0合規(guī)風(fēng)險管理指南合規(guī)風(fēng)險管理指南——應(yīng)用COS0企業(yè)風(fēng)險管理框架(2020年)12目次內(nèi)容頁碼附錄1:有效的合規(guī)與道德方案的要素31附錄2:國際上對合規(guī)和道德方案的認(rèn)可程度的提高373為什么需要此出版物來，合規(guī)專業(yè)人員使用了一個廣泛接受的合規(guī)和道德(C&E)方案框架，以防止和及時發(fā)現(xiàn)不合規(guī)行為和其他違法行為。C&E方案框架在附錄1中進(jìn)行了描述(如果讀者還不熟悉C&E方案的要素，建議在繼續(xù)之前閱讀附錄1)。與此同時，COS0企業(yè)風(fēng)險管理(企業(yè)風(fēng)險管理)框架已被風(fēng)險和其相結(jié)合，創(chuàng)建一個強(qiáng)大的工具，將這些有價概念整合在一起，從而為COSO企業(yè)風(fēng)險管理框架在識別、評什么是合規(guī)和與合規(guī)相關(guān)的風(fēng)險?CoSO將風(fēng)險定義為“事件發(fā)生并影響戰(zhàn)略和業(yè)務(wù)目標(biāo)實(shí)現(xiàn)的可能性”。該定義中考慮的風(fēng)險包括與所有業(yè)務(wù)目標(biāo)相關(guān)的風(fēng)險，包括合規(guī)性。合規(guī)風(fēng)險是指與可能違反適用法律、法規(guī)、內(nèi)部政策相關(guān)的風(fēng)險，此類違規(guī)可能會對組織或其人接或間接的財務(wù)責(zé)任、民事或刑事處罰、監(jiān)管影響。在本出版物中，與合規(guī)風(fēng)險相關(guān)的““不合規(guī)”或“違規(guī)”。盡管潛在行為(或不作為)是由個人實(shí)施的，但當(dāng)組織的員工于組織?？蓺w因于組織行為的確切范圍可因情況而異。在某些大多數(shù)違規(guī)行為要么本身就會造成傷害，要么有可能導(dǎo)致對個人、社區(qū)或組織的直接傷害?？赡芤蜻`規(guī)而受到損害的當(dāng)事人包括客戶(例如，違反隱私或數(shù)據(jù)安全法導(dǎo)致個人信息被侵犯和竊取，違反產(chǎn)品安全導(dǎo)致傷害，違反反壟斷法導(dǎo)致價格上漲),員工(如違反工作場所安全法規(guī)導(dǎo)致工人受傷、違反反歧視或舉報人保護(hù)法)或公眾(如違反環(huán)境法規(guī)導(dǎo)致疾病或死亡)。不然。這些其他風(fēng)險稱為“合規(guī)相關(guān)風(fēng)險”,可能包括與未能遵守專業(yè)標(biāo)準(zhǔn)、組織內(nèi)部政策(包括行為準(zhǔn)則和商業(yè)道德)以及合同義務(wù)相關(guān)的風(fēng)險。例如，利益沖突僅在有限的情況下代表違反法律法規(guī)(經(jīng)常涉及政府官員或項目)。專域清單(如環(huán)境、賄賂和腐敗),即使每個領(lǐng)域內(nèi)的具體合5美國衛(wèi)生與公眾服務(wù)部監(jiān)察長辦公室(HHSOIG)發(fā)布的指(HEAT)表示：“通過將合規(guī)官的職責(zé)與您的法律顧問和高對美國境外的一些指導(dǎo)意見進(jìn)行抽樣調(diào)查后程序，以最大限度地降低賄賂風(fēng)險。這些程①適當(dāng)?shù)某绦颌鼙M職調(diào)查⑤溝通(包括培訓(xùn))國際標(biāo)準(zhǔn)化組織(ISO)也發(fā)布了指南。其2016年ISO37001②對反賄賂管理體系的領(lǐng)導(dǎo)和承諾④為反賄賂管理體系提供充足的資源⑤員工的能力⑥有關(guān)反賄賂方針的意識和培訓(xùn)⑨反賄賂管理體系內(nèi)部審計⑩治理機(jī)構(gòu)定期評審反賄賂管理體系①合規(guī)義務(wù)(確定新的和變更的合規(guī)要求)③合規(guī)文革管理體系附錄2提供了更多關(guān)于C&E方案的例子。它表明，關(guān)于C&E合規(guī)風(fēng)險管理指南——應(yīng)用Coso企業(yè)風(fēng)險管理框架(2020年)6合規(guī)、內(nèi)部控制和企業(yè)風(fēng)險管理之間的關(guān)系由實(shí)體董事會、管理層和其他人員實(shí)施的過程，旨在為實(shí)現(xiàn)與運(yùn)營、報告和合規(guī)相關(guān)的目標(biāo)提供合理保證。取險評飾信息與溝通組織在創(chuàng)造、保持、實(shí)現(xiàn)價值的過程中賴以進(jìn)行風(fēng)險管理的，整合戰(zhàn)略刷定和執(zhí)行的文化、能力和實(shí)踐。圖1.2風(fēng)險管理組件l7職能和過程的一個重要組成部分。和管理者，但合規(guī)職能部門(由合規(guī)和道德專業(yè)人員組成的專門團(tuán)隊)可能位于組織結(jié)構(gòu)圖中的不同位置。在大多數(shù)組合規(guī)方案范圍內(nèi)的法律法規(guī)可能因行業(yè)和組業(yè)法風(fēng)險可以完全由人力資源職能部門管理同樣，道德可以被視為除合規(guī)之外的一項職能。然而，在許多組織中，然而，在許多組織中，合規(guī)和道德都屬于合大違規(guī)事件(包括高級領(lǐng)導(dǎo)的違規(guī)事件)方面的差距。8關(guān)于本指南①專業(yè)人員，如風(fēng)險管理者、內(nèi)部審計師和其他參與將②旨在使其C&E方案與組織范圍的企業(yè)風(fēng)險管理方案保③高級管理團(tuán)隊，以更好地理解合規(guī)風(fēng)險和C&E方④董事會成員，協(xié)助他們發(fā)揮監(jiān)督作用。標(biāo)。事實(shí)上，這種演變大多發(fā)生在COSO于2004年發(fā)布第一個始。第3至6章分別涵蓋了其他組成部分及治理和文化1.重事會行使風(fēng)險監(jiān)督2.建立運(yùn)營結(jié)構(gòu)3.定義期望的文化4.證實(shí)對核心價5.吸引、發(fā)展和留住有戰(zhàn)略和目標(biāo)設(shè)定6.分析業(yè)務(wù)環(huán)境7.定義風(fēng)險偏好8.評價備選戰(zhàn)略9.制定業(yè)務(wù)日標(biāo)◎◎10.識別風(fēng)險11.評估風(fēng)險的嚴(yán)重程皮12.對風(fēng)險進(jìn)行優(yōu)先排序13.實(shí)施風(fēng)險應(yīng)對14.建立風(fēng)險組合稅品修訂15.評估重大變化16.評審風(fēng)險和績效17.追求企業(yè)風(fēng)險管理的溝通與報告18.利用信息和技術(shù)19.溝通風(fēng)險信息20.