合规管理认证为企业带来的好处包括以下几个方面：

一是合规管理虽然不能杜绝违规的发生，但是能够降低违规发生的风险；二是企业进行合规管理体系认证，可以在一些国际和国内招标采购中获得加分；三是在被外国政府调查时，可以提供企业已经采取合理措施防止违规行为的证据。随着政府“依法治企”的全面深入，合规时代对企业的治理能力提出了进一步的要求。通过合规管理体系认证，能表明企业对推进合规管理的重视及体系建设的完整性和有效性，对于保障企业合法权益、提升企业“走出去”的竞争力、降低企业可能面临的刑事和行政风险具有重要意义。

本文被调研企业的认证需求情况具体如下：

（一）央企国企层面

在当前国际竞争越来越体现为规则之争、法律之争的大背景下，中央企业面临的国内外环境和风险挑战日趋复杂严峻。近年来，国务院国资委印发了多项关于中央企业合规管理体系建设的政策文件，如《中央企业合规管理办法》《中央企业合规管理指引（试行）》《关于开展中央企业“合规管理强化年”工作的通知》等，这些文件的出台，对中央企业合规管理和企业经营产生了重大影响，对我国企业的合规管理和监管产生示范性和方向性导向作用。

在上述政策推动下，国有企业开展ISO 37301认证的动力及需求高涨。调查发现，在接受调查的140家国有企业中，有29家通过了ISO 37301认证，有35家拟在3年内通过ISO 37301认证。

（二）非中央企业/国有企业

近年来，上市企业或拟上市企业，基于环境、社会和公司治理（ESG），即ESG管理及ESG报告中对企业反腐败及合规治理要求，越来越重视自身合规管理体系建设。其他企业基于日益严格的市场监督管理，越来越多地将合规管理作为企业管理中的一项重要管理活动，通过导入合规管理体系提升企业管理水平，完善企业管理。

通过对非国有企业和非集体企业开展ISO 37301认证的现状及需求进行调查发现，在接受调查的1287家企业或机构中，有228家通过了ISO 37301认证，有249家拟在3年内通过ISO 37301认证。

国际认可论坛（IAF）成立于1993年1月，是从事认证机构认可、审定核查机构认可的认可机构及其利益相关方共同组成的国际认可合作组织。

针对ISO 37301认证，2022年10月18日，IAF提出了互认范围增加ISO 37301的建议。根据IAF官网信息，截至2023年，将ISO 37301：2021纳入IAF互认范围的计划还在审查中。

（二）英国UKAS对合规管理体系认证的认可情况

英国皇家认可委员会（UKAS），是负责认证机构认可和实验室测量及试验认可的国家机构，是英联邦最权威的认可机构，在认可领域具有广泛影响力。

针对ISO 37301认证，UKAS于2022年1月31日发布了一项声明，要求各认证机构表达对于ISO 37301认证是否感兴趣，在审查相关回复时，UKAS发现，尽管目前寻求认证的组织有限，但是鉴于也有组织对此感兴趣，因此UKAS计划将ISO 37301纳入体系中。

（三）美国ANAB对合规管理体系认证的认可情况

美国国家标准协会-美国质量学会认证机构认可委员会（ANAB）是美国从事管理体系认证机构认可的管理机构，是国际认可论坛（IAF）的主要成员。

2022年9月9日，ANAB发布开展合规管理体系（CMS）认证的认可规则——Accreditation Rule 57，该认可规则旨在告知ANAB对依据ISO 37301开展CMS认证的认证机构的认可要求，包括文件要求、申请程序、认可的初步评估、检测评估、重新认证评估等。

（四）阿联酋EIAC对合规管理体系认证的认可情况

阿联酋国际认证中心（EIAC）是政府认证机构，主要活动是认可阿联酋境内和海外的政府和私人合格评定机构（CABs）。

2022年12月7日，EIAC根据ISO 17021-1，
推出了反贿赂管理体系、合规管理体系、设施管理体系3类认证计划，3类认证计划依据的认证标准分别为ISO 37001、ISO 37301、ISO 41001。其中，EIAC的ISO 37301合规管理体系认证计划将适用对象分为三大类进行管理：一是金融机构的合规管理（包括银行、金融公司、投资公司、小额信贷和小额金融公司、保险公司、海关和税务机构、金融审计公司），二是非金融机构的高监管性部门（包括医疗保健提供商、制药公司、核技术行业、通信服务提供商、执法机构、国防组织、公共行政部门），三是其他组织的合规管理（包括服务部门、教育部门、产业）。

对于合规管理体系认证活动的管理，国家认监委尚未对认证机构、检验机构以及从事评审、审核等认证活动人员的能力和执业资格等合格评定活动予以承认，目前仅是通过对认证机构自行制定的认证规则进行备案的方式开展合规管理体系认证，认证市场缺乏系统的认证制度以及对认证技术、认证过程、认证人员的一致性要求。

