隨著我國全面依法治國戰(zhàn)略以及近年我國企業(yè)因境外經營不符合當地國的合規(guī)監(jiān)管要求被“掐脖子”的事例屢見不鮮，“合規(guī)”已成為我國政府工作和企業(yè)經營的重要議題。為推動我國企業(yè)合規(guī)經營，與國際合規(guī)要求接軌：

在國內外日趨嚴格的市場監(jiān)管環(huán)境和我國政府推動的背景下，越來越多的企業(yè)致力于通過搭建合規(guī)管理體系，將合規(guī)融入企業(yè)經營，以助力企業(yè)業(yè)務增長，創(chuàng)造競爭優(yōu)勢和行穩(wěn)致遠。然而，我在作為專家顧問參與政府部門主導的企業(yè)合規(guī)體系建設指引項目，為包括世界500強企業(yè)在內的多家上市和擬上市企業(yè)提供搭建合規(guī)體系、合規(guī)案件調查、合規(guī)常年法律顧問服務、合規(guī)培訓與咨詢、合規(guī)戰(zhàn)略與法律支持等各類合規(guī)法律服務過程中了解到，雖然企業(yè)認識到搭建合規(guī)體系的重要性，但企業(yè)在面對國內外層出不窮的合規(guī)標準、指引時，加上部分企業(yè)和高管的合規(guī)意識不足、合規(guī)人才匱乏、資金不夠，往往找不到方向和抓手，不知從何做起，也不知如何搭建出適配企業(yè)實際情況并符合國際水準的合規(guī)管理體系。

為幫助企業(yè)解決這一難題，以ISO為代表的多邊組織積極推進合規(guī)管理體系認證標準落地，推出ISO 37301：2021《合規(guī)管理體系 要求及使用指南》，擬在全球范圍開展企業(yè)合規(guī)管理體系認證。ISO 37301采用Plan（計劃）-Do（實施）-Check（檢查）-Act（改進）（“PDCA”）理念，完整覆蓋了合規(guī)管理體系建立、運行、保持和改進的全流程，基于合規(guī)治理原則，為企業(yè)建立并運行合規(guī)管理體系、傳播積極的合規(guī)文化提供了整套解決方案。同時，ISO 37301的國際可認證性，在企業(yè)合規(guī)治理、傳遞商業(yè)信任、向監(jiān)管機構證明存在合規(guī)管理體系、作為企業(yè)向司法機關提供關于違規(guī)量刑的正面證據、爭取合規(guī)不起訴等方面提供了重要支持。

為助力企業(yè)開展符合國際標準的合規(guī)管理體系建設，本文將對ISO 37301認證、企業(yè)獲得ISO 37301認證的好處以及企業(yè)如何通過搭建有效的合規(guī)體系來獲得ISO 37301認證等方面展開介紹。

ISO 37301認證簡介

ISO 37301: 2021全稱《合規(guī)管理體系 要求及使用指南》，是由ISO/TC309技術委員會編制，由ISO組織在2021年4月發(fā)布和實施，適用于全球任何類型、規(guī)模、性質和行業(yè)的組織。

作為A類管理體系標準，ISO 37301：2021《合規(guī)管理體系 要求及使用指南》標準發(fā)布后，替代了ISO 19600: 2014《合規(guī)管理體系 指南》（對應的中國標準為GB/T 35770: 2017）。兩項 ISO 標準均基于相同的架構、以風險導向為基礎的方法，并注重整體的合規(guī)管理系統(tǒng)，但是，只有 ISO 37301 可以用作第三方認證的準則。ISO 37301規(guī)定了組織建立、運行、保持和改進合規(guī)管理體系的要求，并提供了使用指南，為各類組織提高自身的合規(guī)管理能力提供系統(tǒng)化方法。它采用的PDCA理念完整覆蓋了合規(guī)管理體系建立、運行、保持和改進的全流程，基于合規(guī)治理原則，為組織建立并運行合規(guī)管理體系、傳播積極的合規(guī)文化提供了整套解決方案。ISO 37301在ISO 19600的基礎上進行了修訂，增加了一些要求（如針對雇傭的具體要求、針對合規(guī)舉報和調查的要求等）。如果企業(yè)已經按照ISO 19600：2014《合規(guī)管理體系 指南》搭建合規(guī)體系，還需要進一步對照ISO 37301：2021《合規(guī)管理體系 要求及使用指南》的要求進一步完善合規(guī)體系，方可滿足認證要求。