風(fēng)險、文化和續(xù)效報告圖1.4常用術(shù)語和縮寫董事會或在適當(dāng)情況下由董事會授權(quán)負(fù)責(zé)合規(guī)監(jiān)首席合規(guī)官、首席合規(guī)和道德官，或與負(fù)責(zé)監(jiān)督C&E方案的最高級一個內(nèi)部委員會，由組織內(nèi)各部門和職能部門的員工組成，其任務(wù)是在整個組織運(yùn)營中與可能發(fā)生違反適用法律、法規(guī)、合同條款、標(biāo)準(zhǔn)或內(nèi)部政策的行為，并對組織產(chǎn)生負(fù)面財務(wù)或非財務(wù)影響司法部922③④證實(shí)對核心價值的承諾⑤吸引、發(fā)展和留住有能力的個體原則1——董事會行使風(fēng)險監(jiān)督在董事會中擁有合規(guī)專業(yè)知識非常寶貴，可·要求董事會監(jiān)督合規(guī)風(fēng)險管理和C&E方案，包括批準(zhǔn)其章程·確保董事會了解并證明對C&E方案的監(jiān)督(議程的常規(guī)部分、監(jiān)控合規(guī)指標(biāo)、定期·要求董事會包括一名具備合規(guī)專業(yè)知識的成員●提供輸入或批準(zhǔn)CCO的任命/解雇/重新分配，并確保獨(dú)立性·接收CCO的定期報告·確保董事會了解材料調(diào)查和補(bǔ)救措施，并提供意見構(gòu)視為具有沖突義務(wù)或優(yōu)先權(quán)的職能(如法律、財務(wù)等)。能部門未向董事會報告，則必須格外小心，以確保充足的資方案的監(jiān)督委托給董事會級別的合規(guī)委員會，則該委批準(zhǔn)的章程進(jìn)行運(yùn)營。章程詳細(xì)描述了委員會的職責(zé)(如會議頻率和性質(zhì)、向董事會報告)以及委員會成員的資格。監(jiān)管機(jī)構(gòu)和執(zhí)法機(jī)構(gòu)越來越多地將合規(guī)職能藏了好幾層?或者它是在一個非常高的執(zhí)行級別上被代表的?運(yùn)營結(jié)構(gòu)還應(yīng)包括其他關(guān)鍵的合規(guī)政策和程險評估方法和績效的政策和程序、考慮組建一個內(nèi)部合規(guī)委員會，由整個組織的代表組成、重大風(fēng)險事件發(fā)·保持CCO以及合規(guī)和道德職能的獨(dú)立性·確保CCO和C&E方案相對于其他職能領(lǐng)導(dǎo)具有較高的地位·授予CCO足夠的權(quán)限以有效管理方案·解決章程中的C&E方案監(jiān)督(包括授權(quán)給指定委員會，如適用)·制定重大合規(guī)風(fēng)險事件上報的協(xié)議/程序原則3——定義期望的文化對于組織來說，建立和保持合規(guī)和誠信的文達(dá)行為期望的方式制定。領(lǐng)導(dǎo)層還可以通過有意義地融入管理體系和薪酬/激勵薪酬流有助于設(shè)定文化期望的一個活動是，高級管一節(jié)中進(jìn)一步討論。特別是，容忍度，考慮與實(shí)現(xiàn)業(yè)務(wù)目標(biāo)相關(guān)的可接受的績效波動水平，應(yīng)考慮合規(guī)風(fēng)險的潛在影響，因為遵守法律、法規(guī)和其他要求本身應(yīng)是所有組織的主要業(yè)務(wù)目標(biāo)之一。合規(guī)文化的另一個方面是風(fēng)險意識。有一種這種文化中遵守是很重要的。但這種環(huán)境的溝通和培訓(xùn)也是促進(jìn)道德文化的重要工具，因為每一個都強(qiáng)化了合規(guī)和誠信的整體心態(tài)，同時也提高了對關(guān)鍵合規(guī)問題的認(rèn)識。因此，培訓(xùn)應(yīng)包括對行為準(zhǔn)則的定期討論，但也應(yīng)包括針對工作中暴露于這些風(fēng)險的員工群體的特定合規(guī)問題的培訓(xùn)?！ご_保董事會了解并批準(zhǔn)行為準(zhǔn)則/道德規(guī)范和其他關(guān)鍵合規(guī)政策·解釋行為準(zhǔn)則/道德規(guī)范中與道德和合規(guī)性相關(guān)的期望·為所有員工(包括董事會成員)提供并要求培訓(xùn)行為準(zhǔn)則和道德決策關(guān)鍵特征·對組織文化進(jìn)行持續(xù)監(jiān)控或評估·酌情制定與管理體系和薪酬相關(guān)的客觀可衡量的合規(guī)指標(biāo)·采取有意義的激勵措施，促進(jìn)持續(xù)執(zhí)行C&E方案·在領(lǐng)導(dǎo)層的溝通中提及組織價值觀、期望和道德的重要性對核心價值的承諾應(yīng)體現(xiàn)在價值聲明或其他一套指導(dǎo)原則中，以證明對合規(guī)和道德業(yè)務(wù)行為的承諾。越來越多的研究表明，道德文化與組織績效之間存在相關(guān)性，這與企業(yè)風(fēng)險管理創(chuàng)造價值的目標(biāo)一致。高層的基調(diào)在管理合規(guī)風(fēng)險方面發(fā)揮著重要作用。執(zhí)行團(tuán)隊設(shè)定的基調(diào)必須樹立合規(guī)和道德行為的榜樣。這一承諾必須在整個組織中層層溝通，因此，術(shù)語“基調(diào)”“來自高層”而不是“在高層”。組織內(nèi)的每一層領(lǐng)導(dǎo)——其他人的監(jiān)管人員和管理者——都必須溝通，并將這一基調(diào)溝通給下一層。然而，對合規(guī)和道德的承諾不僅僅需要確定基調(diào)。員工應(yīng)對其在管理合規(guī)風(fēng)險中的個人角色負(fù)責(zé)，這應(yīng)反映在工作描述、管理體系和激勵中。當(dāng)出現(xiàn)違規(guī)或不道德行為的指控時，必須嚴(yán)肅對待。這意味著個人應(yīng)被要求舉報違法行為，并有多種舉報途徑。一旦收到指控，應(yīng)及時遵循健全的調(diào)查程序，以評估指控的可信度。此外，舉報違法行為的個人必須感到安全，并受到保護(hù)以免遭到報復(fù)，才能使這一系統(tǒng)有效運(yùn)營。如果通過調(diào)查過程確認(rèn)存在違法行為，則應(yīng)采取與違法行為程度相適應(yīng)的懲戒措施。懲戒應(yīng)根據(jù)違法行為的性質(zhì)保持一致，而不考慮個人在組織結(jié)構(gòu)圖上的級別或在組織內(nèi)的影響·積極促進(jìn)合規(guī)風(fēng)險意識文化，包括領(lǐng)導(dǎo)層樹立道德和合規(guī)的基調(diào)·平衡業(yè)務(wù)激勵與實(shí)質(zhì)合規(guī)激勵●將管理(1)合規(guī)風(fēng)險和(2)合規(guī)方案實(shí)施的責(zé)任融入員工績效衡量、晉升和激勵計劃，特別是在高層關(guān)鍵特征·保護(hù)舉報涉嫌違法行為的人，對報復(fù)行為零容忍·認(rèn)真對待違法行為指控并及時調(diào)查·促進(jìn)組織公正，包括對違法行為的問責(zé)、紀(jì)律的公平性和一致性以及晉升的公平性·以適當(dāng)?shù)募?xì)節(jié)溝通從整個組織的合規(guī)和道細(xì)節(jié)可能會有所不同，""組織應(yīng)作出合理的努力，不將該組織知道或通過盡職調(diào)查COSO企業(yè)風(fēng)險管理框架表明，管理體系和建立適當(dāng)?shù)募顧C(jī)制是培養(yǎng)和留住個人的兩個重要因素。