引言
近日�����,筆者成功助力某國企搭建合規管理體係並輔導其獲得英國標準協會(BSI)頒發的ISO37301及GB35770合規雙認證。目前���,強化合規管理正成為越來越多的企業的共識����,搭建合規管理體係並申請認證也是大勢所趨。為幫助更多企業獲得ISO37301合規認證����,特撰寫此稿�,供已搭建或正在搭建合規管理體係的企業參考。
一�、什麼是ISO37301認證
2021年4月13日�,國際標準化組織發布ISO37301:2021《合規管理體係 要求及使用指南》(Compliance management systems – Requirements with guidance for use)(簡稱“ISO37301”)�,修訂並替代了該組織於2014年發布的《合規管理體係–指南》。修訂後的ISO37301為可認證標準��,一經發布�����,立即引起了全球市場的關注���,不少中國企業紛紛加入到申請ISO37301合規認證的大軍當中。
2022年1月14日����,美的集團股份有限公司(簡稱“美的”)獲得了BSI頒發的ISO37301認證證書����,據悉��,這是國內首張ISO37301合規認證證書[1]。
2022年4月20日�����,廣東省國資委印發《省屬企業“合規管理強化年”行動方案》��,該方案第11條明確規定:“省國資委按照‘分類推進����,推動試點’的工作方式��,指導監督省屬企業對標ISO37301國際標準��,高標準����、嚴要求地開展“合規管理強化年”各項工作�����,做到成熟一個冠標一個��,力爭通過三年努力�,全部省屬企業通過ISO37301冠標認證。”
2022年10月12日�����,國內標準GB/T 35770-2022《合規管理體係要求及使用指南》(以下簡稱“GB35770”)正式實施����,該標準等同采用ISO37301���,全部代替標準GB/T 35770-2017《合規管理體係指南》。
此後�,申請ISO37301及GB35770合規雙認證成為不少已搭建合規管理體係的企業的目標。鑒於GB35770等同采用ISO37301�����,且被發證機關審核通過ISO37301認證的企業����,會同時獲得GB35770認證�����,因此����,本文所稱ISO37301認證即為涵蓋GB35770的合規雙認證。
二�、為什麼需要申請ISO37301合規認證
企業取得ISO37301認(ren)證(zheng)��,對(dui)董(dong)事(shi)會(hui)和(he)員(yuan)工(gong)來(lai)說(shuo)是(shi)證(zheng)明(ming)運(yun)營(ying)風(feng)險(xian)管(guan)理(li)的(de)合(he)格(ge)證(zheng)����,對(dui)監(jian)管(guan)部(bu)門(men)和(he)投(tou)資(zi)方(fang)來(lai)說(shuo)是(shi)企(qi)業(ye)的(de)信(xin)用(yong)證(zheng)�����,對(dui)客(ke)戶(hu)和(he)國(guo)際(ji)供(gong)應(ying)鏈(lian)來(lai)說(shuo)是(shi)通(tong)行(xing)證(zheng)。一(yi)般(ban)認(ren)為(wei)����,申(shen)請(qing)ISO37301合規認證���,可獲得如下好處:
1�、為企業提高自身合規管理能力提供係統化方法
ISO37301完整涵蓋了合規管理體係建設�、運行�、維護和改進的全流程���,並基於合規治理原則為組織建立並運行合規管理體係�、傳(chuan)播(bo)積(ji)極(ji)的(de)合(he)規(gui)文(wen)化(hua)提(ti)供(gong)了(le)整(zheng)套(tao)解(jie)決(jue)方(fang)案(an)。不(bu)僅(jin)可(ke)以(yi)降(jiang)低(di)企(qi)業(ye)的(de)運(yun)營(ying)成(cheng)本(ben)��,提(ti)高(gao)企(qi)業(ye)聲(sheng)譽(yu)����,還(hai)可(ke)以(yi)在(zai)很(hen)大(da)程(cheng)度(du)上(shang)增(zeng)強(qiang)企(qi)業(ye)內(nei)部(bu)的(de)合(he)規(gui)意(yi)識(shi)與(yu)信(xin)心(xin)。
2�、證明企業的合規管理能力
