近日，筆者成功助力某國企搭建合規(guī)管理體系并輔導其獲得英國標準協(xié)會(BSI)頒發(fā)的ISO37301及GB35770合規(guī)雙認證。目前，強化合規(guī)管理正成為越來越多的企業(yè)的共識，搭建合規(guī)管理體系并申請認證也是大勢所趨。為幫助更多企業(yè)獲得ISO37301合規(guī)認證，特撰寫此稿，供已搭建或正在搭建合規(guī)管理體系的企業(yè)參考。

一、什么是ISO37301認證

2021年4月13日，國際標準化組織發(fā)布ISO37301:2021《合規(guī)管理體系 要求及使用指南》(Compliance management systems – Requirements with guidance for use)(簡稱“ISO37301”)，修訂并替代了該組織于2014年發(fā)布的《合規(guī)管理體系–指南》。修訂后的ISO37301為可認證標準，一經(jīng)發(fā)布，立即引起了全球市場的關(guān)注，不少中國企業(yè)紛紛加入到申請ISO37301合規(guī)認證的大軍當中。

2022年1月14日，美的集團股份有限公司(簡稱“美的”)獲得了BSI頒發(fā)的ISO37301認證證書，據(jù)悉，這是國內(nèi)首張ISO37301合規(guī)認證證書 [1]。

2022年4月20日，廣東省國資委印發(fā)《省屬企業(yè)“合規(guī)管理強化年”行動方案》，該方案第11條明確規(guī)定：“省國資委按照‘分類推進，推動試點’的工作方式，指導監(jiān)督省屬企業(yè)對標ISO37301國際標準，高標準、嚴要求地開展“合規(guī)管理強化年”各項工作，做到成熟一個冠標一個，力爭通過三年努力，全部省屬企業(yè)通過ISO37301冠標認證。”

2022年10月12日，國內(nèi)標準GB/T 35770-2022《合規(guī)管理體系要求及使用指南》(以下簡稱“GB35770”)正式實施，該標準等同采用ISO37301.全部代替標準GB/T 35770-2017《合規(guī)管理體系指南》。

此后，申請ISO37301及GB35770合規(guī)雙認證成為不少已搭建合規(guī)管理體系的企業(yè)的目標。鑒于GB35770等同采用ISO37301.且被發(fā)證機關(guān)審核通過ISO37301認證的企業(yè)，會同時獲得GB35770認證，因此，本文所稱ISO37301認證即為涵蓋GB35770的合規(guī)雙認證。

二、為什么需要申請ISO37301合規(guī)認證

企業(yè)取得ISO37301認證，對董事會和員工來說是證明運營風險管理的合格證，對監(jiān)管部門和投資方來說是企業(yè)的信用證，對客戶和國際供應(yīng)鏈來說是通行證。一般認為，申請ISO37301合規(guī)認證，可獲得如下好處：

1. 為企業(yè)提高自身合規(guī)管理能力提供系統(tǒng)化方法

ISO37301完整涵蓋了合規(guī)管理體系建設(shè)、運行、維護和改進的全流程，并基于合規(guī)治理原則為組織建立并運行合規(guī)管理體系、傳播積極的合規(guī)文化提供了整套解決方案。不僅可以降低企業(yè)的運營成本，提高企業(yè)聲譽，還可以在很大程度上增強企業(yè)內(nèi)部的合規(guī)意識與信心。

2. 證明企業(yè)的合規(guī)管理能力

實踐中，有大量的國企對所屬企業(yè)進行合規(guī)考核時，將考核結(jié)果與針對所屬企業(yè)主要負責人的綜合考核相掛鉤，因此，合規(guī)管理情況可能關(guān)系到企業(yè)及企業(yè)主要負責人的考核結(jié)果。對此，完成合規(guī)認證能夠輔助企業(yè)證明其合規(guī)管理情況。而通過申請合規(guī)認證能夠從第三方認證的角度證明企業(yè)的合規(guī)管理體系有效運行，也可證明企業(yè)的合規(guī)管理能力。

