新聞中心
聯(lián)系方式
上海奔爍咨詢公司
TEL: 4006-010-725
(上海) 電話|微信: 152-2175-9315
Q Q 客服: 2215501312
(青島) 電話|微信: 137-9194-1216
Q Q 客服: 1263118282
(北京) 電話|微信: 136-8120-0268
Q Q 客服: 2970890153
(杭州) 電話|微信: 158-6716-8335
Q Q 客服: 2668763939
(西安) 電話|微信: 139-0928-9277
Q Q 客服: 3568192523
(深圳) 電話|微信: 130-7782-9315
Q Q 客服: 574472821
行業(yè)知識
新版ISO37301:2021合規(guī)管理體系審核要點(diǎn)
文章錄入:上海奔爍咨詢 | 文章來源:質(zhì)量與認(rèn)證 | 添加時(shí)間:2022-8-13
基于最新的合規(guī)管理全球?qū)嵺`,ISO于2021年發(fā)布了ISO 37301:2021《合規(guī)管理體系 要求及使用指南》,代替ISO 19600:2014。ISO 37301標(biāo)準(zhǔn)與ISO 19600最大的改動(dòng)在于,舊版標(biāo)準(zhǔn)提供的是“組織內(nèi)建立一套有效和及時(shí)響應(yīng)的合規(guī)管理體系,并予以制定、實(shí)施、評價(jià)、維護(hù)和改進(jìn)的指導(dǎo)”,而新版標(biāo)準(zhǔn)提供的是“組織建立、制定、實(shí)施、評價(jià)、維護(hù)和改進(jìn)有效的合規(guī)管理體系的要求”。這也意味著合規(guī)管理體系標(biāo)準(zhǔn)從原來的指南性標(biāo)準(zhǔn)升級為可用于認(rèn)證的規(guī)范性標(biāo)準(zhǔn)。
.png)
認(rèn)證申請及評審是所有認(rèn)證技術(shù)活動(dòng)的第一步,其重要性無需多言。在合規(guī)管理體系認(rèn)證申請及評審過程中,有三個(gè)問題值得重點(diǎn)關(guān)注。
1.資質(zhì)的驗(yàn)證
資質(zhì)的驗(yàn)證是貫穿于任何管理體系認(rèn)證過程始終的一項(xiàng)工作,而合規(guī)管理體系本身即是針對“規(guī)”的驗(yàn)證,其認(rèn)證申請及評審過程中資質(zhì)的驗(yàn)證就更為重要。對于認(rèn)證申請方資質(zhì)的驗(yàn)證,不僅包括法律法規(guī)規(guī)定的客戶的相關(guān)資質(zhì)或認(rèn)可,還應(yīng)關(guān)注一些特定內(nèi)容。如:與企業(yè)合規(guī)相關(guān)的內(nèi)部或外部審計(jì)評估報(bào)告、一定時(shí)間內(nèi)企業(yè)受到監(jiān)督和處罰的記錄、一定時(shí)間內(nèi)企業(yè)合規(guī)相關(guān)的輿情等。對于存在境外經(jīng)營活動(dòng)的企業(yè),還應(yīng)關(guān)注當(dāng)?shù)卣畬ζ髽I(yè)的管理要求,包括對外貿(mào)易、境外投資、對外承包工程、境外日常經(jīng)營四方面的具體法律法規(guī)、國際條約、監(jiān)管規(guī)定、行業(yè)準(zhǔn)則、商業(yè)慣例、道德規(guī)范和企業(yè)依法制定的章程及規(guī)章制度等要求。
2.范圍的確定
范圍的確定直接關(guān)系到審核活動(dòng)的完整性和有效性,是各管理體系認(rèn)證申請及評審的重要環(huán)節(jié)。合規(guī)管理體系的范圍與其他管理體系范圍有所不同,這也是由其特殊性所決定的。合規(guī)管理體系的范圍界定應(yīng)該關(guān)注的內(nèi)容至少包括三方面:營業(yè)范圍所在的國家、地區(qū)或區(qū)域、資質(zhì)許可營業(yè)范圍、營業(yè)范圍相關(guān)的合規(guī)活動(dòng)。之所以要對這三方面進(jìn)行界定,源于以下幾方面的考量。
(1)組織經(jīng)營活動(dòng)的合規(guī),需要基于各國家、地區(qū)或區(qū)域的要求,而在實(shí)際操作中,各國家、地區(qū)或區(qū)域的要求有極大差異,會對審核過程所需投入的資源產(chǎn)生極大影響。
