1、IC S 03.100.01C C S A 02中华人民共和国国家标准GB/T 357702022/ISO 37301:2021代替 GB/T 357702017合规管理体系要求及使用指南Compliance management systemsRequirements with guidance for use(ISO 37301:2021,IDT)2022-10-12 发布2022-10-12 实施国家市场监督管理总局 国家标准化管理委员会GB/T 357702022/ISO 37301:2021目 次前言.m引言.Ki范围.i2规范性引用文件.13 术语和定义.14组织环境.44.1 理
2、解组织及其环境.44.2 理解相关方的需要和期望.54.3 确定合规管理体系的范围.54.4 合规管理体系.54.5 合规义务.54.6 合规风险评估.55领导作用.65.1 领导作用和承诺.65.2 合规方针.65.3 岗位、职责和权限.76 策划.86.1 应对风险和机会的措施.86.2 合规目标及其实现的策划.96.3 针对变更的策划.97 支持.97.1 资源.97.2 能力.107.3 意识.107.4 沟通.117.5 文件化信息.118运行.128.1 运行的策划和控制.128.2 确立控制和程序.128.3 提出疑虑.128.4 调查过程.129绩效评价.13139.1监视、测
3、量、分析和评价1GB/T 357702022/ISO 37301:20219.2 内部审核.149.3 管理评审.1410 改进.1510.1 持续改进.1510.2 不符合与纠正措施.15附录A(资料性)本文件使用指南.16附录NA(资料性)补充使用指南.32参考文献.36IIGB/T 357702022/ISO 37301:2021-XX.1刖 R本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定 起草。本文件代替GB/T 357702017合规管理体系 指南,与GB/T 357702017相比,除结构调整 和编辑性改动外,主要技术变化如下:更改了
4、文件类型,由指南类管理体系标准修改为要求类管理体系标准;修改了方针、过程、要求、合格、不合格、纠正措施、审核、测量、监视、治理机构、合规风险、合规 义务、合规、不合规、程序的术语和定义(见3.5、3.8、3.14、3.15、3.16、3.17、3.18、3.19、3.20、3.21、3.24、3.25、3.26、3.27、3.31,2017 年版的 2.8、2.10、2.13、2.32、2.33、2.35、2.31、2.30、2.29、2.4、2.12、2.16、2.17、2.18、2.25)。本文件等同采用ISO 37301:2021合规管理体系 要求及使用指南。与ISO 37301:202
5、1相比,本文件做了下列最小限度的编辑性改动:术语3.14增加了注,对要求做了进一步解释;术语3.28增加了注,对组织价值观进行了解释;考虑到本文件在我国的适用性,增加了附录NA(资料性)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国标准化研究院提出并归口。本文件起草单位:中国标准化研究院、北京大成律师事务所、中国石油天然气集团有限公司、中标合 信(北京)认证有限公司、中建科技集团有限公司、北京在礼合规信息技术有限公司、北京大成(上海)律 师事务所、中国工商银行股份有限公司、中国质量认证中心、通标标准技术服务有限公司、中国信息通信 研究院、北京康柏汉森医
6、药科技咨询有限责任公司、北京申永企业管理咨询有限公司、上海段和段律师 事务所、山东鲁源节能认证技术工程有限公司。本文件主要起草人:王益谊、杜晓燕、徐永前、吴学静、蒋汉才、李近宇、王耕杰、王超、张利宾、李铁男、胡国辉、陈立彤、樊光中、牛娜娜、张怡、王培勋、辛斌、李文宇、刘翠东、任建芝、刘红霞、卢博宇、姚竹新、吕菊萍、张波、温利峰、张大春、尹云霞、逢华。本文件所代替文件的历次版本发布情况为:2017 年首次发布为 GB/T 357702017;本次为第一次修订。IIIGB/T 357702022/ISO 37301:2021为获得长远发展,组织需基于相关方的需要和期望确立并维护合规文化。因此,合规
7、是实现组织成 功和持续发展的基石和机会。合规是一个持续的过程,也是组织履行其义务的结果。合规的可持续性体现在将合规融入组织文 化以及为组织工作的人的行为和意识。合规管理在保持独立性的同时,最好与组织的其他管理过程、运 行需求和程序相结合.-个全面有效的合规管楞夕屣忘组织承诺井致法律、监管要求、行业准则和组 织标准,以及良好治理梦建逊詈纯相显组织的领导层iy嬴少W蠢接受的良好治理藕准则来塑造组织的合规 之道。将合规勺人员的行为取决于组织各层级的於Z条&产清晰价值观以及组 织对促进合规窗措认可和实施。如果组织的各层级不能做到上蜀法,海螂临不合规的风险。在许多司法管露区/福在对违反相关法律的行为做出