3. 為監(jiān)管機構(gòu)和司法機關(guān)采信組織的合規(guī)整改計劃、合規(guī)管理體系實踐提供參考依據(jù)

監(jiān)管機構(gòu)和司法機關(guān)在對組織違反法律的行為作出處罰時，可以將組織的合規(guī)管理體系運行情況作為衡量處罰力度的一個正面考量因素。尤其是在涉嫌犯罪的案件中，企業(yè)獲得合規(guī)認證可能成為司法機關(guān)對企業(yè)量刑時的重要考量依據(jù)，有助于企業(yè)爭取合規(guī)不起訴等有利結(jié)果。

不僅如此，在國際上，中國企業(yè)在實施“走出去”戰(zhàn)略時往往面臨嚴厲的腐敗、欺詐等合規(guī)管理要求。而根據(jù)世界銀行集團的制裁程序，如果企業(yè)能夠在規(guī)定時間內(nèi)達成改進措施、建立全面的合規(guī)體系、實施合規(guī)計劃等條件，則有可能被免予制裁或者解除制裁。而合規(guī)認證恰恰可以滿足有此類需求的企業(yè)的需要。

4. 為便利全球范圍內(nèi)相關(guān)方之間的貿(mào)易、交流與合作提供了通用規(guī)則

取得合規(guī)認證不僅可以提升企業(yè)知名度、補強商業(yè)合作伙伴對企業(yè)產(chǎn)品品質(zhì)的良好印象，權(quán)威的第三方認證也是眾多買家采購產(chǎn)品的參考因素之一，是企業(yè)產(chǎn)品進入國際市場的通行證。企業(yè)如果取得第三方認證的合規(guī)認證，有助于企業(yè)證明自身及供應(yīng)鏈的合規(guī)治理能力以及整改能力，從而賦能境內(nèi)外市場拓展。

三、申請ISO37301合規(guī)認證時的注意事項

1. 符合國資委的要求并不代表符合ISO37301認證標準

目前，不少央企國企已嚴格按照國資委的《中央企業(yè)合規(guī)管理指引》或《中央企業(yè)合規(guī)管理辦法》的要求，搭建自身的合規(guī)管理體系。但是，需要注意的是，符合國資委的要求，并不代表必然符合ISO37301認證標準。ISO37301的體系框架包括七大方面：

組織環(huán)境

領(lǐng)導

策劃

支持

運行

績效評估

改進

而《中央企業(yè)合規(guī)管理指引》從合規(guī)管理職責、合規(guī)管理重點、合規(guī)管理運行、合規(guī)管理保障四個維度，《中央企業(yè)合規(guī)管理辦法》從組織和職責、制度建設(shè)、運行機制、合規(guī)文化、信息化建設(shè)及監(jiān)督問責六個維度對央企開展合規(guī)管理工作提出具體要求，兩者雖基本涵蓋ISO37301對合規(guī)管理體系的基本要求，但與ISO37301的體系框架并不完全吻合，主要差異將在下文中進行說明。

央企國企等在符合國資委的要求后，如需申請ISO37301認證的，還需按照ISO37301的體系框架梳理自身的合規(guī)管理體系，完善國資委未要求或暫未嚴格要求，但ISO37301極其重視的要素，包括但不限于持續(xù)改進、理解相關(guān)方的需求和期待、實施風險管控后的合規(guī)風險再評估等。

2. ISO37301的基本管理模式

如下圖所示，ISO37301以公認有效的國際標準化組織推行的PDCA循環(huán)，即Plan(計劃)、Do(執(zhí)行)、Check(檢查)和 Act(改進)為基礎(chǔ)，要求合規(guī)管理體系應(yīng)當為不斷進行計劃、執(zhí)行、評估和改進的循環(huán)推進的管理模式。

目前，國內(nèi)已搭建合規(guī)管理體系的企業(yè)大多處于剛剛完成Plan(計劃)到Do(執(zhí)行)的階段，尚未進入或因不重視或無相關(guān)經(jīng)驗而未嚴格實施Check(檢查)和Act(改進)的階段。

