基于最新的合規管理全球實踐,ISO于2023年發布了可用于認證的ISO 37301:2021《合規管理體系 要求及使用指南》標準,對于認證機構和認證從業人員而言,需要考慮認證審核過程中的一系列實操性問題。本文旨在通過對認證申請及評審、文件評審、現場審核三個認證基本環節中的審核要點進行初步探討,拋磚引玉,以供參考。
基于最新的合規管理全球實踐,ISO于2023年發布了ISO 37301:2021《合規管理體系 要求及使用指南》,代替ISO 19600:2014.ISO 37301標準與ISO 19600最大的改動在于,舊版標準提供的是“組織內建立一套有效和及時響應的合規管理體系,并予以制定、實施、評價、維護和改進的指導”,而新版標準提供的是“組織建立、制定、實施、評價、維護和改進有效的合規管理體系的要求”。這也意味著合規管理體系標準從原來的指南性標準升級為可用于認證的規范性標準。就此項改進而言,無疑是合規管理在認證方面的一大進步。隨之而來的除了合規管理方面的一些具體問題之外,對于認證機構和認證從業人員而言,需要考慮認證審核過程中的一系列實操性問題。本文探討認證審核過程中存在的三個基本問題。
認證申請及評審
認證申請及評審是所有認證技術活動的第一步,其重要性無需多言。在合規管理體系認證申請及評審過程中,有三個問題值得重點關注。
1.資質的驗證
資質的驗證是貫穿于任何管理體系認證過程始終的一項工作,而合規管理體系本身即是針對“規”的驗證,其認證申請及評審過程中資質的驗證就更為重要。對于認證申請方資質的驗證,不僅包括法律法規規定的客戶的相關資質或認可,還應關注一些特定內容。如:與企業合規相關的內部或外部審計評估報告、一定時間內企業受到監督和處罰的記錄、一定時間內企業合規相關的輿情等。對于存在境外經營活動的企業,還應關注當地政府對企業的管理要求,包括對外貿易、境外投資、對外承包工程、境外日常經營四方面的具體法律法規、國際條約、監管規定、行業準則、商業慣例、道德規范和企業依法制定的章程及規章制度等要求[1]。
2.范圍的確定
范圍的確定直接關系到審核活動的完整性和有效性,是各管理體系認證申請及評審的重要環節。合規管理體系的范圍與其他管理體系范圍有所不同,這也是由其特殊性所決定的。合規管理體系的范圍界定應該關注的內容至少包括三方面:營業范圍所在的國家、地區或區域、資質許可營業范圍、營業范圍相關的合規活動。之所以要對這三方面進行界定,源于以下幾方面的考量。
(1)組織經營活動的合規,需要基于各國家、地區或區域的要求,而在實際操作中,各國家、地區或區域的要求有極大差異,會對審核過程所需投入的資源產生極大影響。
(2)對于跨國或跨地區經營的組織,其所能得到的營業范圍往往有所差異,如果不能對其進行明確界定,可能會造成審核活動與實際情況產生非必要偏差,不能滿足審核有效性要求。
(3)合規活動與生產活動有所不同,其需進行管理的活動包括反賄賂、反舞弊、反腐敗、反洗錢、知識產權、反壟斷、勞工權利保障、環境保護、數據和隱私保護等,各活動管理特征、要求、內容、程序均有非常大的區別,結合實際業務開展又會產生更多細小分支,因此在范圍界定中需要明確申請認證的合規活動。
3.是否通過其他管理體系及各管理體系相關性
管理體系未來的發展趨勢一定是基于質量管理體系總體要求下的多個管理體系融合,合規管理體系也同樣歸屬此列,但如何與其他管理體系進行融合,本文暫不作過多說明。需要進行說明的是在認證申請及評審過程中,合規管理體系與其他管理體系存在較大相關性,而這種相關性與范圍同樣會影響審核資源的投入。從管理對象入手,與合規管理體系相關的管理體系包括:質量、環境、職業健康、信息安全、知識產權(由于各國要求不同,此處僅限國內)、社會責任、誠信、反賄賂、風險等。各管理體系對合規管理體系審核活動的影響又有所區分,還要結合合規管理范圍界定進行明確。在實際操作中,應基于合規管理體系范圍進行考量,如果其他管理體系認證范圍能夠覆蓋合規管理體系認證范圍內的某一項合規活動,則可以適當減少該項合規活動相關的審核人日數。由此可以引申出的問題就是合規管理體系審核人日數的確定方法。
文件評審
文件評審對于合規管理體系認證活動而言極為重要。合規管理體系認證活動中較多內容的審核活動都可以通過文件評審完成,如組織基本的管理情況、相關的報告、輿情等。當然,也不排除組織出于保密需要,要求必須到現場獲取相關審核證據的情況。但是整體而言,合規管理體系認證活動中,文件評審與其他管理體系還是有所差異的。其中,最大的差異來自于數據收集方面。
