药械企业申请ISO 37301认证流程解析
2024-08-28
前言���:
近两年���,由于国家医药反腐力度的增强和国际环境的影响���,药械企业正面临严峻的合规挑战。一方面���,国家此次医药反腐覆盖医药行业的全领域���、全链条���,对医药行业的生产���、流通���、销售���、使用���、报销进行全流程管理。另一方面���,从实例来看���,欧美国家的监管机构对中国药械企业怀有一些偏负面的态度���,针对出海的中国企业进行愈发严格的合规审查。
同时���,医药行业直接关系到广大人民群众的生命安全与健康保障���,因此一直属于强监管行业。就像食物和水对人不可或缺一样���,药品和器械对于治疗疾病���、维护生命质量同样至关重要。这个行业涉及的不仅是研发生产高质量药品的技术问题���,更包括药物的安全性���、有效性���、合理用药以及价格公平等诸多环节���,每一个环节都可能影响到社会公共利益和患者权益。
建设合规管理体系可以帮助药械企业应对国内外趋严的监管形势。良好运行的合规管理体系可以帮助企业及时识别国内外法律法规���、监管规定的变化���,并不断改进企业的商业行为���,确保所有的业务活动都合规进行���,避免处罚。同时���,申请并取得ISO 37301合规管理体系认证(以下简称“ISO 37301认证”)可以作为企业合规建设的证明���,向监管机构和商业合作伙伴展现企业的合规成果���,传递商业信任。
本文旨在为有志建立企业合规管理体系并申请ISO 37301认证的药械企业提供一定的操作指引。
一���、ISO 37301是药械企业合规管理的指南
(一)什么是ISO 37301认证
ISO 37301: 2021全称《合规管理体系 要求及使用指南》���,由ISO/TC309技术委员会编制���,并由ISO组织在2021年4月发布和实施���,适用于全球任何类型���、规模���、性质和行业的组织。这一标准适用于各种规模���、类型���、性质和行业的组织���,目的是帮助企业和其他实体更好地遵守适用的法律法规���、行业规则���、监管要求���、合同义务以及组织自身设定的道德和行为规范。
ISO 37301基于风险管理和PDCA(Plan-Do-Check-Act���,即计划-执行-检查-行动)循环模型���,强调组织应当建立健全合规风险评估���、控制和监控机制���,并形成一种持续改进的文化。标准涵盖了以下核心领域���:
1���、领导作用与承诺���:组织最高管理层需在合规方面展现强有力的领导作用���,明确传达合规的重要性���,并提供必要的资源和支持。
2���、合规政策和方针���:组织应制定清晰的合规政策和方针���,体现其价值观和合规期望。
3���、合规职能与角色���:确定专门的合规管理部门或者角色���,确保合规工作的有效实施。
4���、合规风险评估与应对���:系统地识别���、评估和处理合规风险���,采取预防和补救措施。
5���、合规培训与沟通���:通过有效的培训和沟通���,增强全体员工的合规意识和能力。
6���、合规监控���、测量���、评价与改进���:建立监测和衡量合规管理体系运行效果的机制���,定期评审并采取必要改进措施。
(二)药械企业建立合规管理体系并申请认证的优势
1.作为向监管机构证明合规管理的依据
ISO 37301认证能够向监管机构展示企业的合规建设成果。随着医药行业反腐力度持续加大���,药械企业在商业贿赂���、税务等方面的监管也日益严格。对于已经获得ISO 37301认证的企业来说���,在面对监管机构的检查时���,一方面可以运用基于该标准确立的合规管理理念来回应行政监管活动;另一方面���,可以通过评估自身合规管理体系的运行状况来匹配适当的监管手段与措施���,从而实现更精准的监管应对。
2.作为企业运营的合规管理方法
ISO 37301合规管理体系可作为构建企业合规管理的标准。该体系采用了PDCA(即计划-执行-检查-行动)的方法论���,全面涵盖了合规管理体系的构建���、运作���、维护和优化的整个过程。在设计和实施合规管理体系方面���,ISO 37301为各类企业提供高度的适应性���,能够根据不同规模���、行业特性���、业务性质和组织类型的需求���,构建定制化的合规管理体系。
3.积极促成商业合作
ISO 37301认证可在全球商业交往中作为企业合规性的依据和证明。在全球范围内复杂的合规监管环境下���,对于寻求海外销售机会的药械企业而言���,ISO 37301认证作为第三方认证的依据���,能够展现企业符合国际标准的合规管理能力。这不仅能够较高程度上满足商业伙伴的合规要求���,还能够在客户合作���、多边合作及政府合作中传递商业信任。
