ISO37301作為合規(guī)管理新標準于近日正式對外發(fā)布，ISO37301為企業(yè)規(guī)范合規(guī)治理、強化合規(guī)管理和加強合規(guī)文化建設提供了更具先進性、權威性、普適性和戰(zhàn)略性的工具和方法論，也為企業(yè)的合規(guī)管理提供了通過第三方認證獲得全球廣泛認可的機會和途徑。

ISO37301與ISO19600的關系？

ISO37301:2021《合規(guī)管理體系 要求及使用指南》替代ISO19600:2014《合規(guī)管理體系 指南》

ISO37301相較于ISO19600作了哪些改變？

相較于ISO19600，ISO37301為各類企業(yè)規(guī)范合規(guī)治理、強化合規(guī)管理和加強合規(guī)文化建設提供了更具先進性、權威性、普適性和戰(zhàn)略性的工具和方法論，也為各種企業(yè)的合規(guī)管理提供了通過第三方認證獲得全球廣泛認可的機會和途徑。

相同的應用范圍和合規(guī)思路

應用范圍

兩個標準都適用于任何規(guī)模和類型的組織，為其提供建立、運行、維護和改進合規(guī)管理的標準化框架。

合規(guī)思路

均基于合規(guī)治理原則：治理機構將合規(guī)納入其決策過程和融入組織的業(yè)務過程，成立合規(guī)職能部門并做適當授權，使其具備獨立性并可直接接觸治理機構。

均基于風險管理、過程方法和PDCA邏輯：

兩個標準均通過合規(guī)義務及其合規(guī)風險和機遇的識別和評價過程確定合規(guī)管理的重點領域、目標及系統(tǒng)性的運行和監(jiān)測要求；

兩個標準均遵從過程方法，識別組織運營中的各業(yè)務過程的合規(guī)風險，將合規(guī)控制要求融入這些業(yè)務過程的運營，以各環(huán)節(jié)的合規(guī)促成系統(tǒng)性合規(guī)的結果；

兩個標準都基于PDCA理念，將策劃——執(zhí)行——檢查和改進的思維模式融入整個合規(guī)管理體系的建設和改進，也融入合規(guī)管理體系之中各支持性過程的建設和改進。

不同的目的、標準結構和應用方法

目的不同

ISO19600為ISO 組織制定的B類標準，其目的在于指導組織建立、實施、評價和改進合規(guī)管理體系，為其提供指導性的指南。

ISO37301為ISO 組織制定的A類標準，其目的在于為組織提供合規(guī)管理體系的建立標準化要求和實施指南。

ISO37301標準解析

ISO37301標準結構

ISO37301應用了ISO/IEC Directives Annex SL的管理體系標準結構，使得合規(guī)管理體系更方便與組織已有的基于ISO組織標準的其他管理體系的整合；

第一章 范圍

明確標準適用于所有類型的組織，為其建立、制定、實施、評估、維護和改進有效合規(guī)管理體系提供要求及指南。

第二章 規(guī)范性引用文件

無規(guī)范性引用文件。

第三章 術語和定義

界定了31項術語和定義，與ISO19600標準相比較，術語和定義部分發(fā)生了如下變化：

修改“組織”的定義（3.1）：增加了“注2：如果組織是較大實體的一部分，則術語”組織”僅指較大實體在合規(guī)管理體系范圍內(nèi)的部分”

增加“有效性”的定義（3.13）：完成策劃的活動并取得策劃結果的程度

修改“治理機構”的定義（3.21）：增加了“最高管理層向其報告”的描述以及“注1：并非所有組織，特別是小型組織都有獨立于最高管理者的治理機構”和“注2：治理機構可以包括，但不限于董事會、董事會委員會、監(jiān)事會或受托機構”

修改“雇員”為“人員”（3.22）：將存在工作關系和合同關系的人員納入體系

修改“合規(guī)義務”的定義（3.25）：刪除“合規(guī)承諾”和“合規(guī)要求”，將組織需要強制遵守和資源遵守的要求統(tǒng)一稱為“合規(guī)義務”

增加“第三方”定義（3.30）：清晰界定與合規(guī)管理體系相關的第三方的范圍。

第四章 組織環(huán)境

標準在第四章中明確組織應深入了解其運營環(huán)境、合規(guī)義務及其帶來的風險和機遇，合理確定合規(guī)管理體系范圍。

與ISO19600標準比較，本章節(jié)發(fā)生了以下變化：

“4.1理解組織及其環(huán)境”條款增加了對商業(yè)模式、第三方業(yè)務的性質(zhì)和范圍以及組織自身的合規(guī)文化的認知要求

“4.2 理解相關方需求和期望”條款增加了“這些要求中需要通過合規(guī)管理體系解決的要求”

