企航顧問ISO37301合規(guī)管理體系服務

2022/04/02

2021年4月13日，企業(yè)合規(guī)領域國際層面的重磅標準——ISO 37301:2021《合規(guī)管理體系要求及使用指南》（Compliance management systems — Requirements with guidance for use）正式發(fā)布實施。

從2018年11月啟動合規(guī)新標準的制定工作以來，歷時3年多，五個階段，ISO 37301終于問世，它將取代ISO 19600:2014《合規(guī)管理體系指南》，這也標志著合規(guī)標準的性質(zhì)由管理體系B型標準變成A型標準，從推薦性標準正式變成可認證性標準。

一、制定背景和意義

近年來，全球貿(mào)易關系愈加復雜，全球產(chǎn)業(yè)鏈進入深度調(diào)整與重構時期。在國家層面，各國建立了嚴格的合規(guī)監(jiān)管制度，監(jiān)管機構加強了立法深度和執(zhí)法力度，引導和督促企業(yè)實施更加主動的合規(guī)經(jīng)營。在國際層面，聯(lián)合國、經(jīng)濟合作與發(fā)展組織、世界銀行集團、非洲開發(fā)銀行集團、亞洲太平洋經(jīng)濟合作組織、國際商會等國際性組織相繼制定全球性契約、指南和指引等，對合規(guī)管理核心問題形成國際共識，在相關貿(mào)易活動中對不合規(guī)行為實施聯(lián)合懲戒。合規(guī)已經(jīng)成為各類組織成功和可持續(xù)發(fā)展的基礎。

為了滿足全球化合規(guī)的快速發(fā)展和迫切需求，提升各類組織合規(guī)管理能力，促進國際貿(mào)易、交流與合作，ISO于2018年11月啟動了ISO 37301的制定工作，基于最新的合規(guī)管理實踐，修訂并代替ISO 19600:2014《合規(guī)管理體系 指南》。

ISO 37301的制定對于各類組織的合規(guī)管理能力建設、政府監(jiān)管活動、國際貿(mào)易交流、溝通合作改善等具有重要的意義：

1、為各類組織提高自身的合規(guī)管理能力提供系統(tǒng)化方法，它采用PDCA理念完整覆蓋了合規(guī)管理體系建設、運行、維護和改進的全流程，基于合規(guī)治理原則為組織建立并運行合規(guī)管理體系、傳播積極的合規(guī)文化提供了整套解決方案。

2、為監(jiān)管機構和司法機構采信組織的合規(guī)整改計劃、合規(guī)管理體系實踐提供參考依據(jù)，監(jiān)管機構和司法機構在對組織違反相關法律的行為作出處罰時，可以將組織的合規(guī)管理體系運行情況作為衡量處罰力度的一個考量因素。

3、為便利全球范圍內(nèi)相關方之間的貿(mào)易、交流與合作提供了通用規(guī)則，各類組織可以通過聲明符合ISO 37301或者獲得依據(jù)ISO 37301所進行的認證，在相關方之間傳遞信任，進而為貿(mào)易、交流與合作提供便利。

二、標準主要內(nèi)容

ISO 37301 標準的最重要優(yōu)勢就是它的整體方法跨越所有行業(yè)、企業(yè)和部門；包含實踐相關性、以及適用于所有機構。ISO 37301 標準遵循連續(xù)提升模型，即：開發(fā)-實施-評價-保持（這就是所謂的“PDCA 循環(huán)”——計劃、執(zhí)行、核查、行動——由質(zhì)量管理開始）。合規(guī)管理體系通用要素的框架如下圖所示。

ISO 37301將建立、制定、實施、維護、評估和改進作為合規(guī)管理體系的六大行動。合規(guī)管理體系的建設遵循PDCA循環(huán)邏輯，以持續(xù)改進原則為基礎，在領導力和合規(guī)文化的內(nèi)核驅(qū)動下，結(jié)合組織的合規(guī)目標、原則及內(nèi)外部環(huán)境，建立合規(guī)管理體系，制定符合組織文化和目標的相關流程并在組織內(nèi)有效地運行實施，并通過定期、不定期地維護和評估，糾正和改進合規(guī)管理體系的漏洞。

