企业合规管理体系搭建与贯标认证中的法律实践与思考

一、企业合规管理体系建设及贯标认证的背景

（一）典型企业违规案例

• 中兴通讯合规案件是企业合规发展进程中的里程碑事件。自美国2006年对伊朗实施出口禁令以来，中兴通讯违反美国出口禁令，与伊朗保持进出口交易关系，从而导致中兴通讯被美国制裁。在本案中，中兴通讯共被实施三轮处罚，合计处以22.9亿美元罚款，同时，中兴通讯还须履行相关整改义务，包括对董事会和管理层做出调整、接受并配合美方的随时监管等。

• 2006年西门子爆发了德国历史上最大的企业腐败案，在该案中，西门子因违反美国《反海外贿赂法》，被美国司法部、证交会和德国慕尼黑检察机关合计处以数十亿美元巨额罚款，数百名西门子高级管理者被解雇、聆讯。

• 2022年，滴滴公司因违反《网络安全法》《数据安全法》《个人信息保护法》的行为被国家网信办处以80亿元人民币的巨额罚款。

综上，企业因合规失误可能面临高额罚款、法律诉讼、品牌声誉受损等不利后果。因此，合规管理是在经济高速发展的时代背景下，企业治理规范化、法治化的题中之义。有效的合规管理，不仅能避免相关法律风险，还能帮助企业提升内部管理效率，最终实现可持续发展。

（二）中国合规管理的历史沿革

在依法治国战略的全面推进的背景下，为加快推进国有企业合规管理体系建设，全面落实依法治国战略和深化国有企业法治建设的必然要求，政府不断出台和完善相关合规政策，对企业在运营过程中的合规管理提出了更高的要求，以确保企业依法合规并有效防范各类法律风险。

• 2018年11月，国务院国资委出台了《中央企业合规管理指引（试行）》(以下简称“《指引》”）并组织编制一系列重点领域合规指南，《指引》首次全面且系统地规范了中央企业的合规管理工作，成为我国推进合规管理机制的重要规范性文件。

• 为适应复杂多变的国际经营环境，2018年底，国家发改委等七部委联合发布了《企业境外经营合规管理指引》，该文件在强调境外经营活动全流程、全方位合规的同时，重点针对对外贸易、境外投资、对外承包工程、境外日常经营等四类主要活动，明确了具体的合规要求，旨在指导企业在结合自身实际的基础上提升境外合规管理水平。

• 2021年3月11日，十三届全国人大四次会议表决通过《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》，强化国有企业合规管理的主旨，提出了国企发展的三个宏观目标。

• 2021年，国际标准化组织ISO技术委员会发布了ISO 37301:2021《合规管理体系要求及使用指南》，该文件的出台将原指南类管理体系标准转换为适用于认证要求类的标准，使企业合规管理跨入可认证时代。

• 2021年，国务院国资委正式宣布2022年为中央企业合规管理强化年，并在《关于进一步深化法治央企建设的意见》中明确指出央企应着力健全领导责任体系、依法治理体系、规章制度体系、合规管理体系、工作组织体系，持续提升法治工作引领支撑能力、风控管理能力等要求。

• 2022年9月，国务院国资委发布《中央企业合规管理办法》（以下简称“《办法》”）。《办法》以部门规章的形式规定了合规管理应当遵循坚持党的领导、坚持高效务实、坚持权责清晰、坚持全面覆盖四个基本原则，同时明确重点领域合规建设的重要性。

• 2022年10月，国家市场监督管理总局、国家标准化管理委员会批准发布了GB/T 35770-2022《合规管理体系-要求及使用指南》，在内容上，GB/T 35770-2022等同于ISO 37301:2021，通常所说的双标认证即“GB/T 35770-2022”和“ISO 37301”认证。

  
  

（三）企业进行贯标认证的目的和意义

近年来，在国家政策的指导下，广东省、上海市、重庆市、河南省等地相继出台了企业合规管理办法。以广东省为例，2020年，广东省国资委出台了《广东省省属企业合规管理指引（试行）》；2022年，广东省国资委出台了《省属企业“合规管理强化年”行动方案》（以下简称“《行动方案》”），对全省省属企业提出了明确的合规建设要求，明确了省属企业力争通过三年的努力，全部通过ISO 37301贯标认证的任务。2023年，广东省国资委颁布《广东省省属企业合规管理办法》。

二、合规管理体系构建与认证的关键要素

ISO 37301:2021和GB/T 35770-2022标准为组织建立、实施和维护合规管理体系提供了详细的框架与指导，帮助企业在复杂的法律法规环境中有效识别、管理并控制合规风险。标准的关键要素主要可分为以下七个方面： 

