ISO 37002-2021举报管理体系-指南

ISO37002第一版2021-07-27举报管理体系指南文件号ISO37002:2021(E)ISO37002：2021（E）ISO37002:2021(E)版权保护©ISO2021在瑞士发行版权所有。除非另作说明，在未获得事先的书面许可，严禁以任何形式或任何手段——电子的或手工的方式（包括影印）复制或使用、或在互联网或内网上传播本出版物的任一内容。申请者可从下列地址的ISO机构或所在国的ISO成员机构获得许可。ISO版权办公室地址：Ch.deBlandonnet8·CP401CH-1214Vernier,Geneva,Switzerland传真：+41227490947邮箱：copyright@iso.org网址：©ISO2021-保留所有权利BSISO37301：2021ISO37301：2021前言1范围2规范性引用3术语和定义4组织环境4.1理解组织及其背景4.2理解相关方的需求和期望4.3确定举报管理体系的范围...4.4举报管理体系4.5合规义务4.6合规风险评估5领导作用5．1领导作用与承诺5.1.1管理机构5.1.2高层管理人员5.1.3咒合规治理5.2举报政策5.3角色，职责和权限5.3.1管理机构和最高管理者5.3.2举报管理职能5.3.3授权决策6规划6.1应对风险和机遇的措施6.2举报管理体系目标及其实现的策划6.3变更的策划7支持7.27.3资源能力意识©ISO2021-保留所有权利ISO37301：20217.4沟通7.5成文信息7.5.1总则7.5.2创建和更新文档信息7.5.3控制文件信息7.5.4数据保护7.5.5保密8运行8.1运行的策划与控制8.2收到不法行为报告8.3评估不法行为报告8.4处理不当行为报告8.5结束揭发案件9绩效评估9.1监测，测量，分析和评估9.1.2评估指标9.1.3信息来源9.2内部审核•9.2.1总则9.2.2内部审核方案9.3管理评审9.3.1总则9.3.2管理评审输入9.3.3管理评审结果10改进10.1持续改进10.2不符合和纠正措施参考文献©ISO2021-保留所有权利BSISO37301：2021ISO37301：2021举报是指举报可疑的不法行为或不法行为风险的行为。研究和经验表明，很大一部分不法行为是通过组织内部或接近组织的人员的报告引起受影响组织的注意的。各组织越来越多地考虑引入或改进内部举报政策和流程，以响应监管或自愿。本文件为组织建立、实施、维护和改进举报管理体系提供了指导，其结果如下：a）鼓励和便利举报不当行为；b）支持和保护举报人和其他相关方；c）确保以适当和及时的方式处理不当行为报告；d）改善组织文化和治理；e）减少不当行为的风险。对组织的潜在好处包括：-允许组织尽早发现并解决不当行为；-帮助防止或减少资产损失，帮助追回损失的资产；-确保遵守组织政策、程序以及法律和社会义务；-吸引和留住致力于组织价值观和文化的人员；-向社会、市场、监管机构、所有者和管理者展示合理、道德的治理实践其他相关方。有效的举报管理系统将通过以下方式建立组织信任：-展示领导层对预防和解决不当行为的承诺；-鼓励人们尽早举报不当行为；-减少和防止对举报人和其他相关人员的有害待遇；-鼓励一种文化公开、透明、正直和问责。本文件为组织基于信任、公正和保护原则创建举报管理系统提供指导。它是适应性强的，其使用将随组织活动的规模、性质、复杂性和管辖权而变化。它可以帮助一个组织改进其现有的举报政策和程序，或遵守适用的举报立法。©ISO2021-保留所有权利BSISO37301：2021ISO37301：2021本文件采用了ISO制定的“协调结构”（即条款顺序、通用文本和通用术语以提高管理体系国际标准之间的一致性。各组织可采用本文件作为其组织的独立指南，或与其他管理体系标准一起采用，包括解决其他ISO管理体系中与举报相关的要求。图1是推荐的举报管理系统的概念性概述，显示了信任、公正和保护原则如何覆盖此类系统的所有要素。©ISO2021-保留所有权利BSISO37301：2021ISO（国际标准化组织）是世界范围内的国家标准机构（ISO成员机构）联合会。制定国际标准的工作通常是通过ISO技术委员会来进行的。对建立了技术委员会的主题感兴趣的每个成员机构均有权代表该委员会。与ISO联络的政府和非政府国际组织也参加了这项工作。ISO在电气标准化的所有问题上与国际电工委员会（IEC）紧密合作。ISO/IEC指令第1部分中描述了用于开发本文档的过程以及旨在对其进行进一步维护的过程。特别是，应注意不同类型的ISO文件所需的不同批准标准。本文档是根据ISO/IEC指令第2部分的编辑规则起草的（请参见www.iso.ocg/directives）。请注意，本文档的某些内容可能是专利权的主题。ISO不承担识别任何或所有此类专利权的责任。在文档开发过程中确定的任何专利权的详细信息将在“简介”和/或ISO收到的专利声明清单中（请参见/patents）。本文档中使用的任何商品名称都是为了方便用户而提供的信息，并不构成对本产品的认可。有关标准的自愿性质的解释，与合格评定有关的ISO特定术语和表达的含义，以及有关ISO遵守《技术性贸易壁垒（TBT）中的世界贸易组织（WTO）原则》的信息，请参见/iso/foreword.html。关于本文档的任何反馈或问题应直接发送给用户的国家标准机构。这些机构的完整列表可以在/members.htmL中找到。©ISO2021-保留所有权利7BSISO37301：2021ISO37301：2021举报管理体系指南本文件根据信任、公正和保护的原则，在以下四个步骤中为建立、实施和维护有效的举报管理体系提供了指导：a）收到不法行为报告；b）评估不当行为报告；c）处理不当行为报告；d）结束揭发案件。本文件的指导方针是通用的，旨在适用于所有组织，无论活动的类型、规模、性质，以及公共、私营或非营利部门。这些指南的适用范围取决于4.1、4.2和4.3中规定的因素。举报管理系统可以是独立的，也可以作为整体管理系统的一部分使用。