(2)對于跨國或跨地區(qū)經(jīng)營的組織,其所能得到的營業(yè)范圍往往有所差異,如果不能對其進(jìn)行明確界定,可能會造成審核活動(dòng)與實(shí)際情況產(chǎn)生非必要偏差,不能滿足審核有效性要求。
(3)合規(guī)活動(dòng)與生產(chǎn)活動(dòng)有所不同,其需進(jìn)行管理的活動(dòng)包括反賄賂、反舞弊、反腐敗、反洗錢、知識產(chǎn)權(quán)、反壟斷、勞工權(quán)利保障、環(huán)境保護(hù)、數(shù)據(jù)和隱私保護(hù)等,各活動(dòng)管理特征、要求、內(nèi)容、程序均有非常大的區(qū)別,結(jié)合實(shí)際業(yè)務(wù)開展又會產(chǎn)生更多細(xì)小分支,因此在范圍界定中需要明確申請認(rèn)證的合規(guī)活動(dòng)。
3.是否通過其他管理體系及各管理體系相關(guān)性
管理體系未來的發(fā)展趨勢一定是基于質(zhì)量管理體系總體要求下的多個(gè)管理體系融合,合規(guī)管理體系也同樣歸屬此列,但如何與其他管理體系進(jìn)行融合,本文暫不作過多說明。需要進(jìn)行說明的是在認(rèn)證申請及評審過程中,合規(guī)管理體系與其他管理體系存在較大相關(guān)性,而這種相關(guān)性與范圍同樣會影響審核資源的投入。從管理對象入手,與合規(guī)管理體系相關(guān)的管理體系包括:質(zhì)量、環(huán)境、職業(yè)健康、信息安全、知識產(chǎn)權(quán)(由于各國要求不同,此處僅限國內(nèi))、社會責(zé)任、誠信、反賄賂、風(fēng)險(xiǎn)等。各管理體系對合規(guī)管理體系審核活動(dòng)的影響又有所區(qū)分,還要結(jié)合合規(guī)管理范圍界定進(jìn)行明確。在實(shí)際操作中,應(yīng)基于合規(guī)管理體系范圍進(jìn)行考量,如果其他管理體系認(rèn)證范圍能夠覆蓋合規(guī)管理體系認(rèn)證范圍內(nèi)的某一項(xiàng)合規(guī)活動(dòng),則可以適當(dāng)減少該項(xiàng)合規(guī)活動(dòng)相關(guān)的審核人日數(shù)。由此可以引申出的問題就是合規(guī)管理體系審核人日數(shù)的確定方法。
文件評審
文件評審對于合規(guī)管理體系認(rèn)證活動(dòng)而言極為重要。合規(guī)管理體系認(rèn)證活動(dòng)中較多內(nèi)容的審核活動(dòng)都可以通過文件評審?fù)瓿桑缃M織基本的管理情況、相關(guān)的報(bào)告、輿情等。當(dāng)然,也不排除組織出于保密需要,要求必須到現(xiàn)場獲取相關(guān)審核證據(jù)的情況。但是整體而言,合規(guī)管理體系認(rèn)證活動(dòng)中,文件評審與其他管理體系還是有所差異的。其中,最大的差異來自于數(shù)據(jù)收集方面。
前文提到,合規(guī)管理體系所需的數(shù)據(jù)比較多。為了在有限的時(shí)間內(nèi)盡可能獲取到受審核方的信息,以確保審核活動(dòng)有效,審核組應(yīng)采取多種方式實(shí)施數(shù)據(jù)的收集。可用的收集方式包括:問卷調(diào)查、遠(yuǎn)程訪談及痕跡調(diào)查。其中,問卷調(diào)查和遠(yuǎn)程訪談主要與組織直接進(jìn)行,而痕跡調(diào)查可以由審核組運(yùn)用搜索引擎、甚至大數(shù)據(jù)等工具直接調(diào)查組織在合規(guī)管理活動(dòng)方面的各項(xiàng)痕跡,但需要注意的是,痕跡調(diào)查的結(jié)果應(yīng)該在審核過程中與受審核方進(jìn)行溝通,在雙方無異議的前提下,方可形成審核發(fā)現(xiàn)。
現(xiàn)場審核
如上所言,由于合規(guī)管理體系的特殊性,在認(rèn)證審核過程中,現(xiàn)場審核和文件審核的比例與其他管理體系可以有所區(qū)別,但這并不意味著合規(guī)管理體系不需要進(jìn)行現(xiàn)場審核。實(shí)際上,合規(guī)管理體系的現(xiàn)場審核同樣有其不可替代性。本文從以下4個(gè)方面簡單闡述合規(guī)管理體系現(xiàn)場審核中的重要關(guān)注點(diǎn)。
1.審核范圍的驗(yàn)證
