D4) 知識產(chǎn)權(quán)
應(yīng)尊重知識產(chǎn)權(quán)��;在轉(zhuǎn)讓技術(shù)和訣竅時應(yīng)保護知識產(chǎn)權(quán)����,并應(yīng)保護客戶信息�����。
D4.1 無已識別的知識產(chǎn)權(quán)風(fēng)險��,亦無(受審計方自己的及其客戶/ 供應(yīng)商的)
商業(yè)信息丟失或擅自披露的風(fēng)險
最低要求:
? 場所觀察:不適用
? 文件檢查:
o 已制定正式的政策和計劃�,保護受審計方在締約過程中從其客戶收到的信息�。
? 上述信息包括:
? 客戶關(guān)鍵人員的姓名和聯(lián)系信息
? 合同定價和數(shù)量
? 分包商和物資/部件供應(yīng)商的名稱等等
? 它們的身份和商標
? 第三方知識產(chǎn)權(quán)
? 專利記錄
? 受版權(quán)保護的內(nèi)容。
? 已制定計劃和/或程序�,用于檢查知識產(chǎn)權(quán)的所有權(quán)并確保對知識產(chǎn)權(quán)進行保護�����。
? 已制定正式的程序����,確保根據(jù)相關(guān)法律和法規(guī)不披露并保護有關(guān)受審計
方的客戶����、渠道合作伙伴、供應(yīng)商���、工人及其他業(yè)務(wù)合作伙伴的信息���。
? IT 政策應(yīng)當(dāng)包括信息發(fā)布/傳播指南。這至少包括:工人和管理層的不披
露協(xié)議(單獨簽署或作為雇傭合同的一部分)�。
o 對經(jīng)理和主管開展信息保護程序的年度進修培訓(xùn)。
? 可以取得內(nèi)容充分而且最新的培訓(xùn)資料和培訓(xùn)記錄����。
? 管理層面訪:
o 管理層可以確認:
? 他們的知識產(chǎn)權(quán)識別和保護程序
? 已擬定哪些保護協(xié)議(不披露協(xié)議 [NDA]、保密協(xié)議等等)
? 如何開展培訓(xùn)����,以確保程序有效實施
? 工人面訪:
o 工人可陳述:
? 何為知識產(chǎn)權(quán)
? 在他們的工作/職能/職責(zé)內(nèi)有哪些措施可用于保護知識產(chǎn)權(quán)���。
評級:
? 優(yōu)先:未對確定的案例展開調(diào)查或未制定糾正行動計劃
? 重大:未實施詳細且可理解的政策和程序(如溝通、培訓(xùn)�、記錄的保存)
? 輕微:
o 有 部分政策,程序或?qū)嵤ㄈ鐪贤?����、培?xùn)�、記錄的保存)。
o 有確定的案例���,但無已制定好的糾正行動計劃
? 不適用:不適用
遠程核查:是
D5) 公平的業(yè)務(wù)、廣告和競爭
應(yīng)秉承公平業(yè)務(wù)���、廣告和競爭的準則�。必須有適當(dāng)?shù)拇胧?�,保護客戶信息�。
D5.1 無已識別的向公眾傳達不準確信息的風(fēng)險
最低要求:
包括各種公開傳達的公司信息(工作公告、產(chǎn)品詳情����、公司/工廠的宣傳推銷(小冊子/
傳單)���、商業(yè)廣告、新聞稿���、網(wǎng)站等)
? 場所觀察:如果公開傳達的公司信息已公告�����,則這些信息是準確的
? 文件檢查:
o 公共信息不得對受審計方的產(chǎn)品��、服務(wù)�����、機會�、崗位等等做出虛假或誤導(dǎo)性陳述����。
o 公司信息必須符合法定要求。
o 已制定正式的計劃���,確保受審計方的公共聲明不虛假或不具有誤導(dǎo)性�����,并且它們
符合法律對公平業(yè)務(wù)和廣告的相關(guān)要求����。
? 管理層面訪:管理層可陳述他們已實施哪些程序和檢查以確保公共信息準確且不具
有誤導(dǎo)性
? 工人面訪:不適用
評級:
? 優(yōu)先:未對確定的案例展開調(diào)查或未制定糾正行動計劃
? 重大:未實施詳細且可理解的政策和程序(如溝通、培訓(xùn)��、記錄的保存)
? 輕微:
o 有部分政策�,程序或?qū)嵤ㄈ鐪贤ā⑴嘤?xùn)����、記錄的保存)。
o 有確定的案例�,但無已制定好的糾正行動計劃
? 不適用:不適用
遠程核查:是
D5.2 無已識別的勾結(jié)風(fēng)險
最低要求:
? 場所觀察:不適用
? 文件檢查:
o 已制定防范措施,防止在產(chǎn)品定價或其他可能減少競爭的因素上與其他公司勾結(jié)���。
o 已制定正式的禁止勾結(jié)政策,對經(jīng)理��、員工和業(yè)務(wù)合作伙伴或他們的代理人的勾
結(jié)后果做出界定�。
o 已制定正式的勾結(jié)指控調(diào)查程序,該程序包括與公平競爭相關(guān)的監(jiān)控程序�����。
o 向工人、員工��、經(jīng)理和業(yè)務(wù)合作伙伴提供以勾結(jié)為主題的培訓(xùn)并且對經(jīng)理進行年
度進修培訓(xùn)��??梢匀〉脙?nèi)容充分而且最新的培訓(xùn)資料和培訓(xùn)記錄。
注:審計師全面搜索公共記錄��,了解法院是否裁定受審計方實施某種形式的勾結(jié)����。
? 管理層面訪:
o 管理層可陳述:
? 他們何時受過禁止勾結(jié)/公平業(yè)務(wù)方面的培訓(xùn)
? 禁止勾結(jié)/公平業(yè)務(wù)政策的詳細內(nèi)容
? 如何及何時對工人、員工和業(yè)務(wù)合作伙伴開展該政策的相關(guān)培訓(xùn)
? 工人面訪:
o 對采購決定具有影響的員工可陳述:
? 他們何時受過禁止勾結(jié)/公平業(yè)務(wù)方面的培訓(xùn)
? 禁止勾結(jié)/公平業(yè)務(wù)政策的詳細內(nèi)容�����。
評級:
? 優(yōu)先:未對確定的案例展開調(diào)查或未制定糾正行動計劃
? 重大 : 未實施詳細且可理解的政策和程序(如溝通���、培訓(xùn)�����、記錄的保存)
? 輕微:
o 有部分政策����,程序或?qū)嵤ㄈ鐪贤ā⑴嘤?xùn)��、記錄的保存)���。
o 有確定的案例���,但無已制定好的糾正行動計劃
? 不適用:不適用
遠程核查:是
D6) 身份保護及不得報復(fù)
除非法律禁止,否則應(yīng)制定并實施各項計劃�,確保向供應(yīng)商和員工檢舉者提供保護并為其保密,使
其處于匿名狀態(tài)����。參與者應(yīng)制定一個流程并將之告知員工,使員工能夠提出他們所關(guān)心的任何問
題�����,而不擔(dān)心遭到打擊報復(fù)��。
D6.1 向工人和供應(yīng)商的工人提供涉嫌道德不當(dāng)行為的秘密報告的途徑
最低要求:
? 場所觀察:清晰地告知秘密報告渠道�,而且工人可以看到這些渠道(申訴箱����、熱線���、熱
郵、第三方電話等)
? 文件檢查:
o 受審計方應(yīng)盡快調(diào)查檢舉者檢舉內(nèi)容的真實性�����,如果檢舉屬實���,應(yīng)盡快采取補救
行動����;上述保護措施也應(yīng)適用于所有工人(包括間接工人)�。
o 溝通渠道應(yīng)當(dāng)清晰,以便受審計方營業(yè)機構(gòu)及主要供應(yīng)商營業(yè)機構(gòu)的工人可以安
心地報告違規(guī)行為或所關(guān)心的問題��,從而鼓勵工人報告�。
o 已制定流程,供工人及主要供應(yīng)商的工人匿名報告涉嫌違反商業(yè)行為準則的
行為��,以便防止他們遭到報復(fù)���。
o 作為申訴調(diào)查流程的一部分�,已制定詳細程序保護檢舉者身份。
o 可以取得充足且最新的培訓(xùn)資料和培訓(xùn)記錄��。向全體員工提供年度進修培訓(xùn)�����。向
工人及主要供應(yīng)商的工人提供有關(guān)如何報告所關(guān)心的道德或法律事項的書
面信息����。
? 管理層面訪:
o 管理層可陳述:
? 已建立機密和匿名報告機制
? 如何監(jiān)控機制并誠信正直地執(zhí)行
? 如何向自己的員工和主要供應(yīng)商的員工傳達這些程序
? 工人面訪:
o 工人可陳述:
? 他們?nèi)绾慰梢悦孛芮夷涿貓蟾娴赖虏划?dāng)行為
? 管理層已如何向他們保證他們不遭到報復(fù)
評級:
? 優(yōu)先:未對確定的案例展開調(diào)查或未制定糾正行動計劃
? 重大 : 未實施詳細且可理解的政策和程序(如溝通、培訓(xùn)����、記錄的保存)
? 輕微:
o 有部分政策,程序或?qū)嵤ㄈ鐪贤?��、培?xùn)����、記錄的保存)��。
o 確定的案例無完整的糾正行動計劃
? 不適用:不適用
遠程核查:是