ISO37301合規(guī)管理體系中有關(guān)合規(guī)調(diào)查過程的要求分析?
發(fā)布時間:2025-04-16 點擊:65
在我們的生活中,有很多的認證會被我們間接或直接接觸到,因此,我們會認識到一些常見的認證,其中譬如ISO37301合規(guī)管理體系認證,于是就想要知道ISO37301合規(guī)管理體系中有關(guān)合規(guī)調(diào)查過程的要求分析過程,感興趣的話,就跟小編一起去看看吧。
一、引言
合規(guī)是組織可持續(xù)發(fā)展的基石,是一個組織走向規(guī)范經(jīng)營的系統(tǒng)化過程。有效合規(guī)管理體系的一個特點,就是有一個良好的運行機制,對組織、及其人員或有關(guān)第三方的不當行為的任何指控或懷疑進行及時和徹底的調(diào)查。新版標準ISO37301[1]以ISO19600[2]:2014為基礎(chǔ)進行修訂,由一個指南性標準修訂為要求性標準,并在第八章新增了“8.4調(diào)查過程”(Investigationprocesses),對組織開展合規(guī)調(diào)查提出了要求。
二、新版標準對調(diào)查過程要求的分析
何為“調(diào)查”?新版標準對此并未明確定義,但同樣隸屬于國際標準化組織機構(gòu)治理標準化技術(shù)委員會(ISO/TC309)的另一個國際標準工作組-舉報工作組(WG3)正在制定的ISO/FDIS37002《舉報管理體系指南》則給出了定義,認為調(diào)查是指通過建立事實和客觀評價,以確定不當行為是否已經(jīng)發(fā)生、正在發(fā)生或可能發(fā)生及其發(fā)生程度的系統(tǒng)的、獨立的和記錄在案的過程[3]。
關(guān)于合規(guī)的調(diào)查過程,新版標準在8.4條款提出了以下五點要求。
1.組織應制定、建立、實施和保持過程以對可疑的或?qū)嶋H的不合規(guī)情況進行評估、評價、調(diào)查和關(guān)閉報告,這些過程應確保公平、公正的決策。
2.調(diào)查過程應由有能力的人員獨立進行,且不存在利益沖突。
3.適用時,組織應將調(diào)查結(jié)果用于改進合規(guī)管理體系。
4.組織應定期向治理機構(gòu)或最高管理者報告調(diào)查的數(shù)量和結(jié)果。
5.組織應保持調(diào)查的文件信息。
在確保調(diào)查過程公正、獨立方面,新版標準建議組織在適當時可設(shè)立獨立委員會監(jiān)督調(diào)查過程,并保證其完整性和獨立性。
同時,新版標準還建議組織建立一個調(diào)查報告機制,包括報告調(diào)查結(jié)果的級別等內(nèi)容。實踐中,法律有時會要求組織報告其不合規(guī)行為,在這種情況下,組織需要根據(jù)適用的法規(guī)或其他約定通知相應的監(jiān)管機構(gòu),即使法律沒有要求組織報告不合規(guī)行為,組織也可以考慮自愿向監(jiān)管機構(gòu)披露不合規(guī)行為,以減輕不合規(guī)的后果。
關(guān)于“文件信息”,新版標準給出的定義是“需要由組織控制和維護的信息及其所包含的媒介”。盡管新版標準并未對保留哪些文件信息以及如何保留提出進一步的要求,但實際上,保留文件信息是管理體系標準的通用要求,是體系運行規(guī)范的重要體現(xiàn)。文件信息可以任何格式和載體存在,并可來自任何來源。在合規(guī)調(diào)查方面,可考慮保留的文件信息包括舉報、計劃、證據(jù)、訪談、報告等調(diào)查過程中所有輸入和輸出的信息。在實踐中,這些文件信息往往也會被按照不同的保密等級進行保管。
三、如何應對新版標準對調(diào)查過程的要求
