呂洪果 呂坤容

1.濟南中合合規(guī)研究院，山東 濟南 250014；2.浙江工商大學 法學院，浙江 杭州 310018

雖然絕大多數的企業(yè)都不是為違法犯罪而設立、經營的，但單位、高管等違法、犯罪現(xiàn)象時有發(fā)生，企業(yè)負面新聞層出不窮，因違法而導致企業(yè)破產或者業(yè)務萎靡、企業(yè)負責人被采取強制措施或被迫離職等現(xiàn)象經常發(fā)生。在分析風險預防體制存在什么問題之前，我們應該研究一下企業(yè)決策過程中應該遵守的“法”是什么，以及要遵守到何種程度。

一、企業(yè)合規(guī)的現(xiàn)狀與發(fā)展

（一）企業(yè)合規(guī)之“規(guī)”

有人說合規(guī)與法規(guī)的遵從性意義相同，也有人認為法規(guī)的遵從性是合規(guī)的核心。①法規(guī)遵從性是指社會主體在履行職責和業(yè)務活動中，遵守政府和行業(yè)規(guī)定的各項法律、法規(guī)和規(guī)章，同時又能證明自己確實達到了相關的要求。參見高愛民、韓勁草、霍飛：《后保管時代建設項目原始信息檔案化的研究應用 ——基于建設項目管理者的業(yè)務驅動型電子檔案管理》，《檔案建設》2018年第3期。從廣義上來說，“規(guī)”是為了維護人們的共同生活而設置的一系列普遍性規(guī)則的總體，它不僅包括實在法還包括各種規(guī)則、習慣法、民間法以及其他各種社會規(guī)范，還包括一些自我承諾、指引、指南等，不需要國家強制力保證實施的情況下，卻高效、靈活的成為遵從性的紀律，這可以稱之為“軟規(guī)范”。和企業(yè)合規(guī)相關的軟規(guī)范，一般是指公司治理方面的準則和股東責任準則等要求。例如，企業(yè)可以參考企業(yè)道德準則、公司行為準則以及其他自律性規(guī)定，確保企業(yè)行為符合適用的法規(guī)、倫理和商業(yè)標準，以達到企業(yè)穩(wěn)健經營的目的?！逗弦?guī)管理體系要求及使用指南》（ISO37301）引言中講：“一個有效的合規(guī)管理體系，能表明組織遵守相關法律、監(jiān)管要求、行業(yè)守則、組織標準、良好治理標準、普遍接受的最佳方法以及道德和社區(qū)期望的承諾。”可見，合規(guī)之“規(guī)”不僅包含刑事、民事、行政等方面的法律法規(guī)，還包括一些“軟規(guī)范”。通常來講“軟規(guī)范”又叫“軟法”，是未經立法程序予以制定和頒布，亦不需要國家機器保障實施，但對人們的行為具有一定約束力的行業(yè)習慣、社會道德、組織承諾等?！败浺?guī)范”一般通過協(xié)商、談判、追認等方式賦予其法律上的效力，制定程序呈多樣性。與“軟規(guī)范”相對應的是“制定法”又叫“硬法”，反映國家的意志，有嚴格的制定或確認的立法程序，由國家強制力保證實施。

企業(yè)首先要遵守以業(yè)務為中心的法律法規(guī)，英語中的Compliance在過去通常被翻譯為“合規(guī)”。然而，如今人們普遍認為，合規(guī)不僅是對法律的尊重，也是對社會規(guī)范的尊重。①根據巴塞爾銀行監(jiān)管委員會對于合規(guī)風險的詮釋：銀行業(yè)合規(guī)主要是遵從法律、法規(guī)、監(jiān)管準則?！吨醒肫髽I(yè)合規(guī)管理辦法》第三條規(guī)定：本辦法所稱合規(guī)，是指企業(yè)經營管理行為和員工履職行為符合國家法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則和國際條約、規(guī)則，以及公司章程、相關規(guī)章制度等要求。也有人用Business Ethics或Ethical-Legal Compliance來表達“合規(guī)”。②Business Ethics一般翻譯為“企業(yè)道德”或“企業(yè)倫理”，Ethical-Legal Compliance一般翻譯為“企業(yè)合規(guī)”或“倫理法遵從”。這只是不同語言表達某個行為或事物所引起的差異，對于“合規(guī)”概念的內涵基本趨同。陳瑞華認為：“合規(guī)是指一個企業(yè)遵守全部的‘合規(guī)義務’，而合規(guī)義務則來自企業(yè)外部的‘合規(guī)監(jiān)管要求’和企業(yè)自身的‘合規(guī)承諾’，前者是企業(yè)要‘強制遵守’的合規(guī)要求，后者則是企業(yè)‘自愿選擇遵守’的合規(guī)要求。”③陳瑞華：《企業(yè)合規(guī)整改中的專項合規(guī)計劃》，《政法論壇》2023年第1期。

實定法是經過法律解釋后適用的，法官也是依據條款宗旨，通過常識性判斷得出結論，因此，只要是基于社會一般觀念的常識性判斷，合規(guī)體制就不能說存在問題。企業(yè)合規(guī)之“規(guī)”是以包含各種規(guī)范的多元性為特征，規(guī)范的內容不一定能保證一致性和系統(tǒng)性，也可能有相互矛盾的情況。在這種錯綜復雜的規(guī)范背景下，企業(yè)的決策以什么為依據，遵循什么樣的程序才能實現(xiàn)合規(guī)性呢？通過對這些概念的闡明，提高了可預見性，一方面可以預防丑聞，另一方面可以使容易萎縮的局面恢復自由豁達的商業(yè)機會，總的來說，有望形成健康積極的企業(yè)活動。

（二）企業(yè)合規(guī)現(xiàn)狀和發(fā)展

現(xiàn)代化的公司治理對于企業(yè)可持續(xù)發(fā)展越來越重要，治理、風險管理和合規(guī)被稱為“GRC”。④GRC是Governance, Risk, Compliance三個單詞的首字母；Governance是治理的意思，這里主要是指企業(yè)治理；Risk是風險的意思，這里主要是指因不合規(guī)行為所導致的不利后果；Compliance是合規(guī)性的意思，包括了企業(yè)合規(guī)概念的內涵和外延?！癎RC 是有效支持企業(yè)運營所必需的，采用這些方法的公司會獲得一些好處，包括：更少的違規(guī)事件、提高對威脅和風險的可見性、提高公司一致性、幫助支持不斷變化的合規(guī)性法規(guī)、消除孤島?！雹?6氪企服點評：《什么是GRC？》，2023年7月4日。https://www.36dianping.com/news/12823.html.目前企業(yè)合規(guī)如火如荼，“現(xiàn)階段已經初步形成了以行政監(jiān)管的形式迫使金融企業(yè)與上市公司率先實現(xiàn)內控合規(guī)體系建設，以行政主導的機制強制央企及地方國企構建法律、合規(guī)、風險、內控一體化管理體系，以發(fā)布合規(guī)指引的方式引導外向型企業(yè)順應國際合規(guī)潮流，以合規(guī)不起訴激勵民營企業(yè)構建合規(guī)管理體系?！雹倭簼骸镀髽I(yè)合規(guī)制度的本土化構建模式探索》，《北方法學》2023年第3期。