2.规范性引用文件本文件中没有规范性引用文件。3术语和定义以下术语和定义适用于本文件。ISO和IEC在以下地址维护用于标准化的术语数据库：-ISO在线浏览平台：可在/obp-IEC电子百科：可在/8©ISO2021-保留所有权利8BSISO37301：2021一个组织（3.2）的一组相互关联或相互作用的元素，以制定政策（3.7）和目标（3.25以及实现这些目标的过程（3.27）注1：一个管理系统可以针对一个或多个专业。注2：管理体系要素包括组织结构、角色和职责、规划和运营。注3：这是协调结构的常见术语和核心定义之一适用于ISO管理体系标准。有自己的职责、权限和关系以实现其目标的个人或群体（3.25）注1：组织的概念包括但不限于个体经营者、公司、法人团体、商号、企业、当局、合伙企业、慈善机构或机构，或其部分或组合，无论是否成立、公共或私人。注2：如果该组织是较大实体的一部分，则术语“组织”仅指在举报（3.10）管理体系（3.1）范围内的较大实体的一部分。注3：这是ISO管理体系标准协调结构的通用术语和核心定义之一。组织的（3.2）主管、官员、员工、临时员工或工人以及志愿者[来源：ISO37001:2016,3.25，条目的修改注释1和2已被删除。]3.4利益相关方（首选术语）利益相关者（承认任期）可能影响、受某项决策或活动影响或认为自己受其影响的个人或组织（3.2）注1：利益相关方可以是组织内部或外部。注2：相关方可包括但不限于报告人、报告的任何主体、证人、人员（3.3）、工©ISO2021-保留所有权利9BSISO37301：2021ISO37301：2021人代表、供应商、第三方、公众、媒体、监管机构和整个组织。注3：这是ISO管理体系标准协调结构的通用术语和核心定义之一。通过在条目中添加注释1和注释2，对原始定义进行了修改。领导和控制一个组织的人或一群人离子（3.2）处于最高水平注1：最高管理层有权在组织内授权和提供资源。注2：如果管理体系（3.1）的范围仅涵盖组织的一部分，那么最高管理者指的是指导和控制该部分组织的人。注3：这是ISO管理体系标准协调结构的通用术语和核心定义之一。对整个组织（3.2）负有最终责任（3.30）的个人或群体注1：无论是否明确成立，每个组织实体都有一个管理机构。注2：理事机构可以包括但不限于董事会、董事会委员会、监事会或受托人。[来源：ISO/IEC38500:2015，2.9，修改了“对……负有最终责任”一词，替换了“对……的性能和合规性负有责任”，并增加了条目注释1和注释2。]最高管理层（3.5）正式表达的组织意图和方向（3.2）注1：这是ISO管理体系标准协调结构的通用术语和核心定义之一。可能造成损害的行为或疏忽10©ISO2021-保留所有权利BSISO37301：2021注1：不当行为可包括但不限于以下内容：-违反法律（国内或国际），如欺诈、腐败（包括贿赂）；-违反组织（3.2）或其他相关行为准则，违反组织政策（3.Z-严重疏忽、欺凌、骚扰、歧视、未经授权使用资金或资源、滥用权力、利益冲突、严重浪费或管理不善；对人权、环境、公共卫生和环境造成损害或可能造成损害的作为或不作为-安全、安全工作实践或公共利益。注2：不当行为或由此造成的损害可能发生在过去、目前或将来。注3：潜在危害可通过参考单个事件或一系列事件来确定。报告可疑或实际不当行为的人（3.8），并有理由相信报告时的信息是真实的注1：合理信念是指个人基于观察、经验或已知信息而持有的信念，在相同情况下也会持有。注2：举报人的例子包括但不限于：-与组织建立关系的外部各方人员，包括法人，或计划建立某种形式的商业关系nship包括但不限于客户、客户、合资公司合资企业、合资企业合作伙伴、财团合作伙伴、外包供应商、承包商、顾问、分包商-承包商、供应商、供应商、顾问、代理人、分销商、代表、中介和投资者工会©ISO2021-保留所有权利11BSISO37301：2021ISO37301：2021代表等其他人士；-以前或将来担任本定义所述职位的任何人。检举人（3.9）举报涉嫌或实际不当行为（3.8）注1：不当行为报告可以是口头、面对面、书面或电子或数字格式。注2：常见的区别是：-公开检举，检举人在不隐瞒其身份或身份的情况下披露信息要求对其身份保密；机密举报，举报者的身份和任何可以识别的信息-收件人知道这些信息，但未经批准，不得向任何人披露超出需要了解的基础的信息检举人的同意，除非法律要求；-匿名举报，在没有举报者透露身份的情况下接收信息。注3：组织（3.2）可以使用替代术语，如“大声说出来”或“提出问题”，或等效术语。3.11举报管理职能对举报（3.10）管理体系（3.1）的运行负有责任和权限的人员评估初始不当行为报告（3.8以便分类、采取初步措施、确定优先顺序和分配进一步处理注1：可以考虑以下因素：不当行为或疑似不当行为对人员（3.3）、组织（3.2）和相关方（3.4）影响的可能性和严重性，包括声誉、财务、环境、人为或其他12©ISO2021-保留所有权利BSISO37301：2021损害。可能对检举人（3.9）或与检举有关的其他相关利益方（3.4）造成损害的威胁、提议或实际、直接或间接的作为或不作为（3.10）注1：伤害包括任何与工作相关或个人的不利后果，包括但不限于解雇、停职、降职、调动、职责变更、工作条件变更、不良绩效（3.26）评级、纪律处分程序、晋升机会减少、拒绝服务、黑名单、，抵制、损害名誉、披露举报人身份、经济损失、起诉或法律行动、骚扰、隔离、施加任何形式的身体或心理伤害。注2：有害行为包括报复、报复、报复、故意作为或不作为，故意或不计后果地对举报人或其他相关方造成伤害。注3：有害行为还包括未能通过履行合理义务来防止或尽量减少伤害检举过程中任何一个步骤的可接受的护理标准（3.27）。注4：就本文件而言，处理检举人自身不当行为（3.8）、绩效或管理的行动，与检举人在检举中的角色无关，不是有害行为。注5：其他相关利益方可包括潜在或已知的举报者、亲属、举报者的关联人、向举报者提供支持的人，以及参与举报过程的任何人，包括法人实体。