二���、药械企业如何针对申请合规认证进行策划
(一)选择合适的认证领域
对于药械企业���,我们建议在申请合规管理体系认证时优先考虑将反商业贿赂合规���、税务合规���、出口管制合规作为认证领域���,生产原料药的企业可以重点考虑环境保护合规(ESG)���,涉及运用医药医疗信息化的企业(例如���:从事临床数据分析���、真实世界研究等)可以重点考虑数据安全及隐私保护合规。除此之外���,企业还可以考虑公平交易合规���、劳动用工合规���、企业治理合规等领域。
在医药反腐的背景下���,反商业贿赂合规对于药械企业至关重要���,但税务合规同样不可忽视。在当前药械企业的业务模式之下���,尤其是通过以各种形式建立的CSO(Contract Sales Organization���,合同销售组织)实施销售提成和商业推广���,存在大量的税务风险。执法部门也认识到了医药领域存在的税务合规问题���,在国家卫健委等相关部门2022年的纠风工作职责分工中���,针对税务部门提出了以下工作要求���:“对纠风工作中发现的虚开发票���、偷逃税款等违法线索及时移交税务部门进行核查检查。落实‘一案多查’���,密切与纪检监察部门的联动���,加强请示汇报与线索移交���,争取提前介入。”而相较于行贿行为���,税务问题可更具有可控性���,企业可通过建立合规管理制度和自我审查机制���,及时发现并纠正潜在的税务问题���,积极主动消除税务风险���,避免遭受行政处罚。另外���,若企业被税务稽查���,可以通过积极采取措施配合调查���、补缴税款等方式���,避免被认定为偷税而被处以高额罚款或刑事责任。
对于有药品���、医疗器械海外销售需求的企业来说���,申请出口管制领域的合规认证至关重要。出口管制包括我国对于药品���、医疗器械出口所需要的资质文件和特殊的审批手续���,还包括进口国的法律法规的规定。建立完善的出口管制合规管理制度有助于企业详尽地了解进口国对于药品���、医疗器械进口的规定���,以免影响企业的出口贸易或者遭受处罚���,有助于药械企业应对日益趋严和频繁变动的国际监管和大国博弈过程中产生的各种制裁措施。
原料药生产企业可以重点考虑优先申请环境保护合规认证。原料药的生产属于重污染行业���,近年来���,国家出台了一系列政策推动原料药的绿色发展���,并逐渐淘汰高污染���、中小产能的企业。随着我国环保监管力度不断加强和针对环保处罚的高压态势���,企业申请环境保护合规认证有助于企业及时识别在业务流程中的环保合规风险���,避免或减轻因环境污染导致的行政处罚���,免于承担刑事责任。
医药���、医疗数据是信息安全的重点领域。我们建议运用医药医疗信息化产品的企业以及与境外机构合作研究���、共享实验数据或其他敏感数据的企业���,申请信息安全和隐私保护领域的合规认证���,建立完善的数据和信息安全保护制度。运用医疗信息化产品的企业会接受和储存大量的医药���、医疗数据���,这些数据涉及个人医疗领域的敏感信息���,一旦泄露���,将对个人的生活造成比较大的影响。
对于需要与境外机构共享医疗数据的企业���,甄别共享的信息是否涉及遗传信息至关重要���,由于人类遗传资源���、基因测序原始数据等信息涉及国家安全���,需要遵循特殊的法律规定。申请信息安全和隐私保护合规认证���,有助于企业建立完善的数据和个人信息保护机制���,有效管控个人信息���、人类遗传资源等敏感信息���,避免遭受处罚。
(二)根据需求选择认证机构
认证机构根据总部地点和服务市场范围���,主要分为国内认证机构与国际认证机构。能够提供ISO 37301认证的国内主要机构包括中标合信(北京)认证有限公司(“CSCA”)���、中国质量认证中心(“CQC”)���、中质协质量保证中心(“QAC”)���、方圆标志认证集团有限公司(CQM)���,这些机构主要服务于中国企业���,对于国内企业的业务模式和国内的法律规范有更深入的了解。能够提供ISO 37301认证的国际机构主要有通标标准技术服务有限公司(“SGS”)���、英国标准协会(“BSI”)���、挪威船级社(“DNV”)���,这些机构具有全球性的影响力���,服务于全球各地有认证需求的企业���,对于有出海销售的企业来说���,国际机构更能获得国外监管部门及企业的认可���,因而更具优势。
其中���,对于ISO 37301认证���,BSI取得了ANAB(美国国家认证机构���,American National Accreditation Body)国际认证备案资质���,因而在国际上具有更高的权威性和可信度���,能够获得更多国外监管机构的认可���,同时���,BSI的审核要求也相对更高。
