D4) 知識產權
應尊重知識產權���;在轉讓技術和訣竅時應保護知識產權�,并應保護客戶信息�����。
D4.1 無已識別的知識產權風險��,亦無(受審計方自己的及其客戶/ 供應商的)
商業信息丟失或擅自披露的風險
最低要求:
? 場所觀察:不適用
? 文件檢查:
o 已制定正式的政策和計劃�,保護受審計方在締約過程中從其客戶收到的信息�。
? 上述信息包括:
? 客戶關鍵人員的姓名和聯系信息
? 合同定價和數量
? 分包商和物資/部件供應商的名稱等等
? 它們的身份和商標
? 第三方知識產權
? 專利記錄
? 受版權保護的內容���。
? 已制定計劃和/或程序����,用于檢查知識產權的所有權并確保對知識產權進行保護����。
? 已制定正式的程序����,確保根據相關法律和法規不披露并保護有關受審計
方的客戶�、渠道合作伙伴��、供應商����、工人及其他業務合作伙伴的信息�。
? IT 政策應當包括信息發布/傳播指南�����。這至少包括:工人和管理層的不披
露協議(單獨簽署或作為雇傭合同的一部分)����。
o 對經理和主管開展信息保護程序的年度進修培訓�。
? 可以取得內容充分而且最新的培訓資料和培訓記錄����。
? 管理層面訪:
o 管理層可以確認:
? 他們的知識產權識別和保護程序
? 已擬定哪些保護協議(不披露協議 [NDA]�����、保密協議等等)
? 如何開展培訓�,以確保程序有效實施
? 工人面訪:
o 工人可陳述:
? 何為知識產權
? 在他們的工作/職能/職責內有哪些措施可用于保護知識產權�。
評級:
? 優先:未對確定的案例展開調查或未制定糾正行動計劃
? 重大:未實施詳細且可理解的政策和程序(如溝通���、培訓����、記錄的保存)
? 輕微:
o 有 部分政策�����,程序或實施(如溝通��、培訓��、記錄的保存)�����。
o 有確定的案例����,但無已制定好的糾正行動計劃
? 不適用:不適用
遠程核查:是
D5) 公平的業務�、廣告和競爭
應秉承公平業務�����、廣告和競爭的準則�����。必須有適當的措施�����,保護客戶信息����。
D5.1 無已識別的向公眾傳達不準確信息的風險
最低要求:
包括各種公開傳達的公司信息(工作公告�����、產品詳情���、公司/工廠的宣傳推銷(小冊子/
傳單)�����、商業廣告���、新聞稿�����、網站等)
? 場所觀察:如果公開傳達的公司信息已公告���,則這些信息是準確的
? 文件檢查:
o 公共信息不得對受審計方的產品�����、服務�����、機會�����、崗位等等做出虛假或誤導性陳述��。
o 公司信息必須符合法定要求�����。
o 已制定正式的計劃�,確保受審計方的公共聲明不虛假或不具有誤導性�,并且它們
符合法律對公平業務和廣告的相關要求�����。
? 管理層面訪:管理層可陳述他們已實施哪些程序和檢查以確保公共信息準確且不具
有誤導性
? 工人面訪:不適用
評級:
? 優先:未對確定的案例展開調查或未制定糾正行動計劃
? 重大:未實施詳細且可理解的政策和程序(如溝通���、培訓�、記錄的保存)
? 輕微:
o 有部分政策����,程序或實施(如溝通�、培訓����、記錄的保存)��。
o 有確定的案例�,但無已制定好的糾正行動計劃
? 不適用:不適用
遠程核查:是
D5.2 無已識別的勾結風險
最低要求:
? 場所觀察:不適用
? 文件檢查:
o 已制定防范措施���,防止在產品定價或其他可能減少競爭的因素上與其他公司勾結�。
o 已制定正式的禁止勾結政策���,對經理��、員工和業務合作伙伴或他們的代理人的勾
結后果做出界定�。
o 已制定正式的勾結指控調查程序����,該程序包括與公平競爭相關的監控程序���。
o 向工人�����、員工�、經理和業務合作伙伴提供以勾結為主題的培訓并且對經理進行年
度進修培訓�����?�?梢匀〉脙热莩浞侄易钚碌呐嘤栙Y料和培訓記錄���。
注:審計師全面搜索公共記錄��,了解法院是否裁定受審計方實施某種形式的勾結���。
? 管理層面訪:
o 管理層可陳述:
? 他們何時受過禁止勾結/公平業務方面的培訓
? 禁止勾結/公平業務政策的詳細內容
? 如何及何時對工人���、員工和業務合作伙伴開展該政策的相關培訓
? 工人面訪:
o 對采購決定具有影響的員工可陳述:
? 他們何時受過禁止勾結/公平業務方面的培訓
? 禁止勾結/公平業務政策的詳細內容�。
評級:
? 優先:未對確定的案例展開調查或未制定糾正行動計劃
? 重大 : 未實施詳細且可理解的政策和程序(如溝通����、培訓�����、記錄的保存)
? 輕微:
o 有部分政策�����,程序或實施(如溝通����、培訓��、記錄的保存)���。
o 有確定的案例����,但無已制定好的糾正行動計劃
? 不適用:不適用
遠程核查:是
D6) 身份保護及不得報復
除非法律禁止����,否則應制定并實施各項計劃���,確保向供應商和員工檢舉者提供保護并為其保密���,使
其處于匿名狀態��。參與者應制定一個流程并將之告知員工�����,使員工能夠提出他們所關心的任何問
題��,而不擔心遭到打擊報復����。
D6.1 向工人和供應商的工人提供涉嫌道德不當行為的秘密報告的途徑
最低要求:
? 場所觀察:清晰地告知秘密報告渠道�,而且工人可以看到這些渠道(申訴箱���、熱線���、熱
郵�����、第三方電話等)
? 文件檢查:
o 受審計方應盡快調查檢舉者檢舉內容的真實性����,如果檢舉屬實�����,應盡快采取補救
行動�����;上述保護措施也應適用于所有工人(包括間接工人)�。
o 溝通渠道應當清晰��,以便受審計方營業機構及主要供應商營業機構的工人可以安
心地報告違規行為或所關心的問題�����,從而鼓勵工人報告���。
o 已制定流程����,供工人及主要供應商的工人匿名報告涉嫌違反商業行為準則的
行為�,以便防止他們遭到報復��。
o 作為申訴調查流程的一部分���,已制定詳細程序保護檢舉者身份�。
o 可以取得充足且最新的培訓資料和培訓記錄��。向全體員工提供年度進修培訓����。向
工人及主要供應商的工人提供有關如何報告所關心的道德或法律事項的書
面信息��。
? 管理層面訪:
o 管理層可陳述:
? 已建立機密和匿名報告機制
? 如何監控機制并誠信正直地執行
? 如何向自己的員工和主要供應商的員工傳達這些程序
? 工人面訪:
o 工人可陳述:
? 他們如何可以秘密且匿名地報告道德不當行為
? 管理層已如何向他們保證他們不遭到報復
評級:
? 優先:未對確定的案例展開調查或未制定糾正行動計劃
? 重大 : 未實施詳細且可理解的政策和程序(如溝通���、培訓����、記錄的保存)
? 輕微:
o 有部分政策��,程序或實施(如溝通�、培訓�、記錄的保存)�����。
o 確定的案例無完整的糾正行動計劃
? 不適用:不適用
遠程核查:是