2021年4月13日，ISO37301: 2021《合规管理体系——要求及使用指南》（Compliance management systems — Requirements with guidance for use）国际标准正式发布实施。下面，光曦国际专家为您详细解读ISO37301:2021《合规管理体系——要求及使用指南》（以下简称：《指南》）

一、《合规管理指南》的特色：灵活与多变

合规所涵盖的内容甚广，从法律规范到道德规范再到对外承诺。妄图在短时间内搭建一个适用于所有合规义务、合规体系并符合《指南》要求的合规管理体系框架是不现实的，况且在搭建合规体系时最先面对的几个重要问题是：

01.要通过体系认证解决什么问题？

02.合规体系与其他既往体系如何进行融合？

03.合规义务怎样体现在企业各个管理当中？

与其他ISO认证标准(如质量、安全、业务连续性等等)不同，合规管理指南并没有明确的主题指向性。因为各个企业搭建合规体系的目标是各不相同地，有的为了解决反不正当竞争的问题，有的为了解决反垄断的问题、有的为了解决贪腐问题、有的为了解决第三方管理的问题等等。所以合规管理具有灵活与多变的特点，极有可能覆盖到多种合规义务及管理职能。

二、什么样的企业需要合规管理体系？

标准答案为：任何企业。

在《ISO37301》第二章：范围中提到：本文件适用于所有类型的组织，无论其类型、规模和性质，以及该组织是否来自国有的、私营的或非营利机构。但是在“所有类型”的组织当中，是否有更适用的重点类型呢？

我们提炼了以下四种组织类型，供各位参考：

01 处于强监管行业的企业

强监管行业的企业面临着更大违规风险的可能性，所以需要尽快加强其体系建设

02 央企（尤其有境外业务的央企）

国资委已于2018年11月2日印发了《中央企业合规管理指引（试行）》，同年12月，在发改委等七部门联合印发了《企业境外经营合规管理指引》之后，央企合规管理被提升至前所未有地重要高度。尤其是已经“出海”的各大央企，由于面临着复杂的境外环境，更需要有合规体系来进行保驾护航。

03 地方国企

一些地方国资委也已经把合规管理落实到工作日程上，如北京市国资委，其下属企业需要建立合规体系来满足相应的监管要求。

04 已或正在“吃亏”的企业

对于已经涉及案件或者被调查甚至被处罚的企业，合规体系的建立更是刻不容缓，因为相较于动辄的巨额罚金，前置的体系建设成本确实是微乎其微。

三、ISO37301:2021《合规管理体系——要求及使用指南》逐章解读

Introduction简介

此章节对于《指南》的意义、做法、核心及价值进行了介绍。

首先，《指南》指出合规体系是对旨在取得长期成功的组织所必需的，同时合规不仅是基础，也是一次机遇。其次，合规是一个持续渐进的过程，是需要长期投入的工作。而且在进行合规体系建设时，需要与组织的其它管理流程、业务需求、运行机制相结合起来。

对于合规价值观的塑造，则强调领导层的以身作则，并且《指南》强调，如果并非是组织中所有级别的领导都带头实施，那么就会面临违规的风险。

同时，对于合规体系的价值，《指南》表示，在一些判决中，法院已经考量了组织所承诺的合规是适用其合规管理体系的，并由此来确定组织违反相关法律后的适当处罚。故此，以《ISO37301》作为评判标准，监管和司法机构也可以从中受益。

第1章 Scope 范围 （见上述：二、什么样的企业需要合规管理体系？）

第2章 Normative references参考标准（无）

第3章 Terms and definitions专业术语和定义

注：从第3章——第10章，我们挑选了重点要素来进行解读，对于较基础的问题不做过多解释。

3.2 interested party (preferred term) 相关方

stakeholder (admitted term) 利益相关方

此处的利益相关方是合规中重点关注的群组，涉及到组织的文化建设、目标设置、流程嵌入等过程。体系中描述的利益相关方指的是能够影响、被影响，或认为自己是受到决策或活动影响的人或组织。常见的如：股东、员工、社区、经销商、投资人等等。

