ISO37301合规管理体系要求及使用指南.docx
《ISO37301合规管理体系要求及使用指南.docx》由会员分享,可在线阅读,更多相关《ISO37301合规管理体系要求及使用指南.docx(40页珍藏版)》请在冰豆网上搜索。
ISO37301合规管理体系要求及使用指南
18037301:
2021
合规管理体系要求及使用指南
1范围
本文档详细说明了要求,并提供了在组织内建立,开发,实施,评估,维护和改进有效合规管理系统的指南。
本文档适用于所有类型的组织,无论活动的类型,规模和性质如何,以及该组织来自公共部门,私营部门还是非营利部门。
如果组织没有独立的理事机构,则本文档中指定的涉及理事机构的所有要求均适用于高层管理人员。
2规范性引用
本文档中没有规范性引用。
3术语和定义
就本文档而言,以下术语和定义适用。
3.1
组织
具有职责,权限和关系以实现其目标的职能的个人或一群人
注释1:
组织的概念包括但不限于独资,公司,公司,公司,企业,机构,合伙企业,慈善机构或机构,或其一部分或组合,无论是否成立,公共或私人的。
注释2:
如果组织是较大实体的一部分,则术语“组织”仅指在合规管理系统范围内的较大实体的一部分
3.2
利害关系方(优先条款)
利益相关者(允许的期限)
可能会影响,感知到或被决策或活动影响的个人或组织
3.3
高层管理人员
在最高级别指导和控制林的R或一群人
注释1:
最高管理者有权在组织内委派权限并提供资源。
注释2:
如果管理系统(站)
的范围仅覆盖组织的一部分,则高层管理人员是指指导和控制组织的该部分的人员。
注释3:
就本文档而言,术语“最高管理人员**”是指最高级别的执行管理人员。
3.4
管理系统
纽多的一组相互关联或相互作用的元素,用于建立策略和目标以及实现这些目标的"
注释1:
管理系统可以处理一个或多个学科。
注释2:
管理系统元素包括组织的结构,角色和职责,计划和运营。
3.5
BSISO37301:
2021
ISO37301:
2021
政策
纽乡撮高管理者正式表达的林的'意图帮方向
注释1:
策略也可以由组织的瘗侦夜正式表达。
3.6
客观的
要达到的结果
注释1:
目标可以是战略性,战术性或操作性的。
注释2:
目标可以涉及不同的学科(例如金融,健康和安全以及环境)。
例如,它们可以在整个组织范围内,或特定于项目,产品,服务或过程(服))-
注释3:
目标可以用其他方式表示,例如作为预期结果,目的,操作准则,作为西折拷況的目标,或通过使用具有相似含义的其他词语(例如目标,目的或目标)。
注释4:
在合规管理亲劣屮,组织应设定合规目标与合规政策一致,以取得特定结果。
3.7
风险
不确定性对目标的影响
注释1:
影响是与预期的偏差-正或负。
注释2:
不确定性是指与事件,其后果或可能性有关的信息,了解或知识的缺乏状态,甚至是部分的注释3:
风险的特征通常是参考潜在的“事件”(如ISO指南73中定义)和“后果”(如ISO指南73中定义),或综合考虑。
注释4:
风险通常表示为事件后果(包括环境变化)和相关的“可能性”(如ISO指南73中定义)的组合
3.8
过程
一组相互关联或交互的活动,这些活动使用或转换输入以提供结果注释1:
过程的结果称为输出,产品还是服务取决于引用的上下文。
39
寂限
应用知识和技能以达到预期结果的能力
3.10
书面信息
组织要求控制和维护的髭度以及包含该信息的媒体
注释1:
记录的信息可以采用任何格式和媒体,并且可以来自任何来源。
注释2:
记录的信息可以参考:
一管理系统,包括相关近建;
一为组织运作而创建的信息(文档);
一取得成果的证据(记录)。
3.11
表现
可测量的结果
注释1:
绩效可能与定量或定性发现有关。
注释2:
