一、ISO管理体系标准的高级结构
ISO于2012年发布的ISO/IEC Directives Part 1附录中规定的适用于所有ISO管理体系标准的通用框架——“高级结构”(High Level Structure,HLS),基本指导思想为:从2012年开始,由ISO制定或修订的管理体系标准都要采用该通用框架、通用核心文本及相关通用术语和定义。其中,通用术语21个,通用条款10个。
|
序号 |
术语(英文) |
术语(中文) |
|
1 |
organization |
组织 |
|
2 |
interested party |
相关方 |
|
3 |
requirement |
要求 |
|
4 |
mangement system |
管理体系 |
|
5 |
top management |
最高管理者 |
|
6 |
effectiveness |
有效性 |
|
7 |
policy |
方针 |
|
8 |
objective |
目标 |
|
9 |
risk |
风险 |
|
10 |
competence |
能力 |
|
11 |
documented information |
文件化信息 |
|
12 |
process |
过程 |
|
13 |
performance |
绩效 |
|
14 |
outsource |
外包 |
|
15 |
monitoring |
监视 |
|
16 |
measurement |
测量 |
|
17 |
audit |
审核 |
|
18 |
conformity |
合格 |
|
19 |
nonconformity |
不合格 |
|
20 |
corrective action |
纠正措施 |
|
21 |
continual improvement |
持续改进 |
“高级结构”中所规定的通用术语是针对所有ISO的管理体系标准(MSS)而言的,各标准不可以更改这些定义。但每一特定领域的管理体系标准(如ISO9001、ISO14001、ISO45001等)可以根据其特定领域相关需求增加特定的术语,在ISO 37301:2021标准中,上述通用术语中除了“外包”被舍弃,其它全部被引用,并增加了11个合规管理术语,总共有31个术语。
|
序号 |
术语(英文) |
术语(中文) |
|
1 |
governing body |
治理机构 |
|
2 |
personnel |
人员 |
|
3 |
compliance function |
合规团队 |
|
4 |
compliance risk |
合规风险 |
|
5 |
compliance obligation |
合规义务 |
|
6 |
compliance |
合规 |
|
7 |
noncompliance |
不合规 |
|
8 |
compliance culture |
合规文化 |
|
9 |
conduct |
行为 |
|
10 |
third party |
第三方 |
|
11 |
procedure |
程序 |
二、ISO37301合规管理体系专用术语解析
治理机构(governing body)
【标准原文】
governing body
person or group of persons that has the ultimate responsibility and authority for an organization's activities,governance and policies and to which top management reports and by which top management is held accountable.
- Note 1 to entry:Not all organizations,particularly small organizations,will have a governing body separate from top management.
- Note 2 to entry:A governing body can include, but is not limited to, a board of directors, committees of the board,a supervisory board or trustees.
【中文翻译】
治理机构:
对组织的活动、治理和政策负有最终责任和权力,并且最高管理层向其报告并对其负责的一个人或一组人。
- 注释1:并非所有组织,特别是小型组织,都会拥有一个独立于最高管理者的治理机构。
- 注释2:治理机构可以包括但不限于董事会,董事会委员会,监事会或受托人。
【解读与应用】
“治理机构”与“最高管理者”两个术语密切相关并且容易混淆。既然治理机构要对组织设定方向,还要对最高管理者进行问责,那么“治理机构”到底是谁?是股东、股东会、监事会,还是其它机构(如国企的*党**委会)或人员?企业在开展合规管理体系建设时应正面回答这个问题。
按照现行的《中华人民共和国公司法》来看,上市公司的治理机构如下图所示。
对国有企业而言,其公司治理除了要考虑《中华人民共和国公司法》规定的“三会一层”外,还要考虑“老三会”。
- 老三会:*党**委会、职工代表大会、工会。
- 新三会:股东大会、董事会、监事会。
- 三会一层:股东大会、董事会、监事会、经理层。
人员(personnel)
【标准原文】
personnel
individuals in a relationship recognized as a work relationship in national law or practice,or in any contractual relationship that depends on its activity from the organization.
【中文翻译】
人员:
在国家法律或惯例中被视为工作关系的关系中的个人,或在依赖于组织活动的合同关系中的个人。
【解读与应用】
在ISO37301中,该术语由ISO19600中的“employee(员工)”替换为“personnel(人员)”。与“员工”相比,“人员”的范围扩大了,除员工外,还包括劳务派遣工、外包人员等。
在建筑行业、银行行业、电信行业、电力行业,外包、分包是极为常见的情况。相关人员的合规教育不能忽视。
- 人员(personnel)与员工(employee)不同,前者的范围更广,是指在国家法律或实践总被认为是工作关系的个人,或依赖于组织活动的合同关系中的个人;
- 企业在建立合规体系、开展合规培训时,劳务派遣人员、外包人员等都应包括在工作人员范围内。
合规团队(compliance function)
【标准原文】
compliance function
person or group of persons with responsibility and authority for the operation of the compliance management system.
