你所了解的“合規(guī)”已經(jīng)OUT！快看ISO37301合規(guī)體系的新標(biāo)準(zhǔn)

2021-05-31 15:23:43 來(lái)源：中國(guó)周刊

作者：蓋曉萍

海華永泰律師事務(wù)所律師、上海市律協(xié)法律合規(guī)委員會(huì)副主任

如果說(shuō)近年來(lái)法律圈的熱詞，“合規(guī)”一詞必定上榜。

近年來(lái)，全球貿(mào)易關(guān)系愈加復(fù)雜，冷戰(zhàn)氛圍逐漸濃厚，全球產(chǎn)業(yè)鏈進(jìn)入深度調(diào)整與重構(gòu)時(shí)期，我國(guó)全面進(jìn)入“雙循環(huán)”經(jīng)濟(jì)模式。在國(guó)家層面，各國(guó)建立了嚴(yán)格的合規(guī)監(jiān)管制度，監(jiān)管機(jī)構(gòu)加強(qiáng)了立法深度和執(zhí)法力度，引導(dǎo)和督促企業(yè)實(shí)施更加主動(dòng)的合規(guī)經(jīng)營(yíng)。在國(guó)際層面，聯(lián)合國(guó)、經(jīng)濟(jì)合作與發(fā)展組織、世界銀行集團(tuán)、亞洲太平洋經(jīng)濟(jì)合作組織、國(guó)際商會(huì)等國(guó)際性組織相繼制定全球性契約、指南和指引等，對(duì)合規(guī)管理核心問(wèn)題形成國(guó)際共識(shí)，在相關(guān)貿(mào)易活動(dòng)中對(duì)不合規(guī)行為實(shí)施聯(lián)合懲戒。合規(guī)已經(jīng)成為各類組織成功和可持續(xù)發(fā)展的基礎(chǔ)。我國(guó)從中央到各部位對(duì)此也高度重視，不斷出臺(tái)各種合規(guī)指引、規(guī)范。今年三月，我國(guó)標(biāo)準(zhǔn)化委員會(huì)出臺(tái)《醫(yī)藥行業(yè)合規(guī)管理規(guī)范》，4月13日國(guó)際標(biāo)準(zhǔn)化組織出臺(tái)ISO 37301: 2021《合規(guī)管理體系 要求及使用指南》。

你理解什么是“合規(guī)？”

----不就是合乎規(guī)范、合乎規(guī)矩嗎？

----合規(guī)，就是指中央企業(yè)及其員工的經(jīng)營(yíng)管理行為符合法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準(zhǔn)則和企業(yè)章程、規(guī)章制度以及國(guó)際條約、規(guī)則等要求。1

2014年，國(guó)際標(biāo)準(zhǔn)化組織制定了ISO 19600:2014《合規(guī)管理體系 指南》。

2017年，中國(guó)標(biāo)準(zhǔn)化研究院牽頭制定的GB/T35770-2017《合規(guī)管理體系 指南》（以下簡(jiǎn)稱“《指南》”）于2018年7月1日正式頒布實(shí)施，

2018年11月，國(guó)資委頒布《中央企業(yè)合規(guī)管理指引》；

2018年12月，發(fā)改委等七部門聯(lián)合發(fā)布了《企業(yè)境外經(jīng)營(yíng)合規(guī)管理指引》

很多國(guó)企，特別是央企都開(kāi)始建立合規(guī)體系，但是到底怎么搭建合規(guī)體系，雖然看似有了“指引”，但并沒(méi)有什么標(biāo)準(zhǔn)，律所、會(huì)所、咨詢機(jī)構(gòu)都使出渾身解數(shù)，制訂了一套一套看似完善的合規(guī)體現(xiàn)，來(lái)自江蘇的某企業(yè)董事長(zhǎng)自豪地稱“幾年前就完成了企業(yè)合規(guī)體現(xiàn)的搭建”。但是有一組數(shù)據(jù)，很打臉：

世界銀行2005年稱，自從1999年以來(lái)，有300家公司或個(gè)人因在世行資助的項(xiàng)目中有欺詐或腐敗行為而受到懲處。腐敗案最多的是東亞、環(huán)太平洋地區(qū)、歐洲和中亞。

