作者:{admin 整理} 2021 年 4 月 13 日(北京时间),ISO 37301:2021《合规管理体系要求及使用指南》(Compliance management systems — Requirements with guidance for use)国际标准正式发布实施。 此标准的公布,将对中国企业合规建设以及律师在合规领域的开拓有重要影响。 下面为大家对该标准进行解读,并给出律师 ISO 37301 背景下,切入合规业务的方式方法。 制定背景和意义 近年来,全球贸易环境愈加复杂,在国家层面,各国监管机构相应加强了立法深度和执法力度,制定了严格的合规监管机制,引导和督促企业实施更加主动的合规经营。 在国际层面,联合国、经济合作与发展组织、世界银行集团、非洲开发银行集团、亚洲太平洋经济合作组织、国际商会等国际性组织相继制定全球性契约、指南、指引等,对合规管理核心问题形成国际共识,在相关贸易活动中对相关组织的不合规行为实施联合惩戒。合规已经成为各类组织成功和可持续发展的基础。 为了满足全球化合规的快速发展和迫切需求,提升各类组织合规管理能力,促进国际贸易、交流与合作,ISO 于 2018 年 11 月启动了 ISO 37301 的制定工作,基于最新的合规管理实践,修订并代替 ISO 19600:2014《合规管理体系指南》。 ISO 37301 的制定对于各类组织的合规管理能力建设、政府监管活动、国际贸易交流、沟通合作改善等具有重要的意义。对律师进行合规业务的切入角度和操作方式也有重要参考价值。 一来,新标准为各类组织提高自身的合规管理能力提供系统化方法,它完整覆盖了合规管理体系建设、运行、维护和改进的全流程,基于合规治理原则为组织建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。 这意味着律师可以在标准指导下为企业设计整套方案,形成区别于以往某特定领域合规建设的“大合规方案”。 二来,新标准为监管机构和司法机构采信组织的合规管理整改计划(方案)、合规管理体系实践提供参考依据,监管机构和司法机构在确定对组织违反相关法律的行为施以适当的处罚时,可以将组织的合规管理体系运行情况作为衡量处罚力度的一个考量因素。律师可以参考该标准为企业定制刑事合规方案。 三来,新标准为便利全球范围内相关方之间的贸易、交流与合作提供了通用规则,各类组织可以通过自我内部审核声明符合 ISO 37301 或者获得依据 ISO 37301 所进行的第二方、第三方认证,在相关方之间传递信任,进而为贸易、交流与合作提供便利。律师帮助企业建设相关涉外合规体系无疑更有利于企业顺畅走出国门。 ISO 37301 规定了组织建立、运行、维护和改进合规管理体系的要求,并提供了使用指南,适用于全球任何类型、规模、性质和行业的组织。合规管理体系通用要素的框架如下图所示。 根据该框架,以下七点是对于企业的关键点,律师可以从这七点入手,为企业设计完成合规建设方案。 (一)组织环境 组织所处的环境构成了组织赖以生存的基础,这些环境可能是外部的、也可能是内部的,存在需要组织遵守的法律法规、监管要求、行业准则、良好实践、道德标准,也可能包括组织自愿选择或公开声明遵守的各类规则。 因此,建立合规管理体系首先要对组织所处的环境予以认知和分析。 ISO 37301 从以下方面规定了认知和分析组织环境的要求: 一是确定影响组织合规管理体系预期结果能力的内部和外部因素; 二是确定并理解相关方及其需求; 三是识别与组织的产品、服务或活动有关的合规义务、评估合规风险; 四是确定反映组织价值、战略的合规管理体系及其边界和适用范围。 对于律师,可以从以下 5 点入手,分析优化企业的组织环境: 1.定期的环境扫描: 企业要对总部、分支机构、产品生产所在地、供应链与销售所在市场区域、员工来源地域进行环境扫描。 2.相关方扫描: 企业要清楚哪些相关方、及其要求需要通过合规管 理去满足。 3.确定建立什么样的合规管理体系: 与企业使命、愿景、战略、目标一致,覆盖的范围和管理边界。 4.合规义务扫描: 掌握企业需要遵循的法律、法规、规则、惯例、习俗、道德规范等。 5.合规风险扫描: 在企业内部,识别合规风险的分布、风险级、风险源等。 (二)领导作用 领导作用是合规管理的根本,对于整个组织树立合规意识、建立高效的合规管理体系具有至关重要的作用。 ISO 37301 对组织的治理机构、最高管理者等如何发挥领导作用作出了规定: 一是治理机构和最高管理者展现对合规管理体系的领导和积极承诺; 二是遵守合规治理原则; 三是培育并在组织各个层面宣传合规文化; 四是制定合规方针; 五是确定治理机构和最高管理者、合规团队、管理层及员工相应的职责和权限。 这 7 个方面,可以帮助企业提升领导作用: 1.建立合规治理与领导机制。 明确党委会、董事会、监事会、经理层合规管理领导职责与权限,并且建立董事会下的合规管理委员会,在企业领导班子中分管合规的负责人。 2.明确合规管理部,可以单设,或者与法务、风控部合署。 确保合规管理部能够独立、不受干扰地开展合规管理工作,并足够授权,直接向合规管理委员会、董事会汇报,或参加相关的决策会议、能独立发表合规意见。 3.结合国企纪检、审计的职责分工,明确其在合规管理体系中的合规举报、合规调查、内部审核等方面的职责。 4.按照各业务、职能的分工,明确各业务、职能部门在本业务系统、业务线的合规管理职责,并对员工的合规职责子以明确。 5.制定企业的合规方针。 结合企业使命、愿景、战略,对企业追求的合规价值、与企业的战略的关系、企业合规目标结构、承诺、合规治理原则、要遵循的合规义务、内部举报、不合规的问责与惩罚等方面做出明确的项层规定。 6.领导率先垂范。 企业主要领导应展示对合规管理体系的领导和积极承诺,其他领导在分管范围也应有相应的承诺和合规管理行为。 7.积极培育和树立企业的合规文化,井在企业的各个层面宜传合规文化。 (三)策划 策划是预测潜在的情形和后果,在战略层面的策划,对确保合规管理体系能实现预期效果,防范并减少不希望的影响,实现持续改进具有重要作用。 ISO 37301 从以下方面规定了策划合规管理体系的要求: 一是在各部门和层级建立适宜的合规目标,策划实现合规目标需确定的要件; 二是综合考虑组织内外环境问题、需要遵循的合规义务和合规目标,策划应对风险和机会的措施,以及如何整合到合规管理体系、如何评价这些措施的有效性; 三是有计划地对合规管理体系进行持续改进。 这个策划是在企业战略层面的一个合规策划,律师可以针对性调研后给出顶层设计方案: 一是设定合规目标体系。在各部门和层级设定合规目标,明确考核周期、责任人、措施。 二是设计和策划应对合规风险的防控措施,并策划这些措施如何整合到合规管理体系、如何评价这些措施的有效性。 三是定期地对合规管理体系进行持续改进。 (四)支持 支持是合规管理的重要保障,对于合规管理体系在各个层面得到认可并保障合规行为实施具有重要的支持作用。 ISO 37301 从以下方面规定了支持措施: 一是确定并提供所需的资源,例如财务资源、工作环境与基础设施等; 二是招聘能胜任且能遵守合规要求的员工,对违反合规要求的员工实施问责等措施; 三是提供培训,提升员工合规意识; 四是开展内部和外部沟通与宣传; 五是创建、控制和维护文件化信息。 律师从以下几个方面,可以结合法律法规、企业内部规章等规则,建立合规管理体系建设和运行的保障体系,包括: 人:包括把好员工招聘入口关,雇佣、调动和晋升前有合规尽调,持续的合规培训,不断强化员工的合规意识。 财:列出年度的合规管理预算。 物:提供办公室、办公设施、软件等。 内外宜传:对内、对外进行积极的合规管理体系宜传。 文件支持:合规管理方面的文件制度及时的提供给对应的员工和岗位。 (五)运行 运行是立足于执行层面,策划、实施和控制满足合规义务和战略层面规划的措施相关的流程,以确保组织运行合规管理体系。 ISO 37301 从以下方面对运行作出了规定: 一是实施为满足合规义务、实施合规目标所需的过程以及所需采取的措施; 二是建立并实施过程的准则、控制措施,定期检查和测试这些控制措施,并保留记录; 三是建立举报程序,鼓励员工善意报告疑似和已发生的不合规; 四是建立调查程序,对可疑和已发生的违反合规义务的情况进行评估、调查和了结。 这是在执行层面、即业务流程层面的具体合规策划和控制工作。