原标题:国家标准GB/T 35770-2022《合规管理体系 要求及使用指南》正式对外发布实施
2017年,为了引导各类组织建立并有效运行的合规管理体系,在ISO 19600:2014《合规管理体系 指南》的基础上,国家质检总局、国家标准委制定了 GB/T 35770—2017《合规管理体系 指南》。自GB/T 35770-2017《合规管理体系 指南》发布以来,合规管理体系标准在全国得到了广泛应用。
基于最新的合规管理实践,国际标准化组织ISO于 2021 年发布了 ISO 37301:2021《合规管理体系 要求及使用指南》(以下简称“国际标准ISO 37301”),修订并代替 ISO 19600:2014。为满足我国各类组织的合规管理需求,并与国际标准保持一致,国家市场监督管理总局于2021年发布GB/T 35770-xxxx《合规管理体系 要求及使用指南》(征求意见稿)(以下简称《意见稿》),并于2022年10月12日正式对外发布GB/T35770-2022《合规管理体系要求及使用指南》(以下简称GB/T35770-2022),修订并代替了GB/T35770-2017《合规管理体系 指南》,该标准等同于国际标准ISO37301,为各类组织建立合规管理体系提供了标准和依据,同时各类组织可依据该标准申请合规管理体系认证。
GB/T35770-2022明确了合规管理体系的基本要素,规定了企业建立、制定、实施、评价、维护和改进合规管理体系的具体实际的要求,给出了企业建立和维护合规管理体系的通用做法,为指导和规范企业合规管理体系建设提供技术支撑。
同时,国务院国资委近期发布了《中央企业合规管理办法》(以下简称《管理办法》),要求中央企业加快建立健全合规管理体系。在此背景下,GB/T35770-2022也是支撑《管理办法》落地的重要技术手段。
一、从《意见稿》到GB/T35770-2022,合规管理要求的进一步明确
与《意见稿》相比,GB/T35770-2022在合规管理相关术语及定义、合规义务来源、合规培训、合规文化建设、数字化与合规管理、管理体系一体化融合等方面均进行了调整。
《意见稿》第3.2条关于对“能影响决策或活动、受决策或活动所影响或觉得自身受决策或活动影响的个体或组织”定义为“利益相关方”,而GB/T35770-2022将“利益相关方”的表述调整为“相关方”,并明确“相关方”为优先术语,“利益相关方”为许用术语。
根据《意见稿》与GB/T35770-2022附录A.4.2中关于利益相关方/相关方的规定,二者在利益相关方/相关方的范围方面仍保持一致,该项调整与国际标准ISO 37301保持一致,不涉对及利益相关方/相关方内容的实质性调整,二者在实践当中仍被允许同时适用。
《意见稿》第3.24条关于合规风险的定义为:因不符合组织合规义务而发生不合规的可能性及其后果。GB/T35770-2022第3.24条将“不符合组织合规义务”调整为“未遵守组织合规义务”。该调整进一步明确,在组织或个人遵守合规义务的前提下,即使该行为仍属于不符合组织合规义务的行为,因该行为导致的风险亦不构成合规风险。
例如,员工在遵守企业明确告知的合规义务的情况下,做出违反该企业未向该员工告知的,企业自愿遵守的合规义务的行为所导致的风险,不构成合规风险。
GB/T35770-2022对合规风险范围的进一步明确,降低了组织及个人因遵守合规义务而导致的风险被认定为合规风险的可能。
GB/T35770-2022将“对合规管理体系运行负有职责、享有权限的一个人或一组人”的定义从《意见稿》的“合规职能”变更为“合规团队”。虽然“合规职能”更契合国际标准ISO 37301关于“compliance function”的定义,但“合规团队”的表述更容易被我国组织及个人理解。