8、适当处罚的决定时,焉&组 热合规管理体系考本:J牛牛标之一发号瓣只极可外化。合规)卜风卜的有效及合映实,-提升寸:-最本文件规鼠低违规行为导致的风险及相应的成本和声誉损失体系的要求,并提供了使用指南和推荐做法/文洛的要求与指南旨在具有适应性,根据组*规 复杂程度的不同,其招版氏弋巳系规模和成熟度的不同,以及可事吗乎尚所处的环境、性质及其 本文件适用于加强其他升组织对所有合规义务的统筹管理。则.图1概述了合规管理体系的常见要件。IVGB/T 357702022/ISO 37301:2021目标诚信文化符合声誉价值道循i规范原则诚信 良好治理匹配透明问责可持续管理不合规 持续改进各级承诺 确立范围
9、 合规方针 岗位和职责 义务和风险法律社会文化数字化账务结构环境相关方图1合规管理体系要件本文件使用如下能愿动词:“应”表示要求;“宜”表示推荐;“可”表示允许;“能”表示能力或可能性。本文件“注”的信息是理解或说明相关要求的指南。附录A提供了本文件的使用指南,附录NA提供了本文件的补充使用指南。VGB/T 357702022/ISO 37301:2021合规管理体系要求及使用指南1范围本文件规定了组织建立、开发、实施、评价、维护和改进有效的合规管理体系的要求,并提供了指南。本文件适用于所有类型的组织,不论其类型、规模、性质,也不论其是公共的、私营的或非营利性的。如果组织内没有设立独立的治理机
10、构,则本文件中规定的所有关于治理机构的要求都适用于最高 管理者。2规范性引用文件本文件没有规范性引用文件。3术语和定义下列术语和定义适用于本文件。3.1组织 organization为实现目标(3.6),由职责、权限和相互关系构成自身功能的一个人或一组人。注1:组织的概念包括但不限于个体经营者、公司、集团公司、商行,企事业单位、行政机构、合伙企业、慈善机构或研 究机构,或上述组织的部分或组合,无论是否具有法人资格,公有或私有。注2:如果组织是大型实体的某个组成部分,那么,术语“组织”仅指在合规管理体系(3.4)范围内的这个组成部分。3.2相关方interested party(优先术语)利益相
11、关方stakeholder(许用术语)能够影响决策或活动、受决策或活动影响或自认为受决策或活动影响的个人或组织(3.1)。3.3最高管理者 top management在最高层指挥和控制组织(3.1)的一个人或一组人。注1:最高管理者有权在组织内部授权和提供资源。注2:如果管理体系(3.4)的范围仅覆盖组织的某个组成部分,那么最高管理者是指挥和控制该部分的一个人或一 组人。注3:本文件中,“最高管理者”指最高级别的执行管理层。3.4管理体系 management system组织(3.1)为确立方针(3.5)和目标(3.6)以及实现这些目标的过程(3.8)所形成的相互关联或相互 作用的一组要件
12、。注1:一个管理体系可能针对一个或几个主题。注2:管理体系要件包括组织的结构、岗位和职责、策划和运行。GB/T 357702022/ISO 37301:20213.5方针 policy由最高管理者(3.3)正式表述的组织(3.1)的意图和方向。注:方针也可能由组织的治理机构(3.21)正式表述。3.6目标 objective要实现的结果。注1:目标可能是战略的、战术的或运行的。注2:目标可能涉及不同的主题(如财务、健康和安全、环境)。它们可能存在于不同层面,诸如组织整体层面或项 目、产品、服务或过程(3.8)层面。注3:目标能够用其他方式表述,如:预期的结果、宗旨、运行准则.合规(3.26)目
13、标或使用其他有类似含义的词(如:终点或指标)。注4:在合规管理体系(3.4)中,组织(3.1)设定的合规目标与合规方针(3.5)保持一致,以实现特定的结果。3.7风险 risk不确定性对目标(3.6)的影响。注1:影响是对预期的偏离正面的或负面的。注2:不确定性是一种状态,是指对某个事件、事件的后果或可能性缺乏甚至部分缺乏相关信息、理解或知识。注3:通常,风险以潜在事件(见ISO Guide 73的定义)和后果(见ISO Guide 73的定义)或二者的组合来描述其 特性。注4:通常,风险以某个事件的后果(包括情况的变化)及其发生的可能性(见ISO Guide 73的定义)的组合来表述。3.8
14、过程 process使用或转化输入以实现结果的一组相互关联或相互作用的活动。注:某个过程的结果是称为输出,还是称为产品或服务,取决于相关语境。3.9能力 competence应用知识和技能实现预期结果的本领。3.10文件化信息 documented information组织(3.1)需要控制和维护的信息及其载体。注1:文件化信息能够以任何形式和载体存在,且来源不限。注2:文件化信息可能涉及:管理体系(3.4),包括相关过程(3.8);为组织运行而创建的信息(文件);实现的结果的证据(记录)。3.11绩效 performance可测量的结果。注1:绩效可能涉及定量的或定性的结果。注2:绩效可能
