ISO 37008：組織內部調查

近年來，國際標準化組織（ISO）發布了多項標準，旨在引導組織制定、衡量及報告其合規計畫的關鍵環節。 其中最受矚目的ISO 37001專注於反賄賂與反腐敗領域，而另一項ISO 37301則提供通用原則與要求，供組織用於建立涵蓋任何主要合規計畫領域的系統（例如盡職調查、出口管制，甚至以ESG為核心的領域如人權議題）。

ISO 37008的推出時機再恰當不過。隨著多項新合規與ESG法規的誕生與普及——這些法規對報告與調查提出關鍵要求（例如德國《供應鏈盡職調查法》、澳洲《人權法》，以及美國《海外反腐敗法》與英國《反賄賂法》等反賄賂法規）——ISO 37008為組織提供了如何制定與管理相關計畫的指引。

本文將探討：

• 本標準所概述的關鍵概念
• 組織如何透過取得ISO 37008認證，更有效地管理合規與ESG法規所要求的報告與調查義務。

ISO 37008 的關鍵概念

ISO 37008 闡明五個領域，以引導組織制定其調查計劃，分別為：

• 核心原則
• 資源與專業知識以進行調查
• 政策與程序的制定
• 報導
• 補救措施的實施。

ISO 37008 闡述了多數企業調查計畫所依循的傳統原則。這些原則提醒組織必須確保調查工作：

• 獨立
• 機密
• 由專業人士執行
• 客觀公正
• 依據適用法律進行。

ISO 37008 標準極為重視確保董事會（稱為「治理機構」）與高階主管（稱為「最高管理層」）對調查計畫進行投資，以確保具備合格且專業的資源來管理調查工作。儘管此要求看似理所當然，但該標準特別強調組織必須展現承諾，為調查管理分配財務與實體資源。 該標準要求組織運用適當的技術平台管理舉報與調查，並承諾投入財務資源投資此類產品。

除了技能、專業知識和資金外，ISO 37008 更強調治理機構與高階管理層必須確保調查計畫的獨立性與公正性。若您熟悉其他合規相關 ISO 標準（例如 ISO 37001），便會發現 ISO 向來極為重視組織高層展現對合規的承諾。 有別於其他框架，合規與道德責任並非僅由合規及ESG部門承擔；董事會與高階主管須確保自身與廉正團隊間存在清晰溝通管道，使後者能充分履行職責，並擁有直達組織最高層級的直接溝通管道。

ISO 37008 要求組織制定政策以規範調查程序。儘管多數大型組織已具備相關文件，該標準仍強調調查計畫中應在政策中明確描述的關鍵要素——若您計劃申請認證，此項要求至關重要。

ISO 37008 最具實用價值之處在於第 8 節，該節規範了調查流程的規劃與執行。 第8節闡述的核心要點之一是建立「報告線」，該線路可獨立於執行調查工作的團隊。根據標準規範，此報告線應確保調查團隊的公正性，評估是否需聯繫主管機關（依據事件性質），並評估對組織的風險與影響。調查團隊應在調查過程中持續向報告線通報最新進展。

該標準同時要求調查團隊對潛在事件進行初步評估並留存紀錄。儘管多數組織可能已建立分級處理流程，但標準中所述的初步評估有助於確保組織明確記錄每項調查的關鍵環節，例如聯繫相關方、評估業務影響、考量相關環境與法律問題，以及決定是否應尋求外部法律顧問或支援。 記錄化初步評估的需求，同時凸顯了運用能記錄此類資訊的軟體或調查平台之必要性。

第八節亦針對調查的技術層面提供更深入的資訊，例如電子數據的蒐集、保存、分析與審查。該節附錄提出若干值得參考的建議，眾多組織皆可從中獲益，包括：

• 確保保密性是透過標準所稱的「書面警告通知」向潛在事件的通報者強調的重點。
• 實施「審查協議」，透過關鍵字、標籤與分類功能，確保關鍵文件獲得高效管理
• 時刻留意可能干擾調查的情況。

ISO 37008 規範了執行「最終確認程序」的流程，該程序標誌著每項調查的結束，必須包含基於證據的調查結果，並對調查結論作出充分判定，以啟動補救措施。

該標準闡明了編製調查報告的關鍵要求。這些要求包括：

• 展品與重要附件的增補
• 歸納事實
• 設定限制與約束
• 透過組織文件保留標準來維護機密性。

在這個方面，軟體再次能提供協助。

ISO 37008標準最後的相關章節涵蓋補救措施與利害關係人互動。在調查後採取有效行動方面，該標準不僅要求補救措施須公平且與發現問題成正比，更強調企業必須識別合規缺口與脆弱環節，方能對相關合規計畫領域實施長遠改善。

最後一節關於與利益相關方互動的內容，涵蓋了向相關方傳達調查結果、後續步驟及提交報告的若干要點。本標準特別強調向主管機關謹慎披露資訊的議題，指出合規與誠信團隊應與治理機構及高層管理層討論調查結果，判定是否需要（或有利於）進行披露，並在傳達前諮詢法律顧問。