GB/T35770-2022在第3.28条关于“合规文化”的定义中增加了对“价值观”的注解,明确“价值观”的含义为:组织所崇尚的文化的核心,是组织行为的根本原则。
对合规文化中“价值观”定义的完善,方便组织在合规文化建设的过程中通过将价值观转换成组织及个人更容易理解的基本原则的方式进一步明确自身的价值观。
《意见稿》在附录NA.1.5中明确,在我国体制下,组织强制遵守的合规义务还可能包括党内法规。而GB/T35770-2022在合规义务来源方面完全删除了对“党内法规”的相关表述,该项调整与《管理办法》如出一辙。《管理办法》与原征求意见稿相比,在合规义务来源方面同样删除了“党内法规”相关联的内容。
虽然GB/T35770-2022与《管理办法》均删除了“党内法规”相关内容,但“坚持党的领导”仍应当作为中央企业合规管理工作应当遵循的第一原则,党委(党组)的合规作用仍应当与GB/T35770-2022要求的组织领导作用进行相对有效衔接。
GB/T35770-2022与《管理办法》关于“党内法规”的调整或许均基于党内合规与经营活动合规相区分的原因。根据GB/T35770-2022附录A.4.5相关规定,基于帕累托原则,组织宜首先识别出与业务相关的最重要的合规义务,然后关注所有其他合规义务。现阶段,中央企业合规管理体系建设的核心目的是有效防控业务开展过程中的合规风险,对于党内法规如何融入合规管理体系建设,有待企业在基本完成合规管理体系建设后进一步探索。
关于合规培训的要求,《意见稿》第7.2.3条规定“组织应定期对有关人员进行培训,可以在雇佣开始时和组织预先规划好的时间点实施”,该项规定建议组织在雇佣开始时对新雇佣人员进行合规培训。与《意见稿》相比,GB/T35770-2022将对新聘用人员的培训由建议性规定调整为要求性规定,要求“培训应在聘用开始时和组织策划的时间间隔实施”。
GB/T35770-2022第5.1.2条在《意见稿》关于“对于整个组织所要求的共同行为准则,治理机构、最高管理者和管理者应做出积极的、明示的、一致且持续的承诺”的基础上,增加了治理机构、最高管理者和管理者对作出合规文化承诺的证实义务,该项规定进一步强化了相关主体的合规文化建设责任。
同时,GB/T35770-2022在附录NA.2合规文化部分增加了对合规文化的价值说明,进一步明确合规文化的价值:(1)提供原则性指引,应对合规风险;(2)增强主动合规;(3)提升合规管理有效性,促进实质性合规。
与《意见稿》相比,GB/T35770-2022删除了数字化与信息化、智能化的定位和表现形式说明,不再区分广义数字化与狭义数字化,着重强调数字化对于合规管理的重要性,明确数字技术在合规管理体系中的应用,包括但不限于:(1)合规义务和相关案件数据库;(2)合规风险数据库(包括组织对以往违反相关规定的行为的总结报告);(3)合规培训系统(包括线上课件、自我考试等过程);(4)合同管理和财务系统;(5)信息和数据搜索与分析工具(例如对组织外部合规相关领域立法和执法趋势的跟踪和分析、对组织内部过往违规事件进行行为模式及发生原因的分析);(6)数据分析和示险看板(例如合同履约率的数据分析和示险看板产品)。
GB/T35770-2022在附录NA.4.2中明确了一体化融合的范围,一体化融合的范围可涉及治理原则、组织架构与职责、风险识别方法、制度与过程、运行与保障、评价、监督、持续改善与信息化等。
与《意见稿》相比,GB/T35770-2022删除了流程、职能双向对标相关联的内容,简化了对流程、职能对标的要求,逐步优化管理体系一体化融合的路径。
同时,GB/T35770-2022细化了一体化管理体系文件形成的一般原则,即“不同标准中相同的要求做合并,相近的要求做融合,差异化要求保持独立,并着重关注融合后的体系文件内容是否满足一体化管理体系要求”。
