【转载】从ISO19600到ISO37301，SGS专家为您权威解读

从ISO19600到ISO37301，SGS专家为您权威解读
ISO37301作为合规管理新标准于近⽇正式对外发布，ISO37301为企业规范合规治理、强化合规管理和加强合规⽂化建 设提供了更具先进性、权威性、普适性和战略性的⼯具和⽅法论，也为企业的合规管理提供了通过第三⽅认证获得全球 ⼴泛认可的机会和途径。
在上⼀篇的内容中，我们对ISO37301和ISO19600有了初步的了解，本⽂将为⼤家带来更加详细的标准解读以及对⽐分 析。
1、相同的应⽤范围和合规思路
1.1应⽤范围
两个标准都适⽤于任何规模和类型的组织，为其提供建⽴、运⾏、维护和改进合规管理的标准化框架。
1.2合规思路
均基于合规治理原则：治理机构将合规纳⼊其决策过程和融⼊组织的业务过程，成⽴合规职能部门并做适当授权，使其 具备独⽴性并可直接接触治理机构。
均基于风险管理、过程⽅法和PDCA逻辑：
两个标准均通过合规义务及其合规风险和机遇的识别和评价过程确定合规管理的重点领域、⽬标及系统性的运⾏和监测 要求；
两个标准均遵从过程⽅法，识别组织运营中的各业务过程的合规风险，将合规控制要求融⼊这些业务过程的运营，以各 环节的合规促成系统性合规的结果；
两个标准都基于PDCA理念，将策划——执⾏——检查和改进的思维模式融⼊整个合规管理体系的建设和改进，也融⼊ 合规管理体系之中各⽀持性过程的建设和改进。
2、不同的⽬的、标准结构和应⽤⽅法
2.1⽬的不同
ISO19600为ISO 组织制定的B类标准，其⽬的在于指导组织建⽴、实施、评价和改进合规管理体系，为其提供指导性的 指南。
ISO37301为ISO 组织制定的A类标准，其⽬的在于为组织提供合规管理体系的建⽴标准化要求和实施指南。
2.2 ISO37301标准解析
2.2.1 ISO37301标准结构
ISO37301应⽤了ISO/IEC Directives Annex SL的管理体系标准结构，使得合规管理体系更⽅便与组织已有的基于ISO组 织标准的其他管理体系的整合；

图：合规管理体系通⽤要素
表：ISO37301标准条款结构 2.2.2 第⼀章 范围

2.2.2 第⼀章 范围
明确标准适⽤于所有类型的组织，为其建⽴、制定、实施、评估、维护和改进有效合规管理体系提供要求及指南。
2.2.3 第⼆章 规范性引⽤⽂件
⽆规范性引⽤⽂件。
2.2.4 第三章 术语和定义 界定了31项术语和定义，与ISO19600标准相⽐较，术语和定义部分发⽣了如下变化： 修改“组织”的定义（3.1）：增加了“注2：如果组织是较⼤实体的⼀部分，则术语”组织”仅指较⼤实体在合规管理体系范 围内的部分” 增加“有效性”的定义（3.13）：完成策划的活动并取得策划结果的程度 修改“治理机构”的定义（3.21）：增加了“最⾼管理层向其报告”的描述以及“注1：并⾮所有组织，特别是⼩型组织都有独 ⽴于最⾼管理者的治理机构”和“注2：治理机构可以包括，但不限于董事会、董事会委员会、监事会或受托机构” 修改“雇员”为“⼈员”（3.22）：将存在⼯作关系和合同关系的⼈员纳⼊体系 修改“合规义务”的定义（3.25）：删除“合规承诺”和“合规要求”，将组织需要强制遵守和资源遵守的要求统⼀称为“合规义 务” 增加“第三⽅”定义（3.30）：清晰界定与合规管理体系相关的第三⽅的范围。 2.2.5 第四章 组织环境
标准在第四章中明确组织应深⼊了解其运营环境、合规义务及其带来的风险和机遇，合理确定合规管理体系范围。
与ISO19600标准⽐较，本章节发⽣了以下变化： “4.1理解组织及其环境”条款增加了对商业模式、第三⽅业务的性质和范围以及组织⾃⾝的合规⽂化的认知要求 “4.2 理解相关⽅需求和期望”条款增加了“这些要求中需要通过合规管理体系解决的要求” “4.6 合规风险评价”条款强调了组织应评价外包和第三⽅过程相关的合规风险，以及形成⽂件的信息的要求 2.2.6 第五章 领导作⽤
第五章强调合规管理体系中领导的作⽤，包括治理机构和最⾼管理者的作⽤和承诺、遵守合规治理原则、建设合规⽂ 化、制定合规⽅针以及明确治理机构、最⾼管理者、合规职能部门、管理层和员⼯在合规管理体系中的⾓⾊、职责和权 限。
与ISO19600标准⽐较，本章节发⽣了以下变化： 将“合规治理”原则调整到本章5.1.3条款，并增加两个注解对合规职能部门的独⽴性做出进⼀步解释 增加了“5.1.1 治理机构和最⾼管理层”、“5.1.2 合规⽂化”、“5.1.3 合规治理”和“5.3.4 ⼈员”条款，这些条款进⼀步强调了治 理机构和最⾼管理层的⽀持在合规管理体系中的重要作⽤，以及将合规要求由上⽽下从治理决策过程贯穿到⼈员的具体 ⼯作从⽽建设组织成熟的合规⽂化的要求、⽅法和重要性
2.2.7 第六章 策划