15、与活动、过程(3.8)、产品、服务、体系或组织(3.1)的管理有关。3.12持续改进 continual improvement提高绩效(3.11)的循环活动。2GB/T 357702022/ISO 37301:20213.13有效性 effectiveness完成策划的活动和实现策划的结果的程度。3.14要求/需求 requirement规定的、不言而喻的或有义务履行的需要或期望。注1:不言而喻的或有义务履行的需要或期望是指需求。其中,“不言而喻”是指组织(3.1)和相关方(3.2)的惯例或 一般做法,不言而喻的需要或期望是不用说就明白的。注2:规定的需要或期望是指要求,也就是符合GB/T
16、1.1-2020中定义的要求,即表达声明符合该文件需要满足的 客观可证实的准则。注3:规定的需要或期望是指要求,例如文件化信息(3.10)中。3.15符合 conformity满足要求(3.14)。3.16不符合 nonconformity未满足要求(3.14)。注:不符合不一定是不合规(3.27)。3.17纠正措施 corrective action为了消除不符合(3.16)的原因并预防再次发生所采取的措施。3.18审核 audit获取审核证据并对其进行客观评价,以确定审核准则满足程度所进行的系统的、独立的过程(3.8)。注1:审核可能为内部(第一方)审核或外部第二方或第三方(3.30)审核
17、,也可能为多体系审核(合并两个或多个 主题)。注2:内部审核由组织(3.1)自行实施或代表组织的外部机构实施。注3:“审核证据”和“审核准则”的定义见ISO 19011。注4:独立性能通过对正在被审核的活动免于承担责任或无偏见和利益冲突来证实。3.19测量 measurement确定数值的过程(3.8)。3.20监视 monitoring确定体系、过程(3.8)或活动的状态。注:确定状态可能需要检查、监督或严格观察。3.21治理机构 governing body对组织(3.1)的活动、治理、方针(3.5)负有最终职责和权限的一个人或一组人,最高管理者(3.3)向 其报告并对其负责。注1:并不是
18、所有的组织,尤其是小型组织,都会有一个独立于最高管理者的治理机构。注2:治理机构可能包括但不限于董事会、董事会委员会、监事会或受托人。3GB/T 357702022/ISO 37301:20213.22人员 personnel在国家法律或实践中被确认为工作关系的个人,或依赖于组织(3.1)活动的任何合同关系中的 个人。3.23合规团队 compliance function对合规(3.26)管理体系(3.4)运行负有职责、享有权限的一个人或一组人。注:最好指定一人负责合规管理体系的监督。3.24合规风险 compliance risk因未遵守组织(3.1)合规义务(3.25)而发生不合规(3.
19、27)的可能性及其后果。3.25合规义务 compliance obligations组织(3.1)强制性地必须遵守的要求(3.14),以及组织自愿选择遵守的要求。3.26合规 compliance履行组织(3.1)的全部合规义务(3.25)。3.27不合规 noncompliance未履行合规义务(3.25)。3.28合规文化 compliance culture贯穿整个组织(3.1)的价值观、道德规范、信仰和行为(3.29),并与组织结构和控制系统相互作 用,产生有利于合规(3.26)的行为规范。注:价值观是组织所崇尚的文化的核心,是组织行为的基本原则。3.29行为 conduct影响顾客
20、、员工、供应商、市场和社区结果的举动和实践。3.30第三方 third party独立于组织(3.1)的个人或机构。注:所有业务伙伴都是第三方,但并非所有第三方都是业务伙伴。3.31程序 procedure为进行某项活动或过程(3.8)所规定的途径。来源:GB/T 190002016,3.4.514 组织环境4.1 理解组织及其环境组织应确定与其宗旨相关的,并影响其实现合规管理体系预期结果的能力的内部和外部事项。4GB/T 357702022/ISO 37301:2021为此,组织应结合诸多事项,包括但不限于:业务模式,包括组织活动和运行的战略、性质、规模、复杂性和可持续性;一与第三方业务关系
21、的性质和范围;法律和监管环境;经济状况;社会、文化、环境背景;内部结构、方针、过程、程序和资源,包括技术;自身的合规文化。4.2 理解相关方的需要和期望组织应确定:与合规管理体系有关的相关方;这些相关方的有关需求;哪些需求将通过合规管理体系予以解决。4.3 确定合规管理体系的范围组织应确定合规管理体系的边界和适用性,以确立其范围。注:合规管理体系的范围旨在理清组织面临的主要合规风险,以及合规管理体系适用的地理和/或组织边界,尤其 当组织是较大实体的一部分时。组织应根据以下内容确定合规管理体系的范围:4.1 提及的内部和外部事项;4.2.4.5和4.6提及的需求。范围应作为文件化信息可获取。4.
