一、ISO 37301:2021 5.3 标准原文
ISO 37301:2021 5.3 岗位、职责和权限
条款原文:治理机构和最高管理者应确保在组织内分配和传达相关岗位的职责和权限,以确保合规管理体系符合本文件要求并获得绩效报告。治理机构应监督最高管理者运行合规管理体系的情况;最高管理者应配置资源、建立报告制度、确保战略和运行目标与合规义务协同、建立问责机制并将合规绩效与人员绩效考核挂钩。合规职能应负责合规管理体系运行,促进识别合规义务,记录风险评估,使体系与合规目标保持一致,监视和测量绩效,建立报告和记录制度,确保按计划评审体系,建立提出疑虑和解决疑虑的机制,并监督合规职责分配、义务纳入过程和程序、培训落实和指标建立。合规职能还应向相关人员提供资源和建议,并能接触高级决策者、组织各层级、所需文件和数据以及外部专家意见。管理者应在其职责范围内落实合规工作,支持合规职能、识别并沟通风险、将义务融入现有程序、参加培训、鼓励提出疑虑并防止报复、参与事件和问题管理并推动纠正措施。所有人员应遵守组织的合规义务、方针、过程和程序,报告合规疑虑、问题和漏洞,并根据要求参加培训。
条款原文:治理机构和最高管理者应确保在组织内分配和传达相关岗位的职责和权限,以确保合规管理体系符合本文件要求并获得绩效报告。治理机构应监督最高管理者运行合规管理体系的情况;最高管理者应配置资源、建立报告制度、确保战略和运行目标与合规义务协同、建立问责机制并将合规绩效与人员绩效考核挂钩。合规职能应负责合规管理体系运行,促进识别合规义务,记录风险评估,使体系与合规目标保持一致,监视和测量绩效,建立报告和记录制度,确保按计划评审体系,建立提出疑虑和解决疑虑的机制,并监督合规职责分配、义务纳入过程和程序、培训落实和指标建立。合规职能还应向相关人员提供资源和建议,并能接触高级决策者、组织各层级、所需文件和数据以及外部专家意见。管理者应在其职责范围内落实合规工作,支持合规职能、识别并沟通风险、将义务融入现有程序、参加培训、鼓励提出疑虑并防止报复、参与事件和问题管理并推动纠正措施。所有人员应遵守组织的合规义务、方针、过程和程序,报告合规疑虑、问题和漏洞,并根据要求参加培训。
提示:完整原文请参阅 ISO 37301:2021 正式文本
引用:5.3要求把“合规是谁的事”彻底说清楚。没有分工清晰的责任链,合规体系就会在执行时层层落空。
二、条款解读说明
2.1 5.3构建的是分层负责、相互衔接的责任体系
ISO 37301并没有把合规职责集中交给单一岗位,而是建立了一条自上而下的责任链:治理机构负责监督和定调,最高管理者负责资源、机制和问责,合规职能负责体系运行和专业推动,管理者负责在本业务范围内落实,全体人员则承担遵守、报告和参与培训的基础责任。这样的设计说明,合规管理体系既需要“专责功能”,也需要“全员履责”。
2.2 各层级职责重点不同,但必须形成闭环
| 角色 | 重点职责 | 管理价值 | 常见失效点 |
|---|---|---|---|
| 治理机构 | 监督体系运行和最高管理者绩效 | 确保合规进入治理层监督 | 只听年度汇报,不持续关注 |
| 最高管理者 | 资源、报告、问责、绩效挂钩 | 把合规从原则变成经营机制 | 职责下放后不再跟踪 |
| 合规职能 | 运行体系、监测绩效、提供建议、管理举报机制 | 提供专业牵引和跨部门协调 | 有职能名义,无信息和权限支持 |
| 管理者 | 把义务融入本部门业务和日常管理 | 让合规进入一线流程 | 认为合规是职能部门任务 |
| 全体人员 | 遵守、报告、培训 | 形成最基础的执行层防线 | 只被要求服从,不被要求报告问题 |
2.3 合规职能的关键不是“包办”,而是“组织和监督”
5.3.2列出的合规职能职责很多,但标准同时提示,这并不免除其他人员的合规责任。也就是说,合规职能不是替所有部门做合规,而是负责体系运行、方法推动、绩效监测、报告机制和专业支持。若组织把所有责任都压给合规职能,业务管理者反而会退出合规责任,体系会变成职能孤岛。
2.4 管理者是合规要求进入业务流程的关键一环
5.3.3对管理者的要求非常具体,包括支持合规职能、识别风险、把义务融入商业惯例和程序、鼓励提出疑虑、参与问题处理和纠正措施落实等。这意味着管理者不是“收到制度后转发给团队”就算完成,而是要把合规真正变成部门管理的一部分。多数组织的合规成败,很大程度上取决于中层管理者是否把规则带入一线。
