2021 年國際標(biāo)準(zhǔn)化組織(ISO)正式發(fā)布了《合規(guī)管理體系要求和使用指南》(ISO 37301:2021)。2022 年 10 月 12 日,等同采用國際標(biāo)準(zhǔn)的國標(biāo)《合規(guī)管理體系要求及使用指南》(GB/T 35770—2022)正式發(fā)布。合規(guī)管理體系有了能夠用于認(rèn)證活動的標(biāo)準(zhǔn),各類組織聲明符合合規(guī)管理體系要求也有了依據(jù)。一些認(rèn)證機構(gòu)已經(jīng)據(jù)此開展了合規(guī)管理體系認(rèn)證活動,向客戶頒發(fā)了合規(guī)管理體系認(rèn)證證書。但是,關(guān)于合規(guī)管理體系認(rèn)證范圍如何界定和劃分,目前在認(rèn)證機構(gòu)實踐活動中存在著不同的理解和做法,本文通過分析、研究,給出筆者關(guān)于認(rèn)證范圍劃分原則的思考和建議。
一、目前已頒發(fā)的合規(guī)管理體系認(rèn)證證書
認(rèn)證范圍的類型
ISO 37301 于 2021 年 4 月 發(fā) 布,GB/T35770 于 2022 年 10 月發(fā)布,屬于非常新的認(rèn)證領(lǐng)域。截至 2022 年底,共有約 160 個組織獲得 ISO 37301 國際標(biāo)準(zhǔn)認(rèn)證證書。經(jīng)初步查詢、分類,目前已頒發(fā)的合規(guī)管理體系認(rèn)證證書的認(rèn)證范圍的描述大致可分為以下 3 種類型:
第一種類型為“組織的業(yè)務(wù)范圍 + 合規(guī)管理 + 適用性聲明”,如認(rèn)證范圍為:XX 集團云服務(wù)的合規(guī)管理,與 XX 年 XX 月 XX 日的適用性聲明相一致;
第二種類型為:“組織的業(yè)務(wù)范圍 + 專項合規(guī)領(lǐng)域”,如 XX 集團云服務(wù)相關(guān)的數(shù)據(jù)保護合規(guī)管理;
第三種類型為“組織的業(yè)務(wù)范圍 + 合規(guī)管理”,如 XX 集團云服務(wù)相關(guān)的合規(guī)管理。
關(guān)于第一種類型,適用性聲明是信息安全管理術(shù)語,根據(jù) ISO/IEC 27001:2022 信息安全管理體系要求的相關(guān)內(nèi)容,組織應(yīng)制定一個適用性聲明,包括必要的控制、控制的正當(dāng)理由、排除附錄 A 控制的合理性說明等內(nèi)容,因此信息安全管理體系認(rèn)證證書范圍都會標(biāo)注出適用性聲明的版本。在合規(guī)管理體系認(rèn)證實踐的初期探索階段,在認(rèn)證證書范圍引入適用性聲明的做法,有利于引導(dǎo)組織自我識別合規(guī)義務(wù)和合規(guī)風(fēng)險,也有利于降低認(rèn)證機構(gòu)的認(rèn)證風(fēng)險,但是合規(guī)管理體系與信息安全管理體系從標(biāo)準(zhǔn)內(nèi)容設(shè)定到實際運行都存在著比較大的區(qū)別,因此適用性聲明這種表述不太適合合規(guī)管理體系認(rèn)證范圍。
關(guān)于第二種類型,采用這種認(rèn)證范圍類型的機構(gòu),主要基于這樣一種理論,即合規(guī)管理體系分為專項合規(guī)(又稱小合規(guī))和全面合規(guī)(又稱大合規(guī))。認(rèn)證機構(gòu)很難對于組織的全面合規(guī)做出認(rèn)證證明,這也存在非常大的認(rèn)證風(fēng)險。因此,在認(rèn)證證書的認(rèn)證范圍上要界定到具體專項合規(guī)領(lǐng)域。
關(guān)于第三種類型,目前大多數(shù)的認(rèn)證機構(gòu)采用的是這種類型的認(rèn)證范圍,直接根據(jù)標(biāo)準(zhǔn)的內(nèi)容進(jìn)行描述。
筆者贊同第三種認(rèn)證范圍類型,下文將重點分析闡述為什么合規(guī)管理體系認(rèn)證范圍不建議按第二種類型方式再對合規(guī)管理進(jìn)行專項合規(guī)領(lǐng)域的分類,而應(yīng)根據(jù)組織的業(yè)務(wù)范圍給出認(rèn)證結(jié)論。
