ISO组织对合规管理的工作指南和要求.pdfVIP

ISO组织对合规管理的工作指南和要求

合规是组织生存和发展的基础，反贿赂是合规的一个重要主题。ISO组织分别在2014

和2016年发布ISO19600和ISO37001，为组织合规以及反贿赂提供标准化管理的

指南和要求。各国间的执法存在较大差异，文化传统和风俗也各异，这些都给对外

承包工程企业的境外运营带来巨大挑战。导入国际标准，建立长效的风险管控机制，

系统化管理这些义务和风险，对公司的稳健经营意义重大。《合规管理体系指南》

（ISO19600：2014）和《反贿赂管理体系——要求及使用指南》（ISO37001：2016），

为不同的合规议题提供了建立相应管理体系的指南和要求。

ISO19600标准及其应用

一、标准介绍

ISO19600中合规的定义为：履行组织的全部合规义务。组织通过将合规融入其文

化及其工作人员的行为和态度中，使合规具有可持续性。组织依据ISO19600标准

建立合规管理体系，有效管理和控制合规风险。标准采用《ISODirectives2013》附

件SL的管理体系标准通用结构，强调以风险为基础，应用流程遵循过程方法和策划

——运行——检查——改进（PDCA）方法论（见图1）。

二、ISO19600的应用

1.确定合规管理体系的范围、方针和原则

组织基于自身的规模、结构、业务范围、性质和复杂程度确定合规管理体系的边界

和范围。依据内外部的运营环境确定自身的合规原则和方针。

2.确定合规义务

组织的合规义务来自合规承诺和合规要求。合规要求可能包括法律法规、授权、监

管命令、条例或指南、法院或行政法庭的判决书、条约、惯例和协议。那些与控制

风险高度相关、具有非常强的强制性、一旦违反就会引发风险或者让风险管理失去

控制的合规义务，是组织的重要合规义务。重要合规义务是合规管理体系的核心议

题。组织的价值观、目标、战略、治理原则、资源配置和管理程序，主要围绕重要

合规义务展开。

对外承包工程企业的合规义务可从三个层次考虑：（1）法律法规及合约要求，包括

公司总部所在国和经营所在国家或地区的法律法规及监管规定；（2）规章制度要求，

包括企业价值观、商业行为准则等规章制度；（3）社会规范，包括道德规范、所在

国家和地区的文化传统、职业操守等。

3.风险评价和策划

组织的业务区域或过程中存在与合规义务相关的风险。这些风险应予以识别和评价，

对风险水平（Danger）达到一定阈值的风险重点管控。（见表1）

风险评价通常从三个维度进行：风险发生的可能性（Likelihood）、频率（Frequency）

和后果的严重程度（Consequence）。（见表2）

应针对组织不可容忍的合规风险进行控制策划，建立合规框架，包括合规风险的应

对措施和目标。管理目标应分解为各过程或者层次的绩效指标（KPI）。KPI可能包

括经过有效培训的员工比例、监管部门的联系频率、一定时期内已识别的问题、不

合规或不合规风险、不合规的后果（如罚款、补救成本、声誉影响等）、不合规趋

势等等。领导作用和资源的配置很大程度上决定了合规风险的控制措施力度以及目

标和方针的实现程度。

4.合规风险管理、绩效评估和改进

在既定的合规方针、管理框架、风险应对措施和目标下，管理体系在各业务过程中

展开，按照确定的程序运行，实现各层次的目标。运行过程中，组织应制定监控机

制对体系运行的绩效进行评估，包括合规KPI的监视、审核和管理评审。监控机制

中发现的任何问题或者异常趋势，都应及时采取适宜的措施，实现合规管理改进，

最大程度规避风险。

ISO37001标准及其应用

贿赂是合规管理中最为突出的议题。《反贿赂管理体系——要求及使用指南》

（ISO37001：2016）为组织建立系统的反贿赂管理体系提供要求和应用指南（见图

2）。

一、标准介绍

ISO37001标准亦遵循过程方法和PDCA方法论，强调以风险为基础。与ISO19600

不同，ISO37001标准可用于认证目的，组织通过获取认证证书证明其返贿赂管理体

系符合了标准要求或者合同要求。

二、ISO37001的应用

1.确定合规管理体系的范围、方针和原则组织反贿赂管理体系的范围主要针对组织

活动有关的所有行贿和受贿的行为，包括：

●在公有、私营和非营利部门的贿赂；

●组织实施的贿赂；

●组织员工代表组织或为组织利益实施的贿赂；

●组织