22、4 合规管理体系组织根据本文件的要求,应建立、实施、维护和持续改进合规管理体系,包括所需的过程及其相互 作用。合规管理体系应反映组织的价值观、目标、战略和合规风险,并且应结合组织环境(见4.1)04.5 合规义务组织应系统识别来源于组织活动、产品和服务的合规义务,并评估其对运行所产生的影响。组织应建立过程以:a)识别新增及变更的合规义务,确保持续合规;b)评价已识别的变更的义务所产生的影响,并对合规义务管理实施必要的调整。组织应维护其合规义务的文件化信息。4.6 合规风险评估组织应基于合规风险评估,识别、分析和评价其合规风险。组织应通过将其合规义务与活动、产品、服务以及运行的相关方面关联,来识
23、别合规风险。组织应评估与外包的和第三方的过程相关的合规风险。组织应定期评估合规风险,并在组织环境发生重大变化时进行评估。组织应保留有关合规风险评估和应对合规风险措施的文件化信息。5GB/T 357702022/ISO 37301:20215领导作用5.1 领导作用和承诺5.1.1 治理机构和最高管理者治理机构和最高管理者应通过以下方面证实其对合规管理体系的领导作用和承诺:确保合规方针和合规目标得以确立,并与组织的战略方向一致;确保将合规管理体系要求融入组织的业务过程;确保合规管理体系所需磐约_就有效的合规管却修屋展退性进行沟通;确保合规管却嘘季日技指导和却盘少或卷理体系的有效性作出贡献;_促进
24、-支步“位在职责范围内证实其领导作用。注:本文分提必业婚熊融泌驯期以但盥纵 5.1.2合规熏化组织应在层级建立、维护并推进合规文化。/治理机构、瀛管管理者应证实,对于整个组织所要求的共外做出了积极的、明 示的、一致且持续扁呼。/晶高替钟者应骷飘型为,应阻止孙华点?为一5.1.3 合规治理 一一治理机构和最高管理者应确保下列原则得到实施:合规团队应能直接接触治理机构;合规团队的独立性;-合规团队具有适当的权限和能力。注1:直接接触包括:向治理机构的直接汇报线、定期提交报告以及参加其会议。注2:独立性是指合规团队的运行不受任何不当干扰和/或压力。5.2 合规方针治理机构和最高管理者应确立合规方针,
25、该方针:a)适合于组织的宗旨,6GB/T 357702022/ISO 37301:2021b)为设定合规目标提供框架.c)包括满足适用需求的承诺,d)包括持续改进合规管理体系的承诺。合规方针应:与组织的价值观、目标和战略保持一致;要求遵守组织的合规义务;根据5.L3支持合规治理原则;提及并描述合规职能;概述不遵守组织的合规义务、方针、过程和程序的后果;鼓励提出疑虑,并且禁止任何形式的报复;用通俗易懂的语言书写,易于所有人员理解其原则和意图;被适当地实施和执行;-作为文件化信息可获取;在组织内予以沟通;视情况,可被相关方获取。5.3 岗位、职责和权限5.3.1 治理机构和最高管理者治理机构和最高
26、管理者应确保在组织内分配并沟通相关岗位的职责和权限。治理机构和最高管理者应分配职责和权限,以便:a)确保合规管理体系符合本文件的要求;b)获得合规管理体系绩效的报告。治理机构应:确保根据合规目标的实现情况对最高管理者进行衡量;对最高管理者运行合规管理体系的情况进行监督。最高管理者应:为建立、制定、实施、评价、维护和改进合规管理体系配置足够且适当的资源;确保建立及时有效的合规绩效报告制度;确保战略和运行目标与合规义务相协同;确立和维护问责机制,包括纪律处分和结果;确保合规绩效与人员绩效考核挂钩。5.3.2 合规团队合规团队应负责合规管理体系的运行,包括:推进识别合规义务;编制合规风险评估文件(见
27、4.6);使合规管理体系与合规目标保持一致;监视和测量合规绩效;分析和评价合规管理体系的绩效,以确认是否需要采取纠正措施;确立合规报告和文件化制度;确保按策划的时间间隔对合规管理体系进行评审(见9.2和9.3);7GB/T 357702022/ISO 37301:2021确立提出疑虑和确保疑虑得到解决的制度。合规团队应监督:履行已识别的合规义务的职责在整个组织内得到适当分配;合规义务与方针、过程和程序的整合;所有相关人员按要求接受培训;确立合规绩效指标。合规团队应:使人员可获得与合规方针、过程和程序有关的资源;就合规相关事项向组织提供建议。注:合规团队的特定职责并不免j触的合规责任组织应确保合