ISO 37301的制定對于各類組織的合規(guī)管理能力建設、政府監(jiān)管活動、國際貿易交流、溝通合作改善等具有重要的意義。其為企業(yè)治理者提高組織自身的合規(guī)管理能力提供系統(tǒng)化方法，為監(jiān)管機構和司法機關采信企業(yè)組織的合規(guī)管理體系實踐提供參考依據，為便利全球范圍內相關方之間的貿易、交流和合作提供通用規(guī)則。

企業(yè)獲得ISO 37301認證的好處

英國標準協(xié)會（British Standards Institution, BSI）將“ISO 37301合規(guī)管理體系”形容為一把大傘的傘面，其本質是幫助企業(yè)遮風避雨防范風險，降低違規(guī)帶來的成本和聲譽損失。而真實的風險是存在于企業(yè)完整生態(tài)體的各個方面，例如質量管理（對應ISO 9001標準）、環(huán)境管理（對應ISO 14001標準）、健康安全管理（對應ISO 45001標準）、反商業(yè)賄賂（對應ISO 37001標準）、信息安全管理（對應ISO/IEC 27001標準）、隱私信息管理（對應ISO/IEC 27701標準）等，這些都是支撐企業(yè)運營的傘骨，傘骨要強韌而牢固，傘面才能應對更大的未來瞬息萬變的生態(tài)環(huán)境，它們構成支撐和融合的關系（如下圖所示）。

對于企業(yè)而言，獲得ISO 37301認證有以下好處：

采用PDCA理念的ISO 37301完整覆蓋了合規(guī)管理體系建設、運行、維護和改進的全流程，其在合規(guī)管理體系設計和運行上，為企業(yè)提供了高度的靈活性，能夠滿足不同規(guī)模、類型、性質、行業(yè)的企業(yè)基于自身合規(guī)需求搭建合規(guī)管理體系。同時，如前文所述，ISO 37301與ISO其他組織管理標準之間是支撐和融合的關系，如果企業(yè)已建立起反商業(yè)賄賂、信息安全管理、質量管理、環(huán)境管理等體系并取得相應的ISO認證，則企業(yè)以ISO 37301為標準搭建合規(guī)管理體系時，可以實現更高效率、更低成本地融貫企業(yè)既有的專項管理體系，保持企業(yè)合規(guī)管理體系的系統(tǒng)性和協(xié)調性。

在海內外復雜嚴苛的合規(guī)監(jiān)管環(huán)境背景下，ISO 37301作為企業(yè)獲得第三方認證的依據，能夠展示企業(yè)符合國際標準的合規(guī)管理能力，較高程度滿足商業(yè)伙伴的合規(guī)管理要求，幫助企業(yè)在客戶合作、多邊合作、政府合作中傳遞商業(yè)信任。

獲得ISO 37301認證的企業(yè)，在應對監(jiān)管機構的檢查時，一方面，能夠將基于ISO 37301確立的合規(guī)管理理念用于行政監(jiān)管活動的反饋；另一方面，能夠通過對企業(yè)合規(guī)管理體系運行情況的評價結果來匹配相應的監(jiān)管手段與措施，實現精準應對監(jiān)管。

《2019-2020企業(yè)家刑事風險分析報告》顯示，在2019年12月1日至2020年11月30日公開的刑事判決案例中，共檢索出企業(yè)家犯罪案例2635件，企業(yè)家犯罪3278次。在3278次企業(yè)家犯罪中，共涉及犯罪企業(yè)家3095人。其中，國有企業(yè)家犯罪數為234次，約占企業(yè)家犯罪總數的7.14%；民營企業(yè)家犯罪數為3011次，約占企業(yè)家犯罪總數的91.85%；外商及港澳臺企業(yè)家犯罪數為20次，約占企業(yè)家犯罪總數的0.61%。[1]企業(yè)家犯罪往往同時暴露出企業(yè)合規(guī)管理問題，牽涉單位犯罪，嚴重的甚至危及企業(yè)存亡。

