基于最新的合規(guī)管理全球?qū)嵺`,ISO于2021年發(fā)布了ISO 37301:2021《合規(guī)管理體系 要求及使用指南》,代替ISO 19600:2014.ISO 37301標準與ISO 19600最大的改動在于,舊版標準提供的是“組織內(nèi)建立一套有效和及時響應的合規(guī)管理體系,并予以制定、實施、評價、維護和改進的指導”,而新版標準提供的是“組織建立、制定、實施、評價、維護和改進有效的合規(guī)管理體系的要求”。這也意味著合規(guī)管理體系標準從原來的指南性標準升級為可用于認證的規(guī)范性標準。
認證申請及評審
認證申請及評審是所有認證技術(shù)活動的第一步,其重要性無需多言。在合規(guī)管理體系認證申請及評審過程中,有三個問題值得重點關(guān)注。
1.資質(zhì)的驗證
資質(zhì)的驗證是貫穿于任何管理體系認證過程始終的一項工作,而合規(guī)管理體系本身即是針對“規(guī)”的驗證,其認證申請及評審過程中資質(zhì)的驗證就更為重要。對于認證申請方資質(zhì)的驗證,不僅包括法律法規(guī)規(guī)定的客戶的相關(guān)資質(zhì)或認可,還應關(guān)注一些特定內(nèi)容。如:與企業(yè)合規(guī)相關(guān)的內(nèi)部或外部審計評估報告、一定時間內(nèi)企業(yè)受到監(jiān)督和處罰的記錄、一定時間內(nèi)企業(yè)合規(guī)相關(guān)的輿情等。對于存在境外經(jīng)營活動的企業(yè),還應關(guān)注當?shù)卣畬ζ髽I(yè)的管理要求,包括對外貿(mào)易、境外投資、對外承包工程、境外日常經(jīng)營四方面的具體法律法規(guī)、國際條約、監(jiān)管規(guī)定、行業(yè)準則、商業(yè)慣例、道德規(guī)范和企業(yè)依法制定的章程及規(guī)章制度等要求。
2.范圍的確定
范圍的確定直接關(guān)系到審核活動的完整性和有效性,是各管理體系認證申請及評審的重要環(huán)節(jié)。合規(guī)管理體系的范圍與其他管理體系范圍有所不同,這也是由其特殊性所決定的。合規(guī)管理體系的范圍界定應該關(guān)注的內(nèi)容至少包括三方面:營業(yè)范圍所在的國家、地區(qū)或區(qū)域、資質(zhì)許可營業(yè)范圍、營業(yè)范圍相關(guān)的合規(guī)活動。之所以要對這三方面進行界定,源于以下幾方面的考量。
(1)組織經(jīng)營活動的合規(guī),需要基于各國家、地區(qū)或區(qū)域的要求,而在實際操作中,各國家、地區(qū)或區(qū)域的要求有極大差異,會對審核過程所需投入的資源產(chǎn)生極大影響。
(2)對于跨國或跨地區(qū)經(jīng)營的組織,其所能得到的營業(yè)范圍往往有所差異,如果不能對其進行明確界定,可能會造成審核活動與實際情況產(chǎn)生非必要偏差,不能滿足審核有效性要求。
(3)合規(guī)活動與生產(chǎn)活動有所不同,其需進行管理的活動包括反賄賂、反舞弊、反腐敗、反洗錢、知識產(chǎn)權(quán)、反壟斷、勞工權(quán)利保障、環(huán)境保護、數(shù)據(jù)和隱私保護等,各活動管理特征、要求、內(nèi)容、程序均有非常大的區(qū)別,結(jié)合實際業(yè)務開展又會產(chǎn)生更多細小分支,因此在范圍界定中需要明確申請認證的合規(guī)活動。
3.是否通過其他管理體系及各管理體系相關(guān)性
管理體系未來的發(fā)展趨勢一定是基于質(zhì)量管理體系總體要求下的多個管理體系融合,合規(guī)管理體系也同樣歸屬此列,但如何與其他管理體系進行融合,本文暫不作過多說明。需要進行說明的是在認證申請及評審過程中,合規(guī)管理體系與其他管理體系存在較大相關(guān)性,而這種相關(guān)性與范圍同樣會影響審核資源的投入。從管理對象入手,與合規(guī)管理體系相關(guān)的管理體系包括:質(zhì)量、環(huán)境、職業(yè)健康、信息安全、知識產(chǎn)權(quán)(由于各國要求不同,此處僅限國內(nèi))、社會責任、誠信、反賄賂、風險等。各管理體系對合規(guī)管理體系審核活動的影響又有所區(qū)分,還要結(jié)合合規(guī)管理范圍界定進行明確。在實際操作中,應基于合規(guī)管理體系范圍進行考量,如果其他管理體系認證范圍能夠覆蓋合規(guī)管理體系認證范圍內(nèi)的某一項合規(guī)活動,則可以適當減少該項合規(guī)活動相關(guān)的審核人日數(shù)。由此可以引申出的問題就是合規(guī)管理體系審核人日數(shù)的確定方法。
文件評審
文件評審對于合規(guī)管理體系認證活動而言極為重要。合規(guī)管理體系認證活動中較多內(nèi)容的審核活動都可以通過文件評審完成,如組織基本的管理情況、相關(guān)的報告、輿情等。當然,也不排除組織出于保密需要,要求必須到現(xiàn)場獲取相關(guān)審核證據(jù)的情況。但是整體而言,合規(guī)管理體系認證活動中,文件評審與其他管理體系還是有所差異的。其中,最大的差異來自于數(shù)據(jù)收集方面。
