2021年4月13日，ISO37301: 2021《合規(guī)管理體系——要求及使用指南》（Compliance management systems — Requirements with guidance for use）國(guó)際標(biāo)準(zhǔn)正式發(fā)布實(shí)施。下面，光曦國(guó)際專家為您詳細(xì)解讀ISO37301:2021《合規(guī)管理體系——要求及使用指南》（以下簡(jiǎn)稱：《指南》）

一、《合規(guī)管理指南》的特色：靈活與多變

合規(guī)所涵蓋的內(nèi)容甚廣，從法律規(guī)范到道德規(guī)范再到對(duì)外承諾。妄圖在短時(shí)間內(nèi)搭建一個(gè)適用于所有合規(guī)義務(wù)、合規(guī)體系并符合《指南》要求的合規(guī)管理體系框架是不現(xiàn)實(shí)的，況且在搭建合規(guī)體系時(shí)最先面對(duì)的幾個(gè)重要問(wèn)題是：

01.要通過(guò)體系認(rèn)證解決什么問(wèn)題？

02.合規(guī)體系與其他既往體系如何進(jìn)行融合？

03.合規(guī)義務(wù)怎樣體現(xiàn)在企業(yè)各個(gè)管理當(dāng)中？

與其他ISO認(rèn)證標(biāo)準(zhǔn)(如質(zhì)量、安全、業(yè)務(wù)連續(xù)性等等)不同，合規(guī)管理指南并沒有明確的主題指向性。因?yàn)楦鱾€(gè)企業(yè)搭建合規(guī)體系的目標(biāo)是各不相同地，有的為了解決反不正當(dāng)競(jìng)爭(zhēng)的問(wèn)題，有的為了解決反壟斷的問(wèn)題、有的為了解決貪腐問(wèn)題、有的為了解決第三方管理的問(wèn)題等等。所以合規(guī)管理具有靈活與多變的特點(diǎn)，極有可能覆蓋到多種合規(guī)義務(wù)及管理職能。

二、什么樣的企業(yè)需要合規(guī)管理體系？

標(biāo)準(zhǔn)答案為：任何企業(yè)。

在《ISO37301》第二章：范圍中提到：本文件適用于所有類型的組織，無(wú)論其類型、規(guī)模和性質(zhì)，以及該組織是否來(lái)自國(guó)有的、私營(yíng)的或非營(yíng)利機(jī)構(gòu)。但是在“所有類型”的組織當(dāng)中，是否有更適用的重點(diǎn)類型呢？

我們提煉了以下四種組織類型，供各位參考：

01 處于強(qiáng)監(jiān)管行業(yè)的企業(yè)

強(qiáng)監(jiān)管行業(yè)的企業(yè)面臨著更大違規(guī)風(fēng)險(xiǎn)的可能性，所以需要盡快加強(qiáng)其體系建設(shè)

02 央企（尤其有境外業(yè)務(wù)的央企）

國(guó)資委已于2018年11月2日印發(fā)了《中央企業(yè)合規(guī)管理指引（試行）》，同年12月，在發(fā)改委等七部門聯(lián)合印發(fā)了《企業(yè)境外經(jīng)營(yíng)合規(guī)管理指引》之后，央企合規(guī)管理被提升至前所未有地重要高度。尤其是已經(jīng)“出?！钡母鞔笱肫?，由于面臨著復(fù)雜的境外環(huán)境，更需要有合規(guī)體系來(lái)進(jìn)行保駕護(hù)航。

03 地方國(guó)企

一些地方國(guó)資委也已經(jīng)把合規(guī)管理落實(shí)到工作日程上，如北京市國(guó)資委，其下屬企業(yè)需要建立合規(guī)體系來(lái)滿足相應(yīng)的監(jiān)管要求。

04 已或正在“吃虧”的企業(yè)

對(duì)于已經(jīng)涉及案件或者被調(diào)查甚至被處罰的企業(yè)，合規(guī)體系的建立更是刻不容緩，因?yàn)橄噍^于動(dòng)輒的巨額罰金，前置的體系建設(shè)成本確實(shí)是微乎其微。

三、ISO37301:2021《合規(guī)管理體系——要求及使用指南》逐章解讀

Introduction簡(jiǎn)介

此章節(jié)對(duì)于《指南》的意義、做法、核心及價(jià)值進(jìn)行了介紹。

首先，《指南》指出合規(guī)體系是對(duì)旨在取得長(zhǎng)期成功的組織所必需的，同時(shí)合規(guī)不僅是基礎(chǔ)，也是一次機(jī)遇。其次，合規(guī)是一個(gè)持續(xù)漸進(jìn)的過(guò)程，是需要長(zhǎng)期投入的工作。而且在進(jìn)行合規(guī)體系建設(shè)時(shí)，需要與組織的其它管理流程、業(yè)務(wù)需求、運(yùn)行機(jī)制相結(jié)合起來(lái)。

對(duì)于合規(guī)價(jià)值觀的塑造，則強(qiáng)調(diào)領(lǐng)導(dǎo)層的以身作則，并且《指南》強(qiáng)調(diào)，如果并非是組織中所有級(jí)別的領(lǐng)導(dǎo)都帶頭實(shí)施，那么就會(huì)面臨違規(guī)的風(fēng)險(xiǎn)。

同時(shí)，對(duì)于合規(guī)體系的價(jià)值，《指南》表示，在一些判決中，法院已經(jīng)考量了組織所承諾的合規(guī)是適用其合規(guī)管理體系的，并由此來(lái)確定組織違反相關(guān)法律后的適當(dāng)處罰。故此，以《ISO37301》作為評(píng)判標(biāo)準(zhǔn)，監(jiān)管和司法機(jī)構(gòu)也可以從中受益。

