近年来，国与国之间的关系日益复杂，全球贸易及产业链也进入到深度的调整与重构时期。

在国家层面，各国均逐步建立了严格的合规监管制度，监管机构也加大了立法深度和执法力度，在国际贸易活动中对不合规行为实施联合惩戒。

对于企业而言，不仅需要保障自身的网络安全，更要遵守国家的法律法规和政策，以确保企业的合法合规性。因此，建立合规管理体系已经成为企业必备的管理手段，合规已经成为各类组织成功和可持续发展的基础。

为了满足全球化合规的快速发展和迫切需求，提升各类组织合规管理能力，促进国际贸易、交流与合作， ISO组织于2018年11月启动了ISO 37301的制定工作，基于最新的合规管理实践，修订并代替ISO 19600:2014《合规管理体系指南》。配合ISO 37301实施，还将会有ISO 37002《举报管理体系指南》公布，国际标准化组织已经建立起基于合规的一整套标准体系。

我国的企业合规始于2018年年底出台的《中央企业合规管理指引（试行）》和《企业境外经营合规管理指引》。2021年2月，国资委发布《国资监管责任约谈工作规则》，明确出现合规问题的企业将被作为约谈对象；2021年3月8日，《最高人民检察院工作报告（2020年）》也强调“督促涉案企业合规”；2021年3月11日，十三届全国人大四次会议表决通过的“十四五”规划明确要求企业要加强合规管理。2021年11月1日，国资委《关于进一步深化法治央企建设的意见》指出，中央企业合规管理建设的近期目标是，到2025年基本建立全面覆盖、有效运行的合规管理体系。2022年4月20日，广东省国资委出台了《省属企业“合规管理强化年”行动方案》，在全国率先明确提出“力争通过三年努力，全部省属企业通过ISO37301贯标认证”，吹响了我国企业大规模开展合规体系贯标认证工作的嘹亮号角。

■ 我国合规体系架构：

■ 我国合规体系发展历程：

2008年，财政部等5部委印发《企业内部控制基本规范》；

2010年，财政部等5部委印发《企业内部控制配套指引》；

2015年，国资委印发《关于全面推进法治央企建设的意见》，明确提出经营合规的基本要求。

2018年，国资委颁布《中央企业合规管理指引（试行）》；

2018年，国家发展改革委等7部门发布《企业境外经营合规管理指引》；

2020年，国家反垄断委员会印发《经营者反垄断合规指南》；

2020年，中国中小企业协会颁布团体标准《中小企业合规管理体系有效性评价》；

2022年8月，国资委出台《中央企业合规管理办法》；

2022年10月，发布国家标准《合规管理体系 要求及使用指南》。

2021年4月，中国科学技术法学会T/CLAST 001-2021《个人信息处理法律合规性评估指引》；

2021年6月，山西省环境保护产业协会 T/SXAEPI1-2021《工业企业环境保护合规管理指南》；

2021年11月，中国企业评价协会T/CEEAS004-2021《企业合规师职业技能评价标准》；

2022年5月，中国中小企业协会 T/CASMES 19-2022《中小企业合规管理体系有效性评价》。

我国中央企业大多已经按照国务院国资委《中央企业合规管理指引（试行）》建立合规管理体系，并正在推动各子公司建立和有效运行合规管理体系。不少省、自治区和直辖市也颁布实施了当地所属国有企业的合规管理指引，并着手推动当地所属国有企业的合规管理体系建设工作。

但是，我国大多数民营企业的合规管理尚未起步，重大违规事件频发，情况堪忧。建立合规管理体系将是企业参与国际市场竞争的基本资格条件，企业开展合规管理、建立合规管理体系，刻不容缓。

2021年4月13日，企业合规领域国际层面的重磅标准——ISO 37301:2021《合规管理体系要求及使用指南》（Compliance management systems — Requirements with guidance for use）正式发布实施。

从2018年11月ISO启动合规新标准的制定工作以来，历时三年多，五个阶段，ISO 37301终于问世，它将取代ISO 19600:2014《合规管理体系指南》，这也标志着合规标准的性质由管理体系B型标准变成A型标准，从推荐性标准正式变成可认证性标准。