最高檢從2020年開始推行涉案企業(yè)合規(guī)改革試點，根據企業(yè)的性質、已涉嫌的罪名進行差異化的專項合規(guī)整改，給予涉案企業(yè)或股東、高管、實控人等自然人寬大處理。合規(guī)整改的必要性和價值在多個部門發(fā)布的通告、規(guī)范性文件以及實踐案例中已經獲得肯定和驗證，這對于推進企業(yè)合規(guī)，達成有效合規(guī)的目標起到了正向引導的作用。但是，對于企業(yè)合規(guī)的落地和運行方式存在一些學術和實踐上的爭議，相關理論研究略顯薄弱，研究者對于其中所面臨的理論難題也缺乏應有的敏感性。

對于企業(yè)合規(guī)包括兩種類型的觀點，學術界和實務界的意見是一致的，只是稱謂相異而已。一種是“全面合規(guī)”體系，又叫“大合規(guī)”、“事前合規(guī)”，即企業(yè)根據公司治理的需要，在未被行政處罰或刑事處罰的前提下所進行的合規(guī)管理體系建設活動；第二類是“涉案企業(yè)合規(guī)”，又叫“專項合規(guī)”、“事后合規(guī)”體系，即企業(yè)已經被行政機關處罰或被司法機關調查、處罰的情況下，為爭取寬大處理而進行的合規(guī)整改活動。②陳瑞華：《企業(yè)合規(guī)整改中的相稱性原則》，《比較法研究》2023年第1期。后來陳瑞華又有“涉案企業(yè)在律師團隊指導下自行開展的合規(guī)整改則具有‘事中合規(guī)’的性質。”的說法，陳瑞華：《法院推動企業(yè)合規(guī)整改的制度模式》，《中國應用法學》2023年第4期。第一種體系以前主要是經濟管理專家研究和實踐的較多，第二種體系主要是法學專家研究和實踐較多。

目前檢察機關對于是否同意涉案企業(yè)啟動合規(guī)整改主要考慮三個方面：第一案件屬于公司、企業(yè)等市場主體在生產經營活動中涉及的經濟犯罪、職務犯罪等，既包括公司、企業(yè)等實施的單位犯罪案件，也包括公司、企業(yè)實際控制人、經營管理人員、關鍵技術人員等實施的與生產經營活動密切相關的犯罪案件；第二，涉罪企業(yè)、個人認罪認罰。認罪認罰是固定案件證據、衡量犯罪主體悔過意愿的重要依據；第三，企業(yè)能夠正常生產經營，承諾建立或者完善企業(yè)合規(guī)制度。但是這并非企業(yè)進行合規(guī)建設的先決條件，涉案企業(yè)的合規(guī)整改是一種被動行為，是想通過整改獲得刑事上的寬大處理，因此需要獲得司法機關的前提確認。涉案是因為不合規(guī)導致的，從預防的角度看即使不能獲得寬大處理也應該進行合規(guī)整改。

最高檢法律政策研究室主任高景峰多次強調：在進行涉案企業(yè)合規(guī)改革時要把握好“四個結合”。第一，合規(guī)與責任的結合。這個責任既包括刑事責任，又包括民事責任。依法合規(guī)、有效責任有利于減輕行政責任、刑事責任、考核和風險處罰。我們通常所說無責任則無制度，無處罰則無法律，僅僅靠宣傳教育效果有限。第二，刑事合規(guī)與行政合規(guī)相結合。把刑事合規(guī)與行政合規(guī)，刑事司法執(zhí)法機關與行政執(zhí)法機關、行政主管機關，包括行業(yè)協(xié)會，推動企業(yè)符合相關的合規(guī)要求。第三，處罰與激勵相結合。調動涉案企業(yè)合規(guī)的積極性。第四，實體與程序相結合。在現(xiàn)階段之內應該明確目標、突出重點。實體法是為了保證公平正義的實現(xiàn)，程序法是保證公平正義更好更快的實現(xiàn)。

涉案企業(yè)合規(guī)整改一般是專項整改，針對的是單位犯罪的某個領域，如反壟斷、商業(yè)賄賂等等。微軟前大中華區(qū)合規(guī)總監(jiān)李近宇先生認為：即使是涉案企業(yè)專項合規(guī)整改也得使用企業(yè)合規(guī)管理通用方法論，防止出現(xiàn)頭疼醫(yī)頭腳疼醫(yī)腳的狀況。為防止出現(xiàn)“紙面合規(guī)”的現(xiàn)象，不管是哪一類型的體系建設，都要實現(xiàn)落地的有效性，本文依據某上市公司的操作經驗，重點討論企業(yè)合規(guī)PDCA循環(huán)中的Plan步驟和Do步驟的通用方法論。

二、PDCA在企業(yè)合規(guī)中的必要性

企業(yè)合規(guī)中的風險不僅存在“違反法律法規(guī)的風險”，還有“違背社會規(guī)范的風險”。這里的社會規(guī)范是指各種規(guī)則、倫理道德、習慣、不成文規(guī)定等非實定法，還包括企業(yè)的自我承諾、指引、指南等不需要國家強制力推行實施，卻被高效、靈活遵從的“軟規(guī)范”。違反法律所帶來的后果是法律制裁（包括刑事和民事責任）和行政處罰，違背社會規(guī)范的后果是社會制裁（比如聲譽受損、失去更多商業(yè)機會等）?！捌髽I(yè)合規(guī)本質內涵在于企業(yè)治理結構和企業(yè)文化的自我變革，這決定了合規(guī)入法的方向是引導型、激勵型的‘軟法’模式，而不是強制型、制裁型的‘硬法’模式，這也是我國企業(yè)合規(guī)法律化的基本方向。”①李勇：《我國企業(yè)合規(guī)法律化的方向與路徑》，《貴州大學學報》（社會科學版）2023年第3期。相應的企業(yè)應當掌握和理解法律精神、立法的背景和來龍去脈以及社會規(guī)范和道德要求，以應對風險?！皩ι姘钙髽I(yè)而言，早合規(guī)優(yōu)于晚合規(guī)，檢察機關提前介入有助于推動涉案企業(yè)將合規(guī)準備工作前移。在檢察機關表現(xiàn)出將案件作為企業(yè)合規(guī)案件辦理的初步意向之后，企業(yè)可以盡早進行合規(guī)自查，找到犯罪的根本原因，分析合規(guī)管控的漏洞，盡早擬定合規(guī)整改計劃，聘請合規(guī)專家顧問，為后續(xù)接受合規(guī)考察、開展合規(guī)整改奠定基礎”②李奮飛：《論涉案企業(yè)合規(guī)的全流程從寬》，《中國法學》2023年第4期。。

