一、ISO 37301:2021 4.4 标准原文
ISO 37301:2021 4.4 合规管理体系
条款原文:根据本文件的要求,组织应建立、实施、维护和持续改进合规管理体系,包括所需的过程以及过程之间的相互作用。合规管理体系应反映组织的价值观、目标、战略和合规风险,并且应结合组织环境。
条款原文:根据本文件的要求,组织应建立、实施、维护和持续改进合规管理体系,包括所需的过程以及过程之间的相互作用。合规管理体系应反映组织的价值观、目标、战略和合规风险,并且应结合组织环境。
提示:完整原文请参阅 ISO 37301:2021 正式文本
引用:4.4强调的不是“有一套合规文件”,而是“有一个真正运转的合规管理体系”。体系的关键不在于文件数量,而在于过程是否联动、责任是否清楚、风险是否被管理。
二、条款解读说明
2.1 合规管理体系是一套相互作用的过程,而不是单点制度集合
很多组织说自己“已经有合规体系”,实际只是有一些制度、审批单和培训课件,彼此之间缺乏联动,无法形成持续运行的闭环。ISO 37301第4.4条明确提出,组织应建立、实施、维护和持续改进合规管理体系,包括所需的过程及其相互作用。这意味着体系至少应包含环境识别、义务识别、风险评估、目标管理、资源支持、运行控制、举报调查、绩效评价和改进等互相衔接的模块,而不是若干孤立活动。
2.2 4.4要求体系与组织战略和价值观保持一致
| 对齐对象 | 标准要求 | 管理含义 | 常见偏差 |
|---|---|---|---|
| 价值观 | 体系应反映组织价值观 | 合规要进入行为准则和决策原则 | 价值观写得很好,激励机制却相反 |
| 目标 | 体系要支持组织目标实现 | 合规不是阻碍业务,而是保障稳健达成目标 | 合规目标与经营目标脱节 |
| 战略 | 体系应结合战略方向 | 出海、并购、数字化时同步升级体系 | 战略变化快,体系多年不动 |
| 合规风险 | 体系设计要回应真实风险 | 控制措施应围绕高风险场景配置 | 制度平均用力,重点风险反而未受控 |
2.3 体系的成熟度体现在“维护”和“持续改进”上
建立一个管理体系并不难,难的是让它持续运转并不断更新。标准在4.4中同时使用了建立、实施、维护和持续改进四个动作,说明合规管理体系应被视为动态系统。制度需要更新,风险评估需要重做,第三方关系需要复核,培训内容需要跟随变化调整,绩效评价和管理评审需要持续运行。若体系只在项目导入阶段活跃,后续靠惯性维持,很快就会失去有效性。
2.4 过程之间的相互作用决定体系是否真正“成体系”
4.4特别强调过程之间的相互作用。比如4.1和4.2的识别结果应进入4.5和4.6,4.6的风险结果应进入6.1和8.2,举报调查结果应进入9.1分析和10章改进,管理评审又要反向推动资源调整和体系更新。只有形成这种闭环,组织才能称得上建立了合规管理体系。如果各条款各管各的,就仍然只是分散管理。
2.5 合规管理体系可以与其他体系融合,但不能被稀释
很多组织同时运行质量、环境、信息安全、反贿赂或内部控制体系。4.4允许合规管理体系与其他管理体系协同,甚至在过程层面融合,但前提是合规的要求、职责和评价机制不能被稀释。融合应帮助组织减少重复、提高效率,而不是把合规变成其他体系中的附属条款。
三、实施要点
3.1 绘制合规管理体系过程图
- 梳理从环境识别、义务识别、风险评估、控制、培训、举报、审核到改进的全过程。
- 明确各过程输入、输出、责任人和接口关系。
- 避免只写制度目录,不画过程关系。
3.2 让体系与战略和经营过程结合
- 在业务规划、合同管理、采购、第三方管理、用工和数据处理等关键过程嵌入合规要求。
