2021年4月13日，ISO37301: 2021《合規管理體系——要求及使用指南》（Compliance management systems — Requirements with guidance for use）國際標準正式發布實施。下面，光曦國際專家為您詳細解讀ISO37301:2021《合規管理體系——要求及使用指南》（以下簡稱：《指南》）

一、《合規管理指南》的特色：靈活與多變

合規所涵蓋的內容甚廣，從法律規范到道德規范再到對外承諾。妄圖在短時間內搭建一個適用于所有合規義務、合規體系并符合《指南》要求的合規管理體系框架是不現實的，況且在搭建合規體系時最先面對的幾個重要問題是：

01.要通過體系認證解決什么問題？

02.合規體系與其他既往體系如何進行融合？

03.合規義務怎樣體現在企業各個管理當中？

與其他ISO認證標準(如質量、安全、業務連續性等等)不同，合規管理指南并沒有明確的主題指向性。因為各個企業搭建合規體系的目標是各不相同地，有的為了解決反不正當競爭的問題，有的為了解決反壟斷的問題、有的為了解決貪腐問題、有的為了解決第三方管理的問題等等。所以合規管理具有靈活與多變的特點，極有可能覆蓋到多種合規義務及管理職能。

二、什么樣的企業需要合規管理體系？

標準答案為：任何企業。

在《ISO37301》第二章：范圍中提到：本文件適用于所有類型的組織，無論其類型、規模和性質，以及該組織是否來自國有的、私營的或非營利機構。但是在“所有類型”的組織當中，是否有更適用的重點類型呢？

我們提煉了以下四種組織類型，供各位參考：

01 處于強監管行業的企業

強監管行業的企業面臨著更大違規風險的可能性，所以需要盡快加強其體系建設

02 央企（尤其有境外業務的央企）

國資委已于2018年11月2日印發了《中央企業合規管理指引（試行）》，同年12月，在發改委等七部門聯合印發了《企業境外經營合規管理指引》之后，央企合規管理被提升至前所未有地重要高度。尤其是已經“出海”的各大央企，由于面臨著復雜的境外環境，更需要有合規體系來進行保駕護航。

03 地方國企

一些地方國資委也已經把合規管理落實到工作日程上，如北京市國資委，其下屬企業需要建立合規體系來滿足相應的監管要求。

04 已或正在“吃虧”的企業

對于已經涉及案件或者被調查甚至被處罰的企業，合規體系的建立更是刻不容緩，因為相較于動輒的巨額罰金，前置的體系建設成本確實是微乎其微。

三、ISO37301:2021《合規管理體系——要求及使用指南》逐章解讀

Introduction簡介

此章節對于《指南》的意義、做法、核心及價值進行了介紹。

首先，《指南》指出合規體系是對旨在取得長期成功的組織所必需的，同時合規不僅是基礎，也是一次機遇。其次，合規是一個持續漸進的過程，是需要長期投入的工作。而且在進行合規體系建設時，需要與組織的其它管理流程、業務需求、運行機制相結合起來。

對于合規價值觀的塑造，則強調領導層的以身作則，并且《指南》強調，如果并非是組織中所有級別的領導都帶頭實施，那么就會面臨違規的風險。

同時，對于合規體系的價值，《指南》表示，在一些判決中，法院已經考量了組織所承諾的合規是適用其合規管理體系的，并由此來確定組織違反相關法律后的適當處罰。故此，以《ISO37301》作為評判標準，監管和司法機構也可以從中受益。

第1章 Scope 范圍 （見上述：二、什么樣的企業需要合規管理體系？）

第2章 Normative references參考標準（無）

第3章 Terms and definitions專業術語和定義

注：從第3章——第10章，我們挑選了重點要素來進行解讀，對于較基礎的問題不做過多解釋。

3.2 interested party (preferred term) 相關方

stakeholder (admitted term) 利益相關方

此處的利益相關方是合規中重點關注的群組，涉及到組織的文化建設、目標設置、流程嵌入等過程。體系中描述的利益相關方指的是能夠影響、被影響，或認為自己是受到決策或活動影響的人或組織。常見的如：股東、員工、社區、經銷商、投資人等等。

