NAVEXOne®最终指南 合规计划评估最终指南 改善您的合规计划的必要步骤 Contents Introduction 3 4 4-5 6 6 7 7 8 外部各方如何定义有效性?8 9 9 10 10 11 11-19 20 20 打包并以有意义的报告方式分享您的评估21 21 Conclusion22 Overview TheDefinitiveGuidetoComplianceProgrammeAssessment是一个全面的资源,旨在通过行业证据和见解帮助组织评估和改善其道德和合规计划。每个程序都是独特的,具有不同的风险和不同的成熟度,因此本指南中的所有内容都不适用于每个程序。本指南旨在帮助您对您的独特计划进行强有力的差距分析,并指导您通过最佳实践,为您的组织实现更高水平的计划复杂性。 Introduction 合规计划评估的重要性 许多组织将合规性视为遵守法律和法规的“复选框”必要性 。尽管这是建立,成熟和维护合规性计划的重要方面,但强大的合规性计划还有另一个持久而根本的影响-创建道德和合规性 文化。强大的道德和合规计划可以改善组织文化,保护公司声誉并增强员工敬业度。当缺乏道德和合规计划时,组织可能会面临重大问题 风险。为了确保合规方案符合正在进行的最佳做法,评估和定期审查对于向包括政府机构在内的众多内部和外部各方证明有效性是必要和有价值的。 您的道德和合规计划是一个由移动部件组成的生态系统。新法律和 法规、新的业务线、新的地理位置、全球监管环境的变化、合并和收购成为您的合规生态系统必须支持的不断发展的企业的一部分。负责系统的人员必须定期重新审视和评估其风险和优先事项,以进行必要的调整,以确保有效的合规计划。 除了评估外部因素外,稳健的计划还必须考虑一个重要的内部变量-人类行为。即使制定了强有力的政策和合规程序,员工行为也面临着最高的风险 很难知道你的努力是否真的改变了你的行为, 促进道德实践,并在不评估个人员工级别有效性的情况下降低风险。稳健和质量评估将有助于 您了解当前的道德和合规计划对员工和整体企业文化的影响 。 简单地说:道德和合规计划评估是对您的计划如何进行全面评估: •针对具有类似规模、行业和足迹的组织的措施 •符合全球公认、业界公认的标准和法规 •帮助缩小风险缓解方面的差距,并通过多年工作计划以优先方式定义改进,以实现组织的预期水平 计划成熟度 合规计划评估的关键目标 •确保按照法规制定关键的基本计划要素(例如,热线 和事件管理系统) •评估方案执行的有效性 •衡量对组织文化的影响,包括员工对计划的认识和参与 有效合规计划评估的9个基本组成部分 强大的评估会评估整个合规计划及其各个部分的实力。以下组件将以最能揭示您工作优势的方式对您的合规计划进行分类,以及您需要采取的改进措施。 风险评估 定期全面的风险评估将有助于定期识别潜在的法律、声誉和道德风险。 监督、结构和领导 您的计划既需要适当的监督以防止风险,也需要领导层的承诺来推动行为和文化。因此,向高级管理层介绍您的计划及其目标至关重要。那些有关键监督职责的人,包括你的董事会,也需要有关其职责的信息和培训,以帮助你的组织实现有效的合规计划。 标准、政策和程序 评估您的计划和组织状况将发现员工需要具体指导的差距。 与HR实践保持一致 有效的合规计划与组织的人力资源部门具有许多接触点和重叠要素,例如有关多样性,公平和包容性以及骚扰和歧视的政策。您的人力资源部门和合规计划的努力应该是相辅相成的。正确评估您的计划将确保人力资源和合规政策不会在员工的期望或要求方面发生冲突。 通信和培训 让员工了解他们负责了解的政策的战略沟通和培训策略必须伴随您的合规计划中的政策和程序。定期有效的沟通计划将确保员工了解政策,经理知道他们有责任应对提出的问题,并不断利用经验教训来改善文化。 9有效合规计划评估的基本组成部分(续) 报告和响应 您的报告流程是员工如何将问题提升到您的合规部门。