根據(jù)我們的經(jīng)驗，現(xiàn)價段的ISO37301合規(guī)認證過程中，認證機構(gòu)對Check(檢查)和 Act(改進)階段的要求并不是很嚴格，僅需要制定符合企業(yè)實際，且可實際執(zhí)行的Check(檢查)相關(guān)制度即可。我們理解，隨著時間的推移以及ISO37301合規(guī)認證工作的推進，認證機構(gòu)今后很有可能將對企業(yè)Act(改進)階段的合規(guī)管理提出更高的要求。

3. 理解ISO37301的邏輯及定義

ISO37301為全球通行的、可適用于所有類型和任何規(guī)模的組織的合規(guī)管理體系。該體系為西方專業(yè)人士依據(jù)其邏輯和慣常思維所起草，且為了滿足該體系的普遍適用性，導致該體系的內(nèi)在邏輯及外在表現(xiàn)與中國人的思維習慣并不一致，這是很多從事合規(guī)管理工作的合規(guī)官學習ISO37301時的鮮明感受，也是導致很多合規(guī)官難以深刻理解ISO37301的主要原因。

GB35770在等同采用ISO37301時，在其附錄中特意增加了4頁“補充使用指南”，針對中國國情對ISO37301中的一些術(shù)語作出了中國化的解釋，建議擬申請ISO37301的企業(yè)參考該“補充使用指南”，從而更好地理解ISO37301的邏輯及其定義。

4. 組織及其環(huán)境

ISO37301第4.1條規(guī)定，組織應(yīng)確定與其宗旨相關(guān)的、并影響其實現(xiàn)合規(guī)管理體系預期結(jié)果的能力的內(nèi)部和外部事項，為此，組織應(yīng)結(jié)合諸多事項,包括但不限于業(yè)務(wù)模式、與第三方業(yè)務(wù)關(guān)系的性質(zhì)和范圍、法律和監(jiān)管環(huán)境、經(jīng)濟狀況、社會/文化/環(huán)境背景、內(nèi)部結(jié)構(gòu)、方針、過程、程序和資源，以及自身的合規(guī)文化。

從該規(guī)定可以看出，ISO37301要求企業(yè)搭建合規(guī)管理體系時，需要綜合考慮紛繁復雜的各種內(nèi)在及外在的要素。相對而言，按照國資委的要求搭建合規(guī)管理體系的央企國企，主要關(guān)注自身的業(yè)務(wù)模式及法律合監(jiān)管環(huán)境，而對于與第三方業(yè)務(wù)關(guān)系的性質(zhì)和范圍，并未給予充分的理解，也較少考慮通過合規(guī)管理體系解決相關(guān)方的需求和期待。

5. 合規(guī)風險評估

ISO37301第4.6條規(guī)定，組織應(yīng)基于合規(guī)風險評估,識別、分析和評價其合規(guī)風險。在合規(guī)管理體系搭建工作中，識別合規(guī)義務(wù)，評估合規(guī)風險為最基礎(chǔ)的工作。《中央企業(yè)合規(guī)管理辦法》第13條和第20條等也有明確的相關(guān)規(guī)定。此外，國資委也多次提出，要求央企制作包括合規(guī)風險識別清單在內(nèi)的三張清單。實踐中，不少央企國企已根據(jù)國資委要求，制定合規(guī)風險識別清單，內(nèi)容包括合規(guī)風險識別、評估及管控措施等。我們注意到，不少央企國企制定的清單，缺乏實施管控措施后的合規(guī)風險評估，而此點卻為ISO37301認證時的重要審核內(nèi)容，因此，建議相關(guān)企業(yè)予以完善。

