隨著我國全面依法治國戰(zhàn)略以及近年我國企業(yè)因境外經(jīng)營不符合當?shù)貒暮弦?guī)監(jiān)管要求被“掐脖子”的事例屢見不鮮，“合規(guī)”已成為我國政府工作和企業(yè)經(jīng)營的重要議題
　　為推動我國企業(yè)合規(guī)經(jīng)營，與國際合規(guī)要求接軌：
　　中央政府陸續(xù)出臺合規(guī)相關(guān)指引，指導企業(yè)開展合規(guī)管理。例如，2018年11月國務(wù)院國資委發(fā)布的《中央企業(yè)合規(guī)管理指引（試行）》，2018年12月國家發(fā)改委聯(lián)合七部委發(fā)布的《企業(yè)境外經(jīng)營合規(guī)管理指引》；
　　地方政府、中國標準化研究院出臺與國際接軌的合規(guī)指引、標準。例如，2021年10月，中國標準化研究院發(fā)布《合規(guī)管理體系 要求及使用指南（征求意見稿）》，計劃將國際標準化組織更新的ISO 37301：2021《合規(guī)管理體系 要求及使用指南》本地化；2021年11月，深圳市司法局發(fā)布了《深圳企業(yè)合規(guī)管理體系認證標準（征求意見稿）》，此認證標準的編制借鑒了國際經(jīng)驗和結(jié)合了深圳實際情況，旨在促進深圳企業(yè)加快建立合規(guī)管理體系；
　　地方政府采取有力舉措推動本地企業(yè)依法合規(guī)經(jīng)營。以深圳市為例，深圳市國資委正會同市監(jiān)委、市司法局開展合規(guī)管理體系建設(shè)試點、防范廉潔風險工作，同時配合市檢察院建立企業(yè)合規(guī)第三方監(jiān)督評估機制，打造刑事合規(guī)“深圳模式”。
　　在國內(nèi)外日趨嚴格的市場監(jiān)管環(huán)境和我國政府推動的背景下，越來越多的企業(yè)致力于通過搭建合規(guī)管理體系，將合規(guī)融入企業(yè)經(jīng)營，以助力企業(yè)業(yè)務(wù)增長，創(chuàng)造競爭優(yōu)勢和行穩(wěn)致遠。為助力企業(yè)開展符合國際標準的合規(guī)管理體系建設(shè)，BST認證將對ISO 37301認證、企業(yè)獲得ISO 37301認證的好處以及企業(yè)如何通過搭建有效的合規(guī)體系來獲得ISO 37301認證等方面展開介紹。
　　ISO 37301認證簡介

2021年，ISO組織發(fā)布ISO 37301:2021《合規(guī)管理體系 要求及使用指南》，為各類組織規(guī)范合規(guī)治理、強化合規(guī)管理和加強合規(guī)文化建設(shè)提供了更具先進性、權(quán)威性、普適性和戰(zhàn)略性的工具和方法論，也為各種組織的合規(guī)管理提供了通過第三方認證獲得全球廣泛認可的機會和途徑。
　　ISO 37301基于風險管理的思維模式，應用過程方法和PDCA邏輯，圍繞合規(guī)治理原則為組織建立、制定、實施、評估、維護和改進有效合規(guī)管理體系提供了要求及指南。

（合規(guī)管理體系通用要素的框架圖）

　　ISO 37301的制定對于各類組織的合規(guī)管理能力建設(shè)、政府監(jiān)管活動、國際貿(mào)易交流、溝通合作改善等具有重要的意義。其為企業(yè)治理者提高組織自身的合規(guī)管理能力提供系統(tǒng)化方法，為監(jiān)管機構(gòu)和司法機關(guān)采信企業(yè)組織的合規(guī)管理體系實踐提供參考依據(jù)，為便利全球范圍內(nèi)相關(guān)方之間的貿(mào)易、交流和合作提供通用規(guī)則。
　　企業(yè)獲得ISO 37301認證的好處

　　對于企業(yè)而言，獲得ISO 37301認證有以下好處：
　　提升商業(yè)機會和可持續(xù)性
　　保護和加強組織的聲譽和信譽
　　考慮相關(guān)方的期望
　　證明組織有效及高效地管理合規(guī)風險的承諾
　　提升第三方對組織持續(xù)獲得成功的能力的信心
　　降低違法行為的發(fā)生及隨之而來的成本，和聲譽損失
　　獲得行政監(jiān)管激勵
　　企業(yè)取得ISO 37301認證，對董事會和員工是證明運營風險管理的合格證，對監(jiān)管部門和投資方是企業(yè)的信用證，對顧客和國際供應鏈是通行證。

　　企業(yè)如何搭建合規(guī)體系

權(quán)威的第三方認證機構(gòu)在對企業(yè)進行ISO 37301認證時，并非機械地對企業(yè)合規(guī)管理模塊、流程進行單點打分，而是基于ISO 37301的要求，依照 ISO19011《管理體系審核指南》以及機構(gòu)的認證管理規(guī)則，以一種系統(tǒng)性的過程評審方式進行。