您的合规评估将评估此流程,以确保员工可以轻松轻松地报告问题。它还将评估您的计划的流程,以响应和解决这些报告。 监测和评估 与每次评估一样,关键步骤是评估评估过程本身的有效性。这是一个与您的内部审计团队以及其他主题专家合作的机会,他们可以从计划工作中提供有关减轻风险或缺乏风险的见解。正确监控您的评估方法将确保您的计划处于持续改进状态。 文化 您的计划评估将评估推动文化的方法以及这些改变行为的努力的有效性。 补救 应用报告和回应以及监测和评估的结果,做出影响整体文化的改变。例如,如果发现该计划缺乏骚扰方面的基本培训,并且对文化造成负面影响,请应用这一发现,在需求领域开展更强有力的培训。 有一些补救措施可以快速完成,例如更新现有政策和发送短期培训。但是,有些需要更长的时间来实施,例如为整个组织创建和应用新政策。 仔细观察文化 当一个组织的政策、程序、奖励甚至行为准则与其文化相冲突时——文化总是赢的。因此,为了有一个有效的道德和合规计划,一个组织必须像关注政策、培训、审计和其他计划要素一样关注文化。 合规性与其他任何组织一样支持组织的战略目标和使命 成功的方案是使财务和合规要求与组织的使命和价值观保持一致的综合努力。 有远见的组织努力建立一种文化,让所有员工都知道“做正确的事”是期望的,了解适用于他们的标准,并相信他们的管理层致力于运营 这些员工应该感到有能力提出对不当行为的担忧,而不必担心报复,并相信他们的担忧会得到解决。 如果“做正确的事情”是预期的做法,那么不道德或与组织标准不符的行为将脱颖而出,并且可以更容易地解决。评估这种动态的影响的唯一方法是将文化作为道德和合规计划评估的一部分。 基本定义 美国司法部 严重的罪行。” 对于不法行为,政府能够成为积极改 变企业文化的力量,也是一种力量 预防、发现和惩罚 “起诉公司 当您完成计划评估时,请使用这些基本定义来有效地传达您正在进行的计划特征,并确保所有审查评估的人员共享共同语言 。 方案有效性:我们采取了正确的行动吗? 方案效率:我们的行动执行得很好吗? 方案改进:组织学习已经付诸行动了吗? 如果政府或主要客户今天检查了您的计划,它将如何评价? •优秀-我们在各个方面都是领导者 •非常好-我们通常符合最佳实践 •嗯-我们符合所有标准,并超过了其中的一些标准 •通过-我们可以证明我们符合标准 •不好-第三方会发现我们没有有效的计划,或者我们的计划存在差距 演示值:我们是否有可以证明计划影响的轶事? 计划 确定评估授权者和管理者 在准备道德和合规计划评估时,有许多事情需要考虑。首先应该是确定谁将授权它。计划评估 董事会的要求和授权在内部和外部都具有最大的影响力。由高级管理层或总法律顾问办公室授权的计划评估也是有效的 ,这些评估提供了董事会级别的可见性和支持。 除了授权外,还要考虑由谁来管理评估。这种责任很可能由高级合规主管承担,但在某些情况下,任务可能属于其他部门,如审计或法律部门。 评估律师-客户特权 无论谁授权或进行评估,还有一个额外的考虑因素:是否应在律师-客户特权下进行评估。在律师的指导下进行评估的好处是,可以对发现的任何绩效或文档差距的知识进行审查和解决,而不必担心结果会在法律上被发现 不利的一面是,在特权下工作并保持特权意味着必须严格控制评估结果和建议的沟通,通常仅限于“需要知道”的人。 律师-客户特权是一种法律结构,涉及的要素比我们在这里讨论的要多得多。在进行合规计划评估时,请考虑是否采取这种策略时,请寻求组织的法律顾问的建议。 “我认识的最成功的合规官都是能够有效地将直觉、经验和良好的判断力应用于一组数据点以确定和传达有效性的人。”NAVEX首席风险和合规官CarriePenman。 定义有效性 沟通道德和合规计划的有效性可能因受众而异。对员工重要的事情可能不同于对监管机构或董事会重要的事情。在开始评估之前,请先 建立支持您的计划及其目标的“有效”定义的必要步骤。