合规管理 | ISO 37303《合规管理体系 能力管理指南》标准简介

为满足全球化合规的快速发展和迫切需求，促进国际贸易、交流与合作，提升各类组织的合规管理能力，国际标准化组织（ISO）于2021年启动了ISO 37303《合规管理体系 能力管理指南》国际标准的制定工作。该标准由我国牵头制定，并有来自中国、奥地利、加拿大、澳大利亚、英国、特立尼达和多巴哥以及南非等20余个国家的专家共同参与制定。2025年7月，ISO正式发布ISO 37303:2025《合规管理体系 能力管理指南》国际标准。

ISO 37303国际标准是对之前发布的ISO 37301国际标准的细化和补充，并与ISO 37301、ISO37302等国际标准共同构成完整的合规管理标准体系，形成从合规管理体系建设、有效性评估以及人员能力支撑的完整闭环，为组织合规管理实现系统化、精细化提供有效指引，并为提高组织合规管理能力、确保业务可持续发展、增强监管机构信任、促进公平竞争以及提升全球合规治理水平等贡献中国智慧。

一、标准概览

ISO 37303《合规管理体系 能力管理指南》国际标准聚焦人员能力管理，系统提出各类组织实现合规管理体系目标所需的能力，确保工作人员具备履行相关合规义务的知识、技能和经验，旨在帮助各类组织夯实合规管理基础、提高合规管理价值，明确内外部人员合规能力要求及提升路径。

ISO 37303国际标准强调合规不仅仅是规则的建立与完善，更重要的是人员能力建设和合规文化的培育，要求企业运用PDCA（计划－实施－检查－改进）循环方法，系统识别、计划、实施并评估合规管理体系所需的人员能力，以支持组织实现合规目标。

图1：合规能力管理过程

二、能力需求的确定

能力需求的确定是能力管理的基础。ISO 37303国际标准要求企业建立流程以确定能力需求。具体而言，企业应定期、系统性地识别可能影响能力需求的因素，包括外部因素（法律法规、技术进步等）、内部因素（使命愿景、战略目标、价值观与文化、业务范围等）、相关方需求（监管机构、客户、供应商及社会期望等）以及合规管理体系自身的需求（体系范围、组织架构、合规义务与风险等）。

在此基础上，ISO 37303又进一步详细列举了在识别具体角色的能力需求时应考虑的因素。例如，在识别治理机构和最高管理层的能力需求时，应考虑：合规管理体系中领导职责、权限与承诺要求；合规管理体系的目标、绩效与预期结果；企业活动、过程及体系；企业组织架构、人员数量以及职责分工；合规文化，以及合作、协同与培育尊重的能力；内、外部环境变化对合规需求的影响等因素。

三、能力差距评估与风险分析

在识别能力需求的基础上，企业应进一步评估自身能力与已识别的需求之间的差距，以明确是否需要采取相应措施。在评估能力差距时，企业应充分考虑：违规数据、内外部审计发现、培训反馈、人员流失率等多种因素以衡量当前能力的不足。

同时，企业还应充分识别、分析、评估在确定必要的能力过程中存在的风险，包括：评估标准不全或过时、分析不完整、评估与业务战略脱节等风险。

四、能力发展

ISO 37303重视能力的发展，要求企业高效落实能力发展计划及配套措施，既要确保实现企业合规目标，也要满足人员能力提升目标。

治理机构、最高管理层、合规职能部门、管理层、风险岗位人员及第三方都应熟悉自身的合规义务与职责，并被鼓励积极参与能力管理与发展规划活动，以提升各方的参与度和责任感。ISO 37303国际标准列举了不同角色支持能力发展的活动及实现方式。

表1：不同角色支持合规能力发展的活动及实现方式

五、能力管理评估与持续改进

ISO 37303国际标准要求企业对能力管理的有效性进行评估，以验证相关人员是否具备履行合规义务所需的能力。评估需要确定能力指标，具体可参照ISO 37302。此外，企业还应根据内、外部环境的变化，不断调整和完善能力发展需求，以实现“PDCA”闭环。

建议企业结合实际情况，将上述标准内容与企业实践相结合，并持续开展合规能力建设，提升企业合规能力，筑牢合规发展根基。