上述六家机构都具有广泛而深厚的认证经验���,均曾为国内大型央企���、国企���、外企提供过合规管理体系认证服务���,因而企业可以根据需求自主选择。
(三)选择国际国内双认证
合规管理体系认证包括ISO 37301: 2021与GB/T 35770-2022两个认证标准���,其中GB/T 35770-2022是中国国家标准���,用于指导国内企业建立和实施合规管理体系。GB/T 35770的发布时间早于ISO 37301���,同样为合规管理体系提供指南和建议。这一标准在ISO 37301: 2021发布之后进行了同步更新���,使得GB/T 35770-2022与ISO 37301: 2021保持了高度的一致性���,实际上是同一个标准的不同版本���,有助于企业同时获得两个标准的认证。
为了同时获得国内和国外商业合作伙伴和监管机构的认可���,我们建议企业根据实际需求优先选择两个标准的双重认证。
(四)母���、子公司一体化认证的选择
ISO 37301合规管理体系的认证效力可以覆盖整个企业及其下属的子公司���,企业可以根据具体的组织结构���、子公司的独立性及自身需求选择是否一体化认证。
一般来说���,如果母公司希望整个集团都遵循同一套合规管理体系���,并且子公司的管理体系已经整合进了母公司的体系之中���,那么我们建议可以通过一次认证来覆盖整个集团���,包括子公司。在这种情况下���,母公司需要确保各个子公司的业务活动和管理体系均符合ISO 37301的要求���,并在认证申请时明确提出包括子公司在内的认证范围。
反之���,如果子公司的运营相对独立���,拥有自己独特的业务和管理体系���,则可能需要单独进行ISO 37301的认证。这样做的好处在于更能针对性地解决各子公司的具体合规需求���,同时也便于每个子公司单独展示其自身的合规管理水平。
实际操作中���,企业可以请认证机构对整个集团的组织架构���、管理体系整合程度���、以及子公司间的相互关系进行综合评估���,与认证机构协商是否能够进行一体化认证。
三���、药械企业如何搭建合规管理体系
一家企业从无到有建立合规管理体系���,通常要经过企业环境分析���、合规制度的制定与宣贯���、合规制度的实施与改进三个过程。
(一)企业环境分析
在制定合规管理制度之前���,企业应对与其业务相关的���、影响合规管理体系建立的内部和外部环境事项进行分析���,确定应遵守的合规义务���,从而识别出企业的合规风险并进行评估。
对于药械企业来说���,内外部事项包括但不限于企业的主营业务及其模式���,与客户���、经销商���、供应商的业务往来活动���,医药���、医疗器械管理相关的法律���、法规���、规章及其他规范性文件���,销售范围内的经济���、社会���、文化���、环境保护情况���,企业自身的合规文化。除此之外���,分析业务合作方及监管部门对企业的合规要求也至关重要。对于药械企业来说���,医院以及国外的供应商���、客户将对企业提出比较高的合规要求���,企业应及时与不同相关方进行沟通���,了解员工���、客户���、供应商���、股东���、监管机构���、社区和非政府组织对于企业的合规需求以及担忧。
经过对内外部环境和相关方期望的分析���,企业可以比较全面地分析合规义务及合规风险���,并对风险进行评估���,以便于后续根据风险等级设立制度进行控制。
(二)合规制度的制定与宣贯
企业根据识别的合规义务及合规风险���,编制和完善各项合规管理制度���,包括但不限于合规手册���、操作规程���、应急预案等。同时���,还应制定内部审核���、管理评审和第三方审核机制���,确保体系的有效性和适应性。合规管理制度应确保覆盖公司的全部业务���、全体员工和公司确定的合规领域���,并且根据风险评估的结果对于高风险行为重点管控���,体现出差异性。
除了建立完善���、有效的合规制度���,对于合规制度和合规文化的宣贯也十分重要。首先���,公司领导层应起到带头表率作用���,做出积极���、一致的合规承诺���,表明对合规行为的鼓励和支持���,强化自上而下的合规意识。同时���,企业可以组织员工合规培训���、合规考试或其他合规宣导活动���,提高员工对合规制度和合规知识的了解���,强化合规意识���,增强员工识别风险���、遵守规则的能力。最后���,企业可以设立合规举报途径���,积极收集对不合规行为的举报投诉���,严肃处理违规事件���,表彰合规行为���,营造全员合规的氛围。
(三)合规制度的实施与改进
