在当今全球化、信息化的商业环境中，各类组织面临着前所未有的法规和合规挑战。遵守法规、规范和伦理标准已经成为组织不可或缺的职责，不仅有助于降低风险，还能增强声誉、提高竞争力，并保障持续经营的可持续性。正是在这一背景下ISO 37301合规管理体系标准应运而生。

ISO 37301标准是为组织提供了一种系统性的方法，以建立、实施和维护合规管理体系，从而有效地管理合规风险、确保员工行为合法合规，并持续改进合规绩效的新标准。文本将依据笔者对ISO 37301标准的理解与认识，探讨如何建立和运行ISO 37301合规管理体系，以帮助组织在合规领域实现可持续发展目标。

一、ISO 37301合规管理体系概述

（一）ISO 37301标准的核心原则和要求

ISO 37301合规管理体系标准的核心原则和要求是以持续改进为导向的方法，帮助组织确保合规性、降低风险并提高业务绩效。其核心原则包括法规遵守、伦理行为、持续改进和透明度。这一标准要求组织明确合规政策和目标，进行风险评估并建立相应的合规程序和流程，以确保员工理解并遵守法规和规范。此外，ISO 37301要求建立内部和外部监督机制，进行定期的内部审计，并与利益相关方积极沟通。通过贯彻这些原则和要求，组织能够有效管理合规风险，提升声誉，增强竞争力，并在不断变化的商业环境中取得可持续成功。

（二）持续改进的重要性

持续改进是ISO 37301合规管理体系中的关键原则，它强调了合规性不仅仅是一次性的目标，而是一项持续的努力。在不断变化的法规环境和商业竞争中，组织必须不断审视和提高其合规管理体系，以适应新的挑战和机会。

持续改进有助于识别并纠正潜在的合规风险，提高工作效率，减少合规成本，并加强对员工、合作伙伴和客户的信任。通过定期的内部审计、监督和不断反馈，组织可以及时发现问题，并采取纠正措施，防止合规失误的重复发生。另外，持续改进还鼓励组织不断提高合规绩效，不仅仅满足最低法规要求，还要追求最佳实践，提高整体经营水平。在合规管理体系中实施持续改进，将使组织更具竞争力，更具可持续性，更能适应不断变化的业务环境，确保长期成功和稳健的增长。

二、建立ISO 37301合规管理体系

（一）初步准备

1.识别组织内外的法规和规范

在建立ISO 37301合规管理体系的初步准备阶段，首要任务是全面识别组织内外的法规和规范。这一步骤的重要性不可忽视，因为它为整个合规管理体系的构建提供了坚实的基础。组织必须仔细梳理涉及其经营领域的所有法律、法规、行业标准以及客户要求等，以确保所有方面都得到了充分的考虑。这种法规和规范的广泛识别可以帮助组织避免不合规行为，降低潜在的法律风险，并确保经营活动与道德、社会和法律要求保持一致。

2.指定合规管理团队和领导者

在初步准备阶段的第二步，需要指定合规管理团队和领导者。这个团队将在整个合规管理体系的建立、执行和维护过程中扮演关键角色。合规管理团队应该由经验丰富的专业人员组成，他们具备深刻的了解法规和合规事务的知识。同时，领导者的角色是确保合规管理团队的有效协作，并将合规文化融入组织的日常运营中。这包括制定合规政策、设定目标，以及监督合规风险的管理和改进。领导者还需要积极参与并赋予合规管理体系以必要的支持和资源，以确保其成功实施。

3.制定合规政策和目标

制定合规政策和目标是初步准备阶段的第三步，也是确保合规管理体系成功运作的关键环节。合规政策是组织的法律和道德底线的体现，应明确规定组织对合规的承诺，包括遵守所有适用的法规和规范、预防不当行为，以及建立合规文化的重要性。合规目标则应明确、可衡量和与组织的战略目标相一致。这些目标可以包括减少合规风险、提高员工培训和意识、改进合规流程等。合规政策和目标的制定需要广泛的参与和反馈，以确保它们反映了组织的价值观和战略方向。