企業(yè)合規(guī)的發(fā)展經歷了從注重管控(control) 到重視企業(yè)文化(culture) 的過程，合規(guī)計劃的內容也從最初的注重獲得刑事從寬處理來激勵企業(yè)建立合規(guī)體系，演變成以誠信為基礎的合規(guī)文化構建，美國企業(yè)合規(guī)官員的稱謂也從“首席合規(guī)官”( CCO) 進化為“首席道德與合規(guī)官”( CECO)。

前面已經論述了合規(guī)之“規(guī)”概念的內涵和外延，它不光包括刑事方面的法律法規(guī)，其預防的也不僅僅是刑事風險，即使在涉案企業(yè)合規(guī)體系的建設中，檢察機關在監(jiān)察、評估時也要求企業(yè)合規(guī)計劃的內容不光包含刑事合規(guī)風險，還應當包括所涉罪名領域相關聯(lián)的違法、違規(guī)和不當行為。企業(yè)合規(guī)的目標一是為預防合規(guī)風險建立合規(guī)體系，二是建設和形成合規(guī)文化。企業(yè)合規(guī)在注意本土化的同時，一定要和國際接軌，具有國際化視野。

法律法規(guī)和社會規(guī)范都是隨著時代變化的“移動目標”，因此企業(yè)的合規(guī)體系一旦建立起來，不可能一勞永逸、萬無一失。企業(yè)必須提高信息敏感度，密切關注法律環(huán)境和社會形勢，不斷改善合規(guī)體制以適應其變化。例如，現(xiàn)在越來越重視“廉潔和誠信經營”，這就要改變以往粗放式發(fā)展的思路，不管是外貿還是內貿企業(yè)要注意和供應商、采購商、政府的交往，防止賄賂行為的發(fā)生，當然這個防止不能停留在口頭或紙面上，要建立一種實在的可執(zhí)行的體系；如果企業(yè)的生產是有標準要求的，從法律層面講合乎這個標準就可以了，而企業(yè)采取了更高的一個標準，這就是合乎社會道德的要求，企業(yè)這樣做對社會是有利的，長遠看對于企業(yè)的發(fā)展也是有利的。所以合規(guī)不光是防范風險，還有一種價值體現(xiàn)。

隨著法律法規(guī)的變化，企業(yè)要隨時對合規(guī)風險進行重新識別和評估，對合規(guī)政策和合規(guī)手冊進行更新、修改，重新進行合規(guī)培訓。企業(yè)的發(fā)展會增設新崗位、增加新員工，管理制度和管理流程也要改變。企業(yè)市場的開拓、業(yè)務的更新、投資并購都需要重新啟動合規(guī)范風險的識別和評估。公司必須持續(xù)改進合規(guī)系統(tǒng)，以適應新的趨勢（移動目標），這意味著在企業(yè)合規(guī)方面PDCA循環(huán)是必要的①PDCA循環(huán)又叫“戴明環(huán)”，是美國質量管理專家沃特·阿曼德·休哈特（Walter A. Shewhart）首先提出的無限循環(huán)下去的科學程序，PDCA是英語單詞Plan（計劃）、Do（執(zhí)行）、Check（檢查）和Act（處理）的第一個字母的縮寫，它雖然是一種質量管理科學模型，卻可以應用在很多場景中。。

PDCA是按順序重復Plan（計劃）-Do（執(zhí)行）-Check（評估/檢查）-Act（改進）過程的管理方法。將P-D-C-A用圓（圓圈）連接起來表示的情況較多，但這種畫法也會導致誤解，以為四個環(huán)節(jié)是在一個平面或層次上，其實P-D-C是需要用A來提升的。由于Act步驟是將PDC流程引向更高層次的周期的步驟，因此PDCA周期不是在二維的圓周上持續(xù)旋轉，若是在螺旋樓梯上升的三維印象中來理解會更恰切?！癙DCA循環(huán)作為質量管理的基本方法，不僅適用于整個工程項目，也適應于整個企業(yè)和企業(yè)內的科室、工段、班組以至個人，各級部門根據企業(yè)的方針目標，都有自己的PDCA循環(huán)。各級部門的小環(huán)都圍繞著企業(yè)的總目標朝著同一方向轉動。通過循環(huán)把企業(yè)上下或工程項目的各項工作有機聯(lián)系起來，彼此協(xié)同，互相促進”②姜先良：《企業(yè)合規(guī)與律師服務》，北京：法律出版社，2021年，第129頁。。

計劃（Plan）：PDCA模型首先要求企業(yè)明確合規(guī)目標并制定相應的計劃。在合規(guī)方面，企業(yè)需要明確法律、政策、法規(guī)和行業(yè)規(guī)范等要求，并制定符合要求的程序、政策和方針。通過規(guī)劃階段，企業(yè)可以系統(tǒng)地思考合規(guī)目標、需求和限制，并為實施合規(guī)措施提供清晰的指導。

執(zhí)行（Do）：在PDCA模型中的執(zhí)行階段，企業(yè)需要將其合規(guī)計劃付諸行動。這包括分配資源、實施合規(guī)措施和培訓員工等。企業(yè)需要確保所有的合規(guī)要求都得到滿足，并且實施的合規(guī)措施能夠在實際操作中有效地執(zhí)行。執(zhí)行階段的實施過程也需要進行記錄和跟蹤，以便后續(xù)的檢查和改進。

三、企業(yè)合規(guī)計劃（Plan）

企業(yè)合規(guī)計劃是針對合規(guī)風險，以預防違規(guī)事項的發(fā)生為目標，它是確認涉案企業(yè)合規(guī)整改、考察和評估的依據。“從企業(yè)自身視角看，合規(guī)計劃是一種公司治理方式，企業(yè)要想獲得好的發(fā)展，須在發(fā)展過程中采取一種管理模式，盡量避免內部發(fā)生違法犯罪行為及其帶來的危害。”③肖鳳、劉東：《數字經濟時代企業(yè)數據合規(guī)建設考察——以合規(guī)計劃有效建構為基點》，《上海法學研究》集刊2023年第6卷。合規(guī)計劃的內涵可以歸納為企業(yè)為預防違規(guī)行為的發(fā)生、發(fā)現(xiàn)違規(guī)行為而主動制定、實施的自我管理和約束機制，該違規(guī)行為不僅僅包括刑事犯罪和一般違法行為，還包括對社會道德、公司承諾等“軟規(guī)范”的背叛。

這種機制的建立在企業(yè)負責人或者單位犯罪時可以提出申請（或抗辯），作為減輕或者免于起訴的理由?！霸诿绹欠裰贫ê蛯嵤胤ㄓ媱潯桥c刑事制裁緊密相連的，當違法企業(yè)制定并有效地實施了‘守法計劃’時，根據聯(lián)邦量刑委員會制定的《量刑標準》的規(guī)定，可以減輕對企業(yè)判處的罰金額?！雹訇懡ㄆ?、張旭輝：《美國反海外腐敗法解讀》，北京：中國方正出版社，2007年，第77頁。其初衷是一種違法預防措施，可以監(jiān)測并遏制部分和企業(yè)經營活動相關的犯罪活動。Plan步驟（計劃）包括兩個主要內容：“制度建設”和“合規(guī)計劃制定”。

