基于最新的合规管理全球实践,ISO于2021年发布了可用于认证的ISO 37301:2021《合规管理体系 要求及使用指南》标准,对于认证机构和认证从业人员而言,需要考虑认证审核过程中的一系列实操性问题。本文旨在通过对认证申请及评审、文件评审、现场审核三个认证基本环节中的审核要点进行初步探讨,抛砖引玉,以供参考。
基于最新的合规管理全球实践,ISO于2021年发布了ISO 37301:2021《合规管理体系 要求及使用指南》,代替ISO 19600:2014。ISO 37301标准与ISO 19600最大的改动在于,旧版标准提供的是“组织内建立一套有效和及时响应的合规管理体系,并予以制定、实施、评价、维护和改进的指导”,而新版标准提供的是“组织建立、制定、实施、评价、维护和改进有效的合规管理体系的要求”。这也意味着合规管理体系标准从原来的指南性标准升级为可用于认证的规范性标准。就此项改进而言,无疑是合规管理在认证方面的一大进步。随之而来的除了合规管理方面的一些具体问题之外,对于认证机构和认证从业人员而言,需要考虑认证审核过程中的一系列实操性问题。本文探讨认证审核过程中存在的三个基本问题。
一、认证申请及评审
认证申请及评审是所有认证技术活动的第一步,其重要性无需多言。在合规管理体系认证申请及评审过程中,有三个问题值得重点关注。
1.资质的验证
资质的验证是贯穿于任何管理体系认证过程始终的一项工作,而合规管理体系本身即是针对“规”的验证,其认证申请及评审过程中资质的验证就更为重要。对于认证申请方资质的验证,不仅包括法律法规规定的客户的相关资质或认可,还应关注一些特定内容。如:与企业合规相关的内部或外部审计评估报告、一定时间内企业受到监督和处罚的记录、一定时间内企业合规相关的舆情等。对于存在境外经营活动的企业,还应关注当地政府对企业的管理要求,包括对外贸易、境外投资、对外承包工程、境外日常经营四方面的具体法律法规、国际条约、监管规定、行业准则、商业惯例、道德规范和企业依法制定的章程及规章制度等要求[1]。
2.范围的确定
范围的确定直接关系到审核活动的完整性和有效性,是各管理体系认证申请及评审的重要环节。合规管理体系的范围与其他管理体系范围有所不同,这也是由其特殊性所决定的。合规管理体系的范围界定应该关注的内容至少包括三方面:营业范围所在的国家、地区或区域、资质许可营业范围、营业范围相关的合规活动。之所以要对这三方面进行界定,源于以下几方面的考量。
(1)组织经营活动的合规,需要基于各国家、地区或区域的要求,而在实际操作中,各国家、地区或区域的要求有极大差异,会对审核过程所需投入的资源产生极大影响。
(2)对于跨国或跨地区经营的组织,其所能得到的营业范围往往有所差异,如果不能对其进行明确界定,可能会造成审核活动与实际情况产生非必要偏差,不能满足审核有效性要求。
(3)合规活动与生产活动有所不同,其需进行管理的活动包括反贿赂、反舞弊、反腐败、反洗钱、知识产权、反垄断、劳工权利保障、环境保护、数据和隐私保护等,各活动管理特征、要求、内容、程序均有非常大的区别,结合实际业务开展又会产生更多细小分支,因此在范围界定中需要明确申请认证的合规活动。
3.是否通过其他管理体系及各管理体系相关性
管理体系未来的发展趋势一定是基于质量管理体系总体要求下的多个管理体系融合,合规管理体系也同样归属此列,但如何与其他管理体系进行融合,本文暂不作过多说明。需要进行说明的是在认证申请及评审过程中,合规管理体系与其他管理体系存在较大相关性,而这种相关性与范围同样会影响审核资源的投入。从管理对象入手,与合规管理体系相关的管理体系包括:质量、环境、职业健康、信息安全、知识产权(由于各国要求不同,此处仅限国内)、社会责任、诚信、反贿赂、风险等。各管理体系对合规管理体系审核活动的影响又有所区分,还要结合合规管理范围界定进行明确。在实际操作中,应基于合规管理体系范围进行考量,如果其他管理体系认证范围能够覆盖合规管理体系认证范围内的某一项合规活动,则可以适当减少该项合规活动相关的审核人日数。由此可以引申出的问题就是合规管理体系审核人日数的确定方法。
二、文件评审
文件评审对于合规管理体系认证活动而言极为重要。合规管理体系认证活动中较多内容的审核活动都可以通过文件评审完成,如组织基本的管理情况、相关的报告、舆情等。当然,也不排除组织出于保密需要,要求必须到现场获取相关审核证据的情况。但是整体而言,合规管理体系认证活动中,文件评审与其他管理体系还是有所差异的。其中,最大的差异来自于数据收集方面。
