汇业评论

文 | 邓燕 汇业律师事务所 合伙人

一、ISO 37302“3-3-5”方法论模型详解

ISO 37302提出了独特的“3-3-5”方法论模型，用以全方位、多层次地评估合规管理体系的有效性。“3-3-5”指的是三维度、三阶段、五级成熟度相结合的评估框架。下面我们分别介绍这一模型的构成要素，并据此提出企业应用的思路和建议。

（一）三大评估维度

ISO 37302将合规体系的有效性拆解为三个核心维度，以确保评估覆盖“投入-过程-产出”的各方面：

1. 政策与程序（Policy & Procedures）

关注合规管理的制度设计和流程建设。这一维度评估企业是否建立了充分且适当的合规政策、制度和程序来涵盖其合规义务。例如，有无正式的合规政策手册，关键业务环节是否制定了操作规程，制度是否定期更新等。简单来说，这是对“纸面体系”本身完善性的评价。没有健全的政策与程序，合规管理就无从谈起。

2. 行为与文化（Conduct & Culture）

关注合规在组织内的实际落实和文化氛围。这一维度评估员工和管理层的行为是否与合规要求相一致，企业是否形成了支持合规的伦理文化。例如，领导层是否以身作则（Tone at the Top）、员工是否愿意按规办事、违规时是否会受到纪律处分、合规倡导和培训是否营造了良好氛围等。这相当于对“人和文化”的评价，即合规制度在日常行为中的体现程度。如果只有制度而员工不执行，合规体系是空转的；反之，全员重视合规的文化能极大提升体系有效性。

3. 结果与影响（Results & Impacts）

关注合规管理所取得的实际成效和带来的影响。这一维度评估合规目标是否实现，以及合规工作对组织的正面贡献。例如，近年内是否避免了重大违规事件发生，合规审计结果趋势如何，违规举报的处理及时性和有效性如何，利益相关方（监管机构、合作伙伴、公众）对公司诚信度的评价是否提升等。这是对合规管理“产出和效果”的评估。如果合规投入没有产生应有的效果（比如漏洞依旧、罚单频仍），就说明体系存在问题，需要改进。

这三大维度相互关联，构成对合规体系“有机体”的立体审视：政策程序是基础，决定了体系的形式和框架；行为文化决定了体系能否被有效执行；结果与影响检验了体系整体运作的成果。只有三个维度均表现良好，才能称得上合规体系真正有效。

在实际应用中，ISO 37302为每个维度都设定了若干定性或定量的评价指标，方便组织逐项检查。例如，在“政策与程序”下可能有指标检查“是否制定合规政策、是否明确岗位责任”等；在“行为与文化”下有指标如“高层参与度、培训覆盖率、举报数量和员工反馈”等；在“结果与影响”下有指标如“合规违规次数、纠正措施完成率、外部评价”等等。企业可以根据自身行业和风险特点增补具体指标，但整体维度框架确保了评估不偏废某一重要方面。

（二）三大阶段（生命周期）维度

除了上述横向的三大要素维度外，ISO 37302还引入了对合规管理体系所处阶段的评估视角，即按照管理体系运行的生命周期分为三个阶段：

1. 规划与建立阶段（Planning & Establishment）

涵盖组织在建立合规体系时所做的顶层设计和计划工作。这对应ISO 37301标准中的策划环节，包括分析组织环境和相关方要求、识别更新合规义务、确定合规管理体系范围和合规风险评估、最高管理层的领导力和承诺、合规治理结构的实施、培育合规文化、明确各层级合规职责、制定合规政策和目标、规划资源和措施等。

这一阶段的评价旨在判断合规体系设计是否合理完善：组织是否全面考虑了自身的合规风险和义务？合规政策和目标是否清晰？资源安排是否充分？如果在规划阶段就考虑不周，后续实施再努力也难以奏效。

2. 实施与运行阶段（Implementation of the Planned CMS）

涵盖将计划付诸实践、运行合规管理体系的过程。这对应ISO 37301中的执行环节，包括落实合规风险应对措施、资源分配、人员能力建设和意识提升、将合规要求融入人力资源管理（招聘审核、奖惩机制）、开展合规培训、内部和外部沟通、建立举报渠道、执行调查程序、文件资料管理等。

这一阶段的评价旨在检查合规措施执行是否到位：规划的制度和流程有没有实际按要求部署？员工是否经过培训并理解要求？违规线索能否顺畅上报调查？文件记录是否齐备？该阶段评价可以发现制度与实践的脱节之处，并考察组织在日常运作中遇到的困难和执行偏差。