3.3 top management 最高管理者

最高管理者指的是：最高層指揮和控制組織（3.1）的人或群體。例如組織的最高決策人/群體里，他們有權在組織內授權和提供資源。

需要注意的是，在體系建設當中，當確認了認證的范圍后，最高管理者指的是本認證范圍內的最高決策人/群，而非原組織的最高決策人/群。

3.7 risk 風險

《指南》中的風險更多指的是合規領域的風險，即因合規風險不確定性對合規目標的影響。

合規風險與其他風險如何區分？

有一個略武斷的判斷方法。首先，我們設置一個風險水平線：0，0以上的風險是企業的“減？分項”，可以粗略的認知，如果0以上的風險發生，企業營業額可能減少，規模可能減小，即在原本程度上的增量變小。我們粗略的把0以上的風險歸類為經營類風險。

0以下的風險即在原本程度上直接產生損失，即負向的風險，如罰金、處罰等等。我們粗略的把0以下的風險歸類為合規類風險。

但是，這只是粗略的分類，因為合規管理中涉及到內部制度的風險，即管理類的風險也是和經營風險緊密相關的。

3.13 effectiveness 有效性

有效性是檢驗合規體系是否搭建成功的重要標志，是合規體系實現程度的體現。一般情況下，如果說對于合規體系的“基本達標”是認證的底線的話，那么達到可以“免責、減責”的程度就是給企業的合規體系提出的更高要求。通常，司法部門并不會以是否拿到ISO認證作為免責依據，而是要更多剖析系統內的運營有效性的情況。如果在沒有達到“基本達標”程度就頒發了認證證書，那么對組織并不會起到實質性的幫助作用，反而還會給頒證機構帶來不良影響。

3.23 compliance function合規職能

合規職能指的是，對合規操作負有責任和權限的人員或團隊(3.26)。此處多指企業內部的合規管理部門，但是目前，由于合規專業人士的缺乏，很多企業將合規部與法律部進行合并，成為法律合規部、或風險合規部等等，其中有兼職或專職的合規人員。這些人員可認為具有相應的合規職能。更有些企業在其他部門設置合規聯絡員等兼職崗位，也可認定為其具有相應的合規管理職能。

但是需要注意的是，在進行合規職能認定時要考慮組織的規模、性質及風險級別，考慮到相應的職能是否可以全部覆蓋到所有的合規管理工作，如果不能的話，有可能其合規職能的設置是欠缺。

3.24 compliance risk合規風險

合規風險指的是經過對于合規義務的排查和梳理，得出的當前組織需要繼續解決的問題的結論。需要注意的是，在進行合規義務到風險排查的過程中，要關注違規發生的可能性和后果這兩個關鍵要素，另外更需要關注所得出的風險結論是否合理，以及是否有切實的計算模型的依據。

3.25 compliance obligations合規義務

合規義務指的是組織(3.1)必須遵守的要求(3.14)以及組織(3.1)自愿遵守的要求(3.14)，ISO37301中沒有再將合規義務細分為合規要求（必須遵守的要求）以及合規承諾（自愿遵守的要求），而是按其上位概念：合規義務來進行的統一定義。

合規義務是搭建合規體系的基礎，我們可以將合規義務的來源分為三類：法律、規范、道德與承諾。

3.28 compliance culture合規文化

合規文化是整個合規體系的核心，是存在于整個組織內部(3.1)并相互作用的價值觀、倫理、信仰和行為(3.29)，組織的結構和控制系統產生的行為規范有利于合規(3.26)。通常合規文化體現在：領導層的態度、企業正向的商業價值觀、舉報渠道等方面。

3.30 third party 第三方

第三方是獨立于組織外的人或機構，不隸屬于組織本身。所有的業務伙伴均涉及第三方，但并非所有第三方都是業務伙伴。假如將公司本身設為為“第一方”，最終用戶為“第二方”，那么獨立于公司和最終用戶的人或機構都可能屬于“第三方”的概念。在合規管理中，對于第三方的管理是合規體系的延伸、文化縱深的重要標志。