這合規(guī)風(fēng)險也至關(guān)重要。司法部(DOJ)指出，“有效實(shí)施合規(guī)計劃的標(biāo)志是建立對合規(guī)的激勵和對不合規(guī)的抑制?！逼谕奈幕?原則3)一樣，關(guān)于特定合規(guī)風(fēng)險主題的培訓(xùn)進(jìn)近年來，第三方(非雇員)引發(fā)了許多合規(guī)問題，尤其是那平，聘請第三方代表組織(例如供應(yīng)商、銷售代理、外包合作伙伴)開展活動時，本章所述的盡職調(diào)查概念也應(yīng)適用。評估的風(fēng)險水平而有所不同，盡職調(diào)查應(yīng)定表2.5吸引、培養(yǎng)和留住有能力的個人·雇傭并留住一名具有適當(dāng)經(jīng)驗/專業(yè)知識的CCO,以領(lǐng)導(dǎo)C&E方案·為合規(guī)團(tuán)隊配備具備相關(guān)專業(yè)知識的人員·執(zhí)行環(huán)境檢查，以篩選合規(guī)風(fēng)險，并根據(jù)與每個職位相關(guān)的風(fēng)險水平進(jìn)行調(diào)整·在準(zhǔn)備管理體系時，考慮員工執(zhí)行和遵守C&E方案的需求和期望·根據(jù)組織中特定角色遇到的合規(guī)風(fēng)險，適當(dāng)調(diào)整合規(guī)培訓(xùn)·對第三方進(jìn)行基于風(fēng)險的盡職調(diào)查3.合規(guī)風(fēng)險——戰(zhàn)略與目標(biāo)設(shè)定6⑦8⑦8⑨制定業(yè)務(wù)目標(biāo)原則6——分析業(yè)務(wù)環(huán)境的風(fēng)險或消除風(fēng)險。因此，合規(guī)風(fēng)險范圍的確定應(yīng)考慮組合規(guī)風(fēng)險的外部驅(qū)動因素也代表了識別和管要環(huán)境因素。最明顯的外部因素是涉及法律來了全新的合規(guī)風(fēng)險。外部驅(qū)動因素還包括外部因素可以是宏觀層面(例如，全行業(yè)競爭、經(jīng)濟(jì)狀況),也可以是微觀層面(例如地方或區(qū)域法律法規(guī)的變風(fēng)險的相互依賴也可能影響組織管理合規(guī)風(fēng)其他風(fēng)險(如戰(zhàn)略、財務(wù))的反應(yīng)可能會以積極或消極的方式表3表3.1分析業(yè)務(wù)環(huán)境關(guān)鍵特征原則7——定義風(fēng)險偏好著可能會違反法律，從而給組織帶來財務(wù)或非財務(wù)后果(例如罰款、停職或取消資格、聲譽(yù)損害)。在追求業(yè)務(wù)目標(biāo)和目標(biāo)主題(明確指出，此討論與接受已知違規(guī)行為無關(guān)；它是關(guān)于不可能消除不合規(guī)事件可能性的現(xiàn)實(shí)假設(shè))。業(yè)務(wù)目標(biāo)相關(guān)的可接受的績效波動水平——定風(fēng)險水平上定義的。度，但可能存在與個別合規(guī)風(fēng)險領(lǐng)域相關(guān)的單心的聲明。更常見的是，在確定和說明風(fēng)險偏業(yè)務(wù)目標(biāo)。單位(或職能)層面，每個小組通常都有自己獨(dú)特的合規(guī)風(fēng)1.董事會和管理層對偏好的看法3.組織文化基本要素，因此，在制定整個組織的總體風(fēng)慮到這一點(diǎn)。的可能性降至零。這根本不可能。因此，參與與合規(guī)風(fēng)險相關(guān)的風(fēng)險偏好討論是一個有價值的工具，有助于確定旨在預(yù)防和念一致：期望組織減少和管理合規(guī)風(fēng)險，而不●根據(jù)(1)風(fēng)險類型(如反賄賂)、(2)業(yè)務(wù)部門或組織職能(如人力資源)和(3)地點(diǎn)或地區(qū)考慮合規(guī)原則8——評價備選戰(zhàn)略合規(guī)職能部門應(yīng)從以下角度參與戰(zhàn)略討論：(1)理解戰(zhàn)略，以便C&E方案能夠適當(dāng)?shù)毓芾砗弦?guī)風(fēng)險；(2)向戰(zhàn)略決策者合規(guī)因素。風(fēng)險進(jìn)行適當(dāng)?shù)谋M職調(diào)查。該盡職調(diào)查對于并購決策過程非常重要，以便了解交易可能帶來的風(fēng)險水平，以及●確保CCO在戰(zhàn)略討論中占有一席之地·就戰(zhàn)略如何影響合規(guī)風(fēng)險征求CCO的意見和見解·在交易執(zhí)行前，對并購目標(biāo)進(jìn)行基于風(fēng)險的盡職調(diào)查·在C&E方案設(shè)計中考慮戰(zhàn)略決策(包括隨后的戰(zhàn)略變更)的影響與戰(zhàn)略相關(guān)聯(lián)，業(yè)務(wù)目標(biāo)是可測量的準(zhǔn)則，可據(jù)此對組織和各個業(yè)務(wù)單位進(jìn)行評價。業(yè)務(wù)目標(biāo)的制定也經(jīng)常會產(chǎn)生或影響違反合規(guī)的可能性。此外，如果遵守適用的法律、法規(guī)、合同條款和其他要求沒有通過其他既定的業(yè)務(wù)目標(biāo)明確解決，則應(yīng)將其視為自己的業(yè)務(wù)目標(biāo)。有時，為業(yè)務(wù)部門制定的績效指標(biāo)會在無意中產(chǎn)生違反合規(guī)要求的動機(jī)。舉一個簡單的例子，一家制造廠的員工受到積極的增產(chǎn)新目標(biāo)的激勵，如果生產(chǎn)團(tuán)隊將違反這些合規(guī)要求視為實(shí)現(xiàn)新目標(biāo)的可接受手段，那么這一目標(biāo)可能會導(dǎo)致質(zhì)量控制和檢驗的捷徑，從而導(dǎo)致產(chǎn)品安全違規(guī)。作為建立業(yè)務(wù)目標(biāo)的一部分，應(yīng)咨詢合規(guī)職能部門，其方式與原則8中所述的方式大致相同，以確保激勵措施的結(jié)構(gòu)適當(dāng)，以盡量減少不良行為的倡導(dǎo)，或確保此類激勵措施與適當(dāng)?shù)暮弦?guī)激勵措施相平衡。理想的情況是，合規(guī)部門參與業(yè)務(wù)目標(biāo)的制定，但至少要充分了解這些目標(biāo)和用于個人評價的績效指標(biāo)。還應(yīng)考慮風(fēng)險相互作用。隨著業(yè)務(wù)目標(biāo)和績效指標(biāo)在組織的某個領(lǐng)域發(fā)生變化，合規(guī)風(fēng)險可能會受到影響，無論是在同一業(yè)務(wù)部門還是在組織的其他領(lǐng)域。最后，正如績效指標(biāo)是業(yè)務(wù)部門的一個基本特征一樣，合規(guī)職能部門本身也應(yīng)該制定和監(jiān)控績效指標(biāo)。這些指標(biāo)解決并衡量了C&E方案和基礎(chǔ)設(shè)施在整個組織中的實(shí)際工作情況及其總體有效性?？