ISO 37301:2021 - 合规管理体系

近年来,全球贸易关系愈加复杂,全球产业链进入深度调整与重构时期。各方面的法律、法规、标准和规范正在收紧并不断变化,如产品责任、环境保护、劳动保护、信息安全与隐私保护、会计和税收、公司治理、反垄断等等。合规已经成为各类组织成功和可持续发展的基础,不合规就可能导致法律和经济处罚、业务中断或企业声誉损害。

 

2021年4月13日,国际标准化组织(ISO)正式发布 ISO 37301: 2021《合规管理体系 要求及使用指南》标准。该标准明确了建立、制定、实施、评价、维护和改进合规管理体系的要求,并提供了指南。 

 

2022年2月11日,DNV 获得 CNCA 备案批准,可在大陆地区开展 ISO 37301:2021 相关认证与培训业务。DNV 竭力为组织提供高水准的 ISO 37301:2021 合规管理体系标准认证服务和相关培训服务。

 

什么是 ISO 37301:2021 标准?

制定背景

在国际层面,联合国、经济合作与发展组织、世界银行集团、非洲开发银行集团、亚洲太平洋经济合作组织、国际商会等国际性组织相继制定全球性契约、指南和指引,对合规管理核心问题形成国际共识,在相关贸易活动中对不合规行为实施联合惩戒。

 

在国家层面,各国建立了严格的合规监管制度,监管机构加强了立法深度和执法力度,引导和督促企业实施更加主动的合规经营。

 

为了满足全球化合规的快速发展和迫切需求,提升各类组织合规管理能力,促进国际贸易、交流与合作,ISO 于2018年11月启动了 ISO 37301 的制定工作,基于最新的合规管理实践,修订并代替 ISO 19600:2014《合规管理体系指南》。

 

ISO 37301:2021 适用于全球任何类型、规模、性质和行业的组织。

 

标准框架

ISO 37301:2021 合规管理体系标准基于 ISO 高阶结构(HLS),采用 PDCA 运营理念,便于组织整合现有管理体系(质量、环保、健康安全、信息安全等)。ISO 37301:2021 合规管理体系标准通用要素的框架如下图所示。

 

compliance management

 

为什么要进行 ISO 37301:2021 认证?

按照 ISO 37301:2021 合规管理体系标准建立、制定、实施、评价、维护和改进合规管理体系,并通过第三方,具有多方面的收益。简而言之,可以概括三个方面:

 

提升合规能力

在一个组织中难免存在各类程度不等的合规风险。组织通过按 ISO 37301:2021 合规管理体系标准的要求建立、运行、维护和改进合规管理体系,可以有效地落实合规要求,传播积极的合规文化,不断地进行自我检视与调整,提升内部自查自纠能力和整体管理水平,提升合规能力,降低违规风险。在某些法域,法院对组织违反相关法律的行为作出处罚时,可以将组织的合规管理体系运行情况作为衡量处罚力度的一个考量因素。

 

提升竞争能力

合规管理是一项持续的举措,组织通过合规管理体系的有效实施,应对不断变化的监管环境、业务增长或地域范围,识别适用的合规义务、评估合规风险并保持及时更新,制定相应措施管控合规事务,保持业务连续性,从而提升竞争能力,降低市场风险。

 

提升企业信誉

ISO 37301:2021 为便利全球范围内相关方之间的贸易、交流与合作提供通用规则,各类组织可以通过获得 ISO 37301:2021 第三方认证证书,在相关方之间传递信任,赢得合规的良好信誉,为贸易、交流与合作提供便利,获取更多商业机会。

 

如何贯彻实施 ISO 37301:2021 标准?

初步诊断

基于组织的性质、规模、组织活动特点、战略、方针和目标等情况,切实分析组织所处的环境,深入理解利益相关方的需求和期望;确定合规管理体系的范围;对照 ISO 37301:2021 合规管理体系标准要求、现有管理体系(如质量管理、环境管理、职业安全健康管理、信息安全管理、食品安全管理、企业社会责任管理、风险管理等等)及其运行情况进行初步诊断,明确存在的差距;筹划引入合规管理体系所需资源,包括但不限于财务、人力和技术资源,以及获得外部咨询和专业技能的机会、组织基础设施、专业发展情况、技术和关于合规管理与法律义务的参考资料,等等。

 

