一、ISO 37301:2021 5.2 标准原文
ISO 37301:2021 5.2 合规方针
条款原文:治理机构和最高管理者应确立合规方针。该方针应适合于组织宗旨;为设定合规目标提供框架;包括满足适用需求的承诺;包括持续改进合规管理体系的承诺。合规方针还应与组织的价值观、目标和战略保持一致;要求遵守组织的合规义务;支持合规治理原则;引用并阐述合规职能;概述不遵守合规义务、方针、过程和程序的后果;鼓励提出疑虑并禁止任何形式的报复;用通俗易懂的语言书写;被适当地实施和执行;作为文件化信息可获取;在组织内传达;适宜时便于利益相关方获取。
条款原文:治理机构和最高管理者应确立合规方针。该方针应适合于组织宗旨;为设定合规目标提供框架;包括满足适用需求的承诺;包括持续改进合规管理体系的承诺。合规方针还应与组织的价值观、目标和战略保持一致;要求遵守组织的合规义务;支持合规治理原则;引用并阐述合规职能;概述不遵守合规义务、方针、过程和程序的后果;鼓励提出疑虑并禁止任何形式的报复;用通俗易懂的语言书写;被适当地实施和执行;作为文件化信息可获取;在组织内传达;适宜时便于利益相关方获取。
提示:完整原文请参阅 ISO 37301:2021 正式文本
引用:5.2要求组织回答一个根本问题:我们如何用一份清晰、正式、可执行的方针,向内部和外部表达“本组织对合规的基本立场是什么”。
二、条款解读说明
2.1 合规方针是CMS的最高层行为准则
合规方针不是普通通知,也不是对外宣传口号,而是治理机构和最高管理者正式发布的原则性文件。它的作用在于把组织对合规的底线、方向和治理逻辑表达清楚,并为后续目标、程序、培训、问责和沟通提供统一基准。一个好的合规方针,既能指导内部行为,也能向相关方传递组织的治理立场。
2.2 5.2对方针内容提出了明确要求
| 要素 | 标准要求 | 管理意义 | 常见不足 |
|---|---|---|---|
| 方向性 | 适合组织宗旨,并为目标提供框架 | 让方针与战略和经营相衔接 | 写成泛泛道德宣言 |
| 承诺性 | 满足适用需求并持续改进 | 体现正式承诺和长期性 | 只有原则,没有明确承诺 |
| 治理性 | 支持合规治理原则并阐述合规职能 | 明确体系运行依托 | 不提职责与治理关系 |
| 行为性 | 说明违规后果、鼓励提出疑虑、禁止报复 | 把合规文化写成可执行规则 | 只说要合规,不说怎么面对问题 |
| 传播性 | 语言易懂、文件可获取、对内传达、对外可得 | 确保真正被理解和使用 | 政策太长太难懂 |
2.3 方针必须与组织价值观、目标和战略一致
标准特别强调合规方针应与组织价值观、目标和战略一致,这意味着方针不能脱离组织真实经营逻辑。若企业战略高度依赖第三方渠道、快速扩张或跨境经营,方针就应能反映对第三方治理、跨区域合规和稳健增长的要求。否则,方针再漂亮,也难以被业务视为与自身工作有关。
2.4 “通俗易懂”是方针有效性的关键条件
许多组织的政策性文件习惯采用法律化、抽象化表达,员工读完仍然不知道对自己意味着什么。ISO 37301专门要求合规方针应用通俗易懂的语言书写,并便于所有人员理解其原则和意图。这说明方针首先是管理工具,其次才是合规文本。能被理解、能被引用、能被用于培训和决策,才是好方针。
2.5 只发布不执行,方针会迅速失去权威
5.2不仅要求方针被制定,还要求被适当地实施和执行。组织如果把合规方针停留在官网和文件系统中,日常决策、绩效激励和问责机制却与其相反,那么方针很快会被员工视为空话。真正的落实,需要把方针转化为目标、程序、培训和管理层行为。
三、实施要点
3.1 由治理机构和最高管理者主导制定
- 方针应由治理机构或最高管理者正式批准发布,而非仅由职能部门草拟后自行生效。