（二）风险评估

1. 识别潜在合规风险

在建立ISO 37301合规管理体系的第二阶段，即风险评估阶段，首要任务是识别潜在的合规风险。这一步骤的目的是全面理解组织所面临的合规挑战，以便有效地应对和管理这些风险。识别潜在合规风险需要广泛的数据收集和分析，包括法律法规、行业标准、内部政策和程序、以及过去的合规问题和事件等信息。组织还应与各级员工、合作伙伴和利益相关者进行沟通，以充分了解各方对合规性的期望和关切。

2. 评估风险的重要性和影响

一旦潜在合规风险被识别出来，接下来的步骤是评估这些风险的重要性和影响。这涉及到对每个风险进行深入分析，以确定其可能性和严重性。可能性反映了风险事件发生的概率，而严重性则表明了风险事件发生后可能对组织造成的影响程度。评估的目标是为每个风险分配一个权重，以便优先考虑和管理最重要的风险。这个过程需要综合利用定性和定量方法，可能需要使用模型、数据分析工具和专业知识。

3. 制定风险管理策略

最后，根据对潜在合规风险的评估，组织需要制定风险管理策略。这些策略应明确规定如何应对每个风险，包括风险的预防、缓解、转移或接受等措施。制定风险管理策略时，组织还需要考虑资源的分配、时间表的制定以及责任人的明确指定。此外，策略应该与组织的合规政策和目标相一致，确保风险管理与合规管理体系的整体目标协调一致。

（三）文件化合规程序

1. 建立合规流程和程序

这一步骤的核心任务是确立和规范组织内部的合规流程和程序，以确保在执行业务活动时遵守相关法规和政策。这些程序旨在指导员工和利益相关者如何执行合规任务和遵循合规政策，以维护组织的声誉和避免潜在的法律风险。

组织需要明确定义合规流程，这包括详细列出合规的具体步骤、明确责任人，并制定流程工作流程。这一步确保了合规任务的透明性和一致性，使员工能够清晰了解他们在合规方面的职责，降低了不合规行为的风险。同时，这也有助于建立有效的监控和反馈机制，以及持续的合规培训，以确保合规标准得到持续遵守和改进，从而为组织的可持续发展和成功打下坚实基础。

2. 制定合规文件和记录的要求

制定合规文件和记录的要求是确保合规管理体系的透明性和可追溯性的关键步骤。合规文件包括合规政策、程序手册、工作指导书等，它们必须明确规定了合规任务的执行方式和标准。这有助于员工和利益相关者清晰了解组织的合规期望，确保一致性执行合规任务，减少不合规行为的风险。合规记录则包括合规检查表、报告、审计记录等，它们用于记录合规活动的执行和结果，为监督和证明合规性提供了必要的依据。

这些文件和记录的要求应当满足ISO 37301的标准，以确保其符合国际最佳实践。ISO 37301是国际标准组织制定的合规管理体系标准，它提供了一个全面的框架，以帮助组织规范合规流程，降低合规风险，并提高合规管理的效率。符合ISO 37301的要求不仅有助于内部合规，还能够为外部审计和证明合规性的需要提供可靠的依据，增强了组织的信誉和竞争力。因此，合规文件和记录的制定和维护是确保合规管理体系稳健运作的不可或缺的一部分。

3. 设立合规培训计划

为了确保组织内的员工具备必要的合规知识和技能，设立合规培训计划是不可或缺的一步。这个计划应当根据组织的合规需求和风险情况来制定，包括合规培训的内容、培训方法、培训频率等。培训计划的目标是提高员工对合规政策和程序的理解，培养他们的合规意识，从而降低不合规行为的风险。