针对合规义务、合规风险和机遇的识别评价过程，组织应针对这些风险和机遇制定应对措施。基于PDCA的⽅法论，第 六章要求组织在各部门和层级上建⽴适宜的合规⽬标并策划实现这些⽬标所需的过程。当管理体系发⽣变更时，组织应 按照既定的流程进⾏变更后的策划。
与ISO19600标准⽐较，本章节发⽣了以下变化：
“6.1 应对风险和机会的措施”条款增加了组织策划合规管理体系需要考虑的要素：合规⽬标、被识别的合规义务和合规风 险评估结果
增加“6.3 变更的策划”条款，强调管理体系的动态性
2.2.8 第七章 ⽀持
标准第七章对合规管理体系的⽀持性要素做出要求，包括配置资源的原则、⼈⼒资源保障、沟通和⽂件化信息。
与ISO19600标准⽐较，本章节发⽣了以下变化：
增加了“7.2.2 雇佣过程”条款，要求组织考虑可能在⼈⼒资源层⾯上产⽣的合规风险，应制定、建⽴、实施和维护适宜的 雇佣过程，通过雇佣条件、尽职调查、培训和奖惩措施的实施规避或降低这些风险
将“合规⽂化”调整到第五章，并在“7.3 意识”条款强调⼯作⼈员应了解⽀持合规⽂化的重要性
2.2.9 第⼋章 运⾏
标准的第⼋章对合规管理体系在各业务过程中的运⾏进⾏过程策划、建⽴过程准则和实施过程控制措施和程序，并定期 评审和测试这些措施和程序，以确保其持续有效。同时，对于提出关注和调查过程做出要求。
与ISO19600标准⽐较，本章节发⽣了以下变化：
增加“8.3 提出关注”条款，要求组织应建⽴、实施并保持程序，程序应做到⿎励提出关注、对提出关注的内容予以保密、 接受匿名报告、保护提出关注的⼈员不被打击报复以及个⼈能够得到建议；组织还要确保所有⼈员都知晓这个程序以及 他们的权利和保护措施，并能够切实使⽤该程序；
增加“8.4 调查过程”，要求组织制定、建⽴、实施并保持⽤于评估、调查和关闭报告的流程，对疑似不合规或实际不合规 情况进⾏调查；该调查过程应确保决策公平公正、避免任何利益冲突；调查结果应可⽤于合规管理体系的改进；治理结 构和最⾼管理者应得到定期的有关调查的数量和结果的报告。
2.2.10 第九章 绩效评价
本章节通过监视、测量、分析和评价、内审和管理评审对合规管理体系做出三级监控机制的要求，通过运⾏过程绩效、 管理体系符合性和管理体系的适宜性、充分性和有效性监控，确保管理体系获得预期成果。
2.2.11 改进
本章节要求组织对发⽣的不合规或不合规采取控制或纠正措施，确保持续改进合规管理体系的适⽤性、充分性和有效 性。
3、SGS可以为企业提供哪些服务？
SGS作为国际公认的检验、鉴定、测试和认证机构，围绕ISO37301标准以及各国家和地区的合规要求，开发了系列合 规服务产品，旨在帮助全球客户提升合规管理⽔平，获得合规管理体系认证，助⼒合规经营。
对于已建⽴合规管理体系的组织来说，如何理解新标准的修订内容，及时将组织的合规管理体系按新标准要求调整，使 合规管理体系符合新标准的要求，进⽽获得专业的认证是组织⾯临的挑战，也是证明组织经营管理合规的机会。

1、合规培训 SGS开发了从标准培训到合规实战的课程： ISO37301标准解读 ISO37301内审员培训 ISO37301主任审核员培训 合规管理体系的建⽴与实施课程 合规管理审计员资质课程 合规官资质系列课程（体系+法务+内控+选PMBOK） 各种任职培训之合规部分 风险评估及控制技术课程 2、标准应⽤实践 SGS积累多年各专业领域的技术合规和管理体系符合性服务经验，持续开展以下合规应⽤服务： 合规管理差距分析 委托合规审计（基于供应链、资⾦链、特许链、……） 各专业领域合规尽职调查（矿业、化⼯、环保、安全、IT、⼈权、防疫、……） 标定的合规治理服务 合规计划Compliance Program 和合规报告综合服务 3、合规管理体系认证