ISO 37000：2021《 組織治理指南》專業(yè)解讀和應(yīng)用培訓(xùn)指導(dǎo)材料之7：“6治理原則”之4：“6.4監(jiān)督”

ISO37000：2021《組織治理指南》專業(yè)解讀和應(yīng)用培訓(xùn)指導(dǎo)材料之7：“6治理原則”之4：“6.4監(jiān)督”ISO37000：2021《組織治理指南》專業(yè)解讀和應(yīng)用培訓(xùn)指導(dǎo)材料之7：“6治理原則”之4：“6.4監(jiān)督” （雷澤佳編制） ISOISO37000-2021《組織治理—指南》6.4監(jiān)督6.4.1原則治理機構(gòu)應(yīng)監(jiān)督組織的績效，以確保其滿足治理機構(gòu)對組織合乎道德的行為及合規(guī)義務(wù)的意圖和期望。治理原則監(jiān)督原則治理機構(gòu)應(yīng)監(jiān)督組織的績效，以確保其滿足治理機構(gòu)對組織合乎道德的行為及合規(guī)義務(wù)的意圖和期望。治理機構(gòu)的角色與責(zé)任：治理機構(gòu)是組織治理的核心，負責(zé)制定戰(zhàn)略、設(shè)定目標、決策重大事項并監(jiān)督組織運營。在監(jiān)督過程中，治理機構(gòu)扮演著關(guān)鍵角色，確保組織的行為和決策符合道德標準和合規(guī)要求；確定監(jiān)督的具體內(nèi)容和范圍；治理機構(gòu)在確定監(jiān)督的具體內(nèi)容和范圍時，應(yīng)綜合考慮組織的戰(zhàn)略目標、業(yè)務(wù)特點、風(fēng)險狀況以及合規(guī)要求。具體來說，監(jiān)督內(nèi)容可以包括組織的財務(wù)績效、運營效率、戰(zhàn)略執(zhí)行情況、風(fēng)險管理、內(nèi)部控制、合規(guī)性、道德行為等多個方面。范圍則應(yīng)涵蓋組織的所有關(guān)鍵部門和業(yè)務(wù)流程，確保監(jiān)督的全面性和有效性。治理機構(gòu)可以通過以下方式評估組織的道德行為和合規(guī)義務(wù)履行情況：審查相關(guān)政策和制度：檢查組織是否制定了明確的道德準則和合規(guī)政策，并確保這些政策和制度得到有效執(zhí)行；監(jiān)測關(guān)鍵業(yè)務(wù)流程：對組織的采購、銷售、財務(wù)、人力資源等關(guān)鍵業(yè)務(wù)流程進行監(jiān)測，確保其行為符合道德和合規(guī)要求；開展員工培訓(xùn)和宣傳：通過培訓(xùn)和宣傳活動，提高員工對道德和合規(guī)要求的認識和理解，鼓勵員工積極踐行道德準則和合規(guī)政策；建立舉報機制：設(shè)立舉報渠道，鼓勵員工積極舉報違反道德和合規(guī)要求的行為，并對舉報進行及時處理和反饋；定期進行合規(guī)審計：聘請專業(yè)的審計機構(gòu)對組織的合規(guī)情況進行審計，確保組織的合規(guī)義務(wù)得到有效履行。治理機構(gòu)可以通過以下措施確保監(jiān)督的有效實施：建立健全的監(jiān)督機制：制定明確的監(jiān)督政策、流程和制度，確保監(jiān)督工作的規(guī)范化和標準化；設(shè)立專門的監(jiān)督機構(gòu)或崗位：如內(nèi)部審計部門、合規(guī)官等，負責(zé)具體的監(jiān)督工作；采用多種監(jiān)督方式：結(jié)合定期審計、專項審計、突擊檢查、員工舉報等多種方式，提高監(jiān)督的靈活性和有效性；加強信息溝通與反饋：確保監(jiān)督結(jié)果能夠及時、準確地反饋給治理機構(gòu)，以便其及時作出決策和調(diào)整；強化責(zé)任追究與激勵：對監(jiān)督中發(fā)現(xiàn)的問題進行嚴肅處理，對表現(xiàn)優(yōu)秀的部門和個人給予表彰和獎勵。治理機構(gòu)可以通過以下方式確保監(jiān)督結(jié)果的有效利用：及時分析監(jiān)督結(jié)果：對監(jiān)督過程中收集到的數(shù)據(jù)和信息進行及時分析，找出存在的問題和風(fēng)險點；制定改進措施：根據(jù)監(jiān)督結(jié)果，制定具體的改進措施和行動計劃，明確責(zé)任人和完成時限；跟蹤改進效果：對改進措施的執(zhí)行情況進行跟蹤和評估，確保問題得到有效解決和風(fēng)險得到有效控制；將監(jiān)督結(jié)果納入績效考核：將監(jiān)督結(jié)果作為組織績效考核的重要依據(jù)之一，激勵員工積極參與監(jiān)督工作并改進自身工作；持續(xù)完善監(jiān)督機制：根據(jù)監(jiān)督結(jié)果和實踐經(jīng)驗，不斷完善監(jiān)督機制和方法，提高監(jiān)督的效率和效果。ISOISO37000-2021《組織治理—指南》6.4.2理論依據(jù)治理機構(gòu)的有效監(jiān)督確保了組織以預(yù)期的和要求的方式實現(xiàn)組織宗旨和戰(zhàn)略結(jié)果。監(jiān)督很重要，因為治理機構(gòu)需要確保分配給他人的任務(wù)按要求執(zhí)行，以及在授權(quán)的范圍內(nèi)做出決策。通過監(jiān)督，治理機構(gòu)可以在必要的時候采取糾正措施來實現(xiàn)組織宗旨。治理機構(gòu)的監(jiān)督工作取決于各種因素，包括組織的規(guī)模及復(fù)雜程度。理論依據(jù)監(jiān)督的核心作用與重要性；確保組織宗旨與戰(zhàn)略實現(xiàn)：監(jiān)督是治理機構(gòu)確保組織沿著正確方向前進的關(guān)鍵手段。通過有效的監(jiān)督，治理機構(gòu)能夠驗證組織是否按照既定的宗旨和戰(zhàn)略在運營，確保組織目標的實現(xiàn)不偏離預(yù)期軌道；強化組織執(zhí)行力：監(jiān)督不僅關(guān)注結(jié)果，還關(guān)注過程。