以认证促建设——企业合规管理体系深化建设的正向选择
前言
自2018年中国开启“合规元年”以来,越来越多的中国企业在政府推动下或出于合规风险防控的自我驱动下开始了合规管理体系建设之路。国内外层出不穷的企业或企业人员违规受罚事件让企业所有者、负责人和管理者深刻意识到“赚钱有方、守土有责”的重要性。但合规管理体系建设的本质是企业的“内修”工作,只要不出事,合规建设就是企业的“自歌自舞”,没有观众,没有掌声,时间长了,企业合规建设容易出现疲软倦怠,三道防线松弛,合规风险无法真正得到持续有效的防范。在此情况下,外部刺激显得尤其重要。一种刺激是外部检查,例如政府监管部门的执法检查、国资委对央国企的合规督查、党内巡视巡察、纪检监察部门的执纪监督和违法监察等,此类检查或监督对于企业而言更多的是威慑性负向刺激,企业不得不接受;而另一种刺激则是外部认可,例如第三方独立机构对企业合规管理体系的贯标认证,这对企业而言无疑是一种鼓励性的正向刺激,对企业合规管 理体系的持续优化建设能够产生良好的拉动作用。然而,因合规管理体系的贯标认证是近几年来国内外新出现的一种认证,很多企业对此尚不了解或了解不够全面,因此本文将从国内外合规管理体系认证标准、合规贯标认证对企业的重要意义、合规管理体系贯标认证步骤以及企业在贯标认证过程中容易出现的痛点难点问题等多方面对合规管理体系贯标认证进行介绍。
一、企业合规管理体系贯标认证标准介绍
目前合规管理体系贯标认证标准包括ISO 37301:2021《合规管理体系 要求及使用指南》(以下简称“ISO37301”)和GB/T 35770-2022《合规管理体系 要求及使用指南》(以下简称“GB/T35770”)两种。
ISO37301由ISO国际标准化组织机构治理技术委员会(ISO/TC 309)负责开发的标准,于 2021 年发布,是关于合规管理体系的国际标准,全称为《合规管理体系 要求及使用指南》(Compliance management systems — Requirements with guidance for use)。ISO 37301标准采用“Plan(计划)、Do(执行)、Check(检查)和Act(改进)”的PDCA循环理念,明确了企业建立、运行、维护和改进合规管理体系的规则、要求和指引,为企业建立并运行合规管理体系、提高合规管理能力提供系统化方法和解决方案,以有效应对全球化背景下日益增长的合规要求和挑战。ISO 37301标准涵盖了组织建立合规管理体系所需的各项要求,并提供了实施指南。它包括但不限于以下方面:
(1) 组织环境:识别和分析影响组织合规管理体系的内外部因素,包括法律法规、监管要求、行业准则、道德标准等。
(2) 领导作用:强调治理机构和最高管理者在合规管理中的领导作用,包括展现承诺、遵守合规治理原则、培育合规文化、制定合规方针等。
(3) 策划:涉及建立合规目标、识别合规义务、评估合规风险,并策划应对风险和机会的措施,以及对合规管理体系进行修改的计划。
(4) 支持:确保提供必要的资源、招聘合适的人员、提供培训、沟通和宣传,以及创建和维护文件化信息等支持措施。
(5) 运行:实施满足合规义务和战略层面规划的过程和措施,包括建立过程准则、控制措施、举报程序和调查程序等。
(6) 绩效评价:监视、测量、分析和评价合规管理体系的绩效和有效性,包括内部审核和管理评审等活动。
(7) 改进:持续改进合规管理体系的适用性、充分性和有效性,并对发生的不合格或不合规情况采取控制或纠正措施。
(图1:ISO 37301:2021《合规管理体系 要求及使用指南》)
GB/T35770由中国标准化研究院等多家单位共同起草并中国国家标准化管理委员会于2022年批准发布的中国国家标准,其全称为《合规管理体系 要求及使用指南》。该标准等同采用了ISO 37301:2021的技术内容。但是GB/T 35770在采用ISO 37301的基础上,增加了附录,提供了针对中国特定环境下的合规义务、合规文化、数字化与合规管理及管理体系一体化融合的补充说明和指导。此外,GB/T 35770在结构和编辑性改动上也进行了适应性调整。