28、规团队承驰:策早期提出建议组织的月所有相信息和所需的数据;法律、法规、准则和组织标准提出的建议过以下方识姚典运行中蹩 卢玲责范围内 k加飞协助合规融入确保参与合规相关事件和事项的管理、解决;唯要采取纠正措施时,适当的纠正措施能得到推花5.3.4人员所有人员应:遵守组织的合规义务、和程序高级决策者,宥机会正报告合规疑虑、问题和漏洞;根据要求参加培训I。6策划6.1 应对风险和机会的措施在策划合规管理体系时,组织应根据4.1提及的事项和4.2提及的需求,并确定需要应对的风险和 机会,以便:确保合规管理体系能够实现预期结果,-预防或减少不利影响,8GB/T 357702022/ISO 37301:2
29、021实现持续改进。在策划合规管理体系时,组织应结合:其合规目标(见6.2),-经识别的合规义务(见4.5),合规风险评估结果(见4.6)0组织应策划以下活动:a)应对这些风险和机会的措施;b)如何:1)将措施纳入合规管理体系过程并实施,2)评价这些措施的有效性。6.2 合规目标及其实现的策划组织应在相关职能和层级上确立合规目标。合规目标应:a)与合规方针一致;b)可测量(如果可行);c)体现适用的需求;d)予以监视;e)予以沟通;f)视情况予以更新;g)作为文件化信息可获取。策划如何实现合规目标时,组织应确定:一要做什么,-需要什么资源,由谁负责,-何时完成,如何评价结果。6.3 针对变更的
30、策划当组织确定需要变更合规管理体系时,应对这些变更的实施进行策划。组织应结合:变更目的及其潜在后果;一合规管理体系设计和运行的有效性;一足够的资源的可获取性;职责和权限的分配或再分配。7支持7.1资源为建立、实施、维护和持续改进合规管理体系,组织应确定并提供所需的资源。9GB/T 357702022/ISO 37301:20217.2能力 7.2.1通则组织应:确定在其控制下工作、影响合规绩效的人员所需的能力;确保这些人员在适当的教育、培训或经验的基础上胜任工作;适用时,采取措施获得所需的能力,并评价所采取措施的有效性。适当的文件化信息应作为能力证据可获取。注:适当的措施可能包括,例如:向现有
31、人员提供培训、指导或重新分配工作;或者聘用或劳务雇用能够胜任的 人员。7.2.2聘用过程组织应针对其所有人员开发、确立、实施和维护以下过程:a)要求人员遵守组织的合规义务、方针、过程和程序,作为人员的聘用条件;b)在聘用后的适当期间内,新聘用人员能获得合规方针的副本或者有渠道获得合规方针,并获得 关于合规方针的培训;c)对于违反组织合规义务、方针、过程和程序的人员,应采取适当的纪律处分。作为聘用过程的一部分,组织应结合岗位和人员可能引发的合规风险,在任何聘用、调动和晋升之 前按要求进行尽职调查。组织应实施对绩效目标、绩效奖金和其他激励措施进行定期评审的过程,以验证是否有适当的措施 来防止鼓励不
32、合规。7.2.3培训组织应定期对有关人员进行培训I,培训应在聘用开始时和组织策划的时间间隔实施。培训应:a)适合于人员的岗位及其面临的合规风险;b)进行有效性评估;c)进行定期评审。结合已识别的合规风险,组织应确保实施程序对代表组织开展业务并可能给组织带来合规风险的 第三方进行培训I,提高其合规意识。培训记录应作为文件化信息予以保留。7.3 意识在组织控制下工作的人员应知道:合规方针;他们对合规管理体系有效性的贡献,包括改善合规绩效带来的效益;不符合合规管理体系要求的后果;-提出合规疑虑的方法和程序(见8.3);工作岗位的合规义务与合规方针的关系;支持合规文化的重要性。10GB/T 35770
33、2022/ISO 37301:20217.4 沟通组织应确定与合规管理体系有关的内部和外部沟通,包括:a)沟通什么,I)何时沟通,c)与谁沟通,d)如何沟通。组织应:结合沟通需求,综合考虑沟通的多样性和潜在障碍;确立沟通的过程,确保结合了相关方的意见;在确立沟通过程时:应将其合规文化、合规目标和义务纳入沟通内容;应确保所沟通的合规信息与来源于合规管理体系的信息一致且可信;对与合规管理体系相关的沟通内容进行回应;视情况,保留文件化信息作为其沟通的证据;在组织的各层级和职能内部沟通与合规管理体系有关的信息,视情况包括合规管理体系的 变更;确保人员能在沟通过程中为合规管理体系的持续改进做出贡献;确保
