ISO 37301:2021《合规管理体系 要求及使用指南》国际标准解读及相关标准

ISO 37301:2021《合规管理体系 要求及使用指南》国际标准解读及相关标准

2021年4月13日，ISO 37301: 2021《合规管理体系 要求及使用指南》（Compliance management systems — Requirements with guidance for use）国际标准正式发布实施。

制定背景和意义

近年来，全球贸易关系愈加复杂，全球产业链进入深度调整与重构时期。在国家层面，各国建立了严格的合规监管制度，监管机构加强了立法深度和执法力度，引导和督促企业实施更加主动的合规经营。在国际层面，联合国、经济合作与发展组织、世界银行集团、非洲开发银行集团、亚洲太平洋经济合作组织、国际商会等国际性组织相继制定全球性契约、指南和指引等，对合规管理核心问题形成国际共识，在相关贸易活动中对不合规行为实施联合惩戒。合规已经成为各类组织成功和可持续发展的基础。为了满足全球化合规的快速发展和迫切需求，提升各类组织合规管理能力，促进国际贸易、交流与合作，ISO于2018年11月启动了ISO 37301的制定工作，基于最新的合规管理实践，修订并代替ISO 19600:2014《合规管理体系 指南》。ISO 37301的制定对于各类组织的合规管理能力建设、政府监管活动、国际贸易交流、沟通合作改善等具有重要的意义。一是为各类组织提高自身的合规管理能力提供系统化方法，它采用PDCA理念完整覆盖了合规管理体系建设、运行、维护和改进的全流程，基于合规治理原则为组织建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。二是为监管机构和司法机构采信组织的合规整改计划、合规管理体系实践提供参考依据，监管机构和司法机构在对组织违反相关法律的行为作出处罚时，可以将组织的合规管理体系运行情况作为衡量处罚力度的一个考量因素。三是为便利全球范围内相关方之间的贸易、交流与合作提供了通用规则，各类组织可以通过声明符合ISO 37301或者获得依据ISO 37301所进行的认证，在相关方之间传递信任，进而为贸易、交流与合作提供便利。二标准主要内容
ISO 37301规定了组织建立、运行、维护和改进合规管理体系的要求，并提供了使用指南，适用于全球任何类型、规模、性质和行业的组织。合规管理体系通用要素的框架如图1所示。 　　 　　图1 合规管理体系通用要素
（一）组织环境
组织所处的环境构成了组织赖以生存的基础。这些环境既涉及法律法规、监管要求、行业准则、良好实践、道德标准，又涉及组织自行制定或公开声明遵守的各类规则。因此，建立合规管理体系首先要对组织所处的环境予以识别和分析。ISO 37301从以下方面规定了识别和分析组织环境的要求：

• 确定影响组织合规管理体系预期结果能力的内部和外部因素；
• 确定并理解相关方及其需求；
• 识别与组织的产品、服务或活动有关的合规义务、评估合规风险；
• 确定反映组织价值、战略的合规管理体系及其边界和适用范围。

（二）领导作用领导是合规管理的根本
对于整个组织树立合规意识、建立高效的合规管理体系具有至关重要的作用。ISO 37301对组织的治理机构、最高管理者等如何发挥领导作用作出了规定：

• 治理机构和最高管理者要展现对合规管理体系的领导作用和积极承诺；
• 遵守合规治理原则；
• 培育、制定并在组织各个层面宣传合规文化；
• 制定合规方针；
• 确定治理机构和最高管理者、合规团队、管理层及员工相应的职责和权限。

（三）策划策划是预测潜在的情形和后果，对于确保合规管理体系能实现预期效果，防范并减少不希望的影响，实现持续改进具有重要作用。ISO 37301从以下方面规定了策划合规管理体系的要求：

• 在各部门和层级上建立适宜的合规目标，策划实现合规目标需建立的过程；
• 综合考虑组织内外部环境问题、合规义务和合规目标，策划应对风险和机会的措施，并将这些措施纳入合规管理体系；
• 有计划地对合规管理体系进行修改。

（四）支持支持是合规管理的重要保障，对于合规管理体系在各个层面得到认可并保障合规行为实施具有重要的支持作用。ISO 37301从以下方面规定了支持措施：

• 确定并提供所需的资源，例如财务资源、工作环境与基础设施等；
• 招聘能胜任且能遵守合规要求的员工，对违反合规要求的员工采取纪律处分等管理措施；
• 提供培训，提升员工合规意识；
• 开展内部和外部沟通与宣传；
• 创建、控制和维护文件化信息。

（五）运行运行是立足于执行层面，策划、实施和控制满足合规义务和战略层面规划的措施相关的流程，以确保组织运行合规管理体系。ISO 37301从以下方面对运行作出了规定：

• 实施为满足合规义务、实施合规目标所需的过程以及所需采取的措施；
• 建立并实施过程的准则、控制措施，定期检查和测试这些控制措施，并保留记录；
• 建立举报程序，鼓励员工善意报告疑似和已发生的不合规；
• 建立调查程序，对可疑和已发生的违反合规义务的情况进行评估、调查和了结。

