2021 年国际标准化组织(ISO)正式对外发布了《合规管理体系要求和使用指南》(ISO 37301:2021)。2022 年 10 月 12 日,等同采用国际标准的国标《合规管理体系要求及使用指南》(GB/T 35770—2022)正式对外发布。合规管理体系有了能用来认证活动的标准,各类组织声明符合合规管理体系要求也有了依据。一些认证机构已经据此开展了合规管理体系认证活动,向客户颁发了合规管理体系认证证书。但是,关于合规管理体系认证范围如何界定和划分,目前在认证机构实践活动中存在着不同的理解和做法,本文通过一系列分析、研究,给出笔者关于认证范围划分原则的思考和建议。
ISO 37301 于 2021 年 4 月 发 布,GB/T35770 于 2022 年 10 月发布,属于非常新的认证领域。截至 2022 年底,共有约 160 个组织获得 ISO 37301 国际标准认证证书。经初步查询、分类,目前已颁发的合规管理体系认证证书的认证范围的描述大致可分为以下 3 种类型:
第一种类型为“组织的经营事物的规模 + 合规管理 + 适用性声明”,如认证范围为:XX 集团云服务的合规管理,与 XX 年 XX 月 XX 日的适用性声明相一致;
第二种类型为:“组织的经营事物的规模 + 专项合规领域”,如 XX 集团云服务相关的数据保护合规管理;
第三种类型为“组织的经营事物的规模 + 合规管理”,如 XX 集团云服务相关的合规管理。
关于第一种类型,适用性声明是信息安全管理术语,根据 ISO/IEC 27001:2022 信息安全管理体系要求的相关联的内容,组织应制定一个适用性声明,包括必要的控制、控制的正当理由、排除附录 A 控制的合理性说明等内容,因此信息安全管理体系认证证书范围都会标注出适用性声明的版本。在合规管理体系认证实践的初期探索阶段,在认证证书范围引入适用性声明的做法,有利于引导组织自我识别合规义务和合规风险,更有助于降低认证机构的认证风险,但是合规管理体系与信息安全管理体系从标准内容设定到实际运行都存在着比较大的区别,因此适用性声明这种表述不太适合合规管理体系认证范围。
关于第二种类型,采用这种认证范围类型的机构,主要基于这样一种理论,即合规管理体系分为专项合规(又称小合规)和全面合规(又称大合规)。认证机构很难对于组织的全面合规做出认证证明,这也有着很大的认证风险。因此,在认证证书的认证范围上要界定到具体专项合规领域。
关于第三种类型,目前大多数的认证机构采用的是这种类型的认证范围,直接根据标准的内容做描述。
笔者赞同第三种认证范围类型,下文将重点分析阐述为什么合规管理体系认证范围不建议按第二种类型方式再对合规管理进行专项合规领域的分类,而应根据组织的经营事物的规模给出认证结论。
在国际和国内的合规管理体系有关标准中,没有关于“全面合规”“专项合规”的术语和定义,这种观点和描述目前多在法律界、法律工作者或者法学家的文章里出现。但是,彼此之间对于“全面合规”“专项合规”的概念和理解也不一样。下文将选取几种很典型的说法。
根据中国企业家协会编制的《企业合规事务管理(高级)》教材内容,综合合规(又称大合规)与专项合规是按企业合规的法律维度进行分类。“依合规所应对的法律风险集内含的风险点数量,企业合规计划的类型可大致分为综合合规,俗称大合规,和专项合规。前者是笼统地针对所有违法犯罪风险建立合规体系,后者则是针对特定违法犯罪风险点而细化的合规体系”。“企业合规的业务分类维度,一般存在于管理学讨论视角下,更始于非专业从业人员间沟通和落实合规管理措施。这种分类方法因为更贴合非法律从业人员对公司经营行为的理解习惯,因此也常常会出现在企业实践场景中”。
专项合规是针对企业经营活动特定领域的合规风险建设并实行的合规管理体系,如反商业贿赂、反垄断和反不正当竞争、数据保护、安全环保等。而全面合规则是针对企业经营活动主要领域合规风险建设并实行的多个专项合规管理体系。“全面合规一般是由两个以上的、必要的专项合规组成的复合型合规管理体系,但并不要求囊括所有的专项合规。如果说专项合规是企业合规管理中的‘某一项’,那么全面合规就是企业合规管理中‘必要的多项’。”
目前,我国最高检的涉案企业合规建设明确要求涉案企业针对与涉嫌犯罪有密切联系的合规风险,制定专项合规整改计划。北京大学法学院教授陈瑞华认为,在日常性合规管理体系建设中,由于企业并未发生迫在眉睫的现实合规风险,企业通常按照“全面合规体系说”的理念,建立“大而全”的合规管理体系。而“涉案企业”在面临行政执法调查、刑事追诉乃至国际组织制裁的情况下,就要建立专门性的合规管理体系,有效地防止再次发生相同或者类似违法违规行为。
综上,作者觉得,首先,关于“全面合规”目前尚没有一个明确统一的概念;其次,关于“全面合规”“专项合规”的概念和说法,更适用于法学维度,而非合规管理体系认证活动中的专业术语和概念。