34、人员能在沟通过程中提出合规疑虑(见8.3);通过组织确立的沟通过程,对外沟通包括其合规文化、合规目标和义务在内的与合规管理体系 相关的信息。7.5文件化信息7.5.1 通则组织的合规管理体系应包括:a)本文件要求的文件化信息;b)组织确定的,对于合规管理体系有效性所必需的文件化信息。注:不同组织的合规管理体系文件化信息的程度可能不同,取决于:组织的规模及其活动、过程、产品和服务的类型;过程及其相互作用的复杂度;-人员的能力。7.5.2 文件化信息的创建和更新在创建和更新文件化信息时,组织应确保适当的:-标记和说明(例如,标题、日期、作者或文件编号),形式(例如,语言文字、软件版本、图形)和载体
35、(例如I,纸质的、电子的),针对适宜性和充分性的评审和批准。7.5.3 文件化信息的控制应控制合规管理体系和本文件要求的文件化信息,以确保其:a)在需要的场所和时间均可获得并适于使用;11GB/T 357702022/ISO 37301:2021b)得到充分保护(例如,防止泄密、不当使用或完整性受损)。为了控制文件化信息,组织应开展以下适用的活动:分发、访问、检索和使用;存储和防护,包括保持易读性;对变更的控制(例如,版本控制);保留和处置。对于组织确定的,策划和运行合规管理体系必要的、来自外部的文件化信息,应视情况进行识别,并 予以控制。注:访问可能意味着只允许查看文件化信息的权限,或者允许
36、并授权查看和变更文件化信息的权限。8运行8.1 运行的策划和控制为满足要求和实施第6章确定的措施,组织应通过以下方式策划、实施和控制所需的过程:一对过程确立准则;按照准则对过程实施控制。文件化信息应根据必要程度可获取,以便确认过程已按照策划得到实施。组织应控制已策划的变更,并评审非预期变更的后果,必要时采取措施减轻不利影响。组织应确保与合规管理体系相关的,由外部提供的产品、过程或服务受控。注:对组织运行的外包不会免除组织的法律责任或合规义务。组织应确保第三方过程得到控制和监视。8.2 确立控制和程序组织应实施控制以管理其合规义务和相关合规风险。应对这些控制进行维护、定期评审和测试,以 确保其持
37、续有效。注:测试控制是指实施经过设计的活动以检验控制是否按照既定目的运行,或者不能被规避,或者切实有效地降低 风险的后果或可能性。8.3 提出疑虑组织应确立、实施并维护一个报告过程,以鼓励和促进(在有合理理由相信信息真实的情况下)报告 试图、涉嫌或实际存在的违反合规方针或合规义务的行为。该过程应:-在整个组织内可见并可访问;对报告保密;接受匿名报告;保护报告者免于遭受打击报复;便于人员获得建议。组织应确保所有人员了解报告程序、了解其自身的权利和保障机制,并能运用相关程序。8.4 调查过程组织应开发、确立、实施并维护过程,以评估、评价、调查有关涉嫌或实际的不合规情形的报告,并做 出结论。这些过程
38、应确保能公平、公正的做出决定。12GB/T 357702022/ISO 37301:2021调查过程应由具备相应能力的人员独立进行,且避免利益冲突。组织应视情况利用调查结果改进合规管理体系(见第10章)。组织应定期向治理机构或最高管理者报告调查的次数和结果。组织应保留有关调查的文件化信息。9绩效评价9.1 监视、测量、分析和评价9.1.1 通则组织应对合规管理体系进行监视,以确保实现合规目标。组织应确定:需要监视和测量什么;适用的监视、测量、分析和评价的方法,以确保有效的结果;何时实施监视和测量;何时对监视和测量的结果进行分析和评价。文件化信息应作为结果证据可获取。组织应评价合规绩效和合规管理