系统、独立和文件化的过程（3.27用于确定事实并对其进行客观评估，以确定不法行为（3.8）是否已经发生、正在发生或可能发生，及其程度。注1：调查可以是内部调查，也可以是外部调查。这可以是一项联合调查。注2：内部调查由组织（3.2）自身或外部代表进行。注3：外部各方也可以对该组织进行调查。©ISO2021-保留所有权利13BSISO37301：2021ISO37301：2021获取证据并对其进行客观评估的系统和独立流程（3.27以确定满足审计标准的程度注1：审计可以是内部审计（第一方）或外部审计（第二方或第三方），也可以是组合审计（组合两个或多个专业）。注2：内部审计由组织（3.2）自身或外部代表进行。注3：“审计证据”和“审计标准”的定义见ISO19011。注4：这是ISO管理体系标准协调结构的通用术语和核心定义之一。运用知识和技能实现预期结果的能力注1：这是ISO管理体系标准协调结构的通用术语和核心定义之一。注1：这是ISO管理体系标准协调结构的通用术语和核心定义之一。注1：这是ISO管理体系标准协调结构的通用术语和核心定义之一。消除不合格原因（3.18）并防止再次发生的措施注1：这是ISO管理体系标准协调结构的通用术语和核心定义之一。14©ISO2021-保留所有权利BSISO37301：2021提高绩效的经常性活动（3.26）注1：这是ISO管理体系标准协调结构的通用术语和核心定义之一。组织（3.2）需要控制和维护的信息及其包含的媒介注1：记录的信息可以是任何格式和媒体，也可以来自任何来源。注2：记录信息可参考：），）；-为组织运作而创建的信息（文件）；-取得成果的证据（记录）。附注3ry：这是ISO管理体系标准协调结构的通用术语和核心定义之一。计划活动的实现程度和计划结果的实现程度注1：这是ISO管理体系标准协调结构的通用术语和核心定义之一。确定值的过程（3.27）注1：这是ISO管理体系标准协调结构的通用术语和核心定义之一。确定系统、过程（3.27）或活动的状态©ISO2021-保留所有权利15BSISO37301：2021ISO37301：2021注1：为确定状态，可能需要检查、监督或严格观察。注2：这是ISO管理体系标准协调结构的通用术语和核心定义之一。有待取得的成果注1：目标可以是战略目标、战术目标或作战目标。注2：目标可以与不同的学科（如财务、健康、安全和环境）相关，例如，它们可以是组织范围内的，或者特定于项目、产品、服务或过程（3.27）。注3：目标可以用其他方式表达，如预期结果、目的、操作标准、检举（3.10）目标，或使用其他具有类似含义的词语（如目的、目标或目标）。注4：在检举管理体系（3.1）中，检举目标由组织（3.2）根据检举政策（3.7）设定，以实现具体结果。注5：这是ISO管理体系标准协调结构的通用术语和核心定义之一。可衡量的结果注1：绩效可以与定量或定性结果相关。注2：绩效可能与管理活动、流程（3.27）、产品、服务、系统或组织（3.2）有注3：这是统一标准的通用术语和核心定义之一ISO管理体系标准的结构。一组相互关联或相互作用的活动，使用或转换输入以交付结果16©ISO2021-保留所有权利BSISO37301：2021注1：过程的结果是否被称为输出、产品或服务取决于引用的上下文。注2：这是ISO管理体系标准协调结构的通用术语和核心定义之一。明示的、通常暗示的或强制性的需要或期望注1：“一般暗示”是指组织（3.2）和利益相关方（3.4）的习惯或惯例是暗示考虑中的需求或期望。注2：规定要求是指文件化信息（3.21）中规定的要求。注3：这是ISO管理体系标准协调结构的通用术语和核心定义之一。不确定性对目标的影响（3.25）注1：影响是偏离预期的正面或负面。注2：不确定性是指与事件、其后果或可能性相关的信息、理解或了解不足的状态，甚至是部分。注3：风险通常以潜在事件（定义见ISO指南73）和后果（定义见ISO指南73）或两者的组合为特征。注4：风险通常表示为事件后果（包括环境变化）和相关发生可能性（定义见ISO指南73）的组合。注5：这是ISO管理体系标准协调结构的通用术语和核心定义之一。对原有定义进行了修改，在定义中添加了“关于目标”。对他人履行责任的义务©ISO2021-保留所有权利17BSISO37301：2021ISO37301：20214.组织的背景4.1了解组织及其背景组织应确定与其目的相关的外部和内部问题，以及影响其实现举报管理体系预期结果的能力的问题。这些问题可能包括但不限于以下因素：a）组织的规模和结构；b）组织运营或预期运营的地点和部门；c）组织业务的性质、文化、规模和复杂性活动和业务；d）人员的性质和需求；e）组织的商业模式；f）组织拥有控制权的实体和对公司行使控制权的实体组织，包括该组织的受益所有人；g）组织的商业伙伴；h）该组织承担的公共利益义务或问题；i）适用的法定、监管、合同和其他义务和职责。如果一个组织直接或间接控制另一个组织的管理，则该组织对该组织具有控制权。4.2了解相关方的需求和期望组织应确定：a）与举报管理体系相关的相关方；b）这些相关方的相关要求；18©ISO2021-保留所有权利BSISO37301：2021c）哪些要求将通过举报管理系统解决。4.3确定举报管理体系的范围组织应确定举报管理体系的边界和适用性，以确定其范围。在确定该范围时，组织应考虑：a）4.1中提到的外部和内部问题；c）谁可以报告（内部/外部利益相关方）、来自何处（地区/地理位置）和什么系统涵盖了各类不当行为（见图2）；d）任何合规风险评估或同等评估的结果（如有）。组织可以参考ISO37301进行合规风险评估，参考ISO31000进行风险管理。举报管理系统可以处理的不当行为类型（如果报告）对其范围很重要。并非向举报管理系统提交的所有报告都在其范围内，一份报告可以包括关于多种类型不当行为的信息，有些在范围内，有些在范围外。组织应确定现有或计划的其他流程将用于解决举报管理体系范围之外的举报不当行为（例如投诉、申诉以及如何协调这些流程。