(图2:GB/T 35770-2022《合规管理体系 要求及使用指南》)
基于ISO 37301与GB/T 35770的对等性和相似性,第三方认证机构在对企业合规管理体系进行贯标认证时,通常会同时进行ISO 37301与GB/T 35770标准的双认证。这种做法的原因和优势如下:
(1)标准的对等性:
ISO 37301是国际标准化组织(ISO)发布的国际标准,而GB/T 35770是中国国家标准化管理委员会批准发布的国家标准。GB/T 35770等同采用了ISO 37301的技术内容,这意味着两者在技术要求上具有高度一致性。这种对等性使得企业可以一次性满足国际和国内的合规管理标准。
(2)市场准入优势:
通过获得ISO 37301和GB/T 35770的双认证,企业不仅可以在国内市场中展示其合规管理的能力,还可以在国际市场上获得更广泛的认可。这对于希望拓展国际业务的企业尤其重要,因为它有助于跨越不同国家和地区的合规壁垒。
(3)风险险管理与控制:
双认证有助于企业更全面地识别和管理合规风险。ISO 37301提供了一套全面的合规管理框架,而GB/T 35770则结合了中国的法律和监管环境。通过双认证,企业能够确保其合规管理体系既符合国际最佳实践,又适应中国特有的法规要求。
(4)简化认证流程:
对于企业而言,同时进行ISO 37301和GB/T 35770的认证可以简化流程,减少重复工作,节省时间和资源。第三方认证机构可以一次性完成两项标准的审核,这对于企业来说是一个效率和成本上的优化。
二、合规管理体系贯标认证对企业的重要意义
通过ISO 37301和GB/T 35770合规管理体系贯标认证对企业而言具有如下重要意义:
(1)为企业和相关高管提供合规管理的工具,营造风清气正的企业内部环境,并进而提升企业经营管理能力。合规管理体系为企业提供了一系列合规管理工具,包括风险评估方法、监控机制、培训程序、沟通渠道等。这些工具帮助企业识别和管理合规风险,提高合规管理的效率和效果。同时,合规管理体系贯标认证表明企业合规管理体系的完备性和有效性。完备且有效的合规管理体系有明确的架构、体系和措施,使合规管理融入企业管理,从而为企业和相关高管提供合规管理的工具,推动内部制度的实施和执行,营造风清气正的企业内部环境,并进而提升企业经营能力。
(2)向商业合作伙伴传递商业信任,提升企业的市场竞争力,促进企业业务发展。合规管理体系贯标认证是企业诚信合规形象的有力证明,向商业合作伙伴传递商业信任,提升商业合作伙伴的合作意愿(例如,获得合规管理体系贯标认证的企业还可能在同类型竞标中获得客户青睐),进而提升企业的市场竞争力,推动企业业务发展。在商业合作中,合作伙伴通常会对那些通过合规管理体系贯标认证的企业给予更高的信任度。认证表明企业已经建立了一套完善的合规管理体系,能够有效管理和控制合规风险,这对于合作伙伴来说是一个重要的信任基础。
(3)作为企业向监管机构证明存在合规管理体系的依据,助力企业有效并精准应对监管执法和诉讼抗辩。企业在面对监管执法和诉讼抗辩时,可以合规管理体系贯标认证证明企业合规管理体系的完备性和有效性,降低企业违法违规行为的主观恶性,为企业应对监管执法和诉讼抗辩提供有力帮助。
(4)作为企业向司法机关证明存在合规管理体系的依据,防止企业和高管因供应商、客户、员工的违法犯罪行为而被刑事起诉或承担刑事责任,实现“责任切割”。在企业和企业高管因企业自身、企业员工、供应商的违反犯罪行为而被提起刑事诉讼并面临刑事责任时,ISO 37301贯标认证是企业合规管理体系完备且有效之证明,防止企业和高管因供应商、客户、员工的违法犯罪行为而被刑事起诉或承担刑事责任,实现责任切割。