2015年，有750家企業(yè)在世界銀行的黑名單上。2009年，中國(guó)企業(yè)首次進(jìn)入這個(gè)黑名單，當(dāng)時(shí)只有4家， 2015年9月已經(jīng)有38家。“上榜”的企業(yè)將在一定期限內(nèi)被禁止參與世界銀行的工程項(xiàng)目投標(biāo)。例如，一家中資建筑企業(yè)在6年內(nèi)被禁止參與世界銀行的項(xiàng)目投標(biāo)，如果表現(xiàn)良好，將會(huì)在4年后解禁或減輕制裁4。而被解禁的前提就是整改合格，被獨(dú)立的第三方認(rèn)證為“合規(guī)”。

令人費(fèi)解的是，盡管在國(guó)企中普遍開(kāi)始合規(guī)體系的建設(shè)，但是因不合規(guī)被列入黑名單的企業(yè)仍快速增長(zhǎng)，截至2021年3月，竟然有827家中資企業(yè)被列入世界銀行的黑名單，其中過(guò)半數(shù)是中字頭的大型國(guó)企。究其原因，是因?yàn)榇蠖鄶?shù)的合規(guī)體系不符合國(guó)際標(biāo)準(zhǔn)，無(wú)法被認(rèn)證。

為了滿足全球化合規(guī)的快速發(fā)展和迫切需求，提升各類組織合規(guī)管理能力，促進(jìn)國(guó)際貿(mào)易、交流與合作，ISO于2018年11月啟動(dòng)了ISO 37301的制定工作，基于最新的合規(guī)管理實(shí)踐，修訂并代替ISO 19600:2014《合規(guī)管理體系 指南》。

2021年4月13日，ISO 37301: 2021《合規(guī)管理體系 要求及使用指南》（Compliance management systems — Requirements with guidance for use）（以下簡(jiǎn)稱“ISO 37301”）國(guó)際標(biāo)準(zhǔn)正式發(fā)布實(shí)施。

● ISO 37301有什么重大意義？

作為A類管理體系標(biāo)準(zhǔn)，ISO 37301至少有四種應(yīng)用方式。

一是作為各類組織自我聲明符合的依據(jù)。各類組織通過(guò)實(shí)施ISO 37301，建立并運(yùn)行合規(guī)管理體系，一方面使得組織的行為以及行為結(jié)果合規(guī)，另一方面在需要時(shí)還能夠據(jù)此標(biāo)準(zhǔn)追溯組織是否符合了合規(guī)管理體系規(guī)定的內(nèi)容或證實(shí)是否達(dá)到了合規(guī)要求。

二是作為認(rèn)證機(jī)構(gòu)開(kāi)展認(rèn)證的依據(jù)。ISO 37301規(guī)定了合規(guī)管理體系的要求，并提供了建議做法和指南，認(rèn)證機(jī)構(gòu)在認(rèn)證活動(dòng)中，可以直接應(yīng)用或者在其認(rèn)證技術(shù)規(guī)范中明確ISO 37301作為組織符合合規(guī)管理體系要求的認(rèn)證依據(jù)。

三是作為政府機(jī)構(gòu)監(jiān)管的依據(jù)。政府機(jī)構(gòu)可以將ISO 37301確立的合規(guī)管理理念應(yīng)用于行政監(jiān)管活動(dòng)，通過(guò)對(duì)組織的合規(guī)管理體系運(yùn)行情況評(píng)價(jià)結(jié)果來(lái)匹配相應(yīng)的監(jiān)管手段和措施，實(shí)施精準(zhǔn)監(jiān)管。

四是作為司法機(jī)關(guān)對(duì)違規(guī)企業(yè)量刑與監(jiān)管驗(yàn)收的依據(jù)。可以將ISO 37301確立的合規(guī)管理體系要求作為司法機(jī)關(guān)對(duì)涉及違規(guī)企業(yè)量刑的考量依據(jù)，可以作為落實(shí)依法不捕不訴不提出判實(shí)刑建議等司法意見(jiàn)、制定合規(guī)指引、督促企業(yè)合規(guī)整改和第三方監(jiān)管驗(yàn)收的依據(jù)。

