為滿足全球化合規(guī)的快速發(fā)展和迫切需求，促進國際貿(mào)易、交流與合作，提升各類組織的合規(guī)管理能力，國際標準化組織（ISO）于2021年啟動了ISO 37303《合規(guī)管理體系 能力管理指南》國際標準的制定工作。該標準由我國牽頭制定，并有來自中國、奧地利、加拿大、澳大利亞、英國、特立尼達和多巴哥以及南非等20余個國家的專家共同參與制定。2025年7月，ISO正式發(fā)布ISO 37303:2025《合規(guī)管理體系 能力管理指南》國際標準。

ISO 37303國際標準是對之前發(fā)布的ISO 37301國際標準的細化和補充，并與ISO 37301、ISO37302等國際標準共同構(gòu)成完整的合規(guī)管理標準體系，形成從合規(guī)管理體系建設(shè)、有效性評估以及人員能力支撐的完整閉環(huán)，為組織合規(guī)管理實現(xiàn)系統(tǒng)化、精細化提供有效指引，并為提高組織合規(guī)管理能力、確保業(yè)務(wù)可持續(xù)發(fā)展、增強監(jiān)管機構(gòu)信任、促進公平競爭以及提升全球合規(guī)治理水平等貢獻中國智慧。

一、標準概覽

ISO 37303《合規(guī)管理體系 能力管理指南》國際標準聚焦人員能力管理，系統(tǒng)提出各類組織實現(xiàn)合規(guī)管理體系目標所需的能力，確保工作人員具備履行相關(guān)合規(guī)義務(wù)的知識、技能和經(jīng)驗，旨在幫助各類組織夯實合規(guī)管理基礎(chǔ)、提高合規(guī)管理價值，明確內(nèi)外部人員合規(guī)能力要求及提升路徑。

ISO 37303國際標準強調(diào)合規(guī)不僅僅是規(guī)則的建立與完善，更重要的是人員能力建設(shè)和合規(guī)文化的培育，要求企業(yè)運用PDCA（計劃－實施－檢查－改進）循環(huán)方法，系統(tǒng)識別、計劃、實施并評估合規(guī)管理體系所需的人員能力，以支持組織實現(xiàn)合規(guī)目標。

圖1：合規(guī)能力管理過程

二、能力需求的確定

能力需求的確定是能力管理的基礎(chǔ)。ISO 37303國際標準要求企業(yè)建立流程以確定能力需求。具體而言，企業(yè)應(yīng)定期、系統(tǒng)性地識別可能影響能力需求的因素，包括外部因素（法律法規(guī)、技術(shù)進步等）、內(nèi)部因素（使命愿景、戰(zhàn)略目標、價值觀與文化、業(yè)務(wù)范圍等）、相關(guān)方需求（監(jiān)管機構(gòu)、客戶、供應(yīng)商及社會期望等）以及合規(guī)管理體系自身的需求（體系范圍、組織架構(gòu)、合規(guī)義務(wù)與風(fēng)險等）。

在此基礎(chǔ)上，ISO 37303又進一步詳細列舉了在識別具體角色的能力需求時應(yīng)考慮的因素。例如，在識別治理機構(gòu)和最高管理層的能力需求時，應(yīng)考慮：合規(guī)管理體系中領(lǐng)導(dǎo)職責(zé)、權(quán)限與承諾要求；合規(guī)管理體系的目標、績效與預(yù)期結(jié)果；企業(yè)活動、過程及體系；企業(yè)組織架構(gòu)、人員數(shù)量以及職責(zé)分工；合規(guī)文化，以及合作、協(xié)同與培育尊重的能力；內(nèi)、外部環(huán)境變化對合規(guī)需求的影響等因素。

三、能力差距評估與風(fēng)險分析

在識別能力需求的基礎(chǔ)上，企業(yè)應(yīng)進一步評估自身能力與已識別的需求之間的差距，以明確是否需要采取相應(yīng)措施。在評估能力差距時，企業(yè)應(yīng)充分考慮：違規(guī)數(shù)據(jù)、內(nèi)外部審計發(fā)現(xiàn)、培訓(xùn)反饋、人員流失率等多種因素以衡量當(dāng)前能力的不足。

同時，企業(yè)還應(yīng)充分識別、分析、評估在確定必要的能力過程中存在的風(fēng)險，包括：評估標準不全或過時、分析不完整、評估與業(yè)務(wù)戰(zhàn)略脫節(jié)等風(fēng)險。

四、能力發(fā)展

ISO 37303重視能力的發(fā)展，要求企業(yè)高效落實能力發(fā)展計劃及配套措施，既要確保實現(xiàn)企業(yè)合規(guī)目標，也要滿足人員能力提升目標。

治理機構(gòu)、最高管理層、合規(guī)職能部門、管理層、風(fēng)險崗位人員及第三方都應(yīng)熟悉自身的合規(guī)義務(wù)與職責(zé)，并被鼓勵積極參與能力管理與發(fā)展規(guī)劃活動，以提升各方的參與度和責(zé)任感。ISO 37303國際標準列舉了不同角色支持能力發(fā)展的活動及實現(xiàn)方式。

表1：不同角色支持合規(guī)能力發(fā)展的活動及實現(xiàn)方式

五、能力管理評估與持續(xù)改進

ISO 37303國際標準要求企業(yè)對能力管理的有效性進行評估，以驗證相關(guān)人員是否具備履行合規(guī)義務(wù)所需的能力。評估需要確定能力指標，具體可參照ISO 37302。此外，企業(yè)還應(yīng)根據(jù)內(nèi)、外部環(huán)境的變化，不斷調(diào)整和完善能力發(fā)展需求，以實現(xiàn)“PDCA”閉環(huán)。

建議企業(yè)結(jié)合實際情況，將上述標準內(nèi)容與企業(yè)實踐相結(jié)合，并持續(xù)開展合規(guī)能力建設(shè)，提升企業(yè)合規(guī)能力，筑牢合規(guī)發(fā)展根基。