它促使組織內(nèi)部各級人員嚴格按照治理機構(gòu)的要求執(zhí)行任務(wù)，確保每一項工作都得到有效執(zhí)行，從而提高組織的整體執(zhí)行力。監(jiān)督的必要性：任務(wù)執(zhí)行與決策控制；任務(wù)執(zhí)行監(jiān)督：治理機構(gòu)在分配任務(wù)后，必須對這些任務(wù)的執(zhí)行情況進行監(jiān)督。這有助于確保任務(wù)得到正確、高效的執(zhí)行，避免因執(zhí)行不力或偏離要求而導(dǎo)致的問題；決策控制：監(jiān)督還包括對決策過程的控制。治理機構(gòu)需要確保決策者在授權(quán)的范圍內(nèi)做出決策，避免決策失誤或濫用職權(quán)的情況發(fā)生。這有助于維護組織的穩(wěn)定和秩序。監(jiān)督的糾正措施與組織宗旨實現(xiàn)；及時發(fā)現(xiàn)并糾正問題：監(jiān)督過程中，治理機構(gòu)能夠及時發(fā)現(xiàn)組織運營中存在的問題和偏差。通過采取糾正措施，治理機構(gòu)可以迅速調(diào)整組織的行為和決策，確保其重新回歸正軌，從而實現(xiàn)組織宗旨；持續(xù)改進與優(yōu)化：監(jiān)督不僅僅是一次性的活動，而是一個持續(xù)的過程。通過不斷的監(jiān)督、反饋和糾正，治理機構(gòu)能夠推動組織持續(xù)改進和優(yōu)化，提升組織的整體績效和競爭力。監(jiān)督工作的影響因素。組織規(guī)模與復(fù)雜性：不同規(guī)模和復(fù)雜程度的組織對監(jiān)督工作的要求各不相同。大型組織由于部門眾多、業(yè)務(wù)復(fù)雜，需要更加系統(tǒng)和全面的監(jiān)督體系來確保其正常運營。而小型組織則可能更注重靈活性和效率，監(jiān)督工作也相應(yīng)地更加簡潔明了；定制化監(jiān)督方案：因此，治理機構(gòu)在制定監(jiān)督方案時，必須充分考慮組織的規(guī)模和復(fù)雜性。通過定制化的監(jiān)督方案，治理機構(gòu)能夠更有效地滿足組織的需求，確保其監(jiān)督工作的針對性和有效性。ISOISO37000-2021《組織治理—指南》6.4.3實踐的關(guān)鍵環(huán)節(jié)6.4.3.1總則為實施有效監(jiān)督，治理機構(gòu)應(yīng)：a)要求他們所委派的團隊對組織管理的所有事務(wù)提供及時準確的報告；b)確保內(nèi)部控制體系的實施，包括風(fēng)險管理體系、合規(guī)管理體系和財務(wù)控制體系；c)采取糾正措施；d)確保收到的報告和證據(jù)的準確性，以及內(nèi)部控制體系的有效性。實踐的關(guān)鍵環(huán)節(jié)總則為實施有效監(jiān)督，治理機構(gòu)應(yīng)：要求他們所委派的團隊對組織管理的所有事務(wù)提供及時準確的報告；治理機構(gòu)為了實施有效監(jiān)督，首先需要確保所委派的團隊（如管理層、內(nèi)部審計團隊等）能夠?qū)ζ湄撠?zé)的組織管理事務(wù)進行及時且準確的報告。這種報告機制應(yīng)涵蓋組織的各個方面，包括但不限于財務(wù)狀況、運營績效、風(fēng)險管理、合規(guī)情況等。及時準確的報告能夠幫助治理機構(gòu)及時了解組織的實際運營狀況，為決策提供依據(jù)，同時也是監(jiān)督過程的基礎(chǔ)；治理機構(gòu)可以通過以下幾個步驟來確保委派的團隊提供及時準確的報告：明確報告要求：治理機構(gòu)應(yīng)制定清晰的報告指南或模板，明確報告的內(nèi)容、格式、提交時間和頻率等要求。這有助于確保團隊了解報告的標準和期望；建立報告機制：治理機構(gòu)應(yīng)建立高效的報告機制，包括報告提交渠道、審批流程和反饋機制等。這可以確保報告能夠及時提交并得到有效處理；培訓(xùn)團隊：治理機構(gòu)應(yīng)對委派的團隊進行定期培訓(xùn)，提高他們的報告撰寫能力和對組織管理的理解。這有助于確保團隊能夠準確、全面地反映組織管理的情況；定期審查報告：治理機構(gòu)應(yīng)定期審查團隊提交的報告，檢查其準確性和完整性。對于不符合要求的報告，應(yīng)及時要求團隊進行修正或重新提交；建立獎懲機制：治理機構(gòu)可以建立獎懲機制，對及時準確提交報告的團隊給予獎勵，對拖延或提交不準確報告的團隊進行懲罰。這有助于激勵團隊提高報告質(zhì)量。確保內(nèi)部控制體系的實施，包括風(fēng)險管理體系、合規(guī)管理體系和財務(wù)控制體系；內(nèi)部控制體系是組織治理的重要組成部分，它涵蓋了風(fēng)險管理體系、合規(guī)管理體系和財務(wù)控制體系等多個方面。治理機構(gòu)需要確保這些體系得到有效實施，以維護組織的穩(wěn)定運營和合規(guī)性。風(fēng)險管理體系幫助組織識別、評估和管理潛在風(fēng)險；合規(guī)管理體系確保組織遵守相關(guān)法律法規(guī)和內(nèi)部政策；財務(wù)控制體系則保障組織財務(wù)信息的準確性和完整性。治理機構(gòu)應(yīng)定期審查這些體系的運行情況，確保其有效性；治理機構(gòu)可以通過以下幾個步驟來確保內(nèi)部控制體系的實施：設(shè)計合理的內(nèi)部控制體系：治理機構(gòu)應(yīng)與相關(guān)部門合作，設(shè)計符合組織實際情況和需求的內(nèi)部控制體系。這包括確定關(guān)鍵控制點、制定控制措施和建立監(jiān)控機制等；明確責(zé)任分工：治理機構(gòu)應(yīng)明確各部門和崗位在內(nèi)部控制體系中的責(zé)任分工，確保每個環(huán)節(jié)都有人負責(zé)。