39、体系的有效性。9.1.2 合规绩效的反馈来源组织应确立、实施、评价和维护能够使其从多种渠道寻求并获取合规绩效反馈的过程。组织应对信 息进行分析和严格评估,以确认不合规的根本原因,确保采取适当的措施,并在4.6要求的定期风险评 估中反映上述信息。9.1.3 指标的开发组织应开发、实施和维护一套适当的指标,以帮助组织评价其合规目标的实现情况并评估合规 绩效。9.1.4 合规报告组织应确立、实施和维护合规报告的过程,以确保:a)界定适当的报告准则;b)确立定期报告的时间表;c)实施非常规报告机制以便于临时报告;d)实施保证信息准确性和完整性的机制和过程;e)向组织中合适的职能或板块提供准确和完整的信
40、息,以便及时采取预防、纠正和补救措施。合规团队向治理机构或最高管理者提交的任何报告内容均应受到充分保护,以防止被修改。9.1.5 记录保存组织应保留合规活动准确且实时的记录,以协助监视和评审合规过程,并证实其符合合规管理体系 要求。13GB/T 357702022/ISO 37301:20219.2 内部审核9.2.1 通则组织应在策划的时间间隔内实施内部审核,以便为合规管理体系提供以下信息:a)是否符合:1)组织自身对合规管理体系的要求;2)本文件的要求。b)是否得到了有效地实施和维护。9.2.2 内部审核方案组织应策划、确立、笏舞维把3叫里.ul J贝伊、4、林耀求和报告。组织应根据相关好
41、的喊鞋和以往审核的结果,确立内部和益方案组织应:界定核的目标、准则和范围;.实施审核,以确保审核过程的客观性和公正性理者可能包括董 应作为实题 系审核指南应谊高管理保合规管理9.3.2 管理评审输以往管理阪梦耨哦眄的状况;与合规管理沼贿理就咽里部事项的变化 与合规管理体系着辎最褊如U期里耐丛关于合规绩效的信息,包括1)不符合、不合规与纠正措施,2)监视和测量的结果,3)审核结果;e)持续改进的机会。管理评审应体现:合规方针的充分性;合规团队的独立性;合规目标的达成度;一资源的充分性;合规风险评估的充分性;14GB/T 357702022/ISO 37301:2021现有控制和绩效指标的有效性;
42、与提出疑虑的人员、相关方沟通,包括反馈(见9.1.2)和投诉;调查(见8.4);一报告机制的有效性。9.3.3 管理评审结果管理评审的结果应包括持续改进的机会,以及变更合规管理体系的任何需要的决定。文件化信息应作为管理评审结果证据可获取。10 改进10.1 持续改进组织应持续改进合规管理体系的适宜性、充分性和有效性,10.2 不符合与纠正措施发生不符合或不合规时,组织应:a)对不符合或不合规做出反应,并且如适用:1)采取控制和纠正措施,2)处置后果;b)通过以下活动评价采取措施的需要,以消除产生不符合和/或不合规的原因,避免其再次发生 或在其他地方发生:1)评审不符合和/或不合规,2)确定产生
43、不符合和/或不合规的原因,3)确定是否存在或可能发生类似的不符合和/或不合规;c)实施任何所需的措施;d)评审所采取的任何纠正措施的有效性;e)如必要,变更合规管理体系。纠正措施应与不符合和/或不合规产生的影响相适应。文件化信息应作为以下事项的证据可获取:不符合和/或不合规的性质和所采取的任何后续措施;-任何纠正措施的结果。15GB/T 357702022/ISO 37301:2021A.1背景和范围A.1.1概述附录A(资料性)本文件使用指南1能采用的方法和措施类型。本指南不是全面性或规范性文件,组织建X性沐文件出道合规管理体系也义务实施本指南中的所有建议。组织宜就其所面临的合,晒险的修鳏幅
44、度采取合理步骤:脚鳏幅度采取合理步骤K惴0合涵 系作为一个单独的体系来实施淄Z情消起实施,例如风胸(反啕赂、质量、环境、信息安全和社会责任等。对X组类能参考ISO 31000、190坂;ISO 14001 JSO/IE C 27001 及 ISO 26000杂度或产的每但本,理体系了治理机布 相,因此如个术A.2规范性本文件无规使用者能参考参考文献了解其他信息以关的国际标准。A.3 术语和定义本文件采用了年。开圈际标准之间的一致性。HLS设定了组成ISO管理体系标准(Mssm悟和定义以及相同的核心条款。这意味着,一些定义能以不熟悉的方式使用。所提供的定义能在使用本文件时给予澄清说明。MSS的这
