《企业合规管理体系评价标准》的评价原则
《企业合规管理体系评价标准》的评价原则
《评价标准》的评价原则 《评价标准》分为 7 大部分,30 个方面,并从文件的符合性、实施过程的符 合性、实施过程的符合性、实施结果的有效性以及持续改进几个维度,设计 了评价指标。然而我们更应当关注合规管理体系评价的原则和方法路径。
第一,符合性与有效性相结合原则 合规管理体系并非一套标准模板,不同企业的合规管理千差万别,这决 定了合规管理体系有效性评价应当针对不同企业有所差异。因此,评价合规 管理体系的首要原则就是看待相关的合规管理体系是否与企业相符合,并能 够有效。符合性是前提、基础,而且是为有效性服务的。从《评价标准》来 看,更多强调了合规管理体系对于规范要求的符合性:是否符合 ISO 37301 的要求,是否符合合规规范性文件的要求。然而这种理解并不完整。 符合性应当包含规定要求的符合和使用要求的符合两个层面。对于相关 合规规范要求的符合,是通识性的符合要求。然而符合了所有的规范要求, 并不一定能够有效控制合规风险,切实地满足企业合规风险控制的合规管理 需求。因此,还需要确定企业本身的合规管理使用需求,而符合使用需求的 前提就是对于企业自身的特性有充分的理解。 符合性实现了两个层面的要求,辅以有效地运行和保障,则能够保障合 规管理体系运行产生预期结果。 第二,全面性原则。 合规管理体系作为企业实现对外部法律法规的系统性遵从的保障体系, 全面性是不可或缺的原则要求。《评价标准》谈到的全面性包含全员、全域、
ISO37301认证
全过程三个不同方面。当然这种有效性评价是较为理想的状态,一家企业所 有人员、所有经营活动在各个环节都可以有效地实现合规。这种理想目标是 否应当作为一种客观评价合规管理体系有效性的标准值得商榷。
在全面性的三个不同方面上,全员是不可或缺的评价标准。企业的任何 一项业务活动,都需要全员参与才能保障合规管理落实到位。因此全员是全 面性的必须解决的问题。而全域和全过程则是可以循序渐进的部分。只要全 员参与合规管理体系,则可以在一些领域及其支撑过程先行实现合规管理。 此后通过深化,扩大领域,增强过程管控。
第三,企业自评和专业评价相结合原则。 《评价标准》将评价主体作为基本原则之一,这似有不妥。所谓原则, 应当能够反映事物本身的内在规律,贯穿始终。然而作为一个评价主体的选 择,并不能够成为合规管理体系评价全方位的遵从逻辑起点。《评价标准》 在引言部分阐述,“实践中,企业合规管理体系有效性评价可由企业自行组 织开展,也可委托行业协会、认证机构等机构开展。”因此,笔者认为该评 价主体的选择可以成为对于企业的一种选择建议,而不应当作为原则出现, 同时企业是否需要通过第三方评价来确定合规管理体系的有效性,也是企业 自主选择的事项,而不应成为必须。 第四,独立客观原则。 评价独立客观,是一种必然原则性要求。独立性是实现客观性的保障基 础,客观性才是评价的核心价值主张。《评价标准》明确“评价机构应和人 员与被评价企业保持相对独立”。这一原则要求与前面“企业自评和专业评 价相结合原则”存在一定冲突。《评价标准》将评价实施过程依据 ISO 37301
的要求进行作为独立客观原则的内容,局限了该团体标准适应性。毕竟,ISO 37301 作为合规管理体系标准之一,并非唯一的标准。未来是否有更被广泛 接受的标准出现难以预知。尤其在特殊领域里,如证监会颁布的《证券公司 合规管理有效性评估指引》则更适合特殊行业的评价。