第1章 Scope 范圍 （見上述：二、什么樣的企業(yè)需要合規(guī)管理體系？）

第2章 Normative references參考標(biāo)準(zhǔn)（無(wú)）

第3章 Terms and definitions專業(yè)術(shù)語(yǔ)和定義

注：從第3章——第10章，我們挑選了重點(diǎn)要素來(lái)進(jìn)行解讀，對(duì)于較基礎(chǔ)的問(wèn)題不做過(guò)多解釋。

3.2 interested party (preferred term) 相關(guān)方

stakeholder (admitted term) 利益相關(guān)方

此處的利益相關(guān)方是合規(guī)中重點(diǎn)關(guān)注的群組，涉及到組織的文化建設(shè)、目標(biāo)設(shè)置、流程嵌入等過(guò)程。體系中描述的利益相關(guān)方指的是能夠影響、被影響，或認(rèn)為自己是受到?jīng)Q策或活動(dòng)影響的人或組織。常見的如：股東、員工、社區(qū)、經(jīng)銷商、投資人等等。

3.3 top management 最高管理者

最高管理者指的是：最高層指揮和控制組織（3.1）的人或群體。例如組織的最高決策人/群體里，他們有權(quán)在組織內(nèi)授權(quán)和提供資源。

需要注意的是，在體系建設(shè)當(dāng)中，當(dāng)確認(rèn)了認(rèn)證的范圍后，最高管理者指的是本認(rèn)證范圍內(nèi)的最高決策人/群，而非原組織的最高決策人/群。

3.7 risk 風(fēng)險(xiǎn)

《指南》中的風(fēng)險(xiǎn)更多指的是合規(guī)領(lǐng)域的風(fēng)險(xiǎn)，即因合規(guī)風(fēng)險(xiǎn)不確定性對(duì)合規(guī)目標(biāo)的影響。

合規(guī)風(fēng)險(xiǎn)與其他風(fēng)險(xiǎn)如何區(qū)分？

有一個(gè)略武斷的判斷方法。首先，我們?cè)O(shè)置一個(gè)風(fēng)險(xiǎn)水平線：0，0以上的風(fēng)險(xiǎn)是企業(yè)的“減？分項(xiàng)”，可以粗略的認(rèn)知，如果0以上的風(fēng)險(xiǎn)發(fā)生，企業(yè)營(yíng)業(yè)額可能減少，規(guī)?？赡軠p小，即在原本程度上的增量變小。我們粗略的把0以上的風(fēng)險(xiǎn)歸類為經(jīng)營(yíng)類風(fēng)險(xiǎn)。

0以下的風(fēng)險(xiǎn)即在原本程度上直接產(chǎn)生損失，即負(fù)向的風(fēng)險(xiǎn)，如罰金、處罰等等。我們粗略的把0以下的風(fēng)險(xiǎn)歸類為合規(guī)類風(fēng)險(xiǎn)。

但是，這只是粗略的分類，因?yàn)楹弦?guī)管理中涉及到內(nèi)部制度的風(fēng)險(xiǎn)，即管理類的風(fēng)險(xiǎn)也是和經(jīng)營(yíng)風(fēng)險(xiǎn)緊密相關(guān)的。

3.13 effectiveness 有效性

有效性是檢驗(yàn)合規(guī)體系是否搭建成功的重要標(biāo)志，是合規(guī)體系實(shí)現(xiàn)程度的體現(xiàn)。一般情況下，如果說(shuō)對(duì)于合規(guī)體系的“基本達(dá)標(biāo)”是認(rèn)證的底線的話，那么達(dá)到可以“免責(zé)、減責(zé)”的程度就是給企業(yè)的合規(guī)體系提出的更高要求。通常，司法部門并不會(huì)以是否拿到ISO認(rèn)證作為免責(zé)依據(jù)，而是要更多剖析系統(tǒng)內(nèi)的運(yùn)營(yíng)有效性的情況。如果在沒有達(dá)到“基本達(dá)標(biāo)”程度就頒發(fā)了認(rèn)證證書，那么對(duì)組織并不會(huì)起到實(shí)質(zhì)性的幫助作用，反而還會(huì)給頒證機(jī)構(gòu)帶來(lái)不良影響。

3.23 compliance function合規(guī)職能

合規(guī)職能指的是，對(duì)合規(guī)操作負(fù)有責(zé)任和權(quán)限的人員或團(tuán)隊(duì)(3.26)。此處多指企業(yè)內(nèi)部的合規(guī)管理部門，但是目前，由于合規(guī)專業(yè)人士的缺乏，很多企業(yè)將合規(guī)部與法律部進(jìn)行合并，成為法律合規(guī)部、或風(fēng)險(xiǎn)合規(guī)部等等，其中有兼職或?qū)Ｂ毜暮弦?guī)人員。這些人員可認(rèn)為具有相應(yīng)的合規(guī)職能。更有些企業(yè)在其他部門設(shè)置合規(guī)聯(lián)絡(luò)員等兼職崗位，也可認(rèn)定為其具有相應(yīng)的合規(guī)管理職能。

但是需要注意的是，在進(jìn)行合規(guī)職能認(rèn)定時(shí)要考慮組織的規(guī)模、性質(zhì)及風(fēng)險(xiǎn)級(jí)別，考慮到相應(yīng)的職能是否可以全部覆蓋到所有的合規(guī)管理工作，如果不能的話，有可能其合規(guī)職能的設(shè)置是欠缺。

3.24 compliance risk合規(guī)風(fēng)險(xiǎn)

合規(guī)風(fēng)險(xiǎn)指的是經(jīng)過(guò)對(duì)于合規(guī)義務(wù)的排查和梳理，得出的當(dāng)前組織需要繼續(xù)解決的問(wèn)題的結(jié)論。需要注意的是，在進(jìn)行合規(guī)義務(wù)到風(fēng)險(xiǎn)排查的過(guò)程中，要關(guān)注違規(guī)發(fā)生的可能性和后果這兩個(gè)關(guān)鍵要素，另外更需要關(guān)注所得出的風(fēng)險(xiǎn)結(jié)論是否合理，以及是否有切實(shí)的計(jì)算模型的依據(jù)。

