引言

近日，笔者成功助力某国企搭建合规管理体系并辅导其获得英国标准协会（BSI）颁发的ISO37301及GB35770合规双认证。目前，强化合规管理正成为越来越多的企业的共识，搭建合规管理体系并申请认证也是大势所趋。为帮助更多企业获得ISO37301合规认证，特撰写此稿，供已搭建或正在搭建合规管理体系的企业参考。

一、什么是ISO37301认证

2021年4月13日，国际标准化组织发布ISO37301:2021《合规管理体系 要求及使用指南》（Compliance management systems – Requirements with guidance for use）（简称“ISO37301”），修订并替代了该组织于2014年发布的《合规管理体系–指南》。修订后的ISO37301为可认证标准，一经发布，立即引起了全球市场的关注，不少中国企业纷纷加入到申请ISO37301合规认证的大军当中。

2022年1月14日，美的集团股份有限公司（简称“美的”）获得了BSI颁发的ISO37301认证证书，据悉，这是国内首张ISO37301合规认证证书[1]。

2022年4月20日，广东省国资委印发《省属企业“合规管理强化年”行动方案》，该方案第11条明确规定：“省国资委按照‘分类推进，推动试点’的工作方式，指导监督省属企业对标ISO37301国际标准，高标准、严要求地开展“合规管理强化年”各项工作，做到成熟一个冠标一个，力争通过三年努力，全部省属企业通过ISO37301冠标认证。”

2022年10月12日，国内标准GB/T 35770-2022《合规管理体系要求及使用指南》（以下简称“GB35770”）正式实施，该标准等同采用ISO37301，全部代替标准GB/T 35770-2017《合规管理体系指南》。

此后，申请ISO37301及GB35770合规双认证成为不少已搭建合规管理体系的企业的目标。鉴于GB35770等同采用ISO37301，且被发证机关审核通过ISO37301认证的企业，会同时获得GB35770认证，因此，本文所称ISO37301认证即为涵盖GB35770的合规双认证。

二、为什么需要申请ISO37301合规认证

企业取得ISO37301认证，对董事会和员工来说是证明运营风险管理的合格证，对监管部门和投资方来说是企业的信用证，对客户和国际供应链来说是通行证。一般认为，申请ISO37301合规认证，可获得如下好处：

1、为企业提高自身合规管理能力提供系统化方法

ISO37301完整涵盖了合规管理体系建设、运行、维护和改进的全流程，并基于合规治理原则为组织建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。不仅可以降低企业的运营成本，提高企业声誉，还可以在很大程度上增强企业内部的合规意识与信心。

2、证明企业的合规管理能力

实践中，有大量的国企对所属企业进行合规考核时，将考核结果与针对所属企业主要负责人的综合考核相挂钩，因此，合规管理情况可能关系到企业及企业主要负责人的考核结果。对此，完成合规认证能够辅助企业证明其合规管理情况。而通过申请合规认证能够从第三方认证的角度证明企业的合规管理体系有效运行，也可证明企业的合规管理能力。

3、为监管机构和司法机关采信组织的合规整改计划、合规管理体系实践提供参考依据

监管机构和司法机关在对组织违反法律的行为作出处罚时，可以将组织的合规管理体系运行情况作为衡量处罚力度的一个正面考量因素。尤其是在涉嫌犯罪的案件中，企业获得合规认证可能成为司法机关对企业量刑时的重要考量依据，有助于企业争取合规不起诉等有利结果。

不仅如此，在国际上，中国企业在实施“走出去”战略时往往面临严厉的反腐败、反欺诈等合规管理要求。而根据世界银行集团的制裁程序，如果企业能够在规定时间内达成改进措施、建立全面的合规体系、实施合规计划等条件，则有可能被免予制裁或者解除制裁。而合规认证恰恰可以满足有此类需求的企业的需要。

