ARTICLES
专业文章
合规标准启新篇:ISO 37302 有效性评价与 ISO 37303 能力管理要点简析
合规标准启新篇:ISO 37302 有效性评价与 ISO 37303 能力管理要点简析
2021年4月13日,国际标准化组织(“International Organization for Standardization”)正式发布ISO 37301:2021《合规管理体系 要求及使用指南》(以下简称“ISO 37301”),该标准是首个具备认证功能的合规管理体系国际标准。2022年10月12日,我国国家市场监督管理总局、国家标准化管理委员会联合发布了国家标准 GB/T 35770-2022《合规管理体系 要求及使用指南》(以下简称“GB/T 35770”),该标准等同采用ISO 37301,其技术内容与国际标准一致,并结合我国的实际情况增加了资料性附录。无论是ISO 37301还是GB/T 35770,均将合规管理体系的绩效评价、能力支持作为合规体系建设的重要组成部分。
本次发布的两项新标准ISO 37302:2025《合规管理体系 有效性评价指南》(以下简称“ISO 37302”)和ISO 37303:2025《合规管理体系 能力管理指南》(以下简称“ISO 37303”)专门针对合规管理体系的绩效评价与能力建设,新标准并不会替代此前的ISO 37301,而是对ISO 37301的细化和补充。其中,ISO 37302为企业提供了合规管理体系有效性评价框架,明确“方法与程序”“行为与文化”“结果与影响”三大核心维度及五级评价等级;而ISO 37303则聚焦人员能力管理,指导企业明确内外部人员能力要求及提升路径,强调合规不仅仅是规则的建立与完善,更重要的是人员能力建设和合规文化的培育。两项新标准与ISO 37301构成完整的合规管理标准体系,形成从体系建设、有效性评估到人员能力支撑的完整闭环,为企业合规管理系统化、精细化发展提供指引。
一、ISO 37302的核心内容
1. 基本原则
ISO 37302确立了合规管理体系有效性评价的基本原则,为合规管理体系评估提供了严谨的方法论支撑:
客观性原则:要求企业构建的评估框架可适配不同场景与用途,确保评估结果真实反映合规管理体系实际运行状态;
完整性与可扩展性原则:要求评估标准全面覆盖流程全生命周期,即从策划、开发、实施到持续改进,同时要求评价指标中纳入对既定成果的实现程度以及实现质量的考量;
可追溯性原则:要求所有评估结论需通过客观方法验证,并辅以文件化信息及其他实证材料支撑,使体系有效性评价可追溯。
2. 评价方法:“三维+五级”评价模型
ISO 37302构建了明确的合规体系评估框架,从方法论层面设置二十三项核心指标,每个指标均从政策与流程、行为与文化、结果与影响三个维度展开评价。各维度项下又将有效性从低到高划分为五级,具体如下:
图表1 合规管理体系有效性评价维度及其衡量尺度
上述评价方法为企业搭建了合规管理体系有效性评价的基本框架,企业可从流程设计、实施及结果输出三个维度对各项合规指标展开评估,进而直观了解自身合规体系的成熟度与薄弱环节,精准找出未来改进方向。
3. 评价指标框架
在评价指标方面,ISO 37302也为企业提供了一套清晰且实用的指标框架。该标准将评价指标分为三大类别共二十三项指标,包括合规管理体系的策划与建立、合规管理体系的实施以及合规管理体系的绩效评估与改进,具体如下所示:
图表2 评价指标框架图
值得注意的是,同为合规管理体系有效性评价指引,ISO 37302并未如此前中国企业评价协会发布的《企业合规管理体系有效性评价指引》一样为各项评价指标设定分值,试图通过定量计算的方法判定企业合规管理体系有效性评价的等级,而是仅为企业提供了评价指标框架及定性评估的方法论,在提供指引的同时,也为企业保留了一定灵活操作空间。
