近期,国际标准化组织正式发布ISO 37301: 2021 《合规管理体系要求及使用指南》(以下简称“ISO 37301”),该标准修订并取代了2014年发布的ISO 19600: 2014《合规管理体系指南》(以下简称“ISO 19600”),为企业合规管理体系的专业化认证提供了明确的标准和有效的支撑。
放眼中国企业合规管理的发展趋势,在合规经营的指引与倡导方面,近年来随着各类合规指引与政策要求的频繁发布,合规管理规范趋于标准化。2017年,中国国家质检总局、国家标准委以ISO 19600为基础,正式批准发布GB/T35770《合规管理体系指南》。2018年年底,国务院国资委发布《中央企业合规管理指引(试行)》。同年底,国家发改委发布《企业境外经营合规管理指引》,以推动企业提升在境外经营中的合规管理水平。
在法律环境方面,2021年4月,最高检下发《关于开展企业合规改革试点工作的方案》,正式启动第二期企业合规改革试点工作,即“企业合规不起诉制度”,也彰显了企业合规建设对企业发展的必要性日渐提升。
因此,无论企业的类型、规模与行业,健全的合规管理体系将是未来企业在市场竞争中领先并实现长期繁荣的重要驱动力之一。
图1:合规管理指引频繁出台的时间线
ISO 37301的出台进一步完善了合规管理体系的国际标准,明确了企业建立、运行、维护和改进合规管理体系的要求。对标ISO 37301将有利于企业建立符合国际标准的合规管理体系,以应对新时代的合规趋势与挑战,抓住战略发展机遇,并最终通过合规创造长期价值。
相比ISO 19600,ISO 37301在风险评估、合规文化、领导层作用、人力资源流程、合规问题上报及调查等六个方面提出了更加明确与具体的要求,而我们认为这六个要素也是企业对标国际标准、建立健全合规管理体系的关键。
图2:对标ISO 37301完善合规管理体系的六大要素
01. 建立正式的合规风险评估程序
相比ISO 19600建议组织通过风险评估程序或其他替代程序进行合规风险识别,ISO 37301强化了风险评估的重要性,明确要求企业通过正式的风险评估程序识别合规风险,并对已识别的风险进行等级分类。对优先级高的风险配置适当的资源和程序,并最终覆盖所有等级的合规风险。企业应定期或在企业环境发生重大变化时执行风险评估程序,合规风险评估的详细程度和水平取决于企业的风险状况、背景、规模和目标。
02. 培育企业合规文化
ISO 37301强调企业应培育、维护和鼓励自上而下积极传导的合规文化。治理机构和最高管理层应发挥带头和示范作用,表现出对于道德行为标准的认同及以身作则,并确保各个层级的业务活动始终符合要求,使合规理念作为一种普遍意识和价值观念指引企业不同职能和不同级别的员工的业务决策。相较ISO 19600主要要求治理层、管理层需要做出合规承诺而言,ISO 37301在合规文化方面的标准更加深入与立体。
03. 强化领导层作用
ISO 37301新增了治理机构和最高管理层的责任义务,强调治理机构应确保最高管理层实现其合规目标,而最高管理层则应鼓励对合规有促进作用的行为,并对不合规的行为持零容忍的态度。同时,最高管理层应审阅合规管理体系的运行情况以确保其实现既定目标。ISO 19600则未对治理机构和最高管理层对于不合规行为零容忍的态度做出明确要求。
04. 完善人力资源流程
ISO 37301更加注重人力资源流程的完善,并新增了企业在雇佣、人事调动、晋升之前对雇员(包括具有法律雇佣关系的员工,以及与企业存在合同关系的员工)进行尽职调查(包括推荐信或背景调查)的要求。此外,企业还应增加雇佣条件,要求职员遵守企业的合规义务及合规政策、流程和程序,并对违反企业合规业务及合规政策、流程和程序的职员给予纪律处分。相较之下,ISO 19600对雇员范围的定义则强调具有法律雇佣关系的员工,且未对人力资源流程的合规风险管理做出全面的要求。
05. 建立合规问题上报机制
ISO 37301细化了合规问题上报机制的相关内容,强调企业应建立上报机制,以鼓励和帮助员工对可疑或实际违反合规规定的行为进行上报。企业可以考虑建立举报人机制,允许匿名举报,并对举报内容保密,使员工在遇到不合规的问题时能及时上报或寻求指导而不必担心遭受打击报复。ISO 19600未对合规问题沟通汇报的流程、方法与程序做出明确要求。
06. 建立调查程序
ISO 37301明确了建立有效调查程序的标准,要求企业建立、实施并维护调查程序,以响应对可疑或实际违反合规规定行为的报告。调查程序应以公平和公正为原则,由有能力胜任的人员在独立和不存在利益冲突的前提下进行,而调查的结果将用于进一步改进合规管理体系。ISO 19600未明确包含相关内容。
除了了解国际标准的变化,如何将上述要素反映及落实到企业实际的合规管理体系运行当中,将是企业能否建立健全且符合国际标准的合规管理体系的关键。
安永商业诚信与企业合规框架(Business Integrity & Corporate Compliance)是一套合规管理体系建设与运营的方法论,该框架基于当前主要的诚信与合规国际标准,以及安永团队过往在业界的丰富实践经验,旨在帮助企业建立能够对标国际且可执行的合规管理体系。
图3:安永商业诚信与企业合规框架
根据安永商业诚信与企业合规框架,在自上而下积极传导的合规文化氛围中,以及治理组织与管理层履行监督与管理职责、促进合规的大背景下,战略与支持部门、运营与业务部门及相关负责人员等将相互联动,形成企业内部合规的基础架构,通过对不合规事件的有效防范、发现与应对,使得企业实现可持续的合规管理。
针对具体落地执行,该框架以正式有效的合规风险评估为基础,从防范、发现、应对三个维度出发:
► 在事前搭建并完善基于风险的合规政策、程序、流程与控制,建立有效的预防机制,例如ISO 37301要求的人力资源相关合规管理流程;
► 在事中阶段,通过建立合规问题的举报机制与数据分析手段,结合其他常规监控措施,增强合规监控的效果;并通过进行第三方尽职调查,将合规管理覆盖到商业伙伴,进一步降低合规风险;
► 在事后应对阶段,通过适当的调查程序对不合规事件进行处理,并持续对合规体系进行完善。
随着各类合规管理标准规范、指引政策的出台以及中国合规管理法律环境的不断完善(含合规不起诉制度),企业建立与完善合规管理体系已刻不容缓。健全有效的合规管理体系能够使企业最大程度规避或减轻不合规带来的负面影响,有助于企业竞争力的提升及长期发展,并适应新时代下的发展趋势及要求。而ISO 37301的出台,使得企业在建立健全合规管理体系时有明确的标准与指引可以参考。
安永商业诚信与企业合规框架为响应ISO 37301的要求提供了具体执行方法,有助于企业建立及完善对标国际且持续有效运转的合规管理体系。如果您想更多了解如何将ISO 37301的具体要求执行落地,安永法证及诚信合规服务团队可为您提供有力的支持与协助。
本文是为提供一般信息的用途所撰写,并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。