二、“專項合規(guī)”“全面合規(guī)”并非
合規(guī)管理體系認(rèn)證活動中的概念
在國際和國內(nèi)的合規(guī)管理體系相關(guān)標(biāo)準(zhǔn)中,沒有關(guān)于“全面合規(guī)”“專項合規(guī)”的術(shù)語和定義,這種說法和描述目前多在法律界、法律工作者或者法學(xué)家的文章里出現(xiàn)。但是,彼此之間對于“全面合規(guī)”“專項合規(guī)”的概念和理解也不一樣。下文將選取幾種比較典型的說法。
(一)“全面合規(guī)”和“專項合規(guī)”是從法律維度分類的概念
根據(jù)中國企業(yè)家協(xié)會編制的《企業(yè)合規(guī)事務(wù)管理(高級)》教材內(nèi)容,綜合合規(guī)(又稱大合規(guī))與專項合規(guī)是按企業(yè)合規(guī)的法律維度進(jìn)行分類。“依合規(guī)所應(yīng)對的法律風(fēng)險集內(nèi)含的風(fēng)險點數(shù)量,企業(yè)合規(guī)計劃的類型可以分為綜合合規(guī),俗稱大合規(guī),和專項合規(guī)。前者是籠統(tǒng)地針對所有違法犯罪風(fēng)險建立合規(guī)體系,后者則是針對特定違法犯罪風(fēng)險點而細(xì)化的合規(guī)體系”。“企業(yè)合規(guī)的業(yè)務(wù)分類維度,一般存在于管理學(xué)討論視角下,更始于非專業(yè)從業(yè)人員間溝通和落實合規(guī)管理措施。這種分類方法因為更貼合非法律從業(yè)人員對于企業(yè)經(jīng)營行為的理解習(xí)慣,因此也經(jīng)常出現(xiàn)在企業(yè)實踐場景中”。
(二)“全面合規(guī)”是多個必要的“專項合規(guī)”
專項合規(guī)是針對企業(yè)經(jīng)營活動特定領(lǐng)域的合規(guī)風(fēng)險建設(shè)并實行的合規(guī)管理體系,如反商業(yè)賄賂、反壟斷和反不正當(dāng)競爭、數(shù)據(jù)保護、安全環(huán)保等。而全面合規(guī)則是針對企業(yè)經(jīng)營活動主要領(lǐng)域合規(guī)風(fēng)險建設(shè)并實行的多個專項合規(guī)管理體系。“全面合規(guī)一般是由兩個以上的、必要的專項合規(guī)組成的復(fù)合型合規(guī)管理體系,但并不要求囊括所有的專項合規(guī)。如果說專項合規(guī)是企業(yè)合規(guī)管理中的‘某一項’,那么全面合規(guī)就是企業(yè)合規(guī)管理中‘必要的多項’。”
(三)全面合規(guī)適用于事前防范,專項合規(guī)適用于事后整改
目前,我國最高檢的涉案企業(yè)合規(guī)建設(shè)明確要求涉案企業(yè)針對與涉嫌犯罪有密切聯(lián)系的合規(guī)風(fēng)險,制定專項合規(guī)整改計劃。北京大學(xué)法學(xué)院教授陳瑞華認(rèn)為,在日常性合規(guī)管理體系建設(shè)中,由于企業(yè)并未發(fā)生迫在眉睫的現(xiàn)實合規(guī)風(fēng)險,企業(yè)通常按照“全面合規(guī)體系說”的理念,建立“大而全”的合規(guī)管理體系。而“涉案企業(yè)”在面臨行政執(zhí)法調(diào)查、刑事追訴乃至國際組織制裁的情況下,就要建立專門性的合規(guī)管理體系,有效地防止再次發(fā)生相同或者類似違法違規(guī)行為。
綜上,筆者認(rèn)為,首先,關(guān)于“全面合規(guī)”目前尚沒有一個明確統(tǒng)一的概念;其次,關(guān)于“全面合規(guī)”“專項合規(guī)”的概念和說法,更適用于法學(xué)維度,而非合規(guī)管理體系認(rèn)證活動中的專業(yè)術(shù)語和概念。
三、從 ISO/TC 309 標(biāo)準(zhǔn)框架及標(biāo)準(zhǔn)設(shè)置