如图2所示范围应作为文件化信息提供。©ISO2021-保留所有权利19BSISO37301：2021ISO37301：2021图2-举报管理系统与其他系统之间的关系组织过程和系统4.4举报管理体系组织应根据本文件的建议，建立、实施、维护并持续改进举报管理体系，包括所需的过程及其相互作用。举报管理系统应遵循信任、公正和保护的原则，并应确保在整个过程中提供适当的反馈。举报管理系统应支持举报流程的所有步骤。a）收到不当行为报告：举报管理系统应规定如何考虑到4.3中包含的因素，可以制作和接收报告。b）评估不当行为报告（分类）：举报管理系统应规定评估收到的报告的过程，包括优先级、完整性和信息的相关性。同时，应建立举报管理制度提供对损害风险以及保护和支持水平的评估c）处理不当行为报告：举报管理系统应提供进行公正及时的调查，以及有效及时的保护和支持针对检举人和其他相关人员的适当措施和监控，包括报告的主题。这些保护措施可以预防和遏制补救损害。d）检举案件结案：检举管理系统应提供关闭调查并根据建议和建议采取行动的机制根据解决步骤的结果做出决策。它还应确保支持措施可以继续并将继续下去最高管理层应通过以下方式展示对举报管理体系的领导和承诺：（a）确保举报政策和举报管理体系目标已确立，并符合公司的价值观、目标和战略方向组织b）批准组织的举报政策；c）确保举报管理系统的可访问性，并鼓励其使用；20©ISO2021-保留所有权利BSISO37301：2021d）确保将举报管理系统要求整合到组织的业务流程，包括管理系统；e）确保举报管理系统所需的资源可用，充分、适当和部署；f）传达有效举报管理和遵守法律的重要性组织建立的举报管理体系要求；g）在内部和外部传达举报政策（见7.4h）确保举报管理系统达到预期结果[见6.1]；i）指导和支持人员为举报的有效性做出贡献管理制度；j）促进持续改进；k）支持其他相关角色，以展示其在其工作领域的领导力责任1）致力于、促进和实践组织内的直言不讳/倾听文化，积极参与相关员工培训课程，并在征得其同意后公开赞扬该组织的举报人；m）确保检举人和其他相关人员不会在工作中受到本组织的损害与举报的关系；n）按计划的时间间隔，接收和审查报告关于举报管理制度；O）确保对使用该系统报告的事项进行公正调查，无论其身份如何举报者的身份、报告的主题以及所发现问题的影响。注1：本文件中提及的“业务”可以广义地解释为指那些对组织存在的目的至关重要的活动。注2：直言不讳/倾听的文化意味着提供一个值得信赖的双向环境，在这种环境中，任何相关方都有足够的信心，并被鼓励提出对不当行为或可疑不当行为的担忧，并且组织展示其接收、评估、处理和结束举报案件的承诺。举报管理体系的可信度取决于相关方是否认为管理层致力于该体系，并将遵循程序。©ISO2021-保留所有权利21BSISO37301：2021ISO37301：2021最高管理层应制定举报政策，以：a）符合组织的宗旨；b）提供设置举报管理系统目标的框架；c）说明举报管理系统的范围（见4.3d）包括满足适用要求的承诺；e）包括对持续改进举报管理体系的承诺；f）禁止有害行为；g）明确承诺建立直言不讳的文化；h）以易于理解的语言提供有关如何报告以及在何处寻求支持的指导或就举报过程提供建议；i）包括在整个举报过程中对信任、公正和保护的承诺；j）就举报不当行为的保密性作出规定；k）说明举报管理职能的权威性和独立性；1）解释不遵守举报政策的后果，例如明知故犯的虚假报告和采取有害行为可以受到纪律处分；m）参考组织外部可用的其他报告渠道，例如作为监管者；n）参考适用法律；0)概述了举报管理系统的关键步骤，包括报告的发布方式接收、评估、处理和总22©ISO2021-保留所有权利BSISO37301：2021p）不限制基于保密协议等合同义务的报告，或商业保密、员工保密等条款。；q）提供有关组织的数据保留策略的信息。举报政策应：-与相关人员和其他相关方共同开发（视情况而定）；-与其他政策保持一致；-作为文件化信息随时可用；-在组织内外用适当的语言定期交流组织化；-适当考虑年龄、语言、残疾等。；-按计划的时间间隔进行审查。5.3角色、职责和权限最高管理者应确保相关角色的职责和权限在组织内得到分配和沟通。最高管理层应将以下职责和权限分配给举报管理职能部门：a）确保举报管理系统符合本文件；b）向管理机构报告举报管理系统的绩效以及高层管理人员。最高管理者可以将部分或全部举报管理职能分配给组织外部的人员。如果是这样，最高管理层应确保组织内的指定人员对外部分配的职能部分负责并拥有权力。理事机构、最高管理层和所有其他人员应负责理解、遵守和应用举报管理体系建议，因为这与他们在组织中的角色有关。©ISO2021-保留所有权利23BSISO37301：2021ISO37301：2021举报管理职能部门应负责并授权：a）举报管理系统的设计、实施、运行和改进；b）确保举报管理系统的设计和资源能够确保全面评估报告和损害风险，进行公正及时的调查报告、保护和支持安排的报告；c）在组织内尽最大可能确保调查和保护功能独立交付（即由不同的人员或区域提供），而认识到每一项都可以分配给现有的职能；d）就举报管理体系和相关问题提供建议和指导举报不法行为；e）有计划地、临时地报告举报管理层的绩效系统向管理机构、最高管理层和其他相关职能部门，如合规部视情况而定。举报管理职能部门应配备充足的资源（见Z1并分配给具有适当能力（见Z.2）、正直、权威和独立性的人员。这应包括直接、不受限制地获得必要的充足资源，以确保举报管理系统及其流程的公正性、完整性和透明度。举报管理职能部门应能直接、不受限制和保密地接触最高管理层和管理机构。没有专门负责该职能的人员的组织可以任命一名或多名人员履行该职能，以及其他职责，只要不存在利益冲突或信任和公正性问题。作为举报过程的一部分，最高管理层可以下放决策权，例如接收不当行为报告、进行评估、实施保护和支持安排、进行调查和结案。