（六）绩效评价绩效评价是对合规管理体系建立并运行后的绩效、体系有效性评价，对于查找可能存在的问题、后续改进合规管理体系等具有重要意义。ISO 37301对如何开展合规管理体系绩效评价作出了规定：

• 监视、测量、分析和评价合规管理体系的绩效和有效性；
• 有计划地开展内部审核；
• 定期开展管理评审。

（七）改进改进是对合规管理体系运行中发生不合格/不合规情况做出反应、评价是否需要采取措施，消除不合格/不合规的根本原因，以避免再次发生或在其他地方发生，并持续改进，以确保合规管理体系的动态持续有效。ISO 37301从以下方面对改进作出了规定：

• 持续改进合规管理体系的适用性、充分性和有效性；
• 对发生的不合格、不合规采取控制或纠正措施。
• 标准的应用

作为A类管理体系标准，ISO 37301至少有四种应用方式：

1. 作为各类组织自我声明符合的依据。各类组织通过实施ISO 37301，建立并运行合规管理体系，一方面使得组织的行为以及行为结果合规，另一方面在需要时还能够据此标准追溯组织是否符合了合规管理体系规定的内容或证实是否达到了合规要求。
2. 作为认证机构开展认证的依据。ISO 37301规定了合规管理体系的要求，并提供了建议做法和指南，认证机构在认证活动中，可以直接应用或者在其认证技术规范中明确ISO 37301作为组织符合合规管理体系要求的认证依据。
3. 作为政府机构监管的依据。政府机构可以将ISO 37301确立的合规管理理念应用于行政监管活动，通过对组织的合规管理体系运行情况评价结果来匹配相应的监管手段和措施，实施精准监管。
4. 作为司法机关对违规企业量刑与监管验收的依据。可以将ISO 37301确立的合规管理体系要求作为司法机关对涉及违规企业量刑的考量依据，可以作为落实依法不捕不诉不提出判实刑建议等司法意见、制定合规指引、督促企业合规整改和第三方监管验收的依据。

合规标准

• ISO 37301：2021 Compliance management systems — Requirements with guidance for use （合规管理制度–要求与使用指南）
• ISO 37301：2021 合规管理制度 - 要求与使用指南 - 最新完整中文翻译版（33页）
• BS ISO 37301：2021 （TC -Tracked Changes）Compliance management systems - Requirements with guidance for use - （TC - 变更记录）合规管理系统 - 要求和使用指南
• ISO 37301：2021 合规管理体系 - 内审员培训教材 [第3部分-术语和定义] - 完整中文版（20页）
• GB/T 35770-2017 合规管理体系指南 - 完整中文版（26页)
• ISO 19600：2014 合规管理制度–准则 - 完整中文/英文版（59页）
• CSA标准 - 欧洲通用数据保护规范（GDPR）合规行为准则（COC）- 完整中文电子版（75页）
• A Guide to United States Apparel and Household Textiles Compliance Requirements（美国服装和家用纺织品合规要求指南 ）
• A Guide to United States Cosmetic Products Compliance Requirements（美国化妆品产品合规要求指南）

参考标准

• ISO 9000：2015 Quality management systems — Fundamentals and vocabulary（质量管理系统–基本原理和词汇 ）
• ISO 9001：2015-质量管理体系 要求+2016年国标 - 最新完整中文版
• ISO 14001：2015 Environmental management systems — Requirements with guidance for use（环境管理系统–要求与使用指南）
• ISO 14000系列中文标准（80页）.doc
• ISO 14001-2015 实用的公司环境管理体系文件 - 中文Word文档（176页）.docx
• ISO 19011：2018 Guidelines for auditing management systems（管理体系审核指南)
• ISO 19011：2018 管理体系审核指南- 中文翻译版
• ISO 22000：2018 Food safety management systems – Requirements for any organization in the food chain(食品安全管理体系——对食品链中任何组织的要求)
• ISO 22000：2018 食品安全管理体系-食品链中各类组织的要求-SGS内部中文翻译电子稿（31页）
• ISO 22000：2018 食品安全管理体系标准 - 中英对照电子版（58页)
• ISO 26000：2010 Guidance on social responsibility（社会责任指南）
• ISO 26000：2010 社会责任指南 - 完整中文版（58页 每页两张)
• ISO/IEC 27001：2013 Information technology — Security techniques — Information security management systems — Requirements(信息技术 - 安全技术 - 信息安全管理系统 - 要求)
• ISO/IEC 27001：2013 信息技术 - 安全技术 - 信息安全管理体系 - 要求 - 完整中文翻译版
• BS ISO 31000：2018 Risk management - Guidelines（风险管理-准则）
• ISO 31000 ：2018 风险管理指南 - 完整中文翻译版（13页)
• IEC 31010：2019 Risk management - Risk assessment techniques （风险管理 - 风险评估技术）
• ISO 37001：2016 Anti-bribery management systems - Requirements with guidance for use（反贿赂管理系统 - 要求和使用指南）
• ISO GUIDE 73：2009 Risk management - Vocabulary(风险管理-词汇)