导语

为什么要谈合规管理体系评价

2025年7月18日，国际标准化组织继ISO 37301:2021《合规管理体系 要求及使用指南》（以下简称：ISO 37301标准）之后，又发布了两项新的合规管理国际标准，其中之一即是ISO 37302:2025《合规管理体系 有效性评价指南》（以下简称：ISO 37302标准）。

这几年，合规赛道的氛围感确实拉满了。

从央企合规管理强化年到各级各省合规管理制度出台，从涉案企业合规改革试点的起落沉浮到各类专项合规指南频出，合规，成了企业绕不开的课题。不少企业也拿到了象征阶段性成果的GB/T 35770—2022/ISO 37301:2021合规管理体系认证证书，但这些证书背后，究竟代表着真正的改变，还是仅仅多了一摞文件柜里的材料？

在有些企业眼中，体系常常是这样的——喊出了响亮的口号，增加了一堆制度和表单，开展了似懂非懂的风险评估；员工的行为模式没有改变，管理层的决策思维依旧如故。所谓的“合规文化”更像是贴在墙上的标语，而非融入血脉的自觉。

有效性评价，对开展过合规管理体系建设的企业来说，并不是一个凭空出现的新概念。

实践中我们经常听到这样的反馈：

“公司为什么要做合规？”

“我们花了很多时间做体系，但别人怎么看不到成效？”

“合规检查总是凭感觉，没有统一的标准。”

“上级要考核，下级怕被扣分，合规管理简直就是雪上加霜。”

这些声音其实就是关于合规管理体系有效性的反思，也反映出一个共同的问题：合规管理体系建设如果不能带来实质性的行为改变和文化塑造，那就只是又一场形式主义的运动。

从中央到地方，从国资委到行业协会，从上市公司到民营企业，大家越来越关注“合规到底有没有用、有什么用”，而不仅仅是“有没有做”。

ISO 37302标准的出现，正好提供了一个有国际公信力、可操作、可比较的测温表，帮助企业看清自己的合规管理体系在运行中到底有没有发热发光，是真正改变了企业的行为模式和文化氛围，还是仅仅停留在纸面上。

一、ISO 37302标准的主要内容——它和37301标准是什么关系

很多企业已经熟悉ISO 37301标准，它告诉我们怎么去建体系。而ISO 37302标准，则是教我们怎么去评体系。它没有增加对体系的新要求，其目的是为各类组织提供一套普适性的方法论和工具，用于评估基于ISO 37301标准建立或者基于其他框架建立的合规管理体系，其运行是否有效，是否真正达成了预期的目标。

两者的关系可以用一句话概括：ISO 37301标准是施工图，ISO 37302标准是验收表。

ISO 37302标准的评价框架包括三部分：

三个评价维度

 方针和程序：“纸上写的”怎么样？流程是否建立？制度和流程设计是否完善、清晰、有据可依？

行为和文化：“实际做的”又如何？制度是否深入人心？员工是否理解并遵循？领导层是否以身作则？是否形成了积极的合规氛围？（这是最容易纸上谈兵也最难量化的部分）

结果和影响：“产生的效果”是什么？合规风险是否得到控制？违规事件是否减少？是否提升了组织声誉、降低了成本、创造了价值？合规目标达成了多少？

五级渐进式评价等级

标准对三个评价维度，分别设置了五个等级，从初始到优化，清晰描绘了合规管理从“形同虚设”到“炉火纯青”的渐进式成长轨迹。如下图：

我们举个例子。“方针和程序”，关注点是看企业的关于合规管理的方针、制度、流程等是不是清晰、合理、可落地、被广泛认知，并通过反复的监督执行，确保其权威和不断改进。

不同合规管理体系成熟度的企业，对“方针和程序”的评价感知可以看下图：

当然，即便是在合规管理水平近似的不同企业，我们也会看到企业的制度建设和落地情况，呈现出不同的关注点和优势展现。例如，主责部门的分工、合规审查的流程设计、执行检查的部门协同等等。