珊饬康闹笜?biāo)和關(guān)鍵績效指標(biāo)(KPI)的例子包括培訓(xùn)完成率、對問題作出反應(yīng)的及時性、調(diào)查和實(shí)施糾正措施計劃、通過組織報告機(jī)制報告的問題數(shù)量、頻率和類型、隨時間推移的文化調(diào)查響應(yīng)，以及監(jiān)控各種內(nèi)部合規(guī)控制的指標(biāo)，如高風(fēng)險運(yùn)營地點(diǎn)的供應(yīng)商付款。盡管并非C&E方案的所有領(lǐng)域都易于客觀測量，但合規(guī)職能部門應(yīng)盡可能采取措施制定和監(jiān)控客觀指標(biāo)。表3.4制定業(yè)務(wù)目標(biāo)關(guān)鍵特征●根據(jù)業(yè)務(wù)目標(biāo)的變化，考慮合規(guī)性和其他風(fēng)險之間的相互作用·在業(yè)務(wù)目標(biāo)中包括客觀測量的合規(guī)指標(biāo)，反映合規(guī)風(fēng)險管理和C&E方案實(shí)施的有效性，并在激勵和其他薪酬決策中給予適當(dāng)?shù)臋?quán)重①評估風(fēng)險的嚴(yán)重程度原則10——識別風(fēng)險題。例如，直接涉及風(fēng)險的業(yè)務(wù)部門(如反壟斷、環(huán)境或洗錢)法，這種方法不是基于組織希望避免重復(fù)的中，在將合規(guī)風(fēng)險與所有其他風(fēng)險合并后，可能只有2或3認(rèn)知計算數(shù)據(jù)跟蹤面談關(guān)鍵指標(biāo)調(diào)查還可用于要求主要管理人員確定其所在地區(qū)定期處理的適用法律法規(guī)。無論采取何種方法，合規(guī)風(fēng)險的多樣性和復(fù)雜性都需要運(yùn)營管理者和風(fēng)險所有者參與風(fēng)險識別過程。這樣做的一種方法是在組織的各個層級上建立合規(guī)委員會。高層管理者和董事會也必須參與進(jìn)來，將C&E方案領(lǐng)導(dǎo)融入戰(zhàn)略規(guī)劃，以便他們能夠了解組織當(dāng)前和發(fā)展中的戰(zhàn)略以及相關(guān)的合規(guī)風(fēng)險，監(jiān)管機(jī)構(gòu)提供的信息也有助于識別新的和新興風(fēng)險，因為這些機(jī)構(gòu)中的許多機(jī)構(gòu)都會發(fā)布關(guān)于他們在哪里發(fā)現(xiàn)新的風(fēng)險和存在合規(guī)問題的警報。例如，美國證券交易委員會合規(guī)檢查和評審辦公室發(fā)布了特別風(fēng)險警報，美國衛(wèi)生部OIG發(fā)布了其工作計劃，以提醒組織注意被認(rèn)為是高風(fēng)險的領(lǐng)域。險。與第三方風(fēng)險特別相關(guān)的問題包括：1.與自己的員工相比，組織通?？刂苹虮O(jiān)督第三方工作的能力有所減弱。2.第三方通常沒有員工那樣強(qiáng)烈的動機(jī)來遵守合規(guī)和道德期望。3.第三方可能在遠(yuǎn)離組織總部的地理區(qū)域開展業(yè)務(wù)，有時法律、規(guī)范和習(xí)俗不同。由于這些原因，評估涉及第三方的風(fēng)險可能很復(fù)雜，但風(fēng)險評估應(yīng)在第三方參與時進(jìn)行，并在之后定期進(jìn)行。每個風(fēng)險評估、盡職調(diào)查過程以及后續(xù)監(jiān)控和審計的范圍應(yīng)考慮第三方所扮演的角色、重要性以及可能影響與每個第三方相關(guān)的風(fēng)險水平的其他因素。此外，合規(guī)風(fēng)險超出了組織的法律邊界。戰(zhàn)略聯(lián)盟中的第三方承包商、供應(yīng)商和合作伙伴可能會帶來重大的合規(guī)和道德風(fēng)并非所有合規(guī)風(fēng)險都會上升到實(shí)體層面并出現(xiàn)在企業(yè)風(fēng)險管理風(fēng)險登記冊中：然而，在大多數(shù)組織中，監(jiān)管變化的風(fēng)險將被融入實(shí)體層面的清單?！っ枋鑫募吆统绦蛑械暮弦?guī)風(fēng)險識別和評估過程·識別與所策劃戰(zhàn)略和業(yè)務(wù)目標(biāo)相關(guān)的合規(guī)風(fēng)險·評估內(nèi)部和外部環(huán)境以識別風(fēng)險·創(chuàng)建識別新的新興風(fēng)險的流程·考慮與使用第三方相關(guān)的風(fēng)險·考慮通過熱線、其他報告渠道收集的信息以及調(diào)查結(jié)果還可以考慮其他因素，稍后將對此進(jìn)行解釋。率。該事件(例如，銷售人員向政府官員非法付款以獲得合同)會每年發(fā)生一次還是每五年發(fā)生一次?這種判斷將基于經(jīng)驗或組織的歷史數(shù)據(jù)(如果這些數(shù)據(jù)可用)。進(jìn)入此評估在圖4.2中，發(fā)生的可能性是用五分制從圖4.2發(fā)生的可能性*5幾乎可以肯定·沒有政策或程序，沒有確定責(zé)任人，沒有培訓(xùn)，沒有管理評審預(yù)計在大多數(shù)情況下發(fā)生4可能的·政策和程序到位，但既沒有授權(quán)也沒有定期更新·未測試或測試結(jié)果不理想的控制措施·一些正式和非正式(在職)培訓(xùn)3可能的·控制措施只是偶爾測試，結(jié)果不一●偶爾進(jìn)行管理評審，但未記錄可能在某個時候發(fā)生至少發(fā)生的·定期授權(quán)和更新政策●對照品測試，結(jié)果大多為正面·為確定的負(fù)責(zé)人提供定期培訓(xùn)，但未記錄在案·定期進(jìn)行管理評審，但未記錄在案可能在某個時候發(fā)生至少10年一次1·定期測試控制措施，結(jié)果良好·為確定的負(fù)責(zé)人提供定期強(qiáng)制性培訓(xùn)，并記錄培訓(xùn)·定期進(jìn)行管理評審并記錄在案10年內(nèi)不到一次風(fēng)險嚴(yán)重程度的第二個組成部分是影響。影后果。另一個重要因素可能是合規(guī)和道德問題的聲譽(yù)影響。這一后果和其他后果(如制裁、停職和取消資格)可能會產(chǎn)生重大的間接財務(wù)影響，以及對士氣和其他難以衡量的因素的影·運(yùn)營——工廠停產(chǎn)、暫停營業(yè)、取消資格和喪失許可證可能導(dǎo)致業(yè)務(wù)運(yùn)營中斷·聲譽(yù)(形象)——媒體報道的影響；損害組織形象/品牌；以及隨后對當(dāng)前和潛在未來員工、業(yè)務(wù)伙伴、供應(yīng)商和客戶的吸引力降低·追求戰(zhàn)略目標(biāo)的能力——禁止增加新客戶·財務(wù)——與調(diào)查和補(bǔ)救相關(guān)的內(nèi)部和外部成本(例如，法律費(fèi)用、顧問、調(diào)查人員)圖4.3合規(guī)風(fēng)險的影響實(shí)現(xiàn)戰(zhàn)略目標(biāo)的1沒有影響2民事違法，罰款很少/沒有罰款100萬至500單個大客戶),但可恢復(fù)3不好的處罰500萬萬美元1天-1周負(fù)面媒體報道美國特定地區(qū)或外國醫(yī)療4極糟糕的事起訴一百萬1周-1個月美國國內(nèi)或國際媒體的負(fù)面報道(非頭版)重大違規(guī)、可能被持續(xù)的美國國內(nèi)(和國際)多人死亡或認(rèn)證或許可5災(zāi)難性的刑事定罪、失去認(rèn)一百萬>1個月負(fù)面媒體報道(商業(yè)部分頭多人永久殘疾#金額僅為示例：每個組織都應(yīng)該設(shè)定金額，以反映其規(guī)模和財務(wù)實(shí)力。