ISO 37301的制定对于各类组织的合规管理能力建设、政府监管活动、国际贸易交流、沟通合作改善等具有重要的意义：

■ 为各类组织提高自身的合规管理能力提供系统化方法；

■ 为监管机构和司法机构采信组织的合规整改计划、合规管理体系实践提供参考依据；

■ 为便利全球范围内相关方之间的贸易、交流与合作提供了通用规则。

ISO 37301 标准遵循连续提升模型，即“开发-实施-评价-保持”。合规管理体系通用要素的框架如下图所示。

具体内容如下：

（1）组织环境

组织所处的环境构成了组织赖以生存的基础。这些环境既涉及法律法规、监管要求、行业准则、良好实践、道德标准，又涉及组织自行制定或公开声明遵守的各类规则。

（2）领导作用

领导是合规管理的根本，对于整个组织树立合规意识、建立高效的合规管理体系具有至关重要的作用。

（3）策划

策划是预测潜在的情形和后果，对于确保合规管理体系能实现预期效果，防范并减少不希望的影响，实现持续改进具有重要作用。

（4）支持

支持是合规管理的重要保障，对于合规管理体系在各个层面得到认可并保障合规行为实施具有重要的支持作用。

（5）运行

运行是立足于执行层面，策划、实施和控制满足合规义务和战略层面规划的措施相关的流程，以确保组织运行合规管理体系。

（6）绩效评价

绩效评价是对合规管理体系建立并运行后的绩效、体系有效性评价，对于查找可能存在的问题，后续改进合规管理体系等具有重要意义。

（7）改进

改进是对合规管理体系运行中发生不合格/不合规情况做出反应、评价是否需要采取措施，消除不合格/不合规的根本原因，以避免再次发生或在其他地方发生，并持续改进，以确保合规管理体系的动态持续有效。

（1）增加管理者责任，强化领导作用

ISO 37301在合规文化方面增加了最高管理者对合规行为的促进作用，和对不合规行为的遏制及零容忍态度。

（2）更加注重合规文化在企业管理上的作用

合规文化建设在整个合规体系建设中具有举足轻重的作用，企业自上而下建设一种普遍意识、道德标准及价值取向，从精神层面确保各项经营管理活动始终符合合规要求。

（3）新增“雇佣”程序内容，强调人是合规经营的关键要素

ISO 37301对合规管理体系所管控的“人”的范围，从原有法律认可的雇佣“员工”，延伸到了与组织存在合同关系的所有“职员”。

（4）新增合规疑虑的汇报机制

畅通合规疑虑的汇报渠道和建立合理的调查程序，是组织识别和预防合规风险、改进合规管理体系行之有效的方法。

（5）增加了运行过程中的调查程序

运行是立足于执行层面，ISO 37301对评价、评估、调查和处理可疑或实际违规事件的报告，辅以相应的调查程序。

总之，ISO37301标准推出，统一了各个国家针对合规管理体系的认识，为组织提高自身的合规管理能力提供系统化方法，为监管机构和司法机构采信组织的合规管理体系实践提供参考依据，为便利全球范围内相关方之间的贸易、交流与合作提供通用规则。

随着信息技术的不断发展和国家法律法规的不断更新，企业需要不断跟进和适应变化，加强合规管理体系的建设和执行，提高企业信息安全和合法合规性的保障能力，从而更好地应对市场竞争和风险挑战。

英国标准协会（BSI）将合规管理体系形容为一把大伞，如下图：

合规体系的本质是帮助企业防范合规风险，降低违规带来的成本和声誉损失。

各个管理体系构成伞骨，包括质量管理（ISO 9001标准）、环境管理（ISO 14001标准）、健康安全管理（ISO 45001标准）、反商业贿赂（ISO 37001标准）、信息安全管理（ISO 27001标准）、隐私信息管理（ISO 27701标准）等，每一方面构成支撑企业运营的伞骨，伞骨强韧而牢固，伞面才能应对未来更大且瞬息万变的生态环境。

建立合规管理体系是企业保障自身信息安全和合法合规性的重要手段，可以有效地保护企业的财产安全，提升企业品牌形象，防范法律风险，提高企业管理效率。

建立合规管理体系可以有效保护企业的财产安全，防止企业因为不符合法律法规而面临的罚款、损失等问题。

合规管理体系的建立可以提升企业品牌形象，让消费者和投资者更加信任企业，从而提升企业的市场竞争力。

随着国家法律法规的不断更新和完善，企业需要及时跟进新的法律法规，以避免因为不符合法律法规而面临的法律风险。

合规管理体系的建立可以帮助企业规范管理流程，提高管理效率，从而提高企业的生产效率和经济效益。

企业合规体系的搭建，应根据所在行业特点和经营管理模式，有针对性地规划设计合规体系。一个行之有效的合规体系搭建，离不开合理的制度和程序、高层参与、风险评估、尽职调查、培训和沟通、监督和审核六大组成部分，这六大组成部分也是ISO 37301合规管理体系基本要素的要求。具体而言：

（1）规划合理的制度和程序

企业应制定合理的制度和程序，其作为企业合规体系的核心，是企业所有员工履行职责的基本要求。

（2）高层参与

企业合规运作应有高层的参与，形成较为成熟的合规组织体系。高层参与能够使企业形成上下连贯的合规组织结构，这样能够确保企业管理层及时识别合规风险并采取应对措施。

（3）风险评估

定期或不定期地对企业活动中存在的合规风险进行识别与评估。例如，在投融资或收购项目中，企业需要对该项目进行合规风险评估，评估结果作为决策参考，降低企业风险。

（4）尽职调查

合规部门针对已存在的合规风险进行调查和研究，形成合规风险报告，并研究制定和实施降低风险的措施。

（5）培训与沟通

企业需要定期组织培训和沟通，一方面能够确保员工了解最新的法律法规、监管规定、企业内部规章制度等方面内容；另一方面也能够保证企业高层管理者与其他层级员工维持一种稳定的沟通，使企业高层管理者的合规理念与态度能够顺畅传达至企业各层级员工，形成合规文化。