實(shi)踐(jian)中(zhong)����,有(you)大(da)量(liang)的(de)國(guo)企(qi)對(dui)所(suo)屬(shu)企(qi)業(ye)進(jin)行(xing)合(he)規(gui)考(kao)核(he)時(shi)��,將(jiang)考(kao)核(he)結(jie)果(guo)與(yu)針(zhen)對(dui)所(suo)屬(shu)企(qi)業(ye)主(zhu)要(yao)負(fu)責(ze)人(ren)的(de)綜(zong)合(he)考(kao)核(he)相(xiang)掛(gua)鉤(gou)�,因(yin)此(ci)���,合(he)規(gui)管(guan)理(li)情(qing)況(kuang)可(ke)能(neng)關(guan)係(xi)到(dao)企(qi)業(ye)及(ji)企(qi)業(ye)主(zhu)要(yao)負(fu)責(ze)人(ren)的(de)考(kao)核(he)結(jie)果(guo)。對(dui)此(ci)�����,完(wan)成(cheng)合(he)規(gui)認(ren)證(zheng)能(neng)夠(gou)輔(fu)助(zhu)企(qi)業(ye)證(zheng)明(ming)其(qi)合(he)規(gui)管(guan)理(li)情(qing)況(kuang)。而(er)通(tong)過(guo)申(shen)請(qing)合(he)規(gui)認(ren)證(zheng)能(neng)夠(gou)從(cong)第(di)三(san)方(fang)認(ren)證(zheng)的(de)角(jiao)度(du)證(zheng)明(ming)企(qi)業(ye)的(de)合(he)規(gui)管(guan)理(li)體(ti)係(xi)有(you)效(xiao)運(yun)行(xing)�����,也(ye)可(ke)證(zheng)明(ming)企(qi)業(ye)的(de)合(he)規(gui)管(guan)理(li)能(neng)力(li)。
3��、為監管機構和司法機關采信組織的合規整改計劃��、合規管理體係實踐提供參考依據
監(jian)管(guan)機(ji)構(gou)和(he)司(si)法(fa)機(ji)關(guan)在(zai)對(dui)組(zu)織(zhi)違(wei)反(fan)法(fa)律(lv)的(de)行(xing)為(wei)作(zuo)出(chu)處(chu)罰(fa)時(shi)��,可(ke)以(yi)將(jiang)組(zu)織(zhi)的(de)合(he)規(gui)管(guan)理(li)體(ti)係(xi)運(yun)行(xing)情(qing)況(kuang)作(zuo)為(wei)衡(heng)量(liang)處(chu)罰(fa)力(li)度(du)的(de)一(yi)個(ge)正(zheng)麵(mian)考(kao)量(liang)因(yin)素(su)。尤(you)其(qi)是(shi)在(zai)涉(she)嫌(xian)犯(fan)罪(zui)的(de)案(an)件(jian)中(zhong)�����,企(qi)業(ye)獲(huo)得(de)合(he)規(gui)認(ren)證(zheng)可(ke)能(neng)成(cheng)為(wei)司(si)法(fa)機(ji)關(guan)對(dui)企(qi)業(ye)量(liang)刑(xing)時(shi)的(de)重(zhong)要(yao)考(kao)量(liang)依(yi)據(ju)���,有(you)助(zhu)於(yu)企(qi)業(ye)爭(zheng)取(qu)合(he)規(gui)不(bu)起(qi)訴(su)等(deng)有(you)利(li)結(jie)果(guo)。
不僅如此���,在國際上���,中國企業在實施“走出去”戰略時往往麵臨嚴厲的反腐敗���、反欺詐等合規管理要求。而根據世界銀行集團的製裁程序�����,如果企業能夠在規定時間內達成改進措施��、建立全麵的合規體係�、實施合規計劃等條件�,則有可能被免予製裁或者解除製裁。而合規認證恰恰可以滿足有此類需求的企業的需要。
4�����、為便利全球範圍內相關方之間的貿易����、交流與合作提供了通用規則
取得合規認證不僅可以提升企業知名度�����、buqiangshangyehezuohuobanduiqiyechanpinpinzhidelianghaoyinxiang����,quanweidedisanfangrenzhengyeshizhongduomaijiacaigouchanpindecankaoyinsuzhiyi�,shiqiyechanpinjinruguojishichangdetongxingzheng。qiyeruguoqudedisanfangrenzhengdeheguirenzheng����,youzhuyuqiyezhengmingzishenjigongyingliandeheguizhilinengliyijizhenggainengli�����,congerfunengjingneiwaishichangtuozhan。
