《合格评定 – 企业合规师能力要求》（ T/SCCA 0001-2023）

目 次

前  言

引  言

1   范围

2   规范性引用文件

3   术语和定义

3.1 人员 Personnel

3.2 能力 Competence

3.3 组织环境 Context of the Organization

3.4 治理机构 Governing body

3.5 合规义务 Compliance obligations

3.6 合规风险 Compliance Risk

3.7 合规职能 /合规团队 Compliance function

3.8 合规领域 Compliance area(s)

4   企业合规师能力要求

4.1 企业合规师能力评价分级

4.2 企业合规师能力框架

4.3 职业素养和道德规范要求

4.4 通用能力要求

4.5 专项能力要求

4.6 应用技能要求

5   企业合规师能力与合规职能要求矩阵

6   企业合规师能力评价

6.1 能力评价方法

6.2 知识和技能的理解程度测评

6.3 专业技术考核要求

参考文献

前  言

SQHX/BSI 37301《合格评定 - 企业合规师能力要求》是公开可获取规范PAS标准，由深圳市企业合规协会联合相关单位和个人联合编制。

深圳市企业合规协会是开放性的行业组织，制定标准的工作通过协会的技术委员会进行。任何成员机构，如对由技术委员会设立的某一课题感兴趣，都有权派代表参加该委员会。与协会有联系的政府和非政府的组织也可参与此项工作。

本标准按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化标准的结构和起草规则》的规定起草。ISO/IEC指令第1部分描述了用于开发本标准以及进一步维护保持标准的程序。 特别需要注意的是，不同类型的ISO文件需要不同的批准标准。 本标准的起草符合ISO/IEC指令第2部分(见www.iso.org/directives)的编辑规则。

请注意本标准的某些内容可能涉及专利等知识产权。本标准的发布机构不承担识别专利的责任。

起草单位：

深圳市企业合规协会，英标认证技术培训(北京)有限公司

主要起草人：

王志乐 张乐 郭凌晨 范秋华 王寿群 阙凌云 张大春 叶海波 赖高宇 麻丽捷 孙闯 黄嘉洁 陈艳利 张雨桥

施俊侃 初征 胡志强 袁会琼 李昌树 李琛

引  言

合规是企业履行社会责任和致力于可持续发展的基础。强化企业合规管理是企业实现高质量、可持续发展的基础保障。企业合规师，是从事企业合规建设、管理和监督工作，促进企业及企业内部成员行为符合法律法规、监管要求、行业规定和道德规范的人员，是企业合规管理体系的重要构成，其职业技能更是确保企业合规管理体系有效实施并取得成功的关键。设立专职合规官岗位已成为强化企业合规管理的普遍作法。《中央企业合规管理办法》和国家推荐标准GB/T 35770-2022 《合规管理体系要求和实施指南》均要求设立专职的首席合规官、合规职能及业务部门合规负责人岗位。

当前，我国企业合规化建设的需求巨大，企业合规师作为排查风险、规范管理和支撑决策的专业管理人才，正在成为增强我国企业发展韧性的中坚力量。但目前由于缺少对企业合规管理人员能力要求的统一规范和标准，企业在招聘、选拔和培养合规专业管理人才时面临巨大的挑战。制定本文件的目的旨在用于评价企业合规管理从业者的职业技能水平，也可作为企业合规管理知识技能教育的课程大纲和企业选用合规管理人才的参考依据。

人员认证（Personnel Certification）是一种国际通用的合格评定方法，用以确保在认证范围内开展活动的人员具备符合本文件要求必要的能力。 中国合格评定国家认可委员会（CNAS）已经制定和发布了我国人员认证机构的认可制度。本标准可用于支持开展企业合规师培训和认证活动。

