2021年國際標準化組織（ISO）正式發布了ISO 37301：2021《合規管理體系要求和使用指南》和ISO/IEC TS 17021—13：2021 《合格評定?管理體系審核與認證機構的要求?第13部分：合規管理體系審核與認證能力要求》。2022年10月12日，等同采用國際標準的國標GB/T 35770—2022《合規管理體系要求及使用指南》正式發布。ISO/IEC TS 17021—13的國標等同轉化工作也正在進行，不久也將會正式發布。

GB/T35770—2022/ISO37301：2021《合規管理體系要求及使用指南》規定了組織建立、運行、維護和改進合規管理體系的要求，并提供了使用指南，適用于全球任何類型、規模、性質和行業的組織。同時，GB/T35770—2022/ISO37301：2021《合規管理體系要求及使用指南》作為A類標準可以被認證機構在認證活動中直接應用或者在認證機構的認證技術規范中明確將其作為組織符合合規管理體系要求的認證依據。因此，國內許多認證機構已經開展了合規管理體系認證業務，也有越來越多的企業開始關注并申請合規管理體系認證。

本文從企業建立合規管理體系的動因研究入手，進而對企業合規管理體系認證的作用進行分析，對認證在協助、促進、提升企業合規管理體系的水平，滿足相關方要求的方面發揮的重要作用進行闡述。

（一）建立合規管理體系是企業自身持續良性穩健發展的需要

企業是合規管理體系中的主體，合規管理被認為是與業務管理、財務管理并駕齊驅的企業管理三大支柱之一。通過合規管理體系的建立和運行，可以協助組織建立和傳播積極的合規文化，防范企業風險、規范員工行為、履行社會責任，有利于企業實現科學合規、高效合規、有效合規和全面合規，最終實現組織成功、持續和長遠的發展。咨詢服務機構受雇于企業，站在企業的立場和以企業利益為出發點提供專業咨詢服務，如協助企業梳理合規義務、評估合規風險、制定并開展合規培訓計劃等。

（二）建立合規管理體系是企業避免/免除刑事處罰的需要

除自然人外，《刑法》將單位也列為部分犯罪的行為主體，并對其判處罰金。《刑法》第三十條規定“公司、企業、事業單位、機關、團體實施的危害社會的行為，法律規定為單位犯罪的，應當負刑事責任。”目前，我國《刑法》有160多個罪名涉及單位犯罪。對于單位的刑事處罰，采取的是無上限罰金制，根據企業的犯罪情節，判處的罰金數額有可能非常巨大。2021年底，上海市第一中級人民法院對“北八道集團有限公司”操縱證券市場案進行了宣判，不僅對實控人判處有期徒刑并處罰金，更是對“北八道集團有限公司”判處罰金3億元，創下單位刑事犯罪的最大罰金數額。可見，建立合規管理體系，可以增強企業對于刑事風險的防控力。

1.已經建立合規管理體系的企業有可能據此作為無罪抗辯的法定事由

合規管理體系可以作為企業與員工之間的“防火墻”，在涉案時，把企業本身和員工個人行為隔絕開來，即使在員工以企業名義實施犯罪行為時，企業可以以自身合規管理體系的建立和實施為依據證明企業對于員工的犯罪行為不存在故意或者過失，不因此承擔刑事責任。

在被稱為“企業刑事合規抗辯第一案”的“雀巢案”中，蘭州中院的二審判決為：“單位犯罪是為本單位謀取非法利益之目的，在客觀上實施了由本單位集體決定或者由負責人決定的行為。雀巢公司手冊、員工行為規范等證據證實，雀巢公司禁止員工從事侵犯公民個人信息的違法犯罪行為，各上訴人違反公司管理規定，為提升個人業績而實施的犯罪為個人行為。”因此，判決雀巢公司員工個人行為構成了侵犯公民個人信息罪，而非雀巢公司。