● ISO 37301與ISO19600有什么區(qū)別？

從名稱上，ISO19600：2014《合規(guī)管理體系 指南》（Compliance management systems Guidelines），后者是ISO 37301: 2021《合規(guī)管理體系 要求及使用指南》（Compliance management systems — Requirements with guidance for use），序列號(hào)不再是ISO 19600，而是ISO 37301。要求更加細(xì)化、可操作。例如，對(duì)于“培訓(xùn)”，延伸到對(duì)供應(yīng)商；增加了對(duì)合規(guī)疑慮的方法和程序。從功能上，增加了抗御司法機(jī)關(guān)行政、刑事處罰的可能性。具體差異見(jiàn)下圖：

合規(guī)管理體系不再是一個(gè)指南性標(biāo)準(zhǔn)，而是提出要求并指導(dǎo)“如何使用”是一個(gè)可以認(rèn)證的標(biāo)準(zhǔn)，英文就是Certifiable。標(biāo)準(zhǔn)一旦可以用來(lái)認(rèn)證，那就更加剛性，接近強(qiáng)制性標(biāo)準(zhǔn)。換句話說(shuō)，相關(guān)企業(yè)通不過(guò)認(rèn)證就是不合規(guī)，做了也是無(wú)效的。

●ISO 37301標(biāo)準(zhǔn)主要內(nèi)容

ISO 37301規(guī)定了組織建立、運(yùn)行、維護(hù)和改進(jìn)合規(guī)管理體系的要求，并提供了使用指南，適用于全球任何類型、規(guī)模、性質(zhì)和行業(yè)的組織。合規(guī)管理體系通用要素的框架如下圖（圖片來(lái)自質(zhì)量與認(rèn)證網(wǎng)站）所示。

合規(guī)管理體系通用要素

（一）組織環(huán)境

組織所處的環(huán)境構(gòu)成了組織賴以生存的基礎(chǔ)。這些環(huán)境既涉及法律法規(guī)、監(jiān)管要求、行業(yè)準(zhǔn)則、良好實(shí)踐、道德標(biāo)準(zhǔn)，又涉及組織自行制定或公開(kāi)聲明遵守的各類規(guī)則。因此，建立合規(guī)管理體系首先要對(duì)組織所處的環(huán)境予以識(shí)別和分析。

ISO 37301從以下方面規(guī)定了識(shí)別和分析組織環(huán)境的要求：

（二）領(lǐng)導(dǎo)作用

領(lǐng)導(dǎo)是合規(guī)管理的根本，對(duì)于整個(gè)組織樹立合規(guī)意識(shí)、建立高效的合規(guī)管理體系具有至關(guān)重要的作用。ISO 37301對(duì)組織的治理機(jī)構(gòu)、最高管理者等如何發(fā)揮領(lǐng)導(dǎo)作用作出了規(guī)定：

（三）策劃

策劃是預(yù)測(cè)潛在的情形和后果，對(duì)于確保合規(guī)管理體系能實(shí)現(xiàn)預(yù)期效果，防范并減少不希望的影響，實(shí)現(xiàn)持續(xù)改進(jìn)具有重要作用。ISO 37301從以下方面規(guī)定了策劃合規(guī)管理體系的要求：

一是在各部門和層級(jí)上建立適宜的合規(guī)目標(biāo)，策劃實(shí)現(xiàn)合規(guī)目標(biāo)需建立的過(guò)程；

二是綜合考慮組織內(nèi)外部環(huán)境問(wèn)題、合規(guī)義務(wù)和合規(guī)目標(biāo)，策劃應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施，并將這些措施納入合規(guī)管理體系；

三是有計(jì)劃地對(duì)合規(guī)管理體系進(jìn)行修改。

（四）支持

支持是合規(guī)管理的重要保障，對(duì)于合規(guī)管理體系在各個(gè)層面得到認(rèn)可并保障合規(guī)行為實(shí)施具有重要的支持作用。ISO 37301從以下方面規(guī)定了支持措施：

