2021 年國際標準化組織(ISO)正式發布了《合規管理體系要求和使用指南》(ISO 37301:2021)。2022 年 10 月 12 日,等同采用國際標準的國標《合規管理體系要求及使用指南》(GB/T 35770—2022)正式發布。合規管理體系有了能夠用于認證活動的標準,各類組織聲明符合合規管理體系要求也有了依據。一些認證機構已經據此開展了合規管理體系認證活動,向客戶頒發了合規管理體系認證證書。但是,關于合規管理體系認證范圍如何界定和劃分,目前在認證機構實踐活動中存在著不同的理解和做法,本文通過分析、研究,給出筆者關于認證范圍劃分原則的思考和建議。
一、目前已頒發的合規管理體系認證證書
認證范圍的類型
ISO 37301 于 2021 年 4 月 發 布,GB/T35770 于 2022 年 10 月發布,屬于非常新的認證領域。截至 2022 年底,共有約 160 個組織獲得 ISO 37301 國際標準認證證書。經初步查詢、分類,目前已頒發的合規管理體系認證證書的認證范圍的描述大致可分為以下 3 種類型:
第一種類型為“組織的業務范圍 + 合規管理 + 適用性聲明”,如認證范圍為:XX 集團云服務的合規管理,與 XX 年 XX 月 XX 日的適用性聲明相一致;
第二種類型為:“組織的業務范圍 + 專項合規領域”,如 XX 集團云服務相關的數據保護合規管理;
第三種類型為“組織的業務范圍 + 合規管理”,如 XX 集團云服務相關的合規管理。
關于第一種類型,適用性聲明是信息安全管理術語,根據 ISO/IEC 27001:2022 信息安全管理體系要求的相關內容,組織應制定一個適用性聲明,包括必要的控制、控制的正當理由、排除附錄 A 控制的合理性說明等內容,因此信息安全管理體系認證證書范圍都會標注出適用性聲明的版本。在合規管理體系認證實踐的初期探索階段,在認證證書范圍引入適用性聲明的做法,有利于引導組織自我識別合規義務和合規風險,也有利于降低認證機構的認證風險,但是合規管理體系與信息安全管理體系從標準內容設定到實際運行都存在著比較大的區別,因此適用性聲明這種表述不太適合合規管理體系認證范圍。
關于第二種類型,采用這種認證范圍類型的機構,主要基于這樣一種理論,即合規管理體系分為專項合規(又稱小合規)和全面合規(又稱大合規)。認證機構很難對于組織的全面合規做出認證證明,這也存在非常大的認證風險。因此,在認證證書的認證范圍上要界定到具體專項合規領域。
關于第三種類型,目前大多數的認證機構采用的是這種類型的認證范圍,直接根據標準的內容進行描述。
筆者贊同第三種認證范圍類型,下文將重點分析闡述為什么合規管理體系認證范圍不建議按第二種類型方式再對合規管理進行專項合規領域的分類,而應根據組織的業務范圍給出認證結論。
二、“專項合規”“全面合規”并非
合規管理體系認證活動中的概念
在國際和國內的合規管理體系相關標準中,沒有關于“全面合規”“專項合規”的術語和定義,這種說法和描述目前多在法律界、法律工作者或者法學家的文章里出現。但是,彼此之間對于“全面合規”“專項合規”的概念和理解也不一樣。下文將選取幾種比較典型的說法。
(一)“全面合規”和“專項合規”是從法律維度分類的概念
根據中國企業家協會編制的《企業合規事務管理(高級)》教材內容,綜合合規(又稱大合規)與專項合規是按企業合規的法律維度進行分類。“依合規所應對的法律風險集內含的風險點數量,企業合規計劃的類型可以分為綜合合規,俗稱大合規,和專項合規。前者是籠統地針對所有違法犯罪風險建立合規體系,后者則是針對特定違法犯罪風險點而細化的合規體系”。“企業合規的業務分類維度,一般存在于管理學討論視角下,更始于非專業從業人員間溝通和落實合規管理措施。這種分類方法因為更貼合非法律從業人員對于企業經營行為的理解習慣,因此也經常出現在企業實踐場景中”。
(二)“全面合規”是多個必要的“專項合規”
專項合規是針對企業經營活動特定領域的合規風險建設并實行的合規管理體系,如反商業賄賂、反壟斷和反不正當競爭、數據保護、安全環保等。而全面合規則是針對企業經營活動主要領域合規風險建設并實行的多個專項合規管理體系。“全面合規一般是由兩個以上的、必要的專項合規組成的復合型合規管理體系,但并不要求囊括所有的專項合規。如果說專項合規是企業合規管理中的‘某一項’,那么全面合規就是企業合規管理中‘必要的多項’。”
(三)全面合規適用于事前防范,專項合規適用于事后整改
目前,我國最高檢的涉案企業合規建設明確要求涉案企業針對與涉嫌犯罪有密切聯系的合規風險,制定專項合規整改計劃。北京大學法學院教授陳瑞華認為,在日常性合規管理體系建設中,由于企業并未發生迫在眉睫的現實合規風險,企業通常按照“全面合規體系說”的理念,建立“大而全”的合規管理體系。而“涉案企業”在面臨行政執法調查、刑事追訴乃至國際組織制裁的情況下,就要建立專門性的合規管理體系,有效地防止再次發生相同或者類似違法違規行為。
綜上,筆者認為,首先,關于“全面合規”目前尚沒有一個明確統一的概念;其次,關于“全面合規”“專項合規”的概念和說法,更適用于法學維度,而非合規管理體系認證活動中的專業術語和概念。
三、從 ISO/TC 309 標準框架及標準設置
分析合規管理體系認證范圍
