目录
一、企业构建合规管理体系的价值和意义
二、企业构建合规管理体系的流程及要点
三、建立合规管理组织体系
四、建设合规管理制度体系
五、建设合规管理运行体系
六、建设合规管理保障体系
七、合规认证现状简述及要点流程详述
续上篇“大合规”视域下企业贯标认证全流程指引手册:从建立合规管理体系到认证申请(上)
五、建设合规管理运行体系
合规管理运行体系是合规管理体系能否落地的关键,是合规管理发挥风险防范作用的核心手段,是将合规要求融入企业经营管理全过程的决定性环节。该体系以ISO 37301:2021《合规管理体系要求及使用指南》为标准依据,通过系统化、结构化的运行机制设计,实现合规风险的精准识别、有效评估和科学应对,确保合规管理与业务发展深度融合,形成"事前预防、事中控制、事后改进"的闭环管理机制。运行体系的建设重点在于构建合规风险识别、评估、应对和改进的全流程管理机制,使合规管理真正成为企业经营管理的有机组成部分,而非简单的"附加要求"。
(一)合规环境识别
合规环境识别是合规管理体系运行的起点,旨在全面、系统地理解影响企业合规管理的内外部环境因素,为合规义务识别和风险评估奠定基础。根据ISO 37301:2021标准要求,企业应确定与其宗旨相关的、并影响其实现合规管理体系预期结果的能力的内部和外部事项,主要包括:
1.业务模式与运营环境
业务模式是合规环境识别的核心要素,企业应系统梳理自身活动和运行的战略、性质、规模、复杂性和可持续性。具体包括:
2.法律与监管环境
法律与监管环境是合规环境识别的关键维度,企业应全面梳理影响自身合规管理的法律法规、监管要求、行业准则等外部规范性文件:
3.经济与社会环境
经济与社会环境是合规环境识别的重要背景因素,企业应关注经济形势、社会文化、数字化发展趋势等对合规管理的影响:
4.内部结构与资源
内部结构与资源是合规环境识别的内部因素,企业应评估自身组织结构、资源状况对合规管理的影响:
5.相关方期望
相关方期望是合规环境识别的重要维度,企业应识别并理解利益相关方对合规管理的需求和期望:
总而言之,合规环境识别应采用系统化方法,通过内外部信息收集、分析和评估,形成对企业合规环境的全面认知。识别出的合规环境因素将直接影响合规义务的识别和合规风险的评估,是合规管理运行体系有效性的基础。合规环境识别不是一次性活动,而是一个持续更新的过程,应根据内外部环境变化定期进行复盘和更新。
(二)合规义务构成
合规义务是企业合规管理的"标尺",是合规管理体系运行的依据和基础。根据ISO 37301:2021标准,合规义务包括组织强制性地必须遵守的要求(强制性合规义务)以及组织自愿选择遵守的要求(自愿性合规义务)。
1.强制性合规义务
强制性合规义务是企业必须遵守的外部要求,具有强制性和不可选择性,主要包括:
2.自愿性合规义务
自愿性合规义务是企业为提升自身声誉、市场竞争力、社会责任感而主动选择遵守的要求,主要包括:
3.合规义务的识别与转化
合规义务的识别是合规管理体系的起点,企业应系统识别并转化合规义务:
合规义务识别完成后,应建立合规义务库,定期更新,确保合规义务的全面性和时效性。合规义务库应包括合规义务的分类、来源、要求、适用范围、责任部门、更新时间等信息,为企业合规风险识别和评估提供基础。
(三)合规风险识别
合规风险识别是合规管理运行体系的核心环节,旨在系统梳理企业可能面临的合规风险,为风险评估和应对提供依据。合规风险识别应采用多维度、多角度的方法,主要从以下五个方面进行:
1.根据企业主要的经营管理活动识别
通过梳理企业主要的经营管理活动(如生产活动、市场营销、物资采购、对外投资、人力资源管理、财务管理等),发现每一项经营管理活动可能存在的合规风险:
2.根据合规领域识别
通过对不同合规领域(如合同、知识产权、招投标、劳动用工、税务等)相关合规义务的梳理,发现不同领域内存在的合规风险:
3.根据利益相关者识别
