地址:北京市东城区建国门内大街26号新闻大厦7-8层
电话:86 10 8800 4488, 6609 0088
传真:86 10 6609 0016
邮编:100005
国枫视角
国枫观察 | 合规管理体系认证新规解读:企业初次认证的实操指引
发布时间:2026.05.14
来源:
浏览量:174
本文笔者结合近期提供的ISO 37301合规管理体系认证辅导服务,聚焦企业首次申请合规管理体系认证过程中的关键节点,结合现行认证实施规则的具体要求,以期为企业提供一份具有实操价值的认证指引。
作者:成隽捷、刘华英
2025年8月31日,国家认证认可监督管理委员会(以下简称“国家认监委”)发布了《质量管理体系认证规则(CNCA-QMS-01:2025)》(以下简称“认证新规”),于2026年1月1日起正式施行。2026年1月21日,国家认监委发布涵盖环境管理体系(EMS)、职业健康安全管理体系(OHSMS)、信息安全管理体系(ISMS)、信息技术服务管理体系(ITSMS)及能源管理体系(EnMS)等认证新规,于2026年3月1日起正式施行。上述两批新规从认证申请条件、审核运行期限、多场所抽样、管理者参与、审核人员配置、审核内容划分等维度,明确、细化了认证规则。
本文笔者结合近期提供的ISO 37301合规管理体系认证辅导服务,聚焦企业首次申请合规管理体系认证过程中的关键节点,结合现行认证实施规则的具体要求,以期为企业提供一份具有实操价值的认证指引。需要说明的是,本文所援引的规则内容主要基于国家认监委所发布的质量管理体系认证规则,行业通行做法以及笔者项目经验,不同体系类型、不同认证机构对于该规则的执行细化程度均有一定差异(注:笔者服务的企业拟进行ISO 37301合规管理体系认证,ISO 37301虽然可包含新规认证范围但严格来说并不属于新规直接规制的对象,在认证过程中,服务认证机构仍将上述新规作为认证标准。)
一、认证申请自查:近一年无不良
信用记录
(一)新规的具体要求与适用场景
此次认证新规在“认证申请与受理”章节新增,认证委托人申请时应满足两项消极条件:其一,未被行政监管部门责令停产停业整顿;其二,未列入“国家企业信用信息公示系统”“信用中国”以及有关行政管理部门发布的严重违法失信名单。上述两项条件共同构成企业申请认证时的信用门槛,且新规要求该等状态须持续至认证决定作出之日。
合规管理体系的核心目标,正是通过系统化的制度安排预防、识别和应对企业在运营过程中的合规风险,避免企业及其员工因违法违规行为承担法律责任或遭受声誉损失。若一家企业已被列入严重违法失信名单,或其在前一年内曾因严重违法违规被责令停产停业,则表明该企业的合规管理体系不仅未能发挥“防火墙”功能,甚至可能形同虚设。从认证逻辑来看,认证机构对企业进行合规管理体系认证,本质上是对企业“合规治理能力”的外部背书。若企业本身尚处于严重违法失信状态,认证机构对其合规管理体系有效性的任何肯定性评价,都将面临正当性质疑。因此,此次新规明确将“无不良信用记录”作为合规管理体系认证的前置条件,并非简单的程序门槛,而是与合规管理体系的本质属性高度契合的实质性要求。
(二)企业的实务应对建议
企业在正式启动认证申请前,应首先完成信用状态的全面自查。确认自身及承继主体(如涉及合并、分立、重组等情形)是否被列入相关违法失信名单,以及近一年内是否存在被责令停产停业整顿的行政处罚记录。由于不同行业、不同地区的信用公示渠道存在差异,建议企业在自查过程中与意向认证机构充分沟通,明确其具体核查标准和所需的证明材料范围。
二、审核运行期限的计算规则:三个月门槛如何把握
(一)起算节点的实务争议