第三方重要的標志是：獨立性。

第4章 Context of the organization 組織背景

4.1 Understanding the organization and its context 明白組織及其背景

4.2 Understanding the needs and expectations of interested parties 厘清利益各方的需求和期望

4.3 Determining the scope of the compliance management system 確定合規管理體系的范圍

4.4 Compliance management system 合規管理體系

4.5 Compliance obligations 合規義務

4.6 Compliance risk assessment 合規風險評估

4.1 Understanding the organization and its context 明白組織及其背景

對于組織背景的考量關系到能否搭建適合組織的合規體系的關鍵一步，組織應廣泛考慮問題，但不限于：

—業務模式，包括組織活動和運營的戰略、性質、規模和復雜性以及可持續性；

—與第三方業務關系的性質和范圍；

—法律和監管背景；

—經濟形勢；

—社會、文化和環境背景；

—內部結構、政策、流程、程序和資源，包括技術；

—組織的合規文化。

對于組織背景的考量可以采取層層聚焦的方式：聚焦行業——聚焦規模——聚焦業務模式——聚焦現狀——聚焦重點領域——聚焦環節。

誠然，在短期內搭建全產業鏈的合規管理體系存在著很高的難度，那么如何在最短時間內找到最適合組織的合規管理方案，就需要通過層層聚焦的方式，定位組織應急需解決的問題，之后再由點及面，推而廣之。

4.2 Understanding the needs and expectations of interested parties 厘清利益各方的需求和期望

在定位組織背景之后，還應當確定：

—與合規管理體系有關的利益相關方；

—利益相關方的需求；

—其中哪些需求可以通過合規管理體系得到解決。

對于利益相關方的需求往往是在實踐工作中容易被忽略，尤其是梳理利益相關方對于合規管理的期待與需求。通常，在搭建合規體系時，更注重的是對于領導層的期待，而對于其他利益相關方如：員工、社區、大眾群體等的要求很容易被忽視。所以在體系框架搭建后，如果其他利益相關方與領導層的期待有沖突時，可能會引起體系的大面積的重塑工作。所以我們建議在合規體系建設的第一期工程中，就要對各方面的利益相關方在合規管理的期待上面進行全面的梳理。

4.3 Determining the scope of the compliance management system 確定合規管理體系的范圍

對于想取得認證的企業來說，必須明確該認證所覆蓋的范圍，比如某部門、某公司、甚至某領域。在確定范圍之后，再有針對性的啟動相應的體系建設工作。

合規管理體系的范圍旨在明確組織面臨的主要合規風險，以及合規管理體系將適用的地域或組織的邊界，或兩者兼而有之，特別是如果組織是一個更大實體中的一部分。

那么如何確定范圍呢？

在確定范圍時，組織應考慮：

首先要參考4.1中提到的外部和內部問題；同時將4.2,、4.4、 4.5中提到的要求也列入其中，并且將劃定范圍的過程和文件都應當作為文檔化文件進行存儲。

4.5 Compliance obligations 合規義務

合規義務是在進行認證范圍定位后的一項重點工作，簡而言之，是將組織與其所應符合的合規義務進行全方位匹配的工作。合規義務的效果決定著體系的準確性和有效性，一旦對于合規義務的識別出現偏差，那么之后的合規體系建設存在極大不準確的可能性，就更談不上有效性了。

