ISO37301—《合规管理体系要求及使用指南》（中文版）

目 录

前言

引言

1 范围

2 引用标准

3 术语和定义

4 组织环境

4.1 理解组织及其环境

4.2 理解利益相关方需求和期望

4.3 确定合规管理体系范围

4.4 合规管理体系

4.5 合规义务

4.6 合规风险评估

5 领导作用

5.1 领导作用和承诺

5.1.1 治理机构和最高管理层

5.1.2 合规文化

5.1.3 合规治理

5.2 合规方针

5.3 角色、职责和权力

5.3.1 治理机构和最高管理层

5.3.2 合规职能部门

5.3.3 管理层

5.3.4 员工

6 策划

6.1 合规风险和机遇的应对措施

6.2 合规目标和策划实现

6.3 改进策划

7 支持

7.1 资源

7.2 能力

7.2.1 一般要求

7.2.2 雇佣程序

7.2.3 培训

7.3 意识

7.4 沟通

7.5 文件化信息

7.5.1 一般要求

7.5.2 创建和更新

7.5.3 文件化信息的控制

8 运行

8.1 运行计划和控制

8.2 建立控制和程序

8.3 举报

8.4 调查程序

9 绩效评估

9.1 监视、测量、分析和评价

9.1.1 一般要求

9.1.2 合规绩效反馈来源

9.1.3 制定指标

9.1.4 合规报告

9.1.5 保存记录

9.2 内部审核

9.2.1 一般要求

9.2.2 内部审核程序

9.3 管理评审

9.3.1 一般要求

9.3.2 管理评审来源

9.3.3 管理评审结果

10 改进

10.1 持续改进

10.2 不合规和纠正措施

附录 A（资料性）文件使用指南

参考文献

引  言

致力于长远发展并持续成功的组织有必要建立、维护合规文化，关注利益相关方的需求和期待。因此，合规不仅是组织取得成功的基础，而且也是一种机遇。合规既是持续的过程也是组织履行其义务的结果。合规的可持续性取决于组织的合规文化，以及员工的合规行为、态度。有效的合规管理是在与组织的其他管理过程及其运行要求、程序进行整合的同时，又能确保其独立性。有效合规管理体系表现为组织遵守相关法律法规、监管要求、行业规范和组织行为准则，以及良好治理标准、普遍接受的最佳实践、道德和社会期待。组织合规首先要求领导层在核心价值观、普遍认同的良好治理、道德以及社会规范方面发挥领导作用。员工行为合规有赖于组织各层级的领导作用、清晰的合规价值观，以及员工理解、执行组织促进合规行为相关措施的程度。如果组织不能满足上述要求可能会有不合规风险。在许多法域，法庭决定对违反相关法律的组织给予相应处罚时会考虑组织合规管理体系履行合规承诺的情况。因此，适用本标准对监管和司法部门也是有益的。践行具有约束力的价值观和适当合规管理，组织能够持续守护诚信、避免或最大限度减少违反合规义务的行为。因此，诚信和有效合规是良好、勤勉管理的关键因素，也有助于体现组织的社会责任。本文件的目标之一是帮助组织培育、推行积极的合规文化，将有效、适当的合规风险管理视为追求和利用机会，因为其对组织有以下益处：——增加商业机会和发展的可持续性；——保护、提升声誉和信誉；——重视利益相关方的期望；——证明组织致力于充分有效地管理合规风险；——增强第三方对组织持续发展能力的信心；——最大限度降低发生可能导致经济损失和声誉损失的违规风险本文件明确了合规管理体系要求并提供合规管理体系指南和操作建议。要求和指南可以根据组织规模和合规管理体系完善程度不同，以及组织活动和目标的性质、复杂程度等环境因素灵活运用。本文件可用来强化组织其他管理体系中与合规相关的要求，帮助其改进全部合规义务管理。图1说明了合规管理体系的基本要素。

本文件中以下用词的含义：“应”表示要求；“宜”表示建议；“可以”表示允许；“可能”表示可能性或能力。标记为“注释”的信息用于指导理解或澄清相关要求。附件A为本文件使用提供指南。

附件：合规管理体系要求及使用指南合规管理体系要求及使用指南