通过对企业的利益相关者(如股东、董事、监事、高级管理人员、一般员工、顾客、供应商、债权人、社区、政府等)的梳理,发现与每一利益相关者相关的合规风险:
4.根据引发合规风险的原因识别
通过对合规环境、违规、违约、侵权、怠于行使权利、行为不当、等引发合规风险原因的识别,发现企业存在的合规风险:
5.根据合规风险事件发生后承担的后果梳理
通过对刑事、民事、行政等法律责任的梳理,发现不同责任下企业存在的合规风险:
合规风险识别应采用结构化方法,通过风险事件梳理、风险情景分析、风险矩阵等工具,将风险进行分类分级,形成合规风险清单。例如,在招投标领域,可识别出"围标串标风险"、"供应商资质不符风险"、"合同条款不合规风险"等具体风险点;在数据合规领域,可识别出"个人信息收集不合规风险"、"数据跨境传输风险"、"数据泄露风险"等具体风险点。
合规风险识别不是一次性的活动,而是一个持续的过程,应根据内外部环境变化定期进行复盘和更新。企业应建立合规风险识别的常态化机制,确保风险识别的及时性和全面性。
(四)合规风险评估——"三张清单"
"三张清单"是合规风险评估的核心工具,是将合规风险识别结果转化为可操作、可执行的管理措施的关键载体,包括合规风险识别清单、重点岗位合规职责清单和关键流程管控清单。本团队的另一篇文章:《构建企业合规管理基石:浅析“三张清单”的制作与实施》对此有详细阐释,本文仅简单介绍。
1.合规风险识别清单
合规风险识别清单是基于合规义务库,按业务领域梳理风险点、成因、等级,形成企业全面合规风险图谱。合规风险识别清单应包括以下内容:
2.重点岗位合规职责清单
重点岗位合规职责清单是将合规风险防控责任落实至具体岗位,明确各岗位的合规职责。重点岗位合规职责清单应包括以下内容:
3.关键流程管控清单
关键流程管控清单是将合规风险识别清单识别出的合规风险嵌入业务流程,增加合规审查的环节,将各个环节整合起来形成流程管控清单,制定完善相应的决策流程表单、流程图。关键流程管控清单应包括以下内容:
关键流程管控清单应嵌入企业核心业务流程,如合同审批流程、供应商准入流程、招投标流程等,确保合规风险防控融入业务流程。例如,在合同审批流程中,明确"合规审查"为必经环节,要求合同部门提交合规部门审核意见;在供应商准入流程中,明确"合规尽职调查"为必经环节,要求采购部门提交合规尽职调查报告。
"三张清单"相互关联、相互支撑,形成"风险-岗位-流程"的铁三角,是ISO 37301:2021标准"6.1应对风险"条款的落地载体。通过"三张清单",企业能够将抽象的合规风险转化为具体的管理动作,使合规管理真正嵌入业务流程,实现"业务开展到哪里,合规管理就跟进到哪里"。同时,"三张清单"也为合规管理信息化建设提供了结构化数据基础,便于企业建立合规风险数据库和风险预警机制。
合规风险评估不是一次性活动,而是一个持续的过程。企业应定期对"三张清单"进行更新和优化,确保合规风险评估的时效性和准确性。合规风险评估应与企业业务发展同步,根据内外部环境变化及时调整风险等级和管控措施。
六、建设合规管理保障体系
(一)开展合规培训
开展合规培训是构建合规文化的重要环节,旨在提升全员的合规意识和能力。通过系统性的培训,组织可以确保员工理解合规义务、风险识别与防控的重要性,以及如何在日常工作中践行合规要求。培训内容应涵盖合规政策、程序、相关法律法规,以及具体的合规案例分析,以增强员工的实践操作能力。此外,定期的培训和考核机制能够不断巩固员工的合规知识,促进合规文化的深入人心。
(二)合规管理体系的系统性评价与改进
合规管理体系的系统性评价与改进是确保其有效性和持续改进的关键。这一过程对标ISO 37301标准,采用风险管理的思维模式和PDCA(计划-执行-检查-行动)逻辑,围绕合规基本原则,为组织建立、制定、实施、评估、维护和改进有效合规管理体系提供指导。