自2020年3月至今，最高人民檢察院（下稱“最高檢”）持續(xù)推動我國的企業(yè)合規(guī)改革試點工作。兩年時間內，最高檢先后開展了兩期企業(yè)合規(guī)改革試點工作，與九部門聯(lián)合發(fā)布了《實施細則》和《涉案企業(yè)合規(guī)第三方監(jiān)督評估機制專業(yè)人員選任管理辦法（試行）》（2021年11月22日），并先后于2021年6月3日和2021年12月8日，發(fā)布兩批共10件企業(yè)合規(guī)典型案例，積極推進企業(yè)合規(guī)改革試點工作。

對于涉嫌刑事犯罪的企業(yè)而言，獲得不起訴的處理具有相當的積極作用。一方面，獲得不起訴的處理意味著該企業(yè)不必因其違法犯罪行為而被迫終止運營或破產，同時企業(yè)雇員也免于遭受失業(yè)風險；更為重要的是，合規(guī)不起訴制度為企業(yè)運營創(chuàng)造了一定的激勵制度，促進企業(yè)合規(guī)體系的建立與落實，為企業(yè)后續(xù)的合規(guī)經營打下堅實基礎。

ISO 37301認證可以幫助涉嫌刑事犯罪的企業(yè)向司法機關展示企業(yè)具備良好的合規(guī)管理體系，以及持續(xù)改進企業(yè)合規(guī)管理的誠意。該認證既能作為司法機關對涉嫌刑事犯罪的企業(yè)量刑的考量依據，也能作為落實依法不捕不訴不提出判實刑建議等司法意見、制定合規(guī)指引、督促企業(yè)合規(guī)整改和第三方監(jiān)管驗收的正面依據。

綜上，企業(yè)取得ISO 37301認證，對董事會和員工是證明運營風險管理的合格證，對監(jiān)管部門和投資方是企業(yè)的信用證，對顧客和國際供應鏈是通行證。例如，今年年初，美的集團便獲得全國首張ISO 37301：2021合規(guī)管理體系國際標準證書，美的集團全球法務總監(jiān)陳敏認為：“標準化的合規(guī)實踐有如一張全球有效的簽證，有利于消減準入障礙與疑慮。經過專家層面的技術共識、利益相關方的協(xié)商一致，得到各界認同的合規(guī)管理ISO標準，讓企業(yè)的合規(guī)管理體系更容易被相關方接受和認同?！?/p>

BSI為美的集團頒發(fā)的ISO37301：2021合規(guī)管理國際證書

企業(yè)如何搭建合規(guī)體系以獲得ISO 37301 認證

我們了解到iso9001體系認證機構，權威的第三方認證機構在對企業(yè)進行ISO 37301認證時，并非機械地對企業(yè)合規(guī)管理模塊、流程進行單點打分，而是基于ISO 37301的要求，依照 ISO19011《管理體系審核指南》以及機構的認證管理規(guī)則，以一種系統(tǒng)性的過程評審方式進行。這對企業(yè)的啟發(fā)是：要獲得ISO 37301認證，企業(yè)需要通過有效的方法論，并結合企業(yè)實際情況，實施ISO 37301，以銜接ISO 37301的標準要求與企業(yè)的合規(guī)體系（如下圖所示），實現企業(yè)合規(guī)體系與ISO 37301適配。接下來，我將結合我在世界500強跨國企業(yè)擔任法律合規(guī)負責人期間的合規(guī)實操經驗，分享企業(yè)應如何搭建出符合ISO 37301國際水準的合規(guī)管理體系。

合規(guī)體系搭建的方法論

企業(yè)合規(guī)經營的關鍵支柱在于合規(guī)體系之搭建。要使合規(guī)管理形成企業(yè)經營的“防火墻”，保護企業(yè)免受因合規(guī)風險所帶來的嚴重影響或重大損失，企業(yè)應當根據其行業(yè)特點和經營管理模式搭建針對性的合規(guī)體系。而一個行之有效的合規(guī)體系搭建，離不開合理的制度和程序、高層參與、風險評估、盡職調查、培訓和溝通、監(jiān)督和審核六大組成部分，這六大組成部分也是ISO 37301合規(guī)管理體系基本要素的要求。具體而言：

企業(yè)應制定合理的制度和程序，其作為企業(yè)合規(guī)體系的核心，是企業(yè)所有員工履行職責的基本要求。主要分為以下四方面：（1）企業(yè)行為準則，這是企業(yè)經營管理和文化建設的綱領性文件，包括企業(yè)愿景、使命、核心價值觀、合規(guī)方針、社會責任等方面；

