ISO37000：2021《組織治理指南》專業解讀和應用培訓指導材料之7：“6治理原則”之4：“6.4監督”ISO37000：2021《組織治理指南》專業解讀和應用培訓指導材料之7：“6治理原則”之4：“6.4監督” （雷澤佳編制） ISOISO37000-2021《組織治理—指南》6.4監督6.4.1原則治理機構應監督組織的績效，以確保其滿足治理機構對組織合乎道德的行為及合規義務的意圖和期望。治理原則監督原則治理機構應監督組織的績效，以確保其滿足治理機構對組織合乎道德的行為及合規義務的意圖和期望。治理機構的角色與責任：治理機構是組織治理的核心，負責制定戰略、設定目標、決策重大事項并監督組織運營。在監督過程中，治理機構扮演著關鍵角色，確保組織的行為和決策符合道德標準和合規要求；確定監督的具體內容和范圍；治理機構在確定監督的具體內容和范圍時，應綜合考慮組織的戰略目標、業務特點、風險狀況以及合規要求。具體來說，監督內容可以包括組織的財務績效、運營效率、戰略執行情況、風險管理、內部控制、合規性、道德行為等多個方面。范圍則應涵蓋組織的所有關鍵部門和業務流程，確保監督的全面性和有效性。治理機構可以通過以下方式評估組織的道德行為和合規義務履行情況：審查相關政策和制度：檢查組織是否制定了明確的道德準則和合規政策，并確保這些政策和制度得到有效執行；監測關鍵業務流程：對組織的采購、銷售、財務、人力資源等關鍵業務流程進行監測，確保其行為符合道德和合規要求；開展員工培訓和宣傳：通過培訓和宣傳活動，提高員工對道德和合規要求的認識和理解，鼓勵員工積極踐行道德準則和合規政策；建立舉報機制：設立舉報渠道，鼓勵員工積極舉報違反道德和合規要求的行為，并對舉報進行及時處理和反饋；定期進行合規審計：聘請專業的審計機構對組織的合規情況進行審計，確保組織的合規義務得到有效履行。治理機構可以通過以下措施確保監督的有效實施：建立健全的監督機制：制定明確的監督政策、流程和制度，確保監督工作的規范化和標準化；設立專門的監督機構或崗位：如內部審計部門、合規官等，負責具體的監督工作；采用多種監督方式：結合定期審計、專項審計、突擊檢查、員工舉報等多種方式，提高監督的靈活性和有效性；加強信息溝通與反饋：確保監督結果能夠及時、準確地反饋給治理機構，以便其及時作出決策和調整；強化責任追究與激勵：對監督中發現的問題進行嚴肅處理，對表現優秀的部門和個人給予表彰和獎勵。治理機構可以通過以下方式確保監督結果的有效利用：及時分析監督結果：對監督過程中收集到的數據和信息進行及時分析，找出存在的問題和風險點；制定改進措施：根據監督結果，制定具體的改進措施和行動計劃，明確責任人和完成時限；跟蹤改進效果：對改進措施的執行情況進行跟蹤和評估，確保問題得到有效解決和風險得到有效控制；將監督結果納入績效考核：將監督結果作為組織績效考核的重要依據之一，激勵員工積極參與監督工作并改進自身工作；持續完善監督機制：根據監督結果和實踐經驗，不斷完善監督機制和方法，提高監督的效率和效果。ISOISO37000-2021《組織治理—指南》6.4.2理論依據治理機構的有效監督確保了組織以預期的和要求的方式實現組織宗旨和戰略結果。監督很重要，因為治理機構需要確保分配給他人的任務按要求執行，以及在授權的范圍內做出決策。通過監督，治理機構可以在必要的時候采取糾正措施來實現組織宗旨。治理機構的監督工作取決于各種因素，包括組織的規模及復雜程度。理論依據監督的核心作用與重要性；確保組織宗旨與戰略實現：監督是治理機構確保組織沿著正確方向前進的關鍵手段。通過有效的監督，治理機構能夠驗證組織是否按照既定的宗旨和戰略在運營，確保組織目標的實現不偏離預期軌道；強化組織執行力：監督不僅關注結果，還關注過程。它促使組織內部各級人員嚴格按照治理機構的要求執行任務，確保每一項工作都得到有效執行，從而提高組織的整體執行力。監督的必要性：任務執行與決策控制；任務執行監督：治理機構在分配任務后，必須對這些任務的執行情況進行監督。