JT&N研究 | 合规管理体系认证流程与重点

前言

作为企业管理的重点环节，合规管理体系的建设的浪潮已经由央企、国企扩展到大型民企甚至中小企业，2022年“合规管理强化年”更是将企业合规管理工作推到更向上的维度。

从合规管理体系的搭建到体系的完善，各个企业合规管理体系建设进展迅速，逐渐到了合规体系认证的环节。作为合规管理体系的重要一环，合规管理体系认证不仅是企业合规管理工作取得阶段性成果的里程碑，也是获得外界信任的重要途径。

本文结合以往的合规管理实践经验，对合规管理体系认证的起源、认证过程及重点方面进行阐明，以期对合规管理实践有所助益。

一、GB/T 35770-2022/ISO 37301:2021合规双认证

合规管理体系认证证书（Compliance Management System Certification），简称CMS认证，是基于相关标准和规范的合规管理体系建设，并由权威第三方机构进行的认证评定，确认企业合规管理体系的成熟度和有效性的认证证书。

该认证来源于2021年4月13日，国际标准化组织发布的ISO37301:2021《合规管理体系要求及使用指南》（Compliance management systems-Requirements with guidance for use）（简称“ISO 37301: 2021”）。ISO 37301: 2021替代了2014年的发布版本，作为合规认证的标准发挥作用。

2022年10月12日，国内标准GB/T 35770-2022《合规管理体系要求及使用指南》（以下简称“GB/T 35770-2022”）正式实施，代替标准GB/T 35770-2017，该标准与ISO 37301: 2021等同。

由此，申请GB/T 35770-2022/ISO 37301: 2021合规双认证逐渐成为已搭建合规管理体系企业的目标，对于企业来说，这是一个向外界宣布自身具有较高企业管理能力的有效渠道。

2022年，也是中国的合规体系认证元年，美的公司首先获得了BSI颁发的ISO 37301认证证书，其后各大企业也纷纷加入认证的浪潮中。不仅如此，合规体系认证也受到官方的认可，广东省国资委印发《省属企业“合规管理强化年”行动方案》中明确表明各大企业应当“做到成熟一个贯标一个，力争通过三年努力，全部省属企业通过ISO37301贯标认证”。

2023年，我们在助力佛山建发集团合规体系认证项目中，为企业系统地梳理了集团本部各项管理职能的合规义务和合规风险，汇编形成合规管理体系手册，协助组织开展各类合规宣贯和管理培训，有序完成合规内部审查和管理评审工作，助力佛山建发集团成为佛山首家成功通过GB/T 35770-2022/ISO 37301:2021合规管理体系认证的市属国企，树立了佛山市属国企的“合规标杆”。

二、合规管理体系认证流程

合规管理体系认证一般包含两个阶段：第一阶段，评价企业合规管理体系的整体规划构建情况；第二阶段，评价企业合规管理体系的实施情况。从流程上来看，包括认证的申请、初审、复审、认证。

审核方式包括文件审查与现场审查，文件审查是合规管理体系认证的基础。认证活动大部分需要通过对企业文件内容的审核完成，如企业管理的基本情况、报告、清单等，也包括企业近期的合规舆情。整体来说，合规管理体系认证过程中，与其他管理体系的认证相比，文件评审过程还是有所差异的。其中，最大的差异来自数据收集方面。

现场审查则主要关注以下三个方面：

第一，验证审核范围，组织合规管理专业性和实际管理过程的覆盖程度都需要在这部分进行关注，如其包括的具体专业知识范畴，全面合规抑或部分合规，有时企业可能对于其合规工作的具体范围并不清晰，需要以现场问答、访谈的形式进行确定。

第二，现场审查中，对业务管理的“三道防线”的审核侧重点有所不同。三道防线分别为业务部门、管理部门、监督部门；业务部门应当保证业务平稳合规运行，管理部门应保证企业对合规要求的完整识别，监督部门应当确保相关方的沟通及外部公权力机关的要求。

第三，现场审查也应当关注企业内部控制的有效性，区分内部控制与内部审计，通过现场查看文件进行评审，组织进行现场的证据收集。

合规审查的两个阶段均包括文件审核与现场审查，第一阶段中，审核员通过文件审核的方式，对合规管理体系的规划进行审核，判断管理体系是否符合GB/T 35770-2022/ISO 37301: 2021的文件要求，除此之外，该阶段还包含人员访谈，现场调查等，不仅在正面提出符合之处，也会对不符合之处提出建议，促进企业改善。

第一阶段的审查也包含对是否开展第二阶段的必要性的判断，如有必要，则会开展第二阶段的审查，该阶段目的是评价合规管理体系的有效性、持续性，即该合规管理体系落地后是否能够有效实施，是否可以持续地在企业运行过程中发挥作用。

在上述审查过程结束后，如果企业合规管理体系符合认证标准，则会颁发合规管理体系认证证书，该认证的周期主要取决于企业的业务类型、认证范围、成熟度和进行认证的审核员能力等不同的因素，一般周期大概需要2—4个月。