3.3 top management 最高管理者

最高管理者指的是：最高层指挥和控制组织（3.1）的人或群体。例如组织的最高决策人/群体里，他们有权在组织内授权和提供资源。

需要注意的是，在体系建设当中，当确认了认证的范围后，最高管理者指的是本认证范围内的最高决策人/群，而非原组织的最高决策人/群。

3.7 risk 风险

《指南》中的风险更多指的是合规领域的风险，即因合规风险不确定性对合规目标的影响。

合规风险与其他风险如何区分？

有一个略武断的判断方法。首先，我们设置一个风险水平线：0，0以上的风险是企业的“减？分项”，可以粗略的认知，如果0以上的风险发生，企业营业额可能减少，规模可能减小，即在原本程度上的增量变小。我们粗略的把0以上的风险归类为经营类风险。

0以下的风险即在原本程度上直接产生损失，即负向的风险，如罚金、处罚等等。我们粗略的把0以下的风险归类为合规类风险。

但是，这只是粗略的分类，因为合规管理中涉及到内部制度的风险，即管理类的风险也是和经营风险紧密相关的。

3.13 effectiveness 有效性

有效性是检验合规体系是否搭建成功的重要标志，是合规体系实现程度的体现。一般情况下，如果说对于合规体系的“基本达标”是认证的底线的话，那么达到可以“免责、减责”的程度就是给企业的合规体系提出的更高要求。通常，司法部门并不会以是否拿到ISO认证作为免责依据，而是要更多剖析系统内的运营有效性的情况。如果在没有达到“基本达标”程度就颁发了认证证书，那么对组织并不会起到实质性的帮助作用，反而还会给颁证机构带来不良影响。

3.23 compliance function合规职能

合规职能指的是，对合规操作负有责任和权限的人员或团队(3.26)。此处多指企业内部的合规管理部门，但是目前，由于合规专业人士的缺乏，很多企业将合规部与法律部进行合并，成为法律合规部、或风险合规部等等，其中有兼职或专职的合规人员。这些人员可认为具有相应的合规职能。更有些企业在其他部门设置合规联络员等兼职岗位，也可认定为其具有相应的合规管理职能。

但是需要注意的是，在进行合规职能认定时要考虑组织的规模、性质及风险级别，考虑到相应的职能是否可以全部覆盖到所有的合规管理工作，如果不能的话，有可能其合规职能的设置是欠缺。

3.24 compliance risk合规风险

合规风险指的是经过对于合规义务的排查和梳理，得出的当前组织需要继续解决的问题的结论。需要注意的是，在进行合规义务到风险排查的过程中，要关注违规发生的可能性和后果这两个关键要素，另外更需要关注所得出的风险结论是否合理，以及是否有切实的计算模型的依据。

3.25 compliance obligations合规义务

合规义务指的是组织(3.1)必须遵守的要求(3.14)以及组织(3.1)自愿遵守的要求(3.14)，ISO37301中没有再将合规义务细分为合规要求（必须遵守的要求）以及合规承诺（自愿遵守的要求），而是按其上位概念：合规义务来进行的统一定义。

合规义务是搭建合规体系的基础，我们可以将合规义务的来源分为三类：法律、规范、道德与承诺。

3.28 compliance culture合规文化

合规文化是整个合规体系的核心，是存在于整个组织内部(3.1)并相互作用的价值观、伦理、信仰和行为(3.29)，组织的结构和控制系统产生的行为规范有利于合规(3.26)。通常合规文化体现在：领导层的态度、企业正向的商业价值观、举报渠道等方面。

3.30 third party 第三方

第三方是独立于组织外的人或机构，不隶属于组织本身。所有的业务伙伴均涉及第三方，但并非所有第三方都是业务伙伴。假如将公司本身设为为“第一方”，最终用户为“第二方”，那么独立于公司和最终用户的人或机构都可能属于“第三方”的概念。在合规管理中，对于第三方的管理是合规体系的延伸、文化纵深的重要标志。