（一）组织环境

企业的组织环境是由多个因素共同作用的复杂系统，包括经济环境、法律环境、社会文化环境、监管环境等，它们构成了企业必须应对和适应的生存基础。

• 第一，企业应当深入了解其运营环境中的内外部事项，分析涉及的相关方，以及相关方在合规层面上的要求和期望。

• 第二，企业应合理确定合规管理体系范围，包括物理边界、组织边界、业务边界和重点合规领域，在确定的范围内贯彻ISO 37301标准，建设合规管理体系。

• 第三，企业应当围绕其主营业务及具体业务流程全面识别合规义务，包括法律法规、行业标准、监管规定以及企业的规章制度等，同时系统性地评价分析合规风险，并制定风险控制措施。

  
  

（二）领导作用

公司高层领导的支持和承诺是确保合规管理体系成功实施的根本保障。

• 首先，治理机构和最高管理者要在合规管理发挥领导作用，表明他们对合规的重视和承诺，包括：1、为合规管理体系建设提供充足的资源，在各个层级建立并推进合规文化；2、确定合规治理原则，包括确保合规团队的独立性、赋予其适当的权限和能力，并且使其能够直接接触治理机构等；3、明确公司的风险偏好，帮助公司清晰分辨风险可接受程度，从而更有针对性地做出决策等。

• 第二，企业应当制定和发布合规方针，将有助于明确公司合规管理的战略方向，帮助管理层做出合规决策，也有助于增强合规意识，在公司内部培养合规文化。

• 第三，企业应明确治理机构、最高管理者、合规职能部门、管理层和员工在合规管理体系中的角色、职责和权限，避免职责不清导致合规管理体系实施不力、管理效能低下等。

  
  

（三）策划

合规管理体系的“策划”不仅为体系的建立提供了框架和方向，还确保各项合规活动能够在明确的目标和规划下有序开展，具体包括以下要求：

• 第一，公司应当针对合规义务、合规风险和机遇的识别评价结果，制定应对措施。

• 第二，企业应当将合规管理与企业、部门与个人的绩效考核结合起来，基于PDCA的原则，要求公司在各部门和层级上建立适宜的合规目标，并策划实现合规目标的实施方案。

• 第三，公司应当有计划地对合规管理体系进行修改与变更。

  
  

（四）支持

“支持”是合规管理的重要保障，对于合规管理体系在各个层面得到认可并保障合规行为的落地实施，具有重要的支撑作用。

• 第一，企业应当确保具备充足的合规管理资源，例如人力资源、财务资源、工作环境等，只有在资源充足的情况下，合规措施才能有效落地；就人力资源而言，招聘能胜任且能遵守合规要求的员工，分析岗位合规风险，确定岗位合规能力要求，针对高风险岗位策划合理的风险管控措施等。

• 第二，企业应当定期提供培训，提升员工合规意识，包括但不限于合规方针的内容、不遵守合规要求的后果、提出合规疑虑的方法或程序，促使员工从“被动合规”走向“主动合规”，从“要我合规”变成“我要合规”。

• 第三，企业应积极开展内部和外部沟通与宣传，有助于提高公司对合规要求的理解与执行，确保所有相关方对合规目标和措施达成共识。

• 第四，业务开展时，企业严格按照内外部制度进行开展产生的一系列记录、文件证据都要进行有效控制，以确保合规工作的可溯源性，同时提高合规流程的效率，确保信息的准确性和及时更新。

  
  

（五）运行

“运行”是指立足于执行层面，确保组织能够有效执行合规措施。通过规范合规管理的具体流程和控制，确保公司在日常运营中持续遵守法律法规，并及时应对潜在的合规风险。

• 第一，企业应明确业务过程中的合规风险点，明确控制方法，建立并实施过程的准则、控制措施，定期评审和测试这些控制措施，并保留记录，确保其持续有效。

• 第二，企业应当搭建违规举报投诉的平台，鼓励员工善意报告疑似和已发生的不合规，公司应做到对报告保密、保护报告者免受打击报复等。

• 第三，企业要建立清晰的调查处理违规事项的机制，公平、公正地评估、调查有关不合规情形，及时对违规投诉举报事项进行处理。这有助于避免合规风险的扩散，确保合规管理体系持续有效地运作等。

  
  