2.承諾并落實建立合規管理體系的涉案企業有可能據此免除相應的刑事處罰

《關于建立涉案企業合規第三方監督評估機制的指導意見（試行）》第一條“涉案企業合規第三方監督評估機制，是指人民檢察院在辦理涉企犯罪案件時，對符合企業合規改革試點適用條件的，交由第三方監督評估機制管理委員會選任組成的第三方監督評估組織，對涉案企業的合規承諾進行調查、評估、監督和考察。考察結果作為人民檢察院依法處理案件的重要參考。”《涉案企業合規建設、評估和審查辦法》第二條“對于涉案企業合規建設經評估符合有效性標準的，人民檢察院可以參考評估結論依法作出不批準逮捕、變更強制措施、不起訴的決定，提出從寬處罰的量刑建議，或者向有關主管機關提出從寬處罰、處分的檢察意見。”2022年，檢察機關共辦理企業合規案件5150件，對整改合規的1498家企業、3051人依法不起訴。因此，企業涉案后，在符合條件的前提下，通過建立合規管理體系并經評估符合有效性標準，則有可能不予起訴并免除處罰。

（三）建立合規管理體系是企業遵守行政要求的需要

1.合規管理體系的建立有助于企業防范行政違規風險

行政違規風險有兩大特點：發生的可能性大、產生的后果有可能巨大。相較于《刑法》涉及單位犯罪的罪名數量160多個，我國行政法規、行政規范類文件的數量更是非常龐大。我國現行有效的行政法規就有700多部。行政規范性文件的數量更是多不勝數，僅2022年度，僅北京市司法局，完成備案登記的行政規范性文件就有489件。同時，相較于刑事罪名的相對穩定性，行政類各項要求的新增和變更也較為頻繁。基于行政類義務數量多、變更快的特點，企業發生行政違規風險的可能性比較大。

相較于《刑法》對于單位犯罪中單位本身只有罰金處罰，《行政處罰法》則賦予了行政執法機關可以處以罰款、沒收違法所得、吊銷許可證件、責令停產停業等一系列的處罰權，從而導致企業行政違規有可能承擔嚴重的后果。實踐中，我國的行政處罰金額甚至可能遠遠高于刑事罰金。2022年，因滴滴全球股份有限公司違反《網絡安全法》《數據安全法》《個人信息保護法》，國家互聯網信息辦公室依法對其處以罰款高達人民幣80.26億元。

合規管理體系可以協助企業系統性、持續性、全面性地識別、評估以及管理相關的義務，最大限度地防范相關行政違規風險，減少由此給企業帶來的損失。

2.合規管理體系的建立是相關企業的強制性義務

《商業銀行合規風險管理指引》第八條規定“商業銀行應建立與其經營范圍、組織結構和業務規模相適應的合規風險管理體系。”《保險公司合規管理辦法》第三條“保險公司應當按照本辦法規定，建立健全合規管理制度，完善合規管理組織架構，明確合規管理責任，構建合規管理體系，推動合規文化建設，有效識別并積極主動防范化解合規風險，確保公司穩健運營。”《證券公司和證券投資基金管理公司合規管理辦法》第二條“在中華人民共和國境內設立的證券公司和證券投資基金管理公司應當按照本辦法實施合規管理。” 《中央企業合規管理辦法》第三十九條“中央企業應當根據本辦法，結合實際制定完善合規管理制度，推動所屬單位建立健全合規管理體系。”因此，對于商業銀行、保險公司、證券公司、證券投資基金管理公司等合規高風險行業以及中央企業等來說，建立并實施合規管理體系是其履行強制性義務的要求。

（四）建立合規管理體系是企業滿足客戶期望的需要

1.滿足交易客戶的合規期望

建立了合規管理體系的企業在商業競爭中更容易獲得優勢，在其他能力相當的情況下，政府部門、大型企業以及國際組織等更傾向于與建立合規管理體系的企業進行合作，這不但可以避免因合作企業出現違法違規行為而造成合作項目停滯甚至取消，同時也能體現自身的商業合規理念。

2.符合潛在客戶的合規期望

建立了合規管理體系的企業更能體現承擔社會責任的形象，有利于提高商業信譽。建立合規管理體系可以向社會傳達企業并非將追逐商業利益作為自身經營和發展的唯一目標，企業同時注重承擔環境責任、安全責任、勞動責任等社會責任，從而樹立企業在公眾的正面形象，為企業吸引并積累潛在客戶。