绩效可能与管理活动,流程,产品,服务,系统或组织有关。
3.12
轉续改进
经常性活动以提高齢
3.13
效方
实现计划的活动和达到计划的结果的程度
3.14
要求
所陈述的需求或期望,通常是隐含的或强制性的
注释1:
“一般隐含的1*表示隐含在考虑屮的需求或期望对于纽珠和g力是一种惯例或惯例。
注2:
规定的要求是已陈述的要求,例如在书面信息中。
3.15
符合
满足要求:
3.16
不合格
亲满足要宪
注1:
不合格不一定是而合游。
3.17
纠正措施
消除不合格的原因并防止再次发生的措施
3.18
审计
系统和独立的过程,用于获取证据并对其进行客观评估,以确定满足审核标准的程度
注释1:
审核可以是内部审核(第一方)或外部审核(第二方或第三方)。
并且可以是合并审核(合并两个或多个学科)。
注释3:
“审核证据i*和”审核标准”在ISO19011中定义。
进入注释4:
独立性可以通过对所审核活动的责任自由或对偏见和利益冲突的自由来证明。
3.19
测量
球确定一个值
3.20
监控
确定系统,液‘倒^活动的状态
注释1:
要确定状态,可能需要检查,监督或严格观察。
3.21
困事机构
对纽绍的活动,治理和攻黄负有最终责任和权力,并且最高管理者向其报告并由最高管理者负责的个人或一薜人
注释1:
并非所有组织,特别是小型组织,都将拥有一个独立于高层管理人员的理事机构。
注释2:
理事机构可以包括但不限于董事会,董事会委员会,监事会或受托人。
3.22
人员
在国家法律或惯例中被视为工作关系的关系中的个人,或在依赖于组织活动的合同关系中的R
3.23
对遵从性管理系统的运作负有责任和权限的个人或团体
注释1:
最好将一个人分配给合规管理系统的监督。
3.24
合规风险
不遵守与组织遂亨义务发生的可能性和后果
3.25
合规义务
组织3强制必须遵守的要美以及组织自愿选择遵守的要求
3.26
遵守
满足组织的所有要求合规义务
3.27
违规
未履行履约义务
3.28
合规文化
遍布整个纽绍的价值观,道德,信念和行为,并与组织的结构和控制系统进行交互以产生有助于合刼的行为规范
3.29
执行
影响客户,员工,供应商,市场和社区成果的行为和做法
3.30
第三方
独立于组织的个人或机构
注释1:
所有业务伙伴均为第三方,但并非所有第三方均为业务伙伴。
3.31
程序
指定的进行活动或过程的方式
[来源:
ISO9000:
2015,3.4.5]
4组织环境
4.1了解组织及其背景
组织应确定与其目的相关并影响其实现合规管理系统预期结果能力的外部和内部问题。
为此,组织应考虑广泛的问题,包括但不限于:
—业务模型,包括战略,性质,规模和规模的复杂性以及组织活动和运营的可持续性;
—与第三方的业务关系的性质和范围;
一法律和法规环境;
一经济状况;
一社会,文化和环境背景;
一内部结构,政策,流程,程序和资源,包括技术;
—它的合规文化。
4.2了解有关方面的需求和期望
组织应确定:
一与合规管理系统有关的利害关系方;
一这些利害关系方的有关要求;
—这些要求中的哪些将通过合规管理系统解决。
4.3确定合规管理系统的范围
组织应确定合规管理系统的范围和适用性以建立其范围。
注:
合规管理系统的范围旨在阐明组织面临的主要合规风险以及合规管理系统将适用的地理或组织边界,或两者都适用,特别是在组织是大型实体的一部分的情况下。
在确定此范围时,组织应考虑:
一4.1中提到的外部和内部问题:
—4.2、4.5和4.6中提到的要求。
该范围应作为文档信息提供。
4.4合规管理系统
组织应根据本文件的要求建立,实施,维护和持续改进合规管理系统,包括所需的过程及其相互作用
O
遵从管理体系应反映组织的价值观,目标,战略和遵从风险,并考虑到组织的环境(见4d)o
4.5合规义务
