經得起考驗的合規性：當系統面臨挑戰時應如何應對 

在平常日子裡，每項合規計畫看起來都無懈可擊。真正的考驗在於：當監管機構展開調查、記者刊載報導、客戶就盡職調查提出質疑，或是董事會追問為何未能察覺問題時。究竟哪家組織能安然度過危機並維持公信力，哪家則不然，關鍵往往不在於事件本身——而在於當合規系統面臨挑戰之際，能否以書面形式呈現其運作實況。 

在一年中的大部分時間裡，合規工作都是一項隱形的職能。政策會被審查、培訓會進行、稽核會完成，報告也會提交給董事會。這些工作通常都不會引起太多關注。 直到某件事發生——供應鏈中發現受制裁的交易對手、支付給代理人的款項受到審查、發生資料外洩事件、或吹哨人聯繫監管機構——該職能部門便必須在數天或數週內，證明多年來的工作成果足以構成一個站得住腳的立場。 

這正是區分「合規計畫」與「合規系統」的關鍵所在。所謂計畫，是指組織所執行的一系列活動；而所謂系統，則是當外部單位要求說明時，組織能夠提出、證明並捍衛的體制。多數計畫在內部審查下尚能經得起考驗，但當審查來自外部時，能經得起考驗的計畫則少之又少。 

誰在進行這項挑戰 

有必要具體釐清這些挑戰者究竟是誰，因為每一方的期望各不相同，而該系統必須滿足所有這些期望。監管機構會尋找證據，以確認該組織在事件發生前是否認真履行了其義務——包括風險評估、管控措施、監控、培訓及升級處理程序。他們要釐清的是：此次失誤究竟是受控系統中單一環節的故障，還是反映出該系統從未真正建立起來。 

客戶與商業夥伴希望獲得保證，確信該組織未來仍可安全地與之進行業務往來。他們的關注點是前瞻性的：這類事件是否會重演，以及有哪些改變。投資者與評級機構則關注治理成熟度——董事會是否已獲知情、監督是否充分、資訊披露是否及時。記者與公眾則關注企業文化與意圖。內部稽核人員與董事會則會審視上述所有方面，甚至更多。 

對於這些受眾而言，僅僅聲稱該組織設有合規計畫是遠遠不夠的。他們想了解該計畫實際如何運作。 

「可辯護」一詞的實際含義 

「可辯護性」一詞常被廣泛且不嚴謹地使用。實際上，它具有狹義的定義：組織必須能應要求提供證據，證明其合規系統是針對所面臨的風險而妥善設計的、運作符合預期、受到監控，並且持續進行改善。這四個要素皆至關重要。 

設計得當。該 系統必須反映組織實際面臨的風險——而非從其他地方套用而來的通用方案。監管機構在審查制裁違規事件時，會要求看到一份附有書面邏輯的制裁風險評估報告，該報告須將組織的風險暴露與現有的控制措施相互關聯。若僅是從其他行業複製貼上的政策，將無法通過此項審查。 

運作如預期。設計 控制措施與實際執行控制措施是兩回事。運作的證據——包括日誌、篩查記錄、升級處理、與職務相關的培訓完成情況，以及已處理並記錄的例外情況——正是區分系統與文件的关键。無法迅速提供這些證據的組織，往往會發現自己其實是基於假設而非控制措施來運作。 

監控。 除了負責操作控制措施的人員之外，還必須有其他人 來確認這些控制措施是否有效。內部稽核、第二道防線監控、管理層審查——不同組織的架構雖有差異，但原則是相同的。若缺乏這項機制，系統便沒有反饋迴路，也無法在問題演變成事件之前及時發現並處理。 

已改善。 透過監控、稽核、吹哨或外部事件所揭露的問題， 必須以有據可查的方式進行追蹤、處理並結案。若監管機構兩度發現相同的控制缺失，且兩次發現之間毫無採取行動的跡象，這將是最具破壞性的模式。持續改善並非口號——它是組織具備學習能力的明證。 

