2022/04/02
2021年4月13日,企业合规领域国际层面的重磅标准——ISO 37301:2021《合规管理体系要求及使用指南》(Compliance management systems — Requirements with guidance for use)正式发布实施。
从2018年11月启动合规新标准的制定工作以来,历时3年多,五个阶段,ISO 37301终于问世,它将取代ISO 19600:2014《合规管理体系指南》,这也标志着合规标准的性质由管理体系B型标准变成A型标准,从推荐性标准正式变成可认证性标准。
一、制定背景和意义
近年来,全球贸易关系愈加复杂,全球产业链进入深度调整与重构时期。在国家层面,各国建立了严格的合规监管制度,监管机构加强了立法深度和执法力度,引导和督促企业实施更加主动的合规经营。在国际层面,联合国、经济合作与发展组织、世界银行集团、非洲开发银行集团、亚洲太平洋经济合作组织、国际商会等国际性组织相继制定全球性契约、指南和指引等,对合规管理核心问题形成国际共识,在相关贸易活动中对不合规行为实施联合惩戒。合规已经成为各类组织成功和可持续发展的基础。
为了满足全球化合规的快速发展和迫切需求,提升各类组织合规管理能力,促进国际贸易、交流与合作,ISO于2018年11月启动了ISO 37301的制定工作,基于最新的合规管理实践,修订并代替ISO 19600:2014《合规管理体系 指南》。
ISO 37301的制定对于各类组织的合规管理能力建设、政府监管活动、国际贸易交流、沟通合作改善等具有重要的意义:
1、为各类组织提高自身的合规管理能力提供系统化方法,它采用PDCA理念完整覆盖了合规管理体系建设、运行、维护和改进的全流程,基于合规治理原则为组织建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。
2、为监管机构和司法机构采信组织的合规整改计划、合规管理体系实践提供参考依据,监管机构和司法机构在对组织违反相关法律的行为作出处罚时,可以将组织的合规管理体系运行情况作为衡量处罚力度的一个考量因素。
3、为便利全球范围内相关方之间的贸易、交流与合作提供了通用规则,各类组织可以通过声明符合ISO 37301或者获得依据ISO 37301所进行的认证,在相关方之间传递信任,进而为贸易、交流与合作提供便利。
二、标准主要内容
ISO 37301 标准的最重要优势就是它的整体方法跨越所有行业、企业和部门;包含实践相关性、以及适用于所有机构。ISO 37301 标准遵循连续提升模型,即:开发-实施-评价-保持(这就是所谓的“PDCA 循环”——计划、执行、核查、行动——由质量管理开始)。合规管理体系通用要素的框架如下图所示。
ISO 37301将建立、制定、实施、维护、评估和改进作为合规管理体系的六大行动。合规管理体系的建设遵循PDCA循环逻辑,以持续改进原则为基础,在领导力和合规文化的内核驱动下,结合组织的合规目标、原则及内外部环境,建立合规管理体系,制定符合组织文化和目标的相关流程并在组织内有效地运行实施,并通过定期、不定期地维护和评估,纠正和改进合规管理体系的漏洞。
1、组织环境
组织所处的环境构成了组织赖以生存的基础。这些环境既涉及法律法规、监管要求、行业准则、良好实践、道德标准,又涉及组织自行制定或公开声明遵守的各类规则。因此,建立合规管理体系首先要对组织所处的环境予以识别和分析。
ISO 37301从以下方面规定了识别和分析组织环境的要求:
a)确定影响组织合规管理体系预期结果能力的内部和外部因素;
b)确定并理解相关方及其需求;
c)识别与组织的产品、服务或活动有关的合规义务、评估合规风险;
d)确定反映组织价值、战略的合规管理体系及其边界和适用范围。
2、领导作用
领导是合规管理的根本,对于整个组织树立合规意识、建立高效的合规管理体系具有至关重要的作用。
ISO 37301对组织的治理机构、最高管理者等如何发挥领导作用作出了规定:
a)治理机构和最高管理者要展现对合规管理体系的领导作用和积极承诺;