這有助于確保任務得到正確、高效的執行，避免因執行不力或偏離要求而導致的問題；決策控制：監督還包括對決策過程的控制。治理機構需要確保決策者在授權的范圍內做出決策，避免決策失誤或濫用職權的情況發生。這有助于維護組織的穩定和秩序。監督的糾正措施與組織宗旨實現；及時發現并糾正問題：監督過程中，治理機構能夠及時發現組織運營中存在的問題和偏差。通過采取糾正措施，治理機構可以迅速調整組織的行為和決策，確保其重新回歸正軌，從而實現組織宗旨；持續改進與優化：監督不僅僅是一次性的活動，而是一個持續的過程。通過不斷的監督、反饋和糾正，治理機構能夠推動組織持續改進和優化，提升組織的整體績效和競爭力。監督工作的影響因素。組織規模與復雜性：不同規模和復雜程度的組織對監督工作的要求各不相同。大型組織由于部門眾多、業務復雜，需要更加系統和全面的監督體系來確保其正常運營。而小型組織則可能更注重靈活性和效率，監督工作也相應地更加簡潔明了；定制化監督方案：因此，治理機構在制定監督方案時，必須充分考慮組織的規模和復雜性。通過定制化的監督方案，治理機構能夠更有效地滿足組織的需求，確保其監督工作的針對性和有效性。ISOISO37000-2021《組織治理—指南》6.4.3實踐的關鍵環節6.4.3.1總則為實施有效監督，治理機構應：a)要求他們所委派的團隊對組織管理的所有事務提供及時準確的報告；b)確保內部控制體系的實施，包括風險管理體系、合規管理體系和財務控制體系；c)采取糾正措施；d)確保收到的報告和證據的準確性，以及內部控制體系的有效性。實踐的關鍵環節總則為實施有效監督，治理機構應：要求他們所委派的團隊對組織管理的所有事務提供及時準確的報告；治理機構為了實施有效監督，首先需要確保所委派的團隊（如管理層、內部審計團隊等）能夠對其負責的組織管理事務進行及時且準確的報告。這種報告機制應涵蓋組織的各個方面，包括但不限于財務狀況、運營績效、風險管理、合規情況等。及時準確的報告能夠幫助治理機構及時了解組織的實際運營狀況，為決策提供依據，同時也是監督過程的基礎；治理機構可以通過以下幾個步驟來確保委派的團隊提供及時準確的報告：明確報告要求：治理機構應制定清晰的報告指南或模板，明確報告的內容、格式、提交時間和頻率等要求。這有助于確保團隊了解報告的標準和期望；建立報告機制：治理機構應建立高效的報告機制，包括報告提交渠道、審批流程和反饋機制等。這可以確保報告能夠及時提交并得到有效處理；培訓團隊：治理機構應對委派的團隊進行定期培訓，提高他們的報告撰寫能力和對組織管理的理解。這有助于確保團隊能夠準確、全面地反映組織管理的情況；定期審查報告：治理機構應定期審查團隊提交的報告，檢查其準確性和完整性。對于不符合要求的報告，應及時要求團隊進行修正或重新提交；建立獎懲機制：治理機構可以建立獎懲機制，對及時準確提交報告的團隊給予獎勵，對拖延或提交不準確報告的團隊進行懲罰。這有助于激勵團隊提高報告質量。確保內部控制體系的實施，包括風險管理體系、合規管理體系和財務控制體系；內部控制體系是組織治理的重要組成部分，它涵蓋了風險管理體系、合規管理體系和財務控制體系等多個方面。治理機構需要確保這些體系得到有效實施，以維護組織的穩定運營和合規性。風險管理體系幫助組織識別、評估和管理潛在風險；合規管理體系確保組織遵守相關法律法規和內部政策；財務控制體系則保障組織財務信息的準確性和完整性。治理機構應定期審查這些體系的運行情況，確保其有效性；治理機構可以通過以下幾個步驟來確保內部控制體系的實施：設計合理的內部控制體系：治理機構應與相關部門合作，設計符合組織實際情況和需求的內部控制體系。這包括確定關鍵控制點、制定控制措施和建立監控機制等；明確責任分工：治理機構應明確各部門和崗位在內部控制體系中的責任分工，確保每個環節都有人負責。這有助于確保內部控制體系的順利運行；培訓員工：治理機構應對員工進行內部控制體系的培訓，提高他們對內部控制的認識和理解。