认证实施规则普遍要求,申请初次认证的组织其合规管理体系应“已实施运行满3个月及以上”。这一要求不仅适用于合规管理体系、质量管理体系、在所有ISO系列认证中类似规定均一脉相承。而笔者在实务中发现,企业往往对“三个月”的起止节点存在如下误解:
(二)企业的实务应对建议
三、最高管理者的参与要求:首末次会议
与面对面访谈
(一)两个强制参与场景
合规管理体系区别于一般管理制度的核心特征之一,在于其“自上而下的治理结构”。ISO 37301标准本身即明确要求最高管理者对合规管理体系的有效性承担最终责任。此次认证实施规则将这一原则转化为两项刚性的程序要求:
第一,首末次会议的出席。此次认证新规要求,企业的最高管理者应参加第一阶段和第二阶段审核的首末次会议,若最高管理者不能参加的,应由获得书面授权的其他高级管理层成员参会。首次会议是审核组与企业管理层就审核目的、范围、准则达成共识的正式场合,末次会议则是通报审核发现、确认不符合项的关键环节。最高管理者的缺席,将被视为对体系重视程度不足的信号。
第二,面对面访谈。认证机构在两阶段审核中,审核组会安排与最高管理者的面对面访谈,以评价其对合规管理体系的熟悉程度、合规管理体系理念、方针理解深度、领导作用的具体体现等。且规则明确,若最高管理者不熟悉体系方针、体系目标,未亲自参与并推动体系实施的,认证审核应不予通过。而若最高管理者或经授权的高级管理者成员缺席首、末次会议的,审核组应终止审核。最高管理者上述活动的缺席,将直接影响最终认证审核的结果。
(二)实务注意事项与准备要点
认证规则主要对最高管理者的两项活动提出了刚性要求:一是首末次会议;二是面对面访谈。首先,以笔者今年最新接触的项目审核机构要求,“面对面”访谈不支持线上视频,需最高管理者现场出席。企业应明确最高管理者参与认证活动的具体安排,将其日程纳入认证计划统筹考虑。需要提醒企业注意的是,对于首末次会议而言,其召开具有特定目的、召开时间与顺序较为固定,通常无法调整,需要确保最高管理者可准时出席。而在具体审核活动开展过程中,审核组通常会根据审核进度与企业需求,对审核顺序与安排进行灵活调整。对于面对面访谈而言,各认证机构对“面对面”形式的具体要求(如是否必须现场出席、是否接受线上视频等)存在差异,企业宜在认证筹备阶段即向意向认证机构确认其具体要求,并确保最高管理者在审核周期内能抽出一定时间接受访谈即可。实务中,审核组通常会将访谈安排在审核周期的适当时段,以减少对最高管理者日常工作的干扰。
需要说明的是,实务中合规管理体系中的“最高管理者”并非严格限定为单一自然人,也可由承担最高管理责任的人员群体构成。如此在保障合规管理体系的管理架构与公司治理架构相统一的前提下,面对此次新规的认证规则时能保证一定灵活性。企业在策划合规管理组织架构时,可结合自身治理结构和认证需求进行合理设置。若最高管理者确实存在不可协调的行程冲突,认证新规本身亦给出了解决方案——即由获得书面授权的其他高级管理层成员代为出席首末次会议。企业应尽早完成书面授权并妥善保留凭证,以备审核组核查。
四、多场所企业的认证
范围界定
(一)多场所审核的基本原则
对于具有多个经营场所的企业(尤其是集团公司或跨区域经营企业),认证实施规则在审核范围上遵循“风险导向”和“代表性抽样”相结合的原则。具体而言,认证机构将识别企业的“相似活动场所”和“非相似活动场所”,并据此设计差异化的审核方案。
(二)不同场所的抽样规则
“相似活动场所”,是指从事相同或相近业务活动、面临类似合规风险且管理体系同质化程度较高的场所。对于此类场所,认证机构通常采用抽样审核方式。根据认证规则,抽样比例一般遵循以下逻辑:
对于同类业务场所,认证机构通常按照一定比例的样本量进行抽取,而非逐一场所全面覆盖。抽样数量的确定需综合考虑场所总数、地域分布、业务重要性及历史合规表现等因素。此次认证规则对初次认证审核的抽样数量给出了明确的计算公式,企业可据此结合自身场所数量,评估纳入审核范围的规模与相应的受审压力。
