2021 年國際標準化組織(ISO)正式發(fā)布了《合規(guī)管理體系要求和使用指南》(ISO 37301：2021)。2022 年 10 月 12 日，等同采用國際標準的國標《合規(guī)管理體系要求及使用指南》(GB/T 35770—2022)正式發(fā)布。合規(guī)管理體系有了能夠用于認證活動的標準，各類組織聲明符合合規(guī)管理體系要求也有了依據(jù)。一些認證機構(gòu)已經(jīng)據(jù)此開展了合規(guī)管理體系認證活動，向客戶頒發(fā)了合規(guī)管理體系認證證書。但是，關(guān)于合規(guī)管理體系認證范圍如何界定和劃分，目前在認證機構(gòu)實踐活動中存在著不同的理解和做法，本文通過分析、研究，給出筆者關(guān)于認證范圍劃分原則的思考和建議。

一、目前已頒發(fā)的合規(guī)管理體系認證證書

認證范圍的類型

ISO 37301 于 2021 年 4 月 發(fā) 布，GB/T35770 于 2022 年 10 月發(fā)布，屬于非常新的認證領(lǐng)域。截至 2022 年底，共有約 160 個組織獲得 ISO 37301 國際標準認證證書。經(jīng)初步查詢、分類，目前已頒發(fā)的合規(guī)管理體系認證證書的認證范圍的描述大致可分為以下 3 種類型：

第一種類型為“組織的業(yè)務范圍 + 合規(guī)管理 + 適用性聲明”，如認證范圍為：XX 集團云服務的合規(guī)管理，與 XX 年 XX 月 XX 日的適用性聲明相一致;

第二種類型為：“組織的業(yè)務范圍 + 專項合規(guī)領(lǐng)域”，如 XX 集團云服務相關(guān)的數(shù)據(jù)保護合規(guī)管理;

第三種類型為“組織的業(yè)務范圍 + 合規(guī)管理”，如 XX 集團云服務相關(guān)的合規(guī)管理。

關(guān)于第一種類型，適用性聲明是信息安全管理術(shù)語，根據(jù) ISO/IEC 27001：2022 信息安全管理體系要求的相關(guān)內(nèi)容，組織應制定一個適用性聲明，包括必要的控制、控制的正當理由、排除附錄 A 控制的合理性說明等內(nèi)容，因此信息安全管理體系認證證書范圍都會標注出適用性聲明的版本。在合規(guī)管理體系認證實踐的初期探索階段，在認證證書范圍引入適用性聲明的做法，有利于引導組織自我識別合規(guī)義務和合規(guī)風險，也有利于降低認證機構(gòu)的認證風險，但是合規(guī)管理體系與信息安全管理體系從標準內(nèi)容設(shè)定到實際運行都存在著比較大的區(qū)別，因此適用性聲明這種表述不太適合合規(guī)管理體系認證范圍。

關(guān)于第二種類型，采用這種認證范圍類型的機構(gòu)，主要基于這樣一種理論，即合規(guī)管理體系分為專項合規(guī)(又稱小合規(guī))和全面合規(guī)(又稱大合規(guī))。認證機構(gòu)很難對于組織的全面合規(guī)做出認證證明，這也存在非常大的認證風險。因此，在認證證書的認證范圍上要界定到具體專項合規(guī)領(lǐng)域。

關(guān)于第三種類型，目前大多數(shù)的認證機構(gòu)采用的是這種類型的認證范圍，直接根據(jù)標準的內(nèi)容進行描述。

筆者贊同第三種認證范圍類型，下文將重點分析闡述為什么合規(guī)管理體系認證范圍不建議按第二種類型方式再對合規(guī)管理進行專項合規(guī)領(lǐng)域的分類，而應根據(jù)組織的業(yè)務范圍給出認證結(jié)論。

二、“專項合規(guī)”“全面合規(guī)”并非

合規(guī)管理體系認證活動中的概念

在國際和國內(nèi)的合規(guī)管理體系相關(guān)標準中，沒有關(guān)于“全面合規(guī)”“專項合規(guī)”的術(shù)語和定義，這種說法和描述目前多在法律界、法律工作者或者法學家的文章里出現(xiàn)。但是，彼此之間對于“全面合規(guī)”“專項合規(guī)”的概念和理解也不一樣。下文將選取幾種比較典型的說法。

（一）“全面合規(guī)”和“專項合規(guī)”是從法律維度分類的概念

根據(jù)中國企業(yè)家協(xié)會編制的《企業(yè)合規(guī)事務管理(高級)》教材內(nèi)容，綜合合規(guī)(又稱大合規(guī))與專項合規(guī)是按企業(yè)合規(guī)的法律維度進行分類。“依合規(guī)所應對的法律風險集內(nèi)含的風險點數(shù)量，企業(yè)合規(guī)計劃的類型可以分為綜合合規(guī)，俗稱大合規(guī)，和專項合規(guī)。前者是籠統(tǒng)地針對所有違法犯罪風險建立合規(guī)體系，后者則是針對特定違法犯罪風險點而細化的合規(guī)體系”。“企業(yè)合規(guī)的業(yè)務分類維度，一般存在于管理學討論視角下，更始于非專業(yè)從業(yè)人員間溝通和落實合規(guī)管理措施。這種分類方法因為更貼合非法律從業(yè)人員對于企業(yè)經(jīng)營行為的理解習慣，因此也經(jīng)常出現(xiàn)在企業(yè)實踐場景中”。