组织应建立并维持适当的决策过程（包括政策和控制），其中包括决策者拥有适当的权限，不存在实际或潜在的利益冲突。最高管理者应确保定期审查这些流程，作为其实施和遵守举报管理体系的职责和责任的一部分。24©ISO2021-保留所有权利BSISO37301：20216.1应对风险和机遇的行动在规划泄密管理系统时，组织应考虑其现有的政策、流程和职能（合规、法律、报告、采购、披露、沟通等4.1中提到的问题以及4.2中提到的需求和期望，并确定需要解决的风险和机遇：-确保举报管理系统能够实现其预期结果，即：-鼓励和促进举报不当行为；-支持和保护举报人和其他相关利益方；-确保不当行为报告得到适当及时的处理；-改善组织文化和治理；-减少不当行为的风险；-防止或减少不良影响；-实现持续改进。该组织应计划：a）应对这些风险和机遇的行动；b）如何：-将这些行动整合并实施到其举报管理系统流程中；-评估这些行动的有效性；-让相关人员和相关利益方参与检举计划管理制度；©ISO2021-保留所有权利25BSISO37301：2021ISO37301：2021-处理在组织外报告不当行为的情况（例如，向相关部门报告当局）；-定义组织可以提供的保密程度、支持和保护在举报管理体系内；向举报人和其他相关人员提供反馈并收集反馈利益相关方。6.2举报管理体系目标及其实现计划组织应在相关职能和级别上建立其举报管理体系目标。告密者管理体系目标应：a）与举报政策保持一致；b）可测量（如可行）；c）考虑适用的要求；d）受到监控；g）根据需要进行更新和/或修订；h）确保及早发现和预防不当行为；i）作为文件化信息提供。在规划如何实现其举报管理体系目标时，组织应确定：-将要做什么；-需要哪些资源；-谁将负责；-何时完成；26©ISO2021-保留所有权利BSISO37301：2021-如何监测和评估结果；-如何适当更新；-结果将如何传达。当组织确定需要更改举报管理体系时，应按计划进行更改（见10.1）。组织应确定并提供建立、实施、维护和持续改进举报管理体系以及实现其目标所需的资源。资源可能包括但不限于财务和人力资源、IT解决方案、专业技能、组织基础设施、调查人员、关于举报的当代参考资料、法律专业知识以及专业发展和培训。这些资源可以由内部或外部提供。根据组织的规模、复杂性、结构、运营和4.1、4.2和4.3中提到的其他考虑因素，组织可以将举报管理系统的某些功能外包。组织可以将举报报告的收集、处理和调查外包给独立的第三方或外部服务提供商，如举报解决方案提供商、咨询服务、组织监察员等。但是，如果组织希望处理所有这些问题在SPECT内部，它也可以这样做，因为它的大小和结构可能会造成限制和约束。本组织应：-确定在其控制下从事影响工作的人员的必要能力检举管理制度及其绩效和运作；©ISO2021-保留所有权利27-情商；-外交；适用的行动可以包括，例如，为当前就业人员提供培训、指导或重新分配；或雇佣或签约合格人员。负责开展与保护、支持和调查有关的活动的人员应表现出以下特点：-公正；BSISO-情商；-外交；适用的行动可以包括，例如，为当前就业人员提供培训、指导或重新分配；或雇佣或签约合格人员。负责开展与保护、支持和调查有关的活动的人员应表现出以下特点：-公正；ISO37301：2021-确保这些人员在适当的教育、培训和，或经验；-在相关情况下，确保人员能够以适当的比例工作-在适用的情况下，采取措施获得必要的能力，并评估其有效性所采取的行动。-诚信；应提供适当的文件化信息作为能力证明。-诚信；-正直；-领导能力；-保密-正确的判断。在组织控制下工作的人员应了解：-举报政策（见5.2-举报管理体系目标（见6.228©ISO2021-保留所有权利BSISO37301：2021-他们对举报管理系统有效性的贡献，包括改进举报管理系统绩效的好处（见10.2-不符合举报管理体系要求的影响。组织应为员工提供适当的意识措施和培训。此类培训应解决以下问题：a）组织的举报管理体系、政策、流程、程序、工具和遵守义务；b）他们对举报管理系统有效性的贡献；c）如何识别不当行为；d）如何以及向谁报告可疑的不当行为；e）如何以及向谁提出有关口哨的问题降低管理制度；f）如何帮助预防、避免和保护有害行为；g）关于现有支持和资源的信息；h）使用举报管理系统时可用的保护措施；i）相关地方立法规定的条款；i）不报告不当行为的影响及其潜在后果；k）为潜在告密者提供的关于独立机密建议的信息1）组织的行为规范或道德规范或同等规范（如有）；m）解释不遵守举报政策的后果，例如如何制定明知故犯的虚假报告和有害行为可能会受到纪律处分；所有人员都应了解：©ISO2021-保留所有权利29BSISO37301：2021ISO37301：2021然而，对于个人来说，首先向其上级报告不当行为通常是可取的或必要的-经理，也可能希望或有必要通过公司提供的其他渠道报告不当行为组织，尤其是经理未能采取适当行动或存在冲突；-举报政策并不能代替管理者对工作场所负责；-举报管理系统提供了补充报告渠道和保护和管理人员对其实施起到了重要作用；-检举政策不妨碍个人向相关当局报告；-举报管理系统并不能取代向其报告的当地法律义务相关部门（如适用）。应根据员工的角色、面临的违规风险和任何不断变化的情况，在入职时和定期（按组织确定的计划间隔）向员工提供举报意识措施和培训。必要时，应定期更新宣传措施和培训计划，以反映任何相关的新情况组成组织应为代表其行事或为其利益行事的业务伙伴实施有关提高认识措施和培训的程序。这些程序应确定需要此类意识措施和培训的业务伙伴、其内容以及提供培训的方式。组织应保留已进行培训的文件化信息。7.3.3领导者和其他特定角色的培训管理机构、最高管理层、检举管理职能部门、管理人员和检举管理系统中具有角色、职责和权限的任何人员都应接受政策操作和如何处理不当行为报告方面的培训。