本标准是对ISO/IEC 17024：2012 《合格评定 - 对开展人员认证机构的通用要求》的补充，特别是明确了ISO 37301:2021 / GB/T 35770-2022 附录A所述的合规管理体系人员能力要求。ISO/IEC 17024 已经等同转换为中国国家推荐标准GB/T 27024 《人员认证机构通用要求》，并被中国合格评定国家认可委员会（CNAS）等同采用为国家认可基本规则文件 CNAS-CC03:2014《人员认证机构通用要求》，是本文件要求的基础。

认证机构对相关方（包括认证人员和获证人员的客户）负有相应的责任，确保只有被证实具备相应能力的人员才能实施合规管理体系（CMS）以及相关合规领域过程的建立、实施、运行、维护和内部评审的活动。

本文件旨在确保获得企业合规师认证的人员具备ISO/IEC 17024所述的通用能力，以及本文件所述CMS合规师的特定能力。针对每个CMS的重点合规领域，认证机构识别了企业合规师所需的专业能力。

本文件使用下列助动词：

——“应”表示要求；

——“宜”表示建议；

——“可”表示允许；

——“能”表示可能性或具备能力。

合格评定：企业合规师能力要求与评价准则

1   范围

本文件规定了参与合规管理体系（CMS）咨询与实践过程人员的特定能力要求，是对ISO/IEC 17024现有要求的补充。

2   规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 27024 / CNAS-CC03:2014《人员认证机构通用要求》（ISO/IEC 17024：2012，IDT）

GB/T 35770—2022 《合规管理体系要求及使用指南》（ISO 37301:2021，IDT）

GB/T 24353-2022 《风险管理指南》 （ISO 31000:2018, IDT）

GB/T 27914 《企业法律风险管理指南》

3   术语和定义

ISO 37301和ISO/IEC 17024界定的术语和定义适用于本文件。

3.1 人员 Personnel

在国家法律或实践中被确认为工作关系的个人，或依赖于组织活动的任何合同关系中的个人.( GB/T 35770—2022 IDT ISO 37301,3.22)

3.2 能力 Competence

应用知识和技能实现预期结果的本领。(GB/T 35770—2022 IDT ISO 37301,3.9)

3.3 组织环境 Context of the Organization

与组织宗旨（purpose）相关的、影响其实现合规管理体系预期作用的内部和外部因素。

注：包括但不限于商业模式，包括组织活动和运行的战略、性质、规模、复杂性和可持续性；与第三方相关的业务性质和范围；法律法规；经济状况；社会、文化、环境；内部结构、方针、过程、程序和资源，包括技术；自身的合规文化。

3.4 治理机构 Governing body

对组织的活动、治理、方针负有最终职责和权力的一个人或一组人，最高管理者向其报告，并对其负责。

注1：并不是所有的组织，特别是小型组织，都会有一个独立于最高管理者的治理机构。

注2：治理机构可以包括但不限于董事会、董事会委员会、监事会或受托人。(ISO 37301,3.21)

3.5 合规义务 Compliance obligations

组织必须遵守的要求，以及组织自愿选择的要求。

3.6 合规风险 Compliance Risk

不遵守组织合规义务造成不合规的可能性和后果。

3.7 合规职能 /合规团队 Compliance function

组织内部对合规管理体系运行负有职责和权限的一个人或一组人。(GB/T 35770—2022 IDT ISO 37301,3.9)

3.8 合规领域 Compliance area(s)

组织的合规管理体系需要履行的特定合规义务及其组合。

注1：重点合规领域包括但不限于 贸易合规（反垄断、反商业贿赂、反不正当竞争、反洗钱）、数据保护、生态环保、安全生产、劳动用工、税务管理、知识产权、出口管制等。

注2：组织应根据所在国家（地区）法律法规、行业准则、宗教文化、公序良俗等确定高风险合规领域。

3.9 企业合规师 Corporate Compliance Officer

受企业治理机构（3.4）任命或委托，具有能力（3.2）基于企业组织环境（3.3）识别合规义务（3.5）、管理特定合规领域（3.8）的合规风险（3.6）、和履行组织合规职能（3.7）的人员（3.1）。

