体系认证 ▏ISO 37301合规管理体系认证要求及使用指南

　　前言
　　随着我国全面依法治国战略以及近年我国企业因境外经营不符合当地国的合规监管要求被“掐脖子”的事例屡见不鲜，“合规”已成为我国政府工作和企业经营的重要议题。

　　为推动我国企业合规经营，与国际合规要求接轨：
　　中央政府陆续出台合规相关指引，指导企业开展合规管理。例如，2018年11月国务院国资委发布的《中央企业合规管理指引（试行）》，2018年12月国家发改委联合七部委发布的《企业境外经营合规管理指引》；

　　地方政府、中国标准化研究院出台与国际接轨的合规指引、标准。例如，2021年10月，中国标准化研究院发布《合规管理体系 要求及使用指南（征求意见稿）》，计划将国际标准化组织更新的ISO 37301：2021《合规管理体系 要求及使用指南》本地化；2021年11月，深圳市司法局发布了《深圳企业合规管理体系认证标准（征求意见稿）》，此认证标准的编制借鉴了国际经验和结合了深圳实际情况，旨在促进深圳企业加快建立合规管理体系；

　　地方政府采取有力举措推动本地企业依法合规经营。以深圳市为例，深圳市国资委正会同市监委、市司法局开展合规管理体系建设试点、防范廉洁风险工作，同时配合市检察院建立企业合规第三方监督评估机制，打造刑事合规“深圳模式”。

　　在国内外日趋严格的市场监管环境和我国政府推动的背景下，越来越多的企业致力于通过搭建合规管理体系，将合规融入企业经营，以助力企业业务增长，创造竞争优势和行稳致远。为助力企业开展符合国际标准的合规管理体系建设，CTI华测认证将对ISO 37301认证、企业获得ISO 37301认证的好处以及企业如何通过搭建有效的合规体系来获得ISO 37301认证等方面展开介绍。

　　ISO 37301认证简介

　　2021年，ISO组织发布ISO 37301:2021《合规管理体系 要求及使用指南》，为各类组织规范合规治理、强化合规管理和加强合规文化建设提供了更具先进性、权威性、普适性和战略性的工具和方法论，也为各种组织的合规管理提供了通过第三方认证获得全球广泛认可的机会和途径。
　　ISO 37301基于风险管理的思维模式，应用过程方法和PDCA逻辑，围绕合规治理原则为组织建立、制定、实施、评估、维护和改进有效合规管理体系提供了要求及指南。
　　
　　（合规管理体系通用要素的框架图）

　　ISO 37301的制定对于各类组织的合规管理能力建设、政府监管活动、国际贸易交流、沟通合作改善等具有重要的意义。其为企业治理者提高组织自身的合规管理能力提供系统化方法，为监管机构和司法机关采信企业组织的合规管理体系实践提供参考依据，为便利全球范围内相关方之间的贸易、交流和合作提供通用规则。

　　企业获得ISO 37301认证的好处

　　对于企业而言，获得ISO 37301认证有以下好处：
　　提升商业机会和可持续性
　　保护和加强组织的声誉和信誉
　　考虑相关方的期望
　　证明组织有效及高效地管理合规风险的承诺
　　提升第三方对组织持续获得成功的能力的信心
　　降低违法行为的发生及随之而来的成本，和声誉损失
　　获得行政监管激励
　　企业取得ISO 37301认证，对董事会和员工是证明运营风险管理的合格证，对监管部门和投资方是企业的信用证，对顾客和国际供应链是通行证。

　　企业如何搭建合规体系

　　权威的第三方认证机构在对企业进行ISO 37301认证时，并非机械地对企业合规管理模块、流程进行单点打分，而是基于ISO 37301的要求，依照 ISO19011《管理体系审核指南》以及机构的认证管理规则，以一种系统性的过程评审方式进行。
　　

　　一、合规体系搭建的方法论
　　企业合规经营的关键支柱在于合规体系之搭建。要使合规管理形成企业经营的“防火墙”，保护企业免受因合规风险所带来的严重影响或重大损失，企业应当根据其行业特点和经营管理模式搭建针对性的合规体系。而一个行之有效的合规体系搭建，离不开合理的制度和程序、高层参与、风险评估、尽职调查、培训和沟通、监督和审核六大组成部分，这六大组成部分也是ISO 37301合规管理体系基本要素的要求。

　　二、实操示例：数据合规体系的搭建与落地

　　1.搭建数据合规体系
　　企业的数据合规体系搭建步骤大致可分为以下三个阶段：
　　第一阶段，数据核查。从信息安全角度进行数据核查的常规做法是使用软件来“感知”一个系统内的数据种类，并给予这些数据的敏感程度对该系统提出整体的安全方案。
　　第二阶段，进行风险识别和制定合规方案。
　　第三阶段，数据合规规则建立和落地。企业可结合实际情况建立数据合规规则，完善相关的制度和流程。

　　2.单项产品数据合规体系落地
　　在产品酝酿阶段，企业可以邀请隐私保护专家列席产品开发的研讨，专家提供个人信息保护的合规建议，提示合规风险与解决方案，此过程应通过会议记录或邮件的形式留痕。
　　在初步产品设计阶段，产品设计团队针对使用的数据种类建立控制以及架构来处理第一稿的产品设计，第一稿的产品设计需体现上一阶段提出的隐私及个人信息保护风险的解决方案。
　　产品设计团队将完成后的产品设计进行个人信息安全影响评估（Data Protection Impact Assessment, DPIA）。
　　最终产品能够对先前查出的隐私和个人信息保护风险进行处理，以及明确相应的技术手段和控制，通过最终产品展示会议（包含法务、风控、合规、安全等部门）以及论证加以证明。
　　ISO 37301的国际可认证性，在企业合规治理、传递商业信任、向监管机构证明存在合规管理体系、作为企业向司法机关提供关于违规量刑的正面证据、争取合规不起诉等方面提供了重要支持。无论企业要不要取得ISO 37301的认证，ISO 37301的标准提供一个搭建合规体系的方法论和架构，加上有实操经验的专家的指导和协助，企业可以有效搭建出适配企业实际情况并符合国际水准的合规管理体系，赋能企业业务增长，为企业国内外运营保驾护航，保护企业和相关高管，帮助企业基业长青。

　　CTI华测认证合规体系认证流程

　　
　　□ 差距分析（可选）
　　差距分析服务旨在使您的组织了解其当前的哪些做法符合ISO37301的要求，以及哪些方面尚存在差距。我们的差距分析服务与未来正式的评估或认证是彼此独立的，差距分析不会影响评估和认证结果。
　　□ 文件审核和第一阶段审核
　　指定的审核员通过文件审核和第一阶段审核对组织合规管理体系的策划和文件符合性做出核查，判断管理体系策划的合理性和符合性，以及是否具备实施第二阶段审核的条件。第一阶段审核通常在组织的现场开展。
　　□ 第二阶段审核
　　第二阶段审核在组织工作现场开展，目的是判断管理体系是否符合审核准则。
　　□ 年度监督审核
　　ISO37301合规管理体系认证的有效期为3年。

　　作为作为中国最早成立并获得国家批准认可的认证机构之一，CTI华测认证已经累计为超过数万家中外企业、社会团体等机构颁发了管理体系认证证书。

　　CTI华测认证更多认证资质---管理体系类