1、組織環(huán)境

組織所處的環(huán)境構成了組織賴以生存的基礎。這些環(huán)境既涉及法律法規(guī)、監(jiān)管要求、行業(yè)準則、良好實踐、道德標準，又涉及組織自行制定或公開聲明遵守的各類規(guī)則。因此，建立合規(guī)管理體系首先要對組織所處的環(huán)境予以識別和分析。

ISO 37301從以下方面規(guī)定了識別和分析組織環(huán)境的要求：

a）確定影響組織合規(guī)管理體系預期結(jié)果能力的內(nèi)部和外部因素；

b）確定并理解相關方及其需求；

c）識別與組織的產(chǎn)品、服務或活動有關的合規(guī)義務、評估合規(guī)風險；

d）確定反映組織價值、戰(zhàn)略的合規(guī)管理體系及其邊界和適用范圍。

2、領導作用

領導是合規(guī)管理的根本，對于整個組織樹立合規(guī)意識、建立高效的合規(guī)管理體系具有至關重要的作用。

ISO 37301對組織的治理機構、最高管理者等如何發(fā)揮領導作用作出了規(guī)定：

a）治理機構和最高管理者要展現(xiàn)對合規(guī)管理體系的領導作用和積極承諾；

b）遵守合規(guī)治理原則；

c）培育、制定并在組織各個層面宣傳合規(guī)文化；

d）制定合規(guī)方針；

e）確定治理機構和最高管理者、合規(guī)團隊、管理層及員工相應的職責和權限。

3、策劃

策劃是預測潛在的情形和后果，對于確保合規(guī)管理體系能實現(xiàn)預期效果，防范并減少不希望的影響，實現(xiàn)持續(xù)改進具有重要作用。

ISO 37301從以下方面規(guī)定了策劃合規(guī)管理體系的要求：

a）在各部門和層級上建立適宜的合規(guī)目標，策劃實現(xiàn)合規(guī)目標需建立的過程；

b）綜合考慮組織內(nèi)外部環(huán)境問題、合規(guī)義務和合規(guī)目標，策劃應對風險和機會的措施，并將這些措施納入合規(guī)管理體系；

c）有計劃地對合規(guī)管理體系進行修改。

4、支持

支持是合規(guī)管理的重要保障，對于合規(guī)管理體系在各個層面得到認可并保障合規(guī)行為實施具有重要的支持作用。

ISO 37301從以下方面規(guī)定了支持措施：

a）確定并提供所需的資源，例如財務資源、工作環(huán)境與基礎設施等；

b）招聘能勝任且能遵守合規(guī)要求的員工，對違反合規(guī)要求的員工采取紀律處分等管理措施；

c）提供培訓，提升員工合規(guī)意識；

d）開展內(nèi)部和外部溝通與宣傳；

e）創(chuàng)建、控制和維護文件化信息。

5、運行

運行是立足于執(zhí)行層面，策劃、實施和控制滿足合規(guī)義務和戰(zhàn)略層面規(guī)劃的措施相關的流程，以確保組織運行合規(guī)管理體系。

ISO 37301從以下方面對運行作出了規(guī)定：

a）實施為滿足合規(guī)義務、實施合規(guī)目標所需的過程以及所需采取的措施；

b）建立并實施過程的準則、控制措施，定期檢查和測試這些控制措施，并保留記錄；

c）建立舉報程序，鼓勵員工善意報告疑似和已發(fā)生的不合規(guī)；

d）建立調(diào)查程序，對可疑和已發(fā)生的違反合規(guī)義務的情況進行評估、調(diào)查和了結(jié)。

6、績效評價

績效評價是對合規(guī)管理體系建立并運行后的績效、體系有效性評價，對于查找可能存在的問題、后續(xù)改進合規(guī)管理體系等具有重要意義。

ISO 37301對如何開展合規(guī)管理體系績效評價作出了規(guī)定：

a）監(jiān)視、測量、分析和評價合規(guī)管理體系的績效和有效性；

b）有計劃地開展內(nèi)部審核；

c）定期開展管理評審。

7、改進

改進是對合規(guī)管理體系運行中發(fā)生不合格/不合規(guī)情況做出反應、評價是否需要采取措施，消除不合格/不合規(guī)的根本原因，以避免再次發(fā)生或在其他地方發(fā)生，并持續(xù)改進，以確保合規(guī)管理體系的動態(tài)持續(xù)有效。