注1：《中华人民共和国职业分类大典》对该职业的描述为，从事企业合规建设、管理和监督工作，使企业及企业内部成员行为符合法律法规、监管要求、行业规定、企业内部规章制度和道德规范的人员。

4   企业合规师能力要求

企业合规师的工作范围贯穿企业生产经营活动全过程，要求从业人员须以企业合规管理专业知识为基础，同时具备业务、法律、财务、管理等跨学科、复合型知识结构，并且具备与企业各部门统筹协作、沟通协调的能力。企业可优先选用通过企业合规师专业培训并考核合格的人员从事企业合规工作。

4.1 企业合规师能力评价分级

企业合规师分为三级：

l 企业合规师 / 企业合规专员Corporate Compliance Practitioner

l 高级合规师/ 企业合规官 Corporate Compliance Professional- <key subject>

l 首席合规官Corporate Compliance Officer

合规管理体系标准和相关文件要求，企业应设立合规管理职能和岗位，并明确其职责、角色和授权，依据岗位职责和角色确定人员能力要求。

高级合规师/ 企业合规官应具备一个或以上重点合规领域的专项技能，按领域确定人员认证资格，例如 “数据保护合规官”，“知识产权合规官”。

首席合规官则应具备本行业相关的三个或以上重点合规领域的专项技能。

注1：首席合规官由企业负责人依据公司章程任命，其岗位能力可参考企业合规官要求。

注2：在不同行业从事合规工作要结合行业特点、满足行业需求。

4.2 企业合规师能力框架

能力是应用知识和技能实现预期结果的本领。

企业合规师的结构化能力要求应包括：

l 职业素养与道德规范要求

l 所需的通用合规管理知识

l 所需的专项合规领域知识

l 应用知识所需要的技能

表一：企业合规师能力框架

4.3 职业素养和道德规范要求

4.3.1 诚信正直（Integrity）

合规管理是对规范化管理体系内的业务活动进行系统的、独立的识别潜在风险、监控，纠正和报告的过程，是对业务活动中行为合规的符合性和有效性进行评价和识别改进机会的过程，包括在压力和干扰下开展工作。在确保严守底线的同时，企业合规师应真诚正直，不卑不亢，尊重他人，能与业务部门、合规管理相关的职能部门中的其它成员建立信任的工作关系。企业合规师的工作态度、工作作风直接关系着合规管理的成效。这就要求企业合规师应具备诚信、可靠和合作精神的特质以胜任合规管理工作。

4.3.2 客观公正（Impartiality）

公正是合规的灵魂，客观是公正的基础。企业合规内部审核、监控报告、尽职调查的过程，也是寻找合规管理体系运行的有效证据，并发现其中存在问题的过程，这势必涉及对被审核、被调查方的评价。贯穿这一过程始终的是要以相关外法内规为依据，以收集的客观事实为证据。企业合规师应遵守行为准则，独立工作，善于排除各种干扰和利益冲突，确保以合法途径收集到可验证的客观事实，提供相关方做出客观公正的结论。

4.3.3 开放思维 （Open minded）

在复杂多变、高风险的业务领域，合规管理是高强度的工作，要求合规师有能力接受上级和相关方的建议和指导，有能力收集、了解和判断组织环境变化和趋势带来的合规风险影响。企业合规管理是一个动态过程，原有的经验和方法不一定适用新的风险，合规师应保持开放心态，持续学习相关政策、法规、标准、方法论和行业最佳实践。

4.3.4 严于律己(Self-disciplined)

企业合规师应严格要求自己，始终作为行为合规的模范。企业合规师应当履行对公司的忠实义务和勤勉义务，不得从事损害公司利益、声誉的行为，严格遵守法律、监管要求和内部决策、审批程序。在执行内部审核或配合第三方合规调查时，应与被审核方和被调查方保持合理距离，不参加与任务无关的活动。严守行为准则与相关协议，未征得上级和监管司法部门同意的情况下，不得向被调查方透露有关情况，不得向其它任何人评贬受审核、受调查方，更不得泄露受审核、受调查方的案件秘密。