律师应帮助企业高效落地: 一是在公司各业务活动、职能管理活动的制度中增加合规风险防控措施。 二是在合规风险高的重点业务领域,制定专门的合规管理指引。 三是定期检查、评价合规风险的防控效果。 四是建立举报制度。设立畅通的举报渠道,鼓励员工举报。 五是建立合规举报调查制度,对举报进行评估、调查和了结、对于我们国企,应针对举报内容、被举报人不同,分工给纪检、监察等有关部门进行调查处理。 (六)绩效评价 绩效评价是对合规管理体系建立并运行后的绩效、体系有效性评价,对于查找可能存在的问题、后续改进合规管理体系等具有重要意义。 ISO 37301 对如何开展合规管理体系绩效评价作出了规定: 一是监视、测量、分析和评价合规管理体系的绩效和有效性; 二是保持合规记录准确、最新、可查; 三是有计划地开展内部审核; 四是定期开展管理评审。 这四个方面可以配合企业建立相应绩效评价规则: 一是在企业各部门、各业务线设定合规监测指标,定期和不定期扫描、报告合规运行结果情况。 二是加强各部门、各分支机构的合规管理记录、文档的档案管理,确保合规记录准确、最新、可查。 三是培训企业内部兼职审核员,有计划地开展合规体系内部审核。 四是企业董事会每年听取一次合规管理年度综合情况汇报,从战略层面对合规体系进行管理评审。 (七)改进 改进是对合规管理体系运行中发生不合格/不合规情况做出反应、评价是否需要采取措施,消除不合格/不合规的根本原因,以避免再次发生或在其他地方发生,并持续改进,以确保合规管理体系的动态持续有效。 ISO 37301 从以下方面对改进作出了规定: 一是持续改进合规管理体系的适用性、充分性和有效性; 二是对发生的不合格、不合规采取控制或纠正措施。 合规服务应当是长期的、持续的,律师在服务后期应特别重视这四个方面: 一是建立企业与员工行为不合规管理台账,实施全过程、闭环管理。 二是建立监视、测量、分析和评价合规管理体系风险的问题管理台账,实施全过程、闭环管理。 三是建立合规管理体系建设与运行不合格管理台账,及时登记内部审核、外部第二方、第三方审核发现的不合格问题,实施全过程、闭环管理。 四是建立领导对合规管理评审意见台账,专项落实与改进。 标准的应用 作为 A 类管理体系标准,ISO 37301 主要有四种应用方式。 一是作为各类组织自我声明符合的依据。各类组织通过实施 ISO 37301,建立并运行合规管理体系,一方面使得组织的行为以及行为结果合规,另一方面在需要时还能够据此标准追溯组织是否符合了合规管理体系规定的内容,或证实是否达到了合规要求。 二是作为认证机构开展认证的依据,ISO 37301 规定了合规管理体系的要求,并提供了建议做法和指南,认证机构在认证活动中,可以直接应用或者在其认证技术规范中明确 ISO 37301 作为组织符合合规管理体系要求的认证依据。 三是作为政府机构监管的依据。政府机构可以将 ISO 37301 确立的合规管理体系内容应用于行政监管活动,通过对组织的合规管理体系运行情况评价结果来匹配相应的监管手段和措施,实施精准监管。 四是司法机关对违规企业量刑与监管验收的依据。可以将 ISO 37301 确立的合规管理体系要求作为司法机关对涉及违规企业量刑的考量依据,可以作为落实依法不捕不诉不提出判实刑建议等司法意见、制定合规指引、督促企业合规整改和第三方监管验收的依据。 结语 2021 年,合规之势方兴未艾。2 月,国资委发布《国资监管责任约谈工作规则》,明确出现合规问题的企业,将被作为约谈对象。3 月,《最高人民检察院工作报告(2020 年)》也强调“督促涉案企业合规”;十三届全国人大四次会议表决通过的“十四五”规划明确要求企业要加强合规管理。而本月发布的国际标准无疑将合规再一次推向了新高峰。 “合法”与“合规”虽有差异,“合规”除了合乎法律法规,还有合乎企业规则、国际规则和道德规范等。会更加站在企业顶层的角度去考虑问题、设计方案,创造更大价值。律师作为规则的守护者与运用者,可以说是企业合规外部力量的最合适人选。 律师可以通过以上对 ISO 37301 的专家解读开发相关合规产品,从更高更深入企业内部的角度,为企业创造价值。 注:以上文字信息来自中国标准化研究院,律师业务建议由专家组成员中建科技集团樊光中先生提供。 |