45、种共用方法增加了此类标准对使用者的价值。它对于选择运行一个(有时称为“融合”)管理体系的组织特别有用,该体系能同时满足两个或多个MSS的要求。没有采用MSS或合规管理框 架的组织能很容易地采用本文件作为其组织内的独立指南。有关 MSS和核心内容的更多信息,请访问:https:/www.iso.org/management-system-standards.htmL1)2021年发布的“ISO/IE C导贝ij.第1部分,2021,ISO综合补充件ISO专用程序”中已经将“高层结构”修改 为“协调结构”。16GB/T 357702022/ISO 37301:2021A.4组织环境A.4.1理解组
46、织及其环境本条的目的是协助组织对可能影响其合规管理体系的重要事项确立高层次(例如:战略性)的理解。所获得的知识将用于指导合规管理体系的策划、实施、运行和改进。这是评审组织所有可获得信息的过程,这些信息包括:该组织做什么、在哪里做、如何以及为什么 做。外部以及关键因素将基于它们对组织在合规义务方面产生的影响被予以评估。最明确的合规义务来源于组织运行的法律和监管环境,而义务或风险也可能来源于本文件中提及的其他因素。组织还宜结合可能产圾整18n宜结合内部因素。本文空炉的工面例。列表并不赢,将警其他与组织相关的因素。A.4.2理解相关方的需要漏期组织宜对可能必力体系、受合规管理体系影响或自认为受金规w
47、彘麟影响的人或组织 的需要和期望确推臀有些需要通黑蠹制性的为它们已邀啰型式要求,如法律、法规、执即 及政府或法管理层;员工;内部职能,诸如风险管理、内部控制、内部审核、人力资源等。A.4.3确定合规管理体系的范围确定合规管理体系的范围就是组织确立其合规管理体系所适用的物理边界和组织边界。在这个过 程中,组织选择在整个组织、组织内特定单元或特定职能内部实施合规管理体系时,具有自由度和灵 活性。通常情况下,合规管理体系会在整个组织中实施,如果组织由多个组织组成,合规管理体系会在所 有组织中实施,这样做的目的是为了避免在道德操守和合规方面的双重标准。17GB/T 357702022/ISO 3730
48、1:2021合规管理体系的范围宜合理且与组织相匹配.宜考虑组织所面临的合规风险的性质和程度。确立合规管理体系的范围和确定组织将采纳哪些需求时,宜结合对组织环境的理解和有关的相关 方的需求。A.4.4合规管理体系合规管理体系是一个框架,该框架是基本结构、方针、过程和程序的有机组合,其目的是实现预期的 合规结果,并发挥作用以预防、发现和响应不合规。通常,合规管理体系框架具有结构性特征:在必要的基础上构建这个体系。该体系需要通过方针、过程和程序的实施来使其运行,且对其进行维护和持续改进。合规管理体系包含诸多要件。其中某些要件是为满足预期行为而设计,某些要件用于防止非预期 行为而设计,而某些要件用于监
49、视组织的合规绩效或在发生不合规时提出警告。合规管理体系无法完全避免错误的发生,但有相应的过程确保对错误做出适当的反应,包括对过 程、体系和受影响方的补救。合规管理体系宜以良好治理、匹配性、诚信、透明、问责制和可持续性等原则为基础。合规管理体系宜作为文件化信息提供。A.4.5合规义务组织宜将合规义务作为建立、开发、实施、评价、维护和改进其合规管理体系的基础。组织强制遵守的要求能包括:-法律法规;许可、执照或其他形式的授权;监管机构发布的命令、条例或指南;一法院判决或行政决定;一条约、公约和协议。组织自愿选择遵守的要求能包括:一与社会团体或非政府组织签订的协议;与公共权力机构和客户签订的协议;一组
50、织的要求,如方针和程序;一自愿的原则或规程;自愿性标志或环境承诺;一与组织签署合同产生的义务;一相关组织的和产业的标准。组织宜按部门、职能和不同类型的组织性活动来识别合规义务,以便确定谁受到这些合规义务的 影响。获取关于法律和其他合规义务变更信息的过程能包括:列入相关监管部门收件人名单;成为专业团体的会员;订阅相关信息服务;一参加行业论坛和研讨会;一监视监管部门网站;与监管部门会晤;18GB/T 357702022/ISO 37301:2021与法律顾问洽商;监视合规义务来源(如监管声明和法院判决)。组织宜采取基于风险的方法,即组织宜首先识别出与业务相关的最重要的合规义务,然后关注所有 其他合
浙ICP备2021020529号-1 | 浙B2-20240490 