（2）企業(yè)合規(guī)管理制度，這是企業(yè)合規(guī)部門進行合規(guī)管理的程序性規(guī)章制度，包括合規(guī)組織制度、合規(guī)風險管理流程、合規(guī)審查流程、違規(guī)舉報、調查與處置流程、合規(guī)報告程序等方面；

（3）職能部門管理規(guī)章，企業(yè)不同的職能部門涉及到不同的合規(guī)規(guī)范的執(zhí)行與遵守，例如，管理、財務、人事行政、法務、內控等部門均有相對應的合規(guī)規(guī)范；

（4）業(yè)務合規(guī)流程，企業(yè)各業(yè)務領域涉及不同的合規(guī)規(guī)范，例如傳統(tǒng)的業(yè)務合規(guī)流程、網絡安全合規(guī)流程、產品合規(guī)流程、跨境電商領域合規(guī)等，具備較強的專業(yè)性，往往需要企業(yè)合規(guī)部門與業(yè)務部門合作制定和修改相關的業(yè)務合規(guī)流程。

企業(yè)合規(guī)運作應有高層的參與，形成較為成熟的合規(guī)組織體系。高層參與能夠使企業(yè)形成上下連貫的合規(guī)組織結構，如公司自上而下設立合規(guī)委員會、分支機構和職能部門中的合規(guī)部門，合規(guī)部門直接向公司合規(guī)委員會和首席合規(guī)官匯報。這樣能夠確保企業(yè)管理層及時識別合規(guī)風險并采取應對措施。

定期或不定期地對企業(yè)活動中存在的合規(guī)風險進行識別與評估。例如，在投融資或收購項目中，企業(yè)需要對該項目進行合規(guī)風險評估，評估結果作為決策參考，降低企業(yè)風險。

合規(guī)部門針對已存在的合規(guī)風險進行調查和研究，形成合規(guī)風險報告，并研究制定和實施降低風險的措施。

企業(yè)需要定期組織培訓和溝通，一方面能夠確保員工了解最新的法律法規(guī)、監(jiān)管規(guī)定、企業(yè)內部規(guī)章制度等方面內容；另一方面也能夠保證企業(yè)高層管理者與其它層級員工維持一種穩(wěn)定的溝通，使企業(yè)高層管理者的合規(guī)理念與態(tài)度能夠順暢傳達至企業(yè)各層級員工，形成合規(guī)文化。

企業(yè)應建立合規(guī)監(jiān)控體系，包括監(jiān)督與審核。監(jiān)督是指企業(yè)的高層管理者或員工在進行業(yè)務活動時，都應在其職責范圍內進行可持續(xù)的管理與監(jiān)督，檢查每一項業(yè)務活動是否存在違規(guī)行為。審核是企業(yè)對合規(guī)管理體系運行情況的評審，企業(yè)通過審核及時發(fā)現問題并加以整改，有助于持續(xù)提升合規(guī)管理能力，確保企業(yè)的合規(guī)體系在全球各地得到了良好的貫徹執(zhí)行。

實操示例：數據合規(guī)體系的搭建與落地

在了解企業(yè)合規(guī)體系搭建方法論的基礎上，我們以數據合規(guī)為例，結合數據合規(guī)應用場景，分享企業(yè)數據合規(guī)體系搭建和落地的方法論。

企業(yè)的數據合規(guī)體系搭建步驟大致可分為以下三個階段：

第一階段，數據核查。從信息安全角度進行數據核查的常規(guī)做法是使用軟件來“感知”一個系統(tǒng)內的數據種類，并給予這些數據的敏感程度對該系統(tǒng)提出整體的安全方案。例如，有些比較關注數據合規(guī)的企業(yè)會通過SERVICE NOW、ONE TRUST、HIPEROS等數據合規(guī)工具，在跨境數據傳輸、合同審查、產品服務、隱私監(jiān)管審查、盡職調查等方面輔助數據核查。數據核查不僅能夠了解企業(yè)個人信息的收集和處理的現狀，同時也是企業(yè)了解現狀、識別風險和建立數據合規(guī)體系的重要基礎。