4、为便利全球范围内相关方之间的贸易、交流与合作提供了通用规则

取得合规认证不仅可以提升企业知名度、补强商业合作伙伴对企业产品品质的良好印象，权威的第三方认证也是众多买家采购产品的参考因素之一，是企业产品进入国际市场的通行证。企业如果取得第三方认证的合规认证，有助于企业证明自身及供应链的合规治理能力以及整改能力，从而赋能境内外市场拓展。

三、申请ISO37301合规认证时的注意事项

1、符合国资委的要求并不代表符合ISO37301认证标准

目前，不少央企国企已严格按照国资委的《中央企业合规管理指引》或《中央企业合规管理办法》的要求，搭建自身的合规管理体系。但是，需要注意的是，符合国资委的要求，并不代表必然符合ISO37301认证标准。ISO37301的体系框架包括七大方面：1、组织环境；2、领导；3、策划；4、支持；5、运行；6、绩效评估；7、改进。而《中央企业合规管理指引》从合规管理职责、合规管理重点、合规管理运行、合规管理保障四个维度，《中央企业合规管理办法》从组织和职责、制度建设、运行机制、合规文化、信息化建设及监督问责六个维度对央企开展合规管理工作提出具体要求，两者虽基本涵盖ISO37301对合规管理体系的基本要求，但与ISO37301的体系框架并不完全吻合，主要差异将在下文中进行说明。央企国企等在符合国资委的要求后，如需申请ISO37301认证的，还需按照ISO37301的体系框架梳理自身的合规管理体系，完善国资委未要求或暂未严格要求，但ISO37301极其重视的要素，包括但不限于持续改进、理解相关方的需求和期待、实施风险管控后的合规风险再评估等。

2、ISO37301的基本管理模式

如下图所示，ISO37301以公认有效的国际标准化组织推行的PDCA循环，即Plan（计划）、Do（执行）、Check（检查）和 Act（改进）为基础，要求合规管理体系应当为不断进行计划、执行、评估和改进的循环推进的管理模式。

目前，国内已搭建合规管理体系的企业大多处于刚刚完成Plan（计划）到Do（执行）的阶段，尚未进入或因不重视或无相关经验而未严格实施Check（检查）和Act（改进）的阶段。

根据我们的经验，现阶段的ISO37301合规认证过程中，认证机构对Check（检查）和 Act（改进）阶段的要求并不是很严格，仅需要制定符合企业实际，且可实际执行的Check（检查）相关制度即可。我们理解，随着时间的推移以及ISO37301合规认证工作的推进，认证机构今后很有可能将对企业Act（改进）阶段的合规管理提出更高的要求。

3、理解ISO37301的逻辑及定义

ISO37301为全球通行的、可适用于所有类型和任何规模的组织的合规管理体系。该体系为西方专业人士依据其逻辑和惯常思维所起草，且为了满足该体系的普遍适用性，导致该体系的内在逻辑及外在表现与中国人的思维习惯并不一致，这是很多从事合规管理工作的合规官学习ISO37301时的鲜明感受，也是导致很多合规官难以深刻理解ISO37301的主要原因。

GB35770在等同采用ISO37301时，在其附录中特意增加了4页“补充使用指南”，针对中国国情对ISO37301中的一些术语作出了中国化的解释，建议拟申请ISO37301的企业参考该“补充使用指南”，从而更好地理解ISO37301的逻辑及其定义。

4、组织及其环境

ISO37301第4.1条规定，组织应确定与其宗旨相关的、并影响其实现合规管理体系预期结果的能力的内部和外部事项，为此，组织应结合诸多事项,包括但不限于业务模式、与第三方业务关系的性质和范围、法律和监管环境、经济状况、社会/文化/环境背景、内部结构、方针、过程、程序和资源，以及自身的合规文化。

从该规定可以看出，ISO37301要求企业搭建合规管理体系时，需要综合考虑纷繁复杂的各种内在及外在的要素。相对而言，按照国资委的要求搭建合规管理体系的央企国企，主要关注自身的业务模式及法律合监管环境，而对于与第三方业务关系的性质和范围，并未给予充分的理解，也较少考虑通过合规管理体系解决相关方的需求和期待。