3. 绩效评估与改进阶段（Evaluating Performance & Improvement）

涵盖对合规体系运行效果进行监督、评审和改进提升的活动。对应ISO 37301中的检查和改进环节，包括持续的监控测量与分析、定期的内部审计、管理层评审、针对合规缺陷的纠正措施，以及以计划方式进行的持续改进等。

这一阶段的评价重在考量组织反馈改进闭环是否建立：有没有机制在监视合规绩效指标？高层是否定期听取合规报告并提出改进要求？发生违规后是否及时调查根本原因并采取纠正预防？合规体系有没有随着内外部环境变化定期更新？通过评估这一阶段，可以促进组织形成PDCA（策划-执行-检查-改进）的良性循环，确保合规管理体系与时俱进，不断演进优化。

通过以上三个阶段的划分，ISO 37302保证了评估覆盖合规管理的全过程，从事前策划到事中执行再到事后检视，环环相扣。企业在应用时，可以针对每个阶段设定检查清单，确保在规划阶段就考虑全面，在实施阶段抓住重点，在改进阶段闭环跟进。这种阶段视角也提醒管理者：合规并非“一劳永逸”，而是需要不断循环往复地提高成熟度。

（三）五级成熟度评估尺度

在上述“三维度×三阶段”的框架基础上，ISO 37302进一步引入了五个等级的成熟度尺度，用于衡量每项评估指标所达到的有效性水平。这类似于评估一个组织在合规管理上是处于初级、中级还是高级水平。五个成熟度级别可概括如下，每级都有明确的特征描述：

1. 等级1 – 初始/不成熟：合规要素基本缺失或零散。少数合规流程存在但大多不完整，处于临时应对状态。员工的日常行为几乎没有体现出对合规制度的遵循。结果上看，组织尚未产生明显的合规绩效或成果。换言之，合规管理还未成体系。

2. 等级2 – 基础/被动：开始有一些基本的合规流程和制度，但实施不一致，缺乏正式定义或系统化沟通。员工对标准程序有所了解，但执行不严格，经常流于形式。合规结果表现为偶尔达成要求，但更多是碰运气，缺乏持续的、一贯的效果。

3. 等级3 – 定型/规范：合规流程已建立并文档化，组织基本有了成文的合规制度体系。但需要注意，这一级别下组织尚未系统评估这些制度是否真正满足要求（即缺少有效性验证机制)。员工行为开始体现合规要求，一些合规措施的作用初步显现，但仍有相当改进空间，执行效果时好时坏。整体合规结果与目标大致对齐但不稳定，在不同部门或范围内不一致。

4. 等级4 – 成熟/管理：合规流程已融入组织业务流程，并被持续监控、测量和评价，形成闭环管理。员工行为在管理层的积极引导下与合规要求保持一致，组织对合规执行进行持续评估并主动调整措施，以加强合规、防范风险，巩固伦理文化。合规结果与既定目标紧密吻合，合规要求全面嵌入业务操作，各部门表现趋于一致。

5. 等级5 – 优秀/优化：合规流程已全面整合进组织运营，并在各层面持续改进优化。组织能够根据内外环境变化不断纠正和完善合规措施，确保体系始终高效。合规要求深深嵌入组织行为中，员工已将合规视为惯性和本能，通过持续的监控反馈和适应性学习来改进合规表现。合规结果形成了良性循环，通过反馈机制促进组织不断改进，并能够适应新的要求或变化。在这一级别，合规管理成为组织卓越运营的一部分，具备自我演进的能力。

以上五级描述了从“几乎没有合规管理”一直到“卓越的合规管理文化”的演进路径。企业可根据评价中收集的客观证据，将自身在某项指标上的表现对应到相应级别。例如，某企业的“内部举报机制”可能被评为介于Level 2（制度有但执行不力）和Level 3（制度有并落实但效果未评估）之间，那么这就是改进的着力点：需要提升到Level 4甚至Level 5，即真正让举报机制融入业务、发挥实效并不断改进。需要强调的是，五级成熟度并非为了简单贴标签，而是帮助组织明确提升方向：从低级向高级迈进过程中，应该具体改进哪些方面。

ISO 37302在标准附录中提供了类似矩阵表格，将上述三维度、三阶段和五级要素结合，对每一项评估指标给出了不同成熟度下的描述。这样评估人员可以比较企业现状与更高成熟度要求的差距。例如，对于“合规培训”的指标，Level 2可能描述为“培训计划偶尔执行，覆盖面有限”，而Level 5则是“培训体系全面覆盖并持续改进，结合反馈优化”。有了这些明确标杆，企业就能制定分阶段的改进路线图：近期目标达到Level 3，远期力争Level 5等。这非常类似于其他管理领域的成熟度模型应用。总之，“3-3-5”模型为合规有效性评价建立了全面而有梯度的方法，使企业既能全景式审视，又能聚焦具体不足并逐步提升。