（一）制度建設

制度建設體系包括經營理念、合規(guī)方針、合規(guī)準則、合規(guī)手冊。②ISO37301中計劃包括：公開承諾、確定合規(guī)方針的范圍、角色和職責、義務和風險?！昂弦?guī)方針”是指企業(yè)制定的基本合規(guī)原則指向，也有人稱之為“合規(guī)政策”。下面的“合規(guī)準則”又叫“行為準則”，有時又被稱之為Code of Conduct，是在系統(tǒng)地梳理和本公司業(yè)務相關的違反法律、法規(guī)風險和違反社會規(guī)范風險的基礎上，對各自風險進行合理控制的具體方法。換言之，是關于員工應該如何行動，或者不能采取什么行動的制度。③從屬性看屬于法律行為：為一定行為（積極行為）或不為一定行為（消極行為）?！昂弦?guī)手冊”是詳細解說“合規(guī)方針”和“合規(guī)準則”的指導手冊，一般要求公司各個部門、分公司、子公司都要具備，其內容更切合企業(yè)生產經營。這些可稱為“通用合規(guī)制度”，又叫“基礎性合規(guī)要素”，“是企業(yè)建立合規(guī)管理體系所必須具有的基本合規(guī)制度，在整個合規(guī)管理體系中具有全局性和基礎性的地位”④季美君：《論通用合規(guī)》，《民主與法制》（周刊）2022年第19期。。

合規(guī)制度以公司治理結構完善、董事與高級管理人員權責明確為必要條件，合規(guī)制度并不僅是企業(yè)內部某個機構或某位領導的責任，而是自上而下責任到每個人的體系。⑤參見郭傳凱：《互聯(lián)網平臺企業(yè)反壟斷合規(guī)制度的建構》，《法學論壇》2023年第5期。合規(guī)制度有三層結構（如果算上“經營理念”在內的話是四層結構），但這只是制度體系建設的一個例子，根據企業(yè)規(guī)模的不同而形式不一。合規(guī)制度體系有兩個要點：一是在整個體系中要保持一致性，制度之間沒有重復或遺漏的內容；二是在整個體系中明文規(guī)定，為使合規(guī)文化在本公司扎根必須向員工貫徹的事項。

在制定“合規(guī)方針”以體現(xiàn)公司合規(guī)的基本原則時，應注意幾個要點：第一，“合規(guī)方針”的內容是公司“經營理念”的解釋，“經營理念”是指企業(yè)的核心價值觀（核心價值），“合規(guī)方針”的內容必須切實體現(xiàn)公司的核心價值；第二，首先要識別對本公司認為重要的相關法律法規(guī)，并按照這些法律法規(guī)排查“風險項目”。因方針是綱領性的，在對排查出的風險項目進行系統(tǒng)梳理的基礎上，細微的事項要轉到“行為準則”和“合規(guī)手冊”中；第三，“合規(guī)方針”要用簡潔、不引起誤解的詞語來表述。不要過分強調狹義上的合規(guī)（遵守法律），否則會引起“只要遵守法律，其他一切都沒問題”、“這里沒有寫的東西做什么都可以”這樣的誤解。⑥雖然法理上有“法無禁止即許可”的原則，但這是指公民權利行使的邊界，如果一個企業(yè)也遵循該法律原則，會讓外界產生企業(yè)“投機取巧”“不厚道”的印象。一旦這種誤解在公司蔓延，鉆規(guī)則的空子便會形成一種文化，潛規(guī)則行為會正當化，從而大大偏離了“形成和落實守規(guī)文化”這一企業(yè)合規(guī)的最初目的；第四，在“合規(guī)方針”的序言中加入“高層管理人員的決心表達、承諾”是很重要的。高層管理人員用自己的語言表明他們將積極致力于合規(guī)和企業(yè)道德，從而傳遞了一個“合規(guī)方針”是認真的、不是表面形式的正確信號，這是推進“守規(guī)文化的形成和落實”的第一步。

合規(guī)準則又叫“行為準則”或“行為規(guī)范”，“首先規(guī)定企業(yè)的經營理念等基本原則，然后具體規(guī)定企業(yè)為進行公正的經營活動而應遵守的行為準則。從守法的觀點來講，這些行為準則的核心內容應首先是不作構成犯罪的行為?！雹賉日]芝原邦爾著：《經濟刑法》，金光旭譯，北京：法律出版社，2002年，第129頁。在制定時要注意以下幾點：第一，任何企業(yè)都在人員和預算等經營資源受到限制的情況下推進合規(guī)活動，因此必須在查明風險項目的基礎上“排定優(yōu)先順序”，使其成為全體人員能夠實踐的“行為準則”。第二，系統(tǒng)構成。實際上“合規(guī)準則”的系統(tǒng)構成沒有“正確答案”，每個企業(yè)可以按照本公司的規(guī)模和特性，采取被認為是最合適的結構。②企業(yè)按照“合規(guī)方針”的項目制定“合規(guī)準則”的章節(jié)，構成對本公司來說重要的每個“相關法律法規(guī)”，每個“利益相關者”，例如“對股東的承諾”“對客戶的承諾”“對消費者的承諾”“對員工和工作場所的承諾”“對社會的承諾”等這樣章節(jié)的行為準則。第三，有必要明示違反“合規(guī)準則”時的處罰。只要所有的處罰都是有明文規(guī)定的，非任意的處分即可，至于記載的文件在哪里不是重點。第四，重要的是在“合規(guī)準則”上明確規(guī)定，如果管理層和員工對“合規(guī)準則”的解釋或判斷感到困惑，應向何處查詢（例如“合規(guī)部”）。通過培訓、傳播、簽署等環(huán)節(jié)讓“行為準則”滲入公司每一個人心中，形成公司的合規(guī)文化才是最關鍵的。第五，強調組織對于合規(guī)的嚴肅態(tài)度和高度關切，強調組織對于適用范圍內的業(yè)務和人員的合規(guī)要求和期望，提及重要的相關法律法規(guī)和內部制度的要點，強調違反組織合規(guī)規(guī)定的處理和后果，盡量保持語言簡潔、清晰，以原則性描述為主。

