基于最新的合規(guī)管理全球實踐，ISO于2021年發(fā)布了ISO 37301:2021《合規(guī)管理體系 要求及使用指南》，代替ISO 19600:2014.ISO 37301標準與ISO 19600最大的改動在于，舊版標準提供的是“組織內建立一套有效和及時響應的合規(guī)管理體系，并予以制定、實施、評價、維護和改進的指導”，而新版標準提供的是“組織建立、制定、實施、評價、維護和改進有效的合規(guī)管理體系的要求”。這也意味著合規(guī)管理體系標準從原來的指南性標準升級為可用于認證的規(guī)范性標準。

認證申請及評審

認證申請及評審是所有認證技術活動的第一步，其重要性無需多言。在合規(guī)管理體系認證申請及評審過程中，有三個問題值得重點關注。

1.資質的驗證

資質的驗證是貫穿于任何管理體系認證過程始終的一項工作，而合規(guī)管理體系本身即是針對“規(guī)”的驗證，其認證申請及評審過程中資質的驗證就更為重要。對于認證申請方資質的驗證，不僅包括法律法規(guī)規(guī)定的客戶的相關資質或認可，還應關注一些特定內容。如：與企業(yè)合規(guī)相關的內部或外部審計評估報告、一定時間內企業(yè)受到監(jiān)督和處罰的記錄、一定時間內企業(yè)合規(guī)相關的輿情等。對于存在境外經營活動的企業(yè)，還應關注當地政府對企業(yè)的管理要求，包括對外貿易、境外投資、對外承包工程、境外日常經營四方面的具體法律法規(guī)、國際條約、監(jiān)管規(guī)定、行業(yè)準則、商業(yè)慣例、道德規(guī)范和企業(yè)依法制定的章程及規(guī)章制度等要求。

2.范圍的確定

范圍的確定直接關系到審核活動的完整性和有效性，是各管理體系認證申請及評審的重要環(huán)節(jié)。合規(guī)管理體系的范圍與其他管理體系范圍有所不同，這也是由其特殊性所決定的。合規(guī)管理體系的范圍界定應該關注的內容至少包括三方面：營業(yè)范圍所在的國家、地區(qū)或區(qū)域、資質許可營業(yè)范圍、營業(yè)范圍相關的合規(guī)活動。之所以要對這三方面進行界定，源于以下幾方面的考量。

(1)組織經營活動的合規(guī)，需要基于各國家、地區(qū)或區(qū)域的要求，而在實際操作中，各國家、地區(qū)或區(qū)域的要求有極大差異，會對審核過程所需投入的資源產生極大影響。

(2)對于跨國或跨地區(qū)經營的組織，其所能得到的營業(yè)范圍往往有所差異，如果不能對其進行明確界定，可能會造成審核活動與實際情況產生非必要偏差，不能滿足審核有效性要求。

(3)合規(guī)活動與生產活動有所不同，其需進行管理的活動包括反賄賂、反舞弊、反腐敗、反洗錢、知識產權、反壟斷、勞工權利保障、環(huán)境保護、數據和隱私保護等，各活動管理特征、要求、內容、程序均有非常大的區(qū)別，結合實際業(yè)務開展又會產生更多細小分支，因此在范圍界定中需要明確申請認證的合規(guī)活動。

3.是否通過其他管理體系及各管理體系相關性

管理體系未來的發(fā)展趨勢一定是基于質量管理體系總體要求下的多個管理體系融合，合規(guī)管理體系也同樣歸屬此列，但如何與其他管理體系進行融合，本文暫不作過多說明。需要進行說明的是在認證申請及評審過程中，合規(guī)管理體系與其他管理體系存在較大相關性，而這種相關性與范圍同樣會影響審核資源的投入。從管理對象入手，與合規(guī)管理體系相關的管理體系包括：質量、環(huán)境、職業(yè)健康、信息安全、知識產權(由于各國要求不同，此處僅限國內)、社會責任、誠信、反賄賂、風險等。各管理體系對合規(guī)管理體系審核活動的影響又有所區(qū)分，還要結合合規(guī)管理范圍界定進行明確。在實際操作中，應基于合規(guī)管理體系范圍進行考量，如果其他管理體系認證范圍能夠覆蓋合規(guī)管理體系認證范圍內的某一項合規(guī)活動，則可以適當減少該項合規(guī)活動相關的審核人日數。由此可以引申出的問題就是合規(guī)管理體系審核人日數的確定方法。

文件評審

文件評審對于合規(guī)管理體系認證活動而言極為重要。合規(guī)管理體系認證活動中較多內容的審核活動都可以通過文件評審完成，如組織基本的管理情況、相關的報告、輿情等。當然，也不排除組織出于保密需要，要求必須到現場獲取相關審核證據的情況。但是整體而言，合規(guī)管理體系認證活動中，文件評審與其他管理體系還是有所差異的。其中，最大的差異來自于數據收集方面。

