董事會對合規工作的真正期望

合規議題已從營運層面的關注事項，升格為董事會議程。董事們不再滿足於聽取政策簡報——他們想要的是證據，證明系統運作良好、風險已由相關方承擔，且已由獨立第三方進行過審查。這正是能滿足他們需求的關鍵。 

董事會對合規的責任並非新概念。真正的新變化在於，這項責任如今受到的審視程度。監管機構期望董事會能具體說明其如何監督合規風險；投資者則期望企業在治理資訊的披露上，能超越單純的政策聲明；而法院與執法機關在評估組織是否認真履行合規義務時，也越來越多地關注董事會的行為表現。 

在這樣的環境下，董事們面臨的問題已不再是他們是否應負責合規監督——因為他們確實負有此責。真正的問題在於如何做好這項工作：如何確認系統運作正常、風險所在何處，以及在收到報告時該提出哪些問題。基於 ISO 37301 標準建立的認證合規管理系統，正是解答這些問題最務實的方法之一。 

董事會實際上應履行哪些職責 

各司法管轄區的趨勢一致。董事會應為合規工作定下基調、確保充足資源、監督合規職能、評估成效並針對問題採取行動。具體細節雖有差異——無論是《英國企業管治守則》、美國司法部針對企業合規計畫的評估標準、法國《薩潘二號法案》制度，還是《新加坡企業管治守則》等眾多規範，皆以不同形式表達了相同的期望。 

這些框架都沒有告訴董事會該如何執行這項工作。它們僅描述了理想的狀態，卻未具體說明具體的運作機制。這正是 ISO 37301 發揮作用之處。 

董事會真正需要的是什麼——以及如何獲得 

董事會無需了解合規管理系統的運作細節。他們需要確認該系統具備完善的治理架構——明確的報告線、成效證明、獨立的保證機制，以及全組織通用的共同語言。ISO 37301 標準在設計上已將這些要素悉數納入。 

明確的報告關係 

該標準要求設立一個能直接向最高管理層及治理機構匯報的合規職能部門。其規定須明確界定職責、以文件形式釐清權限，並定期向董事會提交報告。對於那些一直難以獲得一致、可比且及時合規報告的董事而言，此架構無疑是一項重大的改進。 

需有成效的證據，而不僅是活動的證據 

合規報告通常著重描述各項活動——例如已舉辦的培訓、更新的政策、已結案的調查等。然而，活動本身並不等同於成效。ISO 37301 標準要求監測成果、對系統本身進行內部稽核，以及由管理層審查該系統是否發揮作用。董事會獲取的資訊應是合規措施是否真正發揮作用，而不僅僅是合規部門是否忙碌。 

獨立保證 

獨立的第三方認證能向董事會提供外部佐證，證明合規管理系統符合國際標準。這並非針對組織所作出的每項合規決策發表意見——而是獨立證據，證明圍繞這些決策的系統具備完善的架構、受到有效監控並持續改進。對於負責核可治理披露的董事而言，這項證據具有重要份量。 

全組織通用的語言 

在大型或複雜的組織中，董事會經常收到來自不同業務部門的合規報告，且報告方式各異。ISO 37301 標準確立了一套共通的架構——針對背景、風險、控制措施、監控及改進等概念採用統一的術語，無論報告來自哪個業務單位或司法管轄區，皆能保持一致。如此一來，董事會便能獲得可供實際比較並據此採取行動的資訊。 

每位導演都應該能回答的五個問題 

董事通常需要能夠回答關於合規性的一系列關鍵問題——這些正是監管機構、投資者或審計師提出詢問時最為重要的問題。一套經認證的合規管理系統幾乎能完全對應這些問題。 

我們清楚必須遵守哪些規定嗎？ISO 37301 要求建立一套系統化的流程，用以識別並記錄合規義務。董事會對此有充分的解釋依據。 

我們是否已評估風險所在？該標準要求進行風險評估，將義務與其適用的活動、流程及管轄範圍相連結。董事會能夠清楚掌握組織已將哪些風險列為優先處理項目，以及其背後的原因。 

我們是否已建立適當的控制措施？該標準要求控制措施須與已識別的風險相稱，並須有書面記錄以明確責任歸屬及監控機制。董事會可就具體控制措施提出詢問，並應獲得相應答覆。 

我們如何知道這套機制是否有效？該標準要求進行績效監控、內部稽核、管理層審查及持續改善。董事會收到的不僅是流程說明，還有具體成果數據。 

一旦發生問題該如何應對？該標準要求建立針對不符合項、矯正措施及經驗教訓的處理流程。董事會所見的，是一個旨在吸收並應對失敗的系統，而非假裝失敗不會發生的系統。 

對董事而言，這場對話比大多數董事會目前關於合規性的討論更有實質意義。 

認證對董事會而言有何不足之處 

這並不能免除董事的合規義務。認證僅是管理體系運作的證明，而非免除個人責任的護盾。若董事會採納 ISO 37301 標準後卻不再履行合規監督職責，便已偏離了核心要義——屆時監管機構或法院恐怕不會買帳。 

此外，它也不會讓合規淪為走過場的例行公事。該標準要求的是實質性的監督，而非僅僅形式上符合標準本身。若董事會將 ISO 37301 視為文書工作而非治理紀律，便難以從中獲益；反之，若將其作為提出更佳問題的結構化方法，則能獲得豐碩成果。 

董事會的角色 

ISO 37301 明確針對治理機構。最高管理層必須展現承諾、確保資源、將合規工作融入業務流程，並向治理機構匯報。而治理機構則應負責監督。該標準並未要求董事會親自執行合規工作，而是要求董事會對相關工作進行監督。 

實際上，這對董事而言意味著三件事。首先，務必確認合規職能具備所需的組織架構、資源及權限。其次，積極參與管理層審查流程——提出問題、質疑假設、跟進審查結果。第三，將合規報告視為需仔細研讀的文件，而非僅憑表面內容便予以採納。 

戰略層面 

除了風險管理之外，ISO 37301 還具備一項策略層面的意義，這一點往往未獲得應有的重視。合規成熟度正日益成為一項商業資產。客戶傾向選擇值得信賴的夥伴；投資者會因治理風險而降低估值；監管機構則會對具公信力的系統給予肯定；而人才也傾向加入那些認真履行義務的組織。 

將 ISO 37301 純粹視為成本負擔的董事會往往未能領會箇中要義。而將其視為組織長期創造與維護價值的一環的董事會，則能從中獲益更多——且往往能帶領組織更輕鬆地達成合規，而非感到舉步維艱。 

總而言之

合規監督是董事會不可轉授的責任——且這項責任正受到日益嚴格的審視。基於 ISO 37301 標準建立的認證合規管理系統，為董事們提供了一種結構化且國際公認的方式來履行此責任。這既非策略，亦不能取代實際參與。但對於那些希望獲得「我們如何知道合規計畫是否有效？」這個問題的可信答案的董事會而言，這是目前最實用的工具。 

正在考慮為貴組織導入 ISO 37301 標準嗎？Speeki 為組織提供 ISO 37301 認證服務 並透過 Speeki 為董事會、合規團隊及內部稽核人員提供培訓 高階管理培訓提供培訓。 

歡迎聯絡我們 歡迎聯絡我們，討論認證或培訓事宜。