化。對于多地點(diǎn)和跨國組織，風(fēng)險可能因各得到適當(dāng)評估，從而最大限度地減少偏差。可能性可能性·采用統(tǒng)一的量表/評分系統(tǒng)來衡量合規(guī)風(fēng)險的嚴(yán)重程度·考慮定性和定量措施·制定標(biāo)準(zhǔn)以評估合規(guī)風(fēng)險事件發(fā)生的影響和可能性·評估不同級別(組織、區(qū)域、分支機(jī)構(gòu)等)的風(fēng)險嚴(yán)重程度·考慮旨在預(yù)防或發(fā)現(xiàn)合規(guī)風(fēng)險事件的內(nèi)部控制的設(shè)計和運(yùn)行●在評估嚴(yán)重程度時盡量減少偏見和知識不足(例如，盡量減少自我評估，使用多學(xué)科團(tuán)隊)原則12——對風(fēng)險進(jìn)行優(yōu)先排序使用上一節(jié)中的示例比例，可以得出以下矩55421非常罕見4微不足道約5災(zāi)難性約2的3不好的極糟糕的解決問題所需的時間(即管理風(fēng)險到可容忍水平所需的時間),如實(shí)施改進(jìn)的供應(yīng)商盡職調(diào)查標(biāo)準(zhǔn)和程序以減少空殼公●根據(jù)與實(shí)現(xiàn)業(yè)務(wù)目標(biāo)相關(guān)的評估風(fēng)險級別，確定合規(guī)風(fēng)險的優(yōu)先級·使用基于評估的客觀評分·考慮使用其他評估標(biāo)準(zhǔn)(趨勢、速度等)確定合規(guī)風(fēng)險的優(yōu)先級·考慮戰(zhàn)略和運(yùn)營計劃變更的可能影響·制定基于風(fēng)險的緩解行動計劃(風(fēng)險應(yīng)對，下一步實(shí)施)原則13——實(shí)施風(fēng)險應(yīng)對對風(fēng)險水平升高的最明顯的反應(yīng)是設(shè)計和實(shí)方案的所有七個要素(如政策、培訓(xùn))。能是預(yù)防性的，也可能是檢查性的，理想的情況是將兩者結(jié)合起來。,但可能存在一些實(shí)際考慮因素，導(dǎo)致組織對某些減輕。風(fēng)險應(yīng)對可能涉及除改進(jìn)程序性內(nèi)部控制之種內(nèi)部控制形式，當(dāng)程序控制的設(shè)計合理時價值的回應(yīng)，但由于缺乏對如何應(yīng)用控制的部控制中的不合規(guī)紅旗或失效紅旗(也結(jié)合企業(yè)風(fēng)險管理原則18進(jìn)行了討論),可以成為審計和監(jiān)控職能的有力工具?；潭?。盡管一些控制響應(yīng)非常廣泛，適用于整個過應(yīng)可能要窄得多。這對于設(shè)計改進(jìn)的內(nèi)部控制以及某尤其重要。風(fēng)險和控制的評估可能會揭示漫長過程分的漏洞。例如，對玩具制造商違反產(chǎn)品安全的現(xiàn)，安裝在裝配線上的新機(jī)器特別容易受到以前機(jī)慮因素。與合規(guī)相關(guān)的控制和運(yùn)營效率之間系往往是一個需要注意的重要權(quán)衡。為了正確執(zhí)行風(fēng)險應(yīng)對措施，必須建立責(zé)任制。從直接受風(fēng)險影響的業(yè)務(wù)部門到組織內(nèi)的其他部門(如內(nèi)部審計、人力資源、信息技術(shù)、合規(guī)等),應(yīng)對責(zé)任通常由不同的小組共同承擔(dān)。因此，風(fēng)險應(yīng)對的確切性質(zhì)應(yīng)由將在執(zhí)行中發(fā)揮作用的各方商定。一旦完成，應(yīng)制定具體的執(zhí)行時施的實(shí)施和運(yùn)營效果。一個出色的應(yīng)對計劃行?！裨谠O(shè)計風(fēng)險應(yīng)對措施時，考慮對C&E方案各要素進(jìn)行修訂的潛在需求·設(shè)計合規(guī)風(fēng)險響應(yīng)，考慮對其他(不合規(guī))風(fēng)險和風(fēng)險響應(yīng)的影響關(guān)鍵特征·為每個合規(guī)風(fēng)險響應(yīng)分配責(zé)任(包括時間表等)·跟進(jìn)以確定合規(guī)風(fēng)險響應(yīng)是否已按設(shè)計正確實(shí)施●在制定監(jiān)控和審計計劃時考慮合規(guī)風(fēng)險應(yīng)對措施原則14——建立風(fēng)險組合觀施中，這些相互作用都是一個重要的考慮因素以導(dǎo)致識別某些風(fēng)險驅(qū)動因素，這些因素不一定會產(chǎn)產(chǎn)團(tuán)隊也將其流程中的緩慢確定為需要響應(yīng)的風(fēng)險，那么初在業(yè)務(wù)部門層面上看起來很重要的合規(guī)風(fēng)·考慮風(fēng)險互動(即，降低合規(guī)風(fēng)險如何影響其他風(fēng)險)·考慮合規(guī)風(fēng)險應(yīng)對措施與其他風(fēng)險應(yīng)對措施的相互作用·將合規(guī)風(fēng)險管理與企業(yè)風(fēng)險管理整合·在合規(guī)部門和業(yè)務(wù)部門之間定期舉行會議/溝通組織的法律、監(jiān)管和道德環(huán)境是不斷變化而技術(shù)進(jìn)步提高了溝通和活動的速度，擴(kuò)大了開展業(yè)務(wù)，這些地方的法規(guī)正在激增。利益本章描述了COSO企業(yè)風(fēng)險管理框架的評審和修訂部分15評估重大變化?評審風(fēng)險和績效組織內(nèi)部和外部環(huán)境的變化可能會對組織的合規(guī)風(fēng)險狀化。例如，一家科技公司決定在高度監(jiān)管的用第三方的轉(zhuǎn)變也可能導(dǎo)致合規(guī)風(fēng)險的潛在重大變化?；＠?，高級人員的變動可能導(dǎo)致風(fēng)險容化的重大轉(zhuǎn)變。增加的績效壓力(成本、銷售額、生產(chǎn)率、效率等)可能會影響風(fēng)險。合并和收購也會導(dǎo)致合規(guī)風(fēng)險的變由于法律法規(guī)在各個司法管轄區(qū)的擴(kuò)散，評估對合規(guī)風(fēng)險的·考慮新戰(zhàn)略計劃的實(shí)施如何影響合規(guī)風(fēng)險·考慮高級人員的變動如何影響合規(guī)風(fēng)險和/或風(fēng)險容忍·評估法律法規(guī)的變化·考慮執(zhí)法發(fā)展、監(jiān)管機(jī)構(gòu)的指導(dǎo)和其他趨勢·評估當(dāng)?shù)?區(qū)域環(huán)境的變化原則16——評審風(fēng)險和績效范圍內(nèi)得到管理。C&E方案績效評審的目標(biāo)不僅僅是為董事會和管理層提供必要德方案的有效性”的期望。