您的合規管理系統需要認證的 5 個跡象
大多數組織都設有所謂的「合規計畫」。然而,真正具備經得起檢視的合規管理系統的組織卻少之又少。以下是五個跡象,顯示這方面的差距正逐漸顯現——以及為何 ISO 37301 標準正是為填補此缺口而制定的。
合規要求已然改變。十年前,僅需制定行為準則、設立舉報熱線及提供年度培訓課程便已足夠。如今,監管機構、投資者、客戶及法院期待更為完善的架構:一個能夠被驗證、審計並持續改進的系統。ISO 37301 標準明確闡述了此類系統應具備的樣貌。
該標準的設計初衷便是涵蓋廣泛。其適用範圍包括制裁、反賄賂、資料隱私、競爭法、人權、環境合規,以及貴組織負有義務的任何其他領域。問題不在於 ISO 37301 是否相關——它幾乎肯定相關。問題在於您是否需要立即採取行動。
如果你對以下任何情況感到熟悉,答案很可能是「是」。
1. 貴公司的合規工作體現於政策之中,而非系統之中
貴單位有政策。或許政策還不少。但當有人詢問這些政策如何轉化為日常的管控、監控與證據時,要給出答案就沒那麼容易了。政策闡述的是意圖;而管理系統則說明如何將該意圖落實——誰負責各項義務、如何進行監控、收集哪些證據、如何處理例外情況,以及整個系統如何隨著時間推移而持續改進。
ISO 37301 迫使這種轉變。該標準關注的不是組織聲稱會做什麼,而是如何證明其確實付諸實踐。從政策彙編轉向管理系統的組織,幾乎總會發現一些先前未曾察覺的缺口——例如沒有負責人的義務、缺乏監控的管控措施,以及無人追蹤的培訓。
2. 你無法回答「你怎麼知道它有效?」這個問題
董事會、監管機構和審計師越來越常提出類似的問題:你們如何確定自身的合規計畫確實有效?僅憑軼事或無保留意見的審計報告已不足夠。各方期待的是能透過指標、監測及反饋機制,隨著時間推移逐步產出有效性的實證。
ISO 37301 已將此要求納入其中。關於績效評估、內部稽核、管理層檢討及持續改善的條款,均要求組織監控成果、揭露問題並採取相應行動。其結果是建立一套能以數據——而非主觀陳述——來回應「成效」問題的計畫。
3. 只有當事情出錯時,合規才受到重視
在許多組織中,合規工作往往是被動的。每當出現重大新聞事件、監管執法行動或吹哨人舉報時,合規團隊便會突然獲得高層的關注;隨後局勢平息,合規工作又會被擱置一旁。
一個設計完善的內容管理系統(CMS)無需仰賴危機事件來獲得關注。ISO 37301 標準要求高層管理階層的承諾、明確的角色與職責、與業務流程的整合,以及定期向治理機構提交報告。這將合規性從「事件驅動」轉變為「內建於系統之中」——這也正是監管機構日益期待看到的。
4. 貴公司目前在不同司法管轄區開展業務,卻缺乏統一的框架
若貴組織的營運範圍橫跨多個國家,您幾乎肯定會面臨相互重疊、有時甚至相互衝突的合規義務。各國的制裁制度各不相同,資料隱私法規亦有所差異,反賄賂執法的優先順序亦不盡相同。若缺乏統一的框架,合規工作便會淪為零散的在地應對措施,缺乏一致的方法來進行比較、排序或報告。
ISO 37301 提供了這樣的框架。它並非取代當地法律要求,而是為您提供了一種有系統的方法,用以識別、分配、管控及彙總這些要求。對於跨司法管轄區的組織而言,這往往是取得認證所能帶來的最大實質效益。
5. 您必須向外界證明符合規範——而不僅僅是內部符合
客戶要求獲得保證。投資者詢問 ESG 及公司治理相關事宜。監管機構詢問貴公司如何管理風險。合作夥伴在簽署合約前會先提出詢問。外界對合規證明的需求已大幅增加,而內部核可已不再像以往那樣具有說服力。
ISO 37301 認證是獨立第三方提供的證明,顯示貴組織的合規管理系統符合國際標準。此認證雖無法保證合規行為的完善,但確實能提供結構化且經外部驗證的證明,而這正是利害關係人日益重視的。對於那些經常需要向外部單位證明其合規成熟度的組織而言,取得此認證所節省的溝通成本,往往足以抵銷認證費用。
ISO 37301 並非什麼
有必要明確說明該標準無法做到什麼。ISO 37301 並不會告訴您哪些法律適用於您的企業——這屬於您的職責範圍。它無法取代關於制裁、反賄賂、資料隱私或任何其他技術領域的專業建議。此外,它也無法消除合規風險。該標準所能提供的,是經過驗證且獲得國際認可的風險管理框架。
對於已建立成熟合規計畫的組織而言,ISO 37301 往往只是將其現有做法正式化。而對於尚處於初期階段的組織,該標準則是一份實用的藍圖,讓他們無需從頭開始制定。無論處於何種階段,這項標準都能配合貴組織的現有狀況。
從何說起
若上述五項徵兆中有任何一項與貴組織情況相符,下一步未必是立即投入認證。真正的下一步,是深入理解該標準的實際要求,以及貴組織現有的運作方式如何與之對應。多數組織在某些條款上的進度比預期更為領先,但在其他條款上則比預期更為落後。能否釐清兩者的差異,正是決定 ISO 37301 認證之路能否順利推進,抑或淪為徒勞無功的關鍵所在。
建立此內部視角最有效的方式,是對一小支團隊進行該標準的培訓。經過培訓的內部團隊能夠閱讀 ISO 37301,辨識貴組織現行計畫與標準的契合之處,並找出未達標之處——無需承擔外部機構的成本或受其制約。在此基礎上,後續的推進路徑將取決於貴組織的意願、利害關係人以及時程安排。有些組織會直接邁向認證;另一些則先在內部運用該標準來完善其計畫,之後才尋求外部保證。這兩種做法皆屬可行。
準備好邁向 ISO 37301 認證了嗎?Speeki 協助組織取得 ISO 37301 認證 並透過 Speeki 高階管理培訓提供內部審計員及首席審計員培訓。
歡迎聯絡我們 歡迎聯絡我們,討論認證或培訓事宜。