針對合規(guī)調(diào)查過程這部分的要求,本文認為,組織可從以下幾個方面進行應對并有效實施調(diào)查。
1.基于風險構(gòu)建合規(guī)調(diào)查機制
組織應基于風險建立調(diào)查機制。若有可靠的信息表明,員工或商業(yè)伙伴存在不當行為,或者在接到舉報或發(fā)現(xiàn)合規(guī)風險時,無論是最高管理層還是合規(guī)職能團隊,都應評估已知的事實和問題的潛在嚴重性,若現(xiàn)有的事實沒有足夠的理由或證據(jù)支撐決策,則應及時啟動調(diào)查,必要時終止與第三方的合作。調(diào)查必須徹底、獨立且具有分析性。
調(diào)查應由有能力的人員進行,他們可以來自合規(guī)職能團隊、內(nèi)部審計部門、法律部門或其他合適的管理者或第三方,這些人員必須是非被調(diào)查對象,也不存在任何利益沖突,并且具備豐富的調(diào)查經(jīng)驗。實踐中,合規(guī)調(diào)查通常由合規(guī)職能團隊組織執(zhí)行,若涉及跨國、跨領(lǐng)域、跨部門等,調(diào)查過程則應由合規(guī)職能團隊、內(nèi)部審計部門或法律部門的最高級別進行協(xié)調(diào)。
2.制定可執(zhí)行的調(diào)查計劃
啟動調(diào)查后,制定調(diào)查計劃是開展調(diào)查的關(guān)鍵。調(diào)查計劃應每周或根據(jù)需要更新,以便調(diào)查組成員和組織管理者及時獲得最新進展。在調(diào)查結(jié)束后,調(diào)查計劃也有助于調(diào)查報告的編制。
不同的調(diào)查計劃詳細程度各不相同,但一個完整的調(diào)查計劃應該包括預測、證明或反駁的要素、調(diào)查步驟、成功概率、預計完成日期五個不同階段,每個階段的特點和要求也不盡相同,如附表。
3.查明事實,收集必要的證據(jù)
調(diào)查應當及時查明事實,收集必要的證據(jù)。建議的調(diào)查途徑包括文檔收集、數(shù)據(jù)分析、詢問訪談等。在開始訪談和詢問之前,首先要熟悉與調(diào)查案件相關(guān)的政策規(guī)定,審查有關(guān)的文件和證據(jù),期間,防止銷毀證據(jù)及串通也是非常必要的。同時,盡可能保留相關(guān)的證據(jù)信息[4]。
此外,在執(zhí)行調(diào)查過程中,調(diào)查人員須明確以下“四個要”和“四個不要”。
(1)要考慮適用的法律。
(2)要注意誹謗的風險。
(3)要保護調(diào)查涉及的所有相關(guān)人員。
(4)要考慮潛在的刑事和民事責任、經(jīng)濟損失及對組織和個人聲譽的損害。
(5)不要把人員安全視為理所當然。
(6)不要以為人員會全力配合調(diào)查。
(7)不要忽視任何法律義務、組織的利益和上報的責任。
(8)不要相信有關(guān)人員會對問題和調(diào)查保密,直到事實已經(jīng)確定。
4.潛在不當行為的分析和補救
根據(jù)新標準要求,在適用時,組織應將調(diào)查結(jié)果用于改進合規(guī)管理體系。實際上,有效的調(diào)查機制能識別出不當行為、合規(guī)管理體系的漏洞以及管理者、最高管理者和治理機構(gòu)責任缺失的根本原因,嚴謹?shù)母蚍治瞿苤赋霾缓弦?guī)的程度和普遍性、涉及人員的數(shù)量和級別,以及不合規(guī)的嚴重性、持續(xù)時間和頻率。在調(diào)查過程中,組織可以從付款體系著手分析,如實施不當行為的資金是如何獲得的。
此外,調(diào)查組還應從全局審視現(xiàn)有的合規(guī)管理體系,包括哪些控制措施是無效的,禁止性措施是否得到了執(zhí)行,事前是否發(fā)現(xiàn)了不當行為,事前預警機制是否存在漏洞,可以采取哪些補救措施防止再次發(fā)生及解決根本問題,管理層是否需要擔責等。
