合规管理体系的介绍_北京转创国际管理咨询有限公司广东分公司

为提升各类组织合规管理能力，促进国际贸易、交流与合作，基于最新的合规管理实践，ISO于2021年4月正式发布实施ISO 37301:2021《合规管理体系要求及使用指南》标准，替代ISO 19600:2014《合规管理体系指南》标准。为各类组织提高自身的合规管理能力提供系统化方法，它采用PDCA理念，完整覆盖了合规管理体系建设、运行、维护和改进的全流程，基于合规治理原则为组织建立并运行合规管理体系、传播积极的合规文化提供了整套框架要求和实施指南。

回顾国内外合规管理标准的发展，受经济全球化影响，营造公开、透明、公平、有序的营商环境，加强对企业的合规监管，已成为各国的共识，并逐步形成一套合规管理体系国际标准。为保证我国各类组织的合规管理规则与国际同步，2022年10月12日，GB/T 35770-2022《合规管理体系要求及使用指南》正式发布，该标准等同于国际标准ISO 37301:2021，是我国又一重磅级的管理体系认证标准，将对我国企业及组织的合规管理具有指导意义。ISO 37301具有国际通用性，它非常灵活，可以适应广泛的组织，无论规模、部门、性质和行业、结构、地理或司法管辖区如何。它适用于小型、中型和大型组织，以及组织的某些部分。ISO 37301可供商业企业以及非营利和非政府组织使用，也可用于公共部门。

合规管理体系通用要素及框架如下图所示：

“合规”一词是由英文“compliance”翻译而来的。它通常包含以下三层含义：

- 遵守法规，即公司总部所在国和经营所在国的法律法规及监管规定；

- 遵守规制，即企业内部规章包括企业的合规行为准则；

- 遵守规范，即职业操守和道德规范等。合规是一个企业走向规范经营的系统化过程，即企业在经营活动包括全流程各个环节中的合规。

作为ISO发布的A类管理体系标准，ISO 37301至少有四种应用方式：

1. 作为各类组织自我声明符合的依据。各类组织通过实施ISO 37301，建立并运行合规管理体系，一方面使得组织的行为以及行为结果合规，另一方面在需要时还能够据此标准追溯组织是否符合了合规管理体系规定的内容或证实是否达到了合规要求。

2. 作为认证机构开展认证的依据。ISO 37301规定了合规管理体系的要求，并提供了建议做法和指南，认证机构在认证活动中，可以直接应用或者在其认证技术规范中明确ISO 37301作为组织符合合规管理体系要求的认证依据。

3. 作为政府机构监管的依据。政府机构可以将ISO 37301确立的合规管理理念应用于行政监管活动，通过对组织的合规管理体系运行情况评价结果来匹配相应的监管手段和措施，实施精准监管。

4. 作为司法机关对违规企业量刑与监管验收的依据。可以将ISO 37301确立的合规管理体系要求作为司法机关对涉及违规企业量刑的考量依据，可以作为落实依法不捕不诉不提出判实刑建议等司法意见、制定合规指引、督促企业合规整改和第三方监管验收的依据。

按照ISO 37301:2021合规管理体系标准建立、制定、实施、评价、维护和改进合规管理体系，并通过第三方评审，具有多方面的收益。简而言之，可以概括三个方面：

1. 提升合规能力

在一个组织中难免存在各类程度不等的合规风险。组织通过按ISO 37301:2021合规管理体系标准的要求建立、运行、维护和改进合规管理体系，可以有效地落实合规要求，传播积极的合规文化，不断地进行自我检视与调整，提升内部自查自纠能力和整体管理水平，提升合规能力，降低违规风险。在某些法域，法院对组织违反相关法律的行为作出处罚时，可以将组织的合规管理体系运行情况作为衡量处罚力度的一个考量因素。

2. 提升竞争能力

合规管理是一项持续的举措，组织通过合规管理体系的有效实施，应对不断变化的监管环境、业务增长或地域范围，识别适用的合规义务、评估合规风险并保持及时更新，制定相应措施管控合规事务，保持业务连续性，从而提升竞争能力，降低市场风险。

3. 提升企业信誉

ISO 37301:2021为便利全球范围内相关方之间的贸易、交流与合作提供通用规则，各类组织可以通过获得ISO 37301:2021第三方认证证书，在相关方之间传递信任，赢得合规的良好信誉，为贸易、交流与合作提供便利，获取更多商业机会。