這有助于確保內(nèi)部控制體系的順利運行；培訓(xùn)員工：治理機構(gòu)應(yīng)對員工進行內(nèi)部控制體系的培訓(xùn)，提高他們對內(nèi)部控制的認識和理解。這有助于確保員工能夠遵守內(nèi)部控制規(guī)定并積極參與內(nèi)部控制工作；定期審計和評估：治理機構(gòu)應(yīng)定期對內(nèi)部控制體系進行審計和評估，檢查其運行情況和有效性。對于發(fā)現(xiàn)的問題和不足，應(yīng)及時進行整改和完善；建立持續(xù)改進機制：治理機構(gòu)應(yīng)建立內(nèi)部控制體系的持續(xù)改進機制，根據(jù)組織的發(fā)展變化和外部環(huán)境的變化不斷調(diào)整和優(yōu)化內(nèi)部控制體系。這有助于確保內(nèi)部控制體系始終保持有效性和適應(yīng)性。采取糾正措施；在監(jiān)督過程中，治理機構(gòu)難免會發(fā)現(xiàn)組織運營中存在的問題或偏差。為了糾正這些問題，治理機構(gòu)需要采取及時有效的糾正措施。這些措施可能包括調(diào)整策略、更換人員、加強培訓(xùn)、完善制度等。治理機構(gòu)應(yīng)確保糾正措施得到妥善執(zhí)行，并跟蹤其效果，以確保問題得到根本解決；治理機構(gòu)在發(fā)現(xiàn)組織管理中存在的問題時，可以采取以下糾正措施：分析問題原因：治理機構(gòu)應(yīng)首先分析問題產(chǎn)生的原因和影響范圍，明確問題的性質(zhì)和嚴重程度。這有助于為采取糾正措施提供依據(jù)；制定糾正措施計劃：治理機構(gòu)應(yīng)根據(jù)問題產(chǎn)生的原因和影響范圍，制定具體的糾正措施計劃。這包括確定糾正措施的目標、內(nèi)容、時間表和責(zé)任人等；實施糾正措施：治理機構(gòu)應(yīng)組織相關(guān)部門和人員按照糾正措施計劃的要求實施糾正措施。這包括調(diào)整策略、更換人員、加強培訓(xùn)、完善制度等；跟蹤和驗證糾正效果：治理機構(gòu)應(yīng)對糾正措施的實施情況進行跟蹤和驗證，確保其有效性和及時性。對于未達到預(yù)期效果的糾正措施，應(yīng)及時進行調(diào)整和完善；建立預(yù)防措施：治理機構(gòu)應(yīng)根據(jù)糾正措施的實施情況，總結(jié)經(jīng)驗教訓(xùn)，建立相應(yīng)的預(yù)防措施，防止類似問題再次發(fā)生。確保收到的報告和證據(jù)的準確性，以及內(nèi)部控制體系的有效性。治理機構(gòu)在收到團隊提供的報告和證據(jù)后，需要對其準確性和可靠性進行仔細審查。這是確保監(jiān)督過程有效性的關(guān)鍵步驟。同時，治理機構(gòu)還應(yīng)定期評估內(nèi)部控制體系的有效性，包括其設(shè)計是否合理、執(zhí)行是否到位、是否存在漏洞等。通過不斷審查和改進內(nèi)部控制體系，治理機構(gòu)能夠提升組織的整體治理水平，降低潛在風(fēng)險；治理機構(gòu)可以通過以下幾個步驟來確保收到的報告和證據(jù)的準確性以及內(nèi)部控制體系的有效性：建立報告和證據(jù)審核機制：治理機構(gòu)應(yīng)建立報告和證據(jù)的審核機制，對收到的報告和證據(jù)進行仔細審查和核實。這有助于確保報告和證據(jù)的真實性和準確性；定期審查內(nèi)部控制體系：治理機構(gòu)應(yīng)定期對內(nèi)部控制體系進行審查，檢查其運行情況和有效性。這包括評估控制措施的執(zhí)行情況、監(jiān)控機制的運行效果以及關(guān)鍵控制點的控制效果等；利用外部審計和評估：治理機構(gòu)可以邀請第三方機構(gòu)對組織的管理和內(nèi)部控制體系進行審計和評估，以獲取更客觀、全面的反饋和建議。這有助于治理機構(gòu)發(fā)現(xiàn)潛在問題和改進空間；建立反饋和改進機制：治理機構(gòu)應(yīng)建立反饋和改進機制，鼓勵員工和相關(guān)方對組織管理和內(nèi)部控制體系提出意見和建議。這有助于治理機構(gòu)及時發(fā)現(xiàn)和解決問題，不斷完善組織治理體系；持續(xù)監(jiān)控和更新：治理機構(gòu)應(yīng)持續(xù)監(jiān)控組織運營情況和外部環(huán)境的變化，及時調(diào)整和更新內(nèi)部控制體系。這有助于確保內(nèi)部控制體系始終保持有效性和適應(yīng)性。ISOISO37000-2021《組織治理—指南》6.4.3.2監(jiān)督績效治理機構(gòu)應(yīng)基于以下評估和糾正措施來監(jiān)督組織績效：a)組織價值觀和治理方針是否能有效地指導(dǎo)組織、組織文化和組織合乎道德的行為；b)基于管理報告和績效，以確保組織根據(jù)適用的衡量標準、意圖和期望來評價結(jié)果（見6.3.3）；c)將關(guān)于組織評估和應(yīng)對關(guān)鍵威脅和機會的風(fēng)險信息（例如：風(fēng)險職能部門接收的信息）考慮到組織風(fēng)險框架中（見6.9）；d)組織合規(guī)文化和滿足合規(guī)義務(wù)方面的合規(guī)信息（例如：直接從合規(guī)職能部門收到的信息）；e)組織對有關(guān)相關(guān)方的識別和對接；f)組織的財務(wù)結(jié)果和財務(wù)資源，需確保組織在財務(wù)上保持穩(wěn)??；g)資源的分配、組織的職責(zé)和能力（包括人員及其發(fā)展）需確保組織能夠?qū)崿F(xiàn)其組織宗旨、價值創(chuàng)造目標和戰(zhàn)略結(jié)果；h)組織對數(shù)據(jù)的管控和處理應(yīng)確保數(shù)據(jù)被當(dāng)作有價值的、戰(zhàn)略性的組織資源（見6.8）；i)組織負責(zé)任地（包括合乎道德地）使用和適當(dāng)投資包括人工智能和網(wǎng)絡(luò)安全在內(nèi)的技術(shù)；j)組織對計劃、變革和其他實質(zhì)性轉(zhuǎn)變的管理以及對計劃外事件和意外的響應(yīng)。