6. 合規(guī)方針

ISO37301第5.2條規(guī)定，治理機構(gòu)和最高管理者應(yīng)確立合規(guī)方針,該方針

適合于組織的宗旨

為設(shè)定合規(guī)目標提供框架

包括滿足適用需求的承諾

包括持續(xù)改進合規(guī)管理體系的承諾

同時，合規(guī)方針應(yīng)符合眾多的要求，包括應(yīng)與組織的價值觀、目標和戰(zhàn)略保持一致等。

實踐中，大多數(shù)央企國企均已制定其合規(guī)方針，但不少企業(yè)在制定其合規(guī)方針時，存在抄襲或重度參考其他企業(yè)的內(nèi)容，并未結(jié)合企業(yè)自己的價值觀、目標和戰(zhàn)略，或者在接受ISO認證機構(gòu)審核時，難以準確描述或通過書面資料體現(xiàn)其合規(guī)方針與其價值觀、目標、發(fā)展規(guī)劃和戰(zhàn)略等的關(guān)系。

7. 人員聘用條件

ISO37301第7.2.2規(guī)定，組織應(yīng)要求人員遵守組織的合規(guī)義務(wù)、方針、過程和程序,作為人員的聘用條件。

實踐中，大多數(shù)企業(yè)關(guān)注員工入職后的合規(guī)培訓，但不太重視員工招聘過程中的合規(guī)管理及合規(guī)要求，建議企業(yè)強化人力資源合規(guī)管理流程和內(nèi)容，明確面試、入職及入職后簽署合規(guī)相關(guān)文件等的合規(guī)管理環(huán)節(jié)。

四、申請ISO37301合規(guī)認證的步驟及所需時間

ISO37301認證機構(gòu)在對企業(yè)進行合規(guī)認證時，一般按照以下兩個階段進行審核：

第一階段審核的目的是評價企業(yè)的合規(guī)管理體系策劃的情況并確定第二階段的準備內(nèi)容。

第二階段的目的是評價客戶管理體系的實施情況，包括有效性、持續(xù)性等。

第一階段及第二階段的審核均為現(xiàn)場審核，企業(yè)需要按照認證機構(gòu)的要求，除提供相關(guān)的合規(guī)管理制度，回答相關(guān)問題外，還需要安排認證機構(gòu)認為合適的人員接受訪談。認證機構(gòu)一般基于風險的審核方法，根據(jù)審核準則要求，尋找正面符合性客觀證據(jù)，關(guān)注被審核過程的符合性、有效性、效率和韌性四個緯度，提出正、反兩個方面的審核意見，幫助企業(yè)持續(xù)改善管理體系績效。

經(jīng)過前述審核，認證機構(gòu)認為符合認證條件的，將向企業(yè)頒發(fā)ISO37301認證證書。該證書3年有效，為了確保企業(yè)能夠始終符合標準，認證機構(gòu)將進行年度監(jiān)督審核，每個自然年度一次。

審核所需時間取決于認證范圍內(nèi)的場所數(shù)量、合規(guī)領(lǐng)域數(shù)量以及企業(yè)的人員數(shù)量等。一般情況下，100人左右規(guī)模的企業(yè)，從審核確認、實施審核到核發(fā)證書，通常需要2-3個月的時間。

結(jié)語

唯有合法合規(guī)，才能行穩(wěn)致遠。在全面依法治國的大背景下，堅持依法治企，強化合規(guī)管理，是建設(shè)法治央企的重要內(nèi)容，也是企業(yè)高質(zhì)量可持續(xù)發(fā)展的必然選擇。而在央企全面強化合規(guī)管理的大背景下，一些地方國企和民營企業(yè)也不甘落后，紛紛加入到加強合規(guī)管理的隊伍中。作為一項具有國際標準的認證體系，ISO37301合規(guī)認證無疑為有此需求的廣大企業(yè)提供了一個可以系統(tǒng)、有效地建立自身合規(guī)管理體系并足以據(jù)此彰顯企業(yè)的合規(guī)管理能力和水平，同時為企業(yè)在提高經(jīng)營效率、降低經(jīng)營風險、維護自身權(quán)益以及開拓境內(nèi)外市場等方面持續(xù)賦能的優(yōu)良選擇。

我們也將秉持“成功，始于助人成功”的價值理念，利用我們長期以來在協(xié)助客戶建立合規(guī)管理體系并取得ISO37301認證方面所積累的經(jīng)驗，助力企業(yè)在建立或完善自身合規(guī)管理體系方面不斷取得成功。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202311/ccaa_56106.html