周听不蔽，稽验不惶——ISO 37001：2021 举 管理系统的建立和运行

通过建立和完善举 管理系统强化合规要求和监管环境已成为各地监管机构近年来的一项重要共识。

而早在2019年10月，欧盟即已发布《举 人保护指令》（Directive EU 2019/1937），要求欧盟成员国须将建立内部举 机制纳入国家法律以要求一定规模以上的企业(拥有250名以上员工或年收入达1,000万欧元以上)、公共机构和政府部门实施举 制度并为举 人提供法律和财务保护。

因此，如何落实这项要求、建立一个适合本企业的举 管理系统也成为企业发展中的一个重要考虑。在这方面，国际标准化组织（ISO）于2021年4月和7月先后发布了ISO 37301:2021《合规管理体系要求及使用指南》（下称“ISO 37301”）和ISO 37002:2021《举 管理系统指南》（下称“ISO 37002”），或可为企业建立举 管理系统提供一个较为详细的指引。

举 管理组织架构

ISO 37301强调，应当有渠道可将合规顾虑提交至组织的高层管理人员或者最终责任机构。可见，举 管理系统当有企业治理层以及高管的“强参与”。

一个完整的举 管理系统的组织架构中，董事会、管理层及负责举 管理的职能部门三个层级协调分工、各司其职。各个层级之间以及各个层级与举 管理各项职能之间的关系如下图所示：

举 政策

举 政策是整个举 管理系统中的纲领性文件。一项理想的举 政策应当具有协调性、公开性和可调整性：

ISO 37002认为，举 管理系统的范围和使用是由组织内外部各种因素，利益相关者的需求和使用者画像等共同决定。一个好的举 管理系统应当具备这些特征：允许匿名、允许保密、除了举 以外还可以用于寻求指引，以及保护举 人免于受到 复。

对应的，ISO 37002建议举 政策应当包括以下内容：

1. 鼓励举 不当行为、建立合规举 文化

2. 举 管理系统的边界和适用性

3. 对举 管理系统良好运行和持续改进的承诺

4. 禁止恶意举 并明确后果

5. 强调举 的机密性、个人隐私保护和数据安全

6. 强调权威性和独立性

7. 法律和公司政策支持

8. 介绍举 发起、接收和调查流程

举 管理系统 以安永“畅言”合规举 管理平台为例

在完成组织和政策建构的基础上，需完善填充举 管理系统并使之有效运转。一个完整的举 管理系统包含四个步骤：规划、支持、运营和监督及改进，对于信息和数据的保护贯穿举 管理系统的始终。

1、规划

规划举 管理系统应包括设定目标和范围、配置资源、监督、评估、沟通等，也应包括根据实际情况对原有计划进行及时的调整和更新。在规划阶段，即应当明确组织能提供的保密和保护级别来支持举 人和非恶意举 行为。规划和建立良好的举 管理系统能帮助在组织内部形成举 不合规行为的良性文化。

2、支持

举 管理系统的支持环节包含：

3、运营

运营是整个举 管理系统的主体部分，运营通常分为以下四个环节：

设置一个举 热线或举 邮箱，只是运营部分的第一个环节，如何在收到举 后妥善评估、处理和结案是一个需要解决的系统化问题。一个好的举 管理系统能帮助企业在收到举 以后按照规则跟进处理。

安永法证及诚信合规服务团队结合过往企业内部调查以及在大数据领域的经验，根据企业需求，设计了合规举 管理平台“畅言”。该平台能协助企业完成全流程的举 管理系统运营：接收举 ；对举 进行分类评估；在处理举 过程中随时和举 人进行沟通；并在举 结案后进行归档，而在整个过程中，数据安全始终是“畅言”平台首要考虑的因素。

收到举

接收举 的渠道应当是畅通无碍的。这首先要求举 信息可以直达足够高的管理层级，其次要求举 方式简单清晰、举 系统的界面易于使用。

“畅言”平台设置了明晰易懂的填写界面，通过安永专业团队在诸多案例中总结出的违规行为特征，设置了多个预分类选项，举 者通过下拉选择就可以方便地完成很多信息的填写。预分类这一特色功能在改善使用体验的同时，也为后续处理时的评估分类和数据分析提供了方便。

通过各渠道收到举 后，组织应当及时就确认收到举 、当下的处理状态、进一步沟通的渠道等信息向举 人进行反馈，并对举 人进行预期管理，充分告知其对应的法律及组织内部的相关规定以及存在的限制。

评估分类举

负责处理举 的部门应当对举 内容进行全面考量，按照对纳入考虑的因素进行全面评估的结果决定后续的行动计划。

借助前述“畅言”平台的预分类功能可以快速完成对举 内容的评估分类，并将举 案件交由不同负责团队处理，提高案件的处理效率。

调查

组织需选择具有适当资格的内部或外部人员独立公正地进行调查，并在调查中遵守程序规定，做到客观中立，不带偏见。调查工作需保留相应的工作记录和证据材料以备后续审查。

调查是一个动态调整的过程，调查工作会随着调查的深入、情况的变化而进行扩展和调整。因此，调查团队应随时保持内部沟通和与举 人的沟通，确保信息更新和共享。在此过程中同样需注重信息保护。

“畅言”平台在初始接收举 时就为每个举 分配了唯一识别号码，一方面便于举 人追踪案件进程、补充后续资料；另一方面便于调查部门管理案件信息和证据材料。

“畅言”平台举 追踪入口

结案

结束举 调查后，调查团队需要对指定的 告审阅者 告认定的事实，以及建议的纠正措施和纪律处罚，并向举 人反馈调查的结果。结案阶段，应当将与本次举 相关的所有文件妥善归档，并特别注意保护信息安全。

对于个案的调查应当扩展到内部控制层面，确定内部控制缺陷及需改进的控制措施。对于调查中的敏感信息，企业应当妥善处理，确保数据及信息的安全。

对调查结束后的数据归档，“畅言”平台也设置了对于案卷中的敏感信息一键删除或封存，满足这一阶段的数据安全要求。

4、监督及改进

举 管理系统的职能是对组织的运行情况进行监督，同时，对举 管理系统本身也需要进行监督和改进。监督和评价举 管理系统可以从以下几个方面着手：

“畅言”平台设计了多个维度的数据统计及分析功能，通过向系统管理人员提供直观的数据看板，支持对于举 管理系统和整个合规体系的后续评估、决策和优化。

文件管理和数据保护

ISO 37002对于举 管理系统相关的文件管理和数据保护也提出了要求。

举 管理系统相关的文件应根据不同情况得到适宜且充分的保护，包括政策文件的可及性、举 信息的机密性和完整性、调查结果的内部汇 流程等。简单来说，未经举 人同意，不应将举 人及相关方信息透露给超过需要知道的范围的人。

所收到的举 信息中往往含有个人信息，甚至是敏感个人信息，其保留、删除、访问、修改及跨境传输需谨慎考虑。

结语

总之，一个完善的举 系统并非只是设立一个举 热线或是一个举 邮箱，企业需要从组织架构、政策、流程及监督四方面去建立一套完善的举 管理机制，在保证企业在符合监管要求的同时也能帮助企业健康有序地发展。