　　一、合規(guī)體系搭建的方法論
　　企業(yè)合規(guī)經(jīng)營的關(guān)鍵支柱在于合規(guī)體系之搭建。要使合規(guī)管理形成企業(yè)經(jīng)營的“防火墻”，保護企業(yè)免受因合規(guī)風險所帶來的嚴重影響或重大損失，企業(yè)應當根據(jù)其行業(yè)特點和經(jīng)營管理模式搭建針對性的合規(guī)體系。而一個行之有效的合規(guī)體系搭建，離不開合理的制度和程序、高層參與、風險評估、盡職調(diào)查、培訓和溝通、監(jiān)督和審核六大組成部分，這六大組成部分也是ISO 37301合規(guī)管理體系基本要素的要求。
　　二、實操示例：數(shù)據(jù)合規(guī)體系的搭建與落地

　　1.搭建數(shù)據(jù)合規(guī)體系
　　企業(yè)的數(shù)據(jù)合規(guī)體系搭建步驟大致可分為以下三個階段：
　　第一階段，數(shù)據(jù)核查。從信息安全角度進行數(shù)據(jù)核查的常規(guī)做法是使用軟件來“感知”一個系統(tǒng)內(nèi)的數(shù)據(jù)種類，并給予這些數(shù)據(jù)的敏感程度對該系統(tǒng)提出整體的安全方案。
　　第二階段，進行風險識別和制定合規(guī)方案。
　　第三階段，數(shù)據(jù)合規(guī)規(guī)則建立和落地。企業(yè)可結(jié)合實際情況建立數(shù)據(jù)合規(guī)規(guī)則，完善相關(guān)的制度和流程。

　　2.單項產(chǎn)品數(shù)據(jù)合規(guī)體系落地
　　在產(chǎn)品醞釀階段，企業(yè)可以邀請隱私保護專家列席產(chǎn)品開發(fā)的研討，專家提供個人信息保護的合規(guī)建議，提示合規(guī)風險與解決方案，此過程應通過會議記錄或郵件的形式留痕。
　　在初步產(chǎn)品設(shè)計階段，產(chǎn)品設(shè)計團隊針對使用的數(shù)據(jù)種類建立控制以及架構(gòu)來處理第一稿的產(chǎn)品設(shè)計，第一稿的產(chǎn)品設(shè)計需體現(xiàn)上一階段提出的隱私及個人信息保護風險的解決方案。
　　產(chǎn)品設(shè)計團隊將完成后的產(chǎn)品設(shè)計進行個人信息安全影響評估（Data Protection Impact Assessment, DPIA）。

　　最終產(chǎn)品能夠?qū)ο惹安槌龅碾[私和個人信息保護風險進行處理，以及明確相應的技術(shù)手段和控制，通過最終產(chǎn)品展示會議（包含法務(wù)、風控、合規(guī)、安全等部門）以及論證加以證明。ISO 37301的國際可認證性，在企業(yè)合規(guī)治理、傳遞商業(yè)信任、向監(jiān)管機構(gòu)證明存在合規(guī)管理體系、作為企業(yè)向司法機關(guān)提供關(guān)于違規(guī)量刑的正面證據(jù)、爭取合規(guī)不起訴等方面提供了重要支持。無論企業(yè)要不要取得ISO 37301的認證，ISO 37301的標準提供一個搭建合規(guī)體系的方法論和架構(gòu)，加上有實操經(jīng)驗的專家的指導和協(xié)助，企業(yè)可以有效搭建出適配企業(yè)實際情況并符合國際水準的合規(guī)管理體系，賦能企業(yè)業(yè)務(wù)增長，為企業(yè)國內(nèi)外運營保駕護航，保護企業(yè)和相關(guān)高管，幫助企業(yè)基業(yè)長青。
　　BST中檢檢測認證合規(guī)體系認證流程

　　□ 差距分析（可選）
　　差距分析服務(wù)旨在使您的組織了解其當前的哪些做法符合ISO37301的要求，以及哪些方面尚存在差距。我們的差距分析服務(wù)與未來正式的評估或認證是彼此獨立的，差距分析不會影響評估和認證結(jié)果。
　　□ 文件審核和第一階段審核
　　指定的審核員通過文件審核和第一階段審核對組織合規(guī)管理體系的策劃和文件符合性做出核查，判斷管理體系策劃的合理性和符合性，以及是否具備實施第二階段審核的條件。第一階段審核通常在組織的現(xiàn)場開展。
　　□ 第二階段審核
　　第二階段審核在組織工作現(xiàn)場開展，目的是判斷管理體系是否符合審核準則。
　　□ 年度監(jiān)督審核
　　ISO37301合規(guī)管理體系認證的有效期為3年。

　　作為作為中國最早成立并獲得國家批準認可的認證機構(gòu)之一，BST檢測認證已經(jīng)累計為超過數(shù)萬家中外企業(yè)、社會團體等機構(gòu)頒發(fā)了管理體系認證證書。

#用戶認證體系 理論體系 管理體系#