而与“相似活动场所”相对,“非相似活动场所”因业务性质差异较大、合规风险类型不同,通常不被纳入抽样范围,而需逐一接受审核。例如,某企业同时从事生产制造和金融投资两类业务,其工厂与金融子公司即构成非相似活动场所,认证机构在审核时会分别覆盖,逐一审核。
(三)多场所认证的合规建议
对于具有多个经营场所的企业而言,首先需要明确:并非所有子公司或分支机构都会进入审核范围,经营场所是否纳入审核方案考量主要取决于企业是否计划将相关经营场所纳入认证范围。企业可结合认证规则中的抽样逻辑,在认证范围规划阶段与认证机构充分沟通,合理确定纳入审核的经营场所规模。此外,需要特别提醒的是,多场所抽样的规则设计,本质上是在审核成本与认证完整性之间寻求平衡,未被抽中的场所不等于不需要进行合规管理体系建设,且第一阶段与第二阶段的抽样并不完全一致。若企业过于关注第一阶段抽样场所而忽视了其他场所的合规建设,可能影响最终审核结果。
五、初次审核的第一阶段认证审核 VS 第二阶段认证审核
第一阶段认证审核VS第二阶段认证审核对照表
(以质量管理体系为例)
初次认证审核分为一阶段审核与二阶段审核,在认证审核过程中对两阶段审核的关系通常有如下几种理解:一是一阶段审核与二阶段审核完全独立,根据不同抽样情况对企业管理体系建设情况进行完整审核。二是二阶段审核完全遵循一阶段审核范围逻辑,只在一阶段的基础上进行审核。上述两种理解均不完全正确。笔者认为,第一阶段审核与第二阶段审核既并非简单的“分割”,也不是完全的“包含”。而是具有递进关系的连续过程,第一阶段审核实质为第二阶段审核提供基础信息和准入判断,第二阶段审核则在第一阶段审核的基础上进行深度评价。从上表可知,在“P-D-C-A”循环中,第一阶段审核更侧重于“P”(Plan),即管理体系的策划;而第二阶段审核则完整审核管理体系的运行、检查及处理。概言之,第二阶段审核更关注策划下的实施证据。通俗而言,第一阶段审核关注的是“有没有”和“是否准备好”。而第二阶段审核则聚焦于“好不好”和“是否有效”。在明确上述一阶段审核与二阶段审核的基本关系后,实务中企业常对如下问题存在困惑,本文一并予以解答:
(一)两阶段审核人员是否具有连续性?
审核组的成员构成是影响审核结果的关键变量。从审核风格来看,不同审核员之间存在显著的个体差异:以笔者所接触的ISO 37301合规管理体系认证项目为例,部分审核员倾向于紧扣合规义务清单与合规风险清单开展逐项核查与比对;另有部分审核员则更偏好围绕部门及岗位职责进行发散性询问与追溯。从专业维度来看,不同审核员在合规领域的知识结构与实务经验存在差异,在各自擅长的领域发问往往更为精准深入,相应地发现问题的可能性也更高。由此也导致同一管理事项在不同审核员处可能被评定为不同等级的不符合项——某位审核员认定系“合规”的事项,在另一位审核员看来可能构成不符合项;反之亦然。
对企业而言,审核人员的一致性实质上即意味着审核口径与评价标准的一致性。此前CNAS-TRC-002:2008第6.3.1.2条即已明确要求,“第一、二阶段审核应尽可能安排同一审核组,以确保审核的延续性”;即便审核人员无法完全一致,亦须将一阶段的审核材料完整传递至二阶段。认证新规第5.4.4.1条进一步明确规定,“至少1名实施第一阶段审核的审核员应参加第二阶段审核”,从而在法律规范层面确保了两阶段审核人员具有一定的延续性。基于此,实践中至少一名审核员会参与两阶段审核,甚至一阶段审核组全员均参与二阶段审核也不鲜见。企业宜在一阶段审核期间即主动熟悉并把握审核组成员的审核风格与评价倾向,以便在二阶段审核中实现更为有效的配合与应对,提升整体审核效率。
(二)两阶段审核间隔是否越短越好?