虽然GB/T35770-2022与《管理办法》同为合规管理体系的建设标准,但相较于GB/T35770-2022的一般要求,《管理办法》在适用上更具有针对性。同时,二者在适合使用的范围、合规管理相关术语和定义、合规管理信息化建设等方面均存在一定差异。
关于合规管理的适合使用的范围,GB/T35770-2022第3.1条明确组织的概念包括但不限于:个体经营者、公司、集团公司、商行、企业和事业单位、行政机关、合伙企业、慈善机构或研究机构,或上述组织的部分或组合,无论是不是具有法人资格,公有或私有。
《管理办法》虽然在适用主体范围上限缩为“国资委履行出资义务的中央企业”,但对于适用合规、合规风险及合规管理概念的范围,在原征求意见稿的基础上扩大为“企业”,不再局限于“中央企业”。国务院国资委秘书长、新闻发言人彭华岗在一季度央企经济运作情况新闻发布会上表示,依法合规经营是任何企业都一定要遵循的一个重大原则,国有企业特别是中央企业在这方面必须发挥表率作用。合规管理作为企业三大管理活动之一,不仅是国有企业依法合规经营的要求,合规管理体系同样适用于别的类型的企业。
《管理办法》对合规相关术语定义范围的扩大,既体现对各类型企业依法合规经营的要求,同时也与GB/T35770-2022明确适用于任何类型、规模、性质组织的精神相契合。
《管理办法》在对合规管理相关术语和定义上,仅对合规、合规风险及合规管理的定义进行了说明,但关于合规和合规风险的定义与GB/T35770-2022存在显著差别。
关于合规的定义,《管理办法》第三条通过直接列明企业应当遵守的合规要求做说明,上述合规要求包括法律和法规等强制性规定及公司章程、相关规章制度等企业内部自治性文件。而GB/T35770-2022与ISO37301国际标准对合规的定义相同,均为“履行组织的全部合规义务”,根据GB/T35770-2022第3.35条规定,组织全部的合规义务包括组织强制性的一定要遵守的要求,以及组织自愿选择遵守的要求。
与《管理办法》相比,GB/T35770-2022关于合规的定义范围更广泛,企业除了需要遵守现行有效的国家法律和法规、部门规章、监管规定、政策规定、行业准则、国际条约、国际规则等一定要遵守的外部强制性规范外,还包括企业自愿选择遵守的要求,即合规承诺,包括企业为获得股东、客户、供应商等相关方的信赖,对自身生产经营过程和产品的质量进行的若干承诺。
关于合规风险的定义,《管理办法》第三条规定,合规风险是指“企业以及它员工在经营管理过程中因违反相关规定的行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性”。GB/T35770-2022关于合规风险的定义为“因未遵守组织合规义务而发生不合规的可能性及后果”。
《管理办法》与GB/T35770-2022关于合规风险定义的偏差主要源于对“风险”一词的理解不同。而对于风险的理解,一直存在争议。一种观点认为风险是发生损失事件的概率,另一种观点认为风险是概率和影响的综合,即发生损失事件的可能性和后果。2009年发布的ISO Guide73:2009《风险管理 术语》,将风险定义为“不确定性对目标的影响”,并在注4中明确,“通常用事件后果(包括情形的变化)和事件发生可能性的组合来描述风险”。因此,作为同等采用ISO37301的标准,GB/T35770-2022沿用了国际标准中对“风险”的一般定义,将合规风险描述为因未遵守合规义务而发生不合规的可能性及后果。
笔者认为,合规风险是组织因未遵守合规义务,发生违规事件因此导致负面影响的可能性。首先,应当明确合规风险是一种不确定性。风险的本质就是不确定性,而合规管理的目标是通过一系列的管理活动降低这种不确定性。其次,合规风险带来的后果只有负面性。合规风险意味着损失和威胁,因此,企业通过排序分级等方式对合规风险来管理,并不代表公司能够接受这些合规风险。
