透過五個簡單步驟理解ISO吹哨者指引
今年,國際標準化組織(ISO)正式頒布了國際標準ISO 37002——《舉報管理系統指南》(ISO舉報指南)。
ISO《吹哨者指引》是首部針對企業實施吹哨者管理系統所制定的全面性指南。若貴機構的吹哨者計畫在各方面均符合ISO《吹哨者指引》要求,即代表貴機構已建立符合頂尖國際標準的先進系統,您大可確信該系統完全符合其設計目的。
在ISO術語中,「指引」無法由認可機構核證其是否符合要求。目前尚無針對指引的認證程序,儘管未來某個階段可能有所改變。 然而,您可委託專業機構依據ISO吹哨者保護指南對現有計畫進行審查與稽核,藉此建立合規信心。當然,聘請熟悉ISO標準與流程的合規專家始終是最佳選擇。我們的姊妹公司ETHIC Intelligence為全球客戶提供此項服務。
ISO《吹哨者指引》的實際意圖究竟為何?
ISO《舉報管理指南》為組織提供建立、實施、維護及改進舉報管理系統的建議,其預期成果如下:
|
ISO《舉報指引》協助組織建立基於信任、公正與保護原則的舉報管理體系。該指引具適應性,其應用方式將因組織規模、性質、複雜程度及活動所屬司法管轄區而異。ISO《舉報指引》可協助組織完善現有舉報政策與程序,或符合適用的舉報相關法規。
理解ISO吹哨者指引的五個步驟
1. 理解ISO基礎知識
請務必理解ISO標準與指南的運作方式。這些文件皆在開頭列出定義,實質內容則從第4節開始。由於指南與標準中使用了若干獨特術語,您可能需要查閱專業ISO詞典(可於ISO官網取得),方能真正掌握所有細微差異。
請注意,指南內容不具認證效力,因此您會發現其中頻繁出現「應」字(例如「您應執行此操作」、「您應執行那項操作」),而具認證效力的標準中,ISO通常會使用「必須」一詞(因其具強制性,未執行該項要求可能導致無法通過認證)。 這實質上是語義差異,因此請理解:當指南中出現「應」字時,您仍需遵循其要求以確保符合規範。
2. 著手進行範圍界定、申請流程及利益相關者審查
如步驟1所述,多數ISO標準與指南(包括ISO《吹哨者保護指南》)皆遵循相同流程,實質上皆從第4節開始。本節協助人員釐清計畫範圍:是否適用於所有人員?是否涵蓋所有子公司?此處亦需釐清可能適用的法律規範。各國是否存在要求企業建立特定機制的專項法規?
第4節要求您根據本指引的建議,建立、實施、維護並持續改進舉報管理系統,包括所需流程及其相互作用。
3. 讓管理層與領導團隊參與其中,並釐清各自的角色與職責
如同所有ISO標準與指南,ISO《吹哨者指引》要求您必須獲得組織適當層級的支持。若缺乏此類支持與認同,要成功推行並運作相關計畫將面臨極大困難。
ISO《吹哨者指引》探討了您所獲得的治理機構(即董事會)與高層管理人員的支持,同時也涵蓋了將負責運作吹哨者管理系統的相關人員(無論是人力資源、合規、法律部門或其他單位)。
在此階段,您還將審視所有關鍵利益相關者的角色與職責,並釐清各領域的負責人員。
4. 建立您的舉報計劃
在確定人員配置並釐清計畫範圍後,ISO《吹哨者指引》的下一部分將引導您如何建立吹哨者計畫。 該指南著重規劃您將建立的各項活動,這些計劃必須包含如何為計畫設定目標,以及後續如何衡量這些目標的達成狀況。ISO《吹哨者保護指南》——事實上所有ISO標準皆如此——的核心在於依據目標來衡量您的執行成效,您將持續看到此項核心關注點。
您亦將熟悉實施過程中的細節層級。ISO《吹哨者指引》將著重於要求您記錄並詳述各項行動:由誰執行?何時執行?如何執行?目標為何?具體執行方式為何?如何依據該目標進行驗證?
|
5. 運作、支援、衡量與改進
一旦計畫實施,關鍵在於執行。務必確保具備適當資源以推動計畫運作。相關人員需接受專業培訓並具備合格資格,且必須依據計畫中明確的行動方針與目標執行任務。透過溝通與培訓提升人員對計畫的認知至關重要,此亦為ISO吹哨者指引的核心重點。
當然,在某個階段,您確實會收到用戶提交的舉報報告。操作規範將提供關於如何接收、分級處理及調查這些報告的指引。ISO《舉報指引》同時也探討了如何保護舉報者,並確保絕不以任何形式對其進行報復。
該指引包含大量關於監控、衡量及改進所建立系統的內容。其中規定必須審計計劃的有效性,以識別弱點或不符合項。
針對管理合規報告與計畫的團隊所採取的行動
對於已建立舉報或合規申報機制的團隊而言,ISO《舉報指引》是驗證現有工作成效並作為最佳實踐的絕佳方案。我們建議針對貴機構的現行機制進行差距分析。
若您剛進入該領域,並正在尋找一套可供建構計畫的藍圖,ISO《吹哨者保護指南》正是極佳的遵循流程。
如何了解更多
ISO《舉報指引》現已於各國ISO商店開放購買。更多詳情請查閱ISO官網。
若您有意從零開始建立您的計畫,或需要關於ISO吹哨者指引的諮詢建議,請隨時與我們聯繫。