7支持
7.1资源
为建立、实施、维护和持续改进合规管理体系,组织应确定并提供所需的资源。
7.2 能力
7.2.1通则
组织应:
——确定在其控制下工作、影响合规绩效的人员所需的能力;
——确保这些人员在适当的教育、培训或经验的基础上胜任工作;
——适用时,采取措施获得所需的能力,并评价所采取措施的有效性。
适当的文件化信息应作为能力证据可获取。
注:适当的措施可能包括,例如:向现有人员提供培训、指导或重新分配工作;或者聘用或劳务雇用能够胜任的人员。
7.2.2聘用过程
组织应针对其所有人员开发、确立、实施和维护以下过程:
a)要求人员遵守组织的合规义务、方针、过程和程序,作为人员的聘用条件;
b)在聘用后的适当期间内,新聘用人员能获得合规方针的副本或者有渠道获得合规方针,并获得关于合规方针的培训;
c)对于违反组织合规义务、方针、过程和程序的人员,应采取适当的纪律处分。
作为聘用过程的一部分,组织应结合岗位和人员可能引发的合规风险,在任何聘用、调动和晋升之前按要求进行尽职调查。
组织应实施对绩效目标、绩效奖金和其他激励措施进行定期评审的过程,以验证是否有适当的措施来防止鼓励不合规。
7.2.3培训
组织应定期对有关人员进行培训,培训应在聘用开始时和组织策划的时间间隔实施。
培训应:
a)适合于人员的岗位及其面临的合规风险;
b)进行有效性评估;
c)进行定期评审。
结合已识别的合规风险,组织应确保实施程序对代表组织开展业务并可能给组织带来合规风险的第三方进行培训,提高其合规意识。
培训记录应作为文件化信息予以保留。
7.3意识
在组织控制下工作的人员应知道:
——合规方针;
——他们对合规管理体系有效性的贡献,包括改善合规绩效带来的效益;
——不符合合规管理体系要求的后果;
——提出合规疑虑的方法和程序(见8.3);
——工作岗位的合规义务与合规方针的关系;
——支持合规文化的重要性。
7.4 沟通
组织应确定与合规管理体系有关的内部和外部沟通,包括:
a)沟通什么,
b)何时沟通,
c)与谁沟通,
d)如何沟通。
组织应:
——结合沟通需求,综合考虑沟通的多样性和潜在障碍;
——确立沟通的过程,确保结合了相关方的意见;
——在确立沟通过程时;
●应将其合规文化、合规目标和义务纳人沟通内容;
●应确保所沟通的合规信息与来源于合规管理体系的信息一致且可信;
——对与合规管理体系相关的沟通内容进行回应;
——视情况,保留文件化信息作为其沟通的证据;
——在组织的各层级和职能内部沟通与合规管理体系有关的信息,视情况包括合规管理体系的变更;
——确保人员能在沟通过程中为合规管理体系的持续改进做出贡献;
——确保人员能在沟通过程中提出合规疑虑(见8.3);
——通过组织确立的沟通过程,对外沟通包括其合规文化、合规目标和义务在内的与合规管理体系相关的信息。
7.5文件化信息
7.5.1通则
组织的合规管理体系应包括:
a)本文件要求的文件化信息;
b)组织确定的,对于合规管理体系有效性所必需的文件化信息。
注:不同组织的合规管理体系文件化信息的程度可能不同取决于:
——组织的规模及其活动、过程、产品和服务的类型;
——过程及其相互作用的复杂度;
——人员的能力。
7.5.2文件化信息的创建和更新
在创建和更新文件化信息时,组织应确保适当的:
——标记和说明(例如,标题、日期、作者或文件编号);
——形式(例如,语言文字、软件版本、图形)和载体(例如,纸质的、电子的);
——针对适宜性和充分性的评审和批准。
7.5.3文件化信息的控制
应控制合规管理体系和本文件要求的文件化信息,以确保其:
a)在需要的场所和时间均可获得并适于使用;
b)得到充分保护(例如,防止泄密,不当使用或完整性受损)。
为了控制文件化信息,组织应开展以下适用的活动:
——分发、访问、检索和使用;
——存储和防护,包括保持易读性;
——对变更的控制(例如,版本控制);
——保留和处置。
对于组织确定的,策划和运行合规管理体系必要的、来自外部的文件化信息,应视情况进行识别,并予以控制。
注:访问可能意味着只允许查看文件化信息的权限,或者允许并授权查看和变更文件化信息的权限。
