ISO 37008:組織內部調查
近年來,ISO 發布了多項標準來指導組織制定、衡量和報告其合規計畫的關鍵方面。其中最引人注目的是ISO 37001 ,重點關注反賄賂和反腐敗,而另一個ISO 37031 提供了一般原則和要求,組織可以使用這些原則和要求圍繞任何主要合規計劃領域(例如盡職調查、出口管製或甚至是以 ESG 為重點的領域,例如人權)。
ISO 37008 的推出恰逢其時。鑑於幾項新的合規和 ESG 法律的出現和擴散,對報告和調查提出了關鍵要求(例如德國供應鏈盡職調查法、澳大利亞人權法以及美國反海外腐敗法和英國反賄賂法) ISO 37008 為組織提供瞭如何開發和管理這些領域的計劃的指導。
在本文中,我們將討論:
- 本標準概述的關鍵概念
- 組織如何透過獲得 ISO 37008 認證,更有效地管理合規性和 ESG 法規提出的報告和調查要求。
ISO 37008 的關鍵概念
ISO 37008 規定了五個領域來指導組織制定調查計劃,分別是:
- 核心原則
- 進行調查的資源和專業知識
- 制定政策和程序
- 報告
- 採取補救措施。
ISO 37008 支持大多數企業調查計畫所圍繞的傳統原則。這些原則提醒組織確保調查:
- 獨立的
- 機密的
- 由熟練的專業人員進行
- 客觀公正
- 根據適用法律進行。
ISO 37008 非常強調確保董事會(稱為「管理機構」)和高階主管(稱為「最高管理階層」)對調查計畫進行投資,以便有能力、熟練的資源來管理調查。雖然這似乎是顯而易見的,但該標準強調組織還必須證明致力於分配財務和物質資源來管理調查。該標準要求組織利用適當的技術平台來管理報告和調查,並投入財務資源投資這些產品。
除了技能、專業知識和資金之外,ISO 37008 還強調管理機構和最高管理層必須確保調查計劃的獨立性和公正性。如果您熟悉其他 ISO 合規標準(例如 ISO 37001),ISO 往往非常重視組織高層展示合規承諾。與其他框架不同,合規和道德的責任不僅僅由合規和 ESG 部門承擔;相反,董事會和高階主管需要確保他們自己與注重誠信的團隊之間有清晰的溝通,以便後者能夠履行其職責,並與組織高層建立直接溝通管道。
ISO 37008 要求組織制定政策來管理調查過程。雖然大多數大型組織已經制定了此類文件,但該標準強調了應在政策中明確描述的調查計劃的關鍵要素,如果您打算尋求認證,這一點至關重要。
ISO 37008 最有用的地方是第 8 節,它管理調查過程的規劃和執行。第 8 節中描述的關鍵方面之一是建立“報告線”,該線可以與執行調查工作的團隊分開。根據該標準,該報告路線應確保調查團隊的公正性,考慮是否需要聯繫當局(根據事件的性質),並評估對組織的風險和影響。調查小組應在調查進行時及時更新報告線路。
該標準還要求調查小組對潛在事件進行初步評估並記錄下來。雖然大多數組織可能都有適當的分類流程,但標準中所述的初步評估有助於確保組織清楚地記錄每次調查的關鍵方面,例如聯繫相關方、確定業務影響、考慮相關的環境和法律問題、並決定是否應尋求外部諮詢或支持。記錄初步評估的必要性也凸顯了利用軟件 或可以記錄此資訊的調查平台。
第 8 節還提供了有關調查技術方面的更深入信息,例如電子資料收集、保存、分析和審查。第 8 節的附錄列出了許多組織可以從中受益的有趣建議,包括:
- 透過標準所稱的「書面警告通知」向潛在事件的報告者強調確保保密性
- 實施“審查協議”,透過使用關鍵字、標籤和分類確保關鍵文件的有效管理
- 保持對調查的潛在幹擾的認識。
ISO 37008 概述了執行“最終確定流程”,該流程標誌著每次調查的結束,並且必須包括基於證據的調查結果和充分確定結果以啟動補救措施。
該標準規定了撰寫調查報告的關鍵要求。這些要求包括:
- 新增展品和重要配件
- 總結事實
- 列出限制和限制
- 透過組織文件保留標準來保護機密性。
再次,軟件 可以在這方面提供協助。
ISO 37008 最後的相關部分涵蓋了補救措施和利害關係人互動。當談到調查後採取有效行動時,該標準不僅僅是簡單地規定補救措施應該公平且與發現的問題成比例。相反,該標準強調公司需要識別合規差距和漏洞,以便對相關合規計畫領域進行長期改進。