首先,合规管理体系的建设始于对内外部运营环境、相关方的需求和期望的识别,进而明确合规义务。在此基础上,进行风险识别和风险评价,确定潜在的合规风险点及其影响程度。接着,制定相应的风险控制措施,设定控制目标,通过合规方针、角色职责、能力和意识培养、沟通机制、文件化管理及技术支持等多方面手段,确保控制措施的有效实施。
合规绩效的评估是系统性评价的重要组成部分,通过定期检查和评估,验证合规管理体系的运行效果,发现存在的问题和不足。PDCA改进循环在此过程中发挥关键作用,即在管业务的同时必须管合规,将合规融入业务过程,并将合规检查嵌入业务流程,确保合规要求得到全面落实。基于评估结果,组织可以采取必要的改进措施,优化合规管理体系,提升其整体效能。
总之,合规管理体系的系统性评价与改进是一个动态循环的过程,需要组织持续关注内外部环境变化,及时调整和优化合规策略,确保合规管理始终适应组织发展的需要,为组织的稳健运营提供坚实保障。
七、合规认证现状简述及要点流程详述
(一)申请合规认证的要点和流程
当企业合规管理体系建设达到以下程度时,可以开始申请合规认证:
ISO 37301:2021《合规管理体系 要求及使用指南》是ISO在2021年4月发布实施的首个合规管理国际标准,旨在帮助全球任何类型、规模、性质和行业的组织建立、实施、评估、维护和改进其合规管理体系。GB/T 35770-2022《合规管理体系 要求及使用指南》是我国等同采用ISO 37301:2021的国家标准。
ISO 37301与ISO 9001(质量管理)、ISO 27001(信息安全)等其他管理体系标准采用相同的高层结构(HLS),便于组织将合规管理与其他管理体系进行融合。ISO 37301与ISO/IEC 17021-13:2021《合格评定 管理体系审核认证机构要求 第13部分:合规管理体系审核与认证能力要求》共同构成了合规管理体系认证的完整标准体系。
2.明确认证范围和认证领域企业应确定合规管理体系的边界和适用性,以确立其范围。认证范围应与组织的合规风险相匹配,可以是整个组织、特定业务领域或特定部门。企业宜优先选择对经营影响最深的业务领域,以及承担关键决策职能的主体(如母公司或核心子公司)作为认证对象。
认证范围的确定应基于以下内容:
(1) 4.1提及的内部和外部事项,
(2) 4.2、4.5和4.6提及的需求;
(3) 组织面临的合规风险的性质和程度。
3.ISO 37301认证的核心评估标准ISO 37301认证的核心评估标准包括符合性、适宜性、充分性和有效性:
在企业完成贯标认证后,如何继续发挥合规管理的价值,如何保障合规管理体系长时间有效运作,是一个重要的课题,以下总结了认证后可以持续优化的方向和方案,仅供参考:
6.合规认证机构比较分析
选择合适的认证机构,对企业而言至关重要。当前市场上主流的合规认证机构包括中标合信(CSCA)、SGS、BSI、DNV和中国质量认证中心(CQC),它们在服务内容、专业优势及国际影响力上各具特色。
BSI作为世界上首个国家标准机构,是ISO的创始成员,其颁发的ISO 37301证书在国际主要经济体中获得广泛认可。CSCA作为本土机构,深度参与ISO 37301合规管理体系国际标准及国家标准的制定,能够提供权威、精准的合规指导。SGS是总部位于瑞士的国际知名机构,在中国深耕多年,是多项国家标准起草单位,服务覆盖众多中央企业和行业标杆。DNV起源于挪威,在风险管理领域积淀深厚,其服务涉足能源、海事等多个行业,客户覆盖从制造业到互联网的众多头部企业。CQC作为中国“国字号”的第三方专业认证机构,拥有广泛的国内分支机构和国际互认网络,其体系认证证书受近40家国际机构认可。
总体而言,这五家机构虽均提供合规认证服务,但定位有别。CSCA和CQC深耕中国市场,更懂本土企业需求;SGS、BSI和DNV则拥有更广泛的全球网络和资源。在服务上,除基础认证外,CSCA的特色在于其诊断评价与远程审核工具。在国际认可度方面,BSI的ISO 37301认证已获得ANAB等国际组织备案,公信力强。企业可根据自身业务布局、行业特性及对国际认可度的具体需求,选择最适合的合作伙伴。