公司管理层���、合规部门���、法务部门���、审计部门应该推进合规制度切实落地实施���,将合规管理纳入绩效考核���,定期检查业务人员执行合规制度���、填写相关表单的情况。建议企业可以在每个业务部门根据实际情况设置一定数量的合规管理员���,负责业务部门内部的合规宣导以及合规制度实施的监督。除此之外���,还可以定期执行合规内部审核与管理评审���,持续发现并纠正不合规的行为。对于发现的不合规行为���,由合规部出具整改通知单���,并持续跟进该部门的改正情况。
四���、如何顺利通过合规认证
认证机构的审核共三个阶段���,现场审核的第一阶段主要针对文件化信息���,审核公司是否针对合规管理体系进行了有效的策划;现场审核的第二阶段会对业务人员进行访谈���,审核合规管理体系的运行情况���,如果不存在重大不符合项且整体上体系有效���,认证机构将颁发ISO 37301和GB/T 35770合规管理体系认证证书;在获得认证后���,认证机构将每年或每一定周期进行监督审核���,确保合规管理体系持续有效。
(一)依照标准完成合规管理体系的策划
在迎接认证机构的第一阶段审核前���,企业应确保依照标准完成了合规管理体系的策划���,并做好了进入第二阶段审核的初步准备。
在第一阶段审核中���,审核人员将全面审查公司的文件化信息���,评估企业合规体系策划的完整性与标准符合性;其次���,审核员通过现场考察及与管理层���、合规部员工交流���,了解现行合规管理体系的运行状态;此外���,认证机构将收集管理体系覆盖领域内的信息���,包括企业办公场所���、业务运行情况���、管理控制情况;最终���,审核人员通过评估公司内部审核与管理评审的有效性���,以及管理体系的实际执行情况���,确认企业是否已充分准备好迎接第二阶段的全面审核���,并与企业商讨第二阶段的具体安排。
在第一阶段审核结束���,审核员通常会提出一定数量的不符合项���、可以改进的内容以及有待观察的内容���,企业需要根据审核员的要求及时针对合规管理体系进行补充整改���,并提交整改报告���,认证机构才会推进第二阶段的审核。
(二)推进合规管理体系有效实施
企业在开始第二阶段审核前���,应确保有证据证明合规管理体系已经落地实施���,业务部门员工对合规管理制度充分了解���,相关流程���、表单都切实执行。
在该阶段���,审核员将对各业务部门员工进行访谈���,了解公司业务情况并收集公司合规管理体系有效运行的符合性证据信息。在访谈的过程中���,审核员主要关注两个方面���,一是合规管理制度是否存在不足���,无法控制企业存在的合规风险;二是合规制度是否得到了有效的实施���,在实施过程中是否存在问题。
在第二阶段发现的不符合项���,审核员将要求企业限期整改并在一年后的监督审核中重点审核。企业的合规管理体系不存在重大不符合项���,并且整体上能够有效控制企业的合规风险���,认证机构将推荐认证并授予ISO 37301和GB/T 35770合规管理体系认证证书。
(三)确保合规管理体系持续有效并不断改进
获得认证后���,认证机构将每年或每一定周期进行监督审核���,以确保体系持续符合标准要求并不断改进。ISO 37301和GB/T 35770合规管理体系认证证书的有效期为三年���,企业需要在到期前接受认证机构的在认证评审���,申请换发证书。若企业未通过监督审核或认证评审���,证书将失效或过期。
因此���,企业在首次通过审核获得认证证书后���,仍然需要持续运行合规管理体系���,更重要的是���,确保合规管理体系不断改进。
结语���:
对于药械企业来说���,ISO 37301合规管理体系作为企业建立���、运行一个有效的合规管理体系的标准指引与企业合规成果的认证证明���,可以有效帮助企业应对国内愈发严格的监管环境���、满足境外频繁变动的合规要求。
对于合规制度比较完善���、具有合规文化基础的企业���,可以参考ISO 37301: 2021及GB/T 35770-2022标准的内容进行合规管理体系的建设。但对于更多的企业���,由律师���、法务等辅助建立合规制度并针对认证进行辅导���,以便帮助企业根据具体业务情况建立可以持续运行并改进的合规制度及合规流程���,并在认证过程中对审核员提出的问题进行有针对性的修正���,也是必不可少的。
本文作者���:
指导合伙人���:
声明���:
本文由k8凯发天生赢家·一触即发律师事务所律师原创���,仅代表作者本人观点���,不得视为k8凯发天生赢家·一触即发律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容���,请注明出处。
