ISO 37301标准的内容
ISO 37301:2021《合规管理体系 要求及使用指南》标准的内容主要包括以下几个方面:
一、适用范围
ISO 37301 适用于全球任何类型、规模、性质和行业的组织,为各类组织提高自身的合规管理能力提供系统化方法。
二、核心要素
组织环境:
确定影响组织合规管理体系预期结果能力的内部和外部因素。
确定并理解相关方及其需求。
识别与组织的产品、服务或活动有关的合规义务,评估合规风险。
确定反映组织价值、战略的合规管理体系及其边界和适用范围。
领导作用:
治理机构和最高管理者要展现对合规管理体系的领导作用和积极承诺。
遵守合规治理原则。
培育、制定并在组织各个层面宣传合规文化。
制定合规方针。
确定治理机构和最高管理者、合规团队、管理层及员工相应的职责和权限。
策划:
在各部门和层级上建立适宜的合规目标,策划实现合规目标需建立的过程。
综合考虑组织内外部环境问题、合规义务和合规目标,策划应对风险和机会的措施,并将这些措施纳入合规管理体系。
有计划地对合规管理体系进行修改。
支持:
确定并提供所需的资源,例如财务资源、工作环境与基础设施等。
招聘能胜任且能遵守合规要求的员工,对违反合规要求的员工采取纪律处分等管理措施。
提供培训,提升员工合规意识。
开展内部和外部沟通与宣传。
创建、控制和维护文件化信息。
运行:
实施为满足合规义务、实施合规目标所需的过程以及所需采取的措施。
建立并实施过程的准则、控制措施,定期检查和测试这些控制措施,并保留记录。
建立举报程序,鼓励员工善意报告疑似和已发生的不合规。
建立调查程序,对可疑和已发生的违反合规义务的情况进行评估、调查和了结。
绩效评价:
监视、测量、分析和评价合规管理体系的绩效和有效性。
有计划地开展内部审核。
定期开展管理评审。
改进:
持续改进合规管理体系的适用性、充分性和有效性。
对发生的不合格、不合规采取控制或纠正措施。
三、应用方式
自我声明符合的依据:各类组织通过实施ISO 37301.建立并运行合规管理体系,一方面使得组织的行为以及行为结果合规,另一方面在需要时还能够据此标准追溯组织是否符合了合规管理体系规定的内容或证实是否达到了合规要求。
认证机构开展认证的依据:ISO 37301规定了合规管理体系的要求,并提供了建议做法和指南,认证机构在认证活动中,可以直接应用或者在其认证技术规范中明确ISO 37301作为组织符合合规管理体系要求的认证依据。
政府机构监管的依据:政府机构可以将ISO 37301确立的合规管理理念应用于行政监管活动,通过对组织的合规管理体系运行情况评价结果来匹配相应的监管手段和措施,实施精准监管。
司法机关对违规企业量刑与监管验收的依据:可以将ISO 37301确立的合规管理体系要求作为司法机关对涉及违规企业量刑的考量依据,可以作为落实依法不捕不诉不提出判实刑建议等司法意见、制定合规指引、督促企业合规整改和第三方监管验收的依据。
四、与其他标准的关系
ISO 37301 替代了 ISO 19600:2014《合规管理体系 指南》,但两者均基于相同的架构、以风险导向为基础的方法,并注重整体的合规管理系统。然而,只有 ISO 37301 可以用作第三方认证的准则。
ISO 37301 与 ISO 其他组织管理标准(如 ISO 9001 质量管理体系、ISO 14001 环境管理体系等)之间是支撑和融合的关系。如果企业已建立起其他专项管理体系并取得相应的 ISO 认证,则企业以 ISO 37301 为标准搭建合规管理体系时,可以实现更高效率、更低成本地融贯企业既有的专项管理体系,保持企业合规管理体系的系统性和协调性。