培训还应考虑不同岗位和职责的员工，确保他们都能够有效履行合规职责。这包括制定定制化的培训内容，以满足不同岗位的需求，例如，对于金融部门的员工，强调反洗钱和反贿赂政策的培训可能更为重要，而对于销售团队，则可能需要特别关注竞争法规。此外，培训计划还应考虑培训方法的多样性，包括在线培训、面对面培训和模拟演练，以确保员工以最适合他们学习风格的方式获取合规知识。定期的培训评估和更新也应纳入计划，以反映不断变化的合规法规和组织的特定需求。

三、实施和运行合规管理体系

（一）指导和培训

在实施和运行ISO 37301合规管理体系的阶段中，指导和培训是确保体系有效运作的关键要素。这一阶段着重于员工的合规意识和知识的培养，以确保他们能够理解、遵守并贯彻合规政策和程序。

1.提供员工合规培训

为了确保员工了解组织的合规政策、程序和要求，提供合适的合规培训至关重要。合规培训应涵盖多个方面，包括合规法规、道德准则、风险识别和报告、合规文档的使用等。培训计划应根据员工的角色和职责量身定制，以确保他们能够有效地履行合规职责。例如，针对财务部门的员工，强调财务合规法规和内部控制的培训可能更为关键，而对于销售人员，则需强调反垄断法规和礼品接受政策。培训内容还可以包括案例研究，通过真实案例展示不合规行为的后果，模拟演练，让员工在模拟情境中应对合规挑战，以及互动讨论，鼓励员工分享经验和观点，从而增强员工的合规理解和应对能力。

2. 定期更新合规知识

合规环境的不断变化和法规标准的更新要求组织建立机制，以确保员工能够及时了解新的合规要求和最佳实践。这是维护组织法律合规性和声誉的关键一环。

为此，组织可以定期更新员工的合规知识，通过举办定期的培训课程、发布合规通知、进行内部沟通和持续教育等方式，确保员工的合规知识与时俱进。另外，组织还可以建立内部合规资源库，将有关合规的最新信息、文档和指南集中存储，以便员工随时访问。这种资源库可以包括法规文本、案例研究、常见问题解答和示例文件，为员工提供参考和指导，帮助他们更好地理解和遵守合规要求。

通过这些机制和资源，组织能够确保员工始终保持对合规要求的敏感性，并能够快速适应合规环境的变化，从而降低不合规风险，维护组织的可持续性和信誉。

（二）监督和改进

实施和运行ISO 37301合规管理体系的关键组成部分是监督和改进合规体系，以确保其持续有效并不断提高。这一阶段需要建立严密的控制和监督机制，以及确保组织不仅满足法律法规的要求，还能够适应变化的合规环境。

1. 建立监督合规执行的机制

为了监督合规执行，组织需要建立一套有效的机制和流程，以确保合规政策和程序得到全面贯彻。首先，这包括明确的合规责任分配，确保每个部门和职能领域都了解其合规职责，并有能力履行。一方面，合规监督机制应包括合规检查和报告程序，以定期审查组织的合规性，并记录发现的问题和建议改进的措施。定期的合规审核是必不可少的，它有助于持续提高合规标准，识别潜在的合规风险，并确保采取纠正措施以防范不合规行为。另一方面，建立举报渠道和机制，鼓励员工和利益相关者主动报告合规问题，是强化内部合规监督的关键。这可以帮助组织更早地发现和解决问题，防止不合规行为的扩大和恶化。

2. 定期进行内部审计

定期进行内部审计是确保合规体系有效运作的关键环节。内部审计应根据合规管理体系的要求和计划进行，旨在评估合规政策和程序的合规性和有效性。审计团队应独立于受审计部门，以确保审计过程的客观性和公正性。审计团队的成员应具备合规领域的专业知识和经验，以能够全面评估合规性。审计过程应包括审查文件、访谈员工、收集证据等方法，以全面了解合规政策的执行情况。

