4组织环境
4.1理解组织及其环境
组织应确定与其宗旨相关的,并影响其实现合规管理体系预期结果的能力的内部和外部事项。
为此,组织应结合诸多事项,包括但不限于:
——业务模式,包括组织活动和运行的战略、性质、规模、复杂性和可持续性;
——与第三方业务关系的性质和范围;
——法律和监管环境;
——经济状况;
——社会、文化、环境背景;
——内部结构、方针、过程、程序和资源,包括技术;
——自身的合规文化。
4.2理解相关方的需要和期望
组织应确定:
——与合规管理体系有关的相关方;
——这些相关方的有关需求;
——哪些需求将通过合规管理体系予以解决。
4.3确定合规管理体系的范围
组织应确定合规管理体系的边界和适用性,以确立其范围。
注:合规管理体系的范围旨在理清组织面临的主要合规风险,以及合规管理体系适用的地理和/或组织边界,尤其当组织是较大实体的一部分时。
组织应根据以下内容确定合规管理体系的范围:
——4.1 提及的内部和外部事项;
——4.2.4.5和4.6提及的需求。
范围应作为文件化信息可获取。
4.4合规管理体系
组织根据本文件的要求,应建立、实施、维护和持续改进合规管理体系,包括所需的过程及其相互作用。
合规管理体系应反映组织的价值观、目标、战略和合规风险,并且应结合组织环境(见4.1)。
4.5合规义务
组织应系统识别来源于组织活动、产品和服务的合规义务,并评估其对运行所产生的影响。
组织应建立过程以:
a)识别新增及变更的合规义务 ,确保持续合规;
b)评价已识别的变更的义务所产生的影响,并对合规义务管理实施必要的调整。
组织应维护其合规义务的文件化信息。
4.6合规风险评估
组织应基于合规风险评估,识别、分析和评价其合规风险。
组织应通过将其合规义务与活动、产品、服务以及运行的相关方面关联,来识别合规风险。
组织应评估与外包的和第三方的过程相关的合规风险。
组织应定期评估合规风险,并在组织环境发生重大变化时进行评估。
组织应保留有关合规风险评估和应对合规风险措施的文件化信息。