第三方重要的标志是：独立性。

第4章 Context of the organization 组织背景

4.1 Understanding the organization and its context 明白组织及其背景

4.2 Understanding the needs and expectations of interested parties 厘清利益各方的需求和期望

4.3 Determining the scope of the compliance management system 确定合规管理体系的范围

4.4 Compliance management system 合规管理体系

4.5 Compliance obligations 合规义务

4.6 Compliance risk assessment 合规风险评估

4.1 Understanding the organization and its context 明白组织及其背景

对于组织背景的考量关系到能否搭建适合组织的合规体系的关键一步，组织应广泛考虑问题，但不限于：

—业务模式，包括组织活动和运营的战略、性质、规模和复杂性以及可持续性；

—与第三方业务关系的性质和范围；

—法律和监管背景；

—经济形势；

—社会、文化和环境背景；

—内部结构、政策、流程、程序和资源，包括技术；

—组织的合规文化。

对于组织背景的考量可以采取层层聚焦的方式：聚焦行业——聚焦规模——聚焦业务模式——聚焦现状——聚焦重点领域——聚焦环节。

诚然，在短期内搭建全产业链的合规管理体系存在着很高的难度，那么如何在最短时间内找到最适合组织的合规管理方案，就需要通过层层聚焦的方式，定位组织应急需解决的问题，之后再由点及面，推而广之。

4.2 Understanding the needs and expectations of interested parties 厘清利益各方的需求和期望

在定位组织背景之后，还应当确定：

—与合规管理体系有关的利益相关方；

—利益相关方的需求；

—其中哪些需求可以通过合规管理体系得到解决。

对于利益相关方的需求往往是在实践工作中容易被忽略，尤其是梳理利益相关方对于合规管理的期待与需求。通常，在搭建合规体系时，更注重的是对于领导层的期待，而对于其他利益相关方如：员工、社区、大众群体等的要求很容易被忽视。所以在体系框架搭建后，如果其他利益相关方与领导层的期待有冲突时，可能会引起体系的大面积的重塑工作。所以我们建议在合规体系建设的第一期工程中，就要对各方面的利益相关方在合规管理的期待上面进行全面的梳理。

4.3 Determining the scope of the compliance management system 确定合规管理体系的范围

对于想取得认证的企业来说，必须明确该认证所覆盖的范围，比如某部门、某公司、甚至某领域。在确定范围之后，再有针对性的启动相应的体系建设工作。

合规管理体系的范围旨在明确组织面临的主要合规风险，以及合规管理体系将适用的地域或组织的边界，或两者兼而有之，特别是如果组织是一个更大实体中的一部分。

那么如何确定范围呢？

在确定范围时，组织应考虑：

首先要参考4.1中提到的外部和内部问题；同时将4.2,、4.4、 4.5中提到的要求也列入其中，并且将划定范围的过程和文件都应当作为文档化文件进行存储。

4.5 Compliance obligations 合规义务

合规义务是在进行认证范围定位后的一项重点工作，简而言之，是将组织与其所应符合的合规义务进行全方位匹配的工作。合规义务的效果决定着体系的准确性和有效性，一旦对于合规义务的识别出现偏差，那么之后的合规体系建设存在极大不准确的可能性，就更谈不上有效性了。

