合规是组织可持续发展的基石,是一个组织走向规范经营的系统化过程。有效合规管理体系的一个特点,就是有一个良好的运行机制,对组织、及其人员或有关第三方的不当行为的任何指控或怀疑进行及时和彻底的调查。新版标准ISO 37301[1]以ISO 19600[2]:2014为基础进行修订,由一个指南性标准修订为要求性标准,并在第八章新增了“8.4调查过程”(Investigation processes),对组织开展合规调查提出了要求。
何为“调查”?新版标准对此并未明确定义,但同样隶属于国际标准化组织机构治理标准化技术委员会(ISO/TC 309)的另一个国际标准工作组-举报工作组(WG3)正在制定的ISO/FDIS 37002《举报管理体系 指南》则给出了定义,认为调查是指通过建立事实和客观评价,以确定不当行为是否已经发生、正在发生或可能发生及其发生程度的系统的、独立的和记录在案的过程[3]。
关于合规的调查过程,新版标准在8.4条款提出了以下五点要求。
1.组织应制定、建立、实施和保持过程以对可疑的或实际的不合规情况进行评估、评价、调查和关闭报告,这些过程应确保公平、公正的决策。
2.调查过程应由有能力的人员独立进行,且不存在利益冲突。
3.适用时,组织应将调查结果用于改进合规管理体系。
4.组织应定期向治理机构或最高管理者报告调查的数量和结果。
在确保调查过程公正、独立方面,新版标准建议组织在适当时可设立独立委员会监督调查过程,并保证其完整性和独立性。
同时,新版标准还建议组织建立一个调查报告机制,包括报告调查结果的级别等内容。实践中,法律有时会要求组织报告其不合规行为,在这种情况下,组织需要根据适用的法规或其他约定通知相应的监管机构,即使法律没有要求组织报告不合规行为,组织也可以考虑自愿向监管机构披露不合规行为,以减轻不合规的后果。
关于“文件信息”, 新版标准给出的定义是“需要由组织控制和维护的信息及其所包含的媒介”。尽管新版标准并未对保留哪些文件信息以及如何保留提出进一步的要求,但实际上,保留文件信息是管理体系标准的通用要求,是体系运行规范的重要体现。文件信息可以任何格式和载体存在,并可来自任何来源。在合规调查方面,可考虑保留的文件信息包括举报、计划、证据、访谈、报告等调查过程中所有输入和输出的信息。在实践中,这些文件信息往往也会被按照不同的保密等级进行保管。
针对合规调查过程这部分的要求,本文认为,组织可从以下几个方面进行应对并有效实施调查。
组织应基于风险建立调查机制。若有可靠的信息表明,员工或商业伙伴存在不当行为,或者在接到举报或发现合规风险时,无论是最高管理层还是合规职能团队,都应评估已知的事实和问题的潜在严重性,若现有的事实没有足够的理由或证据支撑决策,则应及时启动调查,必要时终止与第三方的合作。调查必须彻底、独立且具有分析性。
调查应由有能力的人员进行,他们可以来自合规职能团队、内部审计部门、法律部门或其他合适的管理者或第三方,这些人员必须是非被调查对象,也不存在任何利益冲突,并且具备丰富的调查经验。实践中,合规调查通常由合规职能团队组织执行,若涉及跨国、跨领域、跨部门等,调查过程则应由合规职能团队、内部审计部门或法律部门的最高级别进行协调。
启动调查后,制定调查计划是开展调查的关键。调查计划应每周或根据需要更新,以便调查组成员和组织管理者及时获得最新进展。在调查结束后,调查计划也有助于调查报告的编制。
不同的调查计划详细程度各不相同,但一个完整的调查计划应该包括预测、证明或反驳的要素、调查步骤、成功概率、预计完成日期五个不同阶段,每个阶段的特点和要求也不尽相同,如附表。
3.查明事实,收集必要的证据
调查应当及时查明事实,收集必要的证据。建议的调查途径包括文档收集、数据分析、询问访谈等。在开始访谈和询问之前,首先要熟悉与调查案件相关的政策规定,审查有关的文件和证据,期间,防止销毁证据及串通也是非常必要的。同时,尽可能保留相关的证据信息[4]。
此外,在执行调查过程中,调查人员须明确以下“四个要”和“四个不要”。
(4)要考虑潜在的刑事和民事责任、经济损失及对组织和个人声誉的损害。
(7)不要忽视任何法律义务、组织的利益和上报的责任。
(8)不要相信有关人员会对问题和调查保密,直到事实已经确定。
根据新标准要求,在适用时,组织应将调查结果用于改进合规管理体系。实际上,有效的调查机制能识别出不当行为、合规管理体系的漏洞以及管理者、最高管理者和治理机构责任缺失的根本原因,严谨的根因分析能指出不合规的程度和普遍性、涉及人员的数量和级别,以及不合规的严重性、持续时间和频率。在调查过程中,组织可以从付款体系着手分析,如实施不当行为的资金是如何获得的。
此外,调查组还应从全局审视现有的合规管理体系,包括哪些控制措施是无效的,禁止性措施是否得到了执行,事前是否发现了不当行为,事前预警机制是否存在漏洞,可以采取哪些补救措施防止再次发生及解决根本问题,管理层是否需要担责等。
新标准对报告调查结果的级别也明确提出了要求。记录调查与执行调查一样重要,组织应建立报告机制,包括向谁报告、如何报告、报告内容、谁能获取报告等内容,报告的方式可根据实际情况选用书面调查报告、口头调查报告、证明或宣誓书、非正式报告等形式。
对合规举报、合规调查的打击报复行为不会阻止、减少违规行为,反而会助长歪风邪气,不利于组织的长远发展。因此,管理者应从提升组织治理水平、帮助组织规避风险的高度认识合规举报、合规调查的重要性,建立保密和禁止报复机制,在调查结果确定之前应对调查的进展情况保密,对于报告人的身份也应保密,除非该报告被用作收集进一步的证据,且被用作证据本身。即将出台的ISO 37002《举报管理体系 指南》国际标准,也将为组织在保护举报人方面提供更为具体的指引。
合规调查是合规管理体系的有机组成部分。在合规或者贿赂方面,组织面临的情况通常是复杂多样的。要回应这些问题,必须明确谁来调查、调查的规模以及如何获取相关的信息。此外,组织还应基于调查结果审视其合规程序,及时补救完善,充分发挥合规调查的积极作用,帮助组织识别风险,进一步完善合规管理体系。
QQ咨询
电话咨询
公众号