二、ISO 37302应用建议

面对ISO 37302提供的这一系统评价方法，企业在实践中应考虑如何有效应用，以达到“知不足而改进”的目的。以下是面向企业高管、合规管理部门和审计部门的几点落地建议：

（一）建立评价机制，开展现状诊断

首先，企业应正式将合规有效性评价纳入管理议程，明确牵头部门（如合规或审计部门）和频次。例如，可制定每年或每两年一次的全面合规体系有效性评估计划。在实施首次评估时，建议采用ISO 37302的框架进行基线测评。通过文件审阅、问卷调查、现场访谈和测试等方式，收集各项指标证据，判断企业在三大维度、各个阶段分别处于什么水平，对应五级成熟度的哪个级别。这个诊断过程应当尽可能客观中立，可以考虑引入第三方咨询或审核机构协助，以保证评价的独立性和专业性。诊断结果可以绘制成雷达图、热力矩阵等展示企业合规体系的强项和弱项，从而为高层决策提供依据。

（二）聚焦高风险领域，优先整改薄弱环节

评价往往会发现诸多改进点，企业应结合自身风险状况分清主次，制定分阶段改进计划。优先关注监管高度关注或过去曾出过问题的领域。例如，如果评估显示“反腐败合规”方面的培训和监督仅处于Level 2水平，而该领域对公司至关重要，那么应当立即采取措施提高到Level 3或Level 4，如强化高管反腐败宣导、增加境外业务的反腐监控等。又如对于AI企业，如果“数据隐私合规”维度评估偏低，则应尽快补强隐私影响评估流程、员工数据合规培训等。总之，利用评估结果，对症下药制定整改行动清单，明确责任部门和完成期限。在下一个评估周期来临时，重点验证这些薄弱环节是否有所改进，实现闭环。

（三）将评价融入持续改进循环

合规有效性评价不应是一次性的项目，而应融入企业管理的PDCA循环。这意味着：在每次评估后，企业高层（如合规委员会或审计委员会）应审议评估报告，将改进措施纳入行动计划（Plan）；各相关部门落实改进措施（Do）；日常通过指标监控和内部审核跟踪改进效果（Check）；下一次正式评估再评定新水平并提出新改进（Act）。如此循环往复，推动合规体系逐步走向高成熟度。例如，有效性评价的结果和整改进展情况应定期向董事会汇报，作为企业战略和风险讨论的一部分。这将强化全组织对合规改进的参与和监督，避免流于形式。

（四）对标国际最佳实践，强化能力建设

ISO 37302作为国际标准，本身凝聚了全球合规最佳实践。企业在应用过程中，可以结合其他权威指引进行对标学习。例如，经合组织（OECD）等都有关于合规项目有效性的指导原则，它们在许多方面与ISO 37302不谋而合，比如都强调高层支持、资源投入、持续改进等。企业可参考这些材料，进一步丰富评价的内涵。如OECD指出政府在给予企业合规激励时，也在寻找有效性的客观证据。因此企业应持续关注国际监管动态，确保自己的评价指标和改进行动与最新要求同步升级。同时，加强合规团队和内部审计团队的能力培养，使其熟练掌握ISO 37302方法论，必要时考取相关培训或认证，以专业水准开展内部评估。

（五）结合业务特点，灵活运用标准

虽然ISO 37302提供了通用框架，但每家企业的行业环境和风险特征不同。在应用时需要结合业务实际进行本地化调整。比如，制造业企业可在“结果与影响”维度增加EHS合规事故率等指标；金融企业则关注洗钱举报数、客户投诉合规处理等；科技互联网公司可能强调数据保护、内容合规等指标。

在评估方法上，也可采用定量与定性相结合，对于文化氛围这类难量化的内容，辅以员工调查和访谈评分。重要的是保持评估的一致性和可比较性，逐步积累企业自己的合规绩效数据库，这样既能纵向看到改进趋势，也能横向与行业基准对标。

总体而言，ISO37302提供的“三三五”模型为企业搭建了一个系统的、自我改进的镜子。企业高管和合规负责人应善加利用这面镜子，定期照见自身不足，又通过持续的行动将不足转化为改进提升的契机。在当前监管环境日益严格、利益相关方更加关注企业合规表现的时代，这一套方法论模型无疑为企业保持合规竞争力提供了有效路径。通过坚持不懈的有效性评价和改进实践，合规管理将不再被视作负担，而是能够为企业带来长远的价值回报——既避免风险，又赢得信任，真正实现合规与业务的“双赢”发展。