上海ISO认证 合规管理体系认证范围的介绍

ISO认证咨询办理15034409001

2021 年国际标准化组织(ISO)正式发布了《合规管理体系要求和使用指南》(ISO 37301：2021)。2022 年 10 月 12 日，等同采用国际标准的国标《合规管理体系要求及使用指南》(GB/T 35770—2022)正式发布。合规管理体系有了能够用于认证活动的标准，各类组织声明符合合规管理体系要求也有了依据。一些认证机构已经据此开展了合规管理体系认证活动，向客户颁发了合规管理体系认证证书。但是，关于合规管理体系认证范围如何界定和划分，目前在认证机构实践活动中存在着不同的理解和做法，本文通过分析、研究，给出笔者关于认证范围划分原则的思考和建议。

一、目前已颁发的合规管理体系认证证书认证范围的类型

ISO 37301 于 2021 年 4 月 发 布，GB/T35770 于 2022 年 10 月发布，属于非常新的认证领域。截至 2022 年底，共有约 160 个组织获得 ISO 37301 国际标准认证证书。经初步查询、分类，目前已颁发的合规管理体系认证证书的认证范围的描述大致可分为以下 3 种类型：

第一种类型为“组织的业务范围 + 合规管理 + 适用性声明”，如认证范围为：XX 集团云服务的合规管理，与 XX 年 XX 月 XX 日的适用性声明相一致;

第二种类型为：“组织的业务范围 + 专项合规领域”，如 XX 集团云服务相关的数据保护合规管理;

第三种类型为“组织的业务范围 + 合规管理”，如 XX 集团云服务相关的合规管理。

关于第一种类型，适用性声明是信息安全管理术语，根据 ISO/IEC 27001：2022 信息安全管理体系要求的相关内容，组织应制定一个适用性声明，包括必要的控制、控制的正当理由、排除附录 A 控制的合理性说明等内容，因此信息安全管理体系认证证书范围都会标注出适用性声明的版本。在合规管理体系认证实践的初期探索阶段，在认证证书范围引入适用性声明的做法，有利于引导组织自我识别合规义务和合规风险，也有利于降低认证机构的认证风险，但是合规管理体系与信息安全管理体系从标准内容设定到实际运行都存在着比较大的区别，因此适用性声明这种表述不太适合合规管理体系认证范围。

关于第二种类型，采用这种认证范围类型的机构，主要基于这样一种理论，即合规管理体系分为专项合规(又称小合规)和全面合规(又称大合规)。认证机构很难对于组织的全面合规做出认证证明，这也存在非常大的认证风险。因此，在认证证书的认证范围上要界定到具体专项合规领域。

关于第三种类型，目前大多数的认证机构采用的是这种类型的认证范围，直接根据标准的内容进行描述。

笔者赞同第三种认证范围类型，下文将重点分析阐述为什么合规管理体系认证范围不建议按第二种类型方式再对合规管理进行专项合规领域的分类，而应根据组织的业务范围给出认证结论。

二、“专项合规”“全面合规”并非合规管理体系认证活动中的概念

在国际和国内的合规管理体系相关标准中，没有关于“全面合规”“专项合规”的术语和定义，这种说法和描述目前多在法律界、法律工作者或者法学家的文章里出现。但是，彼此之间对于“全面合规”“专项合规”的概念和理解也不一样。下文将选取几种比较典型的说法。

(一)“全面合规”和“专项合规”是从法律维度分类的概念

根据中国企业家协会编制的《企业合规事务管理(高级)》教材内容，综合合规(又称大合规)与专项合规是按企业合规的法律维度进行分类。“依合规所应对的法律风险集内含的风险点数量，企业合规计划的类型可以分为综合合规，俗称大合规，和专项合规。前者是笼统地针对所有违法犯罪风险建立合规体系，后者则是针对特定违法犯罪风险点而细化的合规体系”。“企业合规的业务分类维度，一般存在于管理学讨论视角下，更始于非专业从业人员间沟通和落实合规管理措施。这种分类方法因为更贴合非法律从业人员对于企业经营行为的理解习惯，因此也经常出现在企业实践场景中”。

(二)“全面合规”是多个必要的“专项合规”

专项合规是针对企业经营活动特定领域的合规风险建设并实行的合规管理体系，如反商业贿赂、反垄断和反不正当竞争、数据保护、安全环保等。而全面合规则是针对企业经营活动主要领域合规风险建设并实行的多个专项合规管理体系。“全面合规一般是由两个以上的、必要的专项合规组成的复合型合规管理体系，但并不要求囊括所有的专项合规。如果说专项合规是企业合规管理中的‘某一项’，那么全面合规就是企业合规管理中‘必要的多项’。”

(三)全面合规适用于事前防范，专项合规适用于事后整改

目前，我国最高检的涉案企业合规建设明确要求涉案企业针对与涉嫌犯罪有密切联系的合规风险，制定专项合规整改计划。北京大学法学院教授陈瑞华认为，在日常性合规管理体系建设中，由于企业并未发生迫在眉睫的现实合规风险，企业通常按照“全面合规体系说”的理念，建立“大而全”的合规管理体系。而“涉案企业”在面临行政执法调查、刑事追诉乃至国际组织制裁的情况下，就要建立专门性的合规管理体系，有效地防止再次发生相同或者类似违法违规行为。