注1：ISO31000和IEC31010中提供了有助于風(fēng)險管理的附加信息。注2：ISO37301中提供了有助于合規(guī)管理的附加信息。注3：ISO/IEC38500中提供了有助于組織管理信息技術(shù)的附加信息。注4：ISO/IEC38507中提供了對組織使用人工智能有幫助的治理啟示的附加信息。監(jiān)督績效治理機構(gòu)應(yīng)基于以下評估和糾正措施來監(jiān)督組織績效：組織價值觀和治理方針是否能有效地指導(dǎo)組織、組織文化和組織合乎道德的行為；組織價值觀和治理方針是組織文化的核心，它們?yōu)榻M織提供了明確的方向和準則，確保組織在追求目標的過程中保持一致性和道德性。治理機構(gòu)在監(jiān)督組織績效時，首要關(guān)注的是這些價值觀和方針是否真正起到了指導(dǎo)作用。價值觀滲透：治理機構(gòu)需要評估組織的價值觀是否深入人心，是否成為了員工行為的準則。這包括觀察員工在日常工作中是否體現(xiàn)出這些價值觀，以及組織在決策和行動時是否以這些價值觀為依據(jù)；治理方針的實施：治理方針是組織治理的具體體現(xiàn)，它規(guī)定了組織的管理方式、決策流程等。治理機構(gòu)需要檢查這些方針是否得到了有效執(zhí)行，是否對組織的行為產(chǎn)生了積極的影響，以及是否有助于組織實現(xiàn)其長期目標；道德行為的促進：組織價值觀和治理方針還應(yīng)促進組織及其成員合乎道德的行為。治理機構(gòu)需要監(jiān)督組織是否建立了道德行為的激勵機制，是否對違反道德的行為進行了及時的處理，以及是否通過教育和培訓(xùn)提升了員工的道德意識。評估組織價值觀和治理方針對組織文化和道德行為的指導(dǎo)效果，可以從以下幾個方面進行：員工行為觀察：觀察員工在日常工作中的行為是否符合組織的價值觀和治理方針，是否體現(xiàn)了組織的道德標準。這可以通過匿名調(diào)查、員工訪談、日常觀察等方式進行；文化氛圍感知：通過員工滿意度調(diào)查、文化評估問卷等工具，了解員工對組織文化和道德氛圍的感知和認同程度；績效關(guān)聯(lián)分析：分析組織價值觀和治理方針與組織績效之間的關(guān)聯(lián)性，看其是否對組織目標的實現(xiàn)產(chǎn)生了積極影響。這可以通過對比不同部門或團隊的績效數(shù)據(jù)，以及分析關(guān)鍵績效指標的變化趨勢來完成；案例研究：選取一些典型案例，如員工行為、決策過程等，進行深入分析，看其是否體現(xiàn)了組織價值觀和治理方針的指導(dǎo)作用?；诠芾韴蟾婧涂冃В源_保組織根據(jù)適用的衡量標準、意圖和期望來評價結(jié)果（見6.3.3）；管理報告和績效是衡量組織績效的重要依據(jù)。治理機構(gòu)應(yīng)確保這些報告和績效數(shù)據(jù)能夠真實、準確地反映組織的運營狀況，并根據(jù)適用的衡量標準、意圖和期望來評價結(jié)果。管理報告的完整性：管理報告應(yīng)包含組織的各個方面，如財務(wù)、運營、市場、人力資源等。治理機構(gòu)需要審查這些報告是否全面、準確，是否提供了足夠的信息來評估組織的績效；績效數(shù)據(jù)的可靠性：績效數(shù)據(jù)是評估組織績效的基礎(chǔ)。治理機構(gòu)需要確保這些數(shù)據(jù)的收集、處理和分析過程科學(xué)、規(guī)范，數(shù)據(jù)結(jié)果真實可靠。同時，還需要關(guān)注數(shù)據(jù)的時效性和可比性，以便進行縱向和橫向的對比分析；衡量標準的適用性：治理機構(gòu)需要根據(jù)組織的實際情況和目標，制定適用的衡量標準。這些標準應(yīng)既具有挑戰(zhàn)性又可實現(xiàn)，能夠激勵組織不斷提升績效。同時，還需要確保這些標準與組織的意圖和期望相一致，以便對組織績效進行準確的評估。要確保管理報告和績效數(shù)據(jù)能夠準確反映組織績效，可以從以下幾個方面入手：數(shù)據(jù)收集與驗證：建立完善的數(shù)據(jù)收集機制，確保數(shù)據(jù)的準確性和完整性。同時，對數(shù)據(jù)進行定期驗證和審計，確保其真實可靠。衡量標準的選擇：根據(jù)組織的戰(zhàn)略目標和業(yè)務(wù)特點，選擇合適的衡量標準。這些標準應(yīng)具有明確性、可衡量性、可達成性、相關(guān)性和時限性（SMART原則）。績效分析與報告：對收集到的績效數(shù)據(jù)進行深入分析，找出存在的問題和機會，并據(jù)此編制績效報告。報告應(yīng)清晰、準確地反映組織的績效狀況，并提出改進建議。反饋與溝通：將績效報告及時反饋給相關(guān)部門和人員，并進行有效的溝通。這有助于確保所有人員對組織績效有共同的認識和理解，從而推動持續(xù)改進。將關(guān)于組織評估和應(yīng)對關(guān)鍵威脅和機會的風(fēng)險信息（例如：風(fēng)險職能部門接收的信息）考慮到組織風(fēng)險框架中（見6.9）；組織在運營過程中會面臨各種威脅和機會，這些都需要通過風(fēng)險評估來識別和應(yīng)對。治理機構(gòu)在監(jiān)督組織績效時，應(yīng)特別關(guān)注風(fēng)險職能部門提供的關(guān)鍵威脅和機會的風(fēng)險信息，并將這些信息納入組織的風(fēng)險框架中進行綜合考慮。風(fēng)險框架的更新與完善：：組織應(yīng)建立一個完善的風(fēng)險框架，用于指導(dǎo)風(fēng)險評估、應(yīng)對和監(jiān)控。