9绩效评价
9.1监视、测量、分析和评价
9.1.1通则
组织应对合规管理体系进行监视,以确保实现合规目标。
组织应确定:
——需要监视和测量什么;
——适用的监视、测量、分析和评价的方法,以确保有效的结果;
——何时实施监视和测量;
——何时对监视和测量的结果进行分析和评价。
文件化信息应作为结果证据可获取。
组织应评价合规绩效和合规管理体系的有效性。
9.1.2 合规绩效的反馈来源
组织应确立、实施、评价和维护能够使其从多种渠道寻求并获取合规绩效反馈的过程。组织应对信息进行分析和严格评估,以确认不合规的根本原因,确保采取适当的措施,并在4.6要求的定期风险评估中反映上述信息。
9.1.3 指标的开发
组织应开发、实施和维护一套适当的指标,以帮助组织评价其合规目标的实现情况并评估合规绩效。
9.1.4 合规报告
组织应确立、实施和维护合规报告的过程,以确保:
a)界定适当的报告准则;
b)确立定期报告的时间表;
c)实施非常规报告机制以便于临时报告;
d)实施保证信息准确性和完整性的机制和过程;
e)向组织中合适的职能或板块提供准确和完整的信息,以便及时采取预防、纠正和补救措施。
合规团队向治理机构或最高管理者提交的任何报告内容均应受到充分保护,以防止被修改。
9.1.5 记录保存
组织应保留合规活动准确且实时的记录,以协助监视和评审合规过程,并证实其符合合规管理体系要求。
9.2内部审核
9.2.1 通则
组织应在策划的时间间隔内实施内部审核,以便为合规管理体系提供以下信息:
a)是否符合:
1) 组织自身对合规管理体系的要求;
2)本文件的要求。
b)是否得到了有效地实施和维护。
9.2.2内部审核方案
组织应策划、确立、实施和维护审核方案,包括频次、方法、职责、策划要求和报告。
组织应根据相关过程的重要性和以往审核的结果,确立内部审核方案。
组织应:
a)界定每次审核的目标、准则和范围;
b)选择审核员并实施审核。以确保审核过程的客观性和公正性:
c)确保向相关管理者和管理层报告审核结果
注1:相关管理者可能包括合规团队、最高管理者相治理机构。
文件化信息应作为实施重核力案和审核结果的证据可获取。
注2:管理体系审核指南见1S019011.
9.3管理评审
9.3.1通则
治理机构和最高管理者应在策明的时间间隔内对组织的合规管理体系进行评审,以确保合规管理体系持续的适宜性、充分性和有效性。
9.3.2管理评审输入
管理评审应包括:
a)以往管理评审所采取措施的状况;
b)与合规管理体系有关的外部和内部事项的变化;
c)与合规管理体系有关的相关方需要和期望的变化;
d)关于合规绩效的信息,包括以下方面的趋势,
1)不符合、不合规与纠正措施,
2)监视和测量的结果,
3)审核结果;
e)持续改进的机会。
——管理评审应体现;
——合规方针的充分性;
——合规团队的独立性;
——合规目标的达成度;
——资源的充分性;
——合规风险评估的充分性;
——现有控制和绩效指标的有效性;
——与提出疑虑的人员、相关方沟通,包括反馈(见9.1.2)和投诉;
——调查(见8.4);
——报告机制的有效性。
9.3.3管理评审结果
管理评审的结果应包括持续改进的机会,以及变更合规管理体系的任何需要的决定。
文件化信息应作为管理评审结果证据可获取