所以，對于合規義務的識別需要有極高的專業度和經驗性。

對于合規義務的識別不是一次性的動作，而應當隨著外部合規環境的變化，進行的周期性、系統性的工作。

組織應系統地識別由其活動，產品和服務衍生出的合規義務，并評估它們對組織運營的影響。

合規義務可分為三大類：1：法律類義務 2：規范類義務 3：道德與承諾類義務。每類義務又可細分為：

01 法律類義務：

法律法規、許可、執照或其他形式的授權、監管機構發布的命令、條例或指南、法院或行政法庭的裁決書、條約、慣例和協議。

02 合規規范類義務：

與非政府組織簽訂的承諾或協議、與主管部門的協議、與客戶的協議；企業自身要求：制度、流程等、企業自愿行為、其他行業標準。

03 道德與承諾類義務：

企業對外的商業道德承諾、對客戶和利益相關方的承諾、可持續發展要求、企業對員工的商業道德要求。

4.6 Compliance risk assessment 合規風險評估

當組織識別了其相應的風險義務后，緊接著就是進行合規風險評估的工作。任務，風險評估與風險義務的識別同等重要，同時也考察了組織對于風險提煉能力的專業度和準確性。

通常，風險義務是組織所面臨的全部風險環境，風險義務的數量是眾多的，甚至龐大的，那么如何在龐大的信息庫中提取緊急而重點的風險，需要經過一系列的模擬和測算。同時，要將相應的已識別的風險與組織已有的運營環境、運營流程進行匹配，否則就可能形成管理上的“兩張皮”。

在進行風險評估中，不僅要評估組織本身的風險，對于外部第三方的合規風險也要進行評估。因為隨著全球市場的趨同，業內已經達成普遍認知，即：企業對于外部獨立的第三方同樣承擔著相應的合規管理和監督職責。

組織應根據合規義務來識別、分析和評估其面臨的合規風險。

—組織應依據合規義務來識別其活動、產品、服務和相關運營方面的合規風險。

—組織應評估與外包和第三方的相關的合規風險。

合規義務的識別一樣，合規風險也應當是定期評估的，甚至頻次應當高于對于合規義務的識別，除了定期評估之外，每當環境或組織背景發生重大變化時也要重新進行評估。

一些重大變化的情況通常包含：

01.外部環境出現重大變化（如沖突或戰爭）

02.公司戰略或組織管理架構發生較大變更

03.公司制度政策與流程發生較大調整

04.公司推出新業務、產品或服務模式

05.公司進入新的國別/地區市場

06.重大外部事件如涉及金融、市場競爭、客戶關系等

07.合規義務的重大變化（如政策法規的重大變更、新出臺法律法規、新的海外環境等）

08.公司及下屬單位已發生不合規行為，面臨或已受到處罰

09.同行業其他公司在項目屬地國出現了不合規行為，面臨或已受到處罰

10. ......

當以上觸發點發生時，企業需要第一時間發起義務識別和風險評估的工作。以出現重大變化為出發點的識別和評估往往伴有較強的合規主題，以近期的俄烏沖突為例，其與貿易管制、經濟制裁等相關的合規主題有著密切的聯系。所以在進行義務識別和風險評估時，可以以核心合規主題為軸，輔助以其他可能涉及的相關內容。

第5章 Leadership領導力

5.1 Leadership and commitment 領導力和承諾

5.2 Compliance policy 合規制度

5.3 Roles, responsibilities and authorities 角色、職責和權限

5.1 Leadership and commitment 領導力和承諾

5.1.1 Governing body and top management 治理機構和最高管理者

治理機構和最高管理者是合規體系的帶領人。通常，我們把治理機構和最高管理者認定為企業合規體系的最高決策機構。在一些組織中僅僅存在最高管理者，而其他一些組織同時存在治理機構與最高管理者，最高管理者還需要向治理機構進行匯報。在這樣的組織架構中，最高管理者起到了對于治理機構決策的上傳下達的作用。

治理機構和最高管理者要明確表示對合規的態度，并切實參與到合規體系架構建設與決策之中。這同樣也是對其領導力的承諾。

治理機構和最高管理層應通過以下方式展示其對合規管理體系的領導力：

確保制定與組織的戰略方向相兼容的合規政策和合規目標；

確保將合規管理體系要求嵌入到組織的業務流程中；

確保合規管理體系所需的資源能夠使用；

就合規管理有效性的重要性進行溝通，并確認合規管理體系的要求；

確保合規管理體系達到預期結果；

指導和支持員工，為合規管理體系的有效性做出貢獻；

一些常見的承諾體現在：是否對于合規文化有明確的態度并以身作則、是否親自任命合規職能人員、是否參與相應制度與流程的制定、是否參與到相應合規事件的決策等。

5.1.2 Compliance culture 合規文化

文化是打造正向合規體系的核心。我們可以說，一切的合規架構建設都是建立在正向的合規文化之上。如果文化缺失，那么組織所搭建的體系一定是根基不牢固的。

在進行文化建設中，除了通用的、針對全員的文化建設之外，還需要關注的是對組織的不同部門、不同人員、不同對象進行的合規風險程度分類工作，即依據不同合規主題所區分的差異化文化建設工作，組織應針對組織內部的各個級別來制定、維護和促進合規文化。