（二）“全面合規(guī)”是多個必要的“專項合規(guī)”

專項合規(guī)是針對企業(yè)經(jīng)營活動特定領(lǐng)域的合規(guī)風險建設(shè)并實行的合規(guī)管理體系，如反商業(yè)賄賂、反壟斷和反不正當競爭、數(shù)據(jù)保護、安全環(huán)保等。而全面合規(guī)則是針對企業(yè)經(jīng)營活動主要領(lǐng)域合規(guī)風險建設(shè)并實行的多個專項合規(guī)管理體系。“全面合規(guī)一般是由兩個以上的、必要的專項合規(guī)組成的復合型合規(guī)管理體系，但并不要求囊括所有的專項合規(guī)。如果說專項合規(guī)是企業(yè)合規(guī)管理中的‘某一項’，那么全面合規(guī)就是企業(yè)合規(guī)管理中‘必要的多項’。”

（三）全面合規(guī)適用于事前防范，專項合規(guī)適用于事后整改

目前，我國最高檢的涉案企業(yè)合規(guī)建設(shè)明確要求涉案企業(yè)針對與涉嫌犯罪有密切聯(lián)系的合規(guī)風險，制定專項合規(guī)整改計劃。北京大學法學院教授陳瑞華認為，在日常性合規(guī)管理體系建設(shè)中，由于企業(yè)并未發(fā)生迫在眉睫的現(xiàn)實合規(guī)風險，企業(yè)通常按照“全面合規(guī)體系說”的理念，建立“大而全”的合規(guī)管理體系。而“涉案企業(yè)”在面臨行政執(zhí)法調(diào)查、刑事追訴乃至國際組織制裁的情況下，就要建立專門性的合規(guī)管理體系，有效地防止再次發(fā)生相同或者類似違法違規(guī)行為。

綜上，筆者認為，首先，關(guān)于“全面合規(guī)”目前尚沒有一個明確統(tǒng)一的概念;其次，關(guān)于“全面合規(guī)”“專項合規(guī)”的概念和說法，更適用于法學維度，而非合規(guī)管理體系認證活動中的專業(yè)術(shù)語和概念。

三、從 ISO/TC 309 標準框架及標準設(shè)置

分析合規(guī)管理體系認證范圍

ISO/TC 309 機構(gòu)治理委員會目前負責的ISO 37000 標準族里一共有 4 項現(xiàn)行有效的標準：ISO 37000：2021《組織治理指南》、ISO37001：2016《反賄賂管理體系要求及使用指南》、ISO 37002：2021《舉報管理體系指南》、ISO 37301：2021《合規(guī)管理體系要求及使用指南》。

從 ISO/TC 309 制定的標準可以看出，ISO37001《反賄賂管理體系要求及使用指南》并未因 ISO 37301《合規(guī)管理體系要求及使用指南》的發(fā)布而廢止，兩個標準并行有效，也就是說 ISO 37301 并沒有覆蓋 ISO 37001 的要求。而且，如果合規(guī)管理體系認證范圍要按專項合規(guī)內(nèi)容分類，反賄賂無疑被視為最重要的專項合規(guī)領(lǐng)域之一，那么就會出現(xiàn)依據(jù) ISO 37301 而不是 ISO 37001 給出組織的反賄賂管理體系符合標準的矛盾情況。

四、從 ISO 37301 本身內(nèi)容和原則

分析

ISO 19600《合規(guī)管理體系指南》引言部分指出“合規(guī)意味著組織遵守了適用的法律法規(guī)及監(jiān)管規(guī)定，也遵守了相關(guān)標準、合同、有效治理原則或道德準則”。它將“合規(guī)”直接等同于組織“遵守了法”“遵守了規(guī)”。而修改后的 ISO 37301 引言相應部分的表述為“一個全面有效的合規(guī)管理體系，能證實組織承諾并致力于遵守相關(guān)法律、監(jiān)管要求、行業(yè)準則和組織標準，以及良好治理標準、普遍接受的最佳實踐、道德規(guī)范和社區(qū)期望”。