ISO/TC 309 機構治理委員會目前負責的ISO 37000 標準族里一共有 4 項現行有效的標準:ISO 37000:2021《組織治理指南》、ISO37001:2016《反賄賂管理體系要求及使用指南》、ISO 37002:2021《舉報管理體系指南》、ISO 37301:2021《合規管理體系要求及使用指南》。
從 ISO/TC 309 制定的標準可以看出,ISO37001《反賄賂管理體系要求及使用指南》并未因 ISO 37301《合規管理體系要求及使用指南》的發布而廢止,兩個標準并行有效,也就是說 ISO 37301 并沒有覆蓋 ISO 37001 的要求。而且,如果合規管理體系認證范圍要按專項合規內容分類,反賄賂無疑被視為最重要的專項合規領域之一,那么就會出現依據 ISO 37301 而不是 ISO 37001 給出組織的反賄賂管理體系符合標準的矛盾情況。
四、從 ISO 37301 本身內容和原則
分析
ISO 19600《合規管理體系指南》引言部分指出“合規意味著組織遵守了適用的法律法規及監管規定,也遵守了相關標準、合同、有效治理原則或道德準則”。它將“合規”直接等同于組織“遵守了法”“遵守了規”。而修改后的 ISO 37301 引言相應部分的表述為“一個全面有效的合規管理體系,能證實組織承諾并致力于遵守相關法律、監管要求、行業準則和組織標準,以及良好治理標準、普遍接受的最佳實踐、道德規范和社區期望”。
通過對比,我們可以看出,作為可認證的標準,ISO 37301 的用語更加準確、嚴謹并且可操作,它將“遵守了”更改為“承諾并致力于遵守”,前者是對于組織“合規事實”的一個實質性結論判斷,而后者是對于組織“合規表示”和“合規投入”的證實。顯然,合規管理體系認證不是對于組織“遵守了”法律、監管要求等合規事實的結論性證明,而是審核組織是否在分析理解組織環境的基礎上,切實發揮領導作用承諾合規,并采取實際行動致力于全面有效的策劃、支持、運行合規管理體系,以及通過績效評價不斷改進合規管理體系。
合規是一個組織應該追求的目標和狀態,是一個持續的過程。合規管理體系是一個框架,合規管理體系認證證實的是“組織承諾并致力于遵守相關法律、監管要求、行業準則和組織標準,以及良好治理標準、普遍接受的最佳實踐、道德規范和社區期望”。合規管理體系無法完全避免錯誤的發生,但有相應的過程確保對錯誤做出適當的反應。
一個組織可以根據需要,為更好地保證合規管理體系的有效性和針對性,結合實際情況在重點領域建立專項合規計劃、指南等。這些專項合規計劃、指南等是組織合規管理體系的一部分,而不是合規管理體系認證范圍的分類。
五、認證范圍劃分到專項合規領域的問題
如果認證范圍按“專項合規”劃分還會產生以下的問題:
一是與合規管理體系適宜性原則相沖突。GB/T 35770/ISO 37301 明確指出“本文件中的要求與指南旨在具有適應性,根據組織合規管理體系規模和成熟度的不同,以及組織活動和目標所處的環境、性質及其復雜程度的不同,其實施方式有所不同”。標準強調組織建立合規管理體系的適宜性,因而不應該通過認證范圍劃分到專項合規領域這種方式,增加組織應用標準的義務和要求,限定每個組織都要建立專項合規體系。這種方式也許對于大型組織來說是比較可行的,但是對于小型組織來說,可能就與需求和實際不匹配。
二是缺乏權威、一致且可行的專項領域的劃分標準。首先,目前除了《中央企業合規管理辦法》(第十八條“中央企業應當針對反壟斷、反商業賄賂、生態環保、安全生產、勞動用工、稅務管理、數據保護等重點領域,以及合規風險較高的業務,制定合規管理具體制度或者專項指南”),尚未找到比較權威和公認一致的專項合規的分類方法。其次,《中央企業合規管理辦法》對于央企的要求也不一定適合更廣大的中小企業。最后,因為組織的性質、經營的內容、運營的特點等各不相同,很難準確列舉窮盡所有組織適用的合規專項領域,即使《中央企業合規管理辦法》也是用列舉加其他的方式對制定合規管理具體制度和專項指南提出要求。如果合規管理體系認證的范圍只限定到列出的專項合規領域,顯然與標準全面覆蓋的原則不相符合。
其他問題還包括:首先,專項合規領域認證容易導致認證機構和企業存在投機取巧、取易棄難的傾向,認證機構只選擇一個最簡單的、低風險的專項合規領域去開展合規認證活動,走捷徑賺取認證費。企業選擇一個最容易的領域去申請認證,獲得合規證書,用最低的成本達到宣傳的效果,對相關方造成誤導。其次,采取專項合規領域認證范圍的做法容易導致一個組織需要持續不斷地一個一個專項合規領域去申請認證、接受認證,大大增加了組織的時間成本和經濟成本,給組織造成不必要的負擔。
綜上,合規管理體系認證不等于對組織全面合規的認證,合規管理體系認證證明的是組織的合規管理體系框架滿足要求,證明的是組織“承諾并致力于”合規。認證機構應依據GB/T 35770 或 ISO 37301 對組織開展認證審核活動,并對滿足要求的組織在認證范圍內發放證明其合規管理體系符合 GB/T 35770/ISO 37301 標準要求的認證證書。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:中國政府網、百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