這有助于確保員工能夠遵守內部控制規定并積極參與內部控制工作；定期審計和評估：治理機構應定期對內部控制體系進行審計和評估，檢查其運行情況和有效性。對于發現的問題和不足，應及時進行整改和完善；建立持續改進機制：治理機構應建立內部控制體系的持續改進機制，根據組織的發展變化和外部環境的變化不斷調整和優化內部控制體系。這有助于確保內部控制體系始終保持有效性和適應性。采取糾正措施；在監督過程中，治理機構難免會發現組織運營中存在的問題或偏差。為了糾正這些問題，治理機構需要采取及時有效的糾正措施。這些措施可能包括調整策略、更換人員、加強培訓、完善制度等。治理機構應確保糾正措施得到妥善執行，并跟蹤其效果，以確保問題得到根本解決；治理機構在發現組織管理中存在的問題時，可以采取以下糾正措施：分析問題原因：治理機構應首先分析問題產生的原因和影響范圍，明確問題的性質和嚴重程度。這有助于為采取糾正措施提供依據；制定糾正措施計劃：治理機構應根據問題產生的原因和影響范圍，制定具體的糾正措施計劃。這包括確定糾正措施的目標、內容、時間表和責任人等；實施糾正措施：治理機構應組織相關部門和人員按照糾正措施計劃的要求實施糾正措施。這包括調整策略、更換人員、加強培訓、完善制度等；跟蹤和驗證糾正效果：治理機構應對糾正措施的實施情況進行跟蹤和驗證，確保其有效性和及時性。對于未達到預期效果的糾正措施，應及時進行調整和完善；建立預防措施：治理機構應根據糾正措施的實施情況，總結經驗教訓，建立相應的預防措施，防止類似問題再次發生。確保收到的報告和證據的準確性，以及內部控制體系的有效性。治理機構在收到團隊提供的報告和證據后，需要對其準確性和可靠性進行仔細審查。這是確保監督過程有效性的關鍵步驟。同時，治理機構還應定期評估內部控制體系的有效性，包括其設計是否合理、執行是否到位、是否存在漏洞等。通過不斷審查和改進內部控制體系，治理機構能夠提升組織的整體治理水平，降低潛在風險；治理機構可以通過以下幾個步驟來確保收到的報告和證據的準確性以及內部控制體系的有效性：建立報告和證據審核機制：治理機構應建立報告和證據的審核機制，對收到的報告和證據進行仔細審查和核實。這有助于確保報告和證據的真實性和準確性；定期審查內部控制體系：治理機構應定期對內部控制體系進行審查，檢查其運行情況和有效性。這包括評估控制措施的執行情況、監控機制的運行效果以及關鍵控制點的控制效果等；利用外部審計和評估：治理機構可以邀請第三方機構對組織的管理和內部控制體系進行審計和評估，以獲取更客觀、全面的反饋和建議。這有助于治理機構發現潛在問題和改進空間；建立反饋和改進機制：治理機構應建立反饋和改進機制，鼓勵員工和相關方對組織管理和內部控制體系提出意見和建議。這有助于治理機構及時發現和解決問題，不斷完善組織治理體系；持續監控和更新：治理機構應持續監控組織運營情況和外部環境的變化，及時調整和更新內部控制體系。這有助于確保內部控制體系始終保持有效性和適應性。ISOISO37000-2021《組織治理—指南》6.4.3.2監督績效治理機構應基于以下評估和糾正措施來監督組織績效：a)組織價值觀和治理方針是否能有效地指導組織、組織文化和組織合乎道德的行為；b)基于管理報告和績效，以確保組織根據適用的衡量標準、意圖和期望來評價結果（見6.3.3）；c)將關于組織評估和應對關鍵威脅和機會的風險信息（例如：風險職能部門接收的信息）考慮到組織風險框架中（見6.9）；d)組織合規文化和滿足合規義務方面的合規信息（例如：直接從合規職能部門收到的信息）；e)組織對有關相關方的識別和對接；f)組織的財務結果和財務資源，需確保組織在財務上保持穩??；g)資源的分配、組織的職責和能力（包括人員及其發展）需確保組織能夠實現其組織宗旨、價值創造目標和戰略結果；h)組織對數據的管控和處理應確保數據被當作有價值的、戰略性的組織資源（見6.8）；i)組織負責任地（包括合乎道德地）使用和適當投資包括人工智能和網絡安全在內的技術；j)組織對計劃、變革和其他實質性轉變的管理以及對計劃外事件和意外的響應。注1：ISO31000和IEC31010中提供了有助于風險管理的附加信息。注2：ISO37301中提供了有助于合規管理的附加信息。注3：ISO/IEC38500中提供了有助于組織管理信息技術的附加信息。注4：ISO/IEC38507中提供了對組織使用人工智能有幫助的治理啟示的附加信息。監督績效治理機構應基于以下評估和糾正措施來監督組織績效：組織價值觀和治理方針是否能有效地指導組織、組織文化和組織合乎道德的行為；組織價值觀和治理方針是組織文化的核心，它們為組織提供了明確的方向和準則，確保組織在追求目標的過程中保持一致性和道德性。治理機構在監督組織績效時，首要關注的是這些價值觀和方針是否真正起到了指導作用。價值觀滲透：治理機構需要評估組織的價值觀是否深入人心，是否成為了員工行為的準則。這包括觀察員工在日常工作中是否體現出這些價值觀，以及組織在決策和行動時是否以這些價值觀為依據；治理方針的實施：治理方針是組織治理的具體體現，它規定了組織的管理方式、決策流程等。治理機構需要檢查這些方針是否得到了有效執行，是否對組織的行為產生了積極的影響，以及是否有助于組織實現其長期目標；道德行為的促進：組織價值觀和治理方針還應促進組織及其成員合乎道德的行為。治理機構需要監督組織是否建立了道德行為的激勵機制，是否對違反道德的行為進行了及時的處理，以及是否通過教育和培訓提升了員工的道德意識。評估組織價值觀和治理方針對組織文化和道德行為的指導效果，可以從以下幾個方面進行：員工行為觀察：觀察員工在日常工作中的行為是否符合組織的價值觀和治理方針，是否體現了組織的道德標準。這可以通過匿名調查、員工訪談、日常觀察等方式進行；文化氛圍感知：通過員工滿意度調查、文化評估問卷等工具，了解員工對組織文化和道德氛圍的感知和認同程度；績效關聯分析：分析組織價值觀和治理方針與組織績效之間的關聯性，看其是否對組織目標的實現產生了積極影響。這可以通過對比不同部門或團隊的績效數據，以及分析關鍵績效指標的變化趨勢來完成；案例研究：選取一些典型案例，如員工行為、決策過程等，進行深入分析，看其是否體現了組織價值觀和治理方針的指導作用?；诠芾韴蟾婧涂冃?，以確保組織根據適用的衡量標準、意圖和期望來評價結果（見6.3.3）；管理報告和績效是衡量組織績效的重要依據。治理機構應確保這些報告和績效數據能夠真實、準確地反映組織的運營狀況，并根據適用的衡量標準、意圖和期望來評價結果。管理報告的完整性：管理報告應包含組織的各個方面，如財務、運營、市場、人力資源等。治理機構需要審查這些報告是否全面、準確，是否提供了足夠的信息來評估組織的績效；績效數據的可靠性：績效數據是評估組織績效的基礎。治理機構需要確保這些數據的收集、處理和分析過程科學、規范，數據結果真實可靠。同時，還需要關注數據的時效性和可比性，以便進行縱向和橫向的對比分析；衡量標準的適用性：治理機構需要根據組織的實際情況和目標，制定適用的衡量標準。這些標準應既具有挑戰性又可實現，能夠激勵組織不斷提升績效。同時，還需要確保這些標準與組織的意圖和期望相一致，以便對組織績效進行準確的評估。要確保管理報告和績效數據能夠準確反映組織績效，可以從以下幾個方面入手：數據收集與驗證：建立完善的數據收集機制，確保數據的準確性和完整性。同時，對數據進行定期驗證和審計，確保其真實可靠。衡量標準的選擇：根據組織的戰略目標和業務特點，選擇合適的衡量標準。這些標準應具有明確性、可衡量性、可達成性、相關性和時限性（SMART原則）?？冃Х治雠c報告：對收集到的績效數據進行深入分析，找出存在的問題和機會，并據此編制績效報告。報告應清晰、準確地反映組織的績效狀況，并提出改進建議。反饋與溝通：將績效報告及時反饋給相關部門和人員，并進行有效的溝通。