治理機構(gòu)在監(jiān)督績效時，應(yīng)確保風(fēng)險框架的有效性，并根據(jù)風(fēng)險職能部門提供的信息進行必要的調(diào)整和優(yōu)化；風(fēng)險信息的收集與整理：風(fēng)險職能部門應(yīng)負責(zé)收集各種風(fēng)險信息，包括內(nèi)部風(fēng)險和外部風(fēng)險以及市場風(fēng)險、信用風(fēng)險、操作風(fēng)險等，這些信息應(yīng)全面、準確，以便治理機構(gòu)能夠做出正確的決策。對這些信息應(yīng)進行整理、分類和歸檔，以便后續(xù)分析和使用。風(fēng)險分析與評價：對收集到的風(fēng)險信息進行析與評價，確定風(fēng)險的可能性、影響程度和優(yōu)先級。這可以通過使用風(fēng)險評估工具和方法來完成，如風(fēng)險矩陣、故障樹分析等。風(fēng)險應(yīng)對的監(jiān)督：治理機構(gòu)還應(yīng)監(jiān)督組織對關(guān)鍵威脅和機會的應(yīng)對情況，確保風(fēng)險應(yīng)對措施得到及時、有效的執(zhí)行，從而降低風(fēng)險對組織績效的負面影響；風(fēng)險信息的溝通：將風(fēng)險信息及時傳達給相關(guān)部門和人員，并進行有效的溝通。組織合規(guī)文化和滿足合規(guī)義務(wù)方面的合規(guī)信息（例如：直接從合規(guī)職能部門收到的信息）；合規(guī)是組織運營的重要基礎(chǔ)，它關(guān)乎組織的聲譽、穩(wěn)定性和長期發(fā)展。治理機構(gòu)在監(jiān)督組織績效時，必須重視合規(guī)文化和滿足合規(guī)義務(wù)方面的信息。合規(guī)政策與程序?qū)彶椋簩彶榻M織的合規(guī)政策和程序是否完善、有效，是否符合相關(guān)法律法規(guī)和行業(yè)標準的要求；合規(guī)信息的獲取：合規(guī)職能部門是組織合規(guī)管理的核心部門，它負責(zé)收集、整理和分析與組織合規(guī)相關(guān)的各種信息。治理機構(gòu)應(yīng)直接從合規(guī)職能部門獲取這些信息，以便及時了解組織的合規(guī)狀況；合規(guī)文化的培育：組織應(yīng)致力于培育一種積極的合規(guī)文化，確保員工能夠自覺遵守法律法規(guī)和內(nèi)部規(guī)章制度。治理機構(gòu)應(yīng)監(jiān)督組織在這方面的努力，包括合規(guī)培訓(xùn)、合規(guī)宣傳、合規(guī)激勵等措施的實施情況；合規(guī)培訓(xùn)與教育：了解組織是否定期開展合規(guī)培訓(xùn)和教育活動，員工是否充分了解合規(guī)要求和道德標準；合規(guī)行為觀察：觀察員工在日常工作中的行為是否符合合規(guī)要求，是否存在違規(guī)行為。這可以通過匿名調(diào)查、員工訪談、日常觀察等方式進行；合規(guī)審核與檢查：定期對組織的合規(guī)情況進行審核和檢查，包括合規(guī)文件的完整性、合規(guī)流程的執(zhí)行情況等。這可以由內(nèi)部合規(guī)部門或外部審計機構(gòu)進行；合規(guī)事件處理：了解組織對合規(guī)事件的處理方式和效果，看其是否能夠及時、有效地應(yīng)對合規(guī)風(fēng)險。對于任何違反合規(guī)義務(wù)的行為，治理機構(gòu)都應(yīng)及時采取措施進行糾正，并追究相關(guān)責(zé)任人的責(zé)任。組織對有關(guān)相關(guān)方的識別和對接；在現(xiàn)代組織中，相關(guān)方的識別和有效對接是監(jiān)督績效的重要組成部分。相關(guān)方包括但不限于股東、客戶、供方、員工、政府監(jiān)管機構(gòu)、社區(qū)以及環(huán)境組織等。治理機構(gòu)需要建立一套系統(tǒng)來識別和評估這些相關(guān)方的需求和期望，確保組織能夠與之有效對接。識別和分類：治理機構(gòu)應(yīng)明確哪些個體或群體對組織具有重要影響，并根據(jù)其影響程度進行分類。這有助于組織優(yōu)先處理與關(guān)鍵相關(guān)方的關(guān)系；溝通和參與：治理機構(gòu)應(yīng)建立有效的溝通渠道，確保組織能夠及時、準確地與相關(guān)方進行溝通。此外，鼓勵相關(guān)方參與組織的決策過程也是建立良好關(guān)系的重要方式；滿足期望和利益：治理機構(gòu)應(yīng)關(guān)注如何滿足相關(guān)方的期望和利益，通過持續(xù)改進和創(chuàng)新來增強相關(guān)方的信任和滿意度。組織的財務(wù)結(jié)果和財務(wù)資源，需確保組織在財務(wù)上保持穩(wěn)??；組織的財務(wù)結(jié)果和財務(wù)資源是其持續(xù)運營和發(fā)展的基礎(chǔ)。治理機構(gòu)在監(jiān)督組織績效時，必須高度關(guān)注組織的財務(wù)健康狀況。財務(wù)結(jié)果分析：治理機構(gòu)應(yīng)定期審查組織的財務(wù)報表，包括利潤表、資產(chǎn)負債表和現(xiàn)金流量表等，以評估組織的盈利能力、償債能力和運營效率；風(fēng)險管理：除了關(guān)注歷史財務(wù)結(jié)果外，治理機構(gòu)還應(yīng)關(guān)注潛在的財務(wù)風(fēng)險，如市場風(fēng)險、信用風(fēng)險和流動性風(fēng)險等，并制定相應(yīng)的風(fēng)險管理策略；財務(wù)規(guī)劃：為了確保組織在財務(wù)上保持穩(wěn)健，治理機構(gòu)還應(yīng)參與制定財務(wù)規(guī)劃，包括預(yù)算制定、資本支出計劃和現(xiàn)金流管理等。