（六）绩效评价

“绩效评价”是合规管理体系中不可或缺的一环，它通过持续监控和评估合规措施的有效性，确保组织能够及时发现问题并进行改进。

• 第一，企业应当监视、测量、分析和评价合规管理体系的绩效和有效性。建立“一级监控”机制，搭建合规指标体系，开展过程绩效评估、建立合规报告机制等。

• 第二，是有计划地定期开展内部审核，确保合规措施在各部门及管理层有效执行、发现潜在问题并推动持续改进的关键机制，并向管理层报告内部审核结果。

• 第三，是定期开展管理评审，确保合规管理体系持续的适宜性、充分性和有效性。

  
  

（七）改进

“持续改进”是确保合规管理体系不断提升和适应变化的关键。合规管理体系的目的并非彻底消除不合规，而是建立机制，使得公司在发现不合规时能够不断的自我改进和完善。

企业需要根据合规管理体系运行中发生不合格或不合规情况做出反应，分析发生原因，并且针对性地采取纠正措施和预防措施，优化现有的合规管理流程。找到不合格或不合规的根本原因加以管控，以避免再次发生，确保合规管理体系的动态持续有效。

以上构成了ISO 37301标准内容的关键要素，为组织建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。

三、律师参与辅导企业合规管理体系贯标认证的实践与经验

本部分主要讲述律师辅导企业贯标的具体工作流程，以及每个阶段辅导机构相应的工作职责。

一是，贯标认证的时间。合规管理体系贯标认证辅导的整个认证周期一般在3-6个月（具体时间视企业的合规基础而定）；二是，具体的工作步骤。具体可分为如下五个阶段：

首先，律师会以调研清单的形式，了解企业的基本现状、合规管理等相关体系建设及运行状态、违法违规情况以及未来的合规诉求等等；其次，律师还会深入企业，与各个部门负责人、关键岗位人员进行面对面的访谈。只有通过深入访谈各部门及岗位的实际业务过程，辅导机构才能根据业务流程帮助各部门梳理需要遵守的合规义务以及合规风险；最后，调研结束后，辅导机构将会根据调研情况形成书面报告或给出合规管理体系搭建方案。

1、搭建合规管理组织架构，明确职责分工

合规管理的有效性在很大程度上依赖于清晰的组织架构和明确的职责分工。律师首先需要帮助企业搭建一个符合ISO 37301标准要求的合规管理组织架构。以某央企为例，律师应该协助公司明确从党委会、董事会、经理层、合规委员会、首席合规官到各业务及职能部门、合规管理部门、纪检审计部门及各部门合规管理员、其他岗位的职责，保证各层级分工清晰，实现上级指导监督、统筹协调，下级主动牵头、落实执行的合规管理组织架构。

针对合规管理组织架构的搭建，将形成或完善以下初步成果：公司权责体系表、各层级合规管理职责清单、部门职责清单、岗位职责清单、重点岗位清单等。

2、制度建设及运行机制搭建

（3）除了前述内容之外，根据标准的要求，律师还应帮助企业制定：合规方针、合规目标、合规义务及合规风险清单等文件。最重要的工作之一，就是《合规义务及合规风险清单》的梳理，该清单需要律师进行大量法律与制度研究，对各部门业务流程需要遵守的内外部要求进行全面梳理与识别，这个过程需要各部门与辅导机构的通力配合，反复多次进行沟通与修改，并且该清单需要持续的维护，以协助企业持续识别合规义务并有效管控合规风险。

（三）内部审核及管理评审阶段

合规管理体系的内部审核与管理评审也是体系运行的过程当中极其重要的环节，内部审核通常采取部门间交叉审核的方式。在完成内部审核之后，企业通常通过开展董事会或者经营班子会的形式进行管理评审。

对于律师而言，首先，需协助拟定内部审核及管理评审的机制或指引；其次，协助制定内部审核方案、明确审核范围、目的、方式、流程、分工、时间安排、审核纪律等内容；第三，协助设计内部审核检查表、不符合项报告、内审报告模板等；第四，辅导企业如何具体开展交叉检查；第五，协助整理管理评审汇报材料，形成书面管理评审报告，确保所有评审内容都符合标准的要求。

（四）正式审核阶段

认证机构正式审核整体流程通常包括一阶段审核和二阶段审核，在这两个阶段期间，认证机构审核员通过文件审核、现场检查等方式，评估合规体系是否已经建立并在公司内部得以实施。如果二阶段审核未发现重大不符合项，认证机构将发表“推荐发证”的审核意见。每个阶段的审核，认证机构根据企业实际情况一般会安排2-4天的时间，一、二阶段审核之间建议留有半个月至一个月的时间，以对一阶段提出的问题进行整改与完善。

