8运行
8.1运行的策划和控制
为满足要求和实施第6章确定的措施,组织应通过以下方式策划、实施和控制所需的过程:
——对过程确立准则;
——按照准则对过程实施控制。
文件化信息应根据必要程度可获取,以便确认过程已按照策划得到实施。
组织应控制已策划的变更,并评审非预期变更的后果,必要时采取措施减轻不利影响。
组织应确保与合规管理体系相关的,由外部提供的产品、过程或服务受控。
注:对组织运行的外包不会免除组织的法律责任或合规义务。
8.2确立控制和程序
组织应实施控制以管理其合规义务和相关合规风险。应对这些控制进行维护、定期评审和测试,以确保其持续有效。
注:测试控制是指实施经过设计的活动以检验控制是否按照既定目的运行,或者不能被规避,或者切实有效地降低风险的后果或可能性。
组织应确保第三方过程得到控制和监视。
8.3提出疑虑
组织应确立、实施并维护一个报告过程,以鼓励和促进(在有合理理由相信信息真实的情况下)报告试图、涉嫌或实际存在的违反合规方针或合规义务的行为。
该过程应:
——在整个组织内可见并可访问;
——对报告保密;
——接受匿名报告;
——保护报告者免于遭受打击报复;
——便于人员获得建议。
组织应确保所有人员了解报告程序、了解其自身的权利和保障机制,并能运用相关程序。
8.4调查过程
组织应开发、确立、实施并维护过程,以评估、评价、调查有关涉嫌或实际的不合规情形的报告,并做出结论。这些过程应确保能公平、公正的做出决定。
调查过程应由具备相应能力的人员独立进行,且避免利益冲突。
组织应视情况利用调查结果改进合规管理体系(见第10章)。
组织应定期向治理机构或最高管理者报告调查的次数和结果。
组织应保留有关调查的文件化信息。