前文提到,合规管理体系所需的数据比较多。为了在有限的时间内尽可能获取到受审核方的信息,以确保审核活动有效,审核组应采取多种方式实施数据的收集。可用的收集方式包括:问卷调查、远程访谈及痕迹调查。其中,问卷调查和远程访谈主要与组织直接进行,而痕迹调查可以由审核组运用搜索引擎、甚至大数据等工具直接调查组织在合规管理活动方面的各项痕迹,但需要注意的是,痕迹调查的结果应该在审核过程中与受审核方进行沟通,在双方无异议的前提下,方可形成审核发现。
三、现场审核
如上所言,由于合规管理体系的特殊性,在认证审核过程中,现场审核和文件审核的比例与其他管理体系可以有所区别,但这并不意味着合规管理体系不需要进行现场审核。实际上,合规管理体系的现场审核同样有其不可替代性。本文从以下4个方面简单阐述合规管理体系现场审核中的重要关注点。
1.审核范围的验证
之所以在现场审核中要对审核范围进行验证,基于两方面的考虑,即组织合规管理专业性和实际管理过程的覆盖程度。
(1)如前文所言,合规管理涉及的管理活动较多,其要求和所需专业知识虽不至于千差万别,但也很难完全统一,体现在组织实际运营中,最直接的是主推部门不同。反贿赂的推动主要由职业道德部开展,合同管理由财务和法务主管,内部审计由审计部负责,等等不一而足。这种差异会直接影响到最终确定的审核范围,因此审核组需要进行关注。
(2)由于国家对于合规管理科学化、规范化工作的推动力度较大,许多组织,尤其是央国企,在对《中央企业合规管理指引》进行贯标后,都会申请全面合规管理的范围,但由于管理资源和管理精力的有限,有些合规管理工作容易浮于表面,因此需要审核组在现场审核中,通过进一步的面谈、调查与沟通,确定最为适宜的认证范围。
2.三道防线在审核中的不同关注程度
2022年国资委发布的《中央企业合规管理办法》(公开征求意见稿)与2018年发布的《中央企业合规管理指引》(试行)相比,对于“三道防线”有了更明确的定义,即董事会、监事会和经理层[2]。下沉到业务管理层面,业务部门、牵头部门、监督部门是合规管理的三道防线。在现场审核过程中,对业务管理的三道防线审核侧重点也有所不同。牵头部门应保证组织对要求的识别、分析完整、及时;业务部门应保证业务运行尤其是新业务开展符合要求;监督部门是底线,要有足够的管理力度以确保原则性问题的把控,同时监督部门还应做好与相关方的定期沟通,以满足监管部门和司法机构减免处罚的相关要求。
3.内部控制的有效性
内控自查是组织进行内控的重要形式,包括内控会计自查和审计部门的自查,合规管理体系的内部控制与内控自查有着千丝万缕的联系,因此在审核中也应关注内部控制的有效性。内部控制的策划过程可通过文件评审有所了解,但具体到执行层面,其有效性就需要审核组在现场进行证据收集。需要注意的是,部分没有管理体系基础的受审核方可能会将内部审计和内部审核混为一谈,审核组应加以区分。
4.合规举报的途径、有效性及过程中对隐私信息的保护
合规举报是合规管理体系的重要部分,标准对于合规举报过程的要求是:在整个组织内可知可用;对举报保密;接受匿名举报;保护举报者免于遭受打击报复;便于人员获得建议[3]。审核组在现场审核过程中,应对标准要求进行进一步分析理解。组织应设立固定的合规举报渠道,包括且不限于信件、邮箱、举报箱、电话等,且合规举报渠道设置要关注举报人的隐私信息保护,对于任何涉及合规举报渠道的信息来源,组织合规管理部门应保有绝对管理权,以保证举报人的权利不受侵害。在实际审核过程中,还应关注留有姓名的举报者在组织内的发展是否受到了举报行为的负面影响;如有,也从侧面说明举报渠道存在问题。
小结
本文仅阐述了三个方面的审核要点,在审核过程中还有大量内容需要机构和从业者进行关注,如审核人日数的确定、与其他管理体系(反贿赂、诚信等)的结合审核、内部审计与内部审核的有机结合、大数据等工具对审核的影响等,限于篇幅,就不一一展开了,希望本文的抛砖引玉,能引来专家们的百花齐放,进一步完善合规管理体系认证审核技术。
[参考文献]
[1] 孙友文.海外合规才是重点:《企业境外经营合规管理指引》评述与解读[J].新产经, 2019(4):3.
[2] 鲁瑾.强化合规管理[J].国企管理, 2022(5):1.
[3] Compliance management systems —Requirements with guidance for use:ISO 37301:2021[S/OL].[2021-04-13].https://www.iso.org/standard/75080.html.
来源:质量与认证;作者: 钱鑫 丁一峰
本文仅作分享,作品版权归原作者及机构所有,如有侵权请联系,我们立即更正/删除