ISO 37301合规管理体系要求及使用指南

ISO 37301合规管理体系要求及使用指南

近年来，全球贸易关系愈加复杂，全球产业链进入深度调整与重构时期。在国家层面，各国建立了严格的合规监管制度，监管机构加强了立法深度和执法力度，引导和督促企业实施更加主动的合规经营。在国际层面，联合国、经济合作与发展组织和世界银行等国际性组织相继制定全球契约、指南和指引等，对合规管理核心问题形成国际公示，在相关贸易活动中对不合规行为实施联合惩戒。合规已经成为各类组织成功经营和可持续发展的基础。

2018年，社会各界对合规经营管理日益重视，国资委组织五家试点企业，包括中国中铁股份有限公司、中国石油天然气集团有限公司、中国移动通信集团有限公司、招商局集团有限公司和中国东方电气集团有限公司。在总结五家试点企业经验的基础上，2018年末，中国政府连续发布了两套加强企业合规管理体系建设的指引性文件，包括《中央企业合规指引（试行）》和《企业境外经营合规管理指引》，旨在推动企业持续提升经营合法合规管理水平和管理意识，加强法治建设，提高中国企业的国际竞争能力。同年，国家标准化管理委员会发布了《合规管理体系指南》官方标准。因此，很多业界人士将2018年称为中国企业的“合规元年”。2021年12月3日，国务院国资委召开中央企业“合规管理强化年”工作部署会，强调合规对于企业的重要性。2022年，为深入贯彻习法治思想，落实全面依法治国战略部署，深化央企法治建设，有力保障深化改革与高质量发展，国资委发布《中央企业合规管理办法》（以下简称“办法”），将于2022年10月1日起正式实施。该办法要求中央企业结合实际制定完善合规管理制度，推动所属单位建立健全合规管理体系。如今各行各业在国内外竞争激烈、贸易交易合规要求立法严格、各方监管复杂的背景下，任何一次不合规行为都会使企业蒙受信誉的损失，乃至经营利润的巨大损失。因此，企业需更多地了解合规管理的要求、运行模式，建立合规管理体系，是企业防范经营风险，做好底线工作的重要行动。为帮助企业解决这一难题，以ISO为代表的多边组织积极推进合规管理体系认证标准落地，推出ISO37301：2021《合规管理体系 要求及使用指南》，拟在全球范围开展企业合规管理体系认证。ISO37301采用Plan（计划）-Do（实施）-Check（检查）-Act（改进）（“PDCA”）理念，完整覆盖了合规管理体系建立、运行、保持和改进的全流程，基于合规治理原则，为企业建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。同时，ISO37301的国际可认证性，在企业合规治理、传递商业信任、向监管机构证明存在合规管理体系、作为企业向司法机关提供关于违规量刑的正面证据、争取合规不起诉等方面提供了重要支持。为助力企业开展符合国际标zhun的合规管理体系建设，本文将对ISO 37301认证、企业获得ISO37301认证的好处以及企业如何通过搭建有效的合规体系来获得ISO 37301认证等方面展开介绍。

ISO 37301认证简介

ISO 37301: 2021全称《合规管理体系要求及使用指南》，是由ISO/TC309技术委员会编制，由ISO组织在2021年4月发布和实施，适用于全球任何类型、规模、性质和行业的组织。作为A类管理体系标准，ISO37301：2021《合规管理体系 要求及使用指南》标准发布后，替代了ISO 19600: 2014《合规管理体系指南》（对应的中国标准为GB/T 35770: 2017）。两项 ISO标准均基于相同的架构、以风险导向为基础的方法，并注重整体的合规管理系统，但是，只有 ISO 37301可以用作第三方认证的准则。ISO37301规定了组织建立、运行、保持和改进合规管理体系的要求，并提供了使用指南，为各类组织提高自身的合规管理能力提供系统化方法。它采用的PDCA理念完整覆盖了合规管理体系建立、运行、保持和改进的全流程，基于合规治理原则，为组织建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。

ISO 37301在ISO19600的基础上进行了修订，增加了一些要求（如针对雇佣的具体要求、针对合规举报和调查的要求等）。如果企业已经按照ISO19600：2014《合规管理体系 指南》搭建合规体系，还需要进一步对照ISO 37301：2021《合规管理体系要求及使用指南》的要求进一步完善合规体系，方可满足认证要求。

ISO37301的制定对于各类组织的合规管理能力建设、政府监管活动、国际贸易交流、沟通合作改善等具有重要的意义。其为企业治理者提高组织自身的合规管理能力提供系统化方法，为监管机构和司法机关采信企业组织的合规管理体系实践提供参考依据，为便利全球范围内相关方之间的贸易、交流和合作提供通用规则。

