原标题:既生瑜,何生亮?ISO 37301与其他合规专项是什么关系?|ISO 37301 标准1000问(更新到2023年7月16日)
ISO 37301:2021《合规管理体系 要求及使用指南》(ISO 37301)的制定对于各类组织的合规管理能力建设、政府监管活动、国际贸易交流、沟通合作改善等具有重要的意义。一是为各类组织提高自身的合规管理能力提供系统化方法,它采用PDCA理念完整覆盖了合规管理体系建设、运行、维护和改进的全流程,基于合规治理原则为组织建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。二是为监管机构和司法机构采信组织的合规整改计划、合规管理体系实践提供参考依据,监管机构和司法机构在对组织违反相关法律的行为作出处罚时,可以将组织的合规管理体系运行情况作为衡量处罚力度的一个考量因素。三是为便利全球范围内相关方之间的贸易、交流与合作提供了通用规则,各类组织可以通过声明符合ISO 37301或者获得依据ISO 37301所进行的认证,在相关方之间传递信任,进而为贸易杏彩体育、交流与合作提供便利。[1]
ISO 37301,继ISO 9001质量管理体系标准之后,成为一个广受追捧的明星标准。不过,作为一个新标准,ISO 37301在落地实施的过程中也不可避免地碰到不少新问题,其中之一就是ISO 37301作为一个普适性的合规管理体系与其他合规专项是什么关系。换成另外一个说法就是,既然有了那么多专项标准(比如质量管理体系有ISO 9001,信息安全管理体系ISO 27001,环境管理体系ISO 14000,反贿赂管理体系ISO 37001等),我们为什么还要有普适性的ISO 37301合规管理体系标准呢?
对于这个问题的解答有很多形象的比喻,其中之一就是抗生素——ISO 37301就像是广谱抗生素,而众多的专项标准就像是有专门靶向、定点作用的普通抗生素——同为管理体系标准,ISO 37301普适同样而专项管理体系靶向定点,彼此相辅相成,但也不能相互替代。
还有一个形象的比喻就是专项标准和ISO 37301的关系就是伞骨与伞面的关系,没了伞骨,整个伞面就撑不起来;没了伞面,伞骨就不能被整合为一把遮风挡雨的大伞。反过来说,有了专项管理体系作为伞骨来管控特定的风险,再加上ISO 37301下针对其他风险防控所设计的管控措施和所制定、落地的管理制度,整个大伞作为管理体系才会适宜、充分、有效。
这些比喻形象地反映了普适性的ISO 37301与专项标准之间的关系。事实上,ISO 37301与其他专项标准相比,从组织治理、风险防控、文化建设的角度来说的确更为广谱,或者说更为普适,借用本文一开始的说法:ISO 37301“是为各类组织提高自身的合规管理能力提供系统化方法,它采用PDCA理念完整覆盖了合规管理体系建设、运行、维护和改进的全流程,基于合规治理原则为组织建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案”。专项标准没有能解决的,ISO 37301要予以解决;专项标准已经解决了的,ISO 37301要从组织治理、文化建设的角度予以融合并拾遗补缺。而ISO所有管理体系标准在高阶(high-levelled)条款上的一致性也为所有管理体系的融合提供了必要的前提和基础。
事实上,一个企业光靠几个合规专项,而缺少系统化整套解决方案是难以应对企业所面临的风险的。如果说所有的企业都要建设质量管理体系ISO 9001,但并不是所有的企业都需要建设信息安全管理体系ISO 27001,环境管理体系ISO 14000,反贿赂管理体系ISO 37001和其他专项标准。退一万步讲,即使很多企业都需要建立前述这些专项管理体系,杏彩体育平台注册登录入口但这些企业还有很多风险是这些专项所不能覆盖的,比如疫情风险、外向型企业高管出入境风险、员工舞弊风险、反垄断合规风险等等。
再比如集团公司普遍存在的如何对下属企业进行充分合理管控而引发的公司治理风险,其中既涉及集团公司与下属企业权限如何进行划分,是否存在授权不充分或者授权过度的问题,杏彩体育平台注册登录入口也涉及下属企业存在通过拆分项目规避集团审批的情形,还涉及外派董监事无法充分发挥其作用等问题,杏彩体育平台注册登录入口这些问题需要系统化整套解决方案予以解决,而非专项管理体系所能解决,甚至专项管理体系因为靶向其所锚定的特定风险根本不会提及。
ISO 37301从颁布到现在,辅导咨询机构及认证机构的思路也在发生变化。很多机构在ISO 37301颁布初始时的作业是在ISO 37301下选择一个或几个合规专项来咨询或认证,比如下面的这张ISO 37301认证证书是选择了“反垄断和数据保护合规管理”:
「硬核数据沙龙」《生成式人工智能服务管理暂行办法》的机遇与冲击|小鹅通直播7月25日19:00-20:30
访问手机版
微信公众号
公司新闻 