ISO:全称《合规管理体系要求及使用指南》,是由ISO/TC技术委员会编制,由ISO组织在年4月发布和实施,适用于全球任何类型、规模、性质和行业的组织。
作为A类管理体系标准,ISO:《合规管理体系要求及使用指南》标准发布后,替代了ISO:《合规管理体系指南》(对应的中国标准为GB/T:)。两项ISO标准均基于相同的架构、以风险导向为基础的方法,并注重整体的合规管理系统,但是,只有ISO可以用作第三方认证的准则。ISO规定了组织建立、运行、保持和改进合规管理体系的要求,并提供了使用指南,为各类组织提高自身的合规管理能力提供系统化方法。它采用的PDCA理念完整覆盖了合规管理体系建立、运行、保持和改进的全流程,基于合规治理原则,为组织建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。ISO在ISO的基础上进行了修订,增加了一些要求(如针对雇佣的具体要求、针对合规举报和调查的要求等)。如果企业已经按照ISO:《合规管理体系指南》搭建合规体系,还需要进一步对照ISO:《合规管理体系要求及使用指南》的要求进一步完善合规体系,方可满足认证要求。
ISO的制定对于各类组织的合规管理能力建设、政府监管活动、国际贸易交流、沟通合作改善等具有重要的意义。其为企业治理者提高组织自身的合规管理能力提供系统化方法,为监管机构和司法机关采信企业组织的合规管理体系实践提供参考依据,为便利全球范围内相关方之间的贸易、交流和合作提供通用规则。
企业获得ISO认证的好处
01作为企业和相关高管设计和运行合规管理的工具
采用PDCA理念的ISO完整覆盖了合规管理体系建设、运行、维护和改进的全流程,其在合规管理体系设计和运行上,为企业提供了高度的灵活性,能够满足不同规模、类型、性质、行业的企业基于自身合规需求搭建合规管理体系。同时,如前文所述,ISO与ISO其他组织管理标准之间是支撑和融合的关系,如果企业已建立起反商业贿赂、信息安全管理、质量管理、环境管理等体系并取得相应的ISO认证,则企业以ISO为标准搭建合规管理体系时,可以实现更高效率、更低成本地融贯企业既有的专项管理体系,保持企业合规管理体系的系统性和协调性。
02传递商业信任
在海内外复杂严苛的合规监管环境背景下,ISO作为企业获得第三方认证的依据,能够展示企业符合国际标准的合规管理能力,较高程度满足商业伙伴的合规管理要求,帮助企业在客户合作、多边合作、政府合作中传递商业信任。
03作为企业向监管机构证明存在合规管理体系
获得ISO认证的企业,在应对监管机构的检查时,一方面,能够将基于ISO确立的合规管理理念用于行政监管活动的反馈;另一方面,能够通过对企业合规管理体系运行情况的评价结果来匹配相应的监管手段与措施,实现精准应对监管。
04作为企业向司法机关提供关于违规量刑的正面证据
《-企业家刑事风险分析报告》显示,在年12月1日至年11月30日公开的刑事判决案例中,共检索出企业家犯罪案例件,企业家犯罪次。在次企业家犯罪中,共涉及犯罪企业家5人。其中,国有企业家犯罪数为次,约占企业家犯罪总数的7.14%;民营企业家犯罪数为次,约占企业家犯罪总数的91.85%;外商及港澳台企业家犯罪数为20次,约占企业家犯罪总数的0.61%。[1]企业家犯罪往往同时暴露出企业合规管理问题,牵涉单位犯罪,严重的甚至危及企业存亡。
自年3月至今,最高人民检察院(下称“最高检”)持续推动我国的企业合规改革试点工作。两年时间内,最高检先后开展了两期企业合规改革试点工作,与九部门联合发布了《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)实施细则》和《涉案企业合规第三方监督评估机制专业人员选任管理办法(试行)》(年11月22日),并先后于年6月3日和年12月8日,发布两批共10件企业合规典型案例,积极推进企业合规改革试点工作。
对于涉嫌刑事犯罪的企业而言,获得不起诉的处理具有相当的积极作用。一方面,获得不起诉的处理意味着该企业不必因其违法犯罪行为而被迫终止运营或破产,同时企业雇员也免于遭受失业风险;更为重要的是,合规不起诉制度为企业运营创造了一定的激励制度,促进企业合规体系的建立与落实,为企业后续的合规经营打下坚实基础。