5.1.3 Compliance governance 合規管理

在合規管理中，特別強調的是合規部門的獨立性原則。治理機構需要直接授權給合規職能部門因為讓合規官向總法律顧問或首席財務官匯報存在一定風險。有人將這種匯報安排比作讓狐貍看管雞舍。我們認為應盡可能將合規與法律和財務分開，這有助于確保法律審查和財務分析的獨立性和客觀性。因此，大多數合規官可以直接向組織的首席執行官和/或董事會匯報。另外，應當授予合規職能直接向治理機構報告的權利，定期向治理事機構提交報告和參加其會議。

5.3 Roles, responsibilities and authorities 角色、職責和權限

5.3.1 Governing body and top management 治理機構和最高管理者

5.3.2 Compliance function 合規職能部門

5.3.3 Management 管理層

5.3.4 Personnel 員工

讓我們用一張表格來表示治理機構和最高管理者、合規職能部門、管理層以及員工在合規體系建設中的角色、職責和權限。

其中，合規職能部門的工作要保證相應的合規專業性，也是合規體系正常運行的關鍵要素。合規職能部門應負責合規管理體系的運行，包括：

—促進識別合規義務；

—記錄合規風險評估（見4.6）；

—使合規管理體系與合規目標保持一致；

—監測和衡量合規績效；

—分析和評估合規管理體系的績效，以確定任何需要采取的糾正措施；

—建立合規報告和文檔編制制度；

—確保按間隔的時間計劃審查合規管理體系（見9.2和9.3）；

—建立提出關注點并確保關注問題得到解決的制度。

除了日常管理工作外，合規職能部門還應實行監督職能：

—在整個組織內部適當分配合規職能以達到識別合規義務的責任；

—合規義務被納入組織的政策、審核和流程；

—所有相關員工均按要求接受培訓；

—建立合規績效指標。

同時，合規職能部門還應提供：

—在合規政策、處理和流程方面提供人員支持；

—就相關合規事項向組織提出意見。

總之，合規職能部門是體現組織合規管理專業度的重要指標，我們推薦由專業的合規人士任職；如果較難實現，那么如法律、審計、財務等部門的人員需要通過一定的學習之后再擔任與合規相關的職位。

第6章 Planning計劃

6.1 Actions to address risks and opportunities 應對風險和機遇的措施

6.2 Compliance objectives and planning to achieve them 完成合規目標和計劃

6.3 Planning of changes 變更計劃

此處計劃也可以指規劃，一般由宏觀和微觀構成。宏觀計劃指的是戰略層面的、合規體系的計劃，而微觀層面更強調可以與日常操作運營所綁定的具體計劃。通常可以在完成對于合規義務的識別和合規風險的梳理后，再針對具體的待解決的風險點進行合規管理的微觀計劃。

在考察是否完成合規目標和合規計劃時，一般要綁定具體的可衡量的指標來進行。待階段性實施合規管理工作后，再比對可衡量指標，評估這些結果。

第7章 Support支持

第七章對于搭建合規管理體系所需要的資源做出的詳細的闡述。組織應確定并提供合規管理體系的建立、實施、維護和持續改進所需的資源。

7.1 Resources 資源

7.2 Competence 能力

7.3 Awareness 合規意識

7.4 Communication 溝通

7.5 Documented information 信息文檔化

一般來說，支持可以歸類為人和物兩方面的支持。

首先，雇傭符合組織合規價值觀的人員，再對其進行持續化的合規價值觀培養；同時對于高風險人群進行密切監管，必要時可采取相應的懲處措施。

其次，留存對于相關人員、制度、過程管理的痕跡文檔，即，合規體系管理過程物化的體現。

需要重點關注的是，對于人員的持續培訓是考量合規管理工作的重點。此處的合規培訓不應被機械的規定為某一時期、或某一類人群的培訓。而是應當有完善的培訓制度的設計，比如對于培訓類型的設計、對于培訓受眾群的設計以及對于培訓效果的檢驗等等。