資源的分配、組織的職責(zé)和能力（包括人員及其發(fā)展）需確保組織能夠?qū)崿F(xiàn)其組織宗旨、價值創(chuàng)造目標和戰(zhàn)略結(jié)果；資源的分配、組織的職責(zé)和能力是實現(xiàn)組織宗旨、價值創(chuàng)造目標和戰(zhàn)略結(jié)果的關(guān)鍵。治理機構(gòu)在監(jiān)督組織績效時，應(yīng)關(guān)注以下幾個方面：資源分配：治理機構(gòu)應(yīng)確保組織將有限的資源（包括人力、物力和財力）分配到最關(guān)鍵的業(yè)務(wù)領(lǐng)域和項目上，以實現(xiàn)最大的價值創(chuàng)造；職責(zé)和能力：治理機構(gòu)應(yīng)明確組織內(nèi)部各部門的職責(zé)和能力要求，并確保組織具備實現(xiàn)其宗旨和戰(zhàn)略結(jié)果所需的關(guān)鍵能力。這可能涉及人員培訓(xùn)、技能提升和組織結(jié)構(gòu)調(diào)整等方面；績效評估：為了持續(xù)優(yōu)化資源配置和提升組織能力，治理機構(gòu)應(yīng)建立一套績效評估體系，對組織內(nèi)部各部門和個人的績效進行定期評估，并根據(jù)評估結(jié)果進行相應(yīng)的調(diào)整和改進。組織對數(shù)據(jù)的管控和處理應(yīng)確保數(shù)據(jù)被當(dāng)作有價值的、戰(zhàn)略性的組織資源（見6.8）；在數(shù)字化時代，數(shù)據(jù)已成為組織的重要資產(chǎn)，對數(shù)據(jù)的有效管控和處理對于組織績效至關(guān)重要。治理機構(gòu)應(yīng)確保數(shù)據(jù)被當(dāng)作有價值的、戰(zhàn)略性的組織資源來對待。數(shù)據(jù)治理框架：組織應(yīng)建立一套完整的數(shù)據(jù)治理框架，包括數(shù)據(jù)的收集、存儲、處理、使用和共享等各個環(huán)節(jié)，確保數(shù)據(jù)的質(zhì)量、安全性和合規(guī)性；數(shù)據(jù)價值挖掘：治理機構(gòu)應(yīng)鼓勵組織深入挖掘數(shù)據(jù)的價值，通過數(shù)據(jù)分析來指導(dǎo)決策、優(yōu)化運營、提升產(chǎn)品和服務(wù)質(zhì)量，從而增強組織的競爭力和市場響應(yīng)速度；數(shù)據(jù)倫理和隱私保護：在利用數(shù)據(jù)的同時，組織應(yīng)嚴格遵守數(shù)據(jù)倫理和隱私保護原則，確保數(shù)據(jù)的使用不會侵犯個人隱私和合法權(quán)益，維護組織的良好聲譽和社會形象。組織負責(zé)任地（包括合乎道德地）使用和適當(dāng)投資包括人工智能和網(wǎng)絡(luò)安全在內(nèi)的技術(shù)；隨著技術(shù)的快速發(fā)展，人工智能和網(wǎng)絡(luò)安全等技術(shù)在組織中的應(yīng)用日益廣泛。治理機構(gòu)應(yīng)確保組織在使用這些技術(shù)時保持負責(zé)任的態(tài)度，并進行適當(dāng)?shù)耐顿Y。技術(shù)倫理和合規(guī)性：組織在使用人工智能等技術(shù)時，應(yīng)確保其設(shè)計、開發(fā)和應(yīng)用符合倫理和合規(guī)性要求，避免技術(shù)濫用和歧視性行為，保護用戶權(quán)益和社會公共利益；網(wǎng)絡(luò)安全保障：網(wǎng)絡(luò)安全是組織運營的重要基礎(chǔ)。治理機構(gòu)應(yīng)確保組織采取有效的安全措施來防范網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露等風(fēng)險，保障業(yè)務(wù)的連續(xù)性和數(shù)據(jù)的完整性；戰(zhàn)略投資：治理機構(gòu)應(yīng)根據(jù)組織的戰(zhàn)略目標和業(yè)務(wù)需求，對人工智能和網(wǎng)絡(luò)安全等技術(shù)進行合理的投資規(guī)劃，確保技術(shù)的有效應(yīng)用和持續(xù)創(chuàng)新。組織對計劃、變革和其他實質(zhì)性轉(zhuǎn)變的管理以及對計劃外事件和意外的響應(yīng)。在快速變化的市場環(huán)境中，組織需要不斷適應(yīng)和調(diào)整以應(yīng)對各種挑戰(zhàn)和機遇。治理機構(gòu)應(yīng)確保組織具備有效管理計劃、變革和其他實質(zhì)性轉(zhuǎn)變的能力，以及對計劃外事件和意外的響應(yīng)能力。變革管理：組織應(yīng)建立一套完善的變革管理機制，包括變革規(guī)劃、執(zhí)行、監(jiān)控和評估等各個環(huán)節(jié)，確保變革過程的順利進行和變革目標的實現(xiàn)；風(fēng)險管理：治理機構(gòu)應(yīng)關(guān)注組織面臨的各種風(fēng)險，包括市場風(fēng)險、操作風(fēng)險、合規(guī)風(fēng)險等，并建立相應(yīng)的風(fēng)險管理體系來識別、評估、監(jiān)控和應(yīng)對這些風(fēng)險；應(yīng)急響應(yīng)機制：對于計劃外事件和意外情況，組織應(yīng)建立應(yīng)急響應(yīng)機制，包括應(yīng)急預(yù)案的制定、演練和改進等，確保在緊急情況下能夠迅速、有效地采取行動，減少損失和負面影響。注1：ISO31000：2018《風(fēng)險管理——指南》和]IEC31010-2019《風(fēng)險評估—風(fēng)險評估技術(shù)》中提供了有助于風(fēng)險管理的附加信息。