將ISO 37008應用於關鍵合規與ESG法規

依據ISO 37008的指引與要求設計您的調查計畫，有助於更有效地遵守特定合規與ESG法規。

《海外反腐敗法》（FCPA）

儘管企業在制定符合《反海外腐敗法》要求的反腐敗計畫時並無嚴格規範，但司法部（DOJ）的《企業合規計畫評估指南》多年來一直是關鍵參考文件。該文件列明了檢察官評估企業潛在違規行為時可能採用的標準。

檢察官將評估的關鍵計畫領域之一，是組織的保密舉報機制與調查流程。美國司法部指出，此項評估對判定企業是否建立完善的公司治理機制具有「高度證明力」。檢察官將審視的諸多具體因素，與ISO 37008標準的核心條款高度契合，包括：

• 建立一套流程以妥善界定調查範圍
• 採用一套方法論，以確保調查工作獨立、客觀且有據可查
• 為作為報告與調查計劃一部分所採用的機制與工具分配充足資金。

除了符合《反海外腐敗法》的指引外，ISO 37008 還能透過多種實用方式協助管理反腐敗事務，包括：

• 確保組織建立完善流程，以處理涉及常見賄賂手法的投訴與舉報，例如向供應商支付回扣、設立小金庫以誘使政府官員及客戶提供不正當商業利益，以及違反公司禮品、餐飲及娛樂政策提供利益。
• 提供實施數位取證工具的指引，用於研究及審查描述潛在賄賂行為的文件與交易紀錄，例如電子郵件、簡訊、發票及收據。
• 編製報告，清晰列明每項調查的指控內容、已知事實、涉及及受影響人士，以及調查結果

就企業應如何及是否向主管機關披露潛在調查結果提供指引——在《反海外腐敗法》的特定情境下，此類披露可能包含為減輕處罰嚴厲程度，或為促成與執法機關簽訂延期起訴或不起訴協議而進行的揭露。

德國供應鏈盡職調查法（SCDDA）

《企業責任法》於2023年初正式生效，此乃德國首部要求企業對潛在人權侵害及環境問題承擔責任的法規。為符合該法要求，企業必須建立管理系統以監控其營運及供應鏈中的相關風險。必須建立的核心流程包括：

• 一份政策聲明，其中闡明監控人權與環境風險的程序，以及對供應商與員工的期望。
• 一套申報程序，允許員工、供應商及相關人士揭露潛在違規行為
• 每年向政府當局提交盡職審查及調查結果的報告。

取得ISO 37008認證能協助組織更完善地準備符合《反賄賂法》(SCDDA)。ISO 37008認證確保實施多項對SCDDA合規有益的流程，例如：

• 修訂政策以明確告知，公司報告管道除可揭露腐敗及人力資源等傳統議題外，亦可用於通報潛在的人權與環境違規行為
• 建立可供內部及外部持份者使用的便捷申報程序與工具
• 制定調查、管理及通報人權與環境問題的程序。

由於《反歧視法》要求第三方（供應商、客戶、相關人士）掌握舉報途徑，企業可考慮在官網設立面向公眾的政策聲明，同時保留內部政策以規範調查程序。

遵循《反賄賂法》(SCDDA) 的要求，可透過參照 ISO 37008 的規範來更輕鬆地達成。

企業永續發展報告指令（CSRD）

《企業永續報告指令》(CSRD)已於2023年初生效，要求企業就其商業行為的永續性進行報告。

《企業永續報告準則》的首個主要章節要求組織就各項永續發展策略性倡議與目標進行報告，包括：限制全球暖化的行動方案、實現2050年碳中和目標的具體策略、內部永續政策，以及組織商業模式的韌性與永續發展策略。

CSRD的第二大章節聚焦於盡職調查；在此指令中，「盡職調查」指為釐清組織營運及供應鏈所造成之負面影響而進行的資訊蒐集流程。 本章節的核心要點之一，在於組織為預防、減輕、補救或終止自身造成的負面影響所採取的行動。透過參照ISO 37008標準，組織可確保其報告與調查流程具備處理永續性相關查詢的能力。 儘管部分人士可能認為永續議題在法律層面較不緊迫或相關性較低，但須謹記此類議題可能影響弱勢群體——例如受企業營運影響的在地社區、在地市場的客戶或供應商等缺乏發聲管道或救濟途徑的對象。將永續議題納入報告與調查體系，有助組織更有效管理營運造成的負面影響，並確保符合《企業永續報告指令》的準確揭露要求。

結論

ISO 37008 為企業提供了一種標準化其報告與調查程序的方法，同時建立框架以調整這些流程，從而管理新舊合規及環境、社會與治理（ESG）法規中的關鍵要求。從商業角度來看，該標準使組織能夠證明其內部合規流程符合最佳實踐。