3.25 compliance obligations合規(guī)義務(wù)

合規(guī)義務(wù)指的是組織(3.1)必須遵守的要求(3.14)以及組織(3.1)自愿遵守的要求(3.14)，ISO37301中沒有再將合規(guī)義務(wù)細(xì)分為合規(guī)要求（必須遵守的要求）以及合規(guī)承諾（自愿遵守的要求），而是按其上位概念：合規(guī)義務(wù)來(lái)進(jìn)行的統(tǒng)一定義。

合規(guī)義務(wù)是搭建合規(guī)體系的基礎(chǔ)，我們可以將合規(guī)義務(wù)的來(lái)源分為三類：法律、規(guī)范、道德與承諾。

3.28 compliance culture合規(guī)文化

合規(guī)文化是整個(gè)合規(guī)體系的核心，是存在于整個(gè)組織內(nèi)部(3.1)并相互作用的價(jià)值觀、倫理、信仰和行為(3.29)，組織的結(jié)構(gòu)和控制系統(tǒng)產(chǎn)生的行為規(guī)范有利于合規(guī)(3.26)。通常合規(guī)文化體現(xiàn)在：領(lǐng)導(dǎo)層的態(tài)度、企業(yè)正向的商業(yè)價(jià)值觀、舉報(bào)渠道等方面。

3.30 third party 第三方

第三方是獨(dú)立于組織外的人或機(jī)構(gòu)，不隸屬于組織本身。所有的業(yè)務(wù)伙伴均涉及第三方，但并非所有第三方都是業(yè)務(wù)伙伴。假如將公司本身設(shè)為為“第一方”，最終用戶為“第二方”，那么獨(dú)立于公司和最終用戶的人或機(jī)構(gòu)都可能屬于“第三方”的概念。在合規(guī)管理中，對(duì)于第三方的管理是合規(guī)體系的延伸、文化縱深的重要標(biāo)志。

第三方重要的標(biāo)志是：獨(dú)立性。

第4章 Context of the organization 組織背景

4.1 Understanding the organization and its context 明白組織及其背景

4.2 Understanding the needs and expectations of interested parties 厘清利益各方的需求和期望

4.3 Determining the scope of the compliance management system 確定合規(guī)管理體系的范圍

4.4 Compliance management system 合規(guī)管理體系

4.5 Compliance obligations 合規(guī)義務(wù)

4.6 Compliance risk assessment 合規(guī)風(fēng)險(xiǎn)評(píng)估

4.1 Understanding the organization and its context 明白組織及其背景

對(duì)于組織背景的考量關(guān)系到能否搭建適合組織的合規(guī)體系的關(guān)鍵一步，組織應(yīng)廣泛考慮問(wèn)題，但不限于：

—業(yè)務(wù)模式，包括組織活動(dòng)和運(yùn)營(yíng)的戰(zhàn)略、性質(zhì)、規(guī)模和復(fù)雜性以及可持續(xù)性；

—與第三方業(yè)務(wù)關(guān)系的性質(zhì)和范圍；

—法律和監(jiān)管背景；

—經(jīng)濟(jì)形勢(shì)；

—社會(huì)、文化和環(huán)境背景；

—內(nèi)部結(jié)構(gòu)、政策、流程、程序和資源，包括技術(shù)；

—組織的合規(guī)文化。

對(duì)于組織背景的考量可以采取層層聚焦的方式：聚焦行業(yè)——聚焦規(guī)?！劢箻I(yè)務(wù)模式——聚焦現(xiàn)狀——聚焦重點(diǎn)領(lǐng)域——聚焦環(huán)節(jié)。

誠(chéng)然，在短期內(nèi)搭建全產(chǎn)業(yè)鏈的合規(guī)管理體系存在著很高的難度，那么如何在最短時(shí)間內(nèi)找到最適合組織的合規(guī)管理方案，就需要通過(guò)層層聚焦的方式，定位組織應(yīng)急需解決的問(wèn)題，之后再由點(diǎn)及面，推而廣之。

4.2 Understanding the needs and expectations of interested parties 厘清利益各方的需求和期望

在定位組織背景之后，還應(yīng)當(dāng)確定：

—與合規(guī)管理體系有關(guān)的利益相關(guān)方；

—利益相關(guān)方的需求；

—其中哪些需求可以通過(guò)合規(guī)管理體系得到解決。

對(duì)于利益相關(guān)方的需求往往是在實(shí)踐工作中容易被忽略，尤其是梳理利益相關(guān)方對(duì)于合規(guī)管理的期待與需求。通常，在搭建合規(guī)體系時(shí)，更注重的是對(duì)于領(lǐng)導(dǎo)層的期待，而對(duì)于其他利益相關(guān)方如：?jiǎn)T工、社區(qū)、大眾群體等的要求很容易被忽視。所以在體系框架搭建后，如果其他利益相關(guān)方與領(lǐng)導(dǎo)層的期待有沖突時(shí)，可能會(huì)引起體系的大面積的重塑工作。所以我們建議在合規(guī)體系建設(shè)的第一期工程中，就要對(duì)各方面的利益相關(guān)方在合規(guī)管理的期待上面進(jìn)行全面的梳理。

4.3 Determining the scope of the compliance management system 確定合規(guī)管理體系的范圍

對(duì)于想取得認(rèn)證的企業(yè)來(lái)說(shuō)，必須明確該認(rèn)證所覆蓋的范圍，比如某部門、某公司、甚至某領(lǐng)域。在確定范圍之后，再有針對(duì)性的啟動(dòng)相應(yīng)的體系建設(shè)工作。

合規(guī)管理體系的范圍旨在明確組織面臨的主要合規(guī)風(fēng)險(xiǎn)，以及合規(guī)管理體系將適用的地域或組織的邊界，或兩者兼而有之，特別是如果組織是一個(gè)更大實(shí)體中的一部分。