- 重大战略变化时同步评估CMS是否需要调整。
- 把合规目标与经营目标协调,而不是彼此冲突。
3.3 建立体系维护机制
- 设置年度评审、制度更新、风险重评和培训更新的固定节奏。
- 通过审核、调查和绩效分析发现体系短板。
- 让维护成为常规管理动作,而不是出现问题后才补救。
3.4 用持续改进推动体系成熟
- 把不合规事件、投诉、举报、监管反馈和审计发现转成改进输入。
- 明确改进责任、期限和验证方式。
- 防止“问题解决了,但体系没有变”。
四、常用工具与实施方法
| 工具/方法 | 适用场景 | 实施重点 | 关键输出 |
|---|---|---|---|
| 过程互动图 | 体系架构设计 | 明确各条款过程之间的输入输出关系 | 体系过程图 |
| RACI职责矩阵 | 责任分配 | 明确各过程谁负责、谁协同、谁审批 | 职责矩阵 |
| 与其他体系对照表 | 体系融合 | 识别共用过程与合规专属要求 | 融合映射表 |
| 年度维护计划 | 体系维护 | 安排评审、审核、更新和培训 | 维护计划 |
| 改进闭环台账 | 持续改进 | 记录问题、措施、责任人和完成状态 | 改进记录 |
注意:4.4阶段最容易出现的误区,是把“有一套文件”误当成“有一个体系”。体系的标志是过程在运行,而不是文档在柜子里。
五、典型案例
案例1:企业把零散制度整合为真正的CMS
- 背景:公司已有采购制度、授权制度和举报制度,但互相独立,无法形成合规闭环。
- 做法:依据4.4重新定义过程接口,将风险评估、培训、调查和改进串联起来。
- 结果:体系从“制度堆积”转变为“过程联动”,问题能够被持续发现和纠正。
案例2:集团战略调整触发体系重构
- 背景:企业从单一国内经营转向多区域海外经营。
- 问题:原有CMS仍围绕本地行政合规设计,无法覆盖新战略风险。
- 改进:依据4.4要求重构体系过程,增加境外义务识别、第三方尽调和跨区域报告机制。
案例3:融合管理体系但保留合规主线
- 背景:企业希望将合规管理与反贿赂、质量管理合并运行。
- 问题:如果简单合并,合规特有的举报调查和义务更新机制可能被弱化。
- 改进:保留合规专属过程,同时共用文件控制、培训和审核资源。
六、成文信息管理要求
4.4虽未强制要求特定名称的“体系手册”,但组织应保留足以证明其合规管理体系已建立并能运行的关键文件化信息。
- 建议保留的成文信息
- 合规管理体系过程图或体系架构说明
- 关键过程职责分配和接口说明
- 与组织战略、价值观和风险对齐的设计依据
- 年度维护计划和改进闭环记录
- 体系运行证据,如审核、培训、评审和调查记录
- 管理要求
- 体系文件应能反映真实过程,而不是理想化描述。
- 体系变更后应同步更新过程关系和职责说明。
- 关键运行记录应能证明体系不是停留在设计阶段。
七、常见误区及踩坑提醒
| 误区 | 常见表现 | 正确做法 |
|---|---|---|
| 有制度就等于有体系 | 制度很多,但彼此不连通 | 以过程和接口为核心建立CMS |
| 体系与战略无关 | 战略变化快,CMS长期不调整 | 让体系反映价值观、目标和战略方向 |
| 建立后无需维护 | 导入项目结束后不再更新 | 建立持续维护和改进机制 |
| 与其他体系融合就够了 | 合规要求被其他体系稀释 | 融合时保留合规关键过程和责任 |
| 只看文件不看运行 | 审核时文档齐全,日常过程却失效 | 以运行证据证明体系有效性 |
警告:如果4.4没有把合规过程真正串起来,后续很多条款即使分别完成,也很难形成有效的合规管理体系。