2021年4月13日(北京时间),ISO 37301:2021《合规管理体系要求及使用指南》(Compliancemanagement systems — Requirements with guidance foruse)正式发布实施。此标准的公布,将对每一个想要发展的中国企业都产生重要影响。
制定背景和意义
近年来,全球贸易环境愈加复杂,全球产业链进入深度调整与重构时期。在国家层面,各国监管机构相应加强了立法深度和执法力度,制定了严格的合规监管机制,引导和督促企业实施更加主动的合规经营。
在国际层面,联合国、经济合作与发展组织、世界银行集团、非洲开发银行集团、亚洲太平洋经济合作组织、国际商会等国际性组织相继制定全球性契约、指南、指引等,对合规管理核心问题形成国际共识,在相关贸易活动中对相关组织的不合规行为实施联合惩戒。合规已经成为各类组织成功和可持续发展的基础。
为了满足全球化合规的快速发展和迫切需求,提升各类组织合规管理能力,促进国际贸易、交流与合作,ISO于2018年11月启动了ISO37301的制定工作,基于Zui新的合规管理实践,修订并代替ISO 19600:2014《合规管理体系指南》。
ISO 37301的制定对于各类组织的合规管理能力建设、政府监管活动、国际贸易交流、沟通合作改善等具有重要的意义。
一是为各类组织提高自身的合规管理能力提供系统化方法,它采用PDCA理念完整覆盖了合规管理体系建设、运行、维护和改进的全流程,基于合规治理原则为组织建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。
二是为监管机构和司法机构采信组织的合规管理整改计划(方案)、合规管理体系实践提供参考依据,监管机构和司法机构在确定对组织违反相关法律的行为施以适当的处罚时,可以将组织的合规管理体系运行情况作为衡量处罚力度的一个考量因素。
三是为便利全球范围内相关方之间的贸易、交流与合作提供了通用规则,各类组织可以通过自我内部审核声明符合ISO37301或者获得依据ISO 37301所进行的第二方、第三方认证,在相关方之间传递信任,进而为贸易、交流与合作提供便利。
标准主要内容与专家对企建议
ISO37301规定了组织建立、运行、维护和改进合规管理体系的要求,并提供了使用指南,适用于全球任何类型、规模、性质和行业的组织。合规管理体系通用要素的框架如下图所示。
(一)组织环境
组织所处的环境构成了组织赖以生存的基础,这些环境可能是外部的、也可能是内部的,存在需要组织遵守的法律法规、监管要求、行业准则、良好实践、道德标准,也可能包括组织自愿选择或公开声明遵守的各类规则。建立合规管理体系要对组织所处的环境予以认知和分析。ISO37301从以下方面规定了认知和分析组织环境的要求:一是确定影响组织合规管理体系预期结果能力的内部和外部因素;二是确定并理解相关方及其需求;三是识别与组织的产品、服务或活动有关的合规义务、评估合规风险;四是确定反映组织价值、战略的合规管理体系及其边界和适用范围。
(二)领导作用
领导作用是合规管理的根本,对于整个组织树立合规意识、建立高效的合规管理体系具有至关重要的作用。ISO37301对组织的治理机构、Zui高管理者等如何发挥领导作用作出了规定:一是治理机构和Zui高管理者展现对合规管理体系的领导和积极承诺;二是遵守合规治理原则;三是培育并在组织各个层面宣传合规文化;四是制定合规方针;五是确定治理机构和Zui高管理者、合规团队、管理层及员工相应的职责和权限。
(三)策划
策划是预测潜在的情形和后果,在战略层面的策划,对确保合规管理体系能实现预期效果,防范并减少不希望的影响,实现持续改进具有重要作用。ISO37301从以下方面规定了策划合规管理体系的要求:一是在各部门和层级建立适宜的合规目标,策划实现合规目标需确定的要件;二是综合考虑组织内外环境问题、需要遵循的合规义务和合规目标,策划应对风险和机会的措施,以及如何整合到合规管理体系、如何评价这些措施的有效性;三是有计划地对合规管理体系进行持续改进。
(四)支持
支持是合规管理的重要保障,对于合规管理体系在各个层面得到认可并保障合规行为实施具有重要的支持作用。ISO37301从以下方面规定了支持措施:一是确定并提供所需的资源,例如财务资源、工作环境与基础设施等;二是招聘能胜任且能遵守合规要求的员工,对违反合规要求的员工实施问责等措施;三是提供培训,提升员工合规意识;四是开展内部和外部沟通与宣传;五是创建、控制和维护文件化信息。
(五)运行
运行是立足于执行层面,策划、实施和控制满足合规义务和战略层面规划的措施相关的流程,以确保组织运行合规管理体系。ISO37301从以下方面对运行作出了规定:一是实施为满足合规义务、实施合规目标所需的过程以及所需采取的措施;二是建立并实施过程的准则、控制措施,定期检查和测试这些控制措施,并保留记录;三是建立举报程序,鼓励员工善意报告疑似和已发生的不合规;四是建立调查程序,对可疑和已发生的违反合规义务的情况进行评估、调查和了解。
(六)绩效评价
绩效评价是对合规管理体系建立并运行后的绩效、体系有效性评价,对于查找可能存在的问题、后续改进合规管理体系等具有重要意义。ISO37301对如何开展合规管理体系绩效评价作出了规定:一是监视、测量、分析和评价合规管理体系的绩效和有效性;二是保持合规记录准确、Zui新、可查;三是有计划地开展内部审核;四是定期开展管理评审。
(七)改进
改进是对合规管理体系运行中发生不合格/不合规情况做出反应、评价是否需要采取措施,消除不合格/不合规的根本原因,以避免发生或在其他地方发生,并持续改进,以确保合规管理体系的动态持续有效。ISO37301从以下方面对改进作出了规定:一是持续改进合规管理体系的适用性、充分性和有效性;二是对发生的不合格、不合规采取控制或纠正措施。
标准的应用
作为A类管理体系标准,ISO 37301主要有四种应用方式。
一是作为各类组织自我声明符合的依据。各类组织通过实施ISO37301,建立并运行合规管理体系,一方面使得组织的行为以及行为结果合规,另一方面在需要时还能够据此标准追溯组织是否符合了合规管理体系规定的内容,或证实是否达到了合规要求。
二是作为认证机构开展认证的依据,ISO37301规定了合规管理体系的要求,并提供了建议做法和指南,认证机构在认证活动中,可以直接应用或者在其认证技术规范中明确ISO37301作为组织符合合规管理体系要求的认证依据。
三是作为政府机构监管的依据。政府机构可以将ISO37301确立的合规管理体系内容应用于行政监管活动,通过对组织的合规管理体系运行情况评价结果来匹配相应的监管手段和措施,实施精准监管。
四是司法机关对违规企业量刑与监管验收的依据。可以将ISO37301确立的合规管理体系要求作为司法机关对涉及违规企业量刑的考量依据,可以作为落实依法不捕不诉不提出判实刑建议等司法意见、制定合规指引、督促企业合规整改和第三方监管验收的依据。