為何認證能改變對話的走向 

透過依據國際標準 ISO 37301 進行的合規管理系統獨立認證，能將內部努力轉化為外部佐證。當面臨挑戰時，這將以關鍵的方式轉移對話的焦點。 

若未取得認證，該組織必須從頭開始證明其系統符合可信的標準。監管機構或合作夥伴有權持懷疑態度。評估內部文件的人員沒有理由給予善意推定。關於該系統的每一項聲明都必須從頭開始提供證據——在壓力下，且時間緊迫。 

取得認證後，即表示已有獨立第三方依據國際標準對該系統進行評估，並認定其符合相關要求。該組織並非在請求他人信任，而是指出已完成的外部驗證結果。 監管機構對此予以認可。合作夥伴因此感到安心。董事會則以此為依歸。討論的焦點從「證明你的系統是可信的」轉變為「解釋為何此事能從一個可信的系統中漏網」。這是一場截然不同的對話——而這正是組織在面臨質疑之日，最希望進行的對話。 

該系統當天必須能夠產出什麼 

有一項實用的演練，任何合規主管都能在不需借助外部協助的情況下進行：假設監管機構剛啟動了一項調查。他們已安排了為期48小時的會議。組織需要準備哪些資料才能應對？ 

一份附有書面邏輯依據的最新合規風險評估報告。一份列明負責人的合規義務清單。與這些義務相對應的控制措施，並附有運作證明。與職務角色相連結的培訓紀錄。過去 24 個月內的監控報告，其中須明確記載所發現的問題及已採取的行動。內部稽核報告及管理層的回應。董事會參與的紀錄——並非僅記載「討論過合規事項」的會議紀錄，而是實質內容。事件、未遂事件及其應對措施的紀錄。 持續改進的證據——並非口頭聲稱，而是有文件可循的軌跡。 

以國際標準為基礎建構系統的組織，通常能在數小時內完成其中大部分工作。反之，那些將合規工作視為單一活動而非系統來運作的組織，往往需要花費數週時間來彙整證據——而且在此過程中，經常發現相關證據根本不存在。 

在壓力下尋求真相的代價 

這種對話中最棘手的情況，莫過於當組織在事件發生期間發現，其合規系統並不如原先假設的那樣站得住腳。這種發現很少是出於政策缺失，而是通常涉及證據缺失——未進行的監控、未記錄的例外情況、已完成但未與職責掛鉤的培訓，以及審計中標示出的問題始終未獲解決。 

等到問題被發現時，可選擇的方案已所剩無幾。組織可以選擇揭露這些漏洞並承擔後果，或者在壓力下試圖進行補救，但這可能讓人覺得是在事後補救系統。這兩種情況都不理想。另一種做法——在挑戰來臨之前就建立系統、提供相關證明並接受獨立驗證——相較於被動應對的方式，不僅成本低得多，壓力也小得多。 

這在實際操作中意味著什麼 

對於已建立結構化合規管理系統的組織而言，認證的價值在於將內部努力轉化為外部證據。相關工作原本就在進行中；認證則使其能被需要了解的人所看見。 

對於那些合規職能仍以活動為導向而非以系統為基礎的組織而言，致力於遵循公認標準的價值在於它提供了一份藍圖。ISO 37301 並未告訴組織哪些法律適用於它們，也無法消除合規風險。它的作用在於強制建立一套紀律，要求針對風險設計控制措施、證明其運作、進行獨立監控並加以改進——這四項要素將決定該系統在面臨挑戰時能否經得起考驗。 

這個決定其實並非關乎某項標準、某張證書或某次稽核。它關乎的是，當下次組織外部有人提出這個問題時，組織希望能夠產出什麼成果，以及在什麼時限內完成。 

建立一套經得起考驗的合規體系 

想確保您的合規管理系統具有可辯護性嗎？Speeki 為組織提供 ISO 37301 認證服務 ，並透過 Speeki 高階管理培訓提供內部稽核員及首席稽核員培訓。  

歡迎聯絡我們 歡迎聯絡我們，討論認證或培訓事宜。