之所以在現(xiàn)場審核中要對審核范圍進(jìn)行驗(yàn)證,基于兩方面的考慮,即組織合規(guī)管理專業(yè)性和實(shí)際管理過程的覆蓋程度。
(1)如前文所言,合規(guī)管理涉及的管理活動(dòng)較多,其要求和所需專業(yè)知識雖不至于千差萬別,但也很難完全統(tǒng)一,體現(xiàn)在組織實(shí)際運(yùn)營中,最直接的是主推部門不同。反賄賂的推動(dòng)主要由職業(yè)道德部開展,合同管理由財(cái)務(wù)和法務(wù)主管,內(nèi)部審計(jì)由審計(jì)部負(fù)責(zé),等等不一而足。這種差異會直接影響到最終確定的審核范圍,因此審核組需要進(jìn)行關(guān)注。
(2)由于國家對于合規(guī)管理科學(xué)化、規(guī)范化工作的推動(dòng)力度較大,許多組織,尤其是央國企,在對《中央企業(yè)合規(guī)管理指引》進(jìn)行貫標(biāo)后,都會申請全面合規(guī)管理的范圍,但由于管理資源和管理精力的有限,有些合規(guī)管理工作容易浮于表面,因此需要審核組在現(xiàn)場審核中,通過進(jìn)一步的面談、調(diào)查與溝通,確定最為適宜的認(rèn)證范圍。
2.三道防線在審核中的不同關(guān)注程度
2022年國資委發(fā)布的《中央企業(yè)合規(guī)管理辦法》(公開征求意見稿)與2018年發(fā)布的《中央企業(yè)合規(guī)管理指引》(試行)相比,對于“三道防線”有了更明確的定義,即董事會、監(jiān)事會和經(jīng)理層。下沉到業(yè)務(wù)管理層面,業(yè)務(wù)部門、牽頭部門、監(jiān)督部門是合規(guī)管理的三道防線。在現(xiàn)場審核過程中,對業(yè)務(wù)管理的三道防線審核側(cè)重點(diǎn)也有所不同。牽頭部門應(yīng)保證組織對要求的識別、分析完整、及時(shí);業(yè)務(wù)部門應(yīng)保證業(yè)務(wù)運(yùn)行尤其是新業(yè)務(wù)開展符合要求;監(jiān)督部門是底線,要有足夠的管理力度以確保原則性問題的把控,同時(shí)監(jiān)督部門還應(yīng)做好與相關(guān)方的定期溝通,以滿足監(jiān)管部門和司法機(jī)構(gòu)減免處罰的相關(guān)要求。
3.內(nèi)部控制的有效性
內(nèi)控自查是組織進(jìn)行內(nèi)控的重要形式,包括內(nèi)控會計(jì)自查和審計(jì)部門的自查,合規(guī)管理體系的內(nèi)部控制與內(nèi)控自查有著千絲萬縷的聯(lián)系,因此在審核中也應(yīng)關(guān)注內(nèi)部控制的有效性。內(nèi)部控制的策劃過程可通過文件評審有所了解,但具體到執(zhí)行層面,其有效性就需要審核組在現(xiàn)場進(jìn)行證據(jù)收集。需要注意的是,部分沒有管理體系基礎(chǔ)的受審核方可能會將內(nèi)部審計(jì)和內(nèi)部審核混為一談,審核組應(yīng)加以區(qū)分。
4.合規(guī)舉報(bào)的途徑、有效性及過程中對隱私信息的保護(hù)
合規(guī)舉報(bào)是合規(guī)管理體系的重要部分,標(biāo)準(zhǔn)對于合規(guī)舉報(bào)過程的要求是:在整個(gè)組織內(nèi)可知可用;對舉報(bào)保密;接受匿名舉報(bào);保護(hù)舉報(bào)者免于遭受打擊報(bào)復(fù);便于人員獲得建議。審核組在現(xiàn)場審核過程中,應(yīng)對標(biāo)準(zhǔn)要求進(jìn)行進(jìn)一步分析理解。組織應(yīng)設(shè)立固定的合規(guī)舉報(bào)渠道,包括且不限于信件、郵箱、舉報(bào)箱、電話等,且合規(guī)舉報(bào)渠道設(shè)置要關(guān)注舉報(bào)人的隱私信息保護(hù),對于任何涉及合規(guī)舉報(bào)渠道的信息來源,組織合規(guī)管理部門應(yīng)保有絕對管理權(quán),以保證舉報(bào)人的權(quán)利不受侵害。在實(shí)際審核過程中,還應(yīng)關(guān)注留有姓名的舉報(bào)者在組織內(nèi)的發(fā)展是否受到了舉報(bào)行為的負(fù)面影響;如有,也從側(cè)面說明舉報(bào)渠道存在問題。
【返回 】