（二）合规管理体系认证存在的问题或风险

ISO/IEC 17021-13：2021中并未给出认证领域划分、认证人员评定、认证风险评估等事项的具体要求，导致各认证机构在实际认证业务中的一致性不够，影响了行业公正性和诚信水平。近年来合规管理体系认证证书数量增长较快，各认证机构对于合规管理体系认证管理相关的制度建设水平参差不齐、对标准的理解差异、对审核员的要求不同等因素会影响认证机构的审核质量和认证结果，有认证需求的企业面临选择困扰，从而导致合规管理体系认证市场发展存在不合规隐患。

1.合规管理体系认证中的制度风险

我国有一套成熟的管理体系认证制度体系，但对合规管理体系认证的适宜性、有效性和充分性判定，尚未建立统一的制度体系，国内认证机构开展合规管理体系认证工作时缺少统一规范，导致认证过程及结果产生较大差异，不利于合规管理体系认证工作的健康发展。

2.认证机构的风险

一是由于营商环境的改善，认证机构数量剧增。目前，全国认证机构达1200多家，一些认证机构之间恶性竞争增多，进而带来认证证书“有效性”不够的问题。二是由于各认证机构对标准的理解差异、对审核员的要求不同等因素，会影响认证机构的审核质量和认证结果。三是前端咨询机构为企业做合规辅导可能会给认证机构带来潜在的风险隐患。四是申请认证的企业可能给认证机构带来相关风险，如组织违法经营，向认证机构提供虚假信息，出现重大质量、环境、职业健康安全、食品安全事故，这些因素可能增加认证机构的风险。

3.申请认证组织的风险

合规管理体系对申请认证的组织来说，既是一种监督也是一种保护。一方面合规管理体系可以帮助企业依据体系框架管理法律、政策、道德风险，另一方面可以帮助企业预防、检测道德合规风险，实现事前预防、事后快速响应。申请认证的组织在获得合规管理体系证书之后，可以证明该组织符合合规领域条款的要求，并且可以帮助组织有效规避风险或者在风险发生时将损失最小化。

合规管理体系可以避免因个人利益问题给组织带来的损害。就申请认证的组织而言，首先存在如何选择认证机构的困扰。由于目前市场上认证机构数量众多，机构的价格 、质量以及证书的有效性都使得申请认证的组织在选择上存在困扰，申请认证的机构不得不转向律师事务所等一些咨询机构寻求帮助，但是这样就会产生额外的咨询费用，使得认证成本大大增加。再者，企业还可能在不知情的情况下，存在因违反境外监管机构的法律法规而受到惩罚的风险。

4.认证审核人员的风险

人员的风险因素主要包含以下几方面：一是因人员能力带来的风险。人员的能力包括对行业知识、合规管理通用知识、标准的理解，以及对法律法规知识和其他相关业务知识的掌握。申请认证的组织所涉及的行业领域千差万别，认证的合规专项也不尽一致，这对认证审核人员也提出了更高的要求。二是认证人员因身体、工作态度和行为规范等方面存在问题，向认证机构提供虚假信息以及在审核过程中出现事故等情况而导致的风险。三是审核员违反审核人员职业道德，包括在现场审核过程中服务态度差、提供虚假记录和证据，以及审核员能力不够，包括缺乏专业能力、语言表达能力和文字写作能力不足、管理知识不足等。这些因素可能会影响机构形象和声誉，也有可能导致审核风险增加或被监管机构处罚，同时使得审核有效性不及预期。

根据上述研究分析，结合企业合规管理体系认证的实践数据和需求数据，企业开展合规管理体系认证已具备较强的可行性和必要性。为此，笔者提出以下建议：

鼓励通过企业合规管理体系有效性评价推进企业合规管理工作。针对合规管理体系认证可能存在的风险，从制度建设、认证机构、申请认证的组织、人员等维度，完善相关标准并建立标准体系，设定时间表，推进合规管理体系认证工作。

建立并有效实施合规管理体系相关的认证认可制度，如制定《合规管理体系审核与认证能力要求》《合规管理体系认证机构认可方案》等认证相关制度文件，对现有的认证机构认可管理程序进行完善，对认证认可的领域、审核时间以及认证机构制度进行具体规定，推动合规管理体系认证有序有效开展。

开展对合规管理体系、认证机构相关文件需求的研究，例如合规管理体系认证机构应开展制定《合规管理体系认证专项管理规则》及《合规管理体系认证实施方案》，并对现有的《管理体系认证范围界定规则》进行修订，结合合规管理体系中合规义务的要求，制修订《合规管理体系审核作业指导书》。认可机构作为合规管理体系认证机构能力的评定组织，必须确保合规管理体系认可、认证工作的符合性、一致性，确保合规管理体系认证服务的公平公正性。

开展合规管理体系认证机构人员需求及能力需求研究，优化对参与合规管理体系认证审核等相关人员的规定或要求。人员是组织的重要能力组成部分，明确合规管理体系认证机构各类人员的能力需求，可确保合规管理体系顺利推进，同时为认证机构从业人员构建认证技术能力提供指引，减少审核风险，增强审核有效性。