所以，对于合规义务的识别需要有极高的专业度和经验性。

对于合规义务的识别不是一次性的动作，而应当随着外部合规环境的变化，进行的周期性、系统性的工作。

组织应系统地识别由其活动，产品和服务衍生出的合规义务，并评估它们对组织运营的影响。

合规义务可分为三大类：1：法律类义务 2：规范类义务 3：道德与承诺类义务。每类义务又可细分为：

01 法律类义务：

法律法规、许可、执照或其他形式的授权、监管机构发布的命令、条例或指南、法院或行政法庭的裁决书、条约、惯例和协议。

02 合规规范类义务：

与非政府组织签订的承诺或协议、与主管部门的协议、与客户的协议；企业自身要求：制度、流程等、企业自愿行为、其他行业标准。

03 道德与承诺类义务：

企业对外的商业道德承诺、对客户和利益相关方的承诺、可持续发展要求、企业对员工的商业道德要求。

4.6 Compliance risk assessment 合规风险评估

当组织识别了其相应的风险义务后，紧接着就是进行合规风险评估的工作。任务，风险评估与风险义务的识别同等重要，同时也考察了组织对于风险提炼能力的专业度和准确性。

通常，风险义务是组织所面临的全部风险环境，风险义务的数量是众多的，甚至庞大的，那么如何在庞大的信息库中提取紧急而重点的风险，需要经过一系列的模拟和测算。同时，要将相应的已识别的风险与组织已有的运营环境、运营流程进行匹配，否则就可能形成管理上的“两张皮”。

在进行风险评估中，不仅要评估组织本身的风险，对于外部第三方的合规风险也要进行评估。因为随着全球市场的趋同，业内已经达成普遍认知，即：企业对于外部独立的第三方同样承担着相应的合规管理和监督职责。

组织应根据合规义务来识别、分析和评估其面临的合规风险。

—组织应依据合规义务来识别其活动、产品、服务和相关运营方面的合规风险。

—组织应评估与外包和第三方的相关的合规风险。

合规义务的识别一样，合规风险也应当是定期评估的，甚至频次应当高于对于合规义务的识别，除了定期评估之外，每当环境或组织背景发生重大变化时也要重新进行评估。

一些重大变化的情况通常包含：

01.外部环境出现重大变化（如冲突或战争）

02.公司战略或组织管理架构发生较大变更

03.公司制度政策与流程发生较大调整

04.公司推出新业务、产品或服务模式

05.公司进入新的国别/地区市场

06.重大外部事件如涉及金融、市场竞争、客户关系等

07.合规义务的重大变化（如政策法规的重大变更、新出台法律法规、新的海外环境等）

08.公司及下属单位已发生不合规行为，面临或已受到处罚

09.同行业其他公司在项目属地国出现了不合规行为，面临或已受到处罚

10. ......

当以上触发点发生时，企业需要第一时间发起义务识别和风险评估的工作。以出现重大变化为出发点的识别和评估往往伴有较强的合规主题，以近期的俄乌冲突为例，其与贸易管制、经济制裁等相关的合规主题有着密切的联系。所以在进行义务识别和风险评估时，可以以核心合规主题为轴，辅助以其他可能涉及的相关内容。

第5章 Leadership领导力

5.1 Leadership and commitment 领导力和承诺

5.2 Compliance policy 合规制度

5.3 Roles, responsibilities and authorities 角色、职责和权限

5.1 Leadership and commitment 领导力和承诺

5.1.1 Governing body and top management 治理机构和最高管理者

治理机构和最高管理者是合规体系的带领人。通常，我们把治理机构和最高管理者认定为企业合规体系的最高决策机构。在一些组织中仅仅存在最高管理者，而其他一些组织同时存在治理机构与最高管理者，最高管理者还需要向治理机构进行汇报。在这样的组织架构中，最高管理者起到了对于治理机构决策的上传下达的作用。

治理机构和最高管理者要明确表示对合规的态度，并切实参与到合规体系架构建设与决策之中。这同样也是对其领导力的承诺。

治理机构和最高管理层应通过以下方式展示其对合规管理体系的领导力：

确保制定与组织的战略方向相兼容的合规政策和合规目标；

确保将合规管理体系要求嵌入到组织的业务流程中；

确保合规管理体系所需的资源能够使用；

就合规管理有效性的重要性进行沟通，并确认合规管理体系的要求；

确保合规管理体系达到预期结果；

指导和支持员工，为合规管理体系的有效性做出贡献；

一些常见的承诺体现在：是否对于合规文化有明确的态度并以身作则、是否亲自任命合规职能人员、是否参与相应制度与流程的制定、是否参与到相应合规事件的决策等。

5.1.2 Compliance culture 合规文化

文化是打造正向合规体系的核心。我们可以说，一切的合规架构建设都是建立在正向的合规文化之上。如果文化缺失，那么组织所搭建的体系一定是根基不牢固的。

在进行文化建设中，除了通用的、针对全员的文化建设之外，还需要关注的是对组织的不同部门、不同人员、不同对象进行的合规风险程度分类工作，即依据不同合规主题所区分的差异化文化建设工作，组织应针对组织内部的各个级别来制定、维护和促进合规文化。