那么如何確定范圍呢？

在確定范圍時(shí)，組織應(yīng)考慮：

首先要參考4.1中提到的外部和內(nèi)部問(wèn)題；同時(shí)將4.2,、4.4、 4.5中提到的要求也列入其中，并且將劃定范圍的過(guò)程和文件都應(yīng)當(dāng)作為文檔化文件進(jìn)行存儲(chǔ)。

4.5 Compliance obligations 合規(guī)義務(wù)

合規(guī)義務(wù)是在進(jìn)行認(rèn)證范圍定位后的一項(xiàng)重點(diǎn)工作，簡(jiǎn)而言之，是將組織與其所應(yīng)符合的合規(guī)義務(wù)進(jìn)行全方位匹配的工作。合規(guī)義務(wù)的效果決定著體系的準(zhǔn)確性和有效性，一旦對(duì)于合規(guī)義務(wù)的識(shí)別出現(xiàn)偏差，那么之后的合規(guī)體系建設(shè)存在極大不準(zhǔn)確的可能性，就更談不上有效性了。

所以，對(duì)于合規(guī)義務(wù)的識(shí)別需要有極高的專業(yè)度和經(jīng)驗(yàn)性。

對(duì)于合規(guī)義務(wù)的識(shí)別不是一次性的動(dòng)作，而應(yīng)當(dāng)隨著外部合規(guī)環(huán)境的變化，進(jìn)行的周期性、系統(tǒng)性的工作。

組織應(yīng)系統(tǒng)地識(shí)別由其活動(dòng)，產(chǎn)品和服務(wù)衍生出的合規(guī)義務(wù)，并評(píng)估它們對(duì)組織運(yùn)營(yíng)的影響。

合規(guī)義務(wù)可分為三大類：1：法律類義務(wù) 2：規(guī)范類義務(wù) 3：道德與承諾類義務(wù)。每類義務(wù)又可細(xì)分為：

01 法律類義務(wù)：

法律法規(guī)、許可、執(zhí)照或其他形式的授權(quán)、監(jiān)管機(jī)構(gòu)發(fā)布的命令、條例或指南、法院或行政法庭的裁決書、條約、慣例和協(xié)議。

02 合規(guī)規(guī)范類義務(wù)：

與非政府組織簽訂的承諾或協(xié)議、與主管部門的協(xié)議、與客戶的協(xié)議；企業(yè)自身要求：制度、流程等、企業(yè)自愿行為、其他行業(yè)標(biāo)準(zhǔn)。

03 道德與承諾類義務(wù)：

企業(yè)對(duì)外的商業(yè)道德承諾、對(duì)客戶和利益相關(guān)方的承諾、可持續(xù)發(fā)展要求、企業(yè)對(duì)員工的商業(yè)道德要求。

4.6 Compliance risk assessment 合規(guī)風(fēng)險(xiǎn)評(píng)估

當(dāng)組織識(shí)別了其相應(yīng)的風(fēng)險(xiǎn)義務(wù)后，緊接著就是進(jìn)行合規(guī)風(fēng)險(xiǎn)評(píng)估的工作。任務(wù)，風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)義務(wù)的識(shí)別同等重要，同時(shí)也考察了組織對(duì)于風(fēng)險(xiǎn)提煉能力的專業(yè)度和準(zhǔn)確性。

通常，風(fēng)險(xiǎn)義務(wù)是組織所面臨的全部風(fēng)險(xiǎn)環(huán)境，風(fēng)險(xiǎn)義務(wù)的數(shù)量是眾多的，甚至龐大的，那么如何在龐大的信息庫(kù)中提取緊急而重點(diǎn)的風(fēng)險(xiǎn)，需要經(jīng)過(guò)一系列的模擬和測(cè)算。同時(shí)，要將相應(yīng)的已識(shí)別的風(fēng)險(xiǎn)與組織已有的運(yùn)營(yíng)環(huán)境、運(yùn)營(yíng)流程進(jìn)行匹配，否則就可能形成管理上的“兩張皮”。

在進(jìn)行風(fēng)險(xiǎn)評(píng)估中，不僅要評(píng)估組織本身的風(fēng)險(xiǎn)，對(duì)于外部第三方的合規(guī)風(fēng)險(xiǎn)也要進(jìn)行評(píng)估。因?yàn)殡S著全球市場(chǎng)的趨同，業(yè)內(nèi)已經(jīng)達(dá)成普遍認(rèn)知，即：企業(yè)對(duì)于外部獨(dú)立的第三方同樣承擔(dān)著相應(yīng)的合規(guī)管理和監(jiān)督職責(zé)。

組織應(yīng)根據(jù)合規(guī)義務(wù)來(lái)識(shí)別、分析和評(píng)估其面臨的合規(guī)風(fēng)險(xiǎn)。

—組織應(yīng)依據(jù)合規(guī)義務(wù)來(lái)識(shí)別其活動(dòng)、產(chǎn)品、服務(wù)和相關(guān)運(yùn)營(yíng)方面的合規(guī)風(fēng)險(xiǎn)。

—組織應(yīng)評(píng)估與外包和第三方的相關(guān)的合規(guī)風(fēng)險(xiǎn)。

合規(guī)義務(wù)的識(shí)別一樣，合規(guī)風(fēng)險(xiǎn)也應(yīng)當(dāng)是定期評(píng)估的，甚至頻次應(yīng)當(dāng)高于對(duì)于合規(guī)義務(wù)的識(shí)別，除了定期評(píng)估之外，每當(dāng)環(huán)境或組織背景發(fā)生重大變化時(shí)也要重新進(jìn)行評(píng)估。

一些重大變化的情況通常包含：

01.外部環(huán)境出現(xiàn)重大變化（如沖突或戰(zhàn)爭(zhēng)）

02.公司戰(zhàn)略或組織管理架構(gòu)發(fā)生較大變更

03.公司制度政策與流程發(fā)生較大調(diào)整

04.公司推出新業(yè)務(wù)、產(chǎn)品或服務(wù)模式

05.公司進(jìn)入新的國(guó)別/地區(qū)市場(chǎng)

06.重大外部事件如涉及金融、市場(chǎng)競(jìng)爭(zhēng)、客戶關(guān)系等

07.合規(guī)義務(wù)的重大變化（如政策法規(guī)的重大變更、新出臺(tái)法律法規(guī)、新的海外環(huán)境等）

08.公司及下屬單位已發(fā)生不合規(guī)行為，面臨或已受到處罰

09.同行業(yè)其他公司在項(xiàng)目屬地國(guó)出現(xiàn)了不合規(guī)行為，面臨或已受到處罰

10. ......

