合规研究 | ISO 37301认证对企业有什么好处?
日期:2022-03-14
近年来,我国企业因境外经营不符合当地国的合规监管要求被“掐脖子”的事例屡见不鲜,“合规”已成为我国政府工作和企业经营的重要议题。为推动我国企业合规经营,与国际合规要求接轨,
(一)中央政府陆续出台合规相关指引,指导企业开展合规管理。
例如,2018年11月国务院国资委发布的《中央企业合规管理指引(试行)》,2018年12月国家发改委联合七部委发布的《企业境外经营合规管理指引》;
(二)地方政府、中国标准化研究院出台与国际接轨的合规指引、标准。
例如,2021年10月,中国标准化研究院发布《合规管理体系 要求及使用指南(征求意见稿)》,计划将国际标准化组织(International Organization for Standardization, ISO)更新的37301: 2021《合规管理体系 要求及使用指南》本地化;
2021年11月,深圳市司法局发布了《深圳企业合规管理体系认证标准(征求意见稿)》,此认证标准的编制借鉴了国际经验并结合了深圳实际情况,旨在促进深圳企业加快建立合规管理体系;
(三)地方政府采取有力举措推动本地企业依法合规经营。
以深圳市为例,深圳市国资委正会同市监委、市司法局开展合规管理体系建设试点、防范廉洁风险工作,同时配合市检察院建立企业合规第三方监督评估机制,打造刑事合规“深圳模式” [1] 。
在国内外日趋严格的市场监管环境和我国政府推动的背景下,越来越多的企业致力于通过搭建合规管理体系,将合规融入企业经营,以助力企业业务增长,创造竞争优势和行稳致远。
然而,笔者在作为专家顾问参与政府部门主导的企业合规体系建设指引项目,为包括世界500强企业在内的多家上市和拟上市企业提供搭建合规体系、合规案件调查、合规常年法律顾问服务、合规培训与咨询、合规战略与法律支持等各类合规法律服务过程中了解到,虽然企业认识到搭建合规体系的重要性,但在面对国内外层出不穷的合规标准、指引时,因部分企业和高管的合规意识不足、合规人才匮乏、资金不够,往往找不到方向和抓手,不知从何做起,也不知如何搭建出适配企业实际情况并符合国际水准的合规管理体系。
为帮助企业解决这一难题,以ISO为代表的多边组织积极推进合规管理体系认证标准落地,推出ISO 37301:
2021《合规管理体系 要求及使用指南》,拟在全球范围开展企业合规管理体系认证。
ISO 37301采用Plan(计划)-Do(执行)-Check(检查)-Act(改进)(“PDCA”)理念,完整覆盖了合规管理体系建设、运行、维护和改进的全流程,基于合规治理原则,为企业建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。
同时,ISO 37301的国际可认证性,在企业合规治理、传递商业信任、向监管机构证明存在合规管理体系、作为企业向司法机关提供关于违规量刑的正面证据、争取合规不起诉等方面提供了重要支持。
为助力企业开展符合国际标准的合规管理体系建设,笔者将分别对什么是ISO 37301认证、企业获得ISO 37301认证的好处以及企业如何通过搭建有效的合规体系来获得ISO 37301认证等内容进行介绍。
1
ISO 37301认证简介
ISO 37301: 2021全称《合规管理体系 要求及使用指南》,由ISO/TC309技术委员会编制,并由ISO组织在2021年4月发布和实施,适用于全球任何类型、规模、性质和行业的组织。
作为A类管理体系标准,ISO 37301: 2021《合规管理体系 要求及使用指南》标准发布后,替代了ISO 19600: 2014《合规管理体系 指南》(对应的中国标准为GB/T 35770: 2017)。
两项ISO标准均基于相同的原则、以风险导向为基础的方法,并注重整体的合规管理系统,但是,只有ISO 37301具备官方认证资格。
ISO 37301规定了组织建立、运行、维护和改进合规管理体系的要求,并提供了使用指南,为各类组织提高自身的合规管理能力提供系统化方法。
它采用的PDCA理念完整覆盖了合规管理体系建设、运行、维护和改进的全流程,基于合规治理原则,为组织建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。
虽然ISO 19600: 2014《合规管理体系 指南》只是对于企业有指导性(而不是认证)的作用,但如果企业已经按照ISO 19600: 2014《合规管理体系 指南》搭建合规体系,就基本可以符合ISO 37301:
2021《合规管理体系 要求及使用指南》的标准。
ISO 37301的制定对于各类组织的合规管理能力建设、政府监管活动、国际贸易交流、沟通合作改善等具有重要的意义。
它为企业治理者提高组织自身的合规管理能力提供了系统化方法,为监管机构和司法机关采信企业组织的合规管理体系实践提供了参考依据,为便利全球范围内相关方之间的贸易、交流和合作提供了通用规则。
企业获得ISO 37301认证的好处