通過對比，我們可以看出，作為可認證的標準，ISO 37301 的用語更加準確、嚴謹并且可操作，它將“遵守了”更改為“承諾并致力于遵守”，前者是對于組織“合規(guī)事實”的一個實質(zhì)性結(jié)論判斷，而后者是對于組織“合規(guī)表示”和“合規(guī)投入”的證實。顯然，合規(guī)管理體系認證不是對于組織“遵守了”法律、監(jiān)管要求等合規(guī)事實的結(jié)論性證明，而是審核組織是否在分析理解組織環(huán)境的基礎(chǔ)上，切實發(fā)揮領(lǐng)導作用承諾合規(guī)，并采取實際行動致力于全面有效的策劃、支持、運行合規(guī)管理體系，以及通過績效評價不斷改進合規(guī)管理體系。

合規(guī)是一個組織應該追求的目標和狀態(tài)，是一個持續(xù)的過程。合規(guī)管理體系是一個框架，合規(guī)管理體系認證證實的是“組織承諾并致力于遵守相關(guān)法律、監(jiān)管要求、行業(yè)準則和組織標準，以及良好治理標準、普遍接受的最佳實踐、道德規(guī)范和社區(qū)期望”。合規(guī)管理體系無法完全避免錯誤的發(fā)生，但有相應的過程確保對錯誤做出適當?shù)姆磻?/p>

一個組織可以根據(jù)需要，為更好地保證合規(guī)管理體系的有效性和針對性，結(jié)合實際情況在重點領(lǐng)域建立專項合規(guī)計劃、指南等。這些專項合規(guī)計劃、指南等是組織合規(guī)管理體系的一部分，而不是合規(guī)管理體系認證范圍的分類。

五、認證范圍劃分到專項合規(guī)領(lǐng)域的問題

如果認證范圍按“專項合規(guī)”劃分還會產(chǎn)生以下的問題：

一是與合規(guī)管理體系適宜性原則相沖突。GB/T 35770/ISO 37301 明確指出“本文件中的要求與指南旨在具有適應性，根據(jù)組織合規(guī)管理體系規(guī)模和成熟度的不同，以及組織活動和目標所處的環(huán)境、性質(zhì)及其復雜程度的不同，其實施方式有所不同”。標準強調(diào)組織建立合規(guī)管理體系的適宜性，因而不應該通過認證范圍劃分到專項合規(guī)領(lǐng)域這種方式，增加組織應用標準的義務和要求，限定每個組織都要建立專項合規(guī)體系。這種方式也許對于大型組織來說是比較可行的，但是對于小型組織來說，可能就與需求和實際不匹配。

二是缺乏權(quán)威、一致且可行的專項領(lǐng)域的劃分標準。首先，目前除了《中央企業(yè)合規(guī)管理辦法》(第十八條“中央企業(yè)應當針對反壟斷、反商業(yè)賄賂、生態(tài)環(huán)保、安全生產(chǎn)、勞動用工、稅務管理、數(shù)據(jù)保護等重點領(lǐng)域，以及合規(guī)風險較高的業(yè)務，制定合規(guī)管理具體制度或者專項指南”)，尚未找到比較權(quán)威和公認一致的專項合規(guī)的分類方法。其次，《中央企業(yè)合規(guī)管理辦法》對于央企的要求也不一定適合更廣大的中小企業(yè)。最后，因為組織的性質(zhì)、經(jīng)營的內(nèi)容、運營的特點等各不相同，很難準確列舉窮盡所有組織適用的合規(guī)專項領(lǐng)域，即使《中央企業(yè)合規(guī)管理辦法》也是用列舉加其他的方式對制定合規(guī)管理具體制度和專項指南提出要求。如果合規(guī)管理體系認證的范圍只限定到列出的專項合規(guī)領(lǐng)域，顯然與標準全面覆蓋的原則不相符合。

其他問題還包括：首先，專項合規(guī)領(lǐng)域認證容易導致認證機構(gòu)和企業(yè)存在投機取巧、取易棄難的傾向，認證機構(gòu)只選擇一個最簡單的、低風險的專項合規(guī)領(lǐng)域去開展合規(guī)認證活動，走捷徑賺取認證費。企業(yè)選擇一個最容易的領(lǐng)域去申請認證，獲得合規(guī)證書，用最低的成本達到宣傳的效果，對相關(guān)方造成誤導。其次，采取專項合規(guī)領(lǐng)域認證范圍的做法容易導致一個組織需要持續(xù)不斷地一個一個專項合規(guī)領(lǐng)域去申請認證、接受認證，大大增加了組織的時間成本和經(jīng)濟成本，給組織造成不必要的負擔。

綜上，合規(guī)管理體系認證不等于對組織全面合規(guī)的認證，合規(guī)管理體系認證證明的是組織的合規(guī)管理體系框架滿足要求，證明的是組織“承諾并致力于”合規(guī)。認證機構(gòu)應依據(jù)GB/T 35770 或 ISO 37301 對組織開展認證審核活動，并對滿足要求的組織在認證范圍內(nèi)發(fā)放證明其合規(guī)管理體系符合 GB/T 35770/ISO 37301 標準要求的認證證書。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：中國政府網(wǎng)、百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://m.1cjaei.cn/news/202402/xwif_47989.html