使用下面分类的问题作为起点来创建您的有效性定义。 意识 您的计划是否有效地提高了员工对道德和合规要求的认识和理解?它是否确定了员工的教育需求并提供了必要的培训以填补知识空白? 行为改变 您的计划是否有效地改变了员工在工作场所骚扰,报复和欺凌等特定问题上的行为? 风险控制 您的项目是否有强有力的、有效的控制措施来最小化和降低风险? Resources 你的项目资源充足吗, 这些资源是否有效地保护您的组织免受关键的财务和声誉风险? 合规性 您的项目是否确保符合政策、法规和标准? 进展 您的计划是否有评估和报告流程来有效监测计划的改进并记录该流程以使进展更加复杂? 外部各方如何定义有效性? 没有适合所有情况或组织的单一标准,但各种准则和框架正在与一套类似的标准保持一致,对反贿赂和腐败等计划组成部分的重视程度各不相同。下面的时间表显示了政府和国际指南的示例。 巴西清洁公司 全球举报人指令 /法规 联邦判刑指南(FSG) MedicareFSG英国贿赂 ECIHQP,DOJ 指导意见 FCPA7-元素修订法 1977 1986 19911992 199920022004201020112012201420162017 20192020-2021+ 国防工业倡议 COSO- 内部控制框架 SOX Dodd-FCPA 弗兰克指南和FSG 修订版 #MeToo GDPR,ISO37001 反贿赂和Sapin II DOJ+SEC指南更新,2021ISO37002 已更新举报人, DOJ 指导意见 COSO指南 风险与合规管理成熟度 狂野西部 形成年 监管拉什 寻求平衡、战略和扩展职责 (即ESG) 很少有法规和很少的执 法 坚定的组织转向自我监管 政府介入 在评估您的计划时,从以下三项指导措施开始进行全面计划可能是最有用的:美国联邦判刑准则8B2.1;COSO框架的17项有效内部控制原则;以及 美国司法部对公司合规计划的评估。 美国联邦组织判刑指南 准则部分规定,要有一个有效的合规和道德计划,组织应:“ 防止和制止犯罪行为;并以其他方式促进鼓励道德行为和遵守法律的组织文化。” COSO框架的17项有效内部控制原则 COSO框架强调了五个内部控制组成部分中的17项原则,旨在“改善组织绩效和监督并减少组织中的欺诈程度”。 美国司法部对公司合规计划的评估 司法部的评估提供了“我们在做出个性化决定时可能会问的常见问题”,以有效地适应公司独特的风险状况及其用于降低风险的解决方案。这些问题包括: 公司的合规计划是否精心设计? 该方案是否得到认真和真诚的应用?换句话说 ,该方案是否有足够的资源和权力来有效运作?公司的合规计划在实践中是否有效? 什么证明了有效性? 运行良好的道德和合规计划生成的数据可作为有效性的客观证据。以下是有助于评估计划有效性的指标和文档示例。 从管理系统中收集的材料 策略管理 •守则和政策证明 •违规事件 •商业行为守则 •使命和价值观声明 •激励文件 •标准和程序 利益冲突披露 •外部就业 •董事会参与 •礼物和娱乐 •Investments •其他问题出现时。 文化管理 •与同行进行基准测试 •员工调查 •员工焦点组数据 •离职面试反馈 •绩效评估/考核工具(来自HR) •内部审计 •组织结构 •质量指标 •对发现的问题的响应 突发事件管理 •报复报告和调查结果 •帮助热线呼叫跟踪、趋势和基准HR统计 •调查数据 第三方风险管理 •风险评估 •第三方审计 培训方案管理 •行政通信 •法律行动 •培训评估 成功的抑制剂 在准备评估时,请考虑可能来自领导或合作部门的常见挑战或异议。缺乏资源,孤岛,对负面结果的担忧以及对衡量“道德”过程的怀疑都是有效评估的常见障碍。规划这些挑战并克服异议将有助于您的评估过程对相关人员更顺利地运行 ,并增加这些结果的最终受众的积极支持。 分享最佳实践 尽早将其他利益相关者带入流程,以