這有助于確保所有人員對組織績效有共同的認識和理解，從而推動持續改進。將關于組織評估和應對關鍵威脅和機會的風險信息（例如：風險職能部門接收的信息）考慮到組織風險框架中（見6.9）；組織在運營過程中會面臨各種威脅和機會，這些都需要通過風險評估來識別和應對。治理機構在監督組織績效時，應特別關注風險職能部門提供的關鍵威脅和機會的風險信息，并將這些信息納入組織的風險框架中進行綜合考慮。風險框架的更新與完善：：組織應建立一個完善的風險框架，用于指導風險評估、應對和監控。治理機構在監督績效時，應確保風險框架的有效性，并根據風險職能部門提供的信息進行必要的調整和優化；風險信息的收集與整理：風險職能部門應負責收集各種風險信息，包括內部風險和外部風險以及市場風險、信用風險、操作風險等，這些信息應全面、準確，以便治理機構能夠做出正確的決策。對這些信息應進行整理、分類和歸檔，以便后續分析和使用。風險分析與評價：對收集到的風險信息進行析與評價，確定風險的可能性、影響程度和優先級。這可以通過使用風險評估工具和方法來完成，如風險矩陣、故障樹分析等。風險應對的監督：治理機構還應監督組織對關鍵威脅和機會的應對情況，確保風險應對措施得到及時、有效的執行，從而降低風險對組織績效的負面影響；風險信息的溝通：將風險信息及時傳達給相關部門和人員，并進行有效的溝通。組織合規文化和滿足合規義務方面的合規信息（例如：直接從合規職能部門收到的信息）；合規是組織運營的重要基礎，它關乎組織的聲譽、穩定性和長期發展。治理機構在監督組織績效時，必須重視合規文化和滿足合規義務方面的信息。合規政策與程序審查：審查組織的合規政策和程序是否完善、有效，是否符合相關法律法規和行業標準的要求；合規信息的獲取：合規職能部門是組織合規管理的核心部門，它負責收集、整理和分析與組織合規相關的各種信息。治理機構應直接從合規職能部門獲取這些信息，以便及時了解組織的合規狀況；合規文化的培育：組織應致力于培育一種積極的合規文化，確保員工能夠自覺遵守法律法規和內部規章制度。治理機構應監督組織在這方面的努力，包括合規培訓、合規宣傳、合規激勵等措施的實施情況；合規培訓與教育：了解組織是否定期開展合規培訓和教育活動，員工是否充分了解合規要求和道德標準；合規行為觀察：觀察員工在日常工作中的行為是否符合合規要求，是否存在違規行為。這可以通過匿名調查、員工訪談、日常觀察等方式進行；合規審核與檢查：定期對組織的合規情況進行審核和檢查，包括合規文件的完整性、合規流程的執行情況等。這可以由內部合規部門或外部審計機構進行；合規事件處理：了解組織對合規事件的處理方式和效果，看其是否能夠及時、有效地應對合規風險。對于任何違反合規義務的行為，治理機構都應及時采取措施進行糾正，并追究相關責任人的責任。組織對有關相關方的識別和對接；在現代組織中，相關方的識別和有效對接是監督績效的重要組成部分。相關方包括但不限于股東、客戶、供方、員工、政府監管機構、社區以及環境組織等。治理機構需要建立一套系統來識別和評估這些相關方的需求和期望，確保組織能夠與之有效對接。識別和分類：治理機構應明確哪些個體或群體對組織具有重要影響，并根據其影響程度進行分類。這有助于組織優先處理與關鍵相關方的關系；溝通和參與：治理機構應建立有效的溝通渠道，確保組織能夠及時、準確地與相關方進行溝通。此外，鼓勵相關方參與組織的決策過程也是建立良好關系的重要方式；滿足期望和利益：治理機構應關注如何滿足相關方的期望和利益，通過持續改進和創新來增強相關方的信任和滿意度。組織的財務結果和財務資源，需確保組織在財務上保持穩??；組織的財務結果和財務資源是其持續運營和發展的基礎。治理機構在監督組織績效時，必須高度關注組織的財務健康狀況。