ISO37301作为合规管理新标准于近日正式对外发布,ISO37301为企业规范合规治理、强化合规管理和加强合规文化建设提供了更具先进性、权威性、普适性和战略性的工具和方法论,也为企业的合规管理提供了通过第三方认证获得全球广泛认可的机会和途径。
在上一篇的内容中,我们对ISO37301和ISO19600有了初步的了解,本文将为大家带来更加详细的标准解读以及对比分析。
1、相同的应用范围和合规思路
1.1应用范围
两个标准都适用于任何规模和类型的组织,为其提供建立、运行、维护和改进合规管理的标准化框架。
1.2合规思路
均基于合规治理原则:治理机构将合规纳入其决策过程和融入组织的业务过程,成立合规职能部门并做适当授权,使其具备独立性并可直接接触治理机构。
均基于风险管理、过程方法和PDCA逻辑:
两个标准均通过合规义务及其合规风险和机遇的识别和评价过程确定合规管理的重点领域、目标及系统性的运行和监测要求;
两个标准均遵从过程方法,识别组织运营中的各业务过程的合规风险,将合规控制要求融入这些业务过程的运营,以各环节的合规促成系统性合规的结果;
两个标准都基于PDCA理念,将策划——执行——检查和改进的思维模式融入整个合规管理体系的建设和改进,也融入合规管理体系之中各支持性过程的建设和改进。
2、不同的目的、标准结构和应用方法
2.1目的不同
ISO19600为ISO 组织制定的B类标准,其目的在于指导组织建立、实施、评价和改进合规管理体系,为其提供指导性的指南。
ISO37301为ISO 组织制定的A类标准,其目的在于为组织提供合规管理体系的建立标准化要求和实施指南。
2.2 ISO37301标准解析
2.2.1 ISO37301标准结构
ISO37301应用了ISO/IEC Directives Annex SL的管理体系标准结构,使得合规管理体系更方便与组织已有的基于ISO组织标准的其他管理体系的整合;
图:合规管理体系通用要素
表:ISO37301标准条款结构
2.2.2 第一章 范围
明确标准适用于所有类型的组织,为其建立、制定、实施、评估、维护和改进有效合规管理体系提供要求及指南。
2.2.3 第二章 规范性引用文件
无规范性引用文件。
2.2.4 第三章 术语和定义
界定了31项术语和定义,与ISO19600标准相比较,术语和定义部分发生了如下变化:
修改“组织”的定义(3.1):增加了“注2:如果组织是较大实体的一部分,则术语”组织”仅指较大实体在合规管理体系范围内的部分”
增加“有效性”的定义(3.13):完成策划的活动并取得策划结果的程度
修改“治理机构”的定义(3.21):增加了“最高管理层向其报告”的描述以及“注1:并非所有组织,特别是小型组织都有独立于最高管理者的治理机构”和“注2:治理机构可以包括,但不限于董事会、董事会委员会、监事会或受托机构”
修改“雇员”为“人员”(3.22):将存在工作关系和合同关系的人员纳入体系
修改“合规义务”的定义(3.25):删除“合规承诺”和“合规要求”,将组织需要强制遵守和资源遵守的要求统一称为“合规义务”
增加“第三方”定义(3.30):清晰界定与合规管理体系相关的第三方的范围。
2.2.5 第四章 组织环境
标准在第四章中明确组织应深入了解其运营环境、合规义务及其带来的风险和机遇,合理确定合规管理体系范围。
与ISO19600标准比较,本章节发生了以下变化:
“4.1理解组织及其环境”条款增加了对商业模式、第三方业务的性质和范围以及组织自身的合规文化的认知要求
“4.2 理解相关方需求和期望”条款增加了“这些要求中需要通过合规管理体系解决的要求”
“4.6 合规风险评价”条款强调了组织应评价外包和第三方过程相关的合规风险,以及形成文件的信息的要求
2.2.6 第五章 领导作用
第五章强调合规管理体系中领导的作用,包括治理机构和最高管理者的作用和承诺、遵守合规治理原则、建设合规文化、制定合规方针以及明确治理机构、最高管理者、合规职能部门、管理层和员工在合规管理体系中的角色、职责和权限。
与ISO19600标准比较,本章节发生了以下变化:
将“合规治理”原则调整到本章5.1.3条款,并增加两个注解对合规职能部门的独立性做出进一步解释