全球各地不同監(jiān)二線角色(管理):·在工作流程、系統(tǒng)和整個組織層面上部署續(xù)改進(jìn)風(fēng)險管理工作(含內(nèi)部控制)認(rèn)·對風(fēng)險管理(含內(nèi)部控制)的準(zhǔn)確性和有效性進(jìn)行分析和報告預(yù)期將進(jìn)行兩種類型的評審：(1)根據(jù)不合規(guī)的評估可審；(2)定期評審C&E方案的總體績效和有效性。除了為的指導(dǎo)。會帶頭制定此類計劃，但不應(yīng)僅由合規(guī)部門劃。計劃的角色闡明對于盡量減少工作重復(fù)對措施，如何衡量應(yīng)對措施的有效性，以及一個有助于建立角色清晰性的模式是三線模式，前身為三道防線，由內(nèi)部審計師協(xié)會于2020年7月更新。該框架區(qū)分了有效風(fēng)險管理涉及的以下三組(或線):一線角色(管理):·領(lǐng)導(dǎo)并指揮各項業(yè)務(wù)(包括相關(guān)的管理風(fēng)險),運(yùn)用各種資·為組織的運(yùn)營和風(fēng)險管理(含內(nèi)部控制)工作搭建適當(dāng)?shù)慕Y(jié)構(gòu)和流程，并對其進(jìn)行維護(hù)第三線角色(內(nèi)部審計):·保持主要對組織治理機(jī)構(gòu)負(fù)責(zé)的狀態(tài)，獨(dú)立于管理層的各項職能之外·為管理層和治理機(jī)構(gòu)就組織治理和風(fēng)險管理工作(含內(nèi)部控制)的準(zhǔn)確性和有效性提供獨(dú)立客觀的確認(rèn)和咨詢，支持組織實(shí)現(xiàn)目標(biāo)，推動并協(xié)助組織不斷完善·將有損內(nèi)部審計獨(dú)立性和客觀性的情況報告給治理機(jī)構(gòu)，并根據(jù)要求采取保護(hù)措施機(jī)構(gòu)的職責(zé)，更簡單地說，董事會負(fù)責(zé)監(jiān)督合規(guī)和道德職能。CCO所在的最高層管理層負(fù)責(zé)建立旨在確保合規(guī)性的結(jié)構(gòu)和流程。下一級管理層負(fù)責(zé)提供專業(yè)知識、支持和監(jiān)督，以實(shí)現(xiàn)合規(guī)和道德期望。在這三條線之上是該組織的治理機(jī)構(gòu)。三線模式描述了治理圖5.1顯示了如何使用該模式為高風(fēng)險地區(qū)(學(xué)術(shù)醫(yī)療中心的利益沖突)設(shè)計審計和監(jiān)控計劃。圖5.1高風(fēng)險地區(qū)的審計和監(jiān)控計劃內(nèi)部審計在風(fēng)險評估期間確定利益沖突(COI)·報告未經(jīng)授權(quán)的供應(yīng)商代表和展示·采購和藥房供應(yīng)商注冊庫·研究沖突數(shù)據(jù)庫交叉檢查●根據(jù)應(yīng)付賬款差旅報銷審計10%的外部差旅付款·COI披露的2級評審除了對高風(fēng)險進(jìn)行審計和監(jiān)控外，對整個C&E方案進(jìn)行評審是必要的，以為董事會和執(zhí)行管理層提供必要的保證，這也是原則17和持續(xù)改進(jìn)C&E方案的努力的一部分。該評審包括定期評估整個C&E方案的有效性?？梢圆扇《喾N方法。評審可以由合規(guī)和道德職能部門的成員在自我評審中進(jìn)行，也可以由組織的內(nèi)部審計職能部門或外部服務(wù)供方進(jìn)行。評審至少應(yīng)確保C&E方案包含附錄1 (或其他適用標(biāo)準(zhǔn))中描述的有效合規(guī)方案的所有要素，并確保其有效運(yùn)行。另一個可以利用的資源是司法部為聯(lián)邦檢察官提供的《企業(yè)合規(guī)計劃評估指南》,供他們在評估C&E方案的有效性時使用。2本指南針對組織的C&E方案提出了以下三個基本問題：1.組織的C&E方案設(shè)計得好嗎?2.該方案是否得到認(rèn)真和真誠的應(yīng)用；換言之，該方案是否有足夠的資源和權(quán)力有效運(yùn)營?3.C&E方案在實(shí)踐中有效嗎?要確定這三個問題的答案，需要對有效方案的每個要素進(jìn)行進(jìn)一步的調(diào)查，并對整個C&E方案進(jìn)行評估。出問題。違法行為，包括對C&E方案進(jìn)行適當(dāng)修統(tǒng)數(shù)據(jù)趨勢分析(包括監(jiān)控和審計結(jié)果以及其他數(shù)據(jù))其他機(jī)制包括離職面談的信息——詢問員工是否觀察到組織中的違法行為一一定期員工調(diào)查，以及合規(guī)培訓(xùn)參與者的反饋?！じ鶕?jù)合規(guī)和道德標(biāo)準(zhǔn)監(jiān)控績效，并在管理層和董事會層面進(jìn)行報告·制定高優(yōu)先級風(fēng)險的監(jiān)控計劃，明確分配三條線的保證責(zé)任，并設(shè)定明確的績效預(yù)期·確保內(nèi)部審計在評審實(shí)體風(fēng)險和績效時考慮合規(guī)風(fēng)險·確保年度C&E方案工作計劃反映風(fēng)險評估(交叉引用)●在第三方合同中加入適當(dāng)?shù)膶徲嫏?quán)條款，以便于監(jiān)督和審計·從合規(guī)培訓(xùn)、熱線報告、員工調(diào)查和離職面談的參與者處獲得反饋·要求糾正措施計劃的實(shí)施是管理層和董事會監(jiān)控的重要指標(biāo)·對所經(jīng)歷的合規(guī)風(fēng)險事件執(zhí)行根本原因分析原則17——追求企業(yè)風(fēng)險管理的改進(jìn)16解釋了使用各種機(jī)制來確定組織及其環(huán)境中的重大變化以及確定方案有效性差距的重要性。然而，僅CCO應(yīng)定期與董事會以及組織內(nèi)部合規(guī)委員會(如有)舉行會劃，并指定時間表和具體責(zé)任。應(yīng)跟蹤行動計劃的進(jìn)展，并采取適當(dāng)?shù)暮罄m(xù)行進(jìn)行基準(zhǔn)分析。這通常是在同一行業(yè)內(nèi)完成的；過于狹隘，因為行業(yè)內(nèi)合規(guī)方案的成熟度存其他行業(yè)，尤其是那些因其監(jiān)管環(huán)境而應(yīng)對·保持對合規(guī)風(fēng)險管理當(dāng)前趨勢的認(rèn)識(通過培訓(xùn)、評審監(jiān)管指南等)·確保合規(guī)性定期自我評估C&E方案的績效·從董事會獲得關(guān)于共享合規(guī)風(fēng)險信息的質(zhì)量和有用性的反饋·考慮對C&E方案進(jìn)行定期獨(dú)立評估·考慮將C&E方案與類似組織進(jìn)行比較·定期評審合規(guī)風(fēng)險評估流程的有效性·確保內(nèi)部審計在定期評估C&E方案的有效性方面發(fā)揮積極作用訓(xùn)，與其他方法(如基于課堂的實(shí)況培訓(xùn))相比，具有改進(jìn)交易或活動的危險信號。這些測試可以針對(1)旨在防止不合規(guī)的內(nèi)部控制的失效，(2)不合規(guī)的實(shí)例或模式，(3)旨在檢測不合規(guī)的內(nèi)控失效，或(4)不合規(guī)其他指標(biāo)或影響。