组织应系统地识别其活动,产品和服务产生的合规义务,并评估其对运营的影响。
组织应具备以下流程:
a)确定新的和更改的合规义务,以确保持续合规;
b)评估已识别变更的影响,并在合规义务管理中实施任何必要的变更。
组织应保持其合规义务的书面信息。
4.6合规风险评估
组织应基于合规风险评估,识别,分析和评估其合规风险。
组织应通过将合规义务与其活动,产品,服务和运营的相关方面相关联来识别合规风险。
组织应评估与外包和第三方流程相关的合规风险。
应定期评估合规风险,并应在情况或组织环境发生重大变化时进行评估。
组织应保留有关合规风险评估以及应对其合规风险的措施的书面信息。
5领导
5.1领导与承诺
5.1.1领导机构和高层管理人员
理事机构和最高管理者应通过以下方式表现出对合规管理体系的领导和承诺:
—确保建立合规政策和合规目标并与组织的战略方向兼容;
一确保将合规管理系统要求集成到组织的业务流程中;
一确保合规管理系统所需的资源可用;
一传达有效的合规管理和遵守合规管理系统要求的重要性;
一确保合规管理系统达到预期结果;
一指导和支持人员为合规管理系统的有效性做出贡献;
—促进持续改进;
一支持其他相关角色以展示其在其职责范围内的领导能力。
注意:
本文档中对“业务”的引用可以广义地解释为那些对于组织存在的目的而言至关重要的活动。
理事机构和最高管理者应:
—建立并维护组织的价值观;
一确保制定和实施政策,流程和程序以实现合规目标;
一确保及时告知他们有关合规事宜,包括不合规的情况,并确保采取适当的措施;
一确保遵守承诺,并适当处理违规和违规行为;
一确保适当地将合规责任包括在职位描述中;
一任命或提名合规职能;
一确保按照2x3提出和解决问题的系统。
成立。
5.1.2合规文化
组织应在组织内的各个层次上建立,维护和促进合规文化。
理事机构,高层管理人员和管理层应表现出对整个组织所需的共同行为和行为标准的积极,可见,一致和持续的承诺。
最高管理者应鼓励建立和支持合规的行为。
它应防止而不是容忍损害合规性的行为。
5.1.3合规治理
理事机构和最高管理者应确保执行以下原则:
一直接将遵约职能移交给理事机构;
一遵守职能的独立性;
一合规职能的适当权限和能力。
注1:
直接访问可包括:
直接向理事机构报告,向理事机构定期提交报告并参加其会议。
注2:
独立是指对顺应功能的操作没有任何不适当的干扰或压力,或两者都不存在。
5.2合规政策
理事机构和最高管理者应制定合规政策,以:
a)适合组织的目的;
b)提供设定合规目标的框架;
c)包括满足适用要求的承诺;
d)包括对合规管理系统的持续改进的承诺。
遵守政策应:
一与组织的价值观,目标和战略保持一致;
一要求遵守组织的合规义务;
一支持符合5丄3的合规性治理原则:
一参考并描述合规功能;
一概述不遵守组织的合规义务,政策,流程和程序的后果;
—鼓励引起关注并禁止任何形式的报复;
一用通俗易懂的语言写成,以便所有人员都可以轻松理解其原理和意图;
一适当实施和执行;
一可以作为记录信息使用;
一在组织内部进行沟通;
一适当时可供感兴趣的各方使用。
5.3角色,职责和权限
5.3.1领导机构和高层管理人员
理事机构和最高管理者应确保在组织内分配和传达有关角色的职责和权限。
理事机构和最高管理者应分配以下职责和权限:
a)确保合规管理系统符合本文件的要求;
b)向理事机构和最高管理者汇报合规管理系统的绩效。
理事机构应:
一确保根据达到合规目标衡量最高管理层;
一对最高管理者进行有关合规性管理系统运行的监督。
最高管理者应:
—分配足够和适当的资源以建立,开发,实施,评估,维护和改进合规管理系统;一确保建立有效的及时报告履约情况的系统;
一确保战略和运营目标与合规义务之间保持一致;