培训教育

开展相关培训教育活动,大力倡导合规文化,全面提升合规意识,深入理解 ISO 37301:2021 合规管理体系标准的要求,确保各职能、各层次中与合规管理有关的人员具备相应的能力;在雇佣或提拔现有人员之前,组织应进行尽职调查,等等。

 

策划和建立体系

按照 ISO 37301:2021 合规管理体系标准的要求全面识别合规义务、评估合规风险;合规风险包括固有合规风险和剩余合规风险。合规风险识别包括风险源的识别和合规风险情况的界定,形成合规风险源清单和合规风险情况清单。

 

按照 ISO 37301:2021 合规管理体系标准的要求明确领导作用、合规管理有关的职责和权限;建立合规方针;策划风险和机会的应对措施,确定合规目标;等等。合规风险评估是核心内容,一方面是合规管理体系实施的基础,另一方面也是合规管理资源分配的基础。

 

按照 ISO 37301:2021 合规管理体系标准的要求建立合规管理相关管理文件,和/或将合规管理体系的要求融入现有的管理文件之中;规定本组织对合规义务的全面承诺,明确合规管理运行准则;建立有效的内外部沟通机制;建立对违反合规方针或合规义务的行为进行举报的过程;建立不合规情形调查过程。针对组织活动中使用第三方或外包过程,进行有效的尽职调查,确保组织的合规标准和承诺不会降低,等等。

 

运行和评价体系绩效

按照 ISO 37301 合规管理体系标准要求和组织的文件要求运行合规管理体系,将合规措施纳入本组织的日常运作,识别合规义务,评估合规风险,践行合规承诺,培育合规文化;对有关合规控制措施进行维护、定期评估和测试,以确保其持续有效;对于试图、涉嫌或实际存在的违反合规方针或合规义务行为的举报,予以保密,保护举报者免遭打击报复;针对本组织、人员或有关第三方不当行为的任何指控或怀疑,进行及时、彻底的调查;在与第三方订立合同时,确保其活动的采购、运行、商业和其他非财务控制措施能够适当管理,降低合规风险;保持体系运行的必要证据,用以证实符合 ISO 37301:2021 合规管理体系标准要求;等等。

 

收集相关信息,评估合规管理体系的有效性和组织的合规绩效;从多种渠道收集合规绩效反馈,进行细致分析和严格评估;确定不合规的根本原因,确定采取适当的措施,必要时更新合规风险评估的结果;建立、实施和保持合规报告过程,确定报告准则,建立定期报告和临时报告机制,保证报告信息准确性、完整性,所报告的内容应得到充分保护,以防止被修改;实施内部审核和管理评审。

 

持续改进

持续改进合规管理体系的适宜性、充分性和有效性。发生不符合或不合规情形时,进行采取纠正、原因分析和相应的纠正措施,并评估所采取措施的有效性。

 

组织的内部、外部环境以及业务随着时间推移而变化,顾客的性质和适用的合规义务也随之变化。可能需要根据变化情况进行变更,此时需要按照 ISO 37301:2021 标准要求,考虑这些变化对合规管理体系、运行、资源可用性、合规风险评估、组织的合规义务等方面的影响。

 

DNV 关于 ISO 37301:2021 合规管理体系标准认证的主要流程

ISO 37301:2021 合规管理体系标准认证流程与常规管理体系的认证流程大体相同。主要步骤包括:

 

认证申请

与 DNV 相关客服人员联系,填写有关认证申请表;商讨认证审核时间安排事项;合规管理体系有效运行三个月后可进行认证审核。

 

第一阶段审核

第一阶段审核的重点是合规管理体系文件评审,并收集必要的信息资料,评价合规管理体系的运行水平,验证为第二阶段审核的准备情况,策划二阶段审核的重点,评审二阶段审核的资源分配,等等。

 

第二阶段审核

第二阶段审核是完整条款、完整体系的审核。ISO 37301:2021 合规管理体系标准的所有款要求均须覆盖,以评价合规管理体系实施的符合性和有效性。

 

技术评审

DNV 认证技术中心按规定的程序对所有的审核资料和评估报告进行评审、批准,做出认证决定,签发认证证书。ISO 37301:2021 认证证书使用 DNV 标准证书模板,证书有效期为3年。

 

证书保持

DNV 实施合规管理体系年度监督审核,确认管理体系保持和持续改进情况。在现有认证证书到期前进行换证审核。