Note 1 to entry:Preferably one individual will be assigned to the oversight of the compliance management system.
【中文翻译】
合规团队:
对合规管理体系的运行负有责任和权限的一个人或一组人。
注1:最好指定一个人负责监督合规管理体系。
【解读与应用】
从字面上看,“compliance function”应直接翻译为“合规职能”,但本术语的定义以“person(s)”打头,所以才译为“合规团队”。
在实践中,企业可以设立专门的“合规部”或“合规管理部”(这种设置一般常见于金融机构),但一般企业都会把合规职能与法务或风险管理等职能整合,设立“法律合规部”,有的甚至与内部审计职能相整合,设立“合规审计部”或“法律审计部”。形式不重要,能妥善履行和管理合规义务才是最重要的。
国务院国资委发布《中央企业合规管理指引(试行)》后,一些中央企业开始在集团层面设立首席合规官,有些企业则直接让首席法律顾问兼任,这都是一种积极的尝试和探索。首席合规官是合规团队的直接领导者,类似于首席财务官(CFO)与财务部的关系。
合规团队的成员可以是律师,也可以是“企业合规师(新职业)”。将来,除律师外,企业相关专业的业务骨干都可以成为企业合规师,来帮助企业实现持续合规。
【延伸阅读】
新职业——企业合规师
2021年3月18日,人力资源社会保障部、国家市场监督管理总局、国家统计局联合发布了企业合规师、公司金融顾问等18个新职业。自此,企业合规师正式进入《国家职业大典》。
职业名称:企业合规师
职业编号:2-06-06-06
职业定义:
从事企业合规建设、管理和监督工作,使企业及企业内部成员行为符合法律法规、监管要求、行业规定和道德规范的人员。
主要工作任务:
- 制定企业合规管理战略规划和管理计划;
- 识别、评估合规风险与管理企业的合规义务;
- 制定并实施企业内部合规管理制度和流程;
- 开展企业合规咨询、合规调查,处理合规举报;
- 监控企业合规管理体系运行有效性,开展评价、审计、优化等工作;
- 处理与外部监管方、合作方相关的合规事务,向服务对象提供相关政策解读服务;
- 开展企业合规培训、合规考核、合规宣传及合规文化建设等。
合规风险compliance risk
【标准原文】
compliance risk
likelihood of occurrence and the consequences of noncompliance with the organization's compliance obligations.
【中文翻译】
合规风险:
不遵守组织合规义务的后果和发生的可能性。
【解读与应用】
合规风险是指企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性(见《中央企业合规管理指引(试行)第二条》)。
“不遵守组织合规义务的后果和发生的可能性”,该定义强调了合规风险的负面影响,并指出判定合规风险的两个因素:不合规的后果及其发生的可能性。
企业在开展全面风险管理过程中,应综合考虑合规风险与战略风险、运营风险、财务风险、市场风险和其他风险的关联性,确保各项风险管理政策和程序的一致性。
参考阅读:2005年4月29日,巴塞尔银行监管委员会发布了《合规与银行内部合规部门》的文件,该文件描述合规风险是指企业因未能遵循法律、监管规定、规划、自律性组织制定的有关准则,而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。
合规义务compliance obligations
【标准原文】
compliance obligations
requirements that an organization mandatorily has to comply with as well as those that an organization voluntarily chooses to comply with
【中文翻译】
合规义务:
组织强制性必须遵守的要求以及组织自愿选择遵守的要求。
【解读与应用】
在法律上,法律要求当事人应为的行为,称为义务。义务与权利是相对等的,义务的履行即为权利的实现,义务的违反即为发生责任。
在日常生活中,义务与权利相对,义务是指在政治上、法律上、道义上应尽的责任。义务是情愿、志愿、应该的。与“责任”相比,义务是“应为”的行为,责任是“必为”的行为。
基于此,企业合规义务可定义为:基于国家、政治、法律、道义等方面的要求,企业应尽的合规责任。
从合规义务的定义可以看出,它既包括合规要求(compliance requirement),又包括合规承诺(compliance commitment),所以,在ISO37301中不再把ISO19600中的术语“合规要求”和“合规承诺”作为术语来对待。
合规compliance
【标准原文】
compliance
meeting all the organization's compliance obligations
【中文翻译】