當(dāng)以上觸發(fā)點(diǎn)發(fā)生時(shí)，企業(yè)需要第一時(shí)間發(fā)起義務(wù)識(shí)別和風(fēng)險(xiǎn)評(píng)估的工作。以出現(xiàn)重大變化為出發(fā)點(diǎn)的識(shí)別和評(píng)估往往伴有較強(qiáng)的合規(guī)主題，以近期的俄烏沖突為例，其與貿(mào)易管制、經(jīng)濟(jì)制裁等相關(guān)的合規(guī)主題有著密切的聯(lián)系。所以在進(jìn)行義務(wù)識(shí)別和風(fēng)險(xiǎn)評(píng)估時(shí)，可以以核心合規(guī)主題為軸，輔助以其他可能涉及的相關(guān)內(nèi)容。

第5章 Leadership領(lǐng)導(dǎo)力

5.1 Leadership and commitment 領(lǐng)導(dǎo)力和承諾

5.2 Compliance policy 合規(guī)制度

5.3 Roles, responsibilities and authorities 角色、職責(zé)和權(quán)限

5.1 Leadership and commitment 領(lǐng)導(dǎo)力和承諾

5.1.1 Governing body and top management 治理機(jī)構(gòu)和最高管理者

治理機(jī)構(gòu)和最高管理者是合規(guī)體系的帶領(lǐng)人。通常，我們把治理機(jī)構(gòu)和最高管理者認(rèn)定為企業(yè)合規(guī)體系的最高決策機(jī)構(gòu)。在一些組織中僅僅存在最高管理者，而其他一些組織同時(shí)存在治理機(jī)構(gòu)與最高管理者，最高管理者還需要向治理機(jī)構(gòu)進(jìn)行匯報(bào)。在這樣的組織架構(gòu)中，最高管理者起到了對(duì)于治理機(jī)構(gòu)決策的上傳下達(dá)的作用。

治理機(jī)構(gòu)和最高管理者要明確表示對(duì)合規(guī)的態(tài)度，并切實(shí)參與到合規(guī)體系架構(gòu)建設(shè)與決策之中。這同樣也是對(duì)其領(lǐng)導(dǎo)力的承諾。

治理機(jī)構(gòu)和最高管理層應(yīng)通過(guò)以下方式展示其對(duì)合規(guī)管理體系的領(lǐng)導(dǎo)力：

確保制定與組織的戰(zhàn)略方向相兼容的合規(guī)政策和合規(guī)目標(biāo)；

確保將合規(guī)管理體系要求嵌入到組織的業(yè)務(wù)流程中；

確保合規(guī)管理體系所需的資源能夠使用；

就合規(guī)管理有效性的重要性進(jìn)行溝通，并確認(rèn)合規(guī)管理體系的要求；

確保合規(guī)管理體系達(dá)到預(yù)期結(jié)果；

指導(dǎo)和支持員工，為合規(guī)管理體系的有效性做出貢獻(xiàn)；

一些常見的承諾體現(xiàn)在：是否對(duì)于合規(guī)文化有明確的態(tài)度并以身作則、是否親自任命合規(guī)職能人員、是否參與相應(yīng)制度與流程的制定、是否參與到相應(yīng)合規(guī)事件的決策等。

5.1.2 Compliance culture 合規(guī)文化

文化是打造正向合規(guī)體系的核心。我們可以說(shuō)，一切的合規(guī)架構(gòu)建設(shè)都是建立在正向的合規(guī)文化之上。如果文化缺失，那么組織所搭建的體系一定是根基不牢固的。

在進(jìn)行文化建設(shè)中，除了通用的、針對(duì)全員的文化建設(shè)之外，還需要關(guān)注的是對(duì)組織的不同部門、不同人員、不同對(duì)象進(jìn)行的合規(guī)風(fēng)險(xiǎn)程度分類工作，即依據(jù)不同合規(guī)主題所區(qū)分的差異化文化建設(shè)工作，組織應(yīng)針對(duì)組織內(nèi)部的各個(gè)級(jí)別來(lái)制定、維護(hù)和促進(jìn)合規(guī)文化。

5.1.3 Compliance governance 合規(guī)管理

在合規(guī)管理中，特別強(qiáng)調(diào)的是合規(guī)部門的獨(dú)立性原則。治理機(jī)構(gòu)需要直接授權(quán)給合規(guī)職能部門因?yàn)樽尯弦?guī)官向總法律顧問(wèn)或首席財(cái)務(wù)官匯報(bào)存在一定風(fēng)險(xiǎn)。有人將這種匯報(bào)安排比作讓狐貍看管雞舍。我們認(rèn)為應(yīng)盡可能將合規(guī)與法律和財(cái)務(wù)分開，這有助于確保法律審查和財(cái)務(wù)分析的獨(dú)立性和客觀性。因此，大多數(shù)合規(guī)官可以直接向組織的首席執(zhí)行官和/或董事會(huì)匯報(bào)。另外，應(yīng)當(dāng)授予合規(guī)職能直接向治理機(jī)構(gòu)報(bào)告的權(quán)利，定期向治理事機(jī)構(gòu)提交報(bào)告和參加其會(huì)議。

