引言:
ISO37301系国际标准化组织于2021年4月出台的,通过建立和保持合规文化,使得组织得以长期成功和可持续发展的国际性合规管理体系标准。其中的第4条"组织和环境"与"相关方的需求和期望"是组织[1]建立合规管理体系的基础,与识别合规义务直接相关。考量到篇幅限制,以下着重围绕"组织和环境"和"相关方的需求和期望"展开讨论。
一、 如何理解"组织和环境"?
1. 商业模式,包括组织活动和运营的战略、性质、大小和规模的复杂性和可持续性:从战略上看,组织应考虑其所处的行业领域,以及运营的国家和地区分别存在的合规义务及风险。通常而言,不同的行业领域所受到的监管力度不同,而不同法域之间的监管尺度亦存在差异。从性质上看,组织的存在形式为公司、合伙制企业,或其股权为私有或国有,或其为上市公司或非上市公司等,不同的组织形式会面临不同的风险。从行业所处地位看,对于某些行业领先或体量大的组织,可能会更受监管机构的关注。从规模上看,规模复杂的组织会更密切涉及主营业务的上下游供应链。
2. 法律和监管环境:法律和监管环境无疑是组织遵守合规义务过程中最重要的一环。但在现实情况中,组织大多更关注于遵守法律和监管机构的要求,而忽视了法律的修订方向、监管以及政策导向的趋势。而组织的合规管理工作也应密切关注法律和监管环境的变化,并及时根据潜在的变化做好自身合规管理工作的适应和调整的准备。
3. 经济形势:经济形势的变化会深刻影响组织的日常运作及其合规管理工作的开展。组织在各法域开展业务的过程中,可能因经济形势的变化使得预期商业利益遭遇阻碍,乃至无法成就。经济形势同样会影响政策和法律规制的调整以及监管力度的变化。
4. 社会、文化和环境背景,以及内部架构、方针、过程、程序、资源和技术:社会、文化和环境背景通常决定了一个组织在其运作范围内商业活动的受众。这可能取决于运作范围内的民众教育水平、民族情绪、宗教信仰,以及一些历史因素。组织内部的运行模式,运行所涉及到的资源和技术也会影响合规管理工作的开展。
5. 组织的合规文化:合规文化一般是指组织在其运营过程中所形成的依法合规的行为准则、道德观念、价值标准,是企业隐形的合规免疫体系,也是对企业合规管理的补充与重大的支撑。合规文化的建设将深刻影响到组织应对风险时的结果。
6. 与第三方商业关系的性质和范围:与第三方的商业关系是合规工作中的一大重点问题。在经营过程中,组织将不可避免地与第三方发生商业合作和商业往来。组织在日常经营过程中应根据适用的法律规则和组织的政策规定等开展与第三方之间的商业往来。组织尤其需要考量第三方风险传导至组织,继而影响到组织的正常运作的潜在可能性。例如前些年上海某蓄电池生产企业因环境污染问题被停产,导致以该企业产品作为零部件的国内多家汽车制造企业的生产计划受到严重的影响。
二、 如何理解"相关方的需求和期望"?
《标准》第4.2条提到组织应确定的内容包括以下三个方面:1) 与合规管理体系有关的相关方;2) 相关方的有关要求;以及3) 哪些要求将通过合规管理体系进行应对。
根据《标准》附录A(下称"附录A"),"相关方"的定义为"可能影响合规管理体系、受合规管理体系影响或认为自己受合规管理体系影响的人员或组织"。相关方可以被划分为外部相关方和内部相关方,如下为一些常见的相关方示例:
相关方的有关要求和期望可能包含如法律、法规和监管文件,各类合同中需要遵守的义务,还可能包括了一些非正式的义务和要求,例如监管机构工作人员口头转达的通知。而在识别相关方与识别相关方对组织合规管理的要求和期望的过程中,应考虑到识别过程的全面性和准确性,以帮助组织识别重要的合规义务、评价合规风险。
三、 哪些是合规义务?如何履行这些合规义务?