b)遵守合规治理原则;
c)培育、制定并在组织各个层面宣传合规文化;
d)制定合规方针;
e)确定治理机构和最高管理者、合规团队、管理层及员工相应的职责和权限。
3、策划
策划是预测潜在的情形和后果,对于确保合规管理体系能实现预期效果,防范并减少不希望的影响,实现持续改进具有重要作用。
ISO 37301从以下方面规定了策划合规管理体系的要求:
a)在各部门和层级上建立适宜的合规目标,策划实现合规目标需建立的过程;
b)综合考虑组织内外部环境问题、合规义务和合规目标,策划应对风险和机会的措施,并将这些措施纳入合规管理体系;
c)有计划地对合规管理体系进行修改。
4、支持
支持是合规管理的重要保障,对于合规管理体系在各个层面得到认可并保障合规行为实施具有重要的支持作用。
ISO 37301从以下方面规定了支持措施:
a)确定并提供所需的资源,例如财务资源、工作环境与基础设施等;
b)招聘能胜任且能遵守合规要求的员工,对违反合规要求的员工采取纪律处分等管理措施;
c)提供培训,提升员工合规意识;
d)开展内部和外部沟通与宣传;
e)创建、控制和维护文件化信息。
5、运行
运行是立足于执行层面,策划、实施和控制满足合规义务和战略层面规划的措施相关的流程,以确保组织运行合规管理体系。
ISO 37301从以下方面对运行作出了规定:
a)实施为满足合规义务、实施合规目标所需的过程以及所需采取的措施;
b)建立并实施过程的准则、控制措施,定期检查和测试这些控制措施,并保留记录;
c)建立举报程序,鼓励员工善意报告疑似和已发生的不合规;
d)建立调查程序,对可疑和已发生的违反合规义务的情况进行评估、调查和了结。
6、绩效评价
绩效评价是对合规管理体系建立并运行后的绩效、体系有效性评价,对于查找可能存在的问题、后续改进合规管理体系等具有重要意义。
ISO 37301对如何开展合规管理体系绩效评价作出了规定:
a)监视、测量、分析和评价合规管理体系的绩效和有效性;
b)有计划地开展内部审核;
c)定期开展管理评审。
7、改进
改进是对合规管理体系运行中发生不合格/不合规情况做出反应、评价是否需要采取措施,消除不合格/不合规的根本原因,以避免再次发生或在其他地方发生,并持续改进,以确保合规管理体系的动态持续有效。
ISO 37301从以下方面对改进作出了规定:
a)持续改进合规管理体系的适用性、充分性和有效性;
b)对发生的不合格、不合规采取控制或纠正措施。
三、ISO 37301对合规体系建设升级亮点
1、增加管理者责任,强化领导作用
ISO 37301在合规文化方面增加了最高管理者对合规行为的促进作用和对不合规行为的遏制及零容忍态度。在治理机构和最高管理者中增加了对治理机构实质性的责任义务,要求治理机构确保最高管理者达到合规目标,同时要求对最高管理者进行合规管理体系运行情况的监督。
在我们为国企进行合规体系建设过程中,非常大的困难就是公司领导对于合规定位认识不清晰,将合规认为是公司经营的“绊脚石”。决策层一旦将合规体系建设仅仅当作完成任务,则极易将整个工作推向“不求实效、贪大求全”的书面合规体系。
2、更加注重合规文化在企业管理上的作用
合规对于企业的可持续性发展非常重要,因此ISO37301标准也将可持续性作为关注的焦点,特别是关于将合规融入至企业文化中。合规文化建设在整个合规体系建设中具有举足轻重的作用,企业自上而下建设一种普遍意识、道德标准及价值取向,从精神层面确保各项经营管理活动始终符合合规要求。
ISO 37301较之ISO 19600在结构上,将合规文化从支持(第7章)调整到领导作用(第5章)章节。从对合规文化的要求及结构上的调整不难看出,新版标准强调了建立合规文化在合规管理体系建设中发挥的重要作用。
3、新增“雇佣”程序内容,强调人是合规经营的关键要素
ISO 37301较之ISO 19600,在对合规管理体系所管控的“人”的范围从原有法律认可的雇佣“员工”延伸到了与组织存在合同关系的所有“职员”,并增加了对雇佣程序(7.2.2条款)的内容。