增加了“5.1.1 治理机构和最高管理层”、“5.1.2 合规文化”、“5.1.3 合规治理”和“5.3.4 人员”条款,这些条款进一步强调了治理机构和最高管理层的支持在合规管理体系中的重要作用,以及将合规要求由上而下从治理决策过程贯穿到人员的具体工作从而建设组织成熟的合规文化的要求、方法和重要性
2.2.7 第六章 策划
针对合规义务、合规风险和机遇的识别评价过程,组织应针对这些风险和机遇制定应对措施。基于PDCA的方法论,第六章要求组织在各部门和层级上建立适宜的合规目标并策划实现这些目标所需的过程。当管理体系发生变更时,组织应按照既定的流程进行变更后的策划。
与ISO19600标准比较,本章节发生了以下变化:
“6.1 应对风险和机会的措施”条款增加了组织策划合规管理体系需要考虑的要素:合规目标、被识别的合规义务和合规风险评估结果
增加“6.3 变更的策划”条款,强调管理体系的动态性
2.2.8 第七章 支持
标准第七章对合规管理体系的支持性要素做出要求,包括配置资源的原则、人力资源保障、沟通和文件化信息。
与ISO19600标准比较,本章节发生了以下变化:
增加了“7.2.2 雇佣过程”条款,要求组织考虑可能在人力资源层面上产生的合规风险,应制定、建立、实施和维护适宜的雇佣过程,通过雇佣条件、尽职调查、培训和奖惩措施的实施规避或降低这些风险
将“合规文化”调整到第五章,并在“7.3 意识”条款强调工作人员应了解支持合规文化的重要性
2.2.9 第八章 运行
标准的第八章对合规管理体系在各业务过程中的运行进行过程策划、建立过程准则和实施过程控制措施和程序,并定期评审和测试这些措施和程序,以确保其持续有效。同时,对于提出关注和调查过程做出要求。
与ISO19600标准比较,本章节发生了以下变化:
增加“8.3 提出关注”条款,要求组织应建立、实施并保持程序,程序应做到鼓励提出关注、对提出关注的内容予以保密、接受匿名报告、保护提出关注的人员不被打击报复以及个人能够得到建议;组织还要确保所有人员都知晓这个程序以及他们的权利和保护措施,并能够切实使用该程序;
增加“8.4 调查过程”,要求组织制定、建立、实施并保持用于评估、调查和关闭报告的流程,对疑似不合规或实际不合规情况进行调查;该调查过程应确保决策公平公正、避免任何利益冲突;调查结果应可用于合规管理体系的改进;治理结构和最高管理者应得到定期的有关调查的数量和结果的报告。
2.2.10 第九章 绩效评价
本章节通过监视、测量、分析和评价、内审和管理评审对合规管理体系做出三级监控机制的要求,通过运行过程绩效、管理体系符合性和管理体系的适宜性、充分性和有效性监控,确保管理体系获得预期成果。
2.2.11 改进
本章节要求组织对发生的不合规或不合规采取控制或纠正措施,确保持续改进合规管理体系的适用性、充分性和有效性。
3、SGS可以为企业提供哪些服务?
SGS作为国际公认的检验、鉴定、测试和认证机构,围绕ISO37301标准以及各国家和地区的合规要求,开发了系列合规服务产品,旨在帮助全球客户提升合规管理水平,获得合规管理体系认证,助力合规经营。
对于已建立合规管理体系的组织来说,如何理解新标准的修订内容,及时将组织的合规管理体系按新标准要求调整,使合规管理体系符合新标准的要求,进而获得专业的认证是组织面临的挑战,也是证明组织经营管理合规的机会。
1、合规培训
SGS开发了从标准培训到合规实战的课程:
ISO37301标准解读
ISO37301内审员培训
ISO37301主任审核员培训
合规管理体系的建立与实施课程
合规管理审计员资质课程
合规官资质系列课程(体系+法务+内控+选PMBOK)
各种任职培训之合规部分
风险评估及控制技术课程
2、标准应用实践
SGS积累多年各专业领域的技术合规和管理体系符合性服务经验,持续开展以下合规应用服务:
合规管理差距分析
委托合规审计(基于供应链、资金链、特许链、……)
各专业领域合规尽职调查(矿业、化工、环保、安全、IT、人权、防疫、……)
标定的合规治理服务
合规计划Compliance Program 和合规报告综合服务
3、合规管理体系认证
SGS开展ISO37301合规管理体系认证的服务流程:
