内部控制缺陷案例（周听不蔽）

通过建立和完善举报管理系统强化合规要求和监管环境已成为各地监管机构近年来的一项重要共识。

2022年1月1日，香港联交所发布新版《企业管治守则》，其中专辟一条提到“发行人应制定举报政策及系统，让雇员及其他与发行人有往来者（如客户及供应商）可暗中及以不具名方式向审核委员会（或任何由独立非执行董事占大多数的指定委员会）提出其对任何可能关于发行人的不当事宜的关注”，由此将建立一个有效的举报系统作为对赴港上市企业的一项明确要求。

而早在2019年10月，欧盟即已发布《举报人保护指令》（Directive EU 2019/1937），要求欧盟成员国须将建立内部举报机制纳入国家法律以要求一定规模以上的企业(拥有250名以上员工或年收入达1,000万欧元以上)、公共机构和政府部门实施举报制度并为举报人提供法律和财务保护。

因此，如何落实这项要求、建立一个适合本企业的举报管理系统也成为企业发展中的一个重要考虑。在这方面，国际标准化组织（ISO）于2021年4月和7月先后发布了ISO 37301:2021《合规管理体系要求及使用指南》（下称“ISO 37301”）和ISO 37002:2021《举报管理系统指南》（下称“ISO 37002”），或可为企业建立举报管理系统提供一个较为详细的指引。

本文中，我们整理了这两份标准中关于举报管理系统的建立和运行的要点，并结合安永最新推出的“畅言”合规举报管理平台阐释其实践。

举报管理组织架构

ISO 37301强调，应当有渠道可将合规顾虑提交至组织的高层管理人员或者最终责任机构。可见，举报管理系统当有企业治理层以及高管的“强参与”。

一个完整的举报管理系统的组织架构中，董事会、管理层及负责举报管理的职能部门三个层级协调分工、各司其职。各个层级之间以及各个层级与举报管理各项职能之间的关系如下图所示：

举报政策

举报政策是整个举报管理系统中的纲领性文件。一项理想的举报政策应当具有协调性、公开性和可调整性：

ISO 37002认为，举报管理系统的范围和使用是由组织内外部各种因素，利益相关者的需求和使用者画像等共同决定。一个好的举报管理系统应当具备这些特征：允许匿名、允许保密、除了举报以外还可以用于寻求指引，以及保护举报人免于受到报复。

对应的，ISO 37002建议举报政策应当包括以下内容：

1. 鼓励举报不当行为、建立合规举报文化

2. 举报管理系统的边界和适用性

3. 对举报管理系统良好运行和持续改进的承诺

4. 禁止恶意举报并明确后果

5. 强调举报的机密性、个人隐私保护和数据安全

6. 强调权威性和独立性

7. 法律和公司政策支持

8. 介绍举报发起、接收和调查流程

举报管理系统 以安永“畅言”合规举报管理平台为例

在完成组织和政策建构的基础上，需完善填充举报管理系统并使之有效运转。一个完整的举报管理系统包含四个步骤：规划、支持、运营和监督及改进，对于信息和数据的保护贯穿举报管理系统的始终。

1、规划

规划举报管理系统应包括设定目标和范围、配置资源、监督、评估、沟通等，也应包括根据实际情况对原有计划进行及时的调整和更新。在规划阶段，即应当明确组织能提供的保密和保护级别来支持举报人和非恶意举报行为。规划和建立良好的举报管理系统能帮助在组织内部形成举报不合规行为的良性文化。

2、支持

举报管理系统的支持环节包含：

资源：向举报管理系统分配足够的资源（包括财务和人力、信息技术、基础设施等），这些资源可以来自内部或外部。能力：确保相应的工作人员具有必要的能力、教育、经验以及公正性。意识：定期对组织内部和对商业伙伴进行培训以灌输合规意识。沟通：针对不同利益相关方设计有针对性的沟通方案。信息：周全的文件管理和数据保护是重中之重。

3、运营

运营是整个举报管理系统的主体部分，运营通常分为以下四个环节：

设置一个举报热线或举报邮箱，只是运营部分的第一个环节，如何在收到举报后妥善评估、处理和结案是一个需要解决的系统化问题。一个好的举报管理系统能帮助企业在收到举报以后按照规则跟进处理。

安永法证及诚信合规服务团队结合过往企业内部调查以及在大数据领域的经验，根据企业需求，设计了合规举报管理平台“畅言”。该平台能协助企业完成全流程的举报管理系统运营：接收举报；对举报进行分类评估；在处理举报过程中随时和举报人进行沟通；并在举报结案后进行归档，而在整个过程中，数据安全始终是“畅言”平台首要考虑的因素。

收到举报

接收举报的渠道应当是畅通无碍的。这首先要求举报信息可以直达足够高的管理层级，其次要求举报方式简单清晰、举报系统的界面易于使用。

“畅言”平台设置了明晰易懂的填写界面，通过安永专业团队在诸多案例中总结出的违规行为特征，设置了多个预分类选项，举报者通过下拉选择就可以方便地完成很多信息的填写。预分类这一特色功能在改善使用体验的同时，也为后续处理时的评估分类和数据分析提供了方便。

通过各渠道收到举报后，组织应当及时就确认收到举报、当下的处理状态、进一步沟通的渠道等信息向举报人进行反馈，并对举报人进行预期管理，充分告知其对应的法律及组织内部的相关规定以及存在的限制。

评估分类举报

负责处理举报的部门应当对举报内容进行全面考量，按照对纳入考虑的因素进行全面评估的结果决定后续的行动计划。

借助前述“畅言”平台的预分类功能可以快速完成对举报内容的评估分类，并将举报案件交由不同负责团队处理，提高案件的处理效率。

调查

组织需选择具有适当资格的内部或外部人员独立公正地进行调查，并在调查中遵守程序规定，做到客观中立，不带偏见。调查工作需保留相应的工作记录和证据材料以备后续审查。

调查是一个动态调整的过程，调查工作会随着调查的深入、情况的变化而进行扩展和调整。因此，调查团队应随时保持内部沟通和与举报人的沟通，确保信息更新和共享。在此过程中同样需注重信息保护。

“畅言”平台在初始接收举报时就为每个举报分配了唯一识别号码，一方面便于举报人追踪案件进程、补充后续资料；另一方面便于调查部门管理案件信息和证据材料。

“畅言”平台举报追踪入口

结案

结束举报调查后，调查团队需要对指定的报告审阅者报告认定的事实，以及建议的纠正措施和纪律处罚，并向举报人反馈调查的结果。结案阶段，应当将与本次举报相关的所有文件妥善归档，并特别注意保护信息安全。

对于个案的调查应当扩展到内部控制层面，确定内部控制缺陷及需改进的控制措施。对于调查中的敏感信息，企业应当妥善处理，确保数据及信息的安全。

对调查结束后的数据归档，“畅言”平台也设置了对于案卷中的敏感信息一键删除或封存，满足这一阶段的数据安全要求。

4、监督及改进

举报管理系统的职能是对组织的运行情况进行监督，同时，对举报管理系统本身也需要进行监督和改进。监督和评价举报管理系统可以从以下几个方面着手：

对不合规行为的举报来自的区域和部门；举报不同性质的不合规行为；举报过程的各个步骤所花的时间；调查结果及纠正措施等。

“畅言”平台设计了多个维度的数据统计及分析功能，通过向系统管理人员提供直观的数据看板，支持对于举报管理系统和整个合规体系的后续评估、决策和优化。

文件管理和数据保护

ISO 37002对于举报管理系统相关的文件管理和数据保护也提出了要求。

举报管理系统相关的文件应根据不同情况得到适宜且充分的保护，包括政策文件的可及性、举报信息的机密性和完整性、调查结果的内部汇报流程等。简单来说，未经举报人同意，不应将举报人及相关方信息透露给超过需要知道的范围的人。

所收到的举报信息中往往含有个人信息，甚至是敏感个人信息，其保留、删除、访问、修改及跨境传输需谨慎考虑。

结语

总之，一个完善的举报系统并非只是设立一个举报热线或是一个举报邮箱，企业需要从组织架构、政策、流程及监督四方面去建立一套完善的举报管理机制，在保证企业在符合监管要求的同时也能帮助企业健康有序地发展。

本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。