23个模块的具体评价指标

从合规管理体系的策划和建立、已策划的合规管理体系的实施、合规管理体系绩效评价和改进三方面，设置了其下的23个小模块，并分别对应ISO 37301标准的要求设置评价指标。对每个指标，都详细说明了在上述三个维度和五级量表下，分别需要达到什么状态才算符合要求。

我们可以把ISO 37301标准看作是一个详细的合规管理蓝图，规定了组织应该做什么，怎么做。ISO 37302的评估指标则为每一个关键步骤和要求设计了相应的检查点，提供了“如何看、怎么看”的方法。

二、ISO 37302标准有什么用——从政策背景到实践场景

ISO 37302标准的价值，首先在于回应监管与治理的核心关切。无论是国资委对企业的要求，还是企业在发生合规事件后监管部门强调的“真整改”“真合规”，最终都指向一个关键词——有效性。ISO 37302标准提供了验证有效性的客观基准，让企业在内部汇报、外部沟通时有据可依，提升说服力与可信度。

它的评价框架特别强调“行为与文化”“结果与影响”两个维度，直击很多企业制度“挂在墙上、锁在柜里”的顽疾，把关注点落在合规是否真正入脑入心、产生实效，从而推动合规从纸面走向行动。

通过分层分类的评价，对照标准能够像一次全面的“体检”一样，揭示合规管理在哪个模块（如风险评估、培训、举报机制）存在问题，是制度设计欠缺、执行不力，还是效果不彰，并明确改进方向，让持续改进有的放矢，避免盲目投入。同时，它为不同单位、不同部门提供了共同语言和比较基准，在集团内部横向对标或行业交流中，评价结果更具可比性，也便于识别和借鉴最佳实践。

以“6.1.4 治理机构和最高管理者的领导作用和承诺”这个指标为例，传统的合规检查可能只关注"有没有带头签订合规承诺书"，而ISO 37302标准的评价则要深入得多。在方针和程序维度，要看是否建立了确保领导层持续展示合规承诺的机制；在行为和文化维度，要评估领导层的决策和日常行为是否真正体现合规优先；在结果与影响维度，则要考察领导层的示范作用是否带动了整个组织的合规氛围转变。这种立体化的评价方式，能够有效避免合规建设沦为“员工填个表、领导签个字”的表面文章。

这正是ISO 37302标准的独特贡献——它通过三个知行合一、内外兼休、有始有终、相互关联的维度，为企业提供了一套验证合规实效的方法论。

在实践中，这一标准的适用场景十分广泛。

企业可以将其作为日常自我体检与提升的工具，定期自评体系的健康度，找到改进的发力点；集团总部可以据此科学评价下属企业或业务单元的合规管理成熟度，并据评价结果优化资源配置。

在外部沟通中，企业还可以用评价结果向监管机构、客户、合作伙伴展示自身合规管理的成效，增强信任和合作基础；此外，评价结果还能够帮助企业分析合规投入的性价比，识别哪些领域投入产出高、值得持续加码，哪些需要调整策略，让合规投入更加精明高效。

需要说明的是，虽然ISO 37302标准源自ISO 37301的蓝图，二者的内容框架看起来也非常之宏大，但对于有合规管理需求的企业来讲，尤其是一些中小企业，并不需要一开始就迈大步、求全面，依然可以运用这套工具思维，从有迫切需求的某个业务环节、业务领域着手做适合自己的“小而美”的合规。

三、如何用好ISO 37302标准——务实应用的几点提醒

工具虽好，用对方法、摆正心态是关键。

1. 避免“唯分数论”与“求全责备”。 

最高等级的评价固然是努力方向和发展目标，但评价的目的是发现问题、促进改进，而非简单打分排名。上级评价下级时，应更注重发现亮点、肯定进步，营造持续改进的积极氛围。评价指标的选取和深度应结合企业自身规模、业务复杂度、行业特点和风险状况，不必僵化追求全覆盖或最高等级。