分析合規(guī)管理體系認(rèn)證范圍
ISO/TC 309 機構(gòu)治理委員會目前負(fù)責(zé)的ISO 37000 標(biāo)準(zhǔn)族里一共有 4 項現(xiàn)行有效的標(biāo)準(zhǔn):ISO 37000:2021《組織治理指南》、ISO37001:2016《反賄賂管理體系要求及使用指南》、ISO 37002:2021《舉報管理體系指南》、ISO 37301:2021《合規(guī)管理體系要求及使用指南》。
從 ISO/TC 309 制定的標(biāo)準(zhǔn)可以看出,ISO37001《反賄賂管理體系要求及使用指南》并未因 ISO 37301《合規(guī)管理體系要求及使用指南》的發(fā)布而廢止,兩個標(biāo)準(zhǔn)并行有效,也就是說 ISO 37301 并沒有覆蓋 ISO 37001 的要求。而且,如果合規(guī)管理體系認(rèn)證范圍要按專項合規(guī)內(nèi)容分類,反賄賂無疑被視為最重要的專項合規(guī)領(lǐng)域之一,那么就會出現(xiàn)依據(jù) ISO 37301 而不是 ISO 37001 給出組織的反賄賂管理體系符合標(biāo)準(zhǔn)的矛盾情況。
四、從 ISO 37301 本身內(nèi)容和原則
分析
ISO 19600《合規(guī)管理體系指南》引言部分指出“合規(guī)意味著組織遵守了適用的法律法規(guī)及監(jiān)管規(guī)定,也遵守了相關(guān)標(biāo)準(zhǔn)、合同、有效治理原則或道德準(zhǔn)則”。它將“合規(guī)”直接等同于組織“遵守了法”“遵守了規(guī)”。而修改后的 ISO 37301 引言相應(yīng)部分的表述為“一個全面有效的合規(guī)管理體系,能證實組織承諾并致力于遵守相關(guān)法律、監(jiān)管要求、行業(yè)準(zhǔn)則和組織標(biāo)準(zhǔn),以及良好治理標(biāo)準(zhǔn)、普遍接受的最佳實踐、道德規(guī)范和社區(qū)期望”。
通過對比,我們可以看出,作為可認(rèn)證的標(biāo)準(zhǔn),ISO 37301 的用語更加準(zhǔn)確、嚴(yán)謹(jǐn)并且可操作,它將“遵守了”更改為“承諾并致力于遵守”,前者是對于組織“合規(guī)事實”的一個實質(zhì)性結(jié)論判斷,而后者是對于組織“合規(guī)表示”和“合規(guī)投入”的證實。顯然,合規(guī)管理體系認(rèn)證不是對于組織“遵守了”法律、監(jiān)管要求等合規(guī)事實的結(jié)論性證明,而是審核組織是否在分析理解組織環(huán)境的基礎(chǔ)上,切實發(fā)揮領(lǐng)導(dǎo)作用承諾合規(guī),并采取實際行動致力于全面有效的策劃、支持、運行合規(guī)管理體系,以及通過績效評價不斷改進(jìn)合規(guī)管理體系。
合規(guī)是一個組織應(yīng)該追求的目標(biāo)和狀態(tài),是一個持續(xù)的過程。合規(guī)管理體系是一個框架,合規(guī)管理體系認(rèn)證證實的是“組織承諾并致力于遵守相關(guān)法律、監(jiān)管要求、行業(yè)準(zhǔn)則和組織標(biāo)準(zhǔn),以及良好治理標(biāo)準(zhǔn)、普遍接受的最佳實踐、道德規(guī)范和社區(qū)期望”。合規(guī)管理體系無法完全避免錯誤的發(fā)生,但有相應(yīng)的過程確保對錯誤做出適當(dāng)?shù)姆磻?yīng)。
一個組織可以根據(jù)需要,為更好地保證合規(guī)管理體系的有效性和針對性,結(jié)合實際情況在重點領(lǐng)域建立專項合規(guī)計劃、指南等。這些專項合規(guī)計劃、指南等是組織合規(guī)管理體系的一部分,而不是合規(guī)管理體系認(rèn)證范圍的分類。
五、認(rèn)證范圍劃分到專項合規(guī)領(lǐng)域的問題
如果認(rèn)證范圍按“專項合規(guī)”劃分還會產(chǎn)生以下的問題:
一是與合規(guī)管理體系適宜性原則相沖突。GB/T 35770/ISO 37301 明確指出“本文件中的要求與指南旨在具有適應(yīng)性,根據(jù)組織合規(guī)管理體系規(guī)模和成熟度的不同,以及組織活動和目標(biāo)所處的環(huán)境、性質(zhì)及其復(fù)雜程度的不同,其實施方式有所不同”。標(biāo)準(zhǔn)強調(diào)組織建立合規(guī)管理體系的適宜性,因而不應(yīng)該通過認(rèn)證范圍劃分到專項合規(guī)領(lǐng)域這種方式,增加組織應(yīng)用標(biāo)準(zhǔn)的義務(wù)和要求,限定每個組織都要建立專項合規(guī)體系。這種方式也許對于大型組織來說是比較可行的,但是對于小型組織來說,可能就與需求和實際不匹配。
二是缺乏權(quán)威、一致且可行的專項領(lǐng)域的劃分標(biāo)準(zhǔn)。首先,目前除了《中央企業(yè)合規(guī)管理辦法》(第十八條“中央企業(yè)應(yīng)當(dāng)針對反壟斷、反商業(yè)賄賂、生態(tài)環(huán)保、安全生產(chǎn)、勞動用工、稅務(wù)管理、數(shù)據(jù)保護等重點領(lǐng)域,以及合規(guī)風(fēng)險較高的業(yè)務(wù),制定合規(guī)管理具體制度或者專項指南”),尚未找到比較權(quán)威和公認(rèn)一致的專項合規(guī)的分類方法。其次,《中央企業(yè)合規(guī)管理辦法》對于央企的要求也不一定適合更廣大的中小企業(yè)。最后,因為組織的性質(zhì)、經(jīng)營的內(nèi)容、運營的特點等各不相同,很難準(zhǔn)確列舉窮盡所有組織適用的合規(guī)專項領(lǐng)域,即使《中央企業(yè)合規(guī)管理辦法》也是用列舉加其他的方式對制定合規(guī)管理具體制度和專項指南提出要求。如果合規(guī)管理體系認(rèn)證的范圍只限定到列出的專項合規(guī)領(lǐng)域,顯然與標(biāo)準(zhǔn)全面覆蓋的原則不相符合。
其他問題還包括:首先,專項合規(guī)領(lǐng)域認(rèn)證容易導(dǎo)致認(rèn)證機構(gòu)和企業(yè)存在投機取巧、取易棄難的傾向,認(rèn)證機構(gòu)只選擇一個最簡單的、低風(fēng)險的專項合規(guī)領(lǐng)域去開展合規(guī)認(rèn)證活動,走捷徑賺取認(rèn)證費。企業(yè)選擇一個最容易的領(lǐng)域去申請認(rèn)證,獲得合規(guī)證書,用最低的成本達(dá)到宣傳的效果,對相關(guān)方造成誤導(dǎo)。其次,采取專項合規(guī)領(lǐng)域認(rèn)證范圍的做法容易導(dǎo)致一個組織需要持續(xù)不斷地一個一個專項合規(guī)領(lǐng)域去申請認(rèn)證、接受認(rèn)證,大大增加了組織的時間成本和經(jīng)濟成本,給組織造成不必要的負(fù)擔(dān)。
綜上,合規(guī)管理體系認(rèn)證不等于對組織全面合規(guī)的認(rèn)證,合規(guī)管理體系認(rèn)證證明的是組織的合規(guī)管理體系框架滿足要求,證明的是組織“承諾并致力于”合規(guī)。認(rèn)證機構(gòu)應(yīng)依據(jù)GB/T 35770 或 ISO 37301 對組織開展認(rèn)證審核活動,并對滿足要求的組織在認(rèn)證范圍內(nèi)發(fā)放證明其合規(guī)管理體系符合 GB/T 35770/ISO 37301 標(biāo)準(zhǔn)要求的認(rèn)證證書。
中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機構(gòu)查詢,檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標(biāo)注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識。
本文內(nèi)容整合網(wǎng)站:中國政府網(wǎng)、百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