(5)通过国际标准认证促进国际合作与交流。对于跨国经营的企业而言,国际认证意味着企业遵循的是国际公认的合规管理标准。这种统一性有助于企业在全球范围内建立一致的合规管理框架和实践,确保在不同国家和地区的业务都能符合当地的法律法规要求。因此,合规管理体系的国际认证有助于跨越不同国家和地区的合规壁垒,促进企业国际贸易和投资合作,提高企业的国际化水平。
(6)促进企业文化建设。合规管理体系的贯标认证有助于企业建立以合规为核心的企业文化。通过培养员工的合规意识和行为,企业可以形成一种自我约束、自我监督的良好氛围,为企业的长期稳定发展打下坚实的基础。在贯标认证过程中,企业需要明确其合规价值观,并将其融入到企业文化之中。这包括对诚信、透明度、责任感和公平性的重视。通过不断的宣传和教育,这些价值观将被内化为员工的行为准则,成为企业决策和行动的基础。当企业建立了以合规为核心的企业文化后,员工将自然而然地形成自我约束的习惯。他们会在面对决策和行动时考虑其合规性,避免采取可能导致违规的行为。共同的合规目标和价值观也有助于增强员工之间的凝聚力和团队协作。员工在追求合规的过程中,会更加团结一致,共同应对挑战,推动企业目标的实现。
三、企业合规贯标认证的步骤
企业实现合规管理体系贯标认证的过程主要包括两个步骤,即合规管理体系贯标认证的工作准备和合规管理体系贯标的正式认证。具体如下:
(一)合规管理体系贯标认证的工作准备
(1) 摸排和调研现有合规管理体系。企业应对其合规建设整体情况进行摸排调研,评估合规管理体系的成熟度,并确定认证主体范围、认证合规领域范围、认证具体工作进度计划和实施方案等。
(2) 开展合规管理体系符合性诊断,评估合规管理体系成熟度。企业应对标合规管理体系标准之具体合规要求,对其合规管理组织架构、合规管理制度体系、合规管理运行机制、合规管理保障机制、合规培训与沟通及合规文化建设等方面进行初步审核评估,逐条审核公司合规管理体系运行现状,开展合规管理体系符合性诊断,并评估合规管理体系成熟度。
(3) 健全并完善企业现有合规管理 体系。企业应根据其合规管理体系符合性诊断结果,完善其合规管理制度体系、合规管理组织架构、合规管理运行机制、合规管理保障机制、合规培训与沟通及合规文化建设机制等。
(4) 企业在合规管理体系贯标认证前应做好内部审核和管理评审。其中企业应建立内部审核方案和审核计划,成立企业内部审核组并实施内部审核。通过内部审核,企业应当说明其合规管理体系是否符合相关标准并且是否有效。内部审核完成后应进行管理层的管理评审。通过管理评审确保企业合规管理体系持续的适宜性、充分性和有效性。
(二) 合规管理体系贯标的正式认证
完成合规管理体系贯标认证的工作准备后,企业可以选聘贯标认证机构开展合规管理体系贯标的正式认证工作。一般而言,贯标认证机构的认证流程主要包括四个步骤,具体如下:
(1) 认证申请与受理。企业应首先选聘贯标认证机构,申请合规管理体系贯标认证,并经贯标认证机构受理。
(2) 认证审核与整改。贯标认证机构受理合规管理体系贯标认证申请后,企业应提交合规管理体系相关文件,由贯标认证机构对此进行第一阶段审核、第二阶段审核。对于贯标认证机构经审核所提出的不符合项及建议,企业应进行整改。
(3) 获得合规管理体系证书的颁发。企业合规管理体系的不符合项之整改获得贯标认证机构认可的,贯标认证机构向企业颁发合规管理体系证书,该证书有效期一般为3年。
(4) 合规管理体系证书的监督审核。在企业取得合规管理体系证书后的第2、3年,贯标认证机构会对企业的合规管理体系进行监督审核,以评价企业合规管理体系是否持续符合合规管理体系标准。如符合者,合规管理体系证书得以保持。
(图3:ISO37301 合规管理体系第三方认证流程)
四、企业在合规管理体系贯标认证过程中的痛点难点问题
尽管一般企业在合规管理体系贯标认证前都会认为已经做好了充分的准备,但仍难免在贯标认证过程中遇到各种各样的问题,比较典型的如下:
(1)合规认证范围广泛,对企业资源能力的调动具有较大挑战。企业在选择认证机构后需要对认证范围进行确定。有的企业具有较好的合规管理基础,且出于全面推动合规管理体系建设优化的目的并尽可能实现全面认证覆盖以帮助业务端获得较好的管理软实力背书,因此会选择全领域认证。有的企业则出于审慎角度,希望首先对重点领域进行合规管理体系认证,以便集中资源快速获得认证。前者因为覆盖面广,需要调动公司所有部门的资源并获得高层的大力支持,如果在公司生产任务重或存在同时期重大任务并行的情况,则会对认证造成较大的资源压力,同时对企业合规管理部门的统筹协调能力带来较大挑战。后者则因为聚焦在若干重点领域,对企业资源调动和合规管理部门的挑战较小,但也因为认证范围较窄,如后期需要扩大范围,则需要另行申请认证。
(2)企业对合规风险的识别与认证机构审核过程中的关注点可能存在不同。企业在合规管理体系建设过程中非常关键的部分是进行合规义务和合规风险的识别。由于合规义务不仅包括外部法律法规、内部规章制度、商业道德和相关方(例如合作伙伴)要求,因此企业遵循的“规”非常庞杂。企业在所在行业和内外部环境中可能形成自身固化的合规义务和合规风险关注点,容易存在合规认知盲区和合规死角。而认证机构因为对企业及相关行业的情况不够熟悉,因此在认证审核过程中通常进行无差别或弱差别对待,对企业提出一些企业人员日常不太关注的合规义务和合规风险关注点,初期可能引发企业的不适。但随着审核进度的推进,认证机构与企业的交流沟通更加顺畅(尤其在合规律师的辅导协助下),企业对合规管理体系的认识逐渐加深,认证机构对企业的认识也更加聚焦。尽管企业对合规风险的识别与认证机构审核过程中的关注点可能存在不同,但认证机构对企业提出的问题可能给企业带来新的视角,并重新审视自身的合规管理。律师在这过程中亦可以起到积极的作用,协助企业回复认证机构提出的各种疑问,并帮助企业快速响应优化合规义务和合规风险的识别,并进一步采取合规风险管控措施。
(3)企业各部门合规管理人员水平参差不齐,难以统一对接本部门或本领域的认证审核。企业合规管理人员队伍的建设是个漫长的过程,一般企业很难在各部门配备专职合规管理人员。兼职合规管理人员往往只熟悉本岗位的合规工作,不能完全了解和掌握本部门或本领域的所有合规相关工作。因此在合规管理体系认证过程中,负责任的认证审核机构往往需要对某一部门或某一领域进行多人员的审核问询和检查。在这过程中,因为体系语言和业务语言存在差异,审核过程容易出现“鸡同鸭讲”的情况,造成审核认证困难。这就要求企业在认证前期做好充分准备和培训辅导,例如专业的合规律师团队可以通过辅导服务尽可能避免或减少企业各部门和人员在应审过程中的沟通难度,也加快认证机构获得审核认证所需的有效信息和支持证据。
(4)同一合规事项涉及多部门不同环节的合规风险管控,审核过程中容易出现应审混乱和不足。企业作为现代化管理的组织形式,其组织架构下的各部门各团队各有分工和职能侧重。但同一类合规事项可能同时涉及多个部门多个团队,在认证过程中可能出现不同部门不同团队识别出的合规义务和合规风险侧重点有所不同,因此需要采取的合规管控措施侧重点亦有所不同,但认证机构在审核过程中因为对企业各部门各团队业务不够熟悉,因此可能会需要在不同部门不同团队之间来回询问和甄别判断,以确认各部门、各团队在各自的合规职责范围内采取了充分有效的合规管控措施。
(5)合规绩效考核不足。合规管理体系作为遵循PDCA方法论的动态管理体系,其中的合规绩效评价是体系运行的重要一环。除了企业内部审核和管理评审等活动,企业如能在各部门的年度或半年度工作考核评定中增加合规考核指标,对合规管理体系建设的持续优化具有重要作用。但企业可能出于种种原因难以设定具体有效的合规建设绩效目标,有的企业或企业内部有的部门可能只将不出现违规事件的结果性情形纳入合规绩效考核,不能体现合规管理体系重在事前建设和防范的意义。合规管理体系认证机构可能会对此提出观察意见,需要企业在后续建设中不断优化。
五、结语