综上，笔者认为，首先，关于“全面合规”目前尚没有一个明确统一的概念;其次，关于“全面合规”“专项合规”的概念和说法，更适用于法学维度，而非合规管理体系认证活动中的专业术语和概念。

三、从 ISO/TC 309 标准框架及标准设置分析合规管理体系认证范围

ISO/TC 309 机构治理委员会目前负责的ISO 37000 标准族里一共有 4 项现行有效的标准：ISO 37000：2021《组织治理指南》、ISO37001：2016《反贿赂管理体系要求及使用指南》、ISO 37002：2021《举报管理体系指南》、ISO 37301：2021《合规管理体系要求及使用指南》。

从 ISO/TC 309 制定的标准可以看出，ISO37001《反贿赂管理体系要求及使用指南》并未因 ISO 37301《合规管理体系要求及使用指南》的发布而废止，两个标准并行有效，也就是说 ISO 37301 并没有覆盖 ISO 37001 的要求。而且，如果合规管理体系认证范围要按专项合规内容分类，反贿赂无疑被视为最重要的专项合规领域之一，那么就会出现依据 ISO 37301 而不是 ISO 37001 给出组织的反贿赂管理体系符合标准的矛盾情况。

四、从 ISO 37301 本身内容和原则分析合规管理体系认证范围

ISO 19600《合规管理体系指南》引言部分指出“合规意味着组织遵守了适用的法律法规及监管规定，也遵守了相关标准、合同、有效治理原则或道德准则”。它将“合规”直接等同于组织“遵守了法”“遵守了规”。而修改后的 ISO 37301 引言相应部分的表述为“一个全面有效的合规管理体系，能证实组织承诺并致力于遵守相关法律、监管要求、行业准则和组织标准，以及良好治理标准、普遍接受的最佳实践、道德规范和社区期望”。

通过对比，我们可以看出，作为可认证的标准，ISO 37301 的用语更加准确、严谨并且可操作，它将“遵守了”更改为“承诺并致力于遵守”，前者是对于组织“合规事实”的一个实质性结论判断，而后者是对于组织“合规表示”和“合规投入”的证实。显然，合规管理体系认证不是对于组织“遵守了”法律、监管要求等合规事实的结论性证明，而是审核组织是否在分析理解组织环境的基础上，切实发挥领导作用承诺合规，并采取实际行动致力于全面有效的策划、支持、运行合规管理体系，以及通过绩效评价不断改进合规管理体系。

合规是一个组织应该追求的目标和状态，是一个持续的过程。合规管理体系是一个框架，合规管理体系认证证实的是“组织承诺并致力于遵守相关法律、监管要求、行业准则和组织标准，以及良好治理标准、普遍接受的最佳实践、道德规范和社区期望”。合规管理体系无法完全避免错误的发生，但有相应的过程确保对错误做出适当的反应。

一个组织可以根据需要，为更好地保证合规管理体系的有效性和针对性，结合实际情况在重点领域建立专项合规计划、指南等。这些专项合规计划、指南等是组织合规管理体系的一部分，而不是合规管理体系认证范围的分类。

五、认证范围划分到专项合规领域的问题

如果认证范围按“专项合规”划分还会产生以下的问题：

一是与合规管理体系适宜性原则相冲突。GB/T 35770/ISO 37301 明确指出“本文件中的要求与指南旨在具有适应性，根据组织合规管理体系规模和成熟度的不同，以及组织活动和目标所处的环境、性质及其复杂程度的不同，其实施方式有所不同”。标准强调组织建立合规管理体系的适宜性，因而不应该通过认证范围划分到专项合规领域这种方式，增加组织应用标准的义务和要求，限定每个组织都要建立专项合规体系。这种方式也许对于大型组织来说是比较可行的，但是对于小型组织来说，可能就与需求和实际不匹配。

二是缺乏权威、一致且可行的专项领域的划分标准。首先，目前除了《中央企业合规管理办法》(第十八条“中央企业应当针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域，以及合规风险较高的业务，制定合规管理具体制度或者专项指南”)，尚未找到比较权威和公认一致的专项合规的分类方法。其次，《中央企业合规管理办法》对于央企的要求也不一定适合更广大的中小企业。最后，因为组织的性质、经营的内容、运营的特点等各不相同，很难准确列举穷尽所有组织适用的合规专项领域，即使《中央企业合规管理办法》也是用列举加其他的方式对制定合规管理具体制度和专项指南提出要求。如果合规管理体系认证的范围只限定到列出的专项合规领域，显然与标准全面覆盖的原则不相符合。

其他问题还包括：首先，专项合规领域认证容易导致认证机构和企业存在投机取巧、取易弃难的倾向，认证机构只选择一个最简单的、低风险的专项合规领域去开展合规认证活动，走捷径赚取认证费。企业选择一个最容易的领域去申请认证，获得合规证书，用最低的成本达到宣传的效果，对相关方造成误导。其次，采取专项合规领域认证范围的做法容易导致一个组织需要持续不断地一个一个专项合规领域去申请认证、接受认证，大大增加了组织的时间成本和经济成本，给组织造成不必要的负担。

综上，合规管理体系认证不等于对组织全面合规的认证，合规管理体系认证证明的是组织的合规管理体系框架满足要求，证明的是组织“承诺并致力于”合规。认证机构应依据GB/T 35770 或 ISO 37301 对组织开展认证审核活动，并对满足要求的组织在认证范围内发放证明其合规管理体系符合 GB/T 35770/ISO 37301 标准要求的认证证书。