一建立和维护问责机制,包括纪律处分和后果;
一确保将合规绩效纳入人员绩效评估。
5.3.2合规功能
合规职能应负责合规管理系统的运行,包括以下内容:
一促进确定履约义务;
一记录合规风险评估;
一使合规管理系统与合规目标保持一致;
一监控和衡量合规绩效;
一分析和评估合规性管理系统的性能,以确定是否需要采取纠正措施;
—建立合规报告和文件记录系统;
一确保按计划的时间间隔审核合规性管理系统(请参阅92和93):
一建立引起关注并确保解决关注的系统。
遵守职能应监督:
一在整个组织屮适当分配实现已确定合规性义务的职责;
一合规义务已整合到政策,流程和程序中;
一所有相关人员均按要求接受培训;
—建立合规绩效指标。
遵从功能应提供:
一有权访问合规政策,流程和程序资源的人员;
一就合规性相关事宜向组织提供建议。
注意合规功能的特定职责并不能免除其他人员的合规责任。
组织应确保符合性功能可以访问:
一高级决策者,以及在决策过程中尽早做出贡献的机会;
一组织的各个级别;
一所需的所有人员,文件化信息和数据;
一有关有关法律,法规,守则和组织标准的专家意见。
5.3.3管理
管理层应通过以下方式负责其职责范围内的合规:
一与合规部门合作并提供支持,并鼓励人员这样做;
一确保其控制范围内的所有人员均遵守组织的合规义务,政策,流程和程序;
一识别并传达其运营中的合规风险;
一将合规义务纳入其职责范围内的现有业务实践和程序中;
—参加和支持合规培训活动;
一培养人员对合规义务的意识,并指导他们满足培训和能力要求;
—鼓励其人员提出合规性问题并给予支持,并排除任何形式的报复行为;
一根据需要积极参与管理和解决与合规性相关的事件和问题;
一确保在确定需要采取纠正措施后,建议并实施适当的纠正措施。
5.3.4人员
所有人员应:
一遵守组织的合规义务,政策,流程和程序;
一报告合规问题,问题和失败;
一参加所需的培训。
6规划
6.1应对风险和机遇的行动
在规划合规管理系统时,组织应考虑4JL中提到的问题和4a2
中提到的要求,并确定需要解决的风险和机遇:
一确保合规管理系统可以达到预期结果;
—防止或减少不良影响;
一实现持续改进。
在规划合规管理系统时,组织应考虑:
—其合规目标(见人2);
一确定的合规义务(请参阅以):
一合规风险评估的结果(见陰)o
组织应计划:
a)应对这些风险和机遇的行动;
b)如何:
1)将行动整合并实施到其合规管理系统流程中;
2)评估这些措施的有效性。
6.2合规目标和实现目标的计划
组织应在相关职能和级别上建立合规目标。
遵守目标应:
a)与合规政策保持一致;
b)可衡量的(如果可行);
c)考虑适用的要求;
d)被监视;
e)沟通;
f)适当更新;
g)作为文档信息可用。
在计划如何实现其合规目标时,组织应确定:
一将要做什么;
一需要什么资源;
一谁来负责;
一何时完成;
—如何评估结果。
6.3变更计划
当组织确定需要更改合规管理系统时,应以计划的方式进行更改。
组织应考虑:
一变更的目的及其潜在后果;
一合规管理系统的设计和运营有效性;
一是否有足够的资源;
一职责和权限的分配或重新分配。
7支持
7.1资源
组织应确定并提供建立,实施,维护和持续改进合规管理系统所需的资源。
7.2权限
7.2.1一般的
组织应:
一确定在其控制下从事影响其合规表现的人员的必要能力;
-根据适当的教育,培训或经验,确保这些人胜任;
一在适用的情况下,采取行动以获得必要的能力,并评估所采取行动的有效性。
应提供适当的书面信息作为胜任力的证据。
注:
可采取的行动包括,例如,提供培训,指导或重新安排在职人员;或雇用或签约合资格的人。
7.2.2就业过程
就其所有人员而言,组织应制定,建立,实施和维护流程,以使:
a)雇用条件要求人员遵守组织的合规义务,政策,流程和程序;
b)在开始雇用的合理期间内,员工将收到遵从政策的副本或对其进行访问并获得有关该政策的培训的机会;
c)对于违反组织合规性义务,政策,过程和程序的人员,应采取适当的纪律处分。
作为雇用过程的一部分,组织应考虑由角色和人员造成的合规风险,并在雇用,调动和晋升之前按照要求进行尽职调查程序。
组织应实施一个程序,对绩效目标,绩效奖金和其他激励措施进行定期审查,以验证是否已采取适当的措施来防止鼓励违规行为。
7.2.3训练
组织应从雇用开始之时起,并按组织确定的计划间隔定期对有关人员进行培训。
培训应为:
a)适合人员的角色以及人员所面临的合规风险;
b)评估有效性;
c)定期审查。
考虑到已识别的合规风险,组织应确保实施程序以解决对合规意识的培训,以及对代表其行事并可能给组织带来合规风险的第三方的培训。
培训记录应保留为书面信息。
7.3意识
在组织控制下工作的人员应了解:
一遵守政策;
—它们对合规管理系统有效性的贡献,包括改进合规绩效的好处;
一不符合合规管理系统要求的影响;
一引起合规性问题的程序和程序的方式(见S3);
一遵守政策与其职责相关的遵守义务的关系;
一支持合规文化的重要性。
7.4沟通
组织应确定与合规管理系统有关的内部和外部通信,包括:
a)关于它将传达什么;
b)何时沟通;
c)与之沟通;
d)如何沟通。
组织应:
一在考虑其传播需求时,考虑多样性的方面和潜在的障碍;
一确保在建立其沟通流程时考虑到有关方面的意见fes);
一建立沟通流程时):
一包括关于其合规文化,合规目标和义务的沟通;
一确保要传达的合规信息与合规管理系统内生成的信息一致并且可靠;
一回应有关其合规管理系统的相关沟通;
一适当保留文件化信息作为其通讯的证据;
-在组织的各个级别和职能之间内部传达与合规管理系统有关的信息,包括酌情更改合规管理系统
一确保其沟通过程使人员能够为持续改进合规管理系统做出贡献;
一确保其沟通过程使人员能够提出疑虑(见S3);
-由组织的沟通流程建立的外部沟通与合规管理系统有关的信息,并包括有关其合规文化,合规目标和义务的交流。
7.5记录的信息
7.5.1一般的
组织的合规管理系统应包括:
a)本文件要求的文件资料;
b)组织确定为达标管理系统的有效性所必需的文件化信息。
注:
遵从性管理系统的文档化信息范围可能因一个组织而异,这是由于以下原因:
一组织的规模及其活动,过程,产品和服务的类型;
-流程及其交互的复杂性;
一人的能力。
7.5.2创建和更新文档信息
在创建和更新文档信息时,组织应确保适当:
一标识和描述(例如标题,日期,作者或参考编号);
一格式(例如语言,软件版本,图形)和媒体(例如纸张;电子);
一审查和批准其适用性和适当性。
7.5.3控制文件信息
合规管理系统和本文件所要求的文件信息应受到控制,以确保:
a)它是可用的,并且适合在需要的地方和时间使用;
b)它得到了充分的保护(例如,避免了机密性,使用不当或完整性的损失)。
为了控制书面信息,组织应酌情开展以下活动:
一分发,获取,检索和使用;
一储存和保存,包括保持易读性;
—控制变更(例如版本控制);
一保留和处置。
组织应确定必要的外部来源的书面信息,这些信息对于合规性管理系统的计划和运行是必要的,并应加以控制。
注意访问可能意味着要决定是否仅允许查看文档信息,或者是有关查看和更改文档信息的权限。
8运行
8.1运行计划与控制
组织应通过以下方式计划,实施和控制满足要求所需的过程,以及实施篁。
条中确定的措施:
—建立过程标准;
一根据标准实施过程控制。
应提供必要的书面信息,以确信该过程已按计划进行。
组织应控制计划的变更并审查意外变更的后果,并采取必要的措施以减轻任何不利影响。