在此给大家介绍一个著名的合规案例。2011年至2013年9月，雀巢公司西北区婴儿营养部市务经理、兰州分公司婴儿营养部甘肃区域经理，为了抢占市场份额，推销雀巢奶粉，授意该公司其他4名被告人通过拉关系、支付好处费等手段，多次从兰州当地医院医务人员手中非法获取公民个人信息。其中，多名被告人非法获取公民个人信息数量从900余条到4万余条不等。

在一审庭审质证过程中，雀巢公司通过出示公司的政策与指示、雀巢宪章、关于与卫生保健系统关系的图文指引等证据，证实雀巢公司明确规定不允许员工因推销0-12月龄健康婴儿使用的婴儿配方奶粉为目的，直接或间接地与孕妇、哺乳妈妈或公众接触。不允许员工未经正当程序并经公司批准而主动收集公民个人信息，并且从不为此向员工、医务人员提供资金。同时，雀巢公司通过培训、签署承诺函等方式确保员工知道公司的相关要求。

一审法院判决涉案员工均构成侵犯公民个人信息罪，各被告提起上诉，上诉理由是自己的行为系公司行为；自己的行为都是公司下达的任务；自己的行为是按照公司要求所做的，所获取的信息都是提供给公司的等等。

二审法院经过不开庭审理后认为：“单位犯罪是为本单位牟取非法利益之目的，在客观上实施了由本单位集体决定或者由负责人决定的行为。雀巢公司手册、员工行为规范等证据证实，雀巢公司禁止员工从事侵犯公民个人信息的违法犯罪行为，各上诉人违反公司管理规定，为提升个人业绩而实施的犯罪为个人行为。”据此，二审法院裁定驳回上诉，维持原判。

由此可见，由于雀巢公司建立并实施了完善的合规管理制度，减轻了公司蒙受商誉和利益损失，避免了企业及其责任人深陷危机。

那么，组织是否需要创建一个新的、单独的合规性管理计划来获得 ISO 37301 认证？

答案是不需要。ISO 37301要求的措施旨在与现有的管理流程和控制相结合。ISO 37301遵循ISO管理体系标准的通用高级结构，可以与其他管理体系标准集成，如ISO 9001（质量），ISO 14001（环境）和ISO 37001（反贿赂）。新的或增强的措施可以整合到现有系统中。

举个例子，某个公司建立了设计开发流程，在管理程序中提到了质量和环境要求，这其实是不足够的，为了满足所识别的合规要求（这是企业可持续发展的基石）在其中还可能包括：

与客户和供方的保密协议；消费者权益保护;
防止侵害他人权力、如抄袭、仿制、窃密等；
新产品、新技术的知识产权保护；
识别产品和服务相关的法律法规和强制标准要求并遵照执行；
防止在设计开发过程中可能出现的腐败行为，如贿赂、舞弊、垄断、不正当竞争；
关注进出口管制、经济制裁、国家安全审查。

如果是IT行业，更要注意。目前中国和国际对信息安全尤其重视。例如近年中国颁布了很多法律法规，如《网络安全法》、《密码法》、《数据安全法》、《个人信息保护法》、《互联网信息服务算法推荐管理规定》等，欧盟和美国也在加强大数据、云计算、个人隐私方面的法律法规，我们要通过建立充分有效的管理体系来确保组织的运行合法合规。

与ISO 37301相关的一些标准和要求包括：

ISO 9001质量管理体系–要求
ISO 14001环境管理体系–要求和使用指南
ISO 37001反贿赂管理体系–要求和使用指南
ISO 26000社会责任指南
ISO 31000风险管理指南
ISO 37002举报管理系统指南
ISO 37000 组织治理指南
ISO 31022：2020《风险管理-法律风险管理指南》
其他相关还有《中央企业合规管理办法》国务院国资委2022年10月1日正式实施

文末，我们给朋友们送上福利，由于组织可能涉及的合规要求非常多，包括国际、国内、不同地区、行业、以及各个领域，不能完全覆盖，我们给大家例举一些合规管理体系重点关注领域供大家参考。

1. ISO 14001环境管理体系中环境因素的识别

2. ISO 45001:2018危险源辨识的重要性及方法简介

3. 质量管理体系中 “基于风险的思维”的理解

4. QEHS管理体系整合思路