注2：ISO37301：2021《合規(guī)管理體系——要求和使用指南》中提供了有助于合規(guī)管理的附加信息。注3：ISO/IEC38500-2015《信息技術(shù)——組織IT治理》中提供了有助于組織管理信息技術(shù)的附加信息。注4：ISO/IEC38507《信息技術(shù)——IT治理——組織使用人工智能的治理影響》中提供了對組織使用人工智能有幫助的治理啟示的附加信息。ISOISO37000-2021《組織治理—指南》6.4.3.3獲得保證為了對組織進行有效的監(jiān)督，除了從授權(quán)人那里收取的報告之外，治理機構(gòu)還應(yīng)確保恰當(dāng)?shù)卦O(shè)計治理體系以及治理體系運行符合預(yù)期。如果治理機構(gòu)不能保證做到這些事情，那么它應(yīng)使用額外的獨立擔(dān)保手段。治理機構(gòu)應(yīng)做到：a)根據(jù)評估的風(fēng)險確定所需的擔(dān)保評審級別；b)確保提供保證者有適當(dāng)?shù)臋?quán)力和足夠的資源向治理機構(gòu)提供準確的評估；c)確保提供保證者具有必要的能力和本領(lǐng)，且努力方向是聚焦的；d)仔細評審內(nèi)部提供保證者的報告途徑，以維護他們的獨立性和權(quán)威性（見注1）；e)仔細評審任何外部提供保證者的獨立擔(dān)保能力（見注1）；f)確保向治理機構(gòu)提供的保證服務(wù)得到整合和優(yōu)化，從而作為一個整體，支持和實現(xiàn)有效的內(nèi)部控制體系，并解決組織的重大風(fēng)險和重大事項；g)證實組織對保證的承諾，并在整個組織內(nèi)適當(dāng)、清晰地溝通保證體系。獨立和準確地通知治理機構(gòu)的保證過程包括：——治理機構(gòu)的直接核查；——將直接報告和私人會議的風(fēng)險管理和合規(guī)管理作為獨立的控制職能；——將直接報告和私人會議的內(nèi)部審核作為獨立的提供保證者，包括治理流程有效性和績效的洞察和建議，特別是風(fēng)險管理和合規(guī)管理；——對相關(guān)方和治理機構(gòu)的外部審核和相關(guān)的報告；——正式和非正式的舉報流程、人員和客戶反饋機制（見注3）。在聘用外部審核師的地方，應(yīng)輪換審核事務(wù)所或?qū)徍藛T，還應(yīng)仔細考慮他們提供的非審核服務(wù)和透明度，以確保持續(xù)的獨立保證。注1：獨立保證是在沒有任何不當(dāng)干擾的情況下對信息進行驗證。它需要與控制和保證職能有匹配的權(quán)利和充足的資源，它還需要不限制人員、資源和數(shù)據(jù)的訪問。注2：內(nèi)部審核職能經(jīng)常遵循普遍可接受的職業(yè)標準和規(guī)則。注3：ISO37002中提供了有助于舉報的其他信息。獲得保證確保治理體系的有效監(jiān)督與獨立擔(dān)保；監(jiān)督與治理體系設(shè)計的重要性；為了對組織進行有效的監(jiān)督，治理機構(gòu)應(yīng)確保治理體系的設(shè)計是恰當(dāng)?shù)摹＿@意味著治理機構(gòu)不僅要關(guān)注治理體系的建立，還要確保這一體系能夠全面、準確地反映組織的宗旨、戰(zhàn)略和目標。治理體系的設(shè)計應(yīng)涵蓋組織的各個方面，包括但不限于組織結(jié)構(gòu)、決策流程、風(fēng)險控制、利益相關(guān)者參與等。通過恰當(dāng)?shù)脑O(shè)計，治理機構(gòu)能夠確保組織在運營過程中始終遵循既定的治理原則和價值觀。驗證治理體系運行符合預(yù)期；治理機構(gòu)應(yīng)確保治理體系的運行符合預(yù)期。這意味著治理機構(gòu)需要定期評估治理體系的有效性，確保其在實際操作中能夠發(fā)揮預(yù)期的作用。這包括檢查各項治理措施是否得到有效執(zhí)行，治理流程是否順暢，以及治理決策是否基于充分的信息和合理的判斷。通過持續(xù)的監(jiān)督和評估，治理機構(gòu)能夠及時發(fā)現(xiàn)并解決治理體系中存在的問題，確保其持續(xù)有效地支持組織的運營和發(fā)展。使用獨立擔(dān)保手段的必要性。如果治理機構(gòu)不能保證做到上述事情，那么它應(yīng)使用額外的獨立擔(dān)保手段。這意味著在某些情況下，治理機構(gòu)可能需要借助外部力量來增強對組織治理的監(jiān)督。這些獨立擔(dān)保手段可能包括聘請獨立的第三方機構(gòu)對治理體系進行評估和審計，或者引入獨立的監(jiān)督委員會來監(jiān)督治理機構(gòu)的決策和行為。通過引入這些額外的獨立擔(dān)保手段，治理機構(gòu)能夠進一步提高治理體系的透明度和公信力，增強利益相關(guān)者對組織的信任和支持。治理機構(gòu)應(yīng)做到：根據(jù)評估的風(fēng)險確定所需的擔(dān)保評審級別；治理機構(gòu)應(yīng)對組織面臨的風(fēng)險進行全面評估，這些風(fēng)險可能包括但不限于財務(wù)風(fēng)險、運營風(fēng)險、合規(guī)風(fēng)險、戰(zhàn)略風(fēng)險等。基于風(fēng)險評估的結(jié)果，治理機構(gòu)應(yīng)確定所需的擔(dān)保評審級別。風(fēng)險越高，所需的擔(dān)保評審級別也應(yīng)相應(yīng)提高，以確保對高風(fēng)險領(lǐng)域的充分監(jiān)督和審查。這一步驟體現(xiàn)了風(fēng)險導(dǎo)向的治理原則，即根據(jù)風(fēng)險的重要性和可能性來分配資源和管理精力。確保提供保證者有適當(dāng)?shù)臋?quán)力和足夠的資源向治理機構(gòu)提供準確的評估；治理機構(gòu)應(yīng)確保那些負責(zé)提供保證（如內(nèi)部審計、風(fēng)險管理、合規(guī)審查等部門或人員）具有適當(dāng)?shù)臋?quán)力，以便他們能夠獨立、客觀地開展工作。