组织应确保控制与合规管理系统相关的外部提供的过程,产品或服务。
注意:
将组织的业务外包不会减轻组织的法律责任或合规性义务。
组织应确保对第三方过程进行控制和监视。
8.2建立控制和程序
组织应实施控制措施以管理其合规义务和相关的合规风险。
这些控制措施应予以维护,定期检查和测试,以确保其持续有效性。
注:
测试控件是指进行有计划的练习,以查看控件是否达到了预期的目的或不能被绕过,或者在降低风险的影响或可能性方面是否有效。
8.3引起关注
组织应建立,实施和维护一个过程,以鼓励和报告(在合理的理由下认为该信息是真实的)企图,怀疑或实际违反合规政策或合规义务的情况。
该过程应:
一在整个组织中可见并可以访问;
一保密地处理报告;
一接受匿名举报;
一保护举报人免受报复;
一使人员能够接收建议。
组织应确保所有人员都了解报告程序,其权利和保护并能够使用它们。
8.4调查程序
组织应制定,建立,实施和维护过程,以评估,评估,调查和结清关于可疑或实际违规事件的报告。
这些程序应确保公平公正的决策。
调查过程应由主管人员独立进行,不得有利益冲突。
组织应将调查结果用于适当地改进合规管理系统(参见第10条)。
组织应定期向理事机构或最高管理者报告调查的数量和结果。
组织应保留有关调查的书面信息。
9绩效评估
9.1监测,测量,分析和评估
9.1.1总贝!
J
组织应监视合规管理系统,以确保实现合规目标。
组织应确定:
—需要监视和测量的内容;
一为确保有效结果而进行的监测,测量,分析和评估方法;
一,何时进行监测和测量;
一监测和测量的结果应进行分析和评估。
文件信息应作为结果的证据。
组织应评估合规绩效和合规管理系统的有效性。
9.1.2有关合规绩效的反馈来源
组织应建立,实施,评估和维护过程,以从各种来源寻求并接收有关其合规绩效的反馈。
应对信息进行分析和严格评估,以找出不符合项的根本原因,确保采取适当的措施,并将此信息反映在生
6•要求的定期风险评估中
9.1.3指标制定
组织应制定,实施和维护一套适当的指标,以帮助组织评估其合规目标的实现并评估其合规绩效。
9.1.4合规报告
组织应建立,实施和维护合规报告流程,以确保:
a)确定了适当的报告标准;
b)确定定期报告的时间表;
c)实施了例外报告系统,以促进临时报告;
d)实施系统和流程以确保信息的准确性和完整性;
e)向组织的正确职能或领域提供准确和完整的信息,以便及时采取预防,纠正和补救措施。
合规部门向理事机构或最高管理层发布的任何报告均应得到充分保护,以免发生变更。
9.1.5保持记录中
必须保留组织合规活动的准确,最新记录,以帮助进行监视和审查过程,并证明与合规管理系统的符合性。
9.2内部审核
9.2.1总贝!
|
组织应按计划的时间间隔进行内部审核,以提供有关合规管理系统是否:
a)符合:
一组织对合规管理系统的要求;
—本文件的要求;
b)有效地实施和维护。
9.2.2内部审核程序
组织应计划,建立,实施和维护审核计划,包括频率,方法,职责,计划要求和报告。
在建立内部审核计划人)时,组织应考虑相关过程的重要性以及以前审核的结果。
组织应:
a)确定每次审核的审核目标,标准和范围;
b)选择审核员并进行审核,以确保审核过程的客观性和公正性;
c)确保将审核结果报告给相关管理人员和管理层。
注1:
相关管理可以包括合规职能,最高管理者和管理机构。
应提供书面信息,作为审核计划和审核结果实施的证据。
注2:
ISO19011中给出了有关审核管理系统的指南。
9.3管理评审
9.3.1总贝!
|
领导机构和最高管理者应按计划的时间间隔审查组织的合规管理系统,以确保其持续的适用性,充分性和有效性。
9.3.2管理评审输入
管理评审应包括:
a)先前的管理评审所采取的措施的状态
升级会员 