“合規(guī)準則”通常會觸及合規(guī)義務、管理監(jiān)督、不正當競爭、誠信、反商業(yè)賄賂、偷逃稅、商業(yè)秘密保護等內容。設想當企業(yè)因為單位或高管、員工涉案，想通過企業(yè)已建立有效的合規(guī)體系爭取“出罪”或“寬大量刑”，需要提供一個企業(yè)能夠在企業(yè)合規(guī)管理工作的有效性方面的證據，來說服第三方專家機構和檢察官、法官。這個證據不光是書面的員工《行為準則》，最好是帶有員工知情權的“合規(guī)準則”，而且還要證明這個“合規(guī)準則”不是紙面上的，不是一種應付、形式上的。實踐中最好是有一個員工知情的簽名，以及“合規(guī)準則”的培訓簽到和關于“合規(guī)準則”測試通過的記錄。事實上這一番操作一方面為涉案企業(yè)寬大處理提供了證據，另一方面也實現(xiàn)了組織對“合規(guī)準則”進行了有效傳播與溝通。

合規(guī)風險的識別和優(yōu)先級排序，“有效合規(guī)管理的基本要求是，企業(yè)需要針對特定的合規(guī)風險，制定相應的合規(guī)政策、標準和程序。在特定合規(guī)風險領域確定之后，涉案企業(yè)需要將這些政策、標準和程序予以發(fā)布，使之成為企業(yè)上下一體遵守的行為規(guī)則。”③梁濤：《美國企業(yè)合規(guī)制度的構建：國家監(jiān)管、強制性自我監(jiān)管與刑事激勵》，《政治與法律》2022年第7期。雖然對于風險的識別、評估放在本文這個位置論述，但從邏輯上來講只有進行合規(guī)風險識別和評估，才能制定合規(guī)政策、準則和手冊，在風險尚未明了、清晰的前提下制定的合規(guī)性文件也缺乏針對性和有效性。“企業(yè)根據相關機關指控的風險和違規(guī)事實，以及自身實際情況,積極主動地制定針對性的合規(guī)計劃,是非常有效的整改方式?！雹芾願^飛：《論企業(yè)合規(guī)考察的適用條件》，《法學論壇》2021年第6期。“原則上，企業(yè)唯有對其所存在的合規(guī)風險及其影響作出全面的評估，才能在其合規(guī)政策中真正落實相稱性原則的要求?！雹蓐惾鹑A：《企業(yè)合規(guī)整改中的相稱性原則》，《比較法研究》2023年第1期。所謂的“相稱性原則”就是“企業(yè)的合規(guī)整改工作應與所要達到的合規(guī)目標相契合，并與企業(yè)的規(guī)模、涉罪性質、行業(yè)特點、業(yè)務范圍、合規(guī)風險等相適應，避免使企業(yè)承受過度的和不必要的合規(guī)負擔?！雹揸惾鹑A：《企業(yè)合規(guī)整改中的相稱性原則》，《比較法研究》2023年第1期。在相稱性原則指導下，在風險排查時企業(yè)要注意風險產生的概率和風險對企業(yè)經營造成的影響。

公司識別合規(guī)風險時要考慮公司的規(guī)模、性質、經營狀況、業(yè)務類別、治理結構、企業(yè)文化等因素。企業(yè)合規(guī)中的風險是指“違法風險”和“違反社會規(guī)范風險”。“風險識別的前提是找到合規(guī)義務，但是找到規(guī)范條文并不一定能明確具體違法行為，而對基于規(guī)范條文所產生的案例進行梳理，則能識別出可能涉及的具體違法行為?！雹兕櫤[、周姍姍、許曉雨：《企業(yè)合規(guī)計劃構建的關鍵要素之風險識別》，《西部學刊》2022年第5期。參照過去發(fā)生過的法規(guī)遵從性事件以及當前面臨的法規(guī)遵從性事件，收集和排查本公司實際經歷過的或目前正在顯現(xiàn)的風險項目。合規(guī)風險直接特征就是企業(yè)的各種糾紛、訴訟，被行政調查、處罰，這些都是合規(guī)管理的薄弱環(huán)節(jié)，也是容易重復犯錯的風險所在。還有一些潛在的合規(guī)風險，尚未發(fā)生，但如果未被識別存在違規(guī)的可能性。合規(guī)風險存在于某個領域，也存在于某個崗位、某個業(yè)務環(huán)節(jié)或某個人，因此風險的識別絕對不是外部律師、企業(yè)合規(guī)人員個人的工作，應當“全員”參與，識別的過程也是認識、預防、培訓的過程。

涉案企業(yè)合規(guī)風險的識別發(fā)生在刑事訴訟過程中，公安機關和檢察機關已經確定了企業(yè)或者相關責任人所涉嫌的罪名。如虛開增值稅發(fā)票罪、銷售假冒注冊商標商品罪、污染環(huán)境罪、非法經營罪、單位行賄罪、串通投標罪、走私普通貨物罪等等。涉案企業(yè)向檢察機關提出合規(guī)整改的申請，②涉案企業(yè)合規(guī)的啟動是在審查起訴階段，最高檢公布的第四期典型案例中已經有檢察機關在偵查階段介入的案例了。2023年3月28，最高人民法院院長張軍在北京法院調研強調：法院也要參與到刑事涉企合規(guī)改革中并發(fā)揮一定作用。2023年4月10日，張軍院長在法官學院開學第一課上要求：法院應主動做好刑事合規(guī)工作。一天之后，江蘇省高級人民法院、江蘇省人民檢察院聯(lián)合印發(fā)了《關于加強涉案企業(yè)合規(guī)工作協(xié)同協(xié)作的座談會紀要》，就進一步協(xié)同推動涉案企業(yè)合規(guī)改革與涉案企業(yè)合規(guī)案件辦理協(xié)作達成共識。未來在審判階段、偵查階段都有可能啟動合規(guī)整改程序。在申請中就得將指控的罪行確認為“具體的合規(guī)風險”，并根據該風險制定專項合規(guī)計劃。至于涉案企業(yè)在其它領域是否也存在違法犯罪的潛在風險，基于“專項合規(guī)”的性質和考察期的限制檢察機關一般是不做要求的。

通過對風險項目進行排查，形成風險清單，建立風險庫，針對風險庫中的風險項目進行優(yōu)先級排序。③通常的做法是在一個四象限矩陣上繪制（配置）風險庫中的風險項目，該矩陣包括發(fā)生頻率（高/低）和影響（大/?。﹥蓚€軸，在繪制矩陣的同時確定優(yōu)先級，這是一個風險評估的過程。發(fā)生頻率是指假如不采取任何管控手段，企業(yè)發(fā)生該類違法、違規(guī)的可能性有多大，影響是指如果上述不合規(guī)的行為發(fā)生后，企業(yè)會遭受什么樣的損失、承擔什么樣的責任。為了更加簡潔、直觀，實務中對于損失可采用圖表來直觀表達?！昂弦?guī)政策”和“行為規(guī)范”等合規(guī)文件將圍繞這些風險清單，建立應對每個風險的行動方法和合理的風險控制方法?；趦?yōu)先級繼而鎖定風險項目，在企業(yè)管理資源有限的情況下，能夠合理有效地控制本公司的風險。將風險進行優(yōu)先級排序，是考慮到企業(yè)合規(guī)的成本問題。稅務、環(huán)保、競標、貸款、銷售、采購、人事等任何一個環(huán)節(jié)、任何一個目標都有風險，單獨看都有合規(guī)整改的需求，“推進企業(yè)合規(guī)改革，不能只考慮改革宣示的目標價值，而是需要進行成本效益分析。制度成本不是沉沒成本，而是機會成本，也即因選擇企業(yè)合規(guī)制度而放棄的其他替代選項可能帶來的效益。企業(yè)合規(guī)雖能避免刑事追訴的負面效果，但它會給涉案企業(yè)帶來沉重的負擔，還會動搖刑法規(guī)范的效力并引發(fā)一系列負面效果。”①陳金林：《論企業(yè)合規(guī)改革的機會成本》，《法治現(xiàn)代化研究》2023年第3期。每個目標進行合規(guī)管控都是需要成本，必須要考慮成本和效益的平衡，才能決定是否推進某項合規(guī)進程，制定和落實某項制度，涉案企業(yè)合規(guī)整改也得做類似的權衡。