5、合规风险评估

ISO37301第4.6条规定，组织应基于合规风险评估,识别、分析和评价其合规风险。在合规管理体系搭建工作中，识别合规义务，评估合规风险为最基础的工作。《中央企业合规管理办法》第13条和第20条等也有明确的相关规定。此外，国资委也多次提出，要求央企制作包括合规风险识别清单在内的三张清单。实践中，不少央企国企已根据国资委要求，制定合规风险识别清单，内容包括合规风险识别、评估及管控措施等。我们注意到，不少央企国企制定的清单，缺乏实施管控措施后的合规风险评估，而此点却为ISO37301认证时的重要审核内容，因此，建议相关企业予以完善。

6、合规方针

ISO37301第5.2条规定，治理机构和最高管理者应确立合规方针,该方针a)    适合于组织的宗旨,b)为设定合规目标提供框架,c)包括满足适用需求的承诺,d)包括持续改进合规管理体系的承诺。同时，合规方针应符合众多的要求，包括应与组织的价值观、目标和战略保持一致等。

实践中，大多数央企国企均已制定其合规方针，但不少企业在制定其合规方针时，存在抄袭或重度参考其他企业的内容，并未结合企业自己的价值观、目标和战略，或者在接受ISO认证机构审核时，难以准确描述或通过书面资料体现其合规方针与其价值观、目标、发展规划和战略等的关系。

7、人员聘用条件

ISO37301第7.2.2规定，组织应要求人员遵守组织的合规义务、方针、过程和程序,作为人员的聘用条件。

实践中，大多数企业关注员工入职后的合规培训，但不太重视员工招聘过程中的合规管理及合规要求，建议企业强化人力资源合规管理流程和内容，明确面试、入职及入职后签署合规相关文件等的合规管理环节。

四、申请ISO37301合规认证的步骤及所需时间

ISO37301认证机构在对企业进行合规认证时，一般按照以下两个阶段进行审核：

第一阶段审核的目的是评价企业的合规管理体系策划的情况并确定第二阶段的准备内容。

第二阶段的目的是评价客户管理体系的实施情况，包括有效性、持续性等。

第一阶段及第二阶段的审核均为现场审核，企业需要按照认证机构的要求，除提供相关的合规管理制度，回答相关问题外，还需要安排认证机构认为合适的人员接受访谈。认证机构一般基于风险的审核方法，根据审核准则要求，寻找正面符合性客观证据，关注被审核过程的符合性、有效性、效率和韧性四个纬度，提出正、反两个方面的审核意见，帮助企业持续改善管理体系绩效。

经过前述审核，认证机构认为符合认证条件的，将向企业颁发ISO37301认证证书。该证书3年有效，为了确保企业能够始终符合标准，认证机构将进行年度监督审核，每个自然年度一次。

审核所需时间取决于认证范围内的场所数量、合规领域数量以及企业的人员数量等。一般情况下，100人左右规模的企业，从审核确认、实施审核到核发证书，通常需要2-3个月的时间。

结束语

唯有合法合规，才能行稳致远。在全面依法治国的大背景下，坚持依法治企，强化合规管理，是建设法治央企的重要内容，也是企业高质量可持续发展的必然选择。而在央企全面强化合规管理的大背景下，一些地方国企和民营企业也不甘落后，纷纷加入到加强合规管理的队伍中。作为一项具有国际标准的认证体系，ISO37301合规认证无疑为有此需求的广大企业提供了一个可以系统、有效地建立自身合规管理体系并足以据此彰显企业的合规管理能力和水平，同时为企业在提高经营效率、降低经营风险、维护自身权益以及开拓境内外市场等方面持续赋能的优良选择。我们也将秉持“成功，始于助人成功”的价值理念，利用我们长期以来在协助客户建立合规管理体系并取得ISO37301认证方面所积累的经验，助力企业在建立或完善自身合规管理体系方面不断取得成功。

注释：[1]https://baijiahao.baidu.com/s?id=1721972845707298618&wfr=spider&for=pc