此外,ISO 37302还明确了合规管理体系有效性评价的步骤、实施评价的人员资质以及实施评价的方法等与评价流程相关的内容。其中,合规管理体系有效性评价应包括界定范围、配置资源、策划、组建团队、实施评估、确定结果、验证与修正、报告发布等步骤;实施评价的人员也应具备一定的资质,包括专业培训背景,丰富的合规知识及相关领域的知识、经验与技能,所属行业的从业经验以及独立性;实施评价的方法则进一步阐明了如何进行评价设计、评价实施以及报告与反馈等内容。上述内容为企业开展合规管理体系有效性评价提供了全面的指导。
二、ISO 37303的核心内容
如前所述,ISO 37303主要聚焦于企业人员能力建设。该标准提出,能力管理构成组织合规管理体系及各项活动的基础,通过能力管理机制,企业能够明确管控范围内人员的能力要求,并为合规管理体系的有效落地提供支撑。基于此,该标准要求企业运用PDCA(计划-实施-检查-改进)循环方法,系统地识别、计划、实施并评估合规管理体系所需的人员能力,以支持实现合规目标。
图表3 能力管理流程
1. 能力需求的确定
能力需求的确定是能力管理的基础。ISO 37303要求企业建立流程以确定能力需求,包括:识别对实现合规义务负有责任或可能影响合规管理体系目标与绩效的职能和角色(包括但不限于治理机构与最高管理层、合规职能部门、管理层、风险岗位人员以及代表企业行事且可能为企业带来合规风险的第三方等);在战略层面上理解并考虑这些职能和角色,以便计划、开发和维护其所需能力,从而助力企业实现预期的合规绩效。
具体而言,企业应定期、系统性地识别可能影响能力需求的因素,包括外部因素(法律法规、技术进步等)、内部因素(使命愿景、战略目标、价值观与文化、业务范围等)、相关方需求(监管机构、客户、供应商及社会期望等)以及合规管理体系自身的需求(体系范围、组织架构、合规义务与风险等)。在此基础上,ISO 37303又进一步详细列举了在识别具体角色的能力需求时应考虑的因素。例如,在识别治理机构和最高管理层的能力需求时,企业应考虑:合规管理体系中领导的职责、权限与承诺要求;合规管理体系的目标、绩效与预期结果;企业的活动、过程及体系;企业组织架构、人员数量以及职责分工;合规文化,以及合作、协同与培育尊重的能力;环境变化对合规需求的影响等因素。
2. 能力差距评估与风险分析
在识别能力需求的基础上,企业应进一步评估自身能力与已识别的需求之间的差距,以明确是否需要采取相应措施。在评估能力差距时,企业应充分考量违规数据、内外部审计发现、培训反馈、人员流失率等多种因素以衡量当前能力的不足。同时,企业还应当充分识别、分析、评估在确定必要的能力过程中存在的风险,包括评估标准不全或过时、分析不完整、评估与业务战略脱节等。
3. 能力发展
ISO 37303同样重视能力的发展,要求企业高效落实能力发展计划及配套措施,既要确保实现企业合规目标,也要满足人员能力提升目标。治理机构、最高管理层、合规职能部门、管理层、风险岗位人员及第三方都应熟悉自身的合规义务与职责,并被鼓励积极参与能力管理与发展规划活动,以提升各方的参与度和责任感。
ISO 37303列举了不同角色支持能力发展的活动及实现方式,具体包括:
点击可查看大图
4. 能力管理评估与持续改进
ISO 37303要求企业对能力管理的有效性进行评估,以验证相关人员是否具备履行合规义务所需的能力。评估需确定能力指标,具体可参照ISO 37302。此外,企业还应根据内外部环境的变化,不断调整和完善能力发展需求,以实现“PDCA”闭环。
综上,ISO 37302与ISO 37303两项新标准为企业提供了有效性评价工具以及企业人员能力建设的实践指导,关注并回应了当前企业深化合规管理体系建设过程中出现的合规管理体系有效性评价指标不明确、评价浮于表面、人员能力与合规需求错位等诸多问题。建议企业结合实际情况,将上述标准化工具与本土化实践相结合,定期开展合规管理体系有效性评价,并充分重视合规能力建设,不断提升企业合规管理能力,筑牢合规发展根基。