5.3 Roles, responsibilities and authorities 角色、職責(zé)和權(quán)限

5.3.1 Governing body and top management 治理機(jī)構(gòu)和最高管理者

5.3.2 Compliance function 合規(guī)職能部門

5.3.3 Management 管理層

5.3.4 Personnel 員工

讓我們用一張表格來(lái)表示治理機(jī)構(gòu)和最高管理者、合規(guī)職能部門、管理層以及員工在合規(guī)體系建設(shè)中的角色、職責(zé)和權(quán)限。

其中，合規(guī)職能部門的工作要保證相應(yīng)的合規(guī)專業(yè)性，也是合規(guī)體系正常運(yùn)行的關(guān)鍵要素。合規(guī)職能部門應(yīng)負(fù)責(zé)合規(guī)管理體系的運(yùn)行，包括：

—促進(jìn)識(shí)別合規(guī)義務(wù)；

—記錄合規(guī)風(fēng)險(xiǎn)評(píng)估（見4.6）；

—使合規(guī)管理體系與合規(guī)目標(biāo)保持一致；

—監(jiān)測(cè)和衡量合規(guī)績(jī)效；

—分析和評(píng)估合規(guī)管理體系的績(jī)效，以確定任何需要采取的糾正措施；

—建立合規(guī)報(bào)告和文檔編制制度；

—確保按間隔的時(shí)間計(jì)劃審查合規(guī)管理體系（見9.2和9.3）；

—建立提出關(guān)注點(diǎn)并確保關(guān)注問(wèn)題得到解決的制度。

除了日常管理工作外，合規(guī)職能部門還應(yīng)實(shí)行監(jiān)督職能：

—在整個(gè)組織內(nèi)部適當(dāng)分配合規(guī)職能以達(dá)到識(shí)別合規(guī)義務(wù)的責(zé)任；

—合規(guī)義務(wù)被納入組織的政策、審核和流程；

—所有相關(guān)員工均按要求接受培訓(xùn)；

—建立合規(guī)績(jī)效指標(biāo)。

同時(shí)，合規(guī)職能部門還應(yīng)提供：

—在合規(guī)政策、處理和流程方面提供人員支持；

—就相關(guān)合規(guī)事項(xiàng)向組織提出意見。

總之，合規(guī)職能部門是體現(xiàn)組織合規(guī)管理專業(yè)度的重要指標(biāo)，我們推薦由專業(yè)的合規(guī)人士任職；如果較難實(shí)現(xiàn)，那么如法律、審計(jì)、財(cái)務(wù)等部門的人員需要通過(guò)一定的學(xué)習(xí)之后再擔(dān)任與合規(guī)相關(guān)的職位。

第6章 Planning計(jì)劃

6.1 Actions to address risks and opportunities 應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施

6.2 Compliance objectives and planning to achieve them 完成合規(guī)目標(biāo)和計(jì)劃

6.3 Planning of changes 變更計(jì)劃

此處計(jì)劃也可以指規(guī)劃，一般由宏觀和微觀構(gòu)成。宏觀計(jì)劃指的是戰(zhàn)略層面的、合規(guī)體系的計(jì)劃，而微觀層面更強(qiáng)調(diào)可以與日常操作運(yùn)營(yíng)所綁定的具體計(jì)劃。通?？梢栽谕瓿蓪?duì)于合規(guī)義務(wù)的識(shí)別和合規(guī)風(fēng)險(xiǎn)的梳理后，再針對(duì)具體的待解決的風(fēng)險(xiǎn)點(diǎn)進(jìn)行合規(guī)管理的微觀計(jì)劃。

在考察是否完成合規(guī)目標(biāo)和合規(guī)計(jì)劃時(shí)，一般要綁定具體的可衡量的指標(biāo)來(lái)進(jìn)行。待階段性實(shí)施合規(guī)管理工作后，再比對(duì)可衡量指標(biāo)，評(píng)估這些結(jié)果。

第7章 Support支持

第七章對(duì)于搭建合規(guī)管理體系所需要的資源做出的詳細(xì)的闡述。組織應(yīng)確定并提供合規(guī)管理體系的建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)所需的資源。

7.1 Resources 資源

7.2 Competence 能力

7.3 Awareness 合規(guī)意識(shí)

7.4 Communication 溝通

7.5 Documented information 信息文檔化

一般來(lái)說(shuō)，支持可以歸類為人和物兩方面的支持。

首先，雇傭符合組織合規(guī)價(jià)值觀的人員，再對(duì)其進(jìn)行持續(xù)化的合規(guī)價(jià)值觀培養(yǎng)；同時(shí)對(duì)于高風(fēng)險(xiǎn)人群進(jìn)行密切監(jiān)管，必要時(shí)可采取相應(yīng)的懲處措施。

其次，留存對(duì)于相關(guān)人員、制度、過(guò)程管理的痕跡文檔，即，合規(guī)體系管理過(guò)程物化的體現(xiàn)。

需要重點(diǎn)關(guān)注的是，對(duì)于人員的持續(xù)培訓(xùn)是考量合規(guī)管理工作的重點(diǎn)。此處的合規(guī)培訓(xùn)不應(yīng)被機(jī)械的規(guī)定為某一時(shí)期、或某一類人群的培訓(xùn)。而是應(yīng)當(dāng)有完善的培訓(xùn)制度的設(shè)計(jì)，比如對(duì)于培訓(xùn)類型的設(shè)計(jì)、對(duì)于培訓(xùn)受眾群的設(shè)計(jì)以及對(duì)于培訓(xùn)效果的檢驗(yàn)等等。

第8章 Operation運(yùn)營(yíng)

8.1 Operational planning and control 運(yùn)營(yíng)計(jì)劃和管控

8.2 Establishing controls and procedures 建立管控和流程

8.3 Raising concerns 提出疑慮

8.1 Operational planning and control 運(yùn)營(yíng)計(jì)劃和管控

此處的運(yùn)營(yíng)計(jì)劃，指的是第6章計(jì)劃中所提及的微觀計(jì)劃，即在完成對(duì)于合規(guī)義務(wù)的識(shí)別和合規(guī)風(fēng)險(xiǎn)的梳理后，針對(duì)具體的待解決的風(fēng)險(xiǎn)點(diǎn)進(jìn)行合規(guī)管理的微觀計(jì)劃。通?？梢砸葬槍?duì)某一項(xiàng)風(fēng)險(xiǎn)點(diǎn)所制定的制度和流程成來(lái)體現(xiàn)。