合规:
履行组织的全部合规义务。
【解读与应用】
“合规”是本标准的主题词。严格来说,“合规”是个动名词,即“合+规”。要合规,首先要有规则,其次是要知道怎么合规,最后才能去实际操作以实现合规。
结合对“要求”、“合规要求”、“合规承诺”、“合规义务”这几个术语的定义,我们可以用下图来描述它们与“合规”的关系。
在实践中,合规指企业及其员工的经营管理行为符合法律法规监管规定、行业准则、企业章程和规章制度,以及国际条约、规则等要求。广义的合规还要符合社会道德规范、习俗等。合规具有刚性,也具有适应性和连续性,企业在实践中应该把握好这几个属性。
合规必须与工作人员的行为和态度相结合,否则只能是“书面合规”。
不合规noncompliance
【标准原文】
noncompliance
non-fulfilment of compliance obligations
【中文翻译】
不合规:
不履行合规义务。
【解读与应用】
不合规与合规相对应。不合规可能是一个事件不合规,也可能是多个事件不合规。不合规可能因不合格所致,也可能不是。比如童工生产的产品,产品本身可能是合格的,但雇佣童工生产则是不合规的。
如果有企业领导或合规人员认为游走在合规与不合规之间是一种本事,那么就会害了企业。因为,抱有这样的合规理念的企业领导或合规人员不仅没有承担起来本应该承担的职责,还让企业有个错误的认识,即寻找灰色地带并在这狭窄的区域谋取利益。这显然是不可取的。
合规文化complaince culture
【标准原文】
compliance culture
values, ethics, beliefs and conduct that exist throughout an organization and interact with the organization's structures and control systems to produce behavioural norms that are conducive to compliance
【中文翻译】
合规文化(compliance culture)
是指贯穿在整个组织的价值观、道德规范和信念,并与组织的结构和控制系统相互作用,产生有利于合规的成果的行为准则。
【解读与应用】
文化是人类社会相对于经济、政治而言的精神活动及其产物,包括物质文化和非物质文化。按主体不同,文化又可分为民族文化、企业文化等。企业文化就是企业在日常运行中所表现出的方方面面,它由企业的价值观、信念、仪式、符号、工作方式等组成,并呈现出其特有的文化现象。
企业文化包括风险文化、合规文化、安全文化、质量文化、以客户为中心的文化等,不同的企业有着不同的文化。因此,不要小瞧文化,更不能小瞧合规文化,因为合规是一种底线思维。
有些读者可能要说:文化是一个很虚的概念。其实,文化是看得见、感受得到的。企业的合规文化蕴涵在其制度、标准作业指导书(SOP)之中,它们一开始可能会让你感觉别扭、不舒服,但如果长期坚持,养成习惯,那么最后就能形成良好的合规文化。好的合规文化能培养员工好的合规意识。例如,员工在因公采购或消费时向对方索要有效的发票;民营企业的普通员工(非*共中***党**员)也自觉履行“八项规定”等。
行为conduct
【标准原文】
conduct
behaviours and practices that impact outcomes for customers, employees, suppliers, markets and communities
【中文翻译】
行为:
是指影响客户、员工、供应商、市场和社区结果的行为和实践。
【解读与应用】
每个企业都有自己的“行为守则(code of conduct)”。在ISO19600中,“code”是术语;在ISO37301中,“conduct”被当作术语,而“code”被从术语里删除了。这再次体现了“行为”在合规中的重要性。
“conduct”与“behavior”虽然都表示“行为”,但二者是有区别的。“behavior”是普通用词,可以指某个具体行为,也可以指某种情况下的一般行为;而“conduct”一般是按照道德规范来说的,通常指违反规定的行为或高尚的行为。
第三方third party
【标准原文】
third party
person or body that is independent of the organization.
Note 1 to entry:All business associates are third parties, but not all third parties are business associates.
【中文翻译】
第三方:
是指独立于组织的人或团体。
注:所有业务伙伴均为第三方,但并非所有第三方均为业务伙伴。
【解读与应用】
“第三方”与“利益相关方”是有区别的,二者有所交集,但互不包含。
对组织而言,第三方一定是独立的,比如会计师事务所;第三方可以是利益相关方,比如业务合作伙伴,在实际业务中,企业与合作伙伴一起投标。利益相关方则不要求具有独立性,利益相关方可以是第三方,也可以是组织内部人员,如员工。