ISO 37301從以下方面對改進作出了規(guī)定：

a）持續(xù)改進合規(guī)管理體系的適用性、充分性和有效性；

b）對發(fā)生的不合格、不合規(guī)采取控制或糾正措施。

三、ISO 37301對合規(guī)體系建設升級亮點

1、增加管理者責任，強化領導作用

ISO 37301在合規(guī)文化方面增加了最高管理者對合規(guī)行為的促進作用和對不合規(guī)行為的遏制及零容忍態(tài)度。在治理機構和最高管理者中增加了對治理機構實質(zhì)性的責任義務，要求治理機構確保最高管理者達到合規(guī)目標，同時要求對最高管理者進行合規(guī)管理體系運行情況的監(jiān)督。

在我們?yōu)閲筮M行合規(guī)體系建設過程中，非常大的困難就是公司領導對于合規(guī)定位認識不清晰，將合規(guī)認為是公司經(jīng)營的“絆腳石”。決策層一旦將合規(guī)體系建設僅僅當作完成任務，則極易將整個工作推向“不求實效、貪大求全”的書面合規(guī)體系。

2、更加注重合規(guī)文化在企業(yè)管理上的作用

合規(guī)對于企業(yè)的可持續(xù)性發(fā)展非常重要，因此ISO37301標準也將可持續(xù)性作為關注的焦點，特別是關于將合規(guī)融入至企業(yè)文化中。合規(guī)文化建設在整個合規(guī)體系建設中具有舉足輕重的作用，企業(yè)自上而下建設一種普遍意識、道德標準及價值取向，從精神層面確保各項經(jīng)營管理活動始終符合合規(guī)要求。

ISO 37301較之ISO 19600在結(jié)構上，將合規(guī)文化從支持（第7章）調(diào)整到領導作用（第5章）章節(jié)。從對合規(guī)文化的要求及結(jié)構上的調(diào)整不難看出，新版標準強調(diào)了建立合規(guī)文化在合規(guī)管理體系建設中發(fā)揮的重要作用。

3、新增“雇傭”程序內(nèi)容，強調(diào)人是合規(guī)經(jīng)營的關鍵要素

ISO 37301較之ISO 19600，在對合規(guī)管理體系所管控的“人”的范圍從原有法律認可的雇傭“員工”延伸到了與組織存在合同關系的所有“職員”，并增加了對雇傭程序（7.2.2條款）的內(nèi)容。

新增雇傭程序的內(nèi)容涉及：雇傭條件中要求職員須遵守組織的合規(guī)義務、政策、流程和程序；在開始雇用的合理期間內(nèi)向職員發(fā)放或提供獲取合規(guī)方針及合規(guī)方針相關的培訓；對違反組織合規(guī)義務、政策、流程和程序的職員，應采取適當?shù)募o律處分；要求企業(yè)考慮因崗位和人事安排造成的合規(guī)風險；在職員聘用、轉(zhuǎn)崗或晉升之前，需按照要求進行盡職調(diào)查，并要求組織定期對績效目標、績效獎金和其他激勵措施進行審核，以確保有合理的措施防止違規(guī)行為。

4、新增合規(guī)疑慮的匯報機制

暢通合規(guī)疑慮的匯報渠道和建立合理的調(diào)查程序是組織識別和預防合規(guī)風險，改進合規(guī)管理體系行之有效的方法。新版標準在合規(guī)方針中要求組織倡導提出合規(guī)疑慮的行為，并禁止任何形式的報復；同時在溝通條款中增加了員工提出合規(guī)疑慮的溝通流程要求；在意識（7.3條款）中提出了合規(guī)疑慮匯報的方法和程序；最后，在“第8章 運行”中專門增加了對合規(guī)疑慮的匯報（8.3條款）程序，以鼓勵和幫助職員能夠?qū)梢苫驅(qū)嶋H違反合規(guī)方針或合規(guī)義務的不合規(guī)情況進行匯報，同時要求保障該程序的保密性，保護提出合規(guī)疑慮者免遭報復。