培训应涵盖以下问题：a）举报政策范围内的不当行为；30©ISO2021-保留所有权利BSISO37301：2021b）什么是不法行为，什么不是；c）举报不法行为的渠道；d）检举人可以从检举政策中获得的沟通和信息流程，以及如何评估和处理不当行为报告；e）采取了哪些程序来确保信任、公正和保护；f）什么是保密性，它的重要性以及如何维护；g）有害行为的概念和类型，如何预防和解决，包括对其负责人造成的后果，以及遭受有害行为的人可采取的补救措施。；h）如何接收不当行为报告；i）如何评估不当行为报告；j）如何处理不当行为报告；k）如何向举报人提供反馈；1）与告密者的互动会是什么样子，以及如何做出适当回应；m）公平和公正调查的重要性，包括假定报告的主体是无辜的；n）如何以及何时采取纠正措施；o）不当行为报告未按照举报政策进行管理时的影响；p）如何制作和保存（即保留或维护，视情况而定）与举报管理系统相关的文件。组织应确定与项目相关的内部和外部沟通举报管理制度，包括：©ISO2021-保留所有权利31BSISO37301：2021ISO37301：2021a）关于它将传达什么；b）何时沟通；d）如何有效沟通；f）用来交流的语言。引入或更新政策时，应采取以下措施。-应向人员简要介绍关键点/变化。管理者的参与：-有助于确保经理在安排中有明确的角色，他们的角色是广为人知；-传达管理者自己的信息，即这对他们的员工来说是安全和可接受的工作人员报告其上级的不当行为。-管理机构或最高管理层应发送通信（例如，个性化信函、时事通讯或在e）内部网等）。这将在整个组织内提高倡议的可信度，是展示领导力的有效方式（见组织应考虑到其他利害关系方应该接受什么程度表达举报政策和举报管理系统信息应与新员工进行有效沟通，并将其包括在新员工中加入组织时提供的信息包。该组织应使用其常用的沟通渠道，如时事通讯、电子邮件、海报、内联网或互联网帖子、人事会议、市政厅、培训课程、内部公告板或手持传单、小册子、钱包卡、社交媒体、当面和任何其他适当的沟通工具。32©ISO2021-保留所有权利BSISO37301：2021组织的举报管理体系应包括：a）本文件推荐的文件化信息；b）组织确定为有效性所必需的文件化信息举报管理系统的一部分。举报管理系统的文件化信息范围因组织而异，原因如下：-组织的规模及其活动、过程、产品和服务的类型；-过程及其相互作用的复杂性；-人的能力。7.5.2创建和更新文件化信息在创建和更新文件化信息时，组织应确保：-标识和描述（如标题、日期、作者或参考号）；-格式（如语言、软件版本、图形）和媒体（如纸质、电子版）；-审查和批准适用性和充分性；-数据保护措施。根据组织的规模和复杂程度，对所有未解决的报告建立定期审查制度是有帮助的。此外，确保根据举报政策处理所有案件有助于确定趋势和需要改进的领域。应控制举报管理体系所需和本文件所建议的文件化信息，以确保：a）这是一个可在需要的地方和时间使用；©ISO2021-保留所有权利33BSISO37301：2021ISO37301：2021b）它得到了充分的保护（例如，防止机密性丧失、不当使用或完整性丧失）。对于文件化信息的控制，组织应处理以下活动（如适用）：-分发、获取、检索和使用；-储存和保存，包括保存易读性；-变更控制（如版本控制）；-保留和处置。组织确定的举报管理体系的规划和运行所需的外部来源的文件化信息应适当识别和控制。举报管理职能部门应确保按照组织的数据保留政策（另见7.5.4中的数据保护）保存和维护记录的信息，包括：-8.2中概述的所有不当行为报告；-采取的行动；-调查结果；-其他相关文件。访问可能意味着决定是否只允许查看记录的信息，或者是否允许和有权查看和更改记录的信息。应考虑数据保护，因为它可能会对举报管理系统的已确定方面产生影响。受影响区域的示例包括但不限于：a）确定谁可以访问相关数据，以及谁批准此类访问；34©ISO2021-保留所有权利BSISO37301：2021b）数据管理（安全、保留、删除、访问、修改个人信息和国际数据传输）；c）检举人、报告任何主体和其他相关方的数据保护权利与不法行为有关；d）关于收集数据的通知；e）举报管理制度范围；f）是否允许匿名。当组织考虑外包给外部举报提供商时，应进行充分的尽职调查，以确保默认情况下和设计时适用最高的可用数据保护标准。程序应到位，以确保所有相关方，包括举报人和任何主体该报告的所有内容均被保密。未经举报人和相关利益方的同意，不得向任何人披露举报人和相关利益方的身份，除非有必要了解。如果举报者的身份很可能是已知的（因为他们之前公开提出过担忧，或者信息的性质意味着他们很容易被识别），或者需要通过法律披露，则应提前通知举报者，并应采取可能的额外措施保护他们免受损害。在建立过程，包括程序和工具时，为了确保举报者和举报者的任何相关方（包括报告的任何主题）的机密性，组织应考虑以下事项：a）许多特征可能会无意中识别一个人（姓名、声音、性别、工作描述、，部门等）；b）所报告的不当行为的情况可能会无意中导致识别告密者；c）一个组织调查不当行为报告的方式也可能会无意中识别举报人；d）报告结果的方式也可以识别告密者；e）组织收集评估指标数据的方式（9.1.2）可能会无意中识别出秘密举报©ISO2021-保留所有权利35BSISO37301：2021ISO37301：2021的举报人；f）让举报人意识到，如果允许进行保密或匿名举报，可能需要在调查期间进一步披露其身份；g）让举报人意识到，如果允许匿名举报，匿名举报可能会限制调查和保护个人的能力；h）在允许匿名的情况下，组织可以定义与举报者沟通的机制。程序应包括如何处理违反保密规定或已尝试识别举报人或相关利益方。这包括提供支持并采取纪律措施。8运行8.1运营规划和控制组织应确保其举报管理系统包括以下内容流程如图3所示：-收到不法行为报告；-评估如何最好地处理不当行为报告，并保护和支持举报者；-处理不当行为报告，以及相关人员的保护和支持需求；-结束揭发案件。向告密者提供反馈有助于建立和维持信任，并提供机会让告密者传达更多信息。反馈应该管理期望并以同情的语气表达。它应该包括：a）有关报告状态的信息；b）下一步（ifa）纽约）。36©ISO2021-保留所有权利BSISO37301：2021举报流程的每一步都应提供反馈（参见图3）。