5.1.3 Compliance governance 合规管理

在合规管理中，特别强调的是合规部门的独立性原则。治理机构需要直接授权给合规职能部门因为让合规官向总法律顾问或首席财务官汇报存在一定风险。有人将这种汇报安排比作让狐狸看管鸡舍。我们认为应尽可能将合规与法律和财务分开，这有助于确保法律审查和财务分析的独立性和客观性。因此，大多数合规官可以直接向组织的首席执行官和/或董事会汇报。另外，应当授予合规职能直接向治理机构报告的权利，定期向治理事机构提交报告和参加其会议。

5.3 Roles, responsibilities and authorities 角色、职责和权限

5.3.1 Governing body and top management 治理机构和最高管理者

5.3.2 Compliance function 合规职能部门

5.3.3 Management 管理层

5.3.4 Personnel 员工

让我们用一张表格来表示治理机构和最高管理者、合规职能部门、管理层以及员工在合规体系建设中的角色、职责和权限。

其中，合规职能部门的工作要保证相应的合规专业性，也是合规体系正常运行的关键要素。合规职能部门应负责合规管理体系的运行，包括：

—促进识别合规义务；

—记录合规风险评估（见4.6）；

—使合规管理体系与合规目标保持一致；

—监测和衡量合规绩效；

—分析和评估合规管理体系的绩效，以确定任何需要采取的纠正措施；

—建立合规报告和文档编制制度；

—确保按间隔的时间计划审查合规管理体系（见9.2和9.3）；

—建立提出关注点并确保关注问题得到解决的制度。

除了日常管理工作外，合规职能部门还应实行监督职能：

—在整个组织内部适当分配合规职能以达到识别合规义务的责任；

—合规义务被纳入组织的政策、审核和流程；

—所有相关员工均按要求接受培训；

—建立合规绩效指标。

同时，合规职能部门还应提供：

—在合规政策、处理和流程方面提供人员支持；

—就相关合规事项向组织提出意见。

总之，合规职能部门是体现组织合规管理专业度的重要指标，我们推荐由专业的合规人士任职；如果较难实现，那么如法律、审计、财务等部门的人员需要通过一定的学习之后再担任与合规相关的职位。

第6章 Planning计划

6.1 Actions to address risks and opportunities 应对风险和机遇的措施

6.2 Compliance objectives and planning to achieve them 完成合规目标和计划

6.3 Planning of changes 变更计划

此处计划也可以指规划，一般由宏观和微观构成。宏观计划指的是战略层面的、合规体系的计划，而微观层面更强调可以与日常操作运营所绑定的具体计划。通常可以在完成对于合规义务的识别和合规风险的梳理后，再针对具体的待解决的风险点进行合规管理的微观计划。

在考察是否完成合规目标和合规计划时，一般要绑定具体的可衡量的指标来进行。待阶段性实施合规管理工作后，再比对可衡量指标，评估这些结果。

第7章 Support支持

第七章对于搭建合规管理体系所需要的资源做出的详细的阐述。组织应确定并提供合规管理体系的建立、实施、维护和持续改进所需的资源。

7.1 Resources 资源

7.2 Competence 能力

7.3 Awareness 合规意识

7.4 Communication 沟通

7.5 Documented information 信息文档化

一般来说，支持可以归类为人和物两方面的支持。

首先，雇佣符合组织合规价值观的人员，再对其进行持续化的合规价值观培养；同时对于高风险人群进行密切监管，必要时可采取相应的惩处措施。

其次，留存对于相关人员、制度、过程管理的痕迹文档，即，合规体系管理过程物化的体现。

需要重点关注的是，对于人员的持续培训是考量合规管理工作的重点。此处的合规培训不应被机械的规定为某一时期、或某一类人群的培训。而是应当有完善的培训制度的设计，比如对于培训类型的设计、对于培训受众群的设计以及对于培训效果的检验等等。