但该认证并非永久有效，其有效期为3年，认证期满后，需要重新对企业的合规管理体系进行认证。同时，为了确保企业能够持续符合标准，认证机构将采取年度审核的形式监督企业持续符合标准的要求。

三、合规管理体系认证重点

如下图所示，ISO 37301: 2021的运行模式为策划、执行、检查及改进，由于合规管理体系并非一成不变，而是在上述循环中不断向着更加健全的方向发展，所以认证也会以企业中是否存在该循环作为一个基本的标准。

但目前来说，我国大部分企业的合规管理体系的建设尚未达到改进阶段，仅在策划及执行阶段，据此，认证机构也会根据实际情况采取更为灵活的模式进行认定，随着我国企业合规管理形势的进一步发展，认证标准也会趋于严格，向国际靠拢。

还需要明确，ISO 37301: 2021的体系框架包含如下方面，即：组织环境、领导、策划、支持、运行、绩效评估、改进。2022年颁布的《中央企业合规管理办法》从组织和职责、制度建设、运行机制、合规文化、信息化建设及监督问责六个维度对央企开展合规管理工作提出具体要求。

上述两个文件的标准略有差别，目前大多数国央企按照《中央企业合规管理办法》搭建合规管理体系，其体系的具体要求与ISO 37301: 2021略有差异，在贯标的过程中需要注意这些差异，如持续改进、理解相关方的需求和期待、实施风险管控后的合规风险再评估等，否则可能会由于不符合标准需求而无法取得认证。

在合规管理体系认证申请及评审过程中，认证机构会关注企业资质的验证，不仅包括法律法规规定的企业的相关资质或认可，还包括与企业合规相关的内部或外部审计评估报告、企业受到监督和处罚的记录、企业合规舆情等。

同时，审核活动的有效性及完整性依赖于范围的确定。合规管理体系的范围界定应予以关注的内容至少包括营业范围、所在的国家地区、资质许可、营业范围相关的合规活动。

最后，合规管理体系并非完全独立存在，认证机构需要判断是否通过其他管理体系及各管理体系相关性来完成合规管理体系认证。在认证申请及评审过程中，合规管理体系与其他管理体系存在较大相关性。与合规管理体系相关的管理体系包括：质量、环境、信息安全、知识产权、反贿赂、反舞弊等。

四、合规管理体系认证的意义和作用

取得合规管理体系认证对企业来说意义重大，概括来说，可以协助企业在合规的道路上，建立将风险管理、流程改进、成本控制等都纳入统一的体系之中，达到较好的管理效果，实现企业的经济价值与社会价值。

第一，依照GB/T 35770-2022/ISO 37301: 2021的要求建立合规管理体系，有助于企业以更加明确合理的方式实施管理，提高企业的管理能力，提升企业内部的合规认可度，建立并传播企业合规文化。

第二，ISO 37301: 2021作为国际通用的规则，有助于国内企业获得国际上的认可，获得该认证有助于在国际市场中提升国内企业的竞争力，从而在境外拓宽市场，便利全球范围内相关方之间贸易、交流与合作。

第三，随着合规管理在国内日益获得重视，监管机构和司法机关在一定程度上也会将此作为标准，如最高人民检察院近年来在全国范围内开展了企业合规第三方监督机制的试点改革，企业完成合规整改后的成果将交由第三方组织加以评估。

结语

合规管理体系的搭建作为企业管理的基础性、体系性工作需要持续进行，合规体系认证则是通过对三方认可的方式对企业的管理能力进行证明和背书，这是其最显性的作用。但从实质性的角度来看，合规体系认证可以敦促企业达成内部合规制度的建设和落地实施。

当今世界处于全球化发展的趋势，企业在进行合规建设时不仅应当符合我国出台的各项政策，密切关注官方发布的标准、合规法律法规；同时也需要结合更加普遍适用的标准，即GB/T 35770-2022/ISO 37301: 2021来搭建整体合规框架。在这一过程中也需要借助外部合规顾问的力量，帮助企业搭建合规管理体系，梳理合规风险，制定合规制度，持续监测合规管理体系的可行性，这样不仅有助于企业取得合规管理体系认证，更有助于企业实质性地提高管理能力，平稳长远地实现自身的经济价值。

金诚同达研究院企业合规研究中心

金诚同达研究院企业合规研究中心是以金诚同达合规业务组为基础建立的合规实务研究机构。中心成立至今，以全面透彻、悉心钻研的研究视角，对合规趋势、合规监管、合规建设等理论及实务问题作出响应和解答。

金诚同达合规业务组致力于企业合规体系建设与反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域合规管理，长期为诸多大型企业集团及各类中小企业提供合规建设与管理专业支持，具有丰富的法律合规实践与服务经验，为企业高质量可持续发展提供强有力的法律合规保障。

作者简介