如果说近年来法律圈的热词,“合规”一词必定上榜。
近年来,全球贸易关系愈加复杂,冷战氛围逐渐浓厚,全球产业链进入深度调整与重构时期,我国全面进入“双循环”经济模式。在国家层面,各国建立了严格的合规监管制度,监管机构加强了立法深度和执法力度,引导和督促企业实施更加主动的合规经营。在国际层面,联合国、经济合作与发展组织、世界银行集团、亚洲太平洋经济合作组织、国际商会等国际性组织相继制定全球性契约、指南和指引等,对合规管理核心问题形成国际共识,在相关贸易活动中对不合规行为实施联合惩戒。合规已经成为各类组织成功和可持续发展的基础。我国从中央到各部位对此也高度重视,不断出台各种合规指引、规范。今年三月,我国标准化委员会出台《医药行业合规管理规范》,4月13日国际标准化组织出台ISO 37301: 2021《合规管理体系 要求及使用指南》。
你理解什么是“合规?”
----不就是合乎规范、合乎规矩吗?
----合规,就是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。1
2014年,国际标准化组织制定了ISO 19600:2014《合规管理体系 指南》。
2017年,中国标准化研究院牵头制定的GB/T35770-2017《合规管理体系 指南》(以下简称“《指南》”)于2018年7月1日正式颁布实施,
2018年11月,国资委颁布《中央企业合规管理指引》;
2018年12月,发改委等七部门联合发布了《企业境外经营合规管理指引》
很多国企,特别是央企都开始建立合规体系,但是到底怎么搭建合规体系,虽然看似有了“指引”,但并没有什么标准,律所、会所、咨询机构都使出浑身解数,制订了一套一套看似完善的合规体现,来自江苏的某企业董事长自豪地称“几年前就完成了企业合规体现的搭建”。但是有一组数据,很打脸:
世界银行2005年称,自从1999年以来,有300家公司或个人因在世行资助的项目中有欺诈或腐败行为而受到惩处。腐败案最多的是东亚、环太平洋地区、欧洲和中亚。2
2015年,有750家企业在世界银行的黑名单3上。2009年,中国企业首次进入这个黑名单,当时只有4家, 2015年9月已经有38家。“上榜”的企业将在一定期限内被禁止参与世界银行的工程项目投标。例如,一家中资建筑企业在6年内被禁止参与世界银行的项目投标,如果表现良好,将会在4年后解禁或减轻制裁4。而被解禁的前提就是整改合格,被独立的第三方认证为“合规”。
令人费解的是,尽管在国企中普遍开始合规体系的建设,但是因不合规被列入黑名单的企业仍快速增长,截至2021年3月,竟然有827家中资企业被列入世界银行的黑名单,其中过半数是中字头的大型国企。究其原因,是因为大多数的合规体系不符合国际标准,无法被认证。
为了满足全球化合规的快速发展和迫切需求,提升各类组织合规管理能力,促进国际贸易、交流与合作,ISO于2018年11月启动了ISO 37301的制定工作,基于最新的合规管理实践,修订并代替ISO 19600:2014《合规管理体系 指南》。
2021年4月13日,ISO 37301: 2021《合规管理体系 要求及使用指南》(Compliance management systems — Requirements with guidance for use)(以下简称“ISO 37301”)国际标准正式发布实施。
ISO 37301有什么重大意义?
作为A类管理体系标准,ISO 37301至少有四种应用方式。
一是作为各类组织自我声明符合的依据。各类组织通过实施ISO 37301,建立并运行合规管理体系,一方面使得组织的行为以及行为结果合规,另一方面在需要时还能够据此标准追溯组织是否符合了合规管理体系规定的内容或证实是否达到了合规要求。
二是作为认证机构开展认证的依据。ISO 37301规定了合规管理体系的要求,并提供了建议做法和指南,认证机构在认证活动中,可以直接应用或者在其认证技术规范中明确ISO 37301作为组织符合合规管理体系要求的认证依据。
三是作为政府机构监管的依据。政府机构可以将ISO 37301确立的合规管理理念应用于行政监管活动,通过对组织的合规管理体系运行情况评价结果来匹配相应的监管手段和措施,实施精准监管。
四是作为司法机关对违规企业量刑与监管验收的依据。可以将ISO 37301确立的合规管理体系要求作为司法机关对涉及违规企业量刑的考量依据,可以作为落实依法不捕不诉不提出判实刑建议等司法意见、制定合规指引、督促企业合规整改和第三方监管验收的依据。
ISO 37301与ISO19600有什么区别?