5.建立報告機制和禁止報復機制
新標準對報告調(diào)查結(jié)果的級別也明確提出了要求。記錄調(diào)查與執(zhí)行調(diào)查一樣重要,組織應建立報告機制,包括向誰報告、如何報告、報告內(nèi)容、誰能獲取報告等內(nèi)容,報告的方式可根據(jù)實際情況選用書面調(diào)查報告、口頭調(diào)查報告、證明或宣誓書、非正式報告等形式。
對合規(guī)舉報、合規(guī)調(diào)查的打擊報復行為不會阻止、減少違規(guī)行為,反而會助長歪風邪氣,不利于組織的長遠發(fā)展。因此,管理者應從提升組織治理水平、幫助組織規(guī)避風險的高度認識合規(guī)舉報、合規(guī)調(diào)查的重要性,建立保密和禁止報復機制,在調(diào)查結(jié)果確定之前應對調(diào)查的進展情況保密,對于報告人的身份也應保密,除非該報告被用作收集進一步的證據(jù),且被用作證據(jù)本身。即將出臺的ISO37002《舉報管理體系指南》國際標準,也將為組織在保護舉報人方面提供更為具體的指引。
四、結(jié)論
合規(guī)調(diào)查是合規(guī)管理體系的有機組成部分。在合規(guī)或者賄賂方面,組織面臨的情況通常是復雜多樣的。要回應這些問題,必須明確誰來調(diào)查、調(diào)查的規(guī)模以及如何獲取相關(guān)的信息。此外,組織還應基于調(diào)查結(jié)果審視其合規(guī)程序,及時補救完善,充分發(fā)揮合規(guī)調(diào)查的積極作用,幫助組織識別風險,進一步完善合規(guī)管理體系。
ISO認證有哪些注意事項和潛規(guī)則?
ISO/TS16949汽車業(yè)質(zhì)量管理體系
在哪申報污水處理服務企業(yè)資質(zhì)有什么好處
80%的企業(yè),存在7大典型浪費!
ISO9001標準中條款刪減應該考慮的因素?
中國環(huán)境標志認證種類,環(huán)境標志認證中常見問題解答
淺談從技術(shù)領(lǐng)域角度認定最接近的現(xiàn)有技術(shù)
如何做好設(shè)備使用率的管理?
一、引言
合規(guī)是組織可持續(xù)發(fā)展的基石,是一個組織走向規(guī)范經(jīng)營的系統(tǒng)化過程。有效合規(guī)管理體系的一個特點,就是有一個良好的運行機制,對組織、及其人員或有關(guān)第三方的不當行為的任何指控或懷疑進行及時和徹底的調(diào)查。新版標準ISO37301[1]以ISO19600[2]:2014為基礎(chǔ)進行修訂,由一個指南性標準修訂為要求性標準,并在第八章新增了“8.4調(diào)查過程”(Investigationprocesses),對組織開展合規(guī)調(diào)查提出了要求。
二、新版標準對調(diào)查過程要求的分析
何為“調(diào)查”?新版標準對此并未明確定義,但同樣隸屬于國際標準化組織機構(gòu)治理標準化技術(shù)委員會(ISO/TC309)的另一個國際標準工作組-舉報工作組(WG3)正在制定的ISO/FDIS37002《舉報管理體系指南》則給出了定義,認為調(diào)查是指通過建立事實和客觀評價,以確定不當行為是否已經(jīng)發(fā)生、正在發(fā)生或可能發(fā)生及其發(fā)生程度的系統(tǒng)的、獨立的和記錄在案的過程[3]。
關(guān)于合規(guī)的調(diào)查過程,新版標準在8.4條款提出了以下五點要求。
1.組織應制定、建立、實施和保持過程以對可疑的或?qū)嶋H的不合規(guī)情況進行評估、評價、調(diào)查和關(guān)閉報告,這些過程應確保公平、公正的決策。
2.調(diào)查過程應由有能力的人員獨立進行,且不存在利益沖突。