三�、申請ISO37301合規認證時的注意事項
1�、符合國資委的要求並不代表符合ISO37301認證標準
目前�����,不少央企國企已嚴格按照國資委的《中央企業合規管理指引》或《中央企業合規管理辦法》的要求���,搭建自身的合規管理體係。但是�,需要注意的是�����,符合國資委的要求�����,並不代表必然符合ISO37301認證標準。ISO37301的體係框架包括七大方麵:1�、組織環境�����;2�����、領導��;3�����、策劃��;4��、支持�;5����、運行�����;6���、績效評估��;7�、改進。而《中央企業合規管理指引》從合規管理職責����、合規管理重點�、合規管理運行����、合規管理保障四個維度�,《中央企業合規管理辦法》從組織和職責�、製度建設�����、運行機製�����、合規文化��、信息化建設及監督問責六個維度對央企開展合規管理工作提出具體要求�����,兩者雖基本涵蓋ISO37301對合規管理體係的基本要求��,但與ISO37301的體係框架並不完全吻合���,主要差異將在下文中進行說明。央企國企等在符合國資委的要求後�����,如需申請ISO37301認證的���,還需按照ISO37301的體係框架梳理自身的合規管理體係���,完善國資委未要求或暫未嚴格要求���,但ISO37301極其重視的要素��,包括但不限於持續改進����、理解相關方的需求和期待��、實施風險管控後的合規風險再評估等。
2�����、ISO37301的基本管理模式
如下圖所示�����,ISO37301以公認有效的國際標準化組織推行的PDCA循環�����,即Plan(計劃)����、Do(執行)���、Check(檢查)和 Act(改進)為基礎�����,要求合規管理體係應當為不斷進行計劃�、執行�����、評估和改進的循環推進的管理模式。
目前��,國內已搭建合規管理體係的企業大多處於剛剛完成Plan(計劃)到Do(執行)的階段�,尚未進入或因不重視或無相關經驗而未嚴格實施Check(檢查)和Act(改進)的階段。
根據我們的經驗�����,現階段的ISO37301合規認證過程中����,認證機構對Check(檢查)和 Act(改進)階段的要求並不是很嚴格��,僅需要製定符合企業實際����,且可實際執行的Check(檢查)相關製度即可。我們理解�����,隨著時間的推移以及ISO37301合規認證工作的推進�,認證機構今後很有可能將對企業Act(改進)階段的合規管理提出更高的要求。
3�、理解ISO37301的邏輯及定義
ISO37301為全球通行的���、可(ke)適(shi)用(yong)於(yu)所(suo)有(you)類(lei)型(xing)和(he)任(ren)何(he)規(gui)模(mo)的(de)組(zu)織(zhi)的(de)合(he)規(gui)管(guan)理(li)體(ti)係(xi)。該(gai)體(ti)係(xi)為(wei)西(xi)方(fang)專(zhuan)業(ye)人(ren)士(shi)依(yi)據(ju)其(qi)邏(luo)輯(ji)和(he)慣(guan)常(chang)思(si)維(wei)所(suo)起(qi)草(cao)�,且(qie)為(wei)了(le)滿(man)足(zu)該(gai)體(ti)係(xi)的(de)普(pu)遍(bian)適(shi)用(yong)性(xing)��,導(dao)致(zhi)該(gai)體(ti)係(xi)的(de)內(nei)在(zai)邏(luo)輯(ji)及(ji)外(wai)在(zai)表(biao)現(xian)與(yu)中(zhong)國(guo)人(ren)的(de)思(si)維(wei)習(xi)慣(guan)並(bing)不(bu)一(yi)致(zhi)��,這(zhe)是(shi)很(hen)多(duo)從(cong)事(shi)合(he)規(gui)管(guan)理(li)工(gong)作(zuo)的(de)合(he)規(gui)官(guan)學(xue)習(xi)ISO37301時的鮮明感受��,也是導致很多合規官難以深刻理解ISO37301的主要原因。
GB35770在等同采用ISO37301時����,在其附錄中特意增加了4頁“補充使用指南”����,針對中國國情對ISO37301中的一些術語作出了中國化的解釋�����,建議擬申請ISO37301的企業參考該“補充使用指南”���,從而更好地理解ISO37301的邏輯及其定義。
