组织应确定与其宗旨相关的,并影响其实现合规管理体系预期结果的能力的内部和外部事项。为此,组织应结合诸多事项,包括但不限于:——业务模式,包括组织活动和运行的战略、性质、规模、复杂性和可持续性;——与第三方业务关系的性质和范围;——法律和监管环境;——经济状况;——社会、文化、环境背景;——内部结构、方针、过程、程序和资源,包括技术;——自身的合规文化。

4.2理解相关方的需要和期望

组织应确定:——与合规管理体系有关的相关方;——这些相关方的有关需求;——哪些需求将通过合规管理体系予以解决。

4.3确定合规管理体系的范围

组织应确定合规管理体系的边界和适用性,以确立其范围。注:合规管理体系的范围旨在理清组织面临的主要合规风险，以及合规管理体系适用的地理和/或组织边界,尤其当组织是较大实体的一部分时。组织应根据以下内容确定合规管理体系的范围:——4.1 提及的内部和外部事项;——4.2.4.5和4.6提及的需求。范围应作为文件化信息可获取。

4.4合规管理体系

组织根据本文件的要求,应建立、实施、维护和持续改进合规管理体系，包括所需的过程及其相互作用。合规管理体系应反映组织的价值观、目标、战略和合规风险,并且应结合组织环境(见4.1)。

4.5合规义务

组织应系统识别来源于组织活动、产品和服务的合规义务,并评估其对运行所产生的影响。组织应建立过程以:a)识别新增及变更的合规义务 ,确保持续合规;b)评价已识别的变更的义务所产生的影响,并对合规义务管理实施必要的调整。组织应维护其合规义务的文件化信息。

4.6合规风险评估

组织应基于合规风险评估,识别、分析和评价其合规风险。组织应通过将其合规义务与活动、产品、服务以及运行的相关方面关联,来识别合规风险。组织应评估与外包的和第三方的过程相关的合规风险。组织应定期评估合规风险,并在组织环境发生重大变化时进行评估。组织应保留有关合规风险评估和应对合规风险措施的文件化信息。

豪尔思科咨询范围

认证咨询：军工四证、IATF16949、ISO22163、GJB9001C、AS9100D、AS9120、ISO/IEC17025、ISO13485、HSE、NADCAP、SIL、ASPICE、ISO45001、ISO14001、ISO9001、ISO50001等。

新业务范围：

1、 ISO20000 信息技术服务管理体系

2、 ISO27001 信息安全管理体系

3、 ISO27701个人隐私安全管理体系认证

4、 ISO37301合规管理体系

5、 TISAX 德系汽车行业信息安全审计

6、 A-spice认证，汽车工业引入SPICE模型。软件成熟度

7、 ISO21434 汽车网络安全认证

8、 ISO26262 汽车功能安全

行业范围：

航空航天、汽车、铁路、装备制造、军工、医药、石油物探、信息通讯等企事业单位的管理咨询、国际标准管理体系认证咨询及管理软件的研发。

管理咨询：

战略规划、流程优化、重组再造、企业文化、品牌规划、组织系统与人力资源管理、兼并收购及并后整合、精益生产与营运管理、质量体系完善度评价。

咨询电话：13651184368 13671125755 010-63854246

阅读┊ 收藏 ┊ 喜欢 ▼ ┊打印┊举报/Report

前一篇：ISO37301:2021合规管理体系要求及使用指南--3术语和定义

后一篇：ISO37301:2021合规管理体系要求及使用指南——5领导作用

新浪BLOG意见反馈留言板　欢迎批评指正