財務結果分析：治理機構應定期審查組織的財務報表，包括利潤表、資產負債表和現金流量表等，以評估組織的盈利能力、償債能力和運營效率；風險管理：除了關注歷史財務結果外，治理機構還應關注潛在的財務風險，如市場風險、信用風險和流動性風險等，并制定相應的風險管理策略；財務規劃：為了確保組織在財務上保持穩健，治理機構還應參與制定財務規劃，包括預算制定、資本支出計劃和現金流管理等。資源的分配、組織的職責和能力（包括人員及其發展）需確保組織能夠實現其組織宗旨、價值創造目標和戰略結果；資源的分配、組織的職責和能力是實現組織宗旨、價值創造目標和戰略結果的關鍵。治理機構在監督組織績效時，應關注以下幾個方面：資源分配：治理機構應確保組織將有限的資源（包括人力、物力和財力）分配到最關鍵的業務領域和項目上，以實現最大的價值創造；職責和能力：治理機構應明確組織內部各部門的職責和能力要求，并確保組織具備實現其宗旨和戰略結果所需的關鍵能力。這可能涉及人員培訓、技能提升和組織結構調整等方面；績效評估：為了持續優化資源配置和提升組織能力，治理機構應建立一套績效評估體系，對組織內部各部門和個人的績效進行定期評估，并根據評估結果進行相應的調整和改進。組織對數據的管控和處理應確保數據被當作有價值的、戰略性的組織資源（見6.8）；在數字化時代，數據已成為組織的重要資產，對數據的有效管控和處理對于組織績效至關重要。治理機構應確保數據被當作有價值的、戰略性的組織資源來對待。數據治理框架：組織應建立一套完整的數據治理框架，包括數據的收集、存儲、處理、使用和共享等各個環節，確保數據的質量、安全性和合規性；數據價值挖掘：治理機構應鼓勵組織深入挖掘數據的價值，通過數據分析來指導決策、優化運營、提升產品和服務質量，從而增強組織的競爭力和市場響應速度；數據倫理和隱私保護：在利用數據的同時，組織應嚴格遵守數據倫理和隱私保護原則，確保數據的使用不會侵犯個人隱私和合法權益，維護組織的良好聲譽和社會形象。組織負責任地（包括合乎道德地）使用和適當投資包括人工智能和網絡安全在內的技術；隨著技術的快速發展，人工智能和網絡安全等技術在組織中的應用日益廣泛。治理機構應確保組織在使用這些技術時保持負責任的態度，并進行適當的投資。技術倫理和合規性：組織在使用人工智能等技術時，應確保其設計、開發和應用符合倫理和合規性要求，避免技術濫用和歧視性行為，保護用戶權益和社會公共利益；網絡安全保障：網絡安全是組織運營的重要基礎。治理機構應確保組織采取有效的安全措施來防范網絡攻擊和數據泄露等風險，保障業務的連續性和數據的完整性；戰略投資：治理機構應根據組織的戰略目標和業務需求，對人工智能和網絡安全等技術進行合理的投資規劃，確保技術的有效應用和持續創新。組織對計劃、變革和其他實質性轉變的管理以及對計劃外事件和意外的響應。在快速變化的市場環境中，組織需要不斷適應和調整以應對各種挑戰和機遇。治理機構應確保組織具備有效管理計劃、變革和其他實質性轉變的能力，以及對計劃外事件和意外的響應能力。變革管理：組織應建立一套完善的變革管理機制，包括變革規劃、執行、監控和評估等各個環節，確保變革過程的順利進行和變革目標的實現；風險管理：治理機構應關注組織面臨的各種風險，包括市場風險、操作風險、合規風險等，并建立相應的風險管理體系來識別、評估、監控和應對這些風險；應急響應機制：對于計劃外事件和意外情況，組織應建立應急響應機制，包括應急預案的制定、演練和改進等，確保在緊急情況下能夠迅速、有效地采取行動，減少損失和負面影響。注1：ISO31000：2018《風險管理——指南》和]IEC31010-2019《風險評估—風險評估技術》中提供了有助于風險管理的附加信息。注2：ISO37301：2021《合規管理體系——要求和使用指南》中提供了有助于合規管理的附加信息。注3：ISO/IEC38500-2015《信息技術——組織IT治理》中提供了有助于組織管理信息技術的附加信息。注4：ISO/IEC38507《信息技術——IT治理——組織使用人工智能的治理影響》中提供了對組織使用人工智能有幫助的治理啟示的附加信息。