3.適用時,組織應將調(diào)查結(jié)果用于改進合規(guī)管理體系。
4.組織應定期向治理機構(gòu)或最高管理者報告調(diào)查的數(shù)量和結(jié)果。
5.組織應保持調(diào)查的文件信息。
在確保調(diào)查過程公正、獨立方面,新版標準建議組織在適當時可設(shè)立獨立委員會監(jiān)督調(diào)查過程,并保證其完整性和獨立性。
同時,新版標準還建議組織建立一個調(diào)查報告機制,包括報告調(diào)查結(jié)果的級別等內(nèi)容。實踐中,法律有時會要求組織報告其不合規(guī)行為,在這種情況下,組織需要根據(jù)適用的法規(guī)或其他約定通知相應的監(jiān)管機構(gòu),即使法律沒有要求組織報告不合規(guī)行為,組織也可以考慮自愿向監(jiān)管機構(gòu)披露不合規(guī)行為,以減輕不合規(guī)的后果。
關(guān)于“文件信息”,新版標準給出的定義是“需要由組織控制和維護的信息及其所包含的媒介”。盡管新版標準并未對保留哪些文件信息以及如何保留提出進一步的要求,但實際上,保留文件信息是管理體系標準的通用要求,是體系運行規(guī)范的重要體現(xiàn)。文件信息可以任何格式和載體存在,并可來自任何來源。在合規(guī)調(diào)查方面,可考慮保留的文件信息包括舉報、計劃、證據(jù)、訪談、報告等調(diào)查過程中所有輸入和輸出的信息。在實踐中,這些文件信息往往也會被按照不同的保密等級進行保管。
三、如何應對新版標準對調(diào)查過程的要求
針對合規(guī)調(diào)查過程這部分的要求,本文認為,組織可從以下幾個方面進行應對并有效實施調(diào)查。
1.基于風險構(gòu)建合規(guī)調(diào)查機制
組織應基于風險建立調(diào)查機制。若有可靠的信息表明,員工或商業(yè)伙伴存在不當行為,或者在接到舉報或發(fā)現(xiàn)合規(guī)風險時,無論是最高管理層還是合規(guī)職能團隊,都應評估已知的事實和問題的潛在嚴重性,若現(xiàn)有的事實沒有足夠的理由或證據(jù)支撐決策,則應及時啟動調(diào)查,必要時終止與第三方的合作。調(diào)查必須徹底、獨立且具有分析性。
調(diào)查應由有能力的人員進行,他們可以來自合規(guī)職能團隊、內(nèi)部審計部門、法律部門或其他合適的管理者或第三方,這些人員必須是非被調(diào)查對象,也不存在任何利益沖突,并且具備豐富的調(diào)查經(jīng)驗。實踐中,合規(guī)調(diào)查通常由合規(guī)職能團隊組織執(zhí)行,若涉及跨國、跨領(lǐng)域、跨部門等,調(diào)查過程則應由合規(guī)職能團隊、內(nèi)部審計部門或法律部門的最高級別進行協(xié)調(diào)。
2.制定可執(zhí)行的調(diào)查計劃
啟動調(diào)查后,制定調(diào)查計劃是開展調(diào)查的關(guān)鍵。調(diào)查計劃應每周或根據(jù)需要更新,以便調(diào)查組成員和組織管理者及時獲得最新進展。在調(diào)查結(jié)束后,調(diào)查計劃也有助于調(diào)查報告的編制。
不同的調(diào)查計劃詳細程度各不相同,但一個完整的調(diào)查計劃應該包括預測、證明或反駁的要素、調(diào)查步驟、成功概率、預計完成日期五個不同階段,每個階段的特點和要求也不盡相同,如附表。
3.查明事實,收集必要的證據(jù)
調(diào)查應當及時查明事實,收集必要的證據(jù)。建議的調(diào)查途徑包括文檔收集、數(shù)據(jù)分析、詢問訪談等。在開始訪談和詢問之前,首先要熟悉與調(diào)查案件相關(guān)的政策規(guī)定,審查有關(guān)的文件和證據(jù),期間,防止銷毀證據(jù)及串通也是非常必要的。同時,盡可能保留相關(guān)的證據(jù)信息[4]。