接收确认应及时（例如，立即自动确认）收到后，在三个工作日内发送个性化信息）。如果某个特定步骤是接收确认应及时（例如，立即自动确认）花费的时间比预期的要长，应向举报人提供中间反馈以进行更新时间框架。向举报人提供的关于该组织因举报而采取的行动的详细程度可以在反馈中给出的举报可以受到限制，以避免影响任何调查。实例反馈可以包括：-保证[例如，“谢谢你，我们正在认真对待你的报告”（收据“信息是有用的，但是[问题]”（评估“我们将开始调查，您愿意直接与调查人员交谈吗？”（评估“您想提供更多信息吗？”（评估）]；建立进一步沟通的渠道（提供继续或改变沟通方式的可能性-报告是在网上进行的，但检举人更愿意亲自继续）；-过程中的下一步和可能的结果；-下一步的时间框架（他们什么时候可以期待进一步的反馈）；-反馈细节有限的原因；-关于现有支持和保护措施的信息，包括保护措施他们的身份或匿名；-关于组织职责的信息；-关于举报人责任的信息。©ISO2021-保留所有权利37BSISO37301：2021ISO37301：2021各组织应确保举报流程的每一步都在合理的时间范围内开始，不得无故拖延图3-举报管理系统的操作步骤组织应通过以下方式规划、实施和控制满足建议和实施第6条中确定的行动所需的过程：-建立过程的标准；-根据标准实施过程控制。文件化信息应在必要的程度上可用，以确信过程已按计划执行。组织应控制计划的变更（见6.3），并审查非预期变更的后果，必要时采取措施减轻任何不利影响。组织应确保与举报管理体系相关的外部提供的过程、产品或服务得到控制。38©ISO2021-保留所有权利BSISO37301：20218.2收到不当行为报告组织应确定、实施、沟通和维护可见、可访问和安全的报告渠道。在可能的范围内，至少有一个渠道应与管理层不同。报告渠道可以是其他内部报告渠道，也可以是外包举报服务提供商运营的报告渠道。可见和可访问意味着告密者可以轻松找到并使用可用的报告渠道。接收报告的常见方法包括当面交谈、使用内部或外部电话线、在线、电子邮件、数字或移动应用程序报告、邮寄或内部信箱。示例1面对面渠道，包括向不同管理职能部门（例如直线经理、最高管理层、管理机构、数据保护官、环境和/或健康安全官、合规官或组织监察员）报告：-确保谈话在确保保密的地点进行；-澄清并从举报者那里获取更多有用的信息，以及建立信任和融洽关系。例2：对于电话频道，以下元素可以增加可访问性和可信度：-专用免费电话号码；-多语言能力（如相关）；-组织正常工作时间以外的可用性；-使用人工操作员，该操作员可以澄清并从举报者那里获取更多有用信息以及建立信任和融洽关系；-为运营商提供一个物理安全的位置，这也可以增加保密性；-未经告密者同意，不得记录谈话内容。示例3基于Web的在线、数字或移动应用程序报告渠道可以：-促进双向安全匿名或保密通信；-为举报者提供上传附件的选项；-具备相关的多种语言能力。例4通过邮寄的报告可以直接发送到安全处理的专用地址。当内部信箱被用作举报管理系统中的一个渠道时，组织必须确保他们能够保持匿名或保密，例如，他们不在任何安全摄像头的范围内，以避免无意中识别举报人。不管是哪个频道：-组织可能会建议报告的结构，而不是规定性的；-信息应按照7.5进行处理。管理人员应接受适当识别和处理不当行为报告的培训（见7.3）。询问举报者的信息可以包括以下内容。©ISO2021-保留所有权利39BSISO37301：2021ISO37301：2021-不法行为发生在哪里（管辖权）？-不法行为是什么时候发生的（过去、现在、未来、进行中一谁参与了这起不法行为-你以前报告过吗？如果是，什么，什么时候，给谁？他们采取了什么行动？-在你看来，这对公司有什么影响？-管理层是否参与或意识到不当行为？-对你或其他人有风险吗？-您是否有任何文件或其他证据（如图片）支持该报告？-我们还可以联系其他有第一手知识的人吗？-我正确理解你的担忧了吗？-有没有人试图隐瞒这一点，或者试图阻止你分享你的担忧？如果是，请告诉我们谁，如何。举报者的期望应该得到控制。不应要求告密者主动收集进一步的不当行为证据。举报者应了解反馈、回应时间、操作和法律规定以及限制（例如范围、保密性和匿名性）方面的预期情况。应与举报人商定进一步沟通的适当渠道。8.3评估不当行为报告组织应确定、实施和维护确保对不当行为报告进行公正评估、分类和管理的流程。评估决定应记录在案（见7.5）。应根据风险（即不当行为的可能性及其潜在影响）对报告进行分类和排序。在评估报告时，可以考虑以下方面。-这种不法行为是否属于检举政策的范围？如果没有，是否需要在是否按照其他程序或以其他方式处理（见4.3-这种不法行为是刑事犯罪吗？不法行为是否需要提交给执法部门或监管机构？-不法行为是什么时候发生的或即将发生的？-是否立即需要停止或暂停业务活动？-是否存在对健康和安全的直接风险？-是否存在对人权或环境的直接风险？-在删除或销毁证据之前，是否有立即保护证据的需要？40©ISO2021-保留所有权利BSISO37301：2021-组织的职能、服务和/或声誉是否存在风险？-正在调查的报告是否会影响业务连续性？-媒体会对这起不法行为的报道感兴趣吗？-如何管理这一评估过程，同时确保信任、保护和公正？-是否有进一步的确凿信息？-不当行为的性质是什么（例如，受试者的类型、频率、患病率、角色和资报告？-在组织外部报告不当行为的可能性有多大？-之前有没有报告过这种不法行为？-举报人是如何获得信息的：信息是第一手的还是道听途说的？评估不当行为报告的结果可能包括以下一项或多项：a）参与其他职能（如人力资源、法律、内部审计、合规、健康和安全）安全、财务），如果需要，并且这不会损害客户的信任、公正性和保护调查，支持调查；b）收集更多信息；c）采取初步措施（例如暂停报告主题、获取证据）；d）调查不当行为报告；e）参考或配合其他程序；f）通知相关部门（如执法或监管机构）；该决定以及可能的原因应告知举报人（见8.1）。