數(shù)據(jù)分析通過數(shù)字記錄來識別與這四例如，數(shù)字標(biāo)記可以指示某些合規(guī)內(nèi)部控制(例如，當(dāng)以電子方式進(jìn)行時，數(shù)字證據(jù)是否與主審和批準(zhǔn)的預(yù)期一致?)。數(shù)字證據(jù)還可以揭示與不合規(guī)行為跡象。分析還可以應(yīng)用于非結(jié)構(gòu)化數(shù)據(jù)，以識的異常。技術(shù)使組織能夠掃描或主動監(jiān)控電子溝通(例如，電子郵件、短信等)或其他文本(例如，對采購訂單的解釋、日記條目等),以發(fā)現(xiàn)不道德活動的跡象。例如，管理者和下屬從而增加員工凌駕于關(guān)鍵合規(guī)控制之上的風(fēng)信息和技術(shù)的另一種用途是對通過組織的?！ご_保合規(guī)能夠訪問與有效管理合規(guī)風(fēng)險相關(guān)的所有信息·提供相關(guān)信息技術(shù)/數(shù)據(jù)分析技能的合規(guī)性或獲取此類技能的途徑●在監(jiān)控/審計中使用數(shù)據(jù)分析(監(jiān)控內(nèi)部控制的合規(guī)性和績效)·創(chuàng)建自動化儀表板/報告以監(jiān)控合規(guī)性·利用技術(shù)提供有效的合規(guī)和道德培訓(xùn)·利用技術(shù)促進(jìn)風(fēng)險評估過程(評分、報告等)熱線電話可能是一個有價值的信息來源，涉及特定的不合規(guī)或不道德工作場所行為的指控。在展開全面調(diào)查或約談員工之前，可以利用數(shù)據(jù)分析來評估指控的可信度或幫助確定調(diào)信息和技術(shù)還可用于為管理者提供儀表盤或部門定制的報告(在原則20中進(jìn)一步討論)。及時了解與合規(guī)相關(guān)的活動和監(jiān)控工作的結(jié)果，使管理人員原則19——溝通風(fēng)險信息作伙伴識別和管理威脅組織的合規(guī)和道德風(fēng)德風(fēng)險的質(zhì)量培訓(xùn)和信息，并對合規(guī)事項的應(yīng)。共同使命。這種溝通是雙向的，而不僅僅是案。規(guī)意識的廣泛聲明應(yīng)該來自最高層的管理層和董事會者和主管應(yīng)該開發(fā)和交付更適合于各個部門、職合規(guī)溝通的一個通常被忽視的領(lǐng)域與上報策披露。例如，如果一項違法行為指控針對的低級別的員工，那么負(fù)責(zé)調(diào)查這類事件的團(tuán)隊溝通的最后一步涉及董事會或其指定委員會，如原則1大部分溝通都是通過原則20中所述的報告完成的。合規(guī)風(fēng)險自解釋報告中提到的問題，提供有意義的信息，表6.2溝通風(fēng)險信息·確保員工就其在C&E方面的角色得到明確和定期的溝通·要求CCO定期向董事會報告·制定協(xié)議并確保明確了解上報政策·提供合規(guī)風(fēng)險溝通，支持并與培訓(xùn)和工作職責(zé)相關(guān)●在運(yùn)營管理和合規(guī)之間進(jìn)行有效的雙向溝通負(fù)責(zé)合規(guī)風(fēng)險監(jiān)督的董事會級委員會(如果有)、高級執(zhí)行團(tuán)隊、任何內(nèi)部合規(guī)委員會(如果有)以及組織內(nèi)的適當(dāng)管小組的獨(dú)特需求和職責(zé)進(jìn)行調(diào)整，報告的頻率也應(yīng)如和重大績效的有意義合規(guī)指標(biāo)、,有關(guān)合規(guī)相關(guān)調(diào)查、合規(guī)風(fēng)險管理報告應(yīng)處理外部產(chǎn)生的風(fēng)險以及內(nèi)部風(fēng)險(如員工行為)產(chǎn)生的風(fēng)險。第三方風(fēng)險管理是C&E方案的重要因此，應(yīng)就第三方供應(yīng)商、銷售代理和可能給組織帶來通常，涉及調(diào)查的文件僅由合規(guī)、法律和/評審。在采取法律行動或政府調(diào)查時，妥善護(hù)這些材料和記錄至關(guān)重要，每一次與合規(guī)性相關(guān)的調(diào)查都應(yīng)做好記錄，包括事件時間表和沿途采取的還是使用更簡單的工具，維護(hù)此記錄都是C&E方案的重要組合規(guī)風(fēng)險管理的調(diào)查要素的需求和有效性?！ざㄆ趫蟾婧弦?guī)和道德風(fēng)險評估以及針對關(guān)鍵利益相關(guān)方需求的相關(guān)補(bǔ)救措施·制定并報告與C&E方案有效性相關(guān)的有意義的運(yùn)營和重大指標(biāo)●使用案例管理和報告系統(tǒng)進(jìn)行調(diào)查和結(jié)果·制定并遵循一項政策，明確說明報告所有重大補(bǔ)救措施的性質(zhì)附錄1美國聯(lián)邦量刑指南(USSG)8B2.1(b)小節(jié)中描述了有效合規(guī)和道德方案的七個要素，如下所示：行為：報復(fù)。(7)在發(fā)現(xiàn)犯罪行為后，該組織應(yīng)采取合理措施，對防止進(jìn)一步的類改進(jìn)，都必須到位并運(yùn)行良好，才能認(rèn)為該計劃有效。應(yīng)該針，但可能遠(yuǎn)不止是組織的“指導(dǎo)方針”?！皯?yīng)”一詞與這些要素相關(guān)出現(xiàn)了17次，許多人認(rèn)為，這些準(zhǔn)則代表了建立標(biāo)準(zhǔn)和程序諾。這從業(yè)務(wù)行為和道德準(zhǔn)則開始。該準(zhǔn)則應(yīng)適用于某些第三方，如供應(yīng)商和供應(yīng)商，在這方面，合規(guī)職能類似于內(nèi)部審計職能，獨(dú)重要。從日常運(yùn)營的角度來看，最高合規(guī)專報，以便合規(guī)官能夠在不受其他管理層成員干擾盡管董事會提供監(jiān)督，但管理層負(fù)責(zé)執(zhí)行該方案所需的資源和信息。在2020年6月修訂的《企業(yè)合規(guī)方但內(nèi)部合規(guī)委員會可能是一種非常有效的方案政策為該計劃的運(yùn)營提供了框架。重大政策解會的角色和職責(zé)的政策和程序；舉報涉嫌違法重大政策側(cè)重于通過溝通組織對員工行為與的期望，來預(yù)防和發(fā)現(xiàn)特定的違規(guī)行為(如賄賂、虛假索賠、反壟斷、環(huán)境、記錄保留)。治理、監(jiān)督和權(quán)威保持匯報關(guān)系，即使與另一個執(zhí)行職位(如首席執(zhí)行官)也有匯報關(guān)系。此類合規(guī)委員會的另一個好處是跨職能領(lǐng)域的協(xié)作和投入創(chuàng)造了價值，以支持C&E方案的總體目標(biāo)。合規(guī)監(jiān)督的最后一個關(guān)鍵要素是確保對這些職能部門或委員會的角色和職責(zé)有明確的書面理解。這可以以章程或政策的形式記錄。授權(quán)盡職調(diào)查組織應(yīng)在雇傭新員工之前進(jìn)行環(huán)境調(diào)查，并在法律允許或要求的情況下進(jìn)行額外的定期檢查。