第8章 Operation運營

8.1 Operational planning and control 運營計劃和管控

8.2 Establishing controls and procedures 建立管控和流程

8.3 Raising concerns 提出疑慮

8.1 Operational planning and control 運營計劃和管控

此處的運營計劃，指的是第6章計劃中所提及的微觀計劃，即在完成對于合規義務的識別和合規風險的梳理后，針對具體的待解決的風險點進行合規管理的微觀計劃。通常可以以針對某一項風險點所制定的制度和流程成來體現。

合規制度是合規體系的重要體現。如今，對于大多數企業來說，或多或少都已形成了自己的內部制度。因此，在進行合規制度搭建時，我們要做的并不是從零開始去設計相應的制度，而是要先對已有的、可能涉及到的合規管理制度的相應內容進行整理與合并。看哪些制度是可以繼承的、哪些是需要修訂的、之后再看哪些是需要增加或減少的。

在進行合規體系的制度建設中，需要特別注意的是各制度文檔不是孤立的，要保證制度間的關聯性與邏輯性，不能出現制度間的沖突、更不能出現制度內容過于抽象而無法落地的情況。而且在傳達制度時，要考慮到接收人對于語言文字的理解程度，甚至可以翻譯成更易于理解的當地語言。

8.2 Establishing controls and procedures 建立管控和流程

管控流程是對于制度落地化的重要體現。

當前，我們遺憾地看到，很多“制度健全”的公司往往忽略對于制度執行，即如何落地的管控。欠缺了對于運營中過程的設計，導致很多合規制度在頒布后無法被執行，甚至出現了“兩張皮”的情況。

通常，我們判斷一家公司的合規體系是否有效，不但要關注其制度制定得是否合格，也要關注其制度能否通過流程落地，更會關注在執行即落地過程中的操作痕跡以及痕跡前的關聯性和邏輯性。專業的合規人員應當在第一時間判斷出該組織是否存在流程缺失或執行不到位的情況。

8.3 Raising concerns 提出疑惑

能否暢通、無顧忌的提出對于組織中存在的疑似違規問題的疑慮，是判斷合規體系有效與否的重要指標。

在建設疑慮舉報通道中，最重要的就是對于“反報復原則”的制定與宣傳，要在各個渠道、隨時宣傳對于員工舉報后所適用的反報復原則。

當前，在各大企業，尤其是國央企中，舉報工作多是由紀檢紀委負責，這與合規體系中的舉報有一定的重合，但是也有不同之處。紀檢紀委更多關注的是個人違紀行為，聚焦于對黨紀的違反，而合規舉報除了上述違紀問題外，更多關注的是其他違規問題以及組織內部的管理流程問題。也就是說，從覆蓋的廣度來看，合規管理中的疑慮舉報是廣于紀檢紀委所負責的舉報范圍。

8.4 Investigation processes 調查過程

接到舉報后的調查過程，是合規工作中非常專業的部分，也是非常敏感的部分。調查員不但要通過自身的專業去進行內部案件的調查，同時也要注意不得違反相關法律的要求，不能“違法調查。

這就需要在設置調查制度時嚴格遵守相應的法律法規，以及流程規范。組織應制定、建立、實施和維護流程，以評估、調查和關閉可疑的或實際的違規報告，確保在這些過程中做出公平和公正的決策。

