开通VIP,畅享免费电子书等14项超值服
首页
好书
留言交流
下载APP
联系客服
2024.02.09河南
一、目前已颁发的合规管理体系认证证书
认证范围的类型
ISO37301于2021年4月发布,GB/T35770于2022年10月发布,属于非常新的认证领域。截至2022年底,共有约160个组织获得ISO37301国际标准认证证书。经初步查询、分类,目前已颁发的合规管理体系认证证书的认证范围的描述大致可分为以下3种类型:
关于第二种类型,采用这种认证范围类型的机构,主要基于这样一种理论,即合规管理体系分为专项合规(又称小合规)和全面合规(又称大合规)。认证机构很难对于组织的全面合规做出认证证明,这也存在非常大的认证风险。因此,在认证证书的认证范围上要界定到具体专项合规领域。
关于第三种类型,目前大多数的认证机构采用的是这种类型的认证范围,直接根据标准的内容进行描述。
笔者赞同第三种认证范围类型,下文将重点分析阐述为什么合规管理体系认证范围不建议按第二种类型方式再对合规管理进行专项合规领域的分类,而应根据组织的业务范围给出认证结论。
二、“专项合规”“全面合规”并非
合规管理体系认证活动中的概念
(一)“全面合规”和“专项合规”是从法律维度分类的概念
根据中国企业家协会编制的《企业合规事务管理(高级)》教材内容,综合合规(又称大合规)与专项合规是按企业合规的法律维度进行分类。“依合规所应对的法律风险集内含的风险点数量,企业合规计划的类型可以分为综合合规,俗称大合规,和专项合规。前者是笼统地针对所有违法犯罪风险建立合规体系,后者则是针对特定违法犯罪风险点而细化的合规体系”。“企业合规的业务分类维度,一般存在于管理学讨论视角下,更始于非专业从业人员间沟通和落实合规管理措施。这种分类方法因为更贴合非法律从业人员对于企业经营行为的理解习惯,因此也经常出现在企业实践场景中”。
(二)“全面合规”是多个必要的“专项合规”
专项合规是针对企业经营活动特定领域的合规风险建设并实行的合规管理体系,如反商业贿赂、反垄断和反不正当竞争、数据保护、安全环保等。而全面合规则是针对企业经营活动主要领域合规风险建设并实行的多个专项合规管理体系。“全面合规一般是由两个以上的、必要的专项合规组成的复合型合规管理体系,但并不要求囊括所有的专项合规。如果说专项合规是企业合规管理中的'某一项’,那么全面合规就是企业合规管理中'必要的多项’。”
(三)全面合规适用于事前防范,专项合规适用于事后整改
目前,我国最高检的涉案企业合规建设明确要求涉案企业针对与涉嫌犯罪有密切联系的合规风险,制定专项合规整改计划。北京大学法学院教授陈瑞华认为,在日常性合规管理体系建设中,由于企业并未发生迫在眉睫的现实合规风险,企业通常按照“全面合规体系说”的理念,建立“大而全”的合规管理体系。而“涉案企业”在面临行政执法调查、刑事追诉乃至国际组织制裁的情况下,就要建立专门性的合规管理体系,有效地防止再次发生相同或者类似违法违规行为。
综上,笔者认为,首先,关于“全面合规”目前尚没有一个明确统一的概念;其次,关于“全面合规”“专项合规”的概念和说法,更适用于法学维度,而非合规管理体系认证活动中的专业术语和概念。
三、从ISO/TC309标准框架及标准设置
分析合规管理体系认证范围
ISO/TC309机构治理委员会目前负责的ISO37000标准族里一共有4项现行有效的标准:ISO37000:2021《组织治理指南》、ISO37001:2016《反贿赂管理体系要求及使用指南》、ISO37002:2021《举报管理体系指南》、ISO37301:2021《合规管理体系要求及使用指南》。
从ISO/TC309制定的标准可以看出,ISO37001《反贿赂管理体系要求及使用指南》并未因ISO37301《合规管理体系要求及使用指南》的发布而废止,两个标准并行有效,也就是说ISO37301并没有覆盖ISO37001的要求。而且,如果合规管理体系认证范围要按专项合规内容分类,反贿赂无疑被视为最重要的专项合规领域之一,那么就会出现依据ISO37301而不是ISO37001给出组织的反贿赂管理体系符合标准的矛盾情况。
四、从ISO37301本身内容和原则
通过对比,我们可以看出,作为可认证的标准,ISO37301的用语更加准确、严谨并且可操作,它将“遵守了”更改为“承诺并致力于遵守”,前者是对于组织“合规事实”的一个实质性结论判断,而后者是对于组织“合规表示”和“合规投入”的证实。显然,合规管理体系认证不是对于组织“遵守了”法律、监管要求等合规事实的结论性证明,而是审核组织是否在分析理解组织环境的基础上,切实发挥领导作用承诺合规,并采取实际行动致力于全面有效的策划、支持、运行合规管理体系,以及通过绩效评价不断改进合规管理体系。
一个组织可以根据需要,为更好地保证合规管理体系的有效性和针对性,结合实际情况在重点领域建立专项合规计划、指南等。这些专项合规计划、指南等是组织合规管理体系的一部分,而不是合规管理体系认证范围的分类。
五、认证范围划分到专项合规领域的问题
如果认证范围按“专项合规”划分还会产生以下的问题:
一是与合规管理体系适宜性原则相冲突。GB/T35770/ISO37301明确指出“本文件中的要求与指南旨在具有适应性,根据组织合规管理体系规模和成熟度的不同,以及组织活动和目标所处的环境、性质及其复杂程度的不同,其实施方式有所不同”。标准强调组织建立合规管理体系的适宜性,因而不应该通过认证范围划分到专项合规领域这种方式,增加组织应用标准的义务和要求,限定每个组织都要建立专项合规体系。这种方式也许对于大型组织来说是比较可行的,但是对于小型组织来说,可能就与需求和实际不匹配。
二是缺乏权威、一致且可行的专项领域的划分标准。首先,目前除了《中央企业合规管理办法》(第十八条“中央企业应当针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域,以及合规风险较高的业务,制定合规管理具体制度或者专项指南”),尚未找到比较权威和公认一致的专项合规的分类方法。其次,《中央企业合规管理办法》对于央企的要求也不一定适合更广大的中小企业。最后,因为组织的性质、经营的内容、运营的特点等各不相同,很难准确列举穷尽所有组织适用的合规专项领域,即使《中央企业合规管理办法》也是用列举加其他的方式对制定合规管理具体制度和专项指南提出要求。如果合规管理体系认证的范围只限定到列出的专项合规领域,显然与标准全面覆盖的原则不相符合。
综上,合规管理体系认证不等于对组织全面合规的认证,合规管理体系认证证明的是组织的合规管理体系框架满足要求,证明的是组织“承诺并致力于”合规。认证机构应依据GB/T35770或ISO37301对组织开展认证审核活动,并对满足要求的组织在认证范围内发放证明其合规管理体系符合GB/T35770/ISO37301标准要求的认证证书。