《标准》附录A列举了组织可能承担的如下合规义务:
虽然组织理论上应遵守全部的合规义务,但实际上受环境、成本和识别程度等多方面因素的制约,组织应更关注于那些可能对组织造成重大风险和致命打击的合规风险(这并不意味着在合规风险较低的情况下,组织可以选择接受某种不合规的行为)。例如对药企而言,《反不正当竞争法》中的反商业贿赂规制、《药品管理法》的相关规定等从监管角度而言更为突出。因此,遵守上述法律法规相关监督、管理规范,监察与执法行动,是药企们优先需要考虑的。
四、 如何对合规风险进行评价?
为本文体例相对的完整性,以下初步讨论相关的合规风险评价。合规风险评价是以对合规风险的识别、分析及确定为基础,为实施合规管理体系和管理已识别出的合规风险,并为应对该合规风险分配适当且充分的资源提供依据的一套动态评价标准。
《标准》第4.6条对合规风险评价提出了如下五大要求:1) 组织应在合规风险评价的基础上识别、分析和评估其合规风险;2) 组织应通过将其合规义务与其活动、产品、服务及其运营的相关方面联系起来,来识别合规风险;3) 组织应评估外包方和第三方过程相关的合规风险;4) 合规风险应定期进行评价,并在情况或组织环境发生重大变化时进行评价;以及5) 组织应保留有关合规风险评价和应对合规风险措施的文件化信息。
合理的合规风险评价标准使组织得以判断特定合规风险的风险指数,并将更多的资源和关注度分配在较高的风险点之中,同时也使得组织拥有了对被识别出的合规风险的全局性的把控和管理。此时,组织便可以着手进行合规风险的实质性应对。关于合规风险评价的具体应用,我们会在其后的文章中作进一步的探讨。
五、 使用ISO37301进行假设场景分析
我们仍以双减政策下的教辅机构举例。教辅机构可以研判其覆盖的业务模块(如针对义务教育和高中教学内容的教学类培训或不针对此的素质类培训)、机构的从业人员数量和聘用性质、提供服务的方式(如线上或线下)、收费模式、是否依赖第三方的合作等方面,综合判断其所处行业和业务相关的法律规制、政策导向、监管力度等。
同时,组织应关注政策变化对行业监管带来的影响。对于教辅行业而言,此前已存在一些预警信号。如国务院办公厅早在2018年8月发布的《国务院办公厅关于规范校外培训机构发展的意见》中,开篇即明确指出"一些校外培训机构违背教育规律和青少年成长发展规律,开展以'应试'为导向的培训,造成中小学生课外负担过重,增加了家庭经济负担,破坏了良好的教育生态"。此类信息虽并非来自于直接的监管机构,但由于其层级较高,且内容与教辅机构主营业务具有紧密的联系,应被作为高层级的风险进行识别并考虑对应的措施。
作为教辅机构的直接监管方,各地教育委员会(教育局)等教育行业的主管部门及市场监督管理部门等是相关方中较为容易识别的监管相关方。对于此类相关方的需求,以及通过此类相关方所传达的政策或趋势便应着重予以考虑。组织实际运营中应考虑定期和监管方沟通,以了解政策的趋势和导向。
组织应明确合规风险并非一成不变的。因此当面对变化中的、或者全新的合规风险时,便需要利用动态评价对合规风险予以判断。比如此前针对教辅行业的政策尚属稳定,因此政策变化的风险可能是潜在的。如果组织有有效的动态评价过程,则能更早识别并将政策变化的风险提升为高等级,同时能更快地采取应对和管控措施,包括改变既有的服务、产品、活动、组织架构、经营方针和战略等以适应变化。
六、 小结:
我们认为,作为国际标准化组织专为合规管理所制定的可认证的A类标准,ISO37301在不同场合中都具有适用性。在合规问题被愈加重视的营商环境下,按照ISO37301建立合规体系以强化组织的合规管理,能够有效避免、化解或降低合规风险给组织带来的不利影响。我们也会在后续的文章中分析ISO37301的其他应用场景。
[1]ISO37301:2021第3.1条对组织的定义是:为实现目标(3.6),有职责、权限和相互关系构成其自身职能的一个人或一组人。注1:组织的概念包括,但不限于个体商户、公司、集团、商行、企业、行政机构、合营公司、慈善机构或协会,或上述组织的部分或组合,无论是否为法人组织,公有或私有。注2:如果组织是较大实体的一部分,则属于"组织"仅指较大实体在合规管理体系范围内的部分。