企业如何搭建合规体系以获得iso37301认证
我们了解到,权威的第三方认证机构在对企业进行iso37301认证时,并非机械地对企业合规管理模块、流程进行单点打分,而是基于iso37301的要求,依照 ISO19011《管理体系审核指南》以及机构的认证管理规则,以一种系统性的过程评审方式进行。这对企业的启发是:要获得iso37301认证,企业需要通过有效的方法论,并结合企业实际情况,实施iso37301,以衔接iso37301的标准要求与企业的合规体系(如下图所示),实现企业合规体系与iso37301适配。接下来,我将结合我在世界500强跨国企业担任法律合规负责人期间的合规实操经验,分享企业应如何搭建出符合iso37301国际水准的合规管理体系。
企业合规经营的关键支柱在于合规体系之搭建。要使合规管理形成企业经营的“防火墙”,保护企业免受因合规风险所带来的严重影响或重大损失,企业应当根据其行业特点和经营管理模式搭建针对性的合规体系。而一个行之有效的合规体系搭建,离不开合理的制度和程序、高层参与、风险评估、尽职调查、培训和沟通、监督和审核六大组成部分,这六大组成部分也是iso37301合规管理体系基本要素的要求。具体而言:
01、合理的制度和程序
企业应制定合理的制度和程序,其作为企业合规体系的核心,是企业所有员工履行职责的基本要求。主要分为以下四方面:
(1)企业行为准则,这是企业经营管理和文化建设的纲领性文件,包括企业愿景、使命、核心价值观、合规方针、社会责任等方面;
(2)企业合规管理制度,这是企业合规部门进行合规管理的程序性规章制度,包括合规组织制度、合规风险管理流程、合规审查流程、违规举报、调查与处置流程、合规报告程序等方面;
(3)职能部门管理规章,企业不同的职能部门涉及到不同的合规规范的执行与遵守,例如,管理、财务、人事行政、法务、内控等部门均有相对应的合规规范;
(4)业务合规流程,企业各业务领域涉及不同的合规规范,例如传统的业务合规流程、网络安全合规流程、产品合规流程、跨境电商领域合规等,具备较强的专业性,往往需要企业合规部门与业务部门合作制定和修改相关的业务合规流程。
02、高层参与
企业合规运作应有高层的参与,形成较为成熟的合规组织体系。高层参与能够使企业形成上下连贯的合规组织结构,如公司自上而下设立合规委员会、分支机构和职能部门中的合规部门,合规部门直接向公司合规委员会和首席合规官汇报。这样能够确保企业管理层及时识别合规风险并采取应对措施。
03、风险评估
定期或不定期地对企业活动中存在的合规风险进行识别与评估。例如,在投融资或收购项目中,企业需要对该项目进行合规风险评估,评估结果作为决策参考,降低企业风险。
04、尽职调查
合规部门针对已存在的合规风险进行调查和研究,形成合规风险报告,并研究制定和实施降低风险的措施。
05、培训与沟通
企业需要定期组织培训和沟通,一方面能够确保员工了解最新的法律法规、监管规定、企业内部规章制度等方面内容;另一方面也能够保证企业高层管理者与其它层级员工维持一种稳定的沟通,使企业高层管理者的合规理念与态度能够顺畅传达至企业各层级员工,形成合规文化。
06、监督与审核
企业应建立合规监控体系,包括监督与审核。监督是指企业的高层管理者或员工在进行业务活动时,都应在其职责范围内进行可持续的管理与监督,检查每一项业务活动是否存在违规行为。审核是企业对合规管理体系运行情况的评审,企业通过审核及时发现问题并加以整改,有助于持续提升合规管理能力,确保企业的合规体系在全球各地得到了良好的贯彻执行。