2.5 所有人员都负有报告疑虑和参加培训的义务
标准没有把普通员工定位为被动遵守者,而是要求其报告疑虑、问题和漏洞,并参加培训。这种设计说明,合规管理体系不只是自上而下控制,也依赖自下而上的反馈和预警。如果组织只要求员工服从,不给其报告问题和理解规则的机会,很多风险会长期沉在基层。
三、实施要点
3.1 建立岗位职责和权限矩阵
- 按治理机构、最高管理者、合规职能、管理者和员工五个层级划分职责。
- 把“负责、审批、协同、报告、知会”关系写清楚。
- 对高风险流程明确谁有否决权、谁有升级权。
3.2 保障合规职能有信息和决策接触权
- 确保合规职能能接触关键管理层、重要数据、关键文件和外部专家资源。
- 对高风险项目建立前置评审或早期介入机制。
- 避免等业务方案已定才让合规被动审查。
3.3 将管理者责任写入经营管理机制
- 把部门合规绩效纳入管理者考核。
- 要求管理者对本部门培训完成、风险上报和程序落实负责。
- 通过例会、述职和问责机制强化责任感。
3.4 让全员职责具备可执行性
- 通过培训和沟通让员工理解自己必须遵守、必须报告、必须参与培训的义务。
- 把举报渠道、求助路径和保护机制讲清楚。
- 避免职责只写在手册里,员工却不知道如何实际操作。
四、常用工具与实施方法
| 工具/方法 | 适用场景 | 实施重点 | 关键输出 |
|---|---|---|---|
| RACI职责矩阵 | 责任划分 | 明确各层级对关键过程的责任关系 | 职责矩阵 |
| 岗位说明书更新 | 职责固化 | 把合规职责写入岗位要求和考核 | 岗位说明 |
| 合规委员会或专题会议 | 协调治理 | 连接高层、合规职能和业务管理者 | 会议纪要 |
| 绩效挂钩机制 | 管理者责任落实 | 把合规表现纳入绩效评估 | 考核规则 |
| 升级与报告流程 | 疑虑和事件处理 | 明确谁发现、谁上报、谁决策 | 流程图 |
注意:5.3不是简单的“职责表”。真正有价值的职责分配,应能让每个角色知道自己在什么场景下必须做什么、能决定什么、要向谁报告。
五、典型案例
案例1:业务管理者退出责任导致体系悬空
- 背景:企业设置了合规部门,但部门经理普遍认为合规与自己无关。
- 问题:制度由合规职能推动,业务现场却无人负责落实。
- 改进:将5.3.3要求写入管理者职责和绩效,要求其对本部门风险和培训结果承担责任。
案例2:合规职能无法接触关键数据
- 背景:合规部门负责评估风险,但无法获取关键交易、第三方和费用数据。
- 问题:职责有名无实,无法履行监视和建议功能。
- 改进:在5.3框架下明确合规职能的必要数据访问权和汇报权。
案例3:员工知道守规矩,但不知道如何报告疑虑
- 背景:员工在培训中被要求遵守制度,但未被明确告知报告渠道和保护机制。
- 问题:基层风险无法及时上浮。
- 改进:将报告义务与具体程序一并传达,形成可操作的全员责任。
六、成文信息管理要求
5.3要求职责和权限不仅要被分配,还要被传达和证明,因此组织应保留清晰、可核验的责任文件和运行记录。
- 建议保留的成文信息
- 职责矩阵、岗位说明和授权文件
- 合规职能任命文件、汇报机制和权限说明
- 管理者合规责任和绩效挂钩规则
- 报告和升级流程、会议纪要和责任沟通记录
- 员工职责传达、培训和确认记录
- 管理要求
- 职责文件应与实际流程、系统权限和审批链保持一致。
- 岗位变动、组织调整后应及时更新责任分配。
- 关键职责执行情况应能通过报告、审核和绩效记录验证。
七、常见误区及踩坑提醒
| 误区 | 常见表现 | 正确做法 |
|---|---|---|
| 合规职责只给合规部门 | 业务管理者和员工退出责任 | 建立分层负责、全员参与的责任链 |
| 职责写了就算传达 | 文件存在,但员工和管理者不清楚自己要做什么 | 通过培训、会议和流程嵌入确保真正传达到位 |
| 合规职能只负责审文件 | 不能接触数据、不能介入决策 | 赋予必要的信息访问和专业建议权 |
| 员工只需执行,不必报告 | 问题发现后无人上报 | 明确报告疑虑和漏洞是全员责任 |
| 职责与绩效脱节 | 写在制度里,考核里却看不见 | 把责任落实到绩效和问责机制 |
警告:职责不清时,组织最常出现的不是“没人做”,而是“人人以为别人会做”,最终关键风险在交界处失控。