近年來，我國企業因境外經營不符合當地國的合規監管要求被“掐脖子”的事例屡見不鮮，“合規”已成爲我國政府工作和企業經營的重要議題。爲推動我國企業合規經營，與國際合規要求接軌：

（1）中央政府陸續出台合規相關指引，指導企業開展合規管理。例如，2018年11月國務院國資委發布的《中央企業合規管理指引（試行）》，2018年12月國家發改委聯合七部委發布的《企業境外經營合規管理指引》；

（2）地方政府、中國標准化研究院出台與國際接軌的合規指引、標准。例如，2021年10月，中國標准化研究院發布《合規管理體系 要求及使用指南（征求意見稿）》，計劃將國際標准化組織（International Organization for Standardization, ISO）更新的37301：2021《合規管理體系 要求及使用指南》本地化；2021年11月，深圳市司法局發布了《深圳企業合規管理體系認證標准（征求意見稿）》，此認證標准的編制借鑒了國際經驗並結合了深圳實際情況，旨在促進深圳企業加快建立合規管理體系；

（3）地方政府采取有力舉措推動本地企業依法合規經營。以深圳市爲例，深圳市國資委正會同市監委、市司法局開展合規管理體系建設試點、防範廉潔風險工作，同時配合市檢察院建立企業合規第三方監督評估機制，打造刑事合規“深圳模式”[1]。

在國內外日趨嚴格的市場監管環境和我國政府推動的背景下，越來越多的企業致力于通過搭建合規管理體系，將合規融入企業經營，以助力企業業務增長，創造競爭優勢和行穩致遠。然而，笔者在作爲專家顧問參與政府部門主導的企業合規體系建設指引項目，爲包括世界500強企業在內的多家上市和擬上市企業提供搭建合規體系、合規案件調查、合規常年法律顧問服務、合規培訓與咨詢、合規戰略與法律支持等各類合規法律服務過程中了解到，雖然企業認識到搭建合規體系的重要性，但企業在面對國內外層出不窮的合規標准、指引時，因部分企業和高管的合規意識不足、合規人才匮乏、資金不夠，往往找不到方向和抓手，不知從何做起，也不知如何搭建出適配企業實際情況並符合國際水准的合規管理體系。

爲幫助企業解決這一難題，以ISO爲代表的多邊組織積極推進合規管理體系認證標准落地，推出ISO 37301：2021《合規管理體系要求及使用指南》，擬在全球範圍開展企業合規管理體系認證。ISO 37301采用Plan（計劃）-Do（執行）-Check（檢查）-Act（改進）（“PDCA”）理念，完整覆盖了合規管理體系建設、運行、維護和改進的全流程，基于合規治理原則，爲企業建立並運行合規管理體系、傳播積極的合規文化提供了整套解決方案。同時，ISO 37301的國際可認證性，在企業合規治理、傳遞商業信任、向監管機構證明存在合規管理體系、作爲企業向司法機關提供關于違規量刑的正面證據、爭取合規不起訴等方面提供了重要支持。

爲助力企業開展符合國際標准的合規管理體系建設，笔者將分別對什麽是ISO 37301認證、企業獲得ISO 37301認證的好處以及企業如何通過搭建有效的合規體系來獲得ISO 37301認證等內容進行介紹。

ISO37301認證簡介

ISO 37301: 2021全稱《合規管理體系 要求及使用指南》，是由ISO/TC309技術委員會編制，由ISO組織在2021年4月發布和實施，適用于全球任何類型、規模、性質和行業的組織。

作爲A類管理體系標准，ISO 37301：2021《合規管理體系 要求及使用指南》標准發布後，替代了ISO 19600: 2014《合規管理體系 指南》（對應的中國標准爲GB/T 35770: 2017）。兩項 ISO 標准均基于相同的原則、以風險導向爲基礎的方法，並注重整體的合規管理系統，但是，只有 ISO 37301 具備官方認證資格。ISO 37301規定了組織建立、運行、維護和改進合規管理體系的要求，並提供了使用指南，爲各類組織提高自身的合規管理能力提供系統化方法。它采用的PDCA理念完整覆盖了合規管理體系建設、運行、維護和改進的全流程，基于合規治理原則，爲組織建立並運行合規管理體系、傳播積極的合規文化提供了整套解決方案。雖然ISO 19600: 2014《合規管理體系 指南》只是對于企業有指導性（而不是認證）的作用，但如果企業已經按照ISO 19600: 2014《合規管理體系 指南》搭建合規體系，企業基本可以符合ISO 37301：2021《合規管理體系 要求及使用指南》標准。

ISO 37301的制定對于各類組織的合規管理能力建設、政府監管活動、國際貿易交流、溝通合作改善等具有重要的意義。其爲企業治理者提高組織自身的合規管理能力提供系統化方法，爲監管機構和司法機關采信企業組織的合規管理體系實踐提供參考依據，爲便利全球範圍內相關方之間的貿易、交流和合作提供通用規則。