4.4 通用能力要求

4.4.1 基础理论知识

企业合规师应了解并掌握以下有关企业合规管理的基础理论知识（包括但不限于）：

（1）企业合规管理发展历程；

（2）企业合规管理的内涵与外延；

（3）企业合规管理原则与核心内容；

（4）企业合规管理体系建设的要素及相互关系。

4.4.2 相关法律法规和其它适用要求的知识

企业合规师应具备相关知识并理解不同的法律体系、法律及法规。企业合规师应具备知识和技能，以理解不同类型的法律文本及其与组织合规义务的相关性。

企业合规师应具备组织运营适用的法律框架相关知识，并理解拟审核的CMS 范围内适用的合规义务和合规风险。

企业合规师应具备其他适用要求的知识，以便能够理解拟审核的CMS 范围内这些要求与合规义务、合规风险的相关性。企业合规师应根据岗位要求了解、掌握、运用以下有关企业合规管理的相关法律法规知识：

（1）企业常用法律法规要求；

（2）相关行业、专业规定和特定要求

（3）相关国际法律、规则和外国法律制度；

（4）其他相关法律法规、组织纪律；

（5）与合规管理有关的国内标准、指引和管理政策；

（6）与合规管理有关的国际指南和规定

（7）其他适用要求包括行政决定、许可协议、自愿守则、组织和行业的标准、合同关系、实施规程以及与社区团体或非政府组织的协议等。

4.4.3 合规管理体系标准、及其相关适用标准的知识

企业合规师应具备并理解按照ISO 37301 标准要求设计、建立、实施和保持合规管理体系（CMS） 的知识。

企业合规师应至少具备以下与合规管理体系CMS 相关的知识：

（1）合规文化的驱动力和指标；

（2）确保CMS 有效的领导作用；

（3）合规团队的角色和职责；

（4）合规培训；

（5）监视、测量和报告合规绩效的过程；

（6）提出疑虑的机制及解决疑虑的过程；

（7）不合规事件的调查过程。

企业合规师还应根据企业组织环境所处的行业和司法管辖区理解和掌握相关适用的标准，包括：

（1）相关国家标准

（2）相关国际标准

（3）相关地方标准、行业标准及团体标准

4.4.4 合规风险评估与控制的知识

（1）企业合规师应具备GB/T 35770—2022 第4.6 条中所述的合规风险评估的知识。

（2）企业合规师应具备并理解评估和处置合规风险的方法的知识。

（3）企业合规师应具备并理解合规控制评价的知识。

4.4.5 企业管理基础知识 

企业合规师应了解并根据企业要求掌握以下有关企业合规管理的相关的企业管理知识 （包括但不限于）：

（1）管理基本职能和目标管理

（2）管理框架与流程管理

（3）风险管理

（4）内部控制

（5）管理与沟通

（6）企业文化与跨文化管理

（7）企业社会责任

4.5 专项能力要求

4.5.1 企业特定组织环境需要的专项合规管理能力

（1）企业合规师应具备企业特定行业和行政司法区的组织运行环境（3.3）的知识。企业合规师应能够理解与组织的业务活动和过程相关的合规义务，以及产生于组织业务活动的合规风险。

（2）针对涉外业务、世界银行项目相关业务，企业合规官应具备所在国家（地区）法律法规、商业规范和公序良俗，以及世界银行诚信要求的知识，能够识别相关合规义务，有效管控合规风险。

（3）企业合规师应具备必要的知识和技能，以开展与企业特定组织环境相关的研究，从而识别和理解适用的合规义务和风险。

4.5.2 专项合规领域需要的知识和经验

针对企业特定的重点合规领域，企业合规师应根据岗位要求具备相关的具体专项知识和工作经验，包括但不限于，反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护，以及合规风险较高的业务。