企业合规管理体系贯标认证过程是一个系统性的评估和改进过程。它不仅认可企业在合规管理方面已经取得的成就,而且通过与国际标准或国家标准的对标,帮助企业发现潜在的不足和改进空间,从而推动企业合规管理体系的持续优化和发展。在认证过程中,审核员会对企业现有的合规管理体系进行全面的审查,包括但不限于企业的合规政策、程序、控制措施、监督机制以及员工的合规意识等。这一过程是对企业在合规方面历史努力和成果的认可。通过认证,企业可以向外界展示其已经建立了一套符合国际或国家标准的合规管理体系,这有助于提升企业的市场竞争力和社会信誉。认证过程同时也是一个自我反思和持续改进的过程。通过与标准的对标,企业可以发现自身合规管理体系中存在的不足之处,如风险评估的不全面、内部控制的不严密、合规文化的不深入等。
对于很多大型企业而言,进行合规管理体系的贯标认证是推动合规管理优化建设的有效手段。通过认证,企业不仅可以获得第三方权威机构的背书,增强合作伙伴和投资者的信心,还可以通过持续的监督和评审,确保合规管理体系的持续改进和适应性。此外,认证过程中的持续改进也会帮助企业更好地应对法律法规的变化和市场环境的挑战,从而实现可持续发展。
综上,企业合规管理体系贯标认证过程是一个既认可企业历史合规建设成就,又促进企业不断优化和深化合规管理体系的过程。通过认证,企业不仅能够提升自身的合规管理水平,还能够在激烈的市场竞争中获得优势,实现长期的稳定发展。因此,以认证促建设是许多大型企业进行合规管理体系优化建设的正向选择。
附件:信达合规贯标认证辅导服务
信达律师事务所合规团队为企业提供合规管理体系贯标认证辅导的服务方案参考列示如下:
服务方案 |
服务交付 |
预计时间 |
一、合规认证前的现有合规管理体系监督与完善 |
||
1、企业现有合规管理体系的摸排与调研 |
||
1.1 通过制度调阅、人员访谈、问卷调查、考察自评等不同方式,对企业现有合规管理体系进行摸排与调研 |
《访谈笔录》 《考察自评清单》 《调查问卷》 |
4周 |
1.2 确定企业此次合规认证的范围(包括主体范围与合规专项领域范围)、认证具体工作进度计划等,以制定合规认证方案建议书 |
《认证方案建议书》 |
|
2、企业现有合规管理体系的符合性判断/差距分析 |
||
2.1 对标国际标准ISO 37301:2021《合规管理体系 要求及使用指南》、国家标准GB/T 35770-2022年《合规管理体系 要求及使用指南》,对企业的合规管理组织架构、合规管理制度体系、合规管理运行机制、合规管理保障机制、合规培训与沟通及合规文化建设等方面进行逐条审核与差距分析,总体评估企业的合规管理体系运行现状及运行有效性现状 |
关于企业的合规管理体系与ISO 37301:2021《合规管理体系 要求及使用指南》、GB/T 35770-2022年《合规管理体系 要求及使用指南》的符合性判断/差距分析报告、底稿及相关文件 |
4周 |
2.2 对企业现有合规管理体系进行初审,对其合规管理组织架构、合规管理制度体系、合规管理运行机制、合规管理保障机制、合规培训与沟通及合规文化建设等提出初步整改建议 |
《企业现有合规管理体系整改优化实施方案》 |
|
3、健全并完善企业的合规管理体系 |
||
3.1 结合国际标准ISO 37301:2021《合规管理体系 要求及使用指南》、国家标准GB/T 35770-2022年《合规管理体系 要求及使用指南》,对企业合规管理体系的有效性运行提出建议 |
《关于健全并完善企业的合规管理体系有效性的总体建议》 |
8周 |
3.2 协助企业完善合规管理相关制度及制度体系 |
《完善合规管理相关制度及制度体系的建议》及相关制度文件 |
|
3.3 协助企业完善合规管理组织架构 |
《完善合规管理组织架构的建议》及相关制度文件 |
|
3.4 协助企业完善合规管理运行机制 |
《完善合规管理运行机制的建议》及相关制度文件 |
|
3.5 协助企业完善合规管理保障机制 |
《完善合规管理保障机制的建议》及相关制度文件 |
|
3.6 协助企业完善合规培训与沟通及合规文化建设机制 |
《完善合规培训与沟通及合规文化建设机制的建议》及相关制度文件 |