第9章 Performance evaluation 績效評估

9.1 Monitoring, measurement, analysis and evaluation 監測、衡量、分析和評估

9.2 Internal audit 內部審計

9.3 Management review 管理層審核

對于績效的評估也可以分兩部分來看，一部分是組織整體的績效是否達到要求，另一部分是部門、個人的績效是否達到要求。

對于績效的設定，一個重要的標準是是否可以衡量，即是否有可以被量化的指標。比如，當我們制定培訓指標時，除了對于培訓的次數、頻率、覆蓋率等指標進行設定，更要對培訓的效果預期進行設定。比如可以通過測試或培訓后的相關問題咨詢率去總結每次培訓的效果。

第10章 Improvement 改進

10.1 Continual improvement 持續改進

10.2 Nonconformity and corrective action 不符合合規要求和糾正措施

四、常見問題

1.幾個易混的名詞：

（1）合規環境、合規要求、合規義務、合規風險

合規環境

指組織所處的外部環境和內部環境，前者是有哪些涉及到合規的內容就屬于合規外部環境，后者指的是組織對于合規管理的狀態和能力。

合規義務

指組織從內外部風險環境中梳理出的與合規有關的潛在風險，組織應符合所有涉及合規方面的內容。

合規要求

合規要求是從合規義務細分出來的概念，與合規承諾互為一對概念。合規要求是指必須要遵守的、硬性的規定；合規承諾是組織可選擇遵守的義務。

合規風險

當組織梳理完合規義務之后，依照相關判斷邏輯，從全部合規義務中挑選出最緊急的需要進行管控的內容，將其嵌入到組織PDCA的流程中進行管理。需要提到的是，無論合規義務抑或合規風險，都是一個持續性更新的過程，需要時時根據內外部情況的變化進行更新和更替。

（2）人員與員工

ISO19600中使用的是員工一詞，ISO37301中將員工更改為人員一詞。

人員相對于員工所覆蓋的范圍更廣。不僅僅指的是與企業簽約的合同工，也包括第三方派遣、勞務等雖然沒有與企業有直接的合同關系，但也是為企業進行工作和服務的人員。此類人員在ISO37301的界定下也同樣應當遵守組織相應的合規義務和合規管理要求。

（3）第三方與利益相關方

第三方與利益相關方的最大區別是其獨立性。即，脫離組織后是否能夠獨立存在，比如員工、股東等，雖然屬于利益相關方，但是其脫離了組織本身就不復存在了，所以并不是獨立的第三方。

2.ISO37301合規體系與ISO37001反賄賂體系等如何區別？ISO37301合規體系與其他體系如何配合？企業搭建合規體系需要從0開始么？

ISO37301更像一個框架類的體系，打個不恰當的比喻，類似法律中的《立法法》，而諸如37001等有明確主題的更類似與各個部門法。所以ISO37301可以高屋建瓴地、提綱挈領地指導其他ISO體系進行建設。

在體系建設中，尤其是在已經獲取其他ISO標準的組織中，可以分步整合與ISO37301的對接，而不必從零開始進行建設。ISO文件中有一些通用條款，比如：范圍、術語和定義、組織環境、領導力、策劃等，可以在以前的基礎上增加相應的ISO37301的內容。對于組織中已經較成熟的流程，比如財務、市場、信息化等也可以在其中增設與ISO37301相關的流程節點，而不必重新搭建一套合規流程，從而過多增加內耗。

3.如果說ISO37301是框架建設，那么如果已經取得了其他主題的ISO認證，可以說符合ISO37301的標準并拿到認證嗎？

很多企業在進行ISO37301認證時會加上后綴如：ISO37301反不正當競爭、ISO37301反壟斷等等。因為合規涵蓋的內容太廣泛了，所以通過證書加以界定。這樣的方法可以通過短期小范圍取得認證，但是我們更推薦標準做法，即在ISO37301項下建設完整的合規體系，之后通過體系的運行找到相應重要節點，如果該節點已經取得相應的認證，那么便不必再重復工作了，但是如果發現有缺失的部分，則需要補充完整。

4.取得ISO37301的認證需要多長時間？

這要依據組織本身的情況而定，如果組織已經有較成熟的合規管理體系，那么需要進行的只是進行認證和部分改進的工作，可能時間較短。但是如果組織需要從頭建立合規體系，那么可能需要較長的時間，比如6個月以上。