4��、組織及其環境
ISO37301第4.1條規定��,組織應確定與其宗旨相關的����、並影響其實現合規管理體係預期結果的能力的內部和外部事項�����,為此���,組織應結合諸多事項,包括但不限於業務模式�、與第三方業務關係的性質和範圍�、法律和監管環境����、經濟狀況�����、社會/文化/環境背景����、內部結構�����、方針���、過程����、程序和資源�,以及自身的合規文化。
從該規定可以看出���,ISO37301yaoqiuqiyedajianheguiguanlitixishi��,xuyaozonghekaolvfenfanfuzadegezhongneizaijiwaizaideyaosu。xiangduieryan�����,anzhaoguoziweideyaoqiudajianheguiguanlitixideyangqiguoqi���,zhuyaoguanzhuzishendeyewumoshijifalvhejianguanhuanjing����,erduiyuyudisanfangyewuguanxidexingzhihefanwei����,bingweigeiyuchongfendelijie��,yejiaoshaokaolvtongguoheguiguanlitixijiejuexiangguanfangdexuqiuheqidai。
5�����、合規風險評估
ISO37301第4.6條規定�����,組織應基於合規風險評估,識別����、分析和評價其合規風險。在合規管理體係搭建工作中�����,識別合規義務�����,評估合規風險為最基礎的工作。《中央企業合規管理辦法》第13條和第20條tiao等deng也ye有you明ming確que的de相xiang關guan規gui定ding。此ci外wai��,國guo資zi委wei也ye多duo次ci提ti出chu�,要yao求qiu央yang企qi製zhi作zuo包bao括kuo合he規gui風feng險xian識shi別bie清qing單dan在zai內nei的de三san張zhang清qing單dan。實shi踐jian中zhong�,不bu少shao央yang企qi國guo企qi已yi根gen據ju國guo資zi委wei要yao求qiu���,製zhi定ding合he規gui風feng險xian識shi別bie清qing單dan��,內nei容rong包bao括kuo合he規gui風feng險xian識shi別bie���、評估及管控措施等。我們注意到�,不少央企國企製定的清單�����,缺乏實施管控措施後的合規風險評估�,而此點卻為ISO37301認證時的重要審核內容�����,因此���,建議相關企業予以完善。
6�����、合規方針
ISO37301第5.2條規定��,治理機構和最高管理者應確立合規方針,該方針a) 適合於組織的宗旨,b)為設定合規目標提供框架,c)包括滿足適用需求的承諾,d)包括持續改進合規管理體係的承諾。同時����,合規方針應符合眾多的要求���,包括應與組織的價值觀�、目標和戰略保持一致等。
shijianzhong���,daduoshuyangqiguoqijunyizhidingqiheguifangzhen�,danbushaoqiyezaizhidingqiheguifangzhenshi���,cunzaichaoxihuozhongducankaoqitaqiyedeneirong�,bingweijieheqiyezijidejiazhiguan����、目標和戰略���,或者在接受ISO認證機構審核時��,難以準確描述或通過書麵資料體現其合規方針與其價值觀��、目標��、發展規劃和戰略等的關係。
7��、人員聘用條件
ISO37301第7.2.2規定��,組織應要求人員遵守組織的合規義務�、方針����、過程和程序,作為人員的聘用條件。
實shi踐jian中zhong����,大da多duo數shu企qi業ye關guan注zhu員yuan工gong入ru職zhi後hou的de合he規gui培pei訓xun��,但dan不bu太tai重zhong視shi員yuan工gong招zhao聘pin過guo程cheng中zhong的de合he規gui管guan理li及ji合he規gui要yao求qiu��,建jian議yi企qi業ye強qiang化hua人ren力li資zi源yuan合he規gui管guan理li流liu程cheng和he內nei容rong���,明ming確que麵mian試shi����、入職及入職後簽署合規相關文件等的合規管理環節。
