ISO37301作為合規(guī)管理新標準于近日正式對外發(fā)布，ISO37301為企業(yè)規(guī)范合規(guī)治理、強化合規(guī)管理和加強合規(guī)文化建設(shè)提供了更具先進性、權(quán)威性、普適性和戰(zhàn)略性的工具和方法論，也為企業(yè)的合規(guī)管理提供了通過第三方認證獲得全球廣泛認可的機會和途徑。

在上一篇的內(nèi)容中，我們對ISO37301和ISO19600有了初步的了解，本文將為大家?guī)砀釉敿毜臉藴式庾x以及對比分析。

1. 相同的應用范圍和合規(guī)思路

1.1 應用范圍

兩個標準都適用于任何規(guī)模和類型的組織，為其提供建立、運行、維護和改進合規(guī)管理的標準化框架。

1.2 合規(guī)思路

均基于合規(guī)治理原則：治理機構(gòu)將合規(guī)納入其決策過程和融入組織的業(yè)務過程，成立合規(guī)職能部門并做適當授權(quán)，使其具備獨立性并可直接接觸治理機構(gòu)。
均基于風險管理、過程方法和PDCA邏輯：
兩個標準均通過合規(guī)義務及其合規(guī)風險和機遇的識別和評價過程確定合規(guī)管理的重點領(lǐng)域、目標及系統(tǒng)性的運行和監(jiān)測要求；
兩個標準均遵從過程方法，識別組織運營中的各業(yè)務過程的合規(guī)風險，將合規(guī)控制要求融入這些業(yè)務過程的運營，以各環(huán)節(jié)的合規(guī)促成系統(tǒng)性合規(guī)的結(jié)果；
兩個標準都基于PDCA理念，將策劃——執(zhí)行——檢查和改進的思維模式融入整個合規(guī)管理體系的建設(shè)和改進，也融入合規(guī)管理體系之中各支持性過程的建設(shè)和改進。

2. 不同的目的、標準結(jié)構(gòu)和應用方法

2.1 目的不同

ISO19600為ISO 組織制定的B類標準，其目的在于指導組織建立、實施、評價和改進合規(guī)管理體系，為其提供指導性的指南。
ISO37301為ISO 組織制定的A類標準，其目的在于為組織提供合規(guī)管理體系的建立標準化要求和實施指南。

2.2 ISO37301標準解析

2.2.1 ISO37301標準結(jié)構(gòu)

ISO37301應用了ISO/IEC Directives Annex SL的管理體系標準結(jié)構(gòu)，使得合規(guī)管理體系更方便與組織已有的基于ISO組織標準的其他管理體系的整合；

圖：合規(guī)管理體系通用要素

表：ISO37301標準條款結(jié)構(gòu)

2.2.2 第一章 范圍

明確標準適用于所有類型的組織，為其建立、制定、實施、評估、維護和改進有效合規(guī)管理體系提供要求及指南。

2.2.3 第二章 規(guī)范性引用文件

無規(guī)范性引用文件。

2.2.4 第三章 術(shù)語和定義

界定了31項術(shù)語和定義，與ISO19600標準相比較，術(shù)語和定義部分發(fā)生了如下變化：
修改“組織”的定義（3.1）：增加了“注2：如果組織是較大實體的一部分，則術(shù)語”組織”僅指較大實體在合規(guī)管理體系范圍內(nèi)的部分”
增加“有效性”的定義（3.13）：完成策劃的活動并取得策劃結(jié)果的程度
修改“治理機構(gòu)”的定義（3.21）：增加了“最高管理層向其報告”的描述以及“注1：并非所有組織，特別是小型組織都有獨立于最高管理者的治理機構(gòu)”和“注2：治理機構(gòu)可以包括，但不限于董事會、董事會委員會、監(jiān)事會或受托機構(gòu)”
修改“雇員”為“人員”（3.22）：將存在工作關(guān)系和合同關(guān)系的人員納入體系
修改“合規(guī)義務”的定義（3.25）：刪除“合規(guī)承諾”和“合規(guī)要求”，將組織需要強制遵守和資源遵守的要求統(tǒng)一稱為“合規(guī)義務”
增加“第三方”定義（3.30）：清晰界定與合規(guī)管理體系相關(guān)的第三方的范圍。