从名称上,ISO19600:2014《合规管理体系 指南》(Compliance management systems Guidelines),后者是ISO 37301: 2021《合规管理体系 要求及使用指南》(Compliance management systems — Requirements with guidance for use),序列号不再是ISO 19600,而是ISO 37301。要求更加细化、可操作。例如,对于“培训”,延伸到对供应商;增加了对合规疑虑的方法和程序。从功能上,增加了抗御司法机关行政、刑事处罚的可能性。具体差异见下图6:
合规管理体系不再是一个指南性标准,而是提出要求并指导“如何使用”是一个可以认证的标准,英文就是Certifiable。标准一旦可以用来认证,那就更加刚性,接近强制性标准。换句话说,相关企业通不过认证就是不合规,做了也是无效的。
ISO 37301标准主要内容
ISO 37301规定了组织建立、运行、维护和改进合规管理体系的要求,并提供了使用指南,适用于全球任何类型、规模、性质和行业的组织。合规管理体系通用要素的框架如下图(图片来自质量与认证网站)所示。
(一)组织环境
组织所处的环境构成了组织赖以生存的基础。这些环境既涉及法律法规、监管要求、行业准则、良好实践、道德标准,又涉及组织自行制定或公开声明遵守的各类规则。因此,建立合规管理体系首先要对组织所处的环境予以识别和分析。
ISO 37301从以下方面规定了识别和分析组织环境的要求:
(二)领导作用
领导是合规管理的根本,对于整个组织树立合规意识、建立高效的合规管理体系具有至关重要的作用。ISO 37301对组织的治理机构、最高管理者等如何发挥领导作用作出了规定:
(三)策划
策划是预测潜在的情形和后果,对于确保合规管理体系能实现预期效果,防范并减少不希望的影响,实现持续改进具有重要作用。ISO 37301从以下方面规定了策划合规管理体系的要求:
一是在各部门和层级上建立适宜的合规目标,策划实现合规目标需建立的过程;
二是综合考虑组织内外部环境问题、合规义务和合规目标,策划应对风险和机会的措施,并将这些措施纳入合规管理体系;
三是有计划地对合规管理体系进行修改。
(四)支持
支持是合规管理的重要保障,对于合规管理体系在各个层面得到认可并保障合规行为实施具有重要的支持作用。ISO 37301从以下方面规定了支持措施:
一是确定并提供所需的资源,例如财务资源、工作环境与基础设施等;
二是招聘能胜任且能遵守合规要求的员工,对违反合规要求的员工采取纪律处分等管理措施;
三是提供培训,提升员工合规意识;
四是开展内部和外部沟通与宣传;
五是创建、控制和维护文件化信息。
(五)运行
运行是立足于执行层面,策划、实施和控制满足合规义务和战略层面规划的措施相关的流程,以确保组织运行合规管理体系。ISO 37301从以下方面对运行作出了规定:一是实施为满足合规义务、实施合规目标所需的过程以及所需采取的措施;二是建立并实施过程的准则、控制措施,定期检查和测试这些控制措施,并保留记录;三是建立举报程序,鼓励员工善意报告疑似和已发生的不合规;四是建立调查程序,对可疑和已发生的违反合规义务的情况进行评估、调查和了解。
(六)绩效评价
绩效评价是对合规管理体系建立并运行后的绩效、体系有效性评价,对于查找可能存在的问题、后续改进合规管理体系等具有重要意义。ISO 37301对如何开展合规管理体系绩效评价作出了规定:
(七)改进
改进是对合规管理体系运行中发生不合格/不合规情况做出反应、评价是否需要采取措施,消除不合格/不合规的根本原因,以避免再次发生或在其他地方发生,并持续改进,以确保合规管理体系的动态持续有效。ISO 37301从以下方面对改进作出了规定:一是持续改进合规管理体系的适用性、充分性和有效性;二是对发生的不合格、不合规采取控制或纠正措施。
三、对于企业的现实意义
如果说过去,“合规”对于企业来说是锦上添花,是大型国企、外企才会感兴趣,或者才有财力人力资源可以完成的,现在“合规”成为企业的义务。一方面,行稳方能致远。中国经过四十年的高速发展,已经走过了粗放式发展的时代,对金融、医药、教育、化工等行业逐渐加强监管。企业没有精细化管理,不愿意在合规上多投入,面对可见的风险抱着侥幸心理,会经常跌跟头、被处罚。被“合规”加持的企业会迅速被行业和市场认可,且逐渐实现马太效应;而不合规的企业将逐渐被边缘化,直至被淘汰出局;另一方面,合规会保护企业家和企业。37301确立的合规管理体系要求作为司法机关对涉及违规企业量刑的考量依据,可以作为落实依法不捕不诉不提出判实刑建议等司法意见、制定合规指引、督促企业合规整改和第三方监管验收的依据。通俗解释,如果能证明企业经营/行为/活动是合规的,则企业或企业家会从轻、减轻甚至免予刑事处罚。
1引自《中央企业合规管理指引》
2中国法院网
3指的是利用世界银行贷款的项目存在腐败而被世界银行列入“禁止承接由世行资助项目” 的公司名录。
4中国经济网
5图片来自质量与认证网站