- 起草时同步考虑战略方向、主要风险和组织价值观。
- 避免照搬模板,忽略组织真实特点。
3.2 确保方针内容完整且易理解
- 明确承诺遵守合规义务、持续改进、鼓励报告疑虑和禁止报复。
- 说明合规职能的定位和基本治理原则。
- 用员工能听懂、管理者能引用的语言表达,而不是纯法律术语。
3.3 将方针转化为落地动作
- 把方针要求衔接到6章目标、7章培训沟通和8章运行控制中。
- 确保违规后果、举报保护和管理层责任有相应制度支撑。
- 将方针内容纳入新员工培训和管理者宣导。
3.4 建立传播和更新机制
- 在内部通过培训、门户、手册、签收确认等方式传播。
- 适宜时向客户、合作方、投资者等利益相关方公开。
- 在战略重大变化、法规变化或重大事件后评审方针是否需要修订。
四、常用工具与实施方法
| 工具/方法 | 适用场景 | 实施重点 | 关键输出 |
|---|---|---|---|
| 方针起草清单 | 内容设计 | 逐项核对标准要求是否已覆盖 | 方针草案 |
| 语言可读性评审 | 文本优化 | 确保不同层级人员都能理解 | 评审意见 |
| 方针宣贯计划 | 内部传播 | 确定对象、渠道、频次和确认方式 | 宣贯记录 |
| 方针签收与确认机制 | 员工承诺 | 证明方针已被接收和理解 | 确认记录 |
| 定期评审机制 | 持续更新 | 结合战略和风险变化检查方针适用性 | 评审记录 |
注意:方针越抽象,越难进入业务场景;越难进入业务场景,越容易沦为“文件墙上的一句话”。
五、典型案例
案例1:企业把方针从“法务语言”改成“管理语言”
- 背景:原方针由法务起草,员工普遍觉得与自己工作无关。
- 做法:重写文本,加入举报保护、违规后果、管理者责任和合规职能定位等内容。
- 结果:方针开始被培训、绩效沟通和管理会议实际引用。
案例2:对外公开承诺后倒逼内部执行
- 背景:企业希望提升客户和合作伙伴对其治理能力的信心。
- 做法:在官网和供应商手册中公开合规方针,并同步建立签收、培训和举报机制。
- 结果:方针不再只是内部文件,而成为外部可监督的治理承诺。
案例3:方针长期不更新与战略脱节
- 背景:企业已大规模出海,但方针仍围绕本地传统经营模式编写。
- 问题:方针无法为新区域、新第三方模式和跨境风险提供方向。
- 改进:结合战略变化重新评审并更新方针内容。
六、成文信息管理要求
5.2明确要求合规方针作为文件化信息可获取,因此方针本身及其宣贯、更新和执行证据都应受到正式管理。
- 建议保留的成文信息
- 合规方针正式版本和批准记录
- 方针起草依据、评审意见和修订历史
- 对内传达、培训和签收确认记录
- 对外公开渠道和公开版本记录
- 方针与目标、程序、问责机制的对应关系文件
- 管理要求
- 应控制方针版本,避免多个旧版本并存。
- 宣贯记录应证明相关人员确实接触到方针。
- 重大变化后应评审方针适用性并及时更新。
七、常见误区及踩坑提醒
| 误区 | 常见表现 | 正确做法 |
|---|---|---|
| 方针就是价值观口号 | 没有义务、问责和举报保护内容 | 覆盖标准要求的关键治理要素 |
| 越正式越好 | 用语晦涩,员工无法理解 | 采用通俗易懂、可被引用的表达 |
| 方针发布即完成 | 没有配套培训和实施动作 | 把方针转化为目标、流程和管理行为 |
| 对外公开没有必要 | 合作方无法了解组织合规立场 | 在适宜时向利益相关方开放获取 |
| 方针多年不变 | 与战略和风险现实脱节 | 定期评审并在重大变化后更新 |
警告:如果合规方针只是文件系统里的一页纸,而没有进入员工理解、管理行为和外部沟通,它很难真正发挥治理作用。