第8章 Operation运营

8.1 Operational planning and control 运营计划和管控

8.2 Establishing controls and procedures 建立管控和流程

8.3 Raising concerns 提出疑虑

8.1 Operational planning and control 运营计划和管控

此处的运营计划，指的是第6章计划中所提及的微观计划，即在完成对于合规义务的识别和合规风险的梳理后，针对具体的待解决的风险点进行合规管理的微观计划。通常可以以针对某一项风险点所制定的制度和流程成来体现。

合规制度是合规体系的重要体现。如今，对于大多数企业来说，或多或少都已形成了自己的内部制度。因此，在进行合规制度搭建时，我们要做的并不是从零开始去设计相应的制度，而是要先对已有的、可能涉及到的合规管理制度的相应内容进行整理与合并。看哪些制度是可以继承的、哪些是需要修订的、之后再看哪些是需要增加或减少的。

在进行合规体系的制度建设中，需要特别注意的是各制度文档不是孤立的，要保证制度间的关联性与逻辑性，不能出现制度间的冲突、更不能出现制度内容过于抽象而无法落地的情况。而且在传达制度时，要考虑到接收人对于语言文字的理解程度，甚至可以翻译成更易于理解的当地语言。

8.2 Establishing controls and procedures 建立管控和流程

管控流程是对于制度落地化的重要体现。

当前，我们遗憾地看到，很多“制度健全”的公司往往忽略对于制度执行，即如何落地的管控。欠缺了对于运营中过程的设计，导致很多合规制度在颁布后无法被执行，甚至出现了“两张皮”的情况。

通常，我们判断一家公司的合规体系是否有效，不但要关注其制度制定得是否合格，也要关注其制度能否通过流程落地，更会关注在执行即落地过程中的操作痕迹以及痕迹前的关联性和逻辑性。专业的合规人员应当在第一时间判断出该组织是否存在流程缺失或执行不到位的情况。

8.3 Raising concerns 提出疑惑

能否畅通、无顾忌的提出对于组织中存在的疑似违规问题的疑虑，是判断合规体系有效与否的重要指标。

在建设疑虑举报通道中，最重要的就是对于“反报复原则”的制定与宣传，要在各个渠道、随时宣传对于员工举报后所适用的反报复原则。

当前，在各大企业，尤其是国央企中，举报工作多是由纪检纪委负责，这与合规体系中的举报有一定的重合，但是也有不同之处。纪检纪委更多关注的是个人违纪行为，聚焦于对党纪的违反，而合规举报除了上述违纪问题外，更多关注的是其他违规问题以及组织内部的管理流程问题。也就是说，从覆盖的广度来看，合规管理中的疑虑举报是广于纪检纪委所负责的举报范围。

8.4 Investigation processes 调查过程

接到举报后的调查过程，是合规工作中非常专业的部分，也是非常敏感的部分。调查员不但要通过自身的专业去进行内部案件的调查，同时也要注意不得违反相关法律的要求，不能“违法调查。

这就需要在设置调查制度时严格遵守相应的法律法规，以及流程规范。组织应制定、建立、实施和维护流程，以评估、调查和关闭可疑的或实际的违规报告，确保在这些过程中做出公平和公正的决策。