一是確定并提供所需的資源，例如財(cái)務(wù)資源、工作環(huán)境與基礎(chǔ)設(shè)施等；

二是招聘能勝任且能遵守合規(guī)要求的員工，對(duì)違反合規(guī)要求的員工采取紀(jì)律處分等管理措施；

三是提供培訓(xùn)，提升員工合規(guī)意識(shí)；

四是開(kāi)展內(nèi)部和外部溝通與宣傳；

五是創(chuàng)建、控制和維護(hù)文件化信息。

（五）運(yùn)行

運(yùn)行是立足于執(zhí)行層面，策劃、實(shí)施和控制滿足合規(guī)義務(wù)和戰(zhàn)略層面規(guī)劃的措施相關(guān)的流程，以確保組織運(yùn)行合規(guī)管理體系。ISO 37301從以下方面對(duì)運(yùn)行作出了規(guī)定：一是實(shí)施為滿足合規(guī)義務(wù)、實(shí)施合規(guī)目標(biāo)所需的過(guò)程以及所需采取的措施；二是建立并實(shí)施過(guò)程的準(zhǔn)則、控制措施，定期檢查和測(cè)試這些控制措施，并保留記錄；三是建立舉報(bào)程序，鼓勵(lì)員工善意報(bào)告疑似和已發(fā)生的不合規(guī)；四是建立調(diào)查程序，對(duì)可疑和已發(fā)生的違反合規(guī)義務(wù)的情況進(jìn)行評(píng)估、調(diào)查和了解。

（六）績(jī)效評(píng)價(jià)

績(jī)效評(píng)價(jià)是對(duì)合規(guī)管理體系建立并運(yùn)行后的績(jī)效、體系有效性評(píng)價(jià)，對(duì)于查找可能存在的問(wèn)題、后續(xù)改進(jìn)合規(guī)管理體系等具有重要意義。ISO 37301對(duì)如何開(kāi)展合規(guī)管理體系績(jī)效評(píng)價(jià)作出了規(guī)定：

（七）改進(jìn)

改進(jìn)是對(duì)合規(guī)管理體系運(yùn)行中發(fā)生不合格/不合規(guī)情況做出反應(yīng)、評(píng)價(jià)是否需要采取措施，消除不合格/不合規(guī)的根本原因，以避免再次發(fā)生或在其他地方發(fā)生，并持續(xù)改進(jìn)，以確保合規(guī)管理體系的動(dòng)態(tài)持續(xù)有效。ISO 37301從以下方面對(duì)改進(jìn)作出了規(guī)定：一是持續(xù)改進(jìn)合規(guī)管理體系的適用性、充分性和有效性；二是對(duì)發(fā)生的不合格、不合規(guī)采取控制或糾正措施。

●三、對(duì)于企業(yè)的現(xiàn)實(shí)意義

如果說(shuō)過(guò)去，“合規(guī)”對(duì)于企業(yè)來(lái)說(shuō)是錦上添花，是大型國(guó)企、外企才會(huì)感興趣，或者才有財(cái)力人力資源可以完成的，現(xiàn)在“合規(guī)”成為企業(yè)的義務(wù)。一方面，行穩(wěn)方能致遠(yuǎn)。中國(guó)經(jīng)過(guò)四十年的高速發(fā)展，已經(jīng)走過(guò)了粗放式發(fā)展的時(shí)代，對(duì)金融、醫(yī)藥、教育、化工等行業(yè)逐漸加強(qiáng)監(jiān)管。企業(yè)沒(méi)有精細(xì)化管理，不愿意在合規(guī)上多投入，面對(duì)可見(jiàn)的風(fēng)險(xiǎn)抱著僥幸心理，會(huì)經(jīng)常跌跟頭、被處罰。被“合規(guī)”加持的企業(yè)會(huì)迅速被行業(yè)和市場(chǎng)認(rèn)可，且逐漸實(shí)現(xiàn)馬太效應(yīng)；而不合規(guī)的企業(yè)將逐漸被邊緣化，直至被淘汰出局；另一方面，合規(guī)會(huì)保護(hù)企業(yè)家和企業(yè)。37301確立的合規(guī)管理體系要求作為司法機(jī)關(guān)對(duì)涉及違規(guī)企業(yè)量刑的考量依據(jù)，可以作為落實(shí)依法不捕不訴不提出判實(shí)刑建議等司法意見(jiàn)、制定合規(guī)指引、督促企業(yè)合規(guī)整改和第三方監(jiān)管驗(yàn)收的依據(jù)。通俗解釋，如果能證明企業(yè)經(jīng)營(yíng)/行為/活動(dòng)是合規(guī)的，則企業(yè)或企業(yè)家會(huì)從輕、減輕甚至免予刑事處罰。（專題統(tǒng)籌：秦前松）

 

編輯：海洋