ISO认证可以帮助涉嫌刑事犯罪的企业向司法机关展示企业具备良好的合规管理体系,以及持续改进企业合规管理的诚意。该认证既能作为司法机关对涉嫌刑事犯罪的企业量刑的考量依据,也能作为落实依法不捕不诉不提出判实刑建议等司法意见、制定合规指引、督促企业合规整改和第三方监管验收的正面依据。
综上,企业取得ISO认证,对董事会和员工是证明运营风险管理的合格证,对监管部门和投资方是企业的信用证,对顾客和国际供应链是通行证。例如,今年年初,美的集团便获得全国首张ISO:合规管理体系国际标准证书,美的集团全球法务总监陈敏认为:“标准化的合规实践有如一张全球有效的签证,有利于消减准入障碍与疑虑。经过专家层面的技术共识、利益相关方的协商一致,得到各界认同的合规管理ISO标准,让企业的合规管理体系更容易被相关方接受和认同。”
企业如何搭建合规体系以获得ISO认证
一、合规体系搭建的方法论
企业合规经营的关键支柱在于合规体系之搭建。要使合规管理形成企业经营的“防火墙”,保护企业免受因合规风险所带来的严重影响或重大损失,企业应当根据其行业特点和经营管理模式搭建针对性的合规体系。而一个行之有效的合规体系搭建,离不开合理的制度和程序、高层参与、风险评估、尽职调查、培训和沟通、监督和审核六大组成部分,这六大组成部分也是ISO合规管理体系基本要素的要求。具体而言:
01合理的制度和程序企业应制定合理的制度和程序,其作为企业合规体系的核心,是企业所有员工履行职责的基本要求。主要分为以下四方面:(1)企业行为准则,这是企业经营管理和文化建设的纲领性文件,包括企业愿景、使命、核心价值观、合规方针、社会责任等方面;(2)企业合规管理制度,这是企业合规部门进行合规管理的程序性规章制度,包括合规组织制度、合规风险管理流程、合规审查流程、违规举报、调查与处置流程、合规报告程序等方面;(3)职能部门管理规章,企业不同的职能部门涉及到不同的合规规范的执行与遵守,例如,管理、财务、人事行政、法务、内控等部门均有相对应的合规规范;(4)业务合规流程,企业各业务领域涉及不同的合规规范,例如传统的业务合规流程、网络安全合规流程、产品合规流程、跨境电商领域合规等,具备较强的专业性,往往需要企业合规部门与业务部门合作制定和修改相关的业务合规流程。
02高层参与企业合规运作应有高层的参与,形成较为成熟的合规组织体系。高层参与能够使企业形成上下连贯的合规组织结构,如公司自上而下设立合规委员会、分支机构和职能部门中的合规部门,合规部门直接向公司合规委员会和首席合规官汇报。这样能够确保企业管理层及时识别合规风险并采取应对措施。
03风险评估定期或不定期地对企业活动中存在的合规风险进行识别与评估。例如,在投融资或收购项目中,企业需要对该项目进行合规风险评估,评估结果作为决策参考,降低企业风险。
04尽职调查合规部门针对已存在的合规风险进行调查和研究,形成合规风险报告,并研究制定和实施降低风险的措施。
05培训与沟通企业需要定期组织培训和沟通,一方面能够确保员工了解最新的法律法规、监管规定、企业内部规章制度等方面内容;另一方面也能够保证企业高层管理者与其它层级员工维持一种稳定的沟通,使企业高层管理者的合规理念与态度能够顺畅传达至企业各层级员工,形成合规文化。
06监督与审核企业应建立合规监控体系,包括监督与审核。监督是指企业的高层管理者或员工在进行业务活动时,都应在其职责范围内进行可持续的管理与监督,检查每一项业务活动是否存在违规行为。审核是企业对合规管理体系运行情况的评审,企业通过审核及时发现问题并加以整改,有助于持续提升合规管理能力,确保企业的合规体系在全球各地得到了良好的贯彻执行。
二、实操示例:数据合规体系的搭建与落地
在了解企业合规体系搭建方法论的基础上,我们以数据合规为例,结合数据合规应用场景,分享企业数据合规体系搭建和落地的方法论。
01搭建数据合规体系
企业的数据合规体系搭建步骤大致可分为以下三个阶段:
第一阶段,数据核查。从信息安全角度进行数据核查的常规做法是使用软件来“感知”一个系统内的数据种类,并给予这些数据的敏感程度对该系统提出整体的安全方案。例如,有些比较