此外，在將員工提升至更具權(quán)威的職位時，組織應(yīng)考慮該人員過去對組織C&E方案的支持(或未能支持或執(zhí)行)。環(huán)境調(diào)查的級別和類型應(yīng)根據(jù)每個員工在合規(guī)風(fēng)險方面的角色，與每個員工的職位相對應(yīng)。USSG將這一期望與“重大權(quán)力人員”聯(lián)系起來，申請書中的術(shù)語定義為“在其權(quán)力范圍內(nèi)代表組織行使重大自由裁量權(quán)的個人”,并指出這些個人可能被視為管理層，也可能不被視為管理層。明確的推斷是，盡職調(diào)查的范圍應(yīng)該隨著責(zé)任水平的增長而增長。合規(guī)部可能希望與人力資源和其他職能部門合作作出這些決定。盡管大多數(shù)涉及合規(guī)主題的培訓(xùn)都是以傳統(tǒng)課堂式演示或在線、網(wǎng)絡(luò)課程的形式進(jìn)行的，但培訓(xùn)也可能涉及其他形式的教育和交流。例如，可以使用電子郵件或公司通訊通知員工，或加強(qiáng)有關(guān)新的或更改的合規(guī)要求的傳統(tǒng)培訓(xùn)。溝通還可以解決從組織所經(jīng)歷的合規(guī)失敗中吸取的經(jīng)驗教訓(xùn)。組織有時可能會對第三方的合規(guī)失敗負(fù)責(zé)。因此，應(yīng)根據(jù)對相關(guān)合規(guī)風(fēng)險類型和級別的評估，考慮對每個第三方進(jìn)行培訓(xùn)。最后，其他形式的一般溝通也有助于創(chuàng)建和維護(hù)合規(guī)和道德文化。例子包括CEO的支持性消息、公司通訊中的信息性文章等。系統(tǒng)廣義上的監(jiān)控是指評估流程是否按預(yù)期運(yùn)行，以改進(jìn)比，"審計"是指獨(dú)立于系統(tǒng)的個人進(jìn)行的評估。審計和監(jiān)控都使用同一套方法和技術(shù)，目的是確保系統(tǒng)性能的質(zhì)量，并為其持續(xù)改進(jìn)做出貢獻(xiàn)(見圖a.1)。盡管USSG中沒有明確規(guī)定，但監(jiān)管機(jī)構(gòu)越來越期望組織對第三方進(jìn)行適當(dāng)程度的盡職調(diào)查，這些第三方會給組織帶來或涉及合規(guī)風(fēng)險。例如，如果一家公司利用位于另一個國家的第三方代表該組織，或向該國的客戶銷售產(chǎn)品，則應(yīng)根據(jù)所評估的合規(guī)風(fēng)險水平，進(jìn)行適當(dāng)規(guī)模的環(huán)境調(diào)查，溝通和培訓(xùn)溝通和培訓(xùn)如果有效，有助于預(yù)防和發(fā)現(xiàn)合規(guī)問題。每位員工和董事會成員都應(yīng)接受對該計劃重要的一般主題的培訓(xùn)，并應(yīng)向參與與每個合規(guī)風(fēng)險相關(guān)的活動的人員提供針對特定合規(guī)事項的更集中的培訓(xùn)。對所有員工和董事會進(jìn)行的一般培訓(xùn)，至少每年一次，是一個穩(wěn)健有效的方案的標(biāo)志。一般培訓(xùn)包括行為準(zhǔn)則、保持合規(guī)和道德文化、如何尋求指導(dǎo)和報告可疑問題、組織的非復(fù)興政策、報告可疑合規(guī)問題時組織的行動，以及影響每個人的計劃的任何其他利益相關(guān)方面。重點(diǎn)培訓(xùn)深入到特定合規(guī)風(fēng)險領(lǐng)域、關(guān)鍵內(nèi)部控制以及與特定風(fēng)險相關(guān)的其他程序。因此，通常只要求那些在涉及這些風(fēng)險領(lǐng)域的關(guān)鍵角色中扮演關(guān)鍵角色的員工參加這類培訓(xùn)。重點(diǎn)培訓(xùn)的一個例子是一個針對國際公司銷售人員的項目，該項目旨在遵守《反海外腐敗法》。并非每個員工都必須了解什么構(gòu)成違反該法案，但參與國際銷售的個人(以及相關(guān)的支持和財務(wù)團(tuán)隊)必須對該風(fēng)險以及組織為防止違法行為而實(shí)施的控制和程序有充分的了解。為了有效，培訓(xùn)必須不僅僅是簡單地提供教育內(nèi)容。在2020年6月的指導(dǎo)意見中，司法部強(qiáng)調(diào)了(1)允許員工在培訓(xùn)期間提問和(2)評估培訓(xùn)是否影響員工行為的重要性。圖圖A.1審計、監(jiān)控和報告其他績效反饋監(jiān)控(非依賴性)期風(fēng)險評估進(jìn)行設(shè)計和更新。監(jiān)控和審計活動應(yīng)旨在(1)檢測不合規(guī)(或不合規(guī)跡象)和(2)識別合規(guī)內(nèi)部控制的故障，如但最重要的兩個因素是：(1)相信組織會認(rèn)真對待指控和關(guān)切，并對其進(jìn)行適當(dāng)?shù)脑u估：(2)相信記者在真誠地報道了他商、供應(yīng)商和其他第三方通常處于獨(dú)特的位置，可以觀察到員織的審計和監(jiān)控活動，甚至外部方(如客戶、競爭對手、供應(yīng)商)。以尋求指導(dǎo)并報告員工(和其他人)的可疑違法行為。員工電子郵件的系統(tǒng)(內(nèi)部或由獨(dú)立第三方操作)或直接向組織1.匿名報道——記者身份不明(在法律允許的情況下),通常通過熱線或類似機(jī)制實(shí)現(xiàn)3.公開報道——記者愿意或希望無限制地公影響的職能部門或人員，并應(yīng)按照書面政策激勵和執(zhí)行不合規(guī)可能完全是無意的，通常是由于控制不力、培訓(xùn)不力或新員工入職、對程序的誤解、文化惡化或粗著時間的推移，流程和內(nèi)部控制會自然惡化控制得到一致執(zhí)行。不合規(guī)行為也可能是故意的——員工知道自己違反了組織政策，并且可能理解自己在這一過程中違反了法律法規(guī)。1.通知——應(yīng)該通知誰調(diào)查(例如，領(lǐng)導(dǎo)、法律、外部各方)?2.專業(yè)知識——組織是否具備開展調(diào)查所需的所有專業(yè)知識，或者是否應(yīng)引入外部援助?3.合規(guī)性的參與——無論合規(guī)官是否在進(jìn)行調(diào)查，都應(yīng)告知和其他文檔。二個適當(dāng)?shù)闹笓]鏈(包括適當(dāng)時法律顧問的參與),以便所有利益相關(guān)方監(jiān)督和評審其工作，并妥善管理調(diào)查范圍。USSG要求使用激勵措施和類似工具來促進(jìn)持續(xù)USSG指出，激勵應(yīng)該是組織合規(guī)努力的領(lǐng)導(dǎo)者接受并執(zhí)行合規(guī)方案方面尤其有效，政策的行為采取適當(dāng)?shù)暮蠊?。此類紀(jì)律應(yīng)考慮組織公正對C&E方案的成功至關(guān)重要。因此，執(zhí)法和紀(jì)律必須在組織的所有級別保持一致，也許最重要的是在最高級別。如果一名非常成功的銷售人員、高管或有影響力的員工的違規(guī)行