企业获得ISO 37301认证的好处

英国标准协会（British Standards Institution, BSI）将“ISO37301合规管理体系”形容为一把大伞的伞面，其本质是帮助企业遮风避雨防范风险，降低违规带来的成本和声誉损失。而真实的风险是存在于企业完整生态体的各个方面，例如质量管理（对应ISO9001标准）、环境管理（对应ISO 14001标准）、健康安全管理（对应ISO 45001标准）、反商业贿赂（对应ISO37001标准）、信息安全管理（对应ISO/IEC 27001标准）、隐私信息管理（对应ISO/IEC27701标准）等，这些都是支撑企业运营的伞骨，伞骨要强韧而牢固，伞面才能应对更大的未来瞬息万变的生态环境，它们构成支撑和融合的关系。

对于企业而言，获得ISO 37301认证有以下好处：

作为企业和相关高管设计和运行合规管理的工具

采用PDCA理念的ISO37301完整覆盖了合规管理体系建设、运行、维护和改进的全流程，其在合规管理体系设计和运行上，为企业提供了高度的灵活性，能够满足不同规模、类型、性质、行业的企业基于自身合规需求搭建合规管理体系。同时，如前文所述，ISO37301与ISO其他组织管理标准之间是支撑和融合的关系，如果企业已建立起反商业贿赂、信息安全管理、质量管理、环境管理等体系并取得相应的ISO认证，则企业以ISO37301为标准搭建合规管理体系时，可以实现更高效率、更低成本地融贯企业既有的专项管理体系，保持企业合规管理体系的系统性和协调性。

传递商业信任

在海内外复杂严苛的合规监管环境背景下，ISO37301作为企业获得第三方认证的依据，能够展示企业符合国际标zhun的合规管理能力，较高程度满足商业伙伴的合规管理要求，帮助企业在客户合作、多边合作、政府合作中传递商业信任。

作为企业向监管机构证明存在合规管理体系

获得ISO 37301认证的企业，在应对监管机构的检查时，一方面，能够将基于ISO37301确立的合规管理理念用于行政监管活动的反馈；另一方面，能够通过对企业合规管理体系运行情况的评价结果来匹配相应的监管手段与措施，实现精准应对监管。

合规体系搭建的方法论

企业合规经营的关键支柱在于合规体系之搭建。要使合规管理形成企业经营的“防火墙”，保护企业免受因合规风险所带来的严重影响或重大损失，企业应当根据其行业特点和经营管理模式搭建针对性的合规体系。而一个行之有效的合规体系搭建，离不开合理的制度和程序、高层参与、风险评估、尽职调查、培训和沟通、监督和审核六大组成部分，这六大组成部分也是ISO37301合规管理体系基本要素的要求。具体而言：

合理的制度和程序

企业应制定合理的制度和程序，其作为企业合规体系的核心，是企业所有员工履行职责的基本要求。主要分为以下四方面：

（1）企业行为准则，这是企业经营管理和文化建设的纲领性文件，包括企业愿景、使命、核心价值观、合规方针、社会责任等方面；

（2）企业合规管理制度，这是企业合规部门进行合规管理的程序性规章制度，包括合规组织制度、合规风险管理流程、合规审查流程、违规举报、调查与处置流程、合规报告程序等方面；

（3）职能部门管理规章，企业不同的职能部门涉及到不同的合规规范的执行与遵守，例如，管理、财务、人事行政、法务、内控等部门均有相对应的合规规范；

（4）业务合规流程，企业各业务领域涉及不同的合规规范，例如传统的业务合规流程、网络安全合规流程、产品合规流程、跨境电商领域合规等，具备较强的专业性，往往需要企业合规部门与业务部门合作制定和修改相关的业务合规流程。

高层参与

企业合规运作应有高层的参与，形成较为成熟的合规组织体系。高层参与能够使企业形成上下连贯的合规组织结构，如公司自上而下设立合规委员会、分支机构和职能部门中的合规部门，合规部门直接向公司合规委员会和首席合规官汇报。这样能够确保企业管理层及时识别合规风险并采取应对措施。

风险评估

定期或不定期地对企业活动中存在的合规风险进行识别与评估。例如，在投融资或收购项目中，企业需要对该项目进行合规风险评估，评估结果作为决策参考，降低企业风险。

尽职调查

合规部门针对已存在的合规风险进行调查和研究，形成合规风险报告，并研究制定和实施降低风险的措施。

培训与沟通

企业需要定期组织培训和沟通，一方面能够确保员工了解Zui新的法律法规、监管规定、企业内部规章制度等方面内容；另一方面也能够保证企业高层管理者与其它层级员工维持一种稳定的沟通，使企业高层管理者的合规理念与态度能够顺畅传达至企业各层级员工，形成合规文化。

监督与审核

企业应建立合规监控体系，包括监督与审核。监督是指企业的高层管理者或员工在进行业务活动时，都应在其职责范围内进行可持续的管理与监督，检查每一项业务活动是否存在违规行为。审核是企业对合规管理体系运行情况的评审，企业通过审核及时发现问题并加以整改，有助于持续提升合规管理能力，确保企业的合规体系在全球各地得到了良好的贯彻执行。