總之，企業建立合規管理體系是自身持續良性穩健發展的需要，是避免/免除刑事處罰的需要，是遵守行政要求的需要，也是滿足客戶期望的需要。

盡管企業大都意識到建立合規管理體系的重要性和必要性，然而，不同的企業對于合規管理體系的理解參差不齊。GB/T 35770—2022/ISO 37301：2021 《合規管理體系要求及使用指南》規定了組織建立、開發、實施、評價、維護和改進有效的合規管理體系的要求，并提供了使用指南和推薦做法。同時，它作為A類標準可以被認證機構在認證活動中直接應用或者在認證機構的認證技術規范中明確將其作為組織符合合規管理體系要求的認證依據。合規管理體系認證與其他管理體系認證一樣，是一種保證方法，用以確保組織已實施了與其方針及相關標準的要求一致的、用以管理其活動、產品和服務相關方面的體系。企業可以依據GB/T 35770—2022/ISO 37301：2021 《合規管理體系要求及使用指南》建立且運行合規管理體系，并通過認證機構的認證，從而提升自身運用系統思維、風險方法、持續改進合規管理體系的能力；為司法機關和監管部門提供有力證明和重要參考；向社會公眾傳遞信任。

（一）合規管理體系認證可以提升企業運用系統思維、風險方法、持續改進合規管理體系的能力

首先，管理體系是“組織為確立方針和目標以及實現這些目標的過程所形成的相互關聯或相互作用的一組要件”（見GB/T 35770—2022/ISO 37301：2021 《合規管理體系要求及使用指南》3.4），合規管理體系通常是一個具有結構性特征的框架，該框架是基本結構、方針、過程和程序的有機組合，因此企業需要以系統性思維去構建并運行合規管理體系，從而獲得認證。其次，即使是一家中小企業，其面對的合規義務也非常繁多，因此，“組織宜采取基于風險的方法，即組織宜首先識別出與業務相關的最重要的合規義務，然后關注所有其他合規義務（帕累托原則）” （見GB/T 35770—2022/ISO 37301：2021 《合規管理體系要求及使用指南》A4.5）。最后，合規管理體系是一個不斷持續循環的過程，“組織應持續改進合規管理體系的適宜性、充分性和有效性” （見GB/T 35770—2022/ISO 37301：2021 《合規管理體系要求及使用指南》10.1）。合規管理體系認證正是運用PDCA理念，幫助企業通過策劃、實施、檢查和改進，確保合規管理體系的完整性和有效性。

（二）合規管理體系認證可以為司法機關和監管部門提供有力證明和重要參考

通過合規管理體系認證幫助企業向司法機關和監管部門證實其已經建立了適宜和有效的合規管理體系，對于發生的不合規事件不存在主觀故意或過失，并且企業已采取了合理的措施避免其發生。同時，對于已經發生的問題，企業有能力通過合規管理體系不斷持續改進。司法機關和監管部門可以據此認可并信任企業合規意愿真實和合規措施有效，從而對企業不予入罪或免除對其處罰。

（三）合規管理體系認證可以向社會公眾傳遞信任

認證的總體目標就是使所有相關方相信管理體系滿足規定要求。通過合規管理體系認證有利于協助企業的領導層運用核心價值觀、良好治理方法和社會準則等來打造和傳播積極的合規文化；有利于保護并提升企業的聲譽和信譽，最大限度地降低違規導致的風險和聲譽損失；有利于向相關方傳遞信任，提升對于企業持續良好經營的信心；有利于證實企業切實有效管理并實施合規承諾和合規義務，樹立企業良好的社會形象。

綜上，認證機構對企業的合規管理體系的認證活動對企業及其相關方都非常重要，起到了技術支撐和提供證明的作用。認證的價值取決于認證機構通過公正、有能力的評定所建立的公信力的程度。但是，認證機構的公正性會受到來自自身利益、自我評審、熟識信任以及脅迫等威脅，認證機構的人員能力也需要被評價、管理和證實，而認可機構可以為認證相關方提供以上的證實，彌補認證機構自身的局限性。認可機構通過簽署國際互認協議、制定發布認可規范等文件，要求認證機構以有能力、一致和公正的方式實施認證，并通過對認證機構實施認可評審，以增強國內外的政府、監管者、公眾和消費者對認證機構能力的信任，并促進各方對認證結果達成廣泛承認。