第二階段，進行風險識別和制定合規(guī)方案。企業(yè)可結合網絡安全和數據保護法律法規(guī)規(guī)定的合規(guī)義務進行差距分析和風險識別，系統(tǒng)梳理和評估企業(yè)面臨的數據風險和競爭風險，提前分析預判可能導致的數據合規(guī)風險。例如，如果一家擬上市企業(yè)要選擇香港上市或國外上市，則該企業(yè)需充分考慮是否需要進行網絡安全審查，如需配合國外監(jiān)管機構的信息披露要求，應當及時與國內監(jiān)管保持溝通并按照程序獲得批準，優(yōu)先遵循國內法律法規(guī)要求，并就企業(yè)的IT系統(tǒng)、用戶界面、用戶注冊流程以及在個人信息收集、使用以及保護的透明度等方面，進行整體合規(guī)方案規(guī)劃。

第三階段，數據合規(guī)規(guī)則建立和落地。企業(yè)可結合實際情況建立數據合規(guī)規(guī)則，完善相關的制度和流程。開展員工意識培訓，使員工認識、了解數據合規(guī)要求以及如何在業(yè)務流程中落實制度要求。在數據保護合規(guī)制度搭建起來后，企業(yè)需要持續(xù)追蹤數據保護合規(guī)制度實施情況，改善企業(yè)數據合規(guī)機制，確保企業(yè)的數據合規(guī)制度能夠持續(xù)符合監(jiān)管要求。

企業(yè)搭建起來的數據合規(guī)體系如何落實到具體的業(yè)務流程中，以確保涉及數據的業(yè)務經營符合監(jiān)管要求？在此，我們以單項產品上線流程為例，簡要描述一個數據合規(guī)體系的落地過程。

（1）在產品醞釀階段，企業(yè)可以邀請隱私保護專家列席產品開發(fā)的研討，專家提供個人信息保護的合規(guī)建議，提示合規(guī)風險與解決方案，此過程應通過會議記錄或郵件的形式留痕。

（2）在初步產品設計階段，產品設計團隊針對使用的數據種類建立控制以及架構來處理第一稿的產品設計，第一稿的產品設計需體現上一階段提出的隱私及個人信息保護風險的解決方案。

（3）產品設計團隊將完成后的產品設計進行個人信息安全影響評估（Data Protection Impact Assessment, DPIA）。滴滴出行受審查一事，除了網絡安全審查和其他的法律問題，也強有力地證明了企業(yè)對于與數據相關的產品進行個人信息安全評估的必要性和重要性。例如，有些比較關注數據合規(guī)的企業(yè)，其與數據相關的新產品和新服務，從研發(fā)到上線，都需要數據安全和個人隱私專家提前介入，從法律、商業(yè)、技術三個維度對個人信息安全進行綜合評估，并形成個人信息安全影響評估報告，防范數據安全風險，防止企業(yè)日后因數據安全不合規(guī)而遭受重大損失，影響企業(yè)發(fā)展。

（4）最終產品能夠對先前查出的隱私和個人信息保護風險進行處理，以及明確相應的技術手段和控制，通過最終產品展示會議（包含法務、風控、合規(guī)、安全等部門）以及論證加以證明。

總而言之，ISO 37301的國際可認證性，在企業(yè)合規(guī)治理、傳遞商業(yè)信任、向監(jiān)管機構證明存在合規(guī)管理體系、作為企業(yè)向司法機關提供關于違規(guī)量刑的正面證據、爭取合規(guī)不起訴等方面提供了重要支持。無論企業(yè)要不要取得ISO 37301的認證，ISO 37301的標準提供一個搭建合規(guī)體系的方法論和架構，加上有實操經驗的專家的指導和協(xié)助，企業(yè)可以有效搭建出適配企業(yè)實際情況并符合國際水準的合規(guī)管理體系，賦能企業(yè)業(yè)務增長，為企業(yè)國內外運營保駕護航，保護企業(yè)和相關高管，幫助企業(yè)基業(yè)長青。

[1]?《深圳市國資委2021年法治政府建設年度報告》，2021年12月21日。

[2]?《2019-2020企業(yè)家刑事風險分析報告》發(fā)布。

[3]?施俊侃：《合規(guī)不起訴制度初探》，2021年6月15日。

[4]《重磅新聞｜美的集團榮獲首張 ISO37301:2021合規(guī)管理國際標準證書》，2022年1月13日。

[5]?施俊侃：《上市公司與擬上市公司合規(guī)指引》，2021年6月22日。

[6]?施俊侃：《強化數據治理背景下企業(yè)的數據合規(guī)體系建設》，2021年7月20日。

[7]同上注。