ISOISO37000-2021《組織治理—指南》6.4.3.3獲得保證為了對組織進行有效的監督，除了從授權人那里收取的報告之外，治理機構還應確保恰當地設計治理體系以及治理體系運行符合預期。如果治理機構不能保證做到這些事情，那么它應使用額外的獨立擔保手段。治理機構應做到：a)根據評估的風險確定所需的擔保評審級別；b)確保提供保證者有適當的權力和足夠的資源向治理機構提供準確的評估；c)確保提供保證者具有必要的能力和本領，且努力方向是聚焦的；d)仔細評審內部提供保證者的報告途徑，以維護他們的獨立性和權威性（見注1）；e)仔細評審任何外部提供保證者的獨立擔保能力（見注1）；f)確保向治理機構提供的保證服務得到整合和優化，從而作為一個整體，支持和實現有效的內部控制體系，并解決組織的重大風險和重大事項；g)證實組織對保證的承諾，并在整個組織內適當、清晰地溝通保證體系。獨立和準確地通知治理機構的保證過程包括：——治理機構的直接核查；——將直接報告和私人會議的風險管理和合規管理作為獨立的控制職能；——將直接報告和私人會議的內部審核作為獨立的提供保證者，包括治理流程有效性和績效的洞察和建議，特別是風險管理和合規管理；——對相關方和治理機構的外部審核和相關的報告；——正式和非正式的舉報流程、人員和客戶反饋機制（見注3）。在聘用外部審核師的地方，應輪換審核事務所或審核員，還應仔細考慮他們提供的非審核服務和透明度，以確保持續的獨立保證。注1：獨立保證是在沒有任何不當干擾的情況下對信息進行驗證。它需要與控制和保證職能有匹配的權利和充足的資源，它還需要不限制人員、資源和數據的訪問。注2：內部審核職能經常遵循普遍可接受的職業標準和規則。注3：ISO37002中提供了有助于舉報的其他信息。獲得保證確保治理體系的有效監督與獨立擔保；監督與治理體系設計的重要性；為了對組織進行有效的監督，治理機構應確保治理體系的設計是恰當的。這意味著治理機構不僅要關注治理體系的建立，還要確保這一體系能夠全面、準確地反映組織的宗旨、戰略和目標。治理體系的設計應涵蓋組織的各個方面，包括但不限于組織結構、決策流程、風險控制、利益相關者參與等。通過恰當的設計，治理機構能夠確保組織在運營過程中始終遵循既定的治理原則和價值觀。驗證治理體系運行符合預期；治理機構應確保治理體系的運行符合預期。這意味著治理機構需要定期評估治理體系的有效性，確保其在實際操作中能夠發揮預期的作用。這包括檢查各項治理措施是否得到有效執行，治理流程是否順暢，以及治理決策是否基于充分的信息和合理的判斷。通過持續的監督和評估，治理機構能夠及時發現并解決治理體系中存在的問題，確保其持續有效地支持組織的運營和發展。使用獨立擔保手段的必要性。如果治理機構不能保證做到上述事情，那么它應使用額外的獨立擔保手段。這意味著在某些情況下，治理機構可能需要借助外部力量來增強對組織治理的監督。這些獨立擔保手段可能包括聘請獨立的第三方機構對治理體系進行評估和審計，或者引入獨立的監督委員會來監督治理機構的決策和行為。通過引入這些額外的獨立擔保手段，治理機構能夠進一步提高治理體系的透明度和公信力，增強利益相關者對組織的信任和支持。治理機構應做到：根據評估的風險確定所需的擔保評審級別；治理機構應對組織面臨的風險進行全面評估，這些風險可能包括但不限于財務風險、運營風險、合規風險、戰略風險等?；陲L險評估的結果，治理機構應確定所需的擔保評審級別。風險越高，所需的擔保評審級別也應相應提高，以確保對高風險領域的充分監督和審查。這一步驟體現了風險導向的治理原則，即根據風險的重要性和可能性來分配資源和管理精力。確保提供保證者有適當的權力和足夠的資源向治理機構提供準確的評估；治理機構應確保那些負責提供保證（如內部審計、風險管理、合規審查等部門或人員）具有適當的權力，以便他們能夠獨立、客觀地開展工作。同時，治理機構還應確保這些保證者擁有足夠的資源，包括人力、財力、物力等，以支持他們完成評估任務并提供準確的評估結果。