对于律师而言，正式审核前，首先需要协助公司整理迎审材料，确保所有资料和文件符合ISO 37301标准的要求。律师会根据审核的内容，整理出迎审材料清单，保证各个部门准备齐全相关文件和证据材料，并视公司需求对公司各部门开展迎审培训；审核过程中：律师可以在审核现场提供法律支持，帮助公司回答审核员提出的问题；同时可以协助记录审核发现，以便后续问题整改。此外，律师还需要在现场协助公司与审核员沟通，确保审核过程中不遗漏关键细节。审核结束后：如果在审核过程中发现不符合项，律师将协助公司制定整改计划。律师不仅帮助公司拟定法律层面的整改措施，还可以协助公司拟定具体的行动计划和时间表，以确保整改措施及时到位，符合ISO 37301的要求。

（五）监督审核阶段

四、企业合规管理体系贯标认证过程中面临的问题及解决思路

合规贯标认证帮助企业建立系统化、规范化的合规管理体系的过程，在实际推进项目的过程中，企业可能会面临一系列的问题与挑战。在此，笔者介绍两个较为典型的问题。

（一）合规管理存在“两张皮”

在企业推行ISO 37301合规管理体系贯标认证过程中，部分企业在实际操作中会面临合规贯标“两张皮”的问题，“两张皮”是指合规管理体系与企业现有管理制度或实践之间存在脱节，导致制度制定与实际执行不一致的情形。

1、“两张皮”问题

（1）企业制度体系“两张皮”

许多企业在贯标过程中，虽然在纸面上制定了合规管理制度，但这些制度往往与企业原有制度缺乏融合，有的是为了应付贯标而设立，这就导致在实际操作过程中，合规管理工作难以落地。

例如：有的企业为了贯标认证，搭建了庞大而复杂的安全生产管理制度体系，但这些制度在实际操作中与公司原有制度发生重复和交叉。有的制度规定了安全检查的标准，而另外一套制度又规定了不同的检查要求，导致员工对哪些具体措施是必须遵守的感到混乱，甚至可能对合规性产生抵触心理。

（2）运营体系“两张皮”

个别企业在合规管理体系的实施过程中，未能有效界定不同治理层级和业务部门的权责边界，尤其是“三道防线”中的职责划分不清。具体来说，第一道防线（各业务或职能部门）的合规职责可能被转移到第二道防线（合规管理部门）、第三道防线（纪检监察和内部审计部门）全面弱化，最终影响合规体系的整体效果。

比如，供应商采购流程：采购部门（第一道防线）遇到合规问题时，直接将所有合规审核责任推给合规部门（第二道防线），并要求合规部门“代为审核”供应商的合规性，依赖合规部门的审核结果进行选择，而不主动担当合规责任。

再比如，有些国有企业纪检审计部门（第三道防线）人员或者力量不足，会过度依赖合规部门（第二道防线）提供的合规审查结果，而非自行开展独立、导致审计审查工作缺位。

2、解决思路

（1）解决制度体系“两张皮”问题

首先，企业应对现有的合规制度进行全面梳理，防止出现为贯彻ISO 37301标准而制定的“应付制度”，明确哪些制度已经覆盖了合规管理的要求，哪些是单纯为了贯标而制定根本无法执行的。接着对合规管理制度进行精简，把有重复或者矛盾的制度进行整合和优化。特别是要确保制度能够与公司的业务流程、组织结构和实际运作契合。通过与业务部门的密切沟通，确保合规制度符合实际操作需求，避免制度流于形式。

二是加大制度执行力度。企业必须加大合规制度的执行力度，确保全都通过岗位职责落实到个人，将制度执行情况纳入绩效考核；同时，指定专门人员或团队负责合规管理的执行，赋予其足够的权限和资源，开展定期的检查、督导和绩效考核，确保合规管理措施落实到位。

三是做到对制度动态更新。合规管理是一项长期、动态的工作，企业应定期对合规管理制度进行回顾和更新。特别是随着外部环境的变化和法规的更新，企业要及时调整合规制度，保持其有效性和时效性，制度管理部门应定期组织全公司各部门梳理制度的有效性，防止因制度滞后而造成合规风险。

（2）解决运营体系“两张皮”问题

企业在权责边界的界定，尤其是“三道防线”的职责划分上，必须进行自查和整改，确保各治理层级和业务部门的合规职责清晰明了。

一是明确“三道防线”职责划分。企业应重新审视并明确三道防线的职责划分：各业务部门是防范合规风险的第一道防线；第二道防线是合规管理部门，也是合规管理体系建设的责任单位，应保持一定独立性，不受业务部门的干扰；第三道防线是纪检监察和内部审计部门，负责对合规管理的效果进行独立评价和审计。各防线之间的职责应当互相独立，划分明确，尽量避免多道防线在同一部门甚至是同一岗位的情形。