“4.6 合規(guī)風險評價”條款強調(diào)了組織應評價外包和第三方過程相關的合規(guī)風險，以及形成文件的信息的要求

第五章 領導作用

第五章強調(diào)合規(guī)管理體系中領導的作用，包括治理機構和最高管理者的作用和承諾、遵守合規(guī)治理原則、建設合規(guī)文化、制定合規(guī)方針以及明確治理機構、最高管理者、合規(guī)職能部門、管理層和員工在合規(guī)管理體系中的角色、職責和權限。

與ISO19600標準比較，本章節(jié)發(fā)生了以下變化：

將“合規(guī)治理”原則調(diào)整到本章5.1.3條款，并增加兩個注解對合規(guī)職能部門的獨立性做出進一步解釋

增加了“5.1.1 治理機構和最高管理層”、“5.1.2 合規(guī)文化”、“5.1.3 合規(guī)治理”和“5.3.4 人員”條款，這些條款進一步強調(diào)了治理機構和最高管理層的支持在合規(guī)管理體系中的重要作用，以及將合規(guī)要求由上而下從治理決策過程貫穿到人員的具體工作從而建設組織成熟的合規(guī)文化的要求、方法和重要性

第六章 策劃

針對合規(guī)義務、合規(guī)風險和機遇的識別評價過程，組織應針對這些風險和機遇制定應對措施。基于PDCA的方法論，第六章要求組織在各部門和層級上建立適宜的合規(guī)目標并策劃實現(xiàn)這些目標所需的過程。當管理體系發(fā)生變更時，組織應按照既定的流程進行變更后的策劃。

與ISO19600標準比較，本章節(jié)發(fā)生了以下變化：

“6.1 應對風險和機會的措施”條款增加了組織策劃合規(guī)管理體系需要考慮的要素：合規(guī)目標、被識別的合規(guī)義務和合規(guī)風險評估結果

增加“6.3 變更的策劃”條款，強調(diào)管理體系的動態(tài)性

第七章 支持

標準第七章對合規(guī)管理體系的支持性要素做出要求，包括配置資源的原則、人力資源保障、溝通和文件化信息。

與ISO19600標準比較，本章節(jié)發(fā)生了以下變化：

增加了“7.2.2 雇傭過程”條款，要求組織考慮可能在人力資源層面上產(chǎn)生的合規(guī)風險，應制定、建立、實施和維護適宜的雇傭過程，通過雇傭條件、盡職調(diào)查、培訓和獎懲措施的實施規(guī)避或降低這些風險

將“合規(guī)文化”調(diào)整到第五章，并在“7.3 意識”條款強調(diào)工作人員應了解支持合規(guī)文化的重要性

第八章 運行

標準的第八章對合規(guī)管理體系在各業(yè)務過程中的運行進行過程策劃、建立過程準則和實施過程控制措施和程序，并定期評審和測試這些措施和程序，以確保其持續(xù)有效。同時，對于提出關注和調(diào)查過程做出要求。

與ISO19600標準比較，本章節(jié)發(fā)生了以下變化：

增加“8.3 提出關注”條款，要求組織應建立、實施并保持程序，程序應做到鼓勵提出關注、對提出關注的內(nèi)容予以保密、接受匿名報告、保護提出關注的人員不被打擊報復以及個人能夠得到建議；組織還要確保所有人員都知曉這個程序以及他們的權利和保護措施，并能夠切實使用該程序；

增加“8.4 調(diào)查過程”，要求組織制定、建立、實施并保持用于評估、調(diào)查和關閉報告的流程，對疑似不合規(guī)或?qū)嶋H不合規(guī)情況進行調(diào)查；該調(diào)查過程應確保決策公平公正、避免任何利益沖突；調(diào)查結果應可用于合規(guī)管理體系的改進；治理結構和最高管理者應得到定期的有關調(diào)查的數(shù)量和結果的報告。

第九章 績效評價

本章節(jié)通過監(jiān)視、測量、分析和評價、內(nèi)審和管理評審對合規(guī)管理體系做出三級監(jiān)控機制的要求，通過運行過程績效、管理體系符合性和管理體系的適宜性、充分性和有效性監(jiān)控，確保管理體系獲得預期成果。

改進

本章節(jié)要求組織對發(fā)生的不合規(guī)或不合規(guī)采取控制或糾正措施，確保持續(xù)改進合規(guī)管理體系的適用性、充分性和有效性。