四��、申請ISO37301合規認證的步驟及所需時間
ISO37301認證機構在對企業進行合規認證時����,一般按照以下兩個階段進行審核:
第一階段審核的目的是評價企業的合規管理體係策劃的情況並確定第二階段的準備內容。
第二階段的目的是評價客戶管理體係的實施情況�����,包括有效性����、持續性等。
第di一yi階jie段duan及ji第di二er階jie段duan的de審shen核he均jun為wei現xian場chang審shen核he����,企qi業ye需xu要yao按an照zhao認ren證zheng機ji構gou的de要yao求qiu��,除chu提ti供gong相xiang關guan的de合he規gui管guan理li製zhi度du��,回hui答da相xiang關guan問wen題ti外wai�,還hai需xu要yao安an排pai認ren證zheng機ji構gou認ren為wei合he適shi的de人ren員yuan接jie受shou訪fang談tan。認ren證zheng機ji構gou一yi般ban基ji於yu風feng險xian的de審shen核he方fang法fa��,根gen據ju審shen核he準zhun則ze要yao求qiu���,尋xun找zhao正zheng麵mian符fu合he性xing客ke觀guan證zheng據ju����,關guan注zhu被bei審shen核he過guo程cheng的de符fu合he性xing����、有效性����、效率和韌性四個緯度�����,提出正���、反兩個方麵的審核意見�����,幫助企業持續改善管理體係績效。
經過前述審核��,認證機構認為符合認證條件的����,將向企業頒發ISO37301認證證書。該證書3年有效�,為了確保企業能夠始終符合標準�����,認證機構將進行年度監督審核��,每個自然年度一次。
審核所需時間取決於認證範圍內的場所數量�、合規領域數量以及企業的人員數量等。一般情況下�,100人左右規模的企業��,從審核確認���、實施審核到核發證書���,通常需要2-3個月的時間。
結束語
唯(wei)有(you)合(he)法(fa)合(he)規(gui)���,才(cai)能(neng)行(xing)穩(wen)致(zhi)遠(yuan)。在(zai)全(quan)麵(mian)依(yi)法(fa)治(zhi)國(guo)的(de)大(da)背(bei)景(jing)下(xia)��,堅(jian)持(chi)依(yi)法(fa)治(zhi)企(qi)�,強(qiang)化(hua)合(he)規(gui)管(guan)理(li)����,是(shi)建(jian)設(she)法(fa)治(zhi)央(yang)企(qi)的(de)重(zhong)要(yao)內(nei)容(rong)�����,也(ye)是(shi)企(qi)業(ye)高(gao)質(zhi)量(liang)可(ke)持(chi)續(xu)發(fa)展(zhan)的(de)必(bi)然(ran)選(xuan)擇(ze)。而(er)在(zai)央(yang)企(qi)全(quan)麵(mian)強(qiang)化(hua)合(he)規(gui)管(guan)理(li)的(de)大(da)背(bei)景(jing)下(xia)��,一(yi)些(xie)地(di)方(fang)國(guo)企(qi)和(he)民(min)營(ying)企(qi)業(ye)也(ye)不(bu)甘(gan)落(luo)後(hou)�����,紛(fen)紛(fen)加(jia)入(ru)到(dao)加(jia)強(qiang)合(he)規(gui)管(guan)理(li)的(de)隊(dui)伍(wu)中(zhong)。作(zuo)為(wei)一(yi)項(xiang)具(ju)有(you)國(guo)際(ji)標(biao)準(zhun)的(de)認(ren)證(zheng)體(ti)係(xi)�,ISO37301合規認證無疑為有此需求的廣大企業提供了一個可以係統���、有效地建立自身合規管理體係並足以據此彰顯企業的合規管理能力和水平��,同時為企業在提高經營效率�、降低經營風險�、維護自身權益以及開拓境內外市場等方麵持續賦能的優良選擇。我們也將秉持“成功����,始於助人成功”的價值理念����,利用我們長期以來在協助客戶建立合規管理體係並取得ISO37301認證方麵所積累的經驗��,助力企業在建立或完善自身合規管理體係方麵不斷取得成功。
注釋:[1]https://baijiahao.baidu.com/s?id=1721972845707298618&wfr=spider&for=pc
