RBA认证6.0版准则解释指引之E3+E4

E3)法律要求和客户要求

用以识别、监控和了解适用法律、法规和客户要求（包括本准则的要求）的程序。

E3.1应制定一个充分且有效的合规流程，以监控、识别、了解并确保遵守与下述事项有关的法律、法规和客户要求：

A)劳工

B)健康与安全

C)环境和

D)道德

合规要求：

场所访察

不适用

记录审查

1)流程

a)实施充分且有效的季度合规流程，以始终及时了解适用法律的要求和客户要求：

i)识别

ii)跟踪

iii)评估

iv)整合

v)执行

vi)记录

2)记录

a)准确且最新的合规登记

b)合规日历或通过电子邮件系统发出的提醒 /任务/日历任务。

c)会对运营产生影响的适用法律法规和关键客户要求的摘要

d)通过审查新的要求而产生的新的 /变更的运营 /政策/程序

其他帮助：

记录审查

1)要求适用于每个要素。这些要素有劳工、健康与安全、环境和道德。如果某个要素具备有效证书，则视为该要素在此问题上为符合项（即如果持有有效的 ISO 14001证书，则审计员将不核查环境管理体系）

E4)风险评估和风险管理风险评估和风险管理

应制定一个流程，用于确定与受审计方的经营有关联的法律合规、环境、健康与安全、劳工实务及道德方面的风险，确定每项风险的相对重要性，实施适当的程序和切实的控制措施，以便控制已识别的风险并确保监管合规。

E4.1应制定一个充分且有效的风险管理流程，用于识别、评估并最大限度减少 /缓解/控制下述几个方面的风险：

A)劳工

C)环境和

D)道德

合规要求：

场所访察

1)已针对识别的风险制定相应的控制措施

记录审查

1)流程

a)已制定采用控制措施等级的充分且有效的风险评估流程或等效流程来识别最重大的风险（包括相关法定要求和相关客户要求）。

b)在发生重大变化时更新风险评估

c)每个已识别的风险均有一个相应的行动计划，以最大限度地降低该风险，并有程序控制措施和 /或改进目标。

d)定期评估控制措施的有效性

2)记录

a)正式的风险评估报告

b)针对已识别的风险制定的纠正 /预防性行动计划

c)程序控制措施有文件记录

d)在尚未制定控制措施的方面，已制定并有效执行了一个实施计划（其中规定责任人和到期日）

其他帮助：

记录审查

1)要求适用于每个要素。这些要素有劳工、健康与安全、环境和道德。如果某个要素具备有效证书，则视为该要素在此问题上为符合项（即如果持有有效的 ISO 14001证书，则审计员将不核查环境管理体系）

2)风险评估的范围：

a)每一工厂的经营 /流程

b)实际位置

c)考虑多种化学品暴露、暴露于物理和化学危害的综合影响以及延长的工作时间（如适用）

3)就道德而言，风险评估要考虑具体的商业情形（业务所在国家 /地区、利益相关者等），且至少涵盖诚实、诚信、知识产权保护、贿赂、腐败、欺诈 /贪污、贪污、敲诈勒索、合法、道德、公平的业务 /营销惯例、报告违规、检举者保护、回扣、贿赂物、隐私、非法支付等

4)健康与安全风险评估详见 B1.2