此外,在執(zhí)行調(diào)查過程中,調(diào)查人員須明確以下“四個要”和“四個不要”。
(1)要考慮適用的法律。
(2)要注意誹謗的風險。
(3)要保護調(diào)查涉及的所有相關(guān)人員。
(4)要考慮潛在的刑事和民事責任、經(jīng)濟損失及對組織和個人聲譽的損害。
(5)不要把人員安全視為理所當然。
(6)不要以為人員會全力配合調(diào)查。
(7)不要忽視任何法律義務、組織的利益和上報的責任。
(8)不要相信有關(guān)人員會對問題和調(diào)查保密,直到事實已經(jīng)確定。
4.潛在不當行為的分析和補救
根據(jù)新標準要求,在適用時,組織應將調(diào)查結(jié)果用于改進合規(guī)管理體系。實際上,有效的調(diào)查機制能識別出不當行為、合規(guī)管理體系的漏洞以及管理者、最高管理者和治理機構(gòu)責任缺失的根本原因,嚴謹?shù)母蚍治瞿苤赋霾缓弦?guī)的程度和普遍性、涉及人員的數(shù)量和級別,以及不合規(guī)的嚴重性、持續(xù)時間和頻率。在調(diào)查過程中,組織可以從付款體系著手分析,如實施不當行為的資金是如何獲得的。
此外,調(diào)查組還應從全局審視現(xiàn)有的合規(guī)管理體系,包括哪些控制措施是無效的,禁止性措施是否得到了執(zhí)行,事前是否發(fā)現(xiàn)了不當行為,事前預警機制是否存在漏洞,可以采取哪些補救措施防止再次發(fā)生及解決根本問題,管理層是否需要擔責等。
5.建立報告機制和禁止報復機制
新標準對報告調(diào)查結(jié)果的級別也明確提出了要求。記錄調(diào)查與執(zhí)行調(diào)查一樣重要,組織應建立報告機制,包括向誰報告、如何報告、報告內(nèi)容、誰能獲取報告等內(nèi)容,報告的方式可根據(jù)實際情況選用書面調(diào)查報告、口頭調(diào)查報告、證明或宣誓書、非正式報告等形式。
對合規(guī)舉報、合規(guī)調(diào)查的打擊報復行為不會阻止、減少違規(guī)行為,反而會助長歪風邪氣,不利于組織的長遠發(fā)展。因此,管理者應從提升組織治理水平、幫助組織規(guī)避風險的高度認識合規(guī)舉報、合規(guī)調(diào)查的重要性,建立保密和禁止報復機制,在調(diào)查結(jié)果確定之前應對調(diào)查的進展情況保密,對于報告人的身份也應保密,除非該報告被用作收集進一步的證據(jù),且被用作證據(jù)本身。即將出臺的ISO37002《舉報管理體系指南》國際標準,也將為組織在保護舉報人方面提供更為具體的指引。
四、結(jié)論
合規(guī)調(diào)查是合規(guī)管理體系的有機組成部分。在合規(guī)或者賄賂方面,組織面臨的情況通常是復雜多樣的。要回應這些問題,必須明確誰來調(diào)查、調(diào)查的規(guī)模以及如何獲取相關(guān)的信息。此外,組織還應基于調(diào)查結(jié)果審視其合規(guī)程序,及時補救完善,充分發(fā)揮合規(guī)調(diào)查的積極作用,幫助組織識別風險,進一步完善合規(guī)管理體系。
ISO認證有哪些注意事項和潛規(guī)則?
ISO/TS16949汽車業(yè)質(zhì)量管理體系
在哪申報污水處理服務企業(yè)資質(zhì)有什么好處
80%的企業(yè),存在7大典型浪費!
ISO9001標準中條款刪減應該考慮的因素?
中國環(huán)境標志認證種類,環(huán)境標志認證中常見問題解答
淺談從技術(shù)領(lǐng)域角度認定最接近的現(xiàn)有技術(shù)
如何做好設(shè)備使用率的管理?