5、增加了運行過程中的調(diào)查程序

運行是立足于執(zhí)行層面，ISO 37301對評價、評估、調(diào)查和處理可疑或?qū)嶋H違規(guī)事件的報告輔以相應的調(diào)查程序。調(diào)查程序以公平公正的原則，由無利益沖突且有能力勝任該項工作的人員獨立開展。組織應將調(diào)查結(jié)果用于改進合規(guī)管理體系。實踐中，合規(guī)調(diào)查通常由合規(guī)職能團隊組織執(zhí)行，若涉及跨國、跨領域、跨部門等，調(diào)查過程則應由合規(guī)職能團隊、內(nèi)部審計部門或法律部門的最高級別進行協(xié)調(diào)。

6、其他

ISO 37301合規(guī)目標和策劃的基礎上增加了“策劃變更”的內(nèi)容，將合規(guī)培訓范圍擴大到第三方，績效考核部門的審核結(jié)果上報范圍擴大，增加管理評審的內(nèi)容，增加持續(xù)改進的考慮因素等。這些都在不同方面和角度對ISO 19600進行了補充、完善和升級。

三、標準的應用

作為A類管理體系標準，ISO 37301至少有四種應用方式：

1、作為各類組織自我聲明符合的依據(jù)。各類組織通過實施ISO 37301，建立并運行合規(guī)管理體系，一方面使得組織的行為以及行為結(jié)果合規(guī)，另一方面在需要時還能夠據(jù)此標準追溯組織是否符合了合規(guī)管理體系規(guī)定的內(nèi)容或證實是否達到了合規(guī)要求；

2、作為認證機構開展認證的依據(jù)。ISO 37301規(guī)定了合規(guī)管理體系的要求，并提供了建議做法和指南，認證機構在認證活動中，可以直接應用或者在其認證技術規(guī)范中明確ISO 37301作為組織符合合規(guī)管理體系要求的認證依據(jù)；

3、作為政府機構監(jiān)管的依據(jù)。政府機構可以將ISO 37301確立的合規(guī)管理理念應用于行政監(jiān)管活動，通過對組織的合規(guī)管理體系運行情況評價結(jié)果來匹配相應的監(jiān)管手段和措施，實施精準監(jiān)管；

4、作為司法機關對違規(guī)企業(yè)量刑與監(jiān)管驗收的依據(jù)。可以將ISO 37301確立的合規(guī)管理體系要求作為司法機關對涉及違規(guī)企業(yè)量刑的考量依據(jù)，可以作為落實依法不捕不訴不提出判實刑建議等司法意見、制定合規(guī)指引、督促企業(yè)合規(guī)整改和第三方監(jiān)管驗收的依據(jù)。

我國的企業(yè)合規(guī)始于2018年年底出臺的《中央企業(yè)合規(guī)管理指引（試行）》和《企業(yè)境外經(jīng)營合規(guī)管理指引》。2021年必然成為合規(guī)加冕之年——

a）2021年2月，國資委發(fā)布《國資監(jiān)管責任約談工作規(guī)則》，明確出現(xiàn)合規(guī)問題的企業(yè)將被作為約談對象；

b）2021年3月8日，《最高人民檢察院工作報告（2020年）》也強調(diào)“督促涉案企業(yè)合規(guī)”；

c）2021年3月11日，十三屆全國人大四次會議表決通過的“十四五”規(guī)劃明確要求企業(yè)要加強合規(guī)管理。

配合ISO 37301實施，還將會有ISO 37002《舉報管理體系指南》公布，國際標準化組織已經(jīng)建立起基于合規(guī)的一整套標準體系。合規(guī)風險管理旨在揭示企業(yè)運營中的法律紅線，這些紅線往往也是企業(yè)發(fā)展的生命線和基石。企業(yè)建立合規(guī)管理體系乃大勢所趨，隨著國際通用標準的推行，越來越多的企業(yè)將會把“是否具有健全的合規(guī)體系”作為選擇合作伙伴的重要標準。因此，企業(yè)應當將合規(guī)體系建設作為企業(yè)持續(xù)性發(fā)展的重要事項，確立“正面有規(guī)定、負面有禁止、違規(guī)有懲罰”的合規(guī)管理體系，從而實現(xiàn)合規(guī)創(chuàng)造價值。