英国标准协会(British Standards Institution, BSI)将“ISO 37301合规管理体系”形容为一把大伞的伞面,其本质是帮助企业遮风避雨防范风险,降低违规带来的成本和声誉损失。
而真实的风险存在于企业完整生态体的各个方面,例如质量管理(对应ISO 9001标准)、环境管理(对应ISO 14001标准)、健康安全管理(对应ISO 45001标准)、反商业贿赂(对应ISO 37001标准)、信息安全管理(对应ISO 27001标准)、隐私信息管理(对应ISO 27701标准)等,这些都是支撑企业运营的伞骨,伞骨要强韧而牢固,伞面才能应对更大的未来瞬息万变的生态环境,它们构成支撑和融合的关系(如下图所示)。
对于企业而言,获得ISO 37301认证有以下好处:
采用PDCA理念的ISO 37301完整覆盖了合规管理体系建设、运行、维护和改进的全流程,其在合规管理体系设计和运行上,为企业提供了高度的灵活性,能够满足不同规模、类型、性质、行业的企业基于自身合规需求搭建合规管理体系。
同时,如前文所述,ISO 37301与ISO其他组织管理标准之间是支撑和融合的关系,如果企业已建立起反商业贿赂、信息安全管理、质量管理、环境管理等体系并取得相应的ISO认证,则企业以ISO 37301为标准搭建合规管理体系时,可以实现更高效率、更低成本地融贯企业既有的专项管理体系,保持企业合规管理体系的系统性和协调性。
在海内外复杂严苛的合规监管环境背景下,ISO 37301作为企业获得第三方认证的依据,能够展示企业符合国际标准的合规管理能力,较高程度满足商业伙伴的合规管理要求,帮助企业在客户合作、多边合作、政府合作中传递商业信任。
除此之外,获得ISO 37301认证的企业还能在同类型竞标中获得客户青睐。
例如,深圳市政府类招投标对于持有这类认证的会给予加分。
(三)作为企业向监管机构证明存在合规管理体系的依据
获得ISO 37301认证的企业,在应对监管机构的检查时,一方面,能够将基于ISO 37301确立的合规管理理念用于行政监管活动的反馈;
另一方面,能够通过对企业合规管理体系运行情况的评价结果来匹配相应的监管手段与措施,实现精准应对监管。
(四)作为企业向司法机关提供关于违规量刑的正面证据
《2019-2020企业家刑事风险分析报告》显示,在2019年12月1日至2020年11月30日公开的刑事判决案例中,共检索出企业家犯罪案例2635件,企业家犯罪3278次。
在3278次企业家犯罪中,共涉及犯罪企业家3095人。
其中,国有企业家犯罪数为234次,约占企业家犯罪总数的7.14%;
民营企业家犯罪数为3011次,约占企业家犯罪总数的91.85%;
外商及港澳台企业家犯罪数为20次,约占企业家犯罪总数的0.61%。
[2] 企业家犯罪往往同时暴露出企业合规管理问题,牵涉单位犯罪,严重的甚至危及企业存亡。
自2020年3月至今,最高人民检察院(下称“最高检”)持续推动我国的企业合规改革试点工作。
两年时间内,最高检先后开展了两期企业合规改革试点工作,与九部门联合发布了《<关于建立涉案企业合规第三方监督评估机制的指导意见(试行)>实施细则》和《涉案企业合规第三方监督评估机制专业人员选任管理办法(试行)》(2021年11月22日),并先后于2021年6月3日和2021年12月8日,发布两批共10件企业合规典型案例,积极推进企业合规改革试点工作。
对于涉嫌刑事犯罪的企业而言,获得不起诉的处理具有相当的积极作用。
一方面,获得不起诉的处理意味着该企业不必因其违法犯罪行为而被迫终止运营或破产,同时企业雇员也免于遭受失业风险;
更为重要的是,合规不起诉制度为企业运营创造了一定的激励制度,促进企业合规体系的建立与落实,为企业后续的合规经营打下坚实基础。
[3]
ISO 37301认证可以帮助涉嫌刑事犯罪的企业向司法机关展示企业具备良好的合规管理体系,以及持续改进企业合规管理的诚意。
该认证既能作为司法机关对涉嫌刑事犯罪的企业量刑的考量依据,也能作为落实依法不捕不诉不提出判实刑建议等司法意见、制定合规指引、督促企业合规整改和第三方监管验收的正面依据。
(五)有机会纳入ISO国际标准案例库,提升企业国际声誉
取得ISO 37301认证的企业,有机会将本企业合规管理实践案例提交至国际TC309“组织治理技术委员会”秘书处,参选ISO合规管理的典型案例。
如果能被纳入ISO国际标准案例库,对企业而言,将是极好的国际品牌名片,有助于企业提升国际商业声誉,获得国际客户认可,助力业务增长和国际化发展。
[1] 《深圳市国资委2021年法治政府建设年度报告》,2021年12月21日,
http://gzw.sz.gov.cn/ztzl/gzgq ztzl/fzzl/gzdt/content/post_9467053.html
[2] 《2019-2020企业家刑事风险分析报告》发布,
http://www.legaldaily.com.cn/index/content/2021-04/28/content_8494471.htm
[3] 施俊侃:
《合规不起诉制度初探》,2021年6月15日。