一、ISO 37301:2021 4.5 标准原文
ISO 37301:2021 4.5 合规义务
条款原文:组织应系统识别其活动、产品和服务所产生的合规义务,并评估其对组织运行所产生的影响。组织应建立过程以识别新增及变更的合规义务,以保证持续合规;评估已识别的变更义务所产生的影响,并对合规义务管理进行必要的调整。组织应保持其合规义务的文件化信息。
条款原文:组织应系统识别其活动、产品和服务所产生的合规义务,并评估其对组织运行所产生的影响。组织应建立过程以识别新增及变更的合规义务,以保证持续合规;评估已识别的变更义务所产生的影响,并对合规义务管理进行必要的调整。组织应保持其合规义务的文件化信息。
提示:完整原文请参阅 ISO 37301:2021 正式文本
引用:4.5的核心不是“知道有哪些法律”,而是“知道哪些要求真正约束本组织、由谁负责、变更后如何调整管理”。
二、条款解读说明
2.1 合规义务是合规管理体系的直接管理对象
4.1和4.2帮助组织理解环境和相关方,4.5则进一步把这些输入转化为可管理的“合规义务”。ISO 37301强调的是系统识别组织活动、产品和服务所产生的义务,并评估这些义务对运行的影响。也就是说,合规义务不能停留在法律部门头脑中,也不能只是一份法规目录,而应成为连接业务活动、责任岗位、控制措施和监测机制的核心台账。
2.2 合规义务既包括强制性要求,也可能包括组织自愿采纳的要求
| 义务来源 | 典型内容 | 管理重点 | 常见遗漏 |
|---|---|---|---|
| 法律法规和监管要求 | 法律、行政法规、许可、监管命令、司法决定 | 识别适用范围和执行责任 | 只看中央法规,不看地方监管和执法口径 |
| 合同和客户要求 | 商业合规条款、保密条款、供应商行为准则 | 判断是否形成必须履行的约束 | 由业务签署,合规未纳入管理 |
| 行业标准和规则 | 协会规则、行业规范、认证要求 | 识别是否与经营准入或市场预期相关 | 认为“不是法律就不重要” |
| 组织自愿承诺 | 政策声明、公开承诺、内部制度 | 一旦采纳就需要执行和监控 | 对外承诺与内部控制脱节 |
2.3 义务识别必须与具体活动、产品和服务相连
标准没有要求组织维护一份抽象的法规清单,而是要求识别其活动、产品和服务所产生的义务。这一点非常关键。只有把义务与采购、销售、雇佣、招投标、数据处理、财税处理、第三方中介使用、跨境经营等具体场景建立关系,组织才能判断哪些岗位要履责、哪些流程要嵌入控制、哪些业务一旦变化就会触发义务更新。
2.4 4.5特别强调新增和变更义务的持续识别
合规义务是动态变化的。法律修订、监管口径变化、合同新增条款、客户准入标准提高、行业规则更新,都会带来新的合规要求。ISO 37301因此要求组织建立识别新增和变更义务的过程,并评估这些变化对组织运行的影响。能否持续更新,决定了组织是“静态合规”还是“持续合规”。
2.5 义务变更后的影响评估是4.5容易被忽视的重点
很多组织会收集法规更新信息,但止步于转发邮件或更新法规库,没有进一步判断业务、流程、系统、培训和第三方管理需要做什么调整。标准明确要求评估变更义务对组织运行的影响,并进行必要调整。这意味着4.5不仅是识别工作,还是一项管理变更工作。
三、实施要点
3.1 建立统一的合规义务台账
- 对每项义务记录来源、适用范围、责任部门、控制措施和更新时间。
- 将义务与具体业务活动、产品和服务关联。
- 避免法律条文和业务执行分离管理。
3.2 建立义务更新渠道
- 通过监管订阅、行业协会、法律顾问、客户合同审查和内部变更流程持续获取新增要求。
- 对境外经营和特殊行业设置专项更新机制。
- 不要把义务更新仅依赖个人经验或零散提醒。
3.3 对变更义务做影响分析
- 评估新义务会影响哪些制度、流程、系统、第三方和岗位。
- 明确需要补充的控制、培训、授权和文件更新动作。
- 对高影响义务变更设置专项实施计划。
3.4 让义务管理与风险和审核联动
- 把义务变化同步导入风险评估和内部审核重点。
- 对未落实的关键义务建立整改跟踪。
- 通过管理评审确认重要义务变化是否已被充分吸收。
四、常用工具与实施方法
| 工具/方法 | 适用场景 | 实施重点 | 关键输出 |
|---|---|---|---|
| 合规义务登记册 | 统一管理 | 记录来源、适用场景、责任人和控制措施 | 义务台账 |
| 法规与合同更新监测 | 持续识别 | 收集新增和变更要求 | 更新记录 |
| 影响评估表 | 义务变更管理 | 分析制度、流程、系统和培训影响 | 影响分析 |
| 责任映射矩阵 | 落实责任 | 明确每项义务由谁执行和监督 | 责任矩阵 |
| 义务-风险对照表 | 联动评估 | 把义务变化与风险和审计重点衔接 | 对照表 |
注意:4.5最常见的假动作,是“法规清单很完整,但没人知道哪些条款与自己业务有关、由谁负责”。
五、典型案例
案例1:客户合规条款未纳入义务管理
- 背景:企业签署了含反舞弊、商业礼品限制和举报义务的客户合同。
- 问题:业务签完即归档,合规和HR并未据此调整制度与培训。
- 改进:将客户条款纳入4.5义务台账,并同步更新方针、培训和审批要求。
案例2:法规更新后制度滞后
- 背景:监管要求发生变化,但企业仅在法规库中更新文本,没有调整流程。
- 问题:义务已识别,管理却未改变,形成“知道但没改”的风险。
- 改进:增加义务变更影响评估和实施跟踪,直到制度和操作同步完成。
案例3:跨区域经营义务识别不完整
- 背景:企业在不同地区设有分支,但义务清单仅由总部统一编制。
- 问题:地方监管和许可要求未被充分纳入。
- 改进:建立“总部统筹+区域补充”的义务识别机制,防止漏项。
六、成文信息管理要求
4.5明确要求组织保持合规义务的文件化信息,因此义务管理台账应被视为核心基础文件。
- 建议保留的成文信息
- 合规义务清单或义务登记册
- 义务来源、适用性判断和责任分配记录
- 新增或变更义务更新台账
- 义务变更影响分析和实施调整记录
- 与业务活动、风险和审核计划的关联文件
- 管理要求
- 义务文件应保持可检索、可更新、可追溯。
- 重大义务变更应保留版本和审批痕迹。
- 义务清单应能支持培训、审计和问责,而不仅供法务查阅。
七、常见误区及踩坑提醒
| 误区 | 常见表现 | 正确做法 |
|---|---|---|
| 合规义务等于法律法规目录 | 只有法规名称,没有业务对应关系 | 将义务与活动、产品和服务具体关联 |
| 合同和承诺不算义务 | 客户要求和公开承诺未纳入管理 | 识别组织自愿采纳后形成的义务 |
| 更新只做信息转发 | 收到法规变化邮件后无人跟进实施 | 对变更义务开展影响评估并调整控制 |
| 义务管理只属于法务 | 业务和职能部门不参与履责 | 明确责任部门、执行人和监督机制 |
| 有台账就算完成 | 台账长期不更新,没人使用 | 把义务台账与风险、培训、审核联动 |
警告:如果组织不能动态识别和管理合规义务,就会陷入一种典型风险:制度仍按旧要求运行,但现实义务已经发生变化。