合規(guī)制度是合規(guī)體系的重要體現(xiàn)。如今，對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)，或多或少都已形成了自己的內(nèi)部制度。因此，在進(jìn)行合規(guī)制度搭建時(shí)，我們要做的并不是從零開始去設(shè)計(jì)相應(yīng)的制度，而是要先對(duì)已有的、可能涉及到的合規(guī)管理制度的相應(yīng)內(nèi)容進(jìn)行整理與合并?？茨男┲贫仁强梢岳^承的、哪些是需要修訂的、之后再看哪些是需要增加或減少的。

在進(jìn)行合規(guī)體系的制度建設(shè)中，需要特別注意的是各制度文檔不是孤立的，要保證制度間的關(guān)聯(lián)性與邏輯性，不能出現(xiàn)制度間的沖突、更不能出現(xiàn)制度內(nèi)容過(guò)于抽象而無(wú)法落地的情況。而且在傳達(dá)制度時(shí)，要考慮到接收人對(duì)于語(yǔ)言文字的理解程度，甚至可以翻譯成更易于理解的當(dāng)?shù)卣Z(yǔ)言。

8.2 Establishing controls and procedures 建立管控和流程

管控流程是對(duì)于制度落地化的重要體現(xiàn)。

當(dāng)前，我們遺憾地看到，很多“制度健全”的公司往往忽略對(duì)于制度執(zhí)行，即如何落地的管控。欠缺了對(duì)于運(yùn)營(yíng)中過(guò)程的設(shè)計(jì)，導(dǎo)致很多合規(guī)制度在頒布后無(wú)法被執(zhí)行，甚至出現(xiàn)了“兩張皮”的情況。

通常，我們判斷一家公司的合規(guī)體系是否有效，不但要關(guān)注其制度制定得是否合格，也要關(guān)注其制度能否通過(guò)流程落地，更會(huì)關(guān)注在執(zhí)行即落地過(guò)程中的操作痕跡以及痕跡前的關(guān)聯(lián)性和邏輯性。專業(yè)的合規(guī)人員應(yīng)當(dāng)在第一時(shí)間判斷出該組織是否存在流程缺失或執(zhí)行不到位的情況。

8.3 Raising concerns 提出疑惑

能否暢通、無(wú)顧忌的提出對(duì)于組織中存在的疑似違規(guī)問(wèn)題的疑慮，是判斷合規(guī)體系有效與否的重要指標(biāo)。

在建設(shè)疑慮舉報(bào)通道中，最重要的就是對(duì)于“反報(bào)復(fù)原則”的制定與宣傳，要在各個(gè)渠道、隨時(shí)宣傳對(duì)于員工舉報(bào)后所適用的反報(bào)復(fù)原則。

當(dāng)前，在各大企業(yè)，尤其是國(guó)央企中，舉報(bào)工作多是由紀(jì)檢紀(jì)委負(fù)責(zé)，這與合規(guī)體系中的舉報(bào)有一定的重合，但是也有不同之處。紀(jì)檢紀(jì)委更多關(guān)注的是個(gè)人違紀(jì)行為，聚焦于對(duì)黨紀(jì)的違反，而合規(guī)舉報(bào)除了上述違紀(jì)問(wèn)題外，更多關(guān)注的是其他違規(guī)問(wèn)題以及組織內(nèi)部的管理流程問(wèn)題。也就是說(shuō)，從覆蓋的廣度來(lái)看，合規(guī)管理中的疑慮舉報(bào)是廣于紀(jì)檢紀(jì)委所負(fù)責(zé)的舉報(bào)范圍。

8.4 Investigation processes 調(diào)查過(guò)程

接到舉報(bào)后的調(diào)查過(guò)程，是合規(guī)工作中非常專業(yè)的部分，也是非常敏感的部分。調(diào)查員不但要通過(guò)自身的專業(yè)去進(jìn)行內(nèi)部案件的調(diào)查，同時(shí)也要注意不得違反相關(guān)法律的要求，不能“違法調(diào)查。

這就需要在設(shè)置調(diào)查制度時(shí)嚴(yán)格遵守相應(yīng)的法律法規(guī)，以及流程規(guī)范。組織應(yīng)制定、建立、實(shí)施和維護(hù)流程，以評(píng)估、調(diào)查和關(guān)閉可疑的或?qū)嶋H的違規(guī)報(bào)告，確保在這些過(guò)程中做出公平和公正的決策。

第9章 Performance evaluation 績(jī)效評(píng)估

9.1 Monitoring, measurement, analysis and evaluation 監(jiān)測(cè)、衡量、分析和評(píng)估

9.2 Internal audit 內(nèi)部審計(jì)

9.3 Management review 管理層審核

對(duì)于績(jī)效的評(píng)估也可以分兩部分來(lái)看，一部分是組織整體的績(jī)效是否達(dá)到要求，另一部分是部門、個(gè)人的績(jī)效是否達(dá)到要求。

對(duì)于績(jī)效的設(shè)定，一個(gè)重要的標(biāo)準(zhǔn)是是否可以衡量，即是否有可以被量化的指標(biāo)。比如，當(dāng)我們制定培訓(xùn)指標(biāo)時(shí)，除了對(duì)于培訓(xùn)的次數(shù)、頻率、覆蓋率等指標(biāo)進(jìn)行設(shè)定，更要對(duì)培訓(xùn)的效果預(yù)期進(jìn)行設(shè)定。比如可以通過(guò)測(cè)試或培訓(xùn)后的相關(guān)問(wèn)題咨詢率去總結(jié)每次培訓(xùn)的效果。

