ISO 37301:2021取代了原来的ISO 19600(仅为指南)并成为首个可认证的合规标准。这一变化意义重大:它意味着认证机构可以根据可验证的要求正式审计您组织的合规计划。大多数合规计划未解决的是可追溯性:是否有完整且更新的监管义务清单?合规负责人是否拥有真正的权力和独立性?培训效果是被衡量的还是只记录出勤?最常见的发现是合规计划存在于组织架构中,但没有绩效指标或持续改进机制。没有指标的合规计划对高层管理层是不可见的——而不可见的东西不会获得资源。
交付成果
01
合规成熟度评估
合规计划现状诊断。
02
监管义务地图
适用法律和监管要求清单。
03
加强计划
关闭合规差距的优先行动。
干预流程
01
计划审查
评估合规政策、程序和结构。
02
文化评估
关于合规认知的访谈和调查。
03
报告和建议
发现、差距分析和行动计划。
技术查询
ISO 37001专注于贿赂的预防、检测和应对。ISO 37301涵盖一般监管合规——包括劳动、环境、税务、隐私和行业特定法规。实际上,ISO 37001是ISO 37301的子集:采用了ISO 37301的组织应将贿赂风险作为义务清单的一部分。然而,贿赂风险较高的组织(如建筑、采矿、国防或金融服务等行业)经常以综合方式采用两个标准,以向监管机构展示特定的严谨性。
合规委员会是治理结构;独立审计验证该结构是否产生可衡量的结果。评估回答的问题是:委员会是否有直接接触高级管理层的渠道而不经过过滤?合规发现是否转化为有截止日期和负责人的纠正措施?是否有证据表明培训改变了行为而不仅仅是产生了出勤证书?在60多个合规计划评估中的经验表明,70%的委员会作为信息传递机构而非决策机构运作——这一差异具有直接的法律影响。
Fernando Arrieta提供管理体系的评估、诊断与方法论指导服务。这些活动独立于认证过程,认证过程专门由认可的认证机构执行。