前文提到,合規(guī)管理體系所需的數(shù)據(jù)比較多。為了在有限的時間內(nèi)盡可能獲取到受審核方的信息,以確保審核活動有效,審核組應采取多種方式實施數(shù)據(jù)的收集。可用的收集方式包括:問卷調(diào)查、遠程訪談及痕跡調(diào)查。其中,問卷調(diào)查和遠程訪談主要與組織直接進行,而痕跡調(diào)查可以由審核組運用搜索引擎、甚至大數(shù)據(jù)等工具直接調(diào)查組織在合規(guī)管理活動方面的各項痕跡,但需要注意的是,痕跡調(diào)查的結(jié)果應該在審核過程中與受審核方進行溝通,在雙方無異議的前提下,方可形成審核發(fā)現(xiàn)。
現(xiàn)場審核
由于合規(guī)管理體系的特殊性,在認證審核過程中,現(xiàn)場審核和文件審核的比例與其他管理體系可以有所區(qū)別,但這并不意味著合規(guī)管理體系不需要進行現(xiàn)場審核。實際上,合規(guī)管理體系的現(xiàn)場審核同樣有其不可替代性。本文從以下4個方面簡單闡述合規(guī)管理體系現(xiàn)場審核中的重要關(guān)注點。
1.審核范圍的驗證
之所以在現(xiàn)場審核中要對審核范圍進行驗證,基于兩方面的考慮,即組織合規(guī)管理專業(yè)性和實際管理過程的覆蓋程度。
(1)如前文所言,合規(guī)管理涉及的管理活動較多,其要求和所需專業(yè)知識雖不至于千差萬別,但也很難完全統(tǒng)一,體現(xiàn)在組織實際運營中,最直接的是主推部門不同。反賄賂的推動主要由職業(yè)道德部開展,合同管理由財務和法務主管,內(nèi)部審計由審計部負責,等等不一而足。這種差異會直接影響到最終確定的審核范圍,因此審核組需要進行關(guān)注。
(2)由于國家對于合規(guī)管理科學化、規(guī)范化工作的推動力度較大,許多組織,尤其是央國企,在對《中央企業(yè)合規(guī)管理指引》進行貫標后,都會申請全面合規(guī)管理的范圍,但由于管理資源和管理精力的有限,有些合規(guī)管理工作容易浮于表面,因此需要審核組在現(xiàn)場審核中,通過進一步的面談、調(diào)查與溝通,確定最為適宜的認證范圍。
2.三道防線在審核中的不同關(guān)注程度
2022年國資委發(fā)布的《中央企業(yè)合規(guī)管理辦法》(公開征求意見稿)與2018年發(fā)布的《中央企業(yè)合規(guī)管理指引》(試行)相比,對于“三道防線”有了更明確的定義,即董事會、監(jiān)事會和經(jīng)理層。下沉到業(yè)務管理層面,業(yè)務部門、牽頭部門、監(jiān)督部門是合規(guī)管理的三道防線。在現(xiàn)場審核過程中,對業(yè)務管理的三道防線審核側(cè)重點也有所不同。牽頭部門應保證組織對要求的識別、分析完整、及時;業(yè)務部門應保證業(yè)務運行尤其是新業(yè)務開展符合要求;監(jiān)督部門是底線,要有足夠的管理力度以確保原則性問題的把控,同時監(jiān)督部門還應做好與相關(guān)方的定期溝通,以滿足監(jiān)管部門和司法機構(gòu)減免處罰的相關(guān)要求。
3.內(nèi)部控制的有效性
內(nèi)控自查是組織進行內(nèi)控的重要形式,包括內(nèi)控會計自查和審計部門的自查,合規(guī)管理體系的內(nèi)部控制與內(nèi)控自查有著千絲萬縷的聯(lián)系,因此在審核中也應關(guān)注內(nèi)部控制的有效性。內(nèi)部控制的策劃過程可通過文件評審有所了解,但具體到執(zhí)行層面,其有效性就需要審核組在現(xiàn)場進行證據(jù)收集。需要注意的是,部分沒有管理體系基礎(chǔ)的受審核方可能會將內(nèi)部審計和內(nèi)部審核混為一談,審核組應加以區(qū)分。
4.合規(guī)舉報的途徑、有效性及過程中對隱私信息的保護
合規(guī)舉報是合規(guī)管理體系的重要部分,標準對于合規(guī)舉報過程的要求是:在整個組織內(nèi)可知可用;對舉報保密;接受匿名舉報;保護舉報者免于遭受打擊報復;便于人員獲得建議。審核組在現(xiàn)場審核過程中,應對標準要求進行進一步分析理解。組織應設(shè)立固定的合規(guī)舉報渠道,包括且不限于信件、郵箱、舉報箱、電話等,且合規(guī)舉報渠道設(shè)置要關(guān)注舉報人的隱私信息保護,對于任何涉及合規(guī)舉報渠道的信息來源,組織合規(guī)管理部門應保有絕對管理權(quán),以保證舉報人的權(quán)利不受侵害。在實際審核過程中,還應關(guān)注留有姓名的舉報者在組織內(nèi)的發(fā)展是否受到了舉報行為的負面影響;如有,也從側(cè)面說明舉報渠道存在問題。
中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢,檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu),儀器設(shè)備、耗材、配件、試劑、標準品供應商,法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息,中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心
免責聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!