為滿足全球化合規的快速發展和迫切需求,促進國際貿易�、交流與合作,提升各類組織的合規管理能力�,國際標準化組織(ISO)于2021年啟動了ISO 37303《合規管理體系 能力管理指南》國際標準的制定工作����。該標準由我國牽頭制定�,并有來自中國����、奧地利��、加拿大��、澳大利亞、英國�、特立尼達和多巴哥以及南非等20余個國家的專家共同參與制定�����。2025年7月,ISO正式發布ISO 37303:2025《合規管理體系 能力管理指南》國際標準�。
ISO 37303國際標準是對之前發布的ISO 37301國際標準的細化和補充��,并與ISO 37301、ISO37302等國際標準共同構成完整的合規管理標準體系����,形成從合規管理體系建設�、有效性評估以及人員能力支撐的完整閉環�,為組織合規管理實現系統化、精細化提供有效指引����,并為提高組織合規管理能力�����、確保業務可持續發展、增強監管機構信任����、促進公平競爭以及提升全球合規治理水平等貢獻中國智慧��。
一�、標準概覽
ISO 37303《合規管理體系 能力管理指南》國際標準聚焦人員能力管理����,系統提出各類組織實現合規管理體系目標所需的能力�����,確保工作人員具備履行相關合規義務的知識�����、技能和經驗,旨在幫助各類組織夯實合規管理基礎����、提高合規管理價值�����,明確內外部人員合規能力要求及提升路徑。
ISO 37303國際標準強調合規不僅僅是規則的建立與完善�����,更重要的是人員能力建設和合規文化的培育���,要求企業運用PDCA(計劃-實施-檢查-改進)循環方法���,系統識別����、計劃、實施并評估合規管理體系所需的人員能力���,以支持組織實現合規目標����。
圖1:合規能力管理過程
二、能力需求的確定
能力需求的確定是能力管理的基礎�。ISO 37303國際標準要求企業建立流程以確定能力需求�。具體而言�����,企業應定期�����、系統性地識別可能影響能力需求的因素,包括外部因素(法律法規、技術進步等)�����、內部因素(使命愿景���、戰略目標�、價值觀與文化、業務范圍等)�����、相關方需求(監管機構����、客戶、供應商及社會期望等)以及合規管理體系自身的需求(體系范圍����、組織架構�����、合規義務與風險等)。
在此基礎上,ISO 37303又進一步詳細列舉了在識別具體角色的能力需求時應考慮的因素。例如��,在識別治理機構和最高管理層的能力需求時�,應考慮:合規管理體系中領導職責、權限與承諾要求;合規管理體系的目標、績效與預期結果���;企業活動、過程及體系;企業組織架構��、人員數量以及職責分工��;合規文化�����,以及合作、協同與培育尊重的能力���;內、外部環境變化對合規需求的影響等因素���。
三、能力差距評估與風險分析
在識別能力需求的基礎上,企業應進一步評估自身能力與已識別的需求之間的差距���,以明確是否需要采取相應措施。在評估能力差距時,企業應充分考慮:違規數據�、內外部審計發現�����、培訓反饋、人員流失率等多種因素以衡量當前能力的不足。
同時����,企業還應充分識別��、分析���、評估在確定必要的能力過程中存在的風險����,包括:評估標準不全或過時、分析不完整�、評估與業務戰略脫節等風險��。
四、能力發展
ISO 37303重視能力的發展,要求企業高效落實能力發展計劃及配套措施����,既要確保實現企業合規目標��,也要滿足人員能力提升目標。
治理機構���、最高管理層、合規職能部門����、管理層���、風險崗位人員及第三方都應熟悉自身的合規義務與職責�,并被鼓勵積極參與能力管理與發展規劃活動��,以提升各方的參與度和責任感����。ISO 37303國際標準列舉了不同角色支持能力發展的活動及實現方式���。
表1:不同角色支持合規能力發展的活動及實現方式
五�、能力管理評估與持續改進
ISO 37303國際標準要求企業對能力管理的有效性進行評估,以驗證相關人員是否具備履行合規義務所需的能力���。評估需要確定能力指標�����,具體可參照ISO 37302�����。此外�����,企業還應根據內、外部環境的變化��,不斷調整和完善能力發展需求��,以實現“PDCA”閉環����。
建議企業結合實際情況���,將上述標準內容與企業實踐相結合�,并持續開展合規能力建設,提升企業合規能力���,筑牢合規發展根基。