专项知识包括国际标准、国家标准、行业规范、适用的法律法规、和相关的商业规范、社会责任知识。

4.6 应用技能要求

企业合规师应具备必要的管理和软性技能（soft skills），以在组织内有效开展合规任务，管理和报告合规风险，包括但不限于：

（1）能基于战略及风险管理目标，识别关键问题和优先事项，以策略性、积极的方式实现合规

（2）能与法务、内控、风控、业务及职能部门开展有效的协同合作

（3）有效的压力管理（自身和他人）

（4）有效的沟通和影响技能

（5）具备参与或领导内部审核、合规事件调查和报告的能力

（6）与外部监管、司法机构、审计机构、认证机构有效沟通的能力

（7）企业合规师还应具有胜任其工作的良好学习、分析、沟通、表达、组织、协调、合作、应变和创新以及适当决策的能力。

5   企业合规师能力与合规职能要求矩阵

企业合规职能的岗位职责和角色对合规人员能力要求不同，知识水平可以有不同的分级方式，表三 “*”表示了有要求，空白代表没有要求；“*”数量表示要求的不同水平。

6   企业合规师能力评价

6.1 能力评价方法

能力评价是获取企业合规师资格申请人能力的证据，并将能力的证据与能力要求进行比 较，以确定企业合规师资格申请人是否满足能力要求的过程。能力评价宜保留能力证据、评价活动 和评价结论的记录。

能力的证据宜与能力要求的内容相关，并且能够为评价结论提供支持。评价方法论的包括：

（1）评价所依据的能力要求的内容（包括知识、技能、所要实现的结果）；

（2）评价的目的，例如：初次聘用、持续监视、扩大能力范围、能力要求更新后的补充评价等；

（3）已建立的对企业合规师资格申请人能力的了解和信心。仅采用其中某一种方法不足以对企业合规师资格申请人的能力做出全面评价。因此，应组合使用以下这些方法，以获得关于企业合规师资格申请人员能力的充分证据和全面评价；

6.1.1 记录审查

对企业合规师资格申请人的教育、工作、培训的相关记录进行审查，以获取其知识和技能的证据，获得对其能力的基本了解。记录审查的注意事项，包括：

（1) 记录内容宜尽可能详细、充分，以便于识别企业合规师资格申请人所具有的知识和技能；

（2) 宜通过调查、面谈等方法对记录中的相关信息进行必要的验证、澄清和确认；

（3) 在通过记录审查获得对企业合规师资格申请人能力的基本了解后，宜进一步通过考试、面谈等方法对其能力进行确认；

6.1.2 意见反馈

通过企业合规师资格申请人的工作单位、同事或客户等方面反映的意见了解企业合规师资格申请人员的知识、技能、表现等情况。意见反馈宜作为其他评价方法的补充，不宜仅根据某方面的意见对企业合规师资格申请人的能力做出判断。

6.1.3 面谈

面谈有助于详细了解企业合规师资格申请人的知识或技能，并可用于评估语言、沟通、人际管理方面的技能。依据能力要求对企业合规师资格申请人进行结构化面谈，并予以适当记录，可以获得其能力的直接证据。

6.1.4 考试

包括笔试和实际操作考试。笔试可以为人员的知识提供良好的文件化证据。对于人员的技能也可通过适宜的笔试方法获取证据。实际操作考试的示例包括情景演练、案例分析、压力模拟、岗位实操考核等。

6.1.5 推荐

对资深、已具备专家地位的人员，不宜直接根据企业合规师资格申请人的考试、学历、工作年限、培训时间等经历认定其满足相关能力要求。可通过同行评议和专家推荐的方式完成合格评定。