（6）监督与审核

企业应建立合规监控体系，包括监督与审核。监督是指企业的高层管理者或员工在进行业务活动时，都应在其职责范围内进行可持续的管理与监督，检查每一项业务活动是否存在违规行为。审核是企业对合规管理体系运行情况的评审，企业通过审核及时发现问题并加以整改，有助于持续提升合规管理能力，确保企业的合规体系在全球各地得到了良好的贯彻执行。

（1）明确合规目标

企业在建立合规管理体系前，需要明确合规目标，确定合规管理体系的范围和目标，以确保其符合国家法律法规和政策要求，同时也满足企业自身的实际需求。

（2）制定合规策略

在明确合规目标后，企业需要制定相应的合规策略，包括风险评估、合规政策、合规培训和管理等方面。

（3）建立合规管理体系

企业需要根据自身的实际情况，建立符合国家法律法规和政策要求的合规管理体系，并进行相应的内部管理和外部认证。合规管理体系应包括合规框架、合规政策、合规培训、合规监督和评估等方面。

（4）执行合规管理体系

建立合规管理体系后，企业需要全面执行合规体系，包括合规政策的通知和培训、合规监督和检查、合规风险评估和预警等方面。

（5）持续改进合规管理体系

合规管理体系的建立和执行是一个持续改进的过程，企业需要不断反思和总结经验，及时调整修正合规政策和管理措施，以确保合规管理体系的有效性和持续改进。

ISO 37301标准的适时推出，为企业提供了一个搭建合规体系的方法论和架构，同时借助具有实操经验的专家指导和协助，企业可以有效搭建出适配企业实际情况并符合国际水准的合规管理体系，赋能企业业务增长，为企业国内外运营保驾护航。

在了解了企业合规体系搭建方法论的基础上，我们以国家颁布的《网络安全法》《数据安全法》《个人信息保护法》为例，结合数据合规应用场景，讨论企业数据合规落地的工作要点。

网络安全法是中国政府制定的网络安全领域基础法律，企业需要遵守以下合规要点：

（1）网络安全保护责任制。企业需要建立网络安全保护责任制，明确网络安全管理的职责和义务，确保网络安全。

（2）网络安全风险评估和预警。企业需要对网络安全风险进行评估和预警，并采取相应的风险控制措施。

（3）网络安全事件的报告和处置。企业需要建立网络安全事件的报告和处置机制，及时报告和处理网络安全事件，保护企业和客户的信息安全。

（4）网络安全监督和检查。企业需要接受国家有关部门的网络安全监督和检查，确保企业的网络安全符合国家法律法规和政策要求。

数据安全法是中国政府制定的数据安全领域的基础法律，企业需要遵守以下合规要点：

（1）数据分类保护。企业需要对数据进行分类保护，根据数据的重要性和敏感程度，采取不同的数据保护措施。

（2）数据安全风险评估和预警。企业需要对数据安全风险进行评估和预警，并采取相应的风险控制措施。

（3）数据安全管理制度。企业需要建立数据安全管理制度，包括数据采集、处理、存储和传输等方面的管理措施，确保数据安全。

（4）数据安全事件的报告和处置。企业需要建立数据安全事件的报告和处置机制，及时报告和处理数据安全事件，保护企业和客户的数据安全。

个人信息保护法是中国政府制定的个人信息保护领域的基础法律，企业需要遵守以下合规要点：

（1）个人信息采集和使用的合法性。企业需要在收集和使用个人信息时，遵循合法、正当、必要的原则，保护个人信息的安全和隐私。

（2）个人信息安全保护措施。企业需要采取相应的安全保护措施，保护个人信息不被非法获取、泄露、篡改或破坏。

（3）个人信息使用限制。企业需要明确个人信息的使用范围和目的，不得超出合法、正当、必要的范围，不得从事违法违规的活动。

（4）个人信息保护知情权和选择权。企业需要尊重个人信息主体的知情权和选择权，告知个人信息主体个人信息采集和使用的情况，并给予个人信息主体选择的权利。

（5）个人信息安全事件的报告和处置。企业需要建立个人信息安全事件的报告和处置机制，及时报告和处理个人信息安全事件，保护个人信息主体的权益。

•合规相关方、合规义务识别不全面；

•缺少规范性程序文件；

•合规方针不够清晰和具体；

•合规文化的制度规定不健全；

•未清晰界定企业各相关部门合规管理职责和权限；

•合规职能部门的权限、地位和独立性、汇报线规定不清晰；

•缺少全面系统的举报、调查机制的制度规定；

•未系统开展合规管理体系内部审核和管理评审；

•缺少对合规管理文件的制度化管理。

虽然企业合规建设过程中存在着以上的问题，但是随着强化合规管理、防范合规风险成为全球企业发展的趋势，合规已经是企业适应当下新格局的必然选择。可以说合规是企业能够持续生存下去的一道门槛，是进入现代法治社会的通行证，也是企业亟需激活的一种生产力。