“合規(guī)政策”是企業(yè)對外的“合規(guī)義務”，是對客戶、社會、監(jiān)管機構公示企業(yè)的合規(guī)準則和程序，同時要求自己的合作、交易伙伴也要遵守該規(guī)則；“合規(guī)手冊”（也叫“員工手冊”）是企業(yè)對內的“合規(guī)義務”，是企業(yè)要求內部工作人員所要遵守的規(guī)則。而涉案企業(yè)整改過程中所制定的“合規(guī)政策”和“合規(guī)手冊”無非是針對特定領域的“合規(guī)義務”。“合規(guī)義務”的形成依據是法律、法規(guī)、行業(yè)慣例、社會規(guī)范等等，還包括企業(yè)的承諾在內，也就是企業(yè)所要遵從的“規(guī)”，如果不履行合規(guī)義務則會形成“合規(guī)風險”。例如，“數據合規(guī)管理政策”和“數據合規(guī)管理員工手冊”都會要求企業(yè)在收集、儲存、使用、公開等環(huán)節(jié)保護個人隱私，并就企業(yè)在經營行為中作出承諾，這就是企業(yè)的合規(guī)義務，如果企業(yè)沒有履行或者沒有完全履行該義務，則就會發(fā)生數據合規(guī)風險。

（二）合規(guī)計劃制定

Plan步驟中與“制定合規(guī)文件”（又叫“制定合規(guī)制度”）并列的另一重要模塊是“合規(guī)計劃的制定”，包含“改進計劃的制定”和“教育、培訓計劃的制定”兩個核心。從合規(guī)計劃內容來看，開始的合規(guī)計劃重點在于為獲得刑事寬大處理從而激勵企業(yè)被動建立合規(guī)，最終應當是企業(yè)主動建立合規(guī)，形成以誠信為基礎的合規(guī)文化。合規(guī)計劃的制定切忌“大而全”“大而空”，要有針對性、專門性和有效性。針對性是指企業(yè)發(fā)展迫切需求或者存在企業(yè)合規(guī)風險的領域，有效性是指計劃能落地，不能華而不實?！坝行髽I(yè)合規(guī)計劃并不僅僅是從企業(yè)自我管理層面預防犯罪，當企業(yè)收到刑事司法部門對企業(yè)可能的違法違規(guī)行為介入調查時，有效的合規(guī)計劃一方面可使企業(yè)獲得減免懲罰的機會,更重要的是，如果公司配合調查,主動整改糾錯，并且有針對性地制定專項合規(guī)計劃，并且補救違法行為造成的損害,可能獲得寬大處理的機會。”②黎宏：《合規(guī)計劃與企業(yè)刑事責任》，《法學雜志》2019年第9期。

改進計劃的制定分為定期和不定期兩種，后者是在合規(guī)監(jiān)察被指出時、丑聞發(fā)生時、法律法規(guī)修訂或新法實施時、公司進軍海外時或新業(yè)務開始時、并購等導致的重大組織變更時等情況下啟動。當然有時發(fā)生丑聞時，發(fā)現(xiàn)合規(guī)文件并沒有瑕疵，好像不需要修，但是，即使包括合規(guī)文件在內的“合規(guī)體系”沒有問題，是因為“體系的運行”存在問題才發(fā)生了丑聞，作為企業(yè)也有必要進行一些改進。另外，在同行業(yè)的其他公司發(fā)生丑聞時，也應該得到警示，絕不將其視為他人之事，不會發(fā)生在自己身上，有必要將其作為他山之石來研究制定改進計劃。

企業(yè)的“事前”合規(guī)體系建設，是企業(yè)為取得更多商業(yè)機會、加強企業(yè)的可持續(xù)發(fā)展而進行的公司治理行為。當企業(yè)或者企業(yè)工作人員因經營行為涉案，企業(yè)申請合規(guī)整改，整改要符合檢察機關的要求，接受第三方機制的監(jiān)督、考察、驗收、評估。這個情形下的改進計劃和日常合規(guī)體系建設的合規(guī)計劃不同，它注重根據所涉及的罪名、排除管理風險、修復治理缺陷、建立制度保障。例如，滴滴全球股份有限公司根據國家互聯(lián)網信息辦公室的處罰，建立了數據合規(guī)體系，避免網絡安全事件再次發(fā)生；江蘇張家港檢察機關在對L公司污染環(huán)境案進行合規(guī)整改過程中，就責令其針對發(fā)生環(huán)境資源犯罪的內在結構性原因，特別是在規(guī)章制度、管理機制、風險意識等三個方面建立環(huán)境資源保護合規(guī)計劃，以防止破壞環(huán)境資源行為的再次發(fā)生。①參見最高人民檢察院涉案企業(yè)合規(guī)研究指導組：《涉案企業(yè)合規(guī)辦案手冊》，北京：中國檢察出版社，2022年，第91頁。

“涉案企業(yè)制定的專項合規(guī)計劃，應當能夠有效防止再次發(fā)生相同或者類似的違法犯罪行為。”②最高檢會同幾個部門制定的《關于建立涉案企業(yè)合規(guī)第三方監(jiān)督評估機制的指導意見(試行)》第五條之規(guī)定。如果不是基于這種針對性專項合規(guī)的理念，而去制定任意的合規(guī)體系，很難在有限的合規(guī)考察期內完成合規(guī)整改，不但無法實現(xiàn)預防風險之目的，而且連就已指控的犯罪行為爭取寬大處理的目的也難實現(xiàn)。對于涉案企業(yè)來說，根據被追訴的犯罪類型制定合規(guī)計劃尤為重要，這是檢察機關審查并同意企業(yè)能否進行有效合規(guī)整改的重要依據。