這一步驟是確保評估質量和有效性的關鍵，因為缺乏權力或資源的保證者可能無法全面、深入地開展評估工作。確保提供保證者具有必要的能力和本領，且努力方向是聚焦的；治理機構還應關注提供保證者的能力和本領，確保他們具備完成評估任務所需的專業知識和技能。這包括對相關法規、政策、標準的理解，以及對組織業務流程、風險點的熟悉等。此外，治理機構還應確保保證者的努力方向是聚焦的，即他們應專注于關鍵領域和重要問題的評估，避免分散精力和資源。這一步驟有助于提高評估的針對性和實效性，確保評估結果能夠為治理機構提供有價值的參考。仔細評審內部提供保證者的報告途徑，以維護他們的獨立性和權威性（見注1）；報告途徑的仔細評審：治理機構應密切關注并仔細評審內部提供保證者（如內部審計、風險管理等部門）的報告途徑。報告途徑是指這些保證者如何向治理機構傳遞其評估結果、發現的問題以及改進建議的渠道和方式。通過仔細評審，治理機構可以確保報告途徑的暢通無阻，使得保證者的聲音能夠被及時、準確地傳達至決策層；維護獨立性與權威性的重要性：維護內部提供保證者的獨立性和權威性是至關重要的。獨立性意味著保證者在執行其職責時不受其他部門的干擾或影響，能夠客觀地、公正地提供評估結果。權威性則是指保證者的評估結果和建議能夠得到治理機構和其他利益相關者的認可和尊重。通過維護這兩點，治理機構可以確保獲得準確、可靠的保證信息，從而做出更加明智的決策。仔細評審任何外部提供保證者的獨立擔保能力（見注1）；治理機構在尋求外部保證時，必須對外部提供保證者（如第三方審計機構、咨詢公司等）的獨立擔保能力進行仔細評審。這一步驟是確保外部保證者能夠提供客觀、公正、準確保證信息的關鍵。評審過程應涵蓋外部保證者的專業資質、行業經驗、聲譽以及過往業績等多個方面，以全面評估其是否具備提供獨立擔保的能力。獨立保證的定義與要求：在沒有任何不當干擾的情況下對信息進行驗證的，保證者必須能夠自由地、獨立地開展工作，不受任何外部壓力或利益沖突的影響。這是確保保證結果客觀性和公正性的基礎；獨立保證的支撐條件：為了實現獨立保證，治理機構必須確保保證者擁有與控制和保證職能相匹配的權利和充足的資源。這包括必要的授權、資金支持、技術支持等，以確保保證者能夠順利開展工作。同時，治理機構還應確保保證者在獲取人員、資源和數據方面沒有限制，以便他們能夠全面、深入地了解組織的運營情況，并據此提供準確的評估結果。這些支撐條件是確保獨立保證有效性的關鍵所在。確保保證服務的整合與優化：確保向治理機構提供的保證服務得到整合和優化，從而作為一個整體，支持和實現有效的內部控制體系，并解決組織的重大風險和重大事項；確保向治理機構提供的保證服務得到整合和優化：在組織治理中，保證服務可能來自多個部門或外部機構，如內部審計、風險管理、合規性檢查等。這些服務各自獨立可能無法充分發揮其效用，甚至可能產生重復或沖突。因此，治理機構需要確保這些保證服務得到有效的整合與優化，以形成一個協同工作的整體；支持和實現有效的內部控制體系：整合與優化后的保證服務應作為一個整體，共同支持和實現組織的內部控制體系。內部控制體系是組織治理的重要組成部分，它確保組織資源的合理分配、保護資產安全、保證財務信息的準確性和完整性，以及促進組織目標的實現。通過整合與優化保證服務，可以加強內部控制體系的有效性，提高組織的運營效率和風險防控能力；解決組織的重大風險和重大事項：整合與優化后的保證服務不僅應支持內部控制體系，還應關注并解決組織的重大風險和重大事項。重大風險可能包括市場風險、信用風險、操作風險等，而重大事項可能涉及組織戰略調整、重大投資決策等。保證服務應能夠對這些風險和事項進行及時識別、評估和管理，為治理機構提供有針對性的建議和解決方案，幫助組織有效應對挑戰，實現可持續發展。證實組織對保證的承諾與溝通；證實組織對保證的承諾，并在整個組織內適當、清晰地溝通保證體系。證實組織對保證的承諾：組織應對保證作出明確的承諾，這種承諾應體現在