对 ISO 37301 和 ISO 19600差异的分析
ISO 37301《合规管理体系 要求及使用指南》标准将替代ISO 19600:2014《合规管理体系 指南》,目前已发布国际标准草案(FDIS),并计划于2021年上半年正式发布。ISO/FDIS 37301标准更加强调建立合规文化的重要性,彰显了合规文化建设在合规管理体系建立中的核心作用,内容上增加了对雇佣过程、合规疑虑的汇报及调查程序等相关条款,在使用上将原来的指南类标准转换为适用于认证的要求类管理体系标准。
面对日益复杂的国际形势和日趋严峻的贸易保护主义态势,为了应对全球化竞争中企业面临的合规风险,强化企业对合规文化和合规管理体系的认识,国际标准化组织(ISO)于2018年启动了对ISO 19600标准[1]的修订工作,将原来的指南类标准修订为适用于认证的要求类管理体系标准,以期为各类组织合规管理体系的建立提供明确思路和清晰指导。获得国际通认的合规性管理体系有助于增加对组织的信任,从而减少全球贸易壁垒。对于已建立合规管理体系的组织来说,如何理解新标准的修订内容,及时将组织的合规管理体系按新标准要求调整,使合规管理体系符合新标准的要求,进而获得专业的认证是组织面临的挑战,也是证明组织经营管理合规的机会。本文从两个标准的差异比对和对新标准的理解,为组织调整和建立合规管理体系提供指导。考虑到管理体系标准的统一性和融合性,ISO/FDIS 37301(以下简称“新版标准”)[2]的结构框架上与ISO TC 309其他标准结构,如ISO 37001《反贿赂管理体系 要求及使用指南》的结构保持统一,即采用正文要求加附录指南的结构,保持了管理体系的高阶架构,并在此基础上对标准中部分条款内容进行了合并或拆分。新旧标准框架的差异见表1。 表 1 ISO/FDIS 37301与ISO 19600标准的差异分析表
2.合规管理体系要素分析
新版标准引言中给出了如图1所示的合规管理体系的几大要素。(1)领导作用、治理及文化作为三大核心支柱。合规管理体系最根本的驱动力在于领导层对合规建设的关键作用,从而形成自上而下积极传导的合规文化。因此,强有力的合规管理体系,要求组织的治理机构、最高管理者发挥带头和示范作用,树立组织和领导层清晰的价值观,促进和鼓励合规行为,将合规理念灌输到每一位职员的思想和行动中。(2)组织的目标、原则及内外部环境作为合规管理体系建设的三大基础。新标准以良好治理、均衡、完整、透明、当责及可持续性为原则,指导组织建设合规管理体系。与此同时,全面识别和充分理解组织所处的法律、信息化程度、财务、组织架构及相关方的要求等内外部环境是确保合规管理体系有效性和完整性的基础。强大的合规管理体系可帮助组织持续遵从和遵守各相关方的要求,从而帮助组织保护和提升声誉和信誉,增强第三方对组织的信任,获得更多的商机,实现可持续性发展。(3)建立、制定、实施、维护、评估和改进作为合规管理体系的六大行动。合规管理体系的建设遵循PDCA循环逻辑,以持续改进原则为基础,在领导力和合规文化的内核驱动下,结合组织的合规目标、原则及内外部环境,建立合规管理体系,制定符合组织文化和目标的相关流程并在组织内有效地运行实施,并通过定期、不定期地维护和评估,纠正和改进合规管理体系的漏洞。新版标准在合规文化方面增加了最高管理者对合规行为的促进作用和对不合规行为的遏制及零容忍态度。结构上,新版标准将合规文化从支持(第7章)调整到领导作用(第5章)章节。从对合规文化的要求及结构上的调整不难看出,新版标准强调了建立合规文化在合规管理体系建设中发挥的重要作用。治理机构积极参与和监督是合规管理体系有效运行的组成部分。新版标准在治理机构和最高管理者(5.3.1条款)中增加了对治理机构实质性的责任义务,要求治理机构确保最高管理者达到合规目标,同时要求对最高管理者进行合规管理体系运行情况的监督。人是管理组织得以合规经营的关键要素。新版标准在对合规管理体系所管控的“人”的范围从原有法律认可的雇佣“员工”延伸到了与组织存在合同关系的所有“职员”,并增加了对雇佣程序(7.2.2条款)的内容,要求组织对职员增加以下的管理措施。雇佣条件中要求职员须遵守组织的合规义务、政策、流程和程序。在开始雇用的合理期间内向职员发放或提供获取合规方针及合规方针相关的培训。对违反组织合规义务、政策、流程和程序的职员,应采取适当的纪律处分。同时,要求组织考虑因岗位和人事安排造成的合规风险。在职员聘用、转岗或晋升之前,需按照要求进行尽职调查,并要求组织定期对绩效目标、绩效奖金和其他激励措施进行审核,以确保有合理的措施防止违规行为。畅通合规疑虑的汇报渠道和建立合理的调查程序是组织识别和预防合规风险,改进合规管理体系行之有效的方法。新版标准在合规方针中要求组织倡导提出合规疑虑的行为,并禁止任何形式的报复;同时在沟通条款中增加了员工提出合规疑虑的沟通流程要求;在意识(7.3条款)中提出了合规疑虑汇报的方法和程序;最后,在“第8章 运行”中专门增加了对合规疑虑的汇报(8.3条款)程序,以鼓励和帮助职员能够对可疑或实际违反合规方针或合规义务的不合规情况进行汇报,同时要求保障该程序的保密性,保护提出合规疑虑者免遭报复。新版标准还增加了对上述报告的调查程序(8.4条款),以评价、评估、调查和处理可疑或实际违规事件的报告。调查程序以公平公正的原则,由无利益冲突且有能力胜任该项工作的人员独立开展。新版标准将旧版标准8.3条款外包过程中对外包和第三方相关的过程的合规风险调整到4.6条款,要求组织保留有关合规风险评估和应对其风险措施的文件化信息。新版标准中对合规团队责任义务进行了调整,将合规团队的主要职责分为对合规管理体系的运行、行使监督及提供相关信息等三大内容。在合规管理运行的义务上,从原先的识别合规风险调整为对合规风险评估的记录,即风险评估工作中合规团队可以不再是组织者的角色。此外,新标准中合规团队不再是为员工提供或组织持续培训的角色,而是监督对人员的培训是否要求开展。本文列出了ISO/FDIS 37301和ISO 19600的主要差异,为已建立合规管理体系的组织提供应对变化的参考。新版标准更加注重合规文化在企业管理上的作用,强化治理机构在合规管理中的领导作用,为组织可持续发展的长效机制提供良好的指导,帮助企业提升全球竞争力。