第9章 Performance evaluation 绩效评估

9.1 Monitoring, measurement, analysis and evaluation 监测、衡量、分析和评估

9.2 Internal audit 内部审计

9.3 Management review 管理层审核

对于绩效的评估也可以分两部分来看，一部分是组织整体的绩效是否达到要求，另一部分是部门、个人的绩效是否达到要求。

对于绩效的设定，一个重要的标准是是否可以衡量，即是否有可以被量化的指标。比如，当我们制定培训指标时，除了对于培训的次数、频率、覆盖率等指标进行设定，更要对培训的效果预期进行设定。比如可以通过测试或培训后的相关问题咨询率去总结每次培训的效果。

第10章 Improvement 改进

10.1 Continual improvement 持续改进

10.2 Nonconformity and corrective action 不符合合规要求和纠正措施

四、常见问题

1.几个易混的名词：

（1）合规环境、合规要求、合规义务、合规风险

合规环境

指组织所处的外部环境和内部环境，前者是有哪些涉及到合规的内容就属于合规外部环境，后者指的是组织对于合规管理的状态和能力。

合规义务

指组织从内外部风险环境中梳理出的与合规有关的潜在风险，组织应符合所有涉及合规方面的内容。

合规要求

合规要求是从合规义务细分出来的概念，与合规承诺互为一对概念。合规要求是指必须要遵守的、硬性的规定；合规承诺是组织可选择遵守的义务。

合规风险

当组织梳理完合规义务之后，依照相关判断逻辑，从全部合规义务中挑选出最紧急的需要进行管控的内容，将其嵌入到组织PDCA的流程中进行管理。需要提到的是，无论合规义务抑或合规风险，都是一个持续性更新的过程，需要时时根据内外部情况的变化进行更新和更替。

（2）人员与员工

ISO19600中使用的是员工一词，ISO37301中将员工更改为人员一词。

人员相对于员工所覆盖的范围更广。不仅仅指的是与企业签约的合同工，也包括第三方派遣、劳务等虽然没有与企业有直接的合同关系，但也是为企业进行工作和服务的人员。此类人员在ISO37301的界定下也同样应当遵守组织相应的合规义务和合规管理要求。

（3）第三方与利益相关方

第三方与利益相关方的最大区别是其独立性。即，脱离组织后是否能够独立存在，比如员工、股东等，虽然属于利益相关方，但是其脱离了组织本身就不复存在了，所以并不是独立的第三方。

2.ISO37301合规体系与ISO37001反贿赂体系等如何区别？ISO37301合规体系与其他体系如何配合？企业搭建合规体系需要从0开始么？

ISO37301更像一个框架类的体系，打个不恰当的比喻，类似法律中的《立法法》，而诸如37001等有明确主题的更类似与各个部门法。所以ISO37301可以高屋建瓴地、提纲挈领地指导其他ISO体系进行建设。

在体系建设中，尤其是在已经获取其他ISO标准的组织中，可以分步整合与ISO37301的对接，而不必从零开始进行建设。ISO文件中有一些通用条款，比如：范围、术语和定义、组织环境、领导力、策划等，可以在以前的基础上增加相应的ISO37301的内容。对于组织中已经较成熟的流程，比如财务、市场、信息化等也可以在其中增设与ISO37301相关的流程节点，而不必重新搭建一套合规流程，从而过多增加内耗。

3.如果说ISO37301是框架建设，那么如果已经取得了其他主题的ISO认证，可以说符合ISO37301的标准并拿到认证吗？

很多企业在进行ISO37301认证时会加上后缀如：ISO37301反不正当竞争、ISO37301反垄断等等。因为合规涵盖的内容太广泛了，所以通过证书加以界定。这样的方法可以通过短期小范围取得认证，但是我们更推荐标准做法，即在ISO37301项下建设完整的合规体系，之后通过体系的运行找到相应重要节点，如果该节点已经取得相应的认证，那么便不必再重复工作了，但是如果发现有缺失的部分，则需要补充完整。

4.取得ISO37301的认证需要多长时间？

这要依据组织本身的情况而定，如果组织已经有较成熟的合规管理体系，那么需要进行的只是进行认证和部分改进的工作，可能时间较短。但是如果组织需要从头建立合规体系，那么可能需要较长的时间，比如6个月以上。