此次新认证规则发布前,初次认证审核第一阶段与第二阶段时间间隔并不明确。新规则明确两个阶段审核时间间隔最短不应少于5日,最长不应超过6个月。笔者认为,两个阶段的审核既不应过长,也不应过短。从审核的目标而言,是为了企业通过认证取得证书,从这个角度而言,应尽可能压缩两阶段的时间间隔以实现尽快取证。但从另一个角度而言,两阶段审核时间间隔本身也是为第二阶段审核的缓冲。认证机构在第一阶段审核发现问题,提出关注点后,企业需要在第二阶段审核前完成关闭。若两阶段时间间隔过短,则会压缩企业的整改空间,对于企业合规管理体系的有效运行也有所损害。同时需要特别提醒的是,如上文所述,第一阶段审核通常发现企业在策划阶段的漏洞与不足,但对于企业而言若需符合第二阶段审核要求,需要完成从策划、执行、检查、处理的全套整改,既需从前端确保制度落地,流程适配、人员支持,还需要准备相应的实施证据,这并非一蹴而就的工作,若两阶段审核间隔过短影响企业完成一阶段发现问题的整改,反而会成为影响企业通过二阶段审核的负累。
(三)二阶段是否可发现一阶段没发现的问题?
部分企业存在一种误解,即认为一阶段审核未发现或未提出的关注点,二阶段便不应再提出新的不符合项。笔者认为,这一理解与认证规则的设计初衷与审核实务均相悖。CNAS-TRC-002:2008第5.1.2.2条指出,一阶段收集的信息虽可由审核组与受审核方共同确认并在二阶段直接采用,但“这并不意味着可以无需进行深入审核”;第5.1.2.3条更要求二阶段审核必须覆盖“与适用的管理体系标准或其他规范性文件的所有要求的符合情况及证据”。换言之,二阶段审核须独立收集证据、独立作出评价,其审核深度和覆盖范围均优于一阶段。从另一个角度而言,一阶段与二阶段本身进行独立随机的抽样,不同的抽样本身当然可以发现新的问题,得出不同的结论。
从规则设计目的来看,两个阶段承担着不同的功能定位:一阶段的核心目标在于“确认受审核方对审核的准备程度”(第5.1.1.1条),侧重管理体系策划的充分性;二阶段的核心目标则是“评价受审核方管理体系的实施情况,包括有效性”(第5.1.2.1条),侧重实施运行的实际成效。一阶段做“准备度评估”,二阶段做“全面有效性评价”,深度不同、功能各异。因此,第二阶段发现一阶段因审核深度、范围或侧重点不同而未能识别的不符合项,完全符合规则预期,并非规则漏洞。企业无法以一阶段未发现该问题而抗辩不属于不符合项。
(四)第一阶段审核是否不核查实施证据?
基于前述对一阶段、二阶段审核目标的区分,部分企业认为第一阶段审核侧重于“P”(Plan)环节,即管理体系的策划与建立。然而,这并非意味着第一阶段审核完全不涉及实施证据的核查,亦不代表企业无须为此做好准备。审核组是否在第一阶段调阅实施证据,既取决于认证机构的具体要求及审核员的执业习惯,也与拟认证的体系类型、认证范围等因素密切相关。换言之,第一阶段审核并非绝对不涉及实施证据的核查,企业自筹备之初即应同步完善实施层面的证据材料,不宜心存侥幸。具体证据准备的深度和广度,建议企业在认证前期与认证机构进行充分沟通,根据其审核风格和关注重点进行针对性准备。
六、认证不是终点,
而是起点
合规管理体系认证的价值,不在于获得一纸证书,而在于通过认证过程推动企业建立真正有效的合规治理机制。本文所梳理的认证前置资质、审核运行期限、多场所抽样、管理者参与、人员配置、一二阶段审核对比等维度,是企业准备初次认证时需要重点关注的“技术节点”。
然而,合规管理体系的有效性最终取决于日常运营中的持续投入和文化培育,认证审核只是对这一过程的阶段性验证。与此同时,企业也应认识到,认证规则具有动态更新性,不同认证机构在具体操作层面可能存在细微差异。企业在正式启动认证程序前,应与所选认证机构进行充分沟通,获取最新版本的认证实施规则和审核指南。