同時，治理機構(gòu)還應(yīng)確保這些保證者擁有足夠的資源，包括人力、財力、物力等，以支持他們完成評估任務(wù)并提供準確的評估結(jié)果。這一步驟是確保評估質(zhì)量和有效性的關(guān)鍵，因為缺乏權(quán)力或資源的保證者可能無法全面、深入地開展評估工作。確保提供保證者具有必要的能力和本領(lǐng)，且努力方向是聚焦的；治理機構(gòu)還應(yīng)關(guān)注提供保證者的能力和本領(lǐng)，確保他們具備完成評估任務(wù)所需的專業(yè)知識和技能。這包括對相關(guān)法規(guī)、政策、標準的理解，以及對組織業(yè)務(wù)流程、風(fēng)險點的熟悉等。此外，治理機構(gòu)還應(yīng)確保保證者的努力方向是聚焦的，即他們應(yīng)專注于關(guān)鍵領(lǐng)域和重要問題的評估，避免分散精力和資源。這一步驟有助于提高評估的針對性和實效性，確保評估結(jié)果能夠為治理機構(gòu)提供有價值的參考。仔細評審內(nèi)部提供保證者的報告途徑，以維護他們的獨立性和權(quán)威性（見注1）；報告途徑的仔細評審：治理機構(gòu)應(yīng)密切關(guān)注并仔細評審內(nèi)部提供保證者（如內(nèi)部審計、風(fēng)險管理等部門）的報告途徑。報告途徑是指這些保證者如何向治理機構(gòu)傳遞其評估結(jié)果、發(fā)現(xiàn)的問題以及改進建議的渠道和方式。通過仔細評審，治理機構(gòu)可以確保報告途徑的暢通無阻，使得保證者的聲音能夠被及時、準確地傳達至決策層；維護獨立性與權(quán)威性的重要性：維護內(nèi)部提供保證者的獨立性和權(quán)威性是至關(guān)重要的。獨立性意味著保證者在執(zhí)行其職責(zé)時不受其他部門的干擾或影響，能夠客觀地、公正地提供評估結(jié)果。權(quán)威性則是指保證者的評估結(jié)果和建議能夠得到治理機構(gòu)和其他利益相關(guān)者的認可和尊重。通過維護這兩點，治理機構(gòu)可以確保獲得準確、可靠的保證信息，從而做出更加明智的決策。仔細評審任何外部提供保證者的獨立擔(dān)保能力（見注1）；治理機構(gòu)在尋求外部保證時，必須對外部提供保證者（如第三方審計機構(gòu)、咨詢公司等）的獨立擔(dān)保能力進行仔細評審。這一步驟是確保外部保證者能夠提供客觀、公正、準確保證信息的關(guān)鍵。評審過程應(yīng)涵蓋外部保證者的專業(yè)資質(zhì)、行業(yè)經(jīng)驗、聲譽以及過往業(yè)績等多個方面，以全面評估其是否具備提供獨立擔(dān)保的能力。獨立保證的定義與要求：在沒有任何不當(dāng)干擾的情況下對信息進行驗證的，保證者必須能夠自由地、獨立地開展工作，不受任何外部壓力或利益沖突的影響。這是確保保證結(jié)果客觀性和公正性的基礎(chǔ)；獨立保證的支撐條件：為了實現(xiàn)獨立保證，治理機構(gòu)必須確保保證者擁有與控制和保證職能相匹配的權(quán)利和充足的資源。這包括必要的授權(quán)、資金支持、技術(shù)支持等，以確保保證者能夠順利開展工作。同時，治理機構(gòu)還應(yīng)確保保證者在獲取人員、資源和數(shù)據(jù)方面沒有限制，以便他們能夠全面、深入地了解組織的運營情況，并據(jù)此提供準確的評估結(jié)果。這些支撐條件是確保獨立保證有效性的關(guān)鍵所在。確保保證服務(wù)的整合與優(yōu)化：確保向治理機構(gòu)提供的保證服務(wù)得到整合和優(yōu)化，從而作為一個整體，支持和實現(xiàn)有效的內(nèi)部控制體系，并解決組織的重大風(fēng)險和重大事項；確保向治理機構(gòu)提供的保證服務(wù)得到整合和優(yōu)化：在組織治理中，保證服務(wù)可能來自多個部門或外部機構(gòu)，如內(nèi)部審計、風(fēng)險管理、合規(guī)性檢查等。這些服務(wù)各自獨立可能無法充分發(fā)揮其效用，甚至可能產(chǎn)生重復(fù)或沖突。因此，治理機構(gòu)需要確保這些保證服務(wù)得到有效的整合與優(yōu)化，以形成一個協(xié)同工作的整體；支持和實現(xiàn)有效的內(nèi)部控制體系：整合與優(yōu)化后的保證服務(wù)應(yīng)作為一個整體，共同支持和實現(xiàn)組織的內(nèi)部控制體系。內(nèi)部控制體系是組織治理的重要組成部分，它確保組織資源的合理分配、保護資產(chǎn)安全、保證財務(wù)信息的準確性和完整性，以及促進組織目標的實現(xiàn)。通過整合與優(yōu)化保證服務(wù)，可以加強內(nèi)部控制體系的有效性，提高組織的運營效率和風(fēng)險防控能力；解決組織的重大風(fēng)險和重大事項：整合與優(yōu)化后的保證服務(wù)不僅應(yīng)支持內(nèi)部控制體系，還應(yīng)關(guān)注并解決組織的重大風(fēng)險和重大事項。重大風(fēng)險可能包括市場風(fēng)險、信用風(fēng)險、操作風(fēng)險等，而重大事項可能涉及組織戰(zhàn)略調(diào)整、重大投資決策等。保證服務(wù)應(yīng)能夠?qū)@些風(fēng)險和事項進行及時識別、評估和管理，為治理機構(gòu)提供有針對性的建議和解決方案，幫助組織有效應(yīng)對挑戰(zhàn)，實現(xiàn)可持續(xù)發(fā)展。證實組織對保證的承諾與溝通；證實組織對保證的承諾，并在整個組織內(nèi)適當(dāng)、清晰地溝通保證體系。證實組織對保證的承諾：組織應(yīng)對保證作出明確的承諾，這種承諾應(yīng)體現(xiàn)在