|
4、企业合规管理体系的认证预审工作 |
||
4.1 根据认证机构的要求提供相关制度及文件资料、对企业的合规管理体系建设情况进行解释与释疑等 |
根据认证机构的要求协助提供相关制度及文件资料 |
4周 |
4.2 仔细研读该认证预审结构,并协助企业明确和落实各项整改要求,工作内容包括但不限于编写、修改和完善合规管理体系流程、修改与完善相关的合规管理制度、调整合规嵌入的业务环境、优化合规工作机制等内容 |
对认证机构出具的《预审核报告》的解读及整改落实要求 |
|
5、协助企业落地运行其已完善的合规管理体系 |
||
5.1 协助企业落地运行其已完善的合规管理体系,跟进合规建设成果的运行,并制定阶段性成果验证计划表,通过结果验证、正反向反馈等方式不断完善及改进合规管理体系 |
合规管理体系的阶段性验证机制 |
根据企业的要求开展 |
5.2 为企业提供若干次线上或线下的合规培训,包括合规标准宣贯培训等 |
若干次合规培训及培训讲义等资料 《合规承诺函》 |
|
6、其他合规服务 |
||
6.1 到企业进行现场调研、访谈、参与内部会议、提供相关的合规咨询与合规辅导等 |
访谈记录、内部会议报告及讲解PPT制作 |
配合企业的要求开展 |
二、正式认证阶段的辅导服务 |
||
1.1 配合企业接洽合规认证机构,结合企业的实际情况与认证机构沟通和安排具体认证审核时间和计划 |
/ |
配合企业的要求开展 |
1.2 根据认证审核时间和具体计划,协助企业编制相关合规评审文件及提交 |
根据认证机构的审核要求需要提交的文件资料 |
|
1.3 现场派人协助认证机构进行对企业合规管理体系的现场审核、解答认证机构提出的疑问或质疑 |
/ |
|
1.4 若认证机构对企业的合规管理体系识别出不符合项者并提出整改的,我们将协助企业对认证机构提出的不符合项及建议项进行原因分析,并协助企业方采取有效的整改纠正措施(如有) |
对认证机构提出的不符合项及建议项的原因分析及对应的整改措施 |
|
三、合规认证后的监督审核协助服务 |
||
1.1 保持与企业的定期沟通与交流,对企业在此合规监督期内遇到的合规问题或疑问进行解答,并对所反馈的问题提出整改建议 |
/ |
配合企业和认证机构的要求开展 |
1.2 在认证机构的定期监督过程中,认证机构可能对企业进行现场审核和文件审核,我们将协助企业准备相关审核文件与信息收集 |
根据认证机构的审核要求需要提交的文件资料 |
|
1.3 在认证机构的定期监督过程中,认证机构可能对企业进行风险评估和风险管理的审核,我们将协助企业制作、展示并呈现合规风险评估与管理相关材料 |
《合规风险地图》 《合规风险评估机制与流程》 《合规风险应对机制》及其他根据认证机构的审核要求需要提交的文件资料 |
|
1.4 在认证机构的定期监督过程中,认证机构可能对企业进行合规文化建设的审核,我们将协助企业准备合规文化建设相关材料 |
《合规方针》 《合规手册》 《合规文化建设方案》及其他根据认证机构的审核要求需要提交的文件资料 |
|
1.5 在认证机构的定期监督过程中,认证机构可能对企业进行合规持续改进评估的审核,我们将协助企业制作和准备合规持续改进相关材料 |
《合规管理有效性评估报告》 《合规管理内部审核计划》 《合规管理管理评审计划》 《合规管理内审报告》 《合规管理管理评审报告》及其他根据认证机构的审核要求需要提交的文件资料 |
|
1.6 在认证机构的定期监督过程中,认证机构可能对企业进行领导层带头合规的审核,对此我们将协助企业准备相关文件与信息收集 |
《领导层承诺函》 《领导层关于合规的宣言》及其他根据认证机构的审核要求需要提交的文件资料 |
|
1.7 在认证机构的定期监督过程中,认证机构可能对企业进行合规咨询、合规培训与沟通机制的审核,对此我们将协助企业准备相关审核文件与信息收集 |
《合规咨询备忘录》 《合规培训计划》 合规培训课件及其他根据认证机构的审核要求需要提交的文件资料 |