GB/T35770-2022与《管理办法》均强调领导层的支持在合规管理体系中的及其重要的作用。GB/T35770-2022强调了治理机构和最高管理者对合规管理体系的领导作用和承诺的证实义务,并要求治理机构、最高管理者和管理者证实对整个组织所要求的共同行为准则应当做出积极的、明示的、一致且持续的承诺。GB/T35770-2022还专门增加了最高管理者应当鼓励创建和支持合规的行为和对损害合规的行为阻止和零容忍态度的要求。
《管理办法》也进一步强化领导作用,明确企业主要负责人作为推进法治建设的第一责任人,要求其切实履行依法合规经营重要组织者、推动者和实践者职责,积极推动合规管理各项工作;规定中央企业应当设立合规委员会,并结合实际设立首席合规官,对企业主要负责人负责,领导合规管理部门组织并且开展相关工作。《管理办法》还建立了领导专题学习制度,明确要求将合规管理纳入党委(党组)法治专题学习,推动企业领导人员强化合规意识,带头依法依规开展经营管理活动。
GB/T35770-2022要求组织依据自己经营活动涉及的相关方要求,识别组织应履行的合规义务,并对应分析出不履行这些合规义务的合规风险。在识别合规风险的基础上,要求组织建立应对合规风险的控制和程序,确保履行合规义务。该项要求并未明确组织应当加强哪些领域的合规建设,原因主要在于GB/T35770-2022的适合使用的范围相较于《管理办法》更广,不仅包含企业,也包括事业单位、行政机关、慈善机构等各类型的组织,每种类型的组织所面临的合规风险类型不同,因此GB/T35770-2022仅给出识别合规义务、应对合规风险的一般要求。
《管理办法》的适合使用的范围为国资委履行出资人职责的中央企业,随着中央企业国际业务参与程度的不断加深,所面临的海外经营管理过程中的合规风险愈加严峻。因此,《管理办法》在原征求意见稿“针对合规风险较高的业务领域制定专项合规管理指南,强化重点领域合规风险防范”要求的基础上更进一步,明确规定企业应加强反垄断合规、反商业贿赂合规、生态环保合规、安全生产合规、劳动用工合规、税务管理合规、数据保护合规、涉外经营合规及其他重点领域合规,并制定合规管理具体制度或者专项指南。
《管理办法》通过专章对信息化建设做出了明确规定,要求中央企业定期梳理业务流程,查找合规风险点,并运用信息化手段将合规要求和防控措施嵌入流程,针对关键节点加强合规审查,强化过程管控,并加强合规管理信息系统与财务、投资、采购等别的信息系统的互联互通,实现数据共用共享。
同样的,GB/T35770-2022在附录NA.3数字化与合规管理中对如何在合规管理体系中应用数字技术指明了方向,并提供了数字技术在合规管理体系中的具体应用场景。
但是,《管理办法》与GB/T35770-2022对于信息化建设的侧重点存在非常明显差异。《管理办法》侧重于从合规风险管控入手,目的是运用信息化手段实现合规风险管控,而GB/T35770-2022则从合规管理体系出发,强调运用数字技术对包括合规风险评估、合规管理体系运行、合规培训、合规绩效评价以及合规管理体系的持续改进等方面在内的整体数据和信息进行收集、分析,并运用于组织的合规管理工作。
GB/T35770-2022作为国家标准,是ISO37301国际认证标准在中国实践的产物,为公司可以提供了搭建合规体系的方法论和架构,在提升企业声誉和信誉、证实企业切实履行合规风险管控承诺、提升第三方对企业的信任、增加商业机会、降低违反相关规定的行为给企业导致的风险及相应的成本和声誉损失等方面为公司可以提供了重要的支持。
《管理办法》旨在推动中央企业加强合规管理,为中央企业的合规管理建设指明了方向,同时也为别的企业合规管理体系的落地提供了有效途径。
有鉴于此,企业可基于自身合规需求,结合GB/T35770-2022与《管理办法》有关要求,搭建符合自身经营管理活动的合规管理体系,并可依据GB/T35770-2022申请第三方管理体系认证,增强企业核心竞争力,促进企业可持续发展。返回搜狐,查看更加多