ISO/TC 309 机构治理委员会目前负责的ISO 37000 标准族里一共有 4 项现行有效的标准:ISO 37000:2021《组织治理指南》、ISO37001:2016《反贿赂管理体系要求及使用指南》、ISO 37002:2021《举报管理体系指南》、ISO 37301:2021《合规管理体系要求及使用指南》。
从 ISO/TC 309 制定的标准能够准确的看出,ISO37001《反贿赂管理体系要求及使用指南》并未因 ISO 37301《合规管理体系要求及使用指南》的发布而废止,两个标准并行有效,也就是说 ISO 37301 并没有覆盖 ISO 37001 的要求。而且,如果合规管理体系认证范围要按专项合规内容分类,反贿赂无疑被视为最重要的专项合规领域之一,那么就会出现依据 ISO 37301 而不是 ISO 37001 给出组织的反贿赂管理体系符合规定标准的矛盾情况。
ISO 19600《合规管理体系指南》引言部分指出“合规意味着组织遵守了适用的法律和法规及监管规定,也遵守了有关标准、合同、有效治理原则或道德准则”。它将“合规”直接等同于组织“遵守了法”“遵守了规”。而修改后的 ISO 37301 引言相应部分的表述为“一个全面有效的合规管理体系,能证实组织承诺并致力于遵守相关法律、监督管理要求、行业准则和组织标准,以及良好治理标准、普遍接受的最佳实践、道德规范和社区期望”。
通过对比,我们大家可以看出,作为可认证的标准,ISO 37301 的用语更加准确、严谨并且可操作,它将“遵守了”更改为“承诺并致力于遵守”,前者是对于组织“合规事实”的一个实质性结论判断,而后者是对于组织“合规表示”和“合规投入”的证实。显然,合规管理体系认证不是对于组织“遵守了”法律、监督管理要求等合规事实的结论性证明,而是审核组织是否在分析理解组织环境的基础上,切实发挥领导作用承诺合规,并采取实际行动致力于全面有效的策划、支持、运行合规管理体系,以及通过绩效评价一直在改进合规管理体系。
合规是一个组织应该追求的目标和状态,是一个持续的过程。合规管理体系是一个框架,合规管理体系认证证实的是“组织承诺并致力于遵守相关法律、监督管理要求、行业准则和组织标准,以及良好治理标准、普遍接受的最佳实践、道德规范和社区期望”。合规管理体系无法完全避免错误的发生,但有相应的过程确保对错误做出适当的反应。
一个组织能够准确的通过需要,为更好地保证合规管理体系的有效性与针对性,结合真实的情况在重点领域建立专项合规计划、指南等。这些专项合规计划、指南等是组织合规管理体系的一部分,而不是合规管理体系认证范围的分类。
一是与合规管理体系适宜性原则相冲突。GB/T 35770/ISO 37301 精确指出“本文件中的要求与指南旨在具有适应性,根据组织合规管理体系规模和成熟度的不同,以及组织活动和目标所处的环境、性质及其复杂程度的不同,其实施方式不一样”。标准强调组织建立合规管理体系的适宜性,因而不应该通过认证范围划分到专项合规领域这种方式,增加组织应用标准的义务和要求,限定每个组织都要建立专项合规体系。这种方式也许对于大型组织来说是比较可行的,但是对于小型组织来说,可能就与需求和实际不匹配。
二是缺乏权威、一致且可行的专项领域的划分标准。首先,目前除了《中央企业合规管理办法》(第十八条“中央企业应当针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域,以及合规风险较高的业务,制定合规管理具体制度或者专项指南”),尚未找到比较权威和公认一致的专项合规的分类方法。其次,《中央企业合规管理办法》对于央企的要求也不一定适合更广大的中小企业。最后,因为组织的性质、经营的内容、运营的特点等各不相同,很难准确列举穷尽所有组织适用的合规专项领域,即使《中央企业合规管理办法》也是用列举加其他的方式对制定合规管理具体制度和专项指南提出要求。如果合规管理体系认证的范围只限定到列出的专项合规领域,显然与标准全方面覆盖的原则不相符合。
其他问题还包括:首先,专项合规领域认证轻易造成认证机构和企业存在投机取巧、取易弃难的倾向,认证机构只选择一个最简单的、低风险的专项合规领域去开展合规认证活动,走捷径赚取认证费。企业选择一个最容易的领域去申请认证,获得合规证书,用最低的成本达到宣传的效果,对相关方造成误导。其次,采取专项合规领域认证范围的做法轻易造成一个组织需要持续不断地一个一个专项合规领域去申请认证、接受认证,大幅度提升了组织的时间成本和经济成本,给组织造成不必要的负担。
综上,合规管理体系认证不等于对组织全面合规的认证,合规管理体系认证证明的是组织的合规管理体系框架满足规定的要求,证明的是组织“承诺并致力于”合规。认证机构应依据GB/T 35770 或 ISO 37301 对组织并且开展认证审核活动,并对满足规定的要求的组织在认证范围内发放证明其合规管理体系符合 GB/T 35770/ISO 37301 规定要求的认证证书。