企業獲得ISO 37301認證的好處

英國標准協會（British Standards Institution, BSI）將“ISO 37301合規管理體系”形容爲一把大傘的傘面，其本質是幫助企業遮風避雨防範風險，降低違規帶來的成本和聲誉損失。而真實的風險是存在于企業完整生態體的各個方面，例如質量管理（對應ISO 9001標准）、環境管理（對應ISO 14001標准）、健康安全管理（對應ISO 45001標准）、反商業賄赂（對應ISO 37001標准）、信息安全管理（對應ISO 27001標准）、隱私信息管理（對應ISO 27701標准）等，這些都是支撐企業運營的傘骨，傘骨要強韌而牢固，傘面才能應對更大的未來瞬息萬變的生態環境，它們構成支撐和融合的關系（如下圖所示）。

對于企業而言，獲得ISO 37301認證有以下好處：

1. 作爲企業和相關高管設計和運行合規管理的工具

采用PDCA理念的ISO 37301完整覆盖了合規管理體系建設、運行、維護和改進的全流程，其在合規管理體系設計和運行上，爲企業提供了高度的靈活性，能夠滿足不同規模、類型、性質、行業的企業基于自身合規需求搭建合規管理體系。同時，如前文所述，ISO 37301與ISO其他組織管理標准之間是支撐和融合的關系，如果企業已建立起反商業賄赂、信息安全管理、質量管理、環境管理等體系並取得相應的ISO認證，則企業以ISO 37301爲標准搭建合規管理體系時，可以實現更高效率、更低成本地融貫企業既有的專項管理體系，保持企業合規管理體系的系統性和協調性。

2. 傳遞商業信任

在海內外複雜嚴苛的合規監管環境背景下，ISO 37301作爲企業獲得第三方認證的依據，能夠展示企業符合國際標准的合規管理能力，較高程度滿足商業夥伴的合規管理要求，幫助企業在客戶合作、多邊合作、政府合作中傳遞商業信任。除此之外，獲得ISO 37301認證的企業還能在同類型競標中獲得客戶青睐。例如，深圳市政府類招投標對于持有這類認證的會給予加分。

3. 作爲企業向監管機構證明存在合規管理體系

獲得ISO 37301認證的企業，在應對監管機構的檢查時，一方面，能夠將基于ISO 37301確立的合規管理理念用于行政監管活動的反饋；另一方面，能夠通過對企業合規管理體系運行情況的評價結果來匹配相應的監管手段與措施，實現精准應對監管。

4. 作爲企業向司法機關提供關于違規量刑的正面證據

《2019-2020企業家刑事風險分析報告》顯示，在2019年12月1日至2020年11月30日公開的刑事判決案例参考中，共檢索出企業家犯罪案例参考2635件，企業家犯罪3278次。在3278次企業家犯罪中，共涉及犯罪企業家3095人。其中，國有企業家犯罪數爲234次，約占企業家犯罪總數的7.14%；民營企業家犯罪數爲3011次，約占企業家犯罪總數的91.85%；外商及港澳台企業家犯罪數爲20次，約占企業家犯罪總數的0.61%。[2]企業家犯罪往往同時暴露出企業合規管理問題，牽涉單位犯罪，嚴重的甚至危及企業存亡。

自2020年3月至今，最高人民檢察院（下稱“最高檢”）持續推動我國的企業合規改革試點工作。兩年時間內，最高檢先後開展了兩期企業合規改革試點工作，與九部門聯合發布了《<關于建立涉案企業合規第三方監督評估機制的指導意見（試行）>實施細則》和《涉案企業合規第三方監督評估機制專業人員選任管理辦法（試行）》（2021年11月22日），並先後于2021年6月3日和2021年12月8日，發布兩批共10件企業合規典型案例参考，積極推進企業合規改革試點工作。

對于涉嫌刑事犯罪的企業而言，獲得不起訴的處理具有相當的積極作用。一方面，獲得不起訴的處理意味着該企業不必因其違法犯罪行爲而被迫終止運營或破產，同時企業雇員也免于遭受失業風險；更爲重要的是，合規不起訴制度爲企業運營創造了一定的激勵制度，促進企業合規體系的建立與落實，爲企業後續的合規經營打下堅實基礎。

ISO 37301認證可以幫助涉嫌刑事犯罪的企業向司法機關展示企業具備良好的合規管理體系，以及持續改進企業合規管理的誠意。該認證既能作爲司法機關對涉嫌刑事犯罪的企業量刑的考量依據，也能作爲落實依法不捕不訴不提出判實刑建議等司法意見、制定合規指引、督促企業合規整改和第三方監管驗收的正面依據。

5. 有機會納入ISO 國際標准案例参考庫，提升企業國際聲誉

取得ISO 37301認證的企業，有機會將本企業合規管理實踐案例参考提交至國際TC309 “組織治理 技術委員會”秘書處，參選ISO合規管理的典型案例参考。如果能被納入ISO國際標准案例参考庫，對企業而言，將是極好的國際品牌名片，有助于企業提升國際商業聲誉，獲得國際客戶認可，助力業務增長和國際化發展。