前文提到，合規(guī)管理體系所需的數據比較多。為了在有限的時間內盡可能獲取到受審核方的信息，以確保審核活動有效，審核組應采取多種方式實施數據的收集。可用的收集方式包括：問卷調查、遠程訪談及痕跡調查。其中，問卷調查和遠程訪談主要與組織直接進行，而痕跡調查可以由審核組運用搜索引擎、甚至大數據等工具直接調查組織在合規(guī)管理活動方面的各項痕跡，但需要注意的是，痕跡調查的結果應該在審核過程中與受審核方進行溝通，在雙方無異議的前提下，方可形成審核發(fā)現。

現場審核

由于合規(guī)管理體系的特殊性，在認證審核過程中，現場審核和文件審核的比例與其他管理體系可以有所區(qū)別，但這并不意味著合規(guī)管理體系不需要進行現場審核。實際上，合規(guī)管理體系的現場審核同樣有其不可替代性。本文從以下4個方面簡單闡述合規(guī)管理體系現場審核中的重要關注點。

1.審核范圍的驗證

之所以在現場審核中要對審核范圍進行驗證，基于兩方面的考慮，即組織合規(guī)管理專業(yè)性和實際管理過程的覆蓋程度。

(1)如前文所言，合規(guī)管理涉及的管理活動較多，其要求和所需專業(yè)知識雖不至于千差萬別，但也很難完全統(tǒng)一，體現在組織實際運營中，最直接的是主推部門不同。反賄賂的推動主要由職業(yè)道德部開展，合同管理由財務和法務主管，內部審計由審計部負責，等等不一而足。這種差異會直接影響到最終確定的審核范圍，因此審核組需要進行關注。

(2)由于國家對于合規(guī)管理科學化、規(guī)范化工作的推動力度較大，許多組織，尤其是央國企，在對《中央企業(yè)合規(guī)管理指引》進行貫標后，都會申請全面合規(guī)管理的范圍，但由于管理資源和管理精力的有限，有些合規(guī)管理工作容易浮于表面，因此需要審核組在現場審核中，通過進一步的面談、調查與溝通，確定最為適宜的認證范圍。

2.三道防線在審核中的不同關注程度

2022年國資委發(fā)布的《中央企業(yè)合規(guī)管理辦法》(公開征求意見稿)與2018年發(fā)布的《中央企業(yè)合規(guī)管理指引》(試行)相比，對于“三道防線”有了更明確的定義，即董事會、監(jiān)事會和經理層。下沉到業(yè)務管理層面，業(yè)務部門、牽頭部門、監(jiān)督部門是合規(guī)管理的三道防線。在現場審核過程中，對業(yè)務管理的三道防線審核側重點也有所不同。牽頭部門應保證組織對要求的識別、分析完整、及時;業(yè)務部門應保證業(yè)務運行尤其是新業(yè)務開展符合要求;監(jiān)督部門是底線，要有足夠的管理力度以確保原則性問題的把控，同時監(jiān)督部門還應做好與相關方的定期溝通，以滿足監(jiān)管部門和司法機構減免處罰的相關要求。

3.內部控制的有效性

內控自查是組織進行內控的重要形式，包括內控會計自查和審計部門的自查，合規(guī)管理體系的內部控制與內控自查有著千絲萬縷的聯(lián)系，因此在審核中也應關注內部控制的有效性。內部控制的策劃過程可通過文件評審有所了解，但具體到執(zhí)行層面，其有效性就需要審核組在現場進行證據收集。需要注意的是，部分沒有管理體系基礎的受審核方可能會將內部審計和內部審核混為一談，審核組應加以區(qū)分。

4.合規(guī)舉報的途徑、有效性及過程中對隱私信息的保護

合規(guī)舉報是合規(guī)管理體系的重要部分，標準對于合規(guī)舉報過程的要求是：在整個組織內可知可用;對舉報保密;接受匿名舉報;保護舉報者免于遭受打擊報復;便于人員獲得建議。審核組在現場審核過程中，應對標準要求進行進一步分析理解。組織應設立固定的合規(guī)舉報渠道，包括且不限于信件、郵箱、舉報箱、電話等，且合規(guī)舉報渠道設置要關注舉報人的隱私信息保護，對于任何涉及合規(guī)舉報渠道的信息來源，組織合規(guī)管理部門應保有絕對管理權，以保證舉報人的權利不受侵害。在實際審核過程中，還應關注留有姓名的舉報者在組織內的發(fā)展是否受到了舉報行為的負面影響;如有，也從側面說明舉報渠道存在問題。

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內容整合網站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心

免責聲明：本文部分內容根據網絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://m.1cjaei.cn/zs/202311/ccaa_56110.html