關於與利害關係人互動的最後一部分涵蓋了溝通結果、後續步驟和向相關方報告的幾個方面。該標準涵蓋了向當局謹慎披露的主題,強調合規和誠信團隊應與理事機構和最高管理層討論調查結果,確定披露是否需要(或有益),並在溝通之前諮詢法律顧問。
將 ISO 37008 應用於關鍵合規性和 ESG 法律
根據 ISO 37008 中的準則和要求設計您的調查計劃可以幫助您更有效地遵守特定的合規性和 ESG 法律。
反海外腐敗法 (FCPA)
雖然對於公司應如何制定反腐敗計劃以滿足 FCPA 的要求並沒有嚴格的指導方針,但多年來一直使用的一份重要文件是司法部 (DOJ) 的「公司合規計畫評估」指南。在本文件中,司法部列出了檢察官在評估公司是否有潛在不當行為時可以使用的標準。
檢察官將評估的關鍵項目領域之一是組織的機密報告結構和調查過程,司法部表示這對於公司是否已建立公司治理機制具有「高度證明力」。檢察官將評估的許多具體因素符合 ISO 37008 的關鍵部分,包括:
- 制定適當的調查範圍的流程
- 採用方法確保調查獨立、客觀並記錄在案
- 為報告和調查方案所使用的機制和工具分配足夠的資金。
除了與 FCPA 相關準則保持一致之外,ISO 37008 還可以透過多種實用方式協助管理反腐敗事務,包括:
- 確保組織制定流程來處理有關常見賄賂計劃的問題和報告,例如向供應商提供回扣、設立行賄基金以誘使政府官員和客戶獲得不當商業優勢,以及違反公司禮品提供福利、餐飲和娛樂政策
- 提供有關實施數位和取證工具的指南,以研究和檢查描述潛在賄賂情況的文件和交易,例如電子郵件、簡訊、發票和收據
- 建立報告,清楚列出每項調查的指控、已知事實、涉及和受影響的個人以及結果
就確定公司如何以及是否應向當局披露潛在調查結果提供指導——具體而言,在《反海外腐敗法》背景下,這可能包括披露資訊以減輕處罰的嚴重程度或促使與執法當局達成延期或不起訴協議。
德國供應鏈盡職調查法案 (SCDDA)
SCDDA 於 2023 年初生效。為了遵守 SCDDA,公司必須實施管理系統來監控其營運和供應鏈中的相關風險。必須開發的一些關鍵流程包括:
- 政策聲明,規定了監測人權和環境風險的程序以及對供應商和員工的期望
- 允許員工、供應商和相關個人揭露潛在違規行為的報告程序
- 每年向政府當局報告盡職調查和調查的結果。
獲得 ISO 37008 認證可以讓組織更好地為遵守 SCDDA 做好準備。 ISO 37008 認證可確保實施有助於 SCDDA 合規性的多個流程,例如:
- 修訂政策,傳達除腐敗和人力資源問題等傳統問題外,公司報告關係還可用於披露潛在的人權和環境侵犯行為
- 建立可供內部和外部利害關係人使用的無障礙報告程序和工具
- 制定調查、管理和報告人權和環境問題的程序。
由於 SCDDA 要求第三方(供應商、客戶、相關個人)提供有關如何報告的信息,因此公司可能需要考慮在其網站上製定面向公眾的政策,同時保留概述調查程序的內部政策。
透過參考 ISO 37008 的要求,可以更輕鬆地實現 SCDDA 合規性。
企業可持续性 報告指令 (CSRD)
CSRD 於 2023 年初生效,要求企業報告可持续性 他們的商業行為。
CSRD 的第一個主要部分要求組織報告各種策略措施和目標可持续性,例如限制全球暖化的行動、到 2050 年實現碳中和的策略以及內部可持续性 政策以及組織的業務模式和策略的彈性可持续性。
CSRD 的第二個主要部分著重於盡職調查;對於該指令,「盡職調查」是指確定組織運作和供應鏈造成的不利影響的資訊收集過程。本節的關鍵方面之一是組織為預防、減輕、補救或結束組織造成的不利影響而採取的行動。透過引用 ISO 37008,組織可以確保其報告和調查流程已設定為現場和管理與以下方面相關的查詢:可持续性。雖然有些人可能會考慮可持续性 從法律角度來看,問題不太緊迫或不太相關,他們也應該記住可持续性 問題可能會影響那些沒有發言權或較少獲得追索權的人,例如受公司營運影響的當地社區、當地市場的客戶或供應商。透過包括可持续性 報告和調查中的問題,組織可以更輕鬆地管理其營運造成的不利影響,並確保準確揭露以遵守 CSRD。
結論
ISO 37008 為公司提供了一種標準化其報告和調查協議的方法,同時提供了一個框架來客製化這些流程,以管理新的和現有的合規性和 ESG 法規中的關鍵要求。從業務角度來看,該標準為組織提供了一種證明其內部合規流程符合最佳實踐的方法。