“無論建立何種合規(guī)計劃，企業(yè)都應考慮建立一種合規(guī)管理的基礎性平臺，將合規(guī)行為準則、合規(guī)組織、合規(guī)管理人員配置、合規(guī)風險識別和評估、合規(guī)盡職調查、合規(guī)培訓、合規(guī)文化建設、合規(guī)報告和舉報、合規(guī)審計和監(jiān)測、合規(guī)內部調查、合規(guī)獎懲機制以及合規(guī)補救機制等制度型要素建立起來，并使之在合規(guī)管理中得到落地、運行和激活，發(fā)揮有效預防違法違規(guī)行為的作用?！雹劾钣拢骸渡孀锲髽I(yè)合規(guī)有效性標準研究——以A公司串通投標案為例》，《政法論壇》2022年第1期。不管是全面合規(guī)還是涉案企業(yè)合規(guī)，“有效性”是建立或者整改的基本目標，即使是涉案企業(yè)進行專項合規(guī)時也得將全面合規(guī)作為目標，根據企業(yè)性質、業(yè)務類型、治理結構等因素，逐步增加和本行業(yè)緊密相關的迫切性的專項合規(guī)計劃。

四、合規(guī)的執(zhí)行（Do）

Do步驟（執(zhí)行）的兩個模塊是“組織架構”和“教育和培訓”，“有效的合規(guī)體系包含兩個層面的要求：一是企業(yè)要有合規(guī)組織架構、合規(guī)制度等形式構成要件；二是要確保合規(guī)制度在公司得到有效實施，這兩點必須同時具備”④關符：《有效合規(guī)：保障企業(yè)高質量發(fā)展》，《國際工程與勞務》2023年第6期。。

（一）組織架構

“企業(yè)合規(guī)，是嶄新的公司治理模式，其特別之處在于在公司內部設定一個獨立的部門或者專門人員來檢測和阻止違反法律和政策的行為，通過一系列的制度設計，將合規(guī)融入企業(yè)生產、經營全過程，改變其原有的領導層權力架構和管理模式。”⑤李勇：《我國企業(yè)合規(guī)法律化的方向與路徑》，《貴州大學學報》（社會科學版）2023年第3期。作為合規(guī)體系，必須在企業(yè)內部構建穩(wěn)固的治理結構。需要設置一個合規(guī)部門，任命一名合規(guī)官員負責合規(guī)工作，這就需要在架構設計上下功夫，以確保公司治理工作正常運行。⑥《中央企業(yè)合規(guī)管理辦法》第第十一條規(guī)定了合規(guī)委員會和企業(yè)現(xiàn)有法治機構合署辦公，第十二條規(guī)定首席合規(guī)官可以由總法兼任。由此可以理解“合規(guī)委員會”“合規(guī)官”并非新增崗位和人員，是新增職能，避免了機構臃腫，不需要增加成本，是企業(yè)現(xiàn)代化治理的迭代升級，民企也可以參照執(zhí)行。

“企業(yè)往往采用風險智能決策的方式衡量合規(guī)必要性，由于公司高層的自身利益與企業(yè)集體利益息息相關，其個體逐利意識可能會與立法者和社會公眾對合規(guī)的期待相悖，且高層作為企業(yè)內部運行制度和管理規(guī)章的設計者和完善者，容易在權力簇擁下堵塞合規(guī)文化建設源頭?！雹偻蹶浚骸渡姘钙髽I(yè)合規(guī)整改中合規(guī)文化的建設困境及出路》，《北京警察學院學報》2023年第8期?！昂弦?guī)管理不僅難以直接創(chuàng)造經濟價值，而且會在不同程度上阻礙企業(yè)開展業(yè)務和產品立項，合規(guī)管理與業(yè)務開展之間的沖突在所難免。因此沒有企業(yè)高層的高度重視和強力推進，合規(guī)管理體系無法 在企業(yè)內部建立和運行，更難以實現(xiàn)有效預防違法違規(guī)行為的目標。那些因涉嫌犯罪而被納入合規(guī)考察程序的企業(yè)，在合規(guī)整改中更要貫徹‘高層承諾原則’?！雹陉惾鹑A：《合規(guī)整改中的高層承諾原則》，《法律科學（西北政法大學學報）》2023年第3期。因此，作為CCO最好由主管整個經營管理的副總裁級別擔任。從身份型關系上看，董事長對他要完全信賴，但如果有必要則能對董事長的決定勇敢反對。CCO要具備堅持、誠信、法律素養(yǎng)、公私分明、原則性強、具有領導能力等品格，對負責實際業(yè)務（一線業(yè)務）的高管具有一定程度的管理權限，避免一線員工對CCO完全不配合的情況發(fā)生。

為了進一步加強合規(guī)體系的治理，有效的方式是成立“合規(guī)委員會”作為一個內部機構。委員會的負責人由CCO擔任，秘書處由負責合規(guī)的部門擔任，總經理也是常任委員。成員應包含熟悉法律的專業(yè)人士、了解企業(yè)大部分業(yè)務的管理人員、專業(yè)技術人員等專業(yè)人士。合規(guī)委員會在“平時”每月召開一次例會（定期會議），討論如何開展培訓活動、本公司存在哪些潛在風險等常規(guī)主題。而在“有事”時，如本公司發(fā)生丑聞時，則召開臨時會議，集中而有針對性的討論、查明丑聞的真正原因，制定防止再次發(fā)生的措施等。

（二）教育和培訓

教育和培訓是企業(yè)合規(guī)體系建設中的重要環(huán)節(jié)，是合規(guī)價值觀、合規(guī)方法論輸出的重要手段，是合規(guī)文化建設的重要路徑?！昂弦?guī)文化作為企業(yè)文化的重要組成部分，在涉案企業(yè)合規(guī)整改中占據重要地位，是根除企業(yè)犯罪誘因，防止涉案企業(yè)‘二次’違法犯罪的重要舉措?！雹弁蹶浚骸渡姘钙髽I(yè)合規(guī)整改中合規(guī)文化的建設困境及出路》，《北京警察學院學報》2023年第8期。其實這種觀點是二十世紀九十年代美國剛開始實行企業(yè)合規(guī)制度時的觀點，也是最高檢剛開始試行刑事合規(guī)的觀點。合規(guī)計劃和合規(guī)文化是緊密關聯(lián)在一起的，合規(guī)計劃是否能得到有效執(zhí)行合規(guī)文化很關鍵，反過來一個科學而契合公司目標的合規(guī)計劃可以加強公司文化建設。

通過教育和培訓，讓每一位員工認識到“合規(guī)不是別人的事情，是我們自己的事情”，如此整個企業(yè)的問題發(fā)現(xiàn)能力和自我凈化能力就會提高。從公司內部摒棄了“企業(yè)的合規(guī)活動是合規(guī)主管部門的工作，與自己無關”的錯誤想法，只有企業(yè)的每個人都強烈地認識到自己是實踐合規(guī)的責任主體，“合規(guī)文化”才能在公司內部生根發(fā)芽。