第10章 Improvement 改進(jìn)

10.1 Continual improvement 持續(xù)改進(jìn)

10.2 Nonconformity and corrective action 不符合合規(guī)要求和糾正措施

四、常見問(wèn)題

1.幾個(gè)易混的名詞：

（1）合規(guī)環(huán)境、合規(guī)要求、合規(guī)義務(wù)、合規(guī)風(fēng)險(xiǎn)

合規(guī)環(huán)境

指組織所處的外部環(huán)境和內(nèi)部環(huán)境，前者是有哪些涉及到合規(guī)的內(nèi)容就屬于合規(guī)外部環(huán)境，后者指的是組織對(duì)于合規(guī)管理的狀態(tài)和能力。

合規(guī)義務(wù)

指組織從內(nèi)外部風(fēng)險(xiǎn)環(huán)境中梳理出的與合規(guī)有關(guān)的潛在風(fēng)險(xiǎn)，組織應(yīng)符合所有涉及合規(guī)方面的內(nèi)容。

合規(guī)要求

合規(guī)要求是從合規(guī)義務(wù)細(xì)分出來(lái)的概念，與合規(guī)承諾互為一對(duì)概念。合規(guī)要求是指必須要遵守的、硬性的規(guī)定；合規(guī)承諾是組織可選擇遵守的義務(wù)。

合規(guī)風(fēng)險(xiǎn)

當(dāng)組織梳理完合規(guī)義務(wù)之后，依照相關(guān)判斷邏輯，從全部合規(guī)義務(wù)中挑選出最緊急的需要進(jìn)行管控的內(nèi)容，將其嵌入到組織PDCA的流程中進(jìn)行管理。需要提到的是，無(wú)論合規(guī)義務(wù)抑或合規(guī)風(fēng)險(xiǎn)，都是一個(gè)持續(xù)性更新的過(guò)程，需要時(shí)時(shí)根據(jù)內(nèi)外部情況的變化進(jìn)行更新和更替。

（2）人員與員工

ISO19600中使用的是員工一詞，ISO37301中將員工更改為人員一詞。

人員相對(duì)于員工所覆蓋的范圍更廣。不僅僅指的是與企業(yè)簽約的合同工，也包括第三方派遣、勞務(wù)等雖然沒有與企業(yè)有直接的合同關(guān)系，但也是為企業(yè)進(jìn)行工作和服務(wù)的人員。此類人員在ISO37301的界定下也同樣應(yīng)當(dāng)遵守組織相應(yīng)的合規(guī)義務(wù)和合規(guī)管理要求。

（3）第三方與利益相關(guān)方

第三方與利益相關(guān)方的最大區(qū)別是其獨(dú)立性。即，脫離組織后是否能夠獨(dú)立存在，比如員工、股東等，雖然屬于利益相關(guān)方，但是其脫離了組織本身就不復(fù)存在了，所以并不是獨(dú)立的第三方。

2.ISO37301合規(guī)體系與ISO37001反賄賂體系等如何區(qū)別？ISO37301合規(guī)體系與其他體系如何配合？企業(yè)搭建合規(guī)體系需要從0開始么？

ISO37301更像一個(gè)框架類的體系，打個(gè)不恰當(dāng)?shù)谋扔鳎愃品芍械摹读⒎ǚā?，而諸如37001等有明確主題的更類似與各個(gè)部門法。所以ISO37301可以高屋建瓴地、提綱挈領(lǐng)地指導(dǎo)其他ISO體系進(jìn)行建設(shè)。

在體系建設(shè)中，尤其是在已經(jīng)獲取其他ISO標(biāo)準(zhǔn)的組織中，可以分步整合與ISO37301的對(duì)接，而不必從零開始進(jìn)行建設(shè)。ISO文件中有一些通用條款，比如：范圍、術(shù)語(yǔ)和定義、組織環(huán)境、領(lǐng)導(dǎo)力、策劃等，可以在以前的基礎(chǔ)上增加相應(yīng)的ISO37301的內(nèi)容。對(duì)于組織中已經(jīng)較成熟的流程，比如財(cái)務(wù)、市場(chǎng)、信息化等也可以在其中增設(shè)與ISO37301相關(guān)的流程節(jié)點(diǎn)，而不必重新搭建一套合規(guī)流程，從而過(guò)多增加內(nèi)耗。

3.如果說(shuō)ISO37301是框架建設(shè)，那么如果已經(jīng)取得了其他主題的ISO認(rèn)證，可以說(shuō)符合ISO37301的標(biāo)準(zhǔn)并拿到認(rèn)證嗎？

很多企業(yè)在進(jìn)行ISO37301認(rèn)證時(shí)會(huì)加上后綴如：ISO37301反不正當(dāng)競(jìng)爭(zhēng)、ISO37301反壟斷等等。因?yàn)楹弦?guī)涵蓋的內(nèi)容太廣泛了，所以通過(guò)證書加以界定。這樣的方法可以通過(guò)短期小范圍取得認(rèn)證，但是我們更推薦標(biāo)準(zhǔn)做法，即在ISO37301項(xiàng)下建設(shè)完整的合規(guī)體系，之后通過(guò)體系的運(yùn)行找到相應(yīng)重要節(jié)點(diǎn)，如果該節(jié)點(diǎn)已經(jīng)取得相應(yīng)的認(rèn)證，那么便不必再重復(fù)工作了，但是如果發(fā)現(xiàn)有缺失的部分，則需要補(bǔ)充完整。

4.取得ISO37301的認(rèn)證需要多長(zhǎng)時(shí)間？

這要依據(jù)組織本身的情況而定，如果組織已經(jīng)有較成熟的合規(guī)管理體系，那么需要進(jìn)行的只是進(jìn)行認(rèn)證和部分改進(jìn)的工作，可能時(shí)間較短。但是如果組織需要從頭建立合規(guī)體系，那么可能需要較長(zhǎng)的時(shí)間，比如6個(gè)月以上。