8.3.2评估和预防有害行为的风险在进行报告时，组织应通过考虑以下因素来评估对检举人和其他相关方造成损害的风险。（a）保密的可能性有多大还有谁知道？还有谁知道他们告诉我了？信息的性质是否揭示了他们的身份？他们是他是唯一一个有权获得这些信息吗？这是否属于刑事犯罪，需要披露证据作为证据以及举报人的身份。b）告密者是否担心受到损害？是否已经发生或正在发生有害行为他们意识到任何直接威胁吗？c）告密者是否参与了不法行为，还是针对他们？©ISO2021-保留所有权利41BSISO37301：2021ISO37301：2021d）该报告是否涉及多种类型的不当行为？e）告密者是如何获得信息的？f）举报人与报告主题的关系是什么？g）举报人与该组织的关系是什么？根据确定的风险，组织应确定并实施战略和行动，以防止对检举人和其他相关方造成损害，例如：-保护他们的身份；-在严格需要了解的基础上分享信息；-在整个过程中提供支持，包括定期沟通对弱势群体（如儿童、年轻人、移民工人、，有心理健康问题或学习困难的人和老年人）；-改变工作场所或报告安排；-警告报告主体或利益相关方的有害行为或违反保密可能是违纪行为。保护级别和采取的相关行动取决于举报的类型和时间以及不当行为的潜在后果（例如，报告主题和其他相关方）。在调查过程中的不同阶段，如决定调查时、调查报告期间、调查结果已知后，以及在案件结案后（如适用），应监控和审查风险。8.4处理不当行为报告组织应确定、实施、沟通和维护一个流程，确保由适当的合格人员公正地进行调查。他们应该对相关业务部门、检举人和报告主体公平公正。检举人报告引起的任何调查都应遵守正当程序。例如，调查应在没有偏见的情况下进行，不法行为报告的主体应有权根据需要作出回应，并有权选择得到协为了公正的认识和现实，应酌情考虑在法庭上雇用外部调查人员与组织保持一定距离，尤其是在内部缺乏专业调查技能或内部调查员的公正性得不到保证的情况下。必要时，应尽可能采取多学科方法。专业调查管理包括但不限于以下原则。a）调查应该有充足的资源。b）应定义并记录明确的职权范围和范围。c）调查过程应足够稳健，能够承受行政、运营和管理方面的压力法律审查。应保持与调查活动相关的审计跟踪，并将其回复至已批准的记录42©ISO2021-保留所有权利d）调进行合作。d）调进行合作。h）所行中。应该为报告后立即开始，并明确分配保护和支持责组织应保护举报人不因向相关机构报告内部或外部不当行为而受到损害。任何政策都应明确，不允许试图识别举报人或与举报人报告有关的有害行为，这是一个纪律问题。计划。调查应认为报告的任何主题都是假定无罪的。删除图片可见到删除图片可见到保护包括采取一切合理措施防止损害发生，或控制已确定的损害，以防止进一步的损害。实施的策略将取决于通过风险评估确定的可能危害源（见8.3.2）。实际支持包括鼓励并让检举人确信举报不当行为的价值，并采取措施帮助他们的福祉。支持可以是情感上的、经济上的、法律上的或名誉上的。最高管理层负责确保支持和保护。举报管理职能部门（见5.3.2）负责确保在组织内实施支持和保护措施。举报人可以通过8.2中概述的渠道报告有害行为，也可以向负责支持和保护他们的人员报告。如果组织意识到或怀疑举报者面临有害行为，则应评估应采取的行动。这种评估应考虑到对弱势群体的特殊考虑人（如儿童、年轻人、移民工人、老年人）。如果有害行为需要调查，则应由公正的人员进行调查。如果确定正在发生或已经发生有害行为，组织应采取合理措施，制止和处理有害行为，并支持检举人和其他相关方。可能需要进行补救。在最大可能的范围内，举报人应该恢复到一种如果他们没有遭受损害的情况。例如：a）将检举人恢复到相同或同等职位，同等工资、同等责任，工作岗位和声誉；©ISO2021-保留所有权利43BSISO37301：2021ISO37301：2021b）公平获得晋升、培训、机会、福利和权利；c）恢复到以前相对于组织的商业地位；d）撤销诉讼；e）为遭受的任何损害道歉；f）损害赔偿。组织应对任何被发现对有害行为负责的人采取适当的纪律处分。组织应确定并实施保护报告主题的策略，例如：a）保护身份（尽可能）；b）以尽可能保密的方式进行调查，以及适用于确保受试者不会受到声誉损害（信息在严格需要了解的基础上分享）；c）确保正当程序，包括及时、公平、公正、保密的调查和协助；d）在整个过程中提供支持，包括定期沟通；e）如果没有发现不当行为的证据，可以考虑采取其他补救措施，例如：。声誉、财务、就业状况。相关利益方可以包括证人、协助或参与举报不当行为的其他人、内部调查人员、家庭成员、工会代表或支持举报者的其他人，或被错误怀疑举报不当行为的人。在组织的能力、能力和能力范围内，应尽可能保护他们不受损害。8.5结案举报案件结束检举案件意味着对不当行为报告的处理结束。检举案件将进入结论阶段，在该阶段，对报告无需采取任何行动，事实调查确定无需进一步调查，报告将提交另一个处理过程，或在任何调查结束时（无论是否发现不当行为）。结束举报案件可能涉及：a）完成调查，包括发布调查结果；b）重新采取行动响应任何建议（例如政策审查、纪律处分）；c）与负责支持和保护举报人和其他相关利益方；d）确定任何持续的保护措施；e）收集举报人和其他相关方的反馈；f）确定经验教训，以及需要改进的政策、程序和控制措施或实践；44©ISO2021-保留所有权利BSISO37301：2021g）考虑如何以及以何种形式将不当行为报告用于组织学习作为案例研究；h）保留有关结案的文件化信息（见7.5包括结案日期关闭、谁批准关闭以及采取了什么行动。如果发现有不当行为，组织应：-采取适当措施解决不当行为，并持续监控根据适当的组织政策，这些措施的有效性；-实施适当的制裁；-在适当的情况下，向相关部门提交材料，并监控结果或做出的决定。在举报者事先同意的情况下，该组织可能希望考虑如何承认并承认举报者的不当行为（包括但不限于，由最高管理层表达感激和公众赞扬）。计划和采取的行动，以及任何发现都应及时传达给举报人和相关利益方。这应该包括审查举报案件处理情况的任何独立渠道。如果对行动和调