建议在第一次引入和使用ISO 37302标准时，不妨当作一次“体检”，如实记录问题和短板，再有计划地改进，而不是一上来就追求高分。

2. 善用现有管理载体，融入业务流程。

在帮助很多企业搭建合规管理体系时，我们一直强调体系是为了运用，应当与现有的企业管理工具融合，才是管理的赋能而不是成为冗余。ISO 37302标准确立的评估一般原则之一就是“客观性”，即评价指标框架能够在不同的背景和目的中使用，评价结果能够反映合规管理体系的实际状态，完全可以将ISO 37302标准的评价思路融入现有的管理动作中。

例如内控、风控活动中，在检查内控有效性时，有意识地加入“行为遵循度”“实际控制效果”等结果与影响维度的评估；法治建设考核、内部审计活动的制度执行情况检查时，不仅看有没有做，更要看做得怎么样、效果如何；在更为常见的日常业务检查、专项检查时，也可以用这把规尺，去审视业务操作中的合规实效。

对于基于ISO 37301标准建立体系的企业，建议要用好内部审核和管理评审。我们在实践中发现，如果企业已经按照ISO 37301标准建立了体系，就要充分发挥内部审核和管理评审这两个“自我诊断”的抓手作用。然而在实践中，我们常见到内部审核只是照着清单走流程，缺乏深入的访谈与验证，不愿意揭示真实问题；管理评审则往往停留在合规部门撰写报告、罗列数据，缺乏管理层针对问题的剖析和改进措施，甚至存在“会开了、事没改”的现象。

造成这些问题的原因，既是因为合规管理体系认识尚不深入，缺乏具体、务实的评价工具和方法也是原因之一。ISO 37302标准的指标框架为企业提供了较为系统的指引，但要真正发挥作用，还需要结合企业的实际业务特点和管理场景，转化为可操作、可追踪的工作表单、检查清单和改进计划，才能让评价结果既有温度，也有深度。

3. 全员合规是落地保障，体系根基仍在“人”。

标准可以在纸面上运行，但体系只有在全员的参与下才真正有效。领导层要重视、要参与，业务部门要主动配合，不能把“合规的事”推给合规部门去兜底。

领导垂范是核心。 ISO 37302标准本身就将“治理机构和最高管理者的领导作用和承诺”作为关键评价指标，要在“行为与文化”上出实效，前提是领导层真心认同其价值，主动关注评价结果，并依据结果推动改进、提供资源。领导层的言行一致至关重要。

打破“合规部独角戏”。评价结果不佳，根源往往在业务部门。必须让业务部门明白，他们是合规风险的“第一道防线”和合规义务的“最终落地者”。评价的过程和结果应用，要能促进业务部门主动审视本领域合规实效，自觉优化流程。合规部门的角色应是赋能者、顾问和独立评估者，而非企业合规的唯一责任主体。

评价结果的有效沟通与应用。评价结果应清晰、及时地传达给领导层、相关责任部门和个人。将关键的、可衡量的合规有效性指标，谨慎且合理地纳入相关岗位的绩效考量，形成管理闭环。同时，分享好的实践和取得的进步，强化对体系参与者的正向激励。

结语：评价是起点，不是终点

在充满不确定性的商业环境中，追求确定性是企业本能。而合规管理的确定性，很大程度上就来源于其可验证、可感知的有效性。

值得关注的是，修改采用ISO 37302的《合规管理体系 有效性评价》国家标准正在审定过程中，很快就要出台。可以预见，接下来会有不少企业将开展运用ISO 37302的尝试。

虽然标准提供了系统框架，但其普适性也决定了企业需要结合自身特点，选择更为落地的评价内容和方式，满足不同发展阶段、不同业务场景的个性化需求。

用好ISO 37301和37302这套组合工具，不是为了追求一个完美的分数，而是为了让合规真正融入企业的血脉，从有制度走向见实效，最终成为企业行稳致远的一份坚实底气。

合规之路，道阻且长。拭目以待中国企业的优秀实践，愿有效性评价这把规尺，能量出稳健，量出价值。