前文提到,合規管理體系所需的數據比較多。為了在有限的時間內盡可能獲取到受審核方的信息,以確保審核活動有效,審核組應采取多種方式實施數據的收集。可用的收集方式包括:問卷調查、遠程訪談及痕跡調查。其中,問卷調查和遠程訪談主要與組織直接進行,而痕跡調查可以由審核組運用搜索引擎、甚至大數據等工具直接調查組織在合規管理活動方面的各項痕跡,但需要注意的是,痕跡調查的結果應該在審核過程中與受審核方進行溝通,在雙方無異議的前提下,方可形成審核發現。
現場審核
現場審核
如上所言,由于合規管理體系的特殊性,在認證審核過程中,現場審核和文件審核的比例與其他管理體系可以有所區別,但這并不意味著合規管理體系不需要進行現場審核。實際上,合規管理體系的現場審核同樣有其不可替代性。本文從以下4個方面簡單闡述合規管理體系現場審核中的重要關注點。
1.審核范圍的驗證
之所以在現場審核中要對審核范圍進行驗證,基于兩方面的考慮,即組織合規管理專業性和實際管理過程的覆蓋程度。
(1)如前文所言,合規管理涉及的管理活動較多,其要求和所需專業知識雖不至于千差萬別,但也很難完全統一,體現在組織實際運營中,最直接的是主推部門不同。反賄賂的推動主要由職業道德部開展,合同管理由財務和法務主管,內部審計由審計部負責,等等不一而足。這種差異會直接影響到最終確定的審核范圍,因此審核組需要進行關注。
(2)由于國家對于合規管理科學化、規范化工作的推動力度較大,許多組織,尤其是央國企,在對《中央企業合規管理指引》進行貫標后,都會申請全面合規管理的范圍,但由于管理資源和管理精力的有限,有些合規管理工作容易浮于表面,因此需要審核組在現場審核中,通過進一步的面談、調查與溝通,確定最為適宜的認證范圍。
2.三道防線在審核中的不同關注程度
2023年國資委發布的《中央企業合規管理辦法》(公開征求意見稿)與2018年發布的《中央企業合規管理指引》(試行)相比,對于“三道防線”有了更明確的定義,即董事會、監事會和經理層[2]。下沉到業務管理層面,業務部門、牽頭部門、監督部門是合規管理的三道防線。在現場審核過程中,對業務管理的三道防線審核側重點也有所不同。牽頭部門應保證組織對要求的識別、分析完整、及時;業務部門應保證業務運行尤其是新業務開展符合要求;監督部門是底線,要有足夠的管理力度以確保原則性問題的把控,同時監督部門還應做好與相關方的定期溝通,以滿足監管部門和司法機構減免處罰的相關要求。
3.內部控制的有效性
內控自查是組織進行內控的重要形式,包括內控會計自查和審計部門的自查,合規管理體系的內部控制與內控自查有著千絲萬縷的聯系,因此在審核中也應關注內部控制的有效性。內部控制的策劃過程可通過文件評審有所了解,但具體到執行層面,其有效性就需要審核組在現場進行證據收集。需要注意的是,部分沒有管理體系基礎的受審核方可能會將內部審計和內部審核混為一談,審核組應加以區分。
4.合規舉報的途徑、有效性及過程中對隱私信息的保護
合規舉報是合規管理體系的重要部分,標準對于合規舉報過程的要求是:在整個組織內可知可用;對舉報保密;接受匿名舉報;保護舉報者免于遭受打擊報復;便于人員獲得建議[3]。審核組在現場審核過程中,應對標準要求進行進一步分析理解。組織應設立固定的合規舉報渠道,包括且不限于信件、郵箱、舉報箱、電話等,且合規舉報渠道設置要關注舉報人的隱私信息保護,對于任何涉及合規舉報渠道的信息來源,組織合規管理部門應保有絕對管理權,以保證舉報人的權利不受侵害。在實際審核過程中,還應關注留有姓名的舉報者在組織內的發展是否受到了舉報行為的負面影響;如有,也從側面說明舉報渠道存在問題。
小結
本文僅闡述了三個方面的審核要點,在審核過程中還有大量內容需要機構和從業者進行關注,如審核人日數的確定、與其他管理體系(反賄賂、誠信等)的結合審核、內部審計與內部審核的有機結合、大數據等工具對審核的影響等,限于篇幅,就不一一展開了,希望本文的拋磚引玉,能引來專家們的百花齊放,進一步完善合規管理體系認證審核技術。
[參考文獻]
[1] 孫友文.海外合規才是重點:《企業境外經營合規管理指引》評述與解讀[J].新產經, 2019(4):3.
[2] 魯瑾.強化合規管理[J].國企管理, 2022(5):1.
[3] Compliance management systems —Requirements with guidance for use:ISO 37301:2021[S/OL].[2021-04-13].https://www.iso.org/standard/75080.html.
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