2.2.5 第四章 組織環(huán)境

標準在第四章中明確組織應深入了解其運營環(huán)境、合規(guī)義務及其帶來的風險和機遇，合理確定合規(guī)管理體系范圍。

與ISO19600標準比較，本章節(jié)發(fā)生了以下變化：

“4.1理解組織及其環(huán)境”條款增加了對商業(yè)模式、第三方業(yè)務的性質(zhì)和范圍以及組織自身的合規(guī)文化的認知要求
“4.2 理解相關(guān)方需求和期望”條款增加了“這些要求中需要通過合規(guī)管理體系解決的要求”
“4.6 合規(guī)風險評價”條款強調(diào)了組織應評價外包和第三方過程相關(guān)的合規(guī)風險，以及形成文件的信息的要求

2.2.6 第五章 領(lǐng)導作用

第五章強調(diào)合規(guī)管理體系中領(lǐng)導的作用，包括治理機構(gòu)和最高管理者的作用和承諾、遵守合規(guī)治理原則、建設(shè)合規(guī)文化、制定合規(guī)方針以及明確治理機構(gòu)、最高管理者、合規(guī)職能部門、管理層和員工在合規(guī)管理體系中的角色、職責和權(quán)限。

與ISO19600標準比較，本章節(jié)發(fā)生了以下變化：

將“合規(guī)治理”原則調(diào)整到本章5.1.3條款，并增加兩個注解對合規(guī)職能部門的獨立性做出進一步解釋
增加了“5.1.1 治理機構(gòu)和最高管理層”、“5.1.2 合規(guī)文化”、“5.1.3 合規(guī)治理”和“5.3.4 人員”條款，這些條款進一步強調(diào)了治理機構(gòu)和最高管理層的支持在合規(guī)管理體系中的重要作用，以及將合規(guī)要求由上而下從治理決策過程貫穿到人員的具體工作從而建設(shè)組織成熟的合規(guī)文化的要求、方法和重要性

2.2.7 第六章 策劃

針對合規(guī)義務、合規(guī)風險和機遇的識別評價過程，組織應針對這些風險和機遇制定應對措施。基于PDCA的方法論，第六章要求組織在各部門和層級上建立適宜的合規(guī)目標并策劃實現(xiàn)這些目標所需的過程。當管理體系發(fā)生變更時，組織應按照既定的流程進行變更后的策劃。

與ISO19600標準比較，本章節(jié)發(fā)生了以下變化：

“6.1 應對風險和機會的措施”條款增加了組織策劃合規(guī)管理體系需要考慮的要素：合規(guī)目標、被識別的合規(guī)義務和合規(guī)風險評估結(jié)果
增加“6.3 變更的策劃”條款，強調(diào)管理體系的動態(tài)性

2.2.8 第七章 支持

標準第七章對合規(guī)管理體系的支持性要素做出要求，包括配置資源的原則、人力資源保障、溝通和文件化信息。

與ISO19600標準比較，本章節(jié)發(fā)生了以下變化：
增加了“7.2.2 雇傭過程”條款，要求組織考慮可能在人力資源層面上產(chǎn)生的合規(guī)風險，應制定、建立、實施和維護適宜的雇傭過程，通過雇傭條件、盡職調(diào)查、培訓和獎懲措施的實施規(guī)避或降低這些風險
將“合規(guī)文化”調(diào)整到第五章，并在“7.3 意識”條款強調(diào)工作人員應了解支持合規(guī)文化的重要性

