做好企业ISO 37301体系认证的“翻译官”- 大数跨境

合规网

2022-11-14

导读：ISO 37301（全称:企业合规管理要求及使用指南）在2021年4月发布，今年越来越多地企业开始关注并咨询相关认证的事项。

随着ISO 37301（全称:企业合规管理要求及使用指南）在2021年4月发布，今年越来越多的企业开始关注并咨询相关认证的事项。笔者最近在与认证机构的沟通交流中，被问到一个问题，即“很多央国企在前几年已经开始并且初步完成了合规体系的建设，如何能在符合ISO 37301标准（全称:企业合规管理要求及使用指南）的基础上完善合规管理体系呢？”

我国从2016年开始在国资委的带领下，从央国企开始了企业合规管理体系建设的试点工作，到2022年开启了合规管理强化年的进程，可以说央国企在体系建设方面取得了很大的进步，很多企业在2018-2021年均是参照《央企合规管理指引（试行）》、《企业境外经营合规管理指引》及国资委下发的其他相关文件来实施的建设，而ISO 37301正式发布时间是在2021年4月，那么此前企业构建的合规管理体系，是否能满足它的要求呢，为了获得认证，企业是否需要再重新建一套体系呢？

其实企业也好，认证机构也好，大可不必担心。笔者通过对前几年协助央国企客户开展合规体系建设项目工作的回顾，对实践中的建设框架与ISO 37301的框架要求做了初步的对比，见下表：

从上表可以看到，企业当年的合规体系建设是从制度体系、组织体系、合规管理运行机制、合规管理保障机制四个维度开展的，从实质内容看，所涉及的大部分内容与ISO 37301框架的要求是基本一致的。但仍需承认，如果企业当前体系建设内容要完全去匹配标准的要求，还仍然存在不同程度的差距。比如:

在合规管理资源的支持方面，对合规管理投入的年度总体预算上并不充裕；
合规管理职能纳入原法律事务部门后，在行使组织性职能时，强势的业务部门配合程度不足，如在组织开展年度风险识别、合规培训、内部审核等方面；
虽然在各个业务部门或下属组织设置了兼职的合规专员（联络员），但对其在合规工作协作方面职责尚无清晰的描述；
在合规风险识别中，有时会将经营性风险与合规性风险混淆；
在制度体系建设中，以合规管理制度替代了顶层的合规管理手册，即缺乏将公司总体的合规方针、合规目标进行全局性描述，并向高中层领导传达的步骤；
合规管理部门对于合规疑虑举报的受理、调查等职责、如何与纪委等相关部门工作过程协作等，尚待梳理；
企业尚未形成定期对自身合规管理体系有效性进行内部审核、评价的成熟机制等；
尚未将合规报告作为必要的模块实际纳入部门、企业年度的管理工作报告当中等。

出现上述情况，并非说明企业合规管理体系搭建的不够好，这是任何一家企业在建设过程中可能都会经历到的，一个成熟的管理体系，不能期望通过一年或二、三年就能变得十分完善。应该说对于中国企业而言，合规管理体系建设还仍处于一个初期阶段，合规管理体系的标准中本身就要求体系建设是一个循序渐进、PDCA的过程，并且其中的每个模块内部也是一个PDCA的循环过程，比如风险管理、合规培训与文化宣贯、合规举报与追责等等。而目前看，大多数企业在P、D环节的工作投入较多，但是对C、A环节的重视程度却往往不足，造成了“虎头蛇尾”的现象，忽视了对自己构建体系的回顾、复盘、审核，也就无从谈起如何持续改善。

因此，作为咨询机构或者认证机构而言，在这个阶段应该为企业做好“翻译官”的角色，将ISO 37301标准要求中“ISO化”的语言转换成企业管理者能理解的“管理性”的通俗化语言，让企业更清晰地知晓企业实际中需求中具体开展哪些工作才是“符合标准的要求”。例如：

以上样例，通过对标准的解读，将标准要求结合企业的实际情况，“翻译”成企业人员可以理解、可以自己组织落地实施的“工作语言”，最终既满足了体系要求，又帮助企业解决了实际问题。这样企业才能逐步认识、认可ISO 37301标准要求对于企业更好建立、完善合规管理体系的作用。

笔者从事合规管理咨询工作多年，再次仍要不断强调和呼吁——在当前这个合规管理体系建设初期阶段，“模板化”的思路不可行！

我们不可彻底否认“模板化”的工作模式，但是一定要搞清“模板化”应用的前提，即首先对应的工作事项内容如相关原理、要素、流程等已经非常清晰，并且有大量成熟、成功的实践并得到社会、行业的认可；其次执行工作事项的人员具备了充分的资质、工作技能、工作经验，对事项的执行、管控等均可非常到位，并且可以得到充分的资源支持（如内外部培训、外部专家指导、成功案例对标等），第三 “模板化”工具已经得到充分的验证并广为认可并使用。这个时候，在工作过程中采取“模板化”方式，无疑可以发挥它的优势，比如可以大大提高工作效率、提高工作过程的规范性、减少个人经验依赖性等。

但是反观企业合规管理体建设的工作，相较于质量、安全、环境管理、信息安全管理等成熟体系，其可量化的标准并不充足，尚无十分清晰的指标去衡量工作质量，并且合规管理工作面临更多的是对“灰度地带”情况的判断和应对，当前人力资源方面，企业合规管理岗位还是一个较新的职业，从业人员数量较少，经验丰富的人员一般在外资企业相对较为集中，在央国企、民营企业的人员配备尚不充足，因此在这种情况下，急于使用“模板”方式来开展工作，如果对其适用性、有效性进行慎重的评估，不但不能发挥其效果，反而可能会企业带来一定的风险。

比如，企业在初次编写合规管理制度时，直接就按照央企合规管理指引的内容，换上自己企业的名称，其他原封不动地照抄一遍，即进行发布，那这样的制度内容固然没有问题，因为它是适用于所有企业，但是却并没有结合建设单位的实际情况有针对性的内容，这样的制度发布下去，各个业务部门、下属单位如何去执行呢？

合规管理体系标准为企业提供了框架性指引、标准化的要求，但具体究竟做什么、如何做、如何才能做好，需要通过不断地摸索、尝试，也需要有经验的外部机构更好地、负责任地与企业共同协作。中国企业合规管理体系建设之路还很长，需要企业更多的重视、更多的支持、更多的耐心、更多的学习，才能找到真正适合自身企业特色的合规管理之路。

作者：范勇

光曦国际总工程师

范勇先生（Anthony Fan）拥有北京大学计算机系学士及清华大学工商管理硕士学位。目前主要从事合规体系有效性研究，致力于光曦在线合规商学院及合规管理交互式培训课件的研发工作，以及探索利用AI等技术帮助企业实现主动式、智能化的创新合规管理模式，并创办《光曦合规管理评论》，传播国际先进合规理念及前沿技术。