“柔性管理則依據企業(yè)的價值觀、精神氛圍，以說服教育、輿論引導、心理溝通、激勵等非強制性的方式，潛移默化地增強員工對企業(yè)合規(guī)的認同感，引導員工自覺做出合規(guī)行為?！雹茳S靜：《以人為本的企業(yè)文化》，武漢：武漢大學出版社，2003年，第146頁。既然花了預算和時間來實施合規(guī)教育和培訓，那么參加培訓的人員，要采取幾個重點，讓被培訓人員認為合規(guī)是“自己的事情”。這些重點包括：教育培訓的內容①教育的內容除了合規(guī)價值觀和認識合規(guī)管理體系以外，其核心是將自己的“合規(guī)政策”、“行為準則”和“合規(guī)手冊”以及有關業(yè)務控制制度的內容落實到公司每個人。對于涉案企業(yè)合規(guī)的教育培訓內容要更聚焦，根據涉案犯罪行為的風險類型建立有針對性的培訓內容。要求培訓對象了解涉案合規(guī)風險領域，如環(huán)保、知識產權、網絡數據等，理清業(yè)務環(huán)節(jié)存在的合規(guī)風險，以及違規(guī)、違法的概率和法律責任，了解合法行為與非法行為的界限，為引起培訓對象的興趣、加深其印象，可以引入典型案例。、教育培訓的方法、教育培訓的主體②教育和培訓一般由公司負責合規(guī)的部門牽頭實施，但培訓開始最好有高層管理人員上臺用自己的感受說明“合規(guī)的重要性”。當本公司發(fā)生丑聞時，要請在應對客戶、消費者、行政、司法官員時飽嘗辛酸的員工講述“合規(guī)的必要性”，也有效地幫助參加培訓的人員將合規(guī)“個人”化。還可以考慮請律師等外部專家就培訓的內容進行修改，也可以邀請外部專家親自授課。、教育培訓的對象、開展教育培訓的時間。隨著經濟全球化、共建“一帶一路”的倡議，近年來許多公司正在將業(yè)務擴展到全球，教育和培訓也應采取基于風險的方法，從合規(guī)風險較高的國家、地區(qū)和業(yè)務著手。

五、應對“合規(guī)疲勞”

實踐中有些企業(yè)會陷入“絕對不允許發(fā)生與合規(guī)相關的丑聞”的零容忍的完美主義，制作厚厚的合規(guī)手冊等，因過度的合規(guī)體系導致無法采取任何行動的狀況。如前所述，合規(guī)體系不可能盡善盡美，正因如此，PDCA循環(huán)需要不停的轉動。戴姆勒公司前大中華區(qū)合規(guī)官胡國輝老師講過“合規(guī)是目標，合規(guī)也是體系，合規(guī)也是過程。”如果沉迷于完美主義，就會陷入“只要遵守手冊上的內容就行”的不良文件主義、形式主義，合規(guī)本身就會目的化，結果合規(guī)活動就會形同虛設。于是，就形成了壞的企業(yè)文化，一旦出現(xiàn)什么問題，員工就會遮遮掩掩。為了不陷入到這樣的境地，飽受“合規(guī)疲勞”困擾的企業(yè)有必要暫時回歸狹義上的“企業(yè)合規(guī)”，③狹義上的企業(yè)合規(guī)是指“涉案企業(yè)合規(guī)”或者“事后合規(guī)”，有的是已經被行政或刑事調查，有的沒有被調查，但是公司自己感覺某一方面存在重大合規(guī)風險。重新審視對自己公司來說最重要的風險項目。

此外，引入“限時期間”的思路也是一個不錯的方法。例如，修訂行為規(guī)范和合規(guī)手冊時，需要追加導入新規(guī)則。根據事項的不同，給導入規(guī)則規(guī)定一個一年的“限時期間”。經過一年后，在驗證該規(guī)則效果的基礎上，“將該規(guī)則永久化”或“沒有效果則取消”，“有效果尚不明確的再延長一年”。這種“限時期間”的做法可以有效防止企業(yè)合規(guī)體系的臃腫。最初制定的制度，由于宗旨是正確的，即使效果不佳也很難廢止，這些具有滯后性、實效性差的規(guī)則往往因為慣性而被保留下來。因此，需要在規(guī)定的期間過后，評估期間內制度的效果，重新考慮“繼續(xù)、廢止或修改”的問題，這種有時限的措施可以防止“制度膨脹”。通過這樣的行動，企業(yè)可以防止因過度“合規(guī)”而導致合規(guī)活動失靈等本末倒置的狀況，實現(xiàn)合規(guī)的真正目的“營造良好的合規(guī)文化”。

企業(yè)合規(guī)改革既是企業(yè)現(xiàn)代化治理的迭代升級，要形成一種較為完善的常態(tài)化機制還需要學術界和實務界的研究探索。同時，“涉案企業(yè)合規(guī)又是舶來品，考慮到我國司法制度和企業(yè)治理的特點，不可能照搬照抄，需要結合我國的制度特點和司法實際予以本土化的改造?！雹鼙褰郑骸镀髽I(yè)刑事合規(guī)程序的立法思考》，《政治與法律》2023年第6期。正如中國人民大學李奮飛教授所講的“要遵循相稱性原則，防止對小微企業(yè)過度整改”，對于涉案企業(yè)，假如不考慮企業(yè)規(guī)模、行業(yè)特點、業(yè)務范圍、合規(guī)風險領域和風險等級等情況，動輒追求全面的合規(guī)義務識別和合規(guī)風險評估，就有可能建立大而空的合規(guī)管理體系，反而忽略了那些最急需建立合規(guī)管理的領域，難以預防特定違法犯罪行為的發(fā)生。①參見李玉華：《有效刑事合規(guī)的基本標準》，《中國刑事法雜志》2021年第1期。

PDCA循環(huán)是合規(guī)管理中較為直觀、有效的整改模型，本文通過對Plan和Do兩個步驟的具體執(zhí)行內容和方法的論述，其中涵蓋了涉案企業(yè)合規(guī)整改的內容，是有效合規(guī)整改的體現(xiàn)。這中間有些觀點還需要在實踐中檢驗，而學術界也不應僅滿足于提供制度和為實務的正確性提供論證，應進行前瞻性的理論思考，將成熟的經驗上升到理論高度，為企業(yè)合規(guī)提供智慧支持。

“合規(guī)風險是持續(xù)存在動態(tài)變化的，且企業(yè)的經營規(guī)模與業(yè)務領域也會因時而變，這便意味著企業(yè)的合規(guī)計劃應不斷更新，以適應不斷變化的經營環(huán)境?！雹诮匦?、袁浙皓：《企業(yè)合規(guī)管理基本問題研究》，《法律適用》2023年第6期。PDCA循環(huán)不是一個單循環(huán)，是不斷前進、不斷提高的，它是大環(huán)套小環(huán)、小環(huán)保大環(huán)、推動大循環(huán)。它要求企業(yè)定期進行風險評估和風險監(jiān)測，根據合規(guī)風險的變化情況，持續(xù)不斷更新風險庫，不斷改進和完善已經建立的合規(guī)體系，以保證合規(guī)管理的生命力。