2.2.9 第八章 運行

標準的第八章對合規(guī)管理體系在各業(yè)務過程中的運行進行過程策劃、建立過程準則和實施過程控制措施和程序，并定期評審和測試這些措施和程序，以確保其持續(xù)有效。同時，對于提出關(guān)注和調(diào)查過程做出要求。

與ISO19600標準比較，本章節(jié)發(fā)生了以下變化：

增加“8.3 提出關(guān)注”條款，要求組織應建立、實施并保持程序，程序應做到鼓勵提出關(guān)注、對提出關(guān)注的內(nèi)容予以保密、接受匿名報告、保護提出關(guān)注的人員不被打擊報復以及個人能夠得到建議；組織還要確保所有人員都知曉這個程序以及他們的權(quán)利和保護措施，并能夠切實使用該程序；
增加“8.4 調(diào)查過程”，要求組織制定、建立、實施并保持用于評估、調(diào)查和關(guān)閉報告的流程，對疑似不合規(guī)或?qū)嶋H不合規(guī)情況進行調(diào)查；該調(diào)查過程應確保決策公平公正、避免任何利益沖突；調(diào)查結(jié)果應可用于合規(guī)管理體系的改進；治理結(jié)構(gòu)和最高管理者應得到定期的有關(guān)調(diào)查的數(shù)量和結(jié)果的報告。

2.2.10 第九章 績效評價

本章節(jié)通過監(jiān)視、測量、分析和評價、內(nèi)審和管理評審對合規(guī)管理體系做出三級監(jiān)控機制的要求，通過運行過程績效、管理體系符合性和管理體系的適宜性、充分性和有效性監(jiān)控，確保管理體系獲得預期成果。

2.2.11 改進

本章節(jié)要求組織對發(fā)生的不合規(guī)或不合規(guī)采取控制或糾正措施，確保持續(xù)改進合規(guī)管理體系的適用性、充分性和有效性。

3. SGS可以為企業(yè)提供哪些服務？

SGS作為國際公認的檢驗、鑒定、測試和認證機構(gòu)，圍繞ISO37301標準以及各國家和地區(qū)的合規(guī)要求，開發(fā)了系列合規(guī)服務產(chǎn)品，旨在幫助全球客戶提升合規(guī)管理水平，獲得合規(guī)管理體系認證，助力合規(guī)經(jīng)營。

對于已建立合規(guī)管理體系的組織來說，如何理解新標準的修訂內(nèi)容，及時將組織的合規(guī)管理體系按新標準要求調(diào)整，使合規(guī)管理體系符合新標準的要求，進而獲得專業(yè)的認證是組織面臨的挑戰(zhàn)，也是證明組織經(jīng)營管理合規(guī)的機會。

1. 合規(guī)培訓

SGS開發(fā)了從標準培訓到合規(guī)實戰(zhàn)的課程：
ISO37301標準解讀
ISO37301內(nèi)審員培訓
ISO37301主任審核員培訓
合規(guī)管理體系的建立與實施課程
合規(guī)管理審計員資質(zhì)課程
合規(guī)官資質(zhì)系列課程（體系+法務+內(nèi)控+選PMBOK）
各種任職培訓之合規(guī)部分
風險評估及控制技術(shù)課程

2. 標準應用實踐

SGS積累多年各專業(yè)領(lǐng)域的技術(shù)合規(guī)和管理體系符合性服務經(jīng)驗，持續(xù)開展以下合規(guī)應用服務：
合規(guī)管理差距分析
委托合規(guī)審計（基于供應鏈、資金鏈、特許鏈……）
各專業(yè)領(lǐng)域合規(guī)盡職調(diào)查（礦業(yè)、化工、環(huán)保、安全、IT、人權(quán)、防疫……）
標定的合規(guī)治理服務
合規(guī)計劃Compliance Program 和合規(guī)報告綜合服務

3. 合規(guī)管理體系認證

SGS開展ISO37301合規(guī)管理體系認證的服務流程：