初步诊断
基于组织的性质、规模、组织活动特点、战略、方针和目标等情况,切实分析组织所处的环境,深入理解利益相关方的需求和期望;确定合规管理体系的范围;对照ISO 37301:2021合规管理体系标准要求、现有管理体系(如质量管理、环境管理、职业安全健康管理、信息安全管理、食品安全管理、企业社会责任管理、风险管理等等)及其运行情况进行初步诊断,明确存在的差距;筹划引入合规管理体系所需资源,包括但不限于财务、人力和技术资源,以及获得外部咨询和专业技能的机会、组织基础设施、专业发展情况、技术和关于合规管理与法律义务的参考资料,等等。
培训教育
开展相关培训教育活动,大力倡导合规文化,全面提升合规意识,深入理解ISO 37301:2021合规管理体系标准的要求,确保各职能、各层次中与合规管理有关的人员具备相应的能力;在雇佣或提拔现有人员之前,组织应进行尽职调查,等等。
策划和建立体系
按照ISO 37301:2021合规管理体系标准的要求全面识别合规义务、评估合规风险;合规风险包括固有合规风险和剩余合规风险。合规风险识别包括风险源的识别和合规风险情况的界定,形成合规风险源清单和合规风险情况清单。
按照ISO 37301:2021合规管理体系标准的要求明确领导作用、合规管理有关的职责和权限;建立合规方针;策划风险和机会的应对措施,确定合规目标;等等。合规风险评估是核心内容,一方面是合规管理体系实施的基础,另一方面也是合规管理资源分配的基础。
按照ISO 37301:2021合规管理体系标准的要求建立合规管理相关管理文件,和/或将合规管理体系的要求融入现有的管理文件之中;规定本组织对合规义务的全面承诺,明确合规管理运行准则;建立有效的内外部沟通机制;建立对违反合规方针或合规义务的行为进行举报的过程;建立不合规情形调查过程。针对组织活动中使用第三方或外包过程,进行有效的尽职调查,确保组织的合规标准和承诺不会降低,等等。
运行和评价体系绩效
按照ISO 37301合规管理体系标准要求和组织的文件要求运行合规管理体系,将合规措施纳入本组织的日常运作,识别合规义务,评估合规风险,践行合规承诺,培育合规文化;对有关合规控制措施进行维护、定期评估和测试,以确保其持续有效;对于试图、涉嫌或实际存在的违反合规方针或合规义务行为的举报,予以保密,保护举报者免遭打击报复;针对本组织、人员或有关第三方不当行为的任何指控或怀疑,进行及时、彻底的调查;在与第三方订立合同时,确保其活动的采购、运行、商业和其他非财务控制措施能够适当管理,降低合规风险;保持体系运行的必要证据,用以证实符合ISO 37301:2021合规管理体系标准要求;等等。
收集相关信息,评估合规管理体系的有效性和组织的合规绩效;从多种渠道收集合规绩效反馈,进行细致分析和严格评估;确定不合规的根本原因,确定采取适当的措施,必要时更新合规风险评估的结果;建立、实施和保持合规报告过程,确定报告准则,建立定期报告和临时报告机制,保证报告信息准确性、完整性,所报告的内容应得到充分保护,以防止被修改;实施内部审核和管理评审。
持续改进
持续改进合规管理体系的适宜性、充分性和有效性。发生不符合或不合规情形时,进行采取纠正、原因分析和相应的纠正措施,并评估所采取措施的有效性。
组织的内部、外部环境以及业务随着时间推移而变化,顾客的性质和适用的合规义务也随之变化。可能需要根据变化情况进行变更,此时需要按照ISO 37301:2021标准要求,考虑这些变化对合规管理体系、运行、资源可用性、合规风险评估、组织的合规义务等方面的影响。