(例如版本控制):
—保留和处置。
组织应确定必要的外部来源的书面信息,这些信息对于合规性管理系统的计划和运行是必要的,并应加以控制。
注意访问可能意味着要决定是否仅允许查看文档信息,或者是有关查看和更改文档信息的权限。
8运行
8.1运行计划与控制
组织应通过以下方式计划,实施和控制满足要求所需的过程,以及实施第6条中确定的措施:
—建立过程标准;
—根据标准实施过程控制。
应提供必要的书面信息,以确信该过程已按计划进行。
组织应控制计划的变更并审查意外变更的后果,并采取必要的措施以减轻任何不利影响。
组织应确保控制与合规管理系统相关的外部提供的过程,产品或服务。
将组织的业务外包不会减轻组织的法律责任或合规性义务。
组织应确保对第三方过程进行控制和监视。
8.2建立控制和程序
组织应实施控制措施以管理其合规义务和相关的合规风险。
这些控制措施应予以维护,定期检查和测试,以确保其持续有效性。
测试控件是指进行有计划的练习,以查看控件是否达到了预期的目的或不能被绕过,或者在降低风险的影响或可能性方面是否有效。
8.3引起关注
组织应建立,实施和维护一个过程,以鼓励和报告(在合理的理由下认为该信息是真实的)企图,怀疑或实际违反合规政策或合规义务的情况。
该过程应:
—在整个组织中可见并可以访问;
ISO2021-保留所有权利 13
—保密地处理报告;
-接受匿名举报;
-保护举报人免受报复;
一使人员能够接收建议。
组织应确保所有人员都了解报告程序,其权利和保护并能够使用它们。
8.4调查程序
组织应制定,建立,实施和维护过程,以评估,评估,调查和结清关于可疑或实际违规事件的报告。
这些程序应确保公平公正的决策。
调查过程应由主管人员独立进行,不得有利益冲突。
组织应将调查结果用于适当地改进合规管理系统(参见第10条)o
组织应定期向理事机构或最高管理者报告调查的数量和结果。
组织应保留有关调查的书面信息。
9绩效评估
9.1监测,测量,分析和评估
9.1.1总则
组织应监视合规管理系统,以确保实现合规目标。
—需要监视和测量的内容;
-为确保有效结果而进行的监测,测量,分析和评估方法;
一,何时进行监测和测量;
-监测和测量的结果应进行分析和评估。
文件信息应作为结果的证据。
组织应评估合规绩效和合规管理系统的有效性。
9.1.2有关合规绩效的反馈来源
组织应建立,实施,评估和维护过程,以从各种来源寻求并接收有关其合规绩效的反馈。
应对信息进行分析和严格评估,
升级会员 