新增雇佣程序的内容涉及:雇佣条件中要求职员须遵守组织的合规义务、政策、流程和程序;在开始雇用的合理期间内向职员发放或提供获取合规方针及合规方针相关的培训;对违反组织合规义务、政策、流程和程序的职员,应采取适当的纪律处分;要求企业考虑因岗位和人事安排造成的合规风险;在职员聘用、转岗或晋升之前,需按照要求进行尽职调查,并要求组织定期对绩效目标、绩效奖金和其他激励措施进行审核,以确保有合理的措施防止违规行为。
4、新增合规疑虑的汇报机制
畅通合规疑虑的汇报渠道和建立合理的调查程序是组织识别和预防合规风险,改进合规管理体系行之有效的方法。新版标准在合规方针中要求组织倡导提出合规疑虑的行为,并禁止任何形式的报复;同时在沟通条款中增加了员工提出合规疑虑的沟通流程要求;在意识(7.3条款)中提出了合规疑虑汇报的方法和程序;最后,在“第8章 运行”中专门增加了对合规疑虑的汇报(8.3条款)程序,以鼓励和帮助职员能够对可疑或实际违反合规方针或合规义务的不合规情况进行汇报,同时要求保障该程序的保密性,保护提出合规疑虑者免遭报复。
5、增加了运行过程中的调查程序
运行是立足于执行层面,ISO 37301对评价、评估、调查和处理可疑或实际违规事件的报告辅以相应的调查程序。调查程序以公平公正的原则,由无利益冲突且有能力胜任该项工作的人员独立开展。组织应将调查结果用于改进合规管理体系。实践中,合规调查通常由合规职能团队组织执行,若涉及跨国、跨领域、跨部门等,调查过程则应由合规职能团队、内部审计部门或法律部门的最高级别进行协调。
6、其他
ISO 37301合规目标和策划的基础上增加了“策划变更”的内容,将合规培训范围扩大到第三方,绩效考核部门的审核结果上报范围扩大,增加管理评审的内容,增加持续改进的考虑因素等。这些都在不同方面和角度对ISO 19600进行了补充、完善和升级。
三、标准的应用
作为A类管理体系标准,ISO 37301至少有四种应用方式:
1、作为各类组织自我声明符合的依据。各类组织通过实施ISO 37301,建立并运行合规管理体系,一方面使得组织的行为以及行为结果合规,另一方面在需要时还能够据此标准追溯组织是否符合了合规管理体系规定的内容或证实是否达到了合规要求;
2、作为认证机构开展认证的依据。ISO 37301规定了合规管理体系的要求,并提供了建议做法和指南,认证机构在认证活动中,可以直接应用或者在其认证技术规范中明确ISO 37301作为组织符合合规管理体系要求的认证依据;
3、作为政府机构监管的依据。政府机构可以将ISO 37301确立的合规管理理念应用于行政监管活动,通过对组织的合规管理体系运行情况评价结果来匹配相应的监管手段和措施,实施精准监管;
4、作为司法机关对违规企业量刑与监管验收的依据。可以将ISO 37301确立的合规管理体系要求作为司法机关对涉及违规企业量刑的考量依据,可以作为落实依法不捕不诉不提出判实刑建议等司法意见、制定合规指引、督促企业合规整改和第三方监管验收的依据。
我国的企业合规始于2018年年底出台的《中央企业合规管理指引(试行)》和《企业境外经营合规管理指引》。2021年必然成为合规加冕之年——
a)2021年2月,国资委发布《国资监管责任约谈工作规则》,明确出现合规问题的企业将被作为约谈对象;
b)2021年3月8日,《最高人民检察院工作报告(2020年)》也强调“督促涉案企业合规”;
c)2021年3月11日,十三届全国人大四次会议表决通过的“十四五”规划明确要求企业要加强合规管理。
配合ISO 37301实施,还将会有ISO 37002《举报管理体系指南》公布,国际标准化组织已经建立起基于合规的一整套标准体系。合规风险管理旨在揭示企业运营中的法律红线,这些红线往往也是企业发展的生命线和基石。企业建立合规管理体系乃大势所趋,随着国际通用标准的推行,越来越多的企业将会把“是否具有健全的合规体系”作为选择合作伙伴的重要标准。因此,企业应当将合规体系建设作为企业持续性发展的重要事项,确立“正面有规定、负面有禁止、违规有惩罚”的合规管理体系,从而实现合规创造价值。