审计结果应详细记录，并提供改进建议。这些改进建议可以用于修订合规政策和程序，以适应合规环境的变化和不断提高合规体系的效能。审计报告应传达给高级管理层和有关利益相关者，以确保透明度和合规进展的共识，从而进一步增强组织在合规方面的信誉和可持续性。

3. 确保持续改进合规体系

ISO 37301要求组织不仅要建立合规管理体系，还要不断改进它，这意味着需要在组织内建立一个持续改进的文化。这一文化的核心是定期评估合规体系的绩效，并以反馈和建议为基础进行根本原因分析，随后采取纠正和预防措施，以改进合规性。

改进的过程应覆盖合规政策、程序、培训计划和监督机制等各个方面，确保合规体系的不断提高。组织还应保持灵活性，以适应不断变化的合规环境和业务需求，这可能需要根据新的法规和标准进行更新和调整，以确保合规性一直保持在最高水平。通过建立这样的持续改进文化，组织可以更好地应对合规挑战，提高效率，降低风险，并不断提升在合规方面的表现，从而增强声誉和可持续性。这也有助于确保组织始终处于合规性的前沿，不断提高合规管理体系的成熟度。

（三）沟通和报告

通过沟通和报告确保合规信息能够有效地传递给内部和外部利益相关者，以增强透明度、信任和合规文化。

1. 建立内部和外部沟通渠道

内部和外部沟通是确保合规信息流通的关键环节。内部沟通渠道应确保合规政策、程序和最新信息能够传达给组织内的所有员工。这包括组织内的培训、会议、内部通告、电子邮件通知等方式，以便员工了解合规要求和相关事项。此外，组织还可以建立举报渠道，鼓励员工主动报告合规问题。

外部沟通渠道则涵盖与外部利益相关者的合规信息交流，包括客户、供应商、监管机构和其他合作伙伴。这可以通过合规报告、合规网站、合规邮件通知、合规声明等方式来实现。外部沟通有助于展示组织的合规承诺，并增强合作伙伴和客户的信任。

2. 撰写合规报告

合规报告是组织向内部和外部利益相关者传达合规性信息的重要工具。这些报告应包括合规体系的绩效、合规活动的进展、合规风险的管理情况等内容。合规报告通常定期发布，可以是每季度、每半年或每年一次，具体频率应根据组织的需求和利益相关者的期望来确定。

合规报告的编制需要透明、准确和可验证的数据。报告可以包括合规指标、合规事件的概述、内部审计结果、合规培训计划的实施情况等。报告的目标是提供有关合规性的完整和可信的信息，以便利益相关者了解组织的合规努力和成果，同时也有助于发现和改进合规体系中的不足之处。

ISO 37301合规管理体系标准的引入和实施为组织在法规遵守、风险管理以及持续改进方面提供了坚实的框架。通过本文的讨论，我们强调了持续改进的重要性，这是ISO 37301的核心原则之一，也是确保合规管理体系成功运行的关键因素。

持续改进不仅有助于组织及时识别和纠正合规风险，还可以提高效率、降低成本、增强声誉、增信客户和合作伙伴。同时，它也推动了组织不断提高合规绩效，走在法规的前沿，确保长期的商业成功。

要实现持续改进，组织需要积极的合规文化，不断培训员工，建立有效的监督机制，与利益相关方保持开放的沟通，进行定期的内部审计，并利用反馈和数据来指导改进措施。持续改进的文化应贯穿组织的每个层面，从领导层到基层员工。

总之，ISO 37301合规管理体系是组织实现合规性、降低风险和提高竞争力的有力工具。通过持续改进的实践，组织将更好地适应不断变化的商业环境，确保可持续的成功，同时为社会和利益相关方树立了合规和伦理的典范。因此，持续改进不仅是要达到合规目标的手段，更是通向长期繁荣的道路。

张东明

北京德恒（太原）律师事务所律师

德恒太原民商事业务委员会委员

擅长领域：企业合规、民商事诉讼、刑事诉讼。