6.2 知识和技能的理解程度测评

6.2.1 培训要求

（1）初次申请：企业合规师资格申请人需按照本文件的岗位能力要求矩阵参加有关课程培训，完成规定学时，取得学时证明。

企业合规师资格申请人需完成不少于 XX 标准学时；

高级合规师申请人还需要完成重点领域合规课程，不少于XX标准学时；

基于以上要求，首席合规官还需完成组织治理和企业管理课程，不少于XX标准学时。

（2）知识更新：获得企业合规师资格注册后，每年需要参加协会组织的线上培训或线下活动，以掌握合规领域相关法规、标准的变化，保持资格。

6.2.2 通过考试（Test of Understanding, ToU）

企业合规师资格申请人需要通过考试证明已经达到知识掌握水平。

企业合规师资格申请人不低于 70%正确率；高级合规师申请人不少于 80%正确率；首席合规官不少于90%正确率。

6.2.3 培训教师

承担企业合规师或高级合规师的理论知识和专业能力培训任务人员，应具有中级及以上专业技术等级或相关专业中级及以上职称，或具有十年以上合规管理实践或研究的相关专业人士。

承担首席合规官的理论知识和专业能力培训任务人员，应具有高级专业技术等级或相关专业高级职称，或具有十年以上合规管理实践或研究的相关专业人士。

6.2.4 培训场所设备

理论知识和专业能力培训所需场地为标准教室或线上平台，必备的教学仪器设备包括计算机、网络、软件及相关硬件设备

6.3 专业技术考核要求

6.3.1 申报条件 

取得企业合规师培训学时证明，通过测评达到及格分数，满足以下两个条件之一者，可申报合规师专业技术等级注册资格：

（1）大专及以上学历 ；

（2）从事企业合规管理相关工作满2年。

取得高级合规师培训学时证明，通过测评达到及格分数，并具备以下条件之一者，可申报高级合规师专业技术等级：

a) 大专及大学本科学历，取得企业合规师专业技术等级后，从事企业合规相关工作满 3 年；

b) 具备硕士学位或第二学士学位，取得企业合规师专业技术等级后，从事企业合规相关工作满 2 年；

c) 具备博士学位，取得企业合规师专业技术等级后；或具备博士学位，从事企业合规相关工作 满 1 年。

取得首席合规官培训学时证明，通过测评达到及格分数，并具备以下条件之一者，可申报首席合规官技术等级：

a) 大专及大学本科学历，取得高级合规师专业技术等级后，从事企业合规相关工作满 5 年；。

b) 具备硕士学位或第二学士学位，取得高级合规师专业技术等级后，从事企业合规相关工作 满 3 年；

c) 具备博士学位，取得高级合规师专业技术等级后，从事企业合规相关工作满 2 年。

d) 具备大学本科学历，累计从事企业合规相关工作满 15 年。

参考文献：

【1】 GB/T 35770-2022 /ISO 37301:2021 合规管理体系要求与实施指南

【2】 GB/T 24353-2022 /ISO 31000:2018 风险管理 指南

【3】 ISO 37000:2021 组织治理 指南

【4】 ISO 37002:2021 吹哨(举报)管理体系 指南

【5】 ISO 19011 管理体系审核 指南

【6】 COSO 内部控制 框架

【7】 ISO/IEC 17024:2012《合格评定－人员认证机构通用要求》，等同转换，CNAS CC03 《人员认证机构通用要求》

【8】 《中央企业合规管理办法》（国务院国有资产监督管理委员会令第 42 号）

【9】 《企业境外经营合规管理指引》（发改外资〔2018〕1916 号）

【10】 《诚信合规指南》（世界银行，2010）

【11】 《合规与银行内部控制部门》（国际巴塞尔银行监管委员会，2005）

【12】 《高效率公司合规项目基本要素》（APEC亚太经合组织，2014）

【13】 T/CECCEDA 001—2022 企业合规师通用职业技术技能要求

【14】 Chief Compliance Officer (CCO),( the International Association of Risk and Compliance Professionals (IARCP))