二是加强合规责任的落实。确保每一位员工都清楚自己在合规管理中的责任，尤其是业务部门的领导和员工，合规不仅是法务部门的事情，更是全员的责任。企业应通过明确的岗位职责、权责对接和绩效考核，将合规责任落实到每一个环节和人员。

三是强化合规工作的跨部门协作。合规管理不是孤立存在的，而是各部门之间的协作，尤其是业务部门与法务、风控等部门的合作。通过定期的合规沟通会议、跨部门合规培训等方式，确保合规要求能够在各个部门之间密切合作，实现合规管理的全员覆盖和无缝对接。

（二）合规义务与风险的识别存在缺漏

1、存在的问题

（1）企业缺乏核心业务流程以外的合规义务的识别

合规义务及风险清单也是律所辅导企业进行贯标工作中重点开展的工作之一，有些公司长期以来专注于自己的核心业务和传统合规义务，经常忽视了新兴领域的法律要求，导致企业合规义务识别工作不全面，形成管控漏洞。

以房地产开发企业为例，某房地产公司的主要业务之一是商品房销售，该公司营销部门在识别合规义务和风险时，主要目光通常只放在前期市场调研及定价、制定执行销售方案，以及商品房买卖合同管理等销售流程。但与此同时，在与客户接洽的过程当中，企业会大量收集、处理和保存客户的个人信息，由于企业往往忽视个人信息保护法律法规的识别，会存在超范围收集客户信息、泄露客户个人信息等违法行为，严重时可能导致企业面临侵权纠纷、监管机构处罚等后果。因此客户个人信息的保护便是我们需要额外重点关注的义务和风险。

（2）业务部门对跨部门的合规风险理解不到位

实践中，有些业务条线会涉及公司多个或所有部门，但往往相关工作职责仅归口在某一部门中（比如说合同管理涉及全公司各个部门，但“合同管理职责”往往只归口在合同管理部门中），此时其他部门对于风险管理不够。这种做法可能导致业务部门对于风险的识别管控存在漏洞，影响合规管理体系的运行效果。

以合同管理流程为例，某公司的办公室负责统筹管理全公司的合同，但合同管理流程中的“供应商选择、合同的谈判、草拟、签订、履行”等环节往往不是由办公室主导，而是由相应发起部门负责。实践中存在部门认为，既然办公室是统筹管理部门，合同管理的风险就应当全部由办公室负责识别与管控，如此往往导致经办部门在风险管理上缺乏对合同管理风险的识别与监控。

2、解决思路

针对上述提到的问题，可以从以下几个方面入手：

（1）协助企业全面梳理业务范围内的合规义务

首先，律师应当对公司业务范围、业务流程有充分的了解。只有深入到公司业务流程中，才能从中分析出企业需要遵守哪些法律法规，因此律师需要对公司的经营范围、业务制度、部门职责及岗位职责有充分的了解，帮助企业分析每一个环节可能涉及的合规要求。其次，还应当帮助企业关注非传统领域的合规要求，如数据保护、信息安全、环保与可持续发展等，这些往往是许多企业容易忽略的。

（2）协助企业全面厘清跨部门合规风险

首先，需要明确合规职责的跨部门分工，避免责任的模糊和推诿。特别是在涉及多个部门的业务流程中，应当清晰界定每个部门在合规管理中的具体职责，确保每个部门都意识到自己在合规风险管理中的责任。

其次，风险识别时加强跨部门的沟通。在涉及多个部门的合规风险梳理过程中，各部门应当定期交换信息和反馈，定期的跨部门会议和风险评估将有助于提升整体合规管理的效果，防止某些部门在风险管理上推卸责任。

最后，应通过定期培训和提升风险识别能力。实践中，应增强业务部门员工的合规意识和识别风险的能力，帮助他们在日常操作中及时发现并应对潜在的合规问题。这些措施的实施将有助于建立更加全面和有效的合规管理体系，提升组织整体的合规风险管控能力。

结语

ISO 37301作为一项国际标准，不仅为企业提供了系统化的合规管理框架，也为企业的可持续发展保驾护航。在推动中国企业合规管理体系建设的过程中，律师作为合规管理体系建设的参与者与支持者，承担着为企业提供专业指导、化解法律风险的重要职责。律师作为合规咨询与辅导的专业力量，前途广阔，任重道远，今后将继续携手企业，助力企业在合规的道路上不断前行，持续健康发展。