企业合规的本质是一件“法律+管理”的事，其是否有效，取决于对合规的管理措施是否落地。企业合规有效性标准，根本不是来自对监管部门出具的“有效性评估指引”的符合。如果仅仅是对照官方给出的“有效性评估指引”来执行合规管理，那么“表面合规”、“形式合规”等现象将不可避免。把国外的一些合规有效性判断标准直接引进，作为国内企业合规有效建设的“权威参考”，更是一种误导。

企业合规管理的有效性，必须围绕企业自身管理的有效性展开。企业的管理者、企业的部门中层、企业的基层岗位，什么时候真正把“合规要求”作为一种“管理要求”了，企业的合规才算有落地的可能。驱使企业内部的人员付诸行动的，只有企业的愿景、职责、流程、考核、奖惩，文化等及其组合，而不是其他。

个人认为，企业合规建设要取得成效，须建立在一系列精心设计的管理制度和管理流程之上，而且这些管理制度和管理流程，必须以系统和组合的方式共同、循环发挥作用。这种系统及组合，构成企业合规建设的管理模型。

一、扫描合规管理环境

合规管理环境，是企业合规建设的土壤。合规管理，必须建立在土壤之上；但同时，通过合规建设，又能改变土壤。不同的企业，其管理环境显然不同。这决定了企业合规建设，必须“一企一策”。那些希望套用其他企业合规管理建设模板的，一定要注意区分自身企业的环境，与所参考企业的环境，在多大的程度上是相似的。如果只是因为是同一行业、同一产业类型，就认为合规建设基本一致，那么很容易产生“水土不服”的现象。

合规管理环境是企业合规建设面临的综合情境，主要指外部宏观环境、利益相关者的期望和需求以及合规要素的现有状况等。

外部宏观环境包括但不限于政治与法律、经济、社会、技术（PEST）等环境。例如，央企境外合规的建设，很大程度上起源于2017年5月召开的中央全面深化改革领导小组第三十五次会议提出的“加强企业海外经营行为合规制度建设”等政府主管要求。此后，央企的境外合规管理逐渐得到高度重视。这是反映了企业内在需求的国家政策，在驱动企业合规建设。利益相关者的期望和需求，包括来自投资人、管理层、雇员、商业伙伴、债权人、社区等对企业合规的期望和具体需求。例如，投资者希望企业合规经营，不要发生因违反有关法律规定而被行政罚款的事件。这种期望，会促使投资者要求企业必须去建立合规体系，遵守合规要求。

合规要素的现有状况，指组成合规管理体系的所有要素，包括目标、组织、制度、流程、绩效等的现有实际情况。目前缺乏某合规要素，某合规要素不完善，或合规体系未得到真正实施，甚至存在严重的违规问题等，都是现有的某种合规管理状况。其中，非常突出的一种合规管理状况，便是涉案企业合规所面临的环境。这种环境的基本特征，是所面临的合规问题已是一件或多件“不合规事件”，而不是一种可能发生或不发生的合规风险，且已进入司法部门的“管制”范围。这种环境下的合规建设，在国内，其最终有效性须经检察机关的司法判断。

企业合规建设的第一件事，不是颁发一个合规管理制度或召开一次合规会议，而是先扫描当前企业面临的具体合规管理环境。这个具体的管理环境，是今后合规建设的起跑线。扫描合规管理环境，目的不仅是了解合规管理的内在驱动因素，也是观察当前合规管理的背景和现状，更重要是分析未来合规管理的切入点。扫描环境，其实是非常综合的判断，需要经验丰富的企业合规师的亲自参与，须从合规管理系统的所有要素，来判断企业合规管理的现状。可以说，合规管理环境，其实是初始的合规有效性评价，其维度是多方面的。通过合规管理环境扫描，一般输出类似《合规管理现状评估报告》等书面成果，为后续合规建设提供一个现状分析与问题解决的基本思路。

二、明确合规管理职责

在企业合规建设上，优先考虑的还包括如何解决人员及其管理职责的问题。作为一项正式的管理活动，必须设计对应的部门和职责。如果仅是泛泛说属于企业应当实施的，而不落实到具体的人员上，在企业内是无法自动实现的，特别是合规管理这种自我约束型的管理活动。

对于实务中的企业合规管理系统来说，合规管理职责的设计包括两个层面。一是如何分配业务部门与合规部门的各自合规管理职责。这就是合规风险三道防线机制的设计。合规风险三道防线，是一套内涵相对固定的理论。它不仅是指业务（流程）部门、合规（风险）部门、审计（监察）部门等应当组成风险处置三道工序，而且还包括基层对各类不同合规风险的抵御，经营层对合规风险的整体抵御，股东治理机构对合规风险防范的监督等管理职责设计。前者可谓横向三道线，后者则是纵向三道线。在每一道线上，各单位各司其责，共同发挥作用。这种多防线的设计，是与风险管理特点相关联的。因为风险无处不在、无时不在，不同的人对风险有不同的认识和判断，唯有多加几道“防御工事”，组合起来，这样才能起到最佳防范效果。

合规管理职责设计的另外一个层面是，合规是全员合规，企业内各机构、部门、各岗位，都有其合规管理职责。企业合规建设，必须把合规作为每一个人的管理职责，只是这个职责的内容和分工，大家不一样而已。例如，销售经理岗，有销售经理合规管理职责；投资部门，有投资部门合规管理职责。这两种管理职责的内容，是需要根据其各自负责的业务流程以及该业务流程上产生的合规控制措施来描述的。在企业合规建设中，限于时间和资源，一般仅会对重点部门和重点岗位进行合规管理职责设计，最后输出《合规管理职责清单》等书面成果。

必须注意的是，合规管理职责与合规职责，还是存在一定区别的。合规管理职责，主要是从各部门、各岗位的合规遵守程序上的义务；而合规职责，主要是基于各部门、各岗位的应遵守的实体合规要求。当然，在实践中，有时两者是一并规定的。

为确保合规管理职责能够为员工所遵守，并产生劳动法上的效力，企业合规建设时应注重自身操作程序的合法合规性，把合规管理职责明确为岗位职责之一。同时，该管理职责的内容，也应是明确的、具体的。岗位职责之所以能被员工所遵守，其关键还在于后面有持续的评价、考核。很多企业合规建设实践中，只注意了规定部门的合规管理职责，而未落到岗位职责之上，或者光有宏观的制度文字，而缺乏操作性、可考核性，这也是导致合规管理未能真正落地的根本原因。

三、制定合规治理方针

在了解企业内外环境，匹配合规管理职责后，便是制定合规治理方针了。所谓治理方针，是规定企业合规建设的总体原则、基本政策和实施流程。合规治理方针，既可包括实体上的合规基本态度，又可包括程序上的合规实施步骤。它反映了宏观环境对企业的要求以及企业利益相关者的博弈，表明了企业治理机构在合规建设上的基本态度。这对于指导企业管理层设计和实施合规管理体系，起类似奠定基调的作用。

合规治理方针在每一家企业可能有所不同，但至少应涉及以下几项核心命题。

一，合规与业务的关系。当某业务的开展，可能触犯某个合规义务，特别是违反这个合规义务，在短时间内不会给企业造成很大影响时，企业如何选择？是选择合规遵从，从而放弃这个业务，还是业务优先，牺牲本次合规遵从，企业的合规治理方针应明确企业进行何种选择的态度，而且这种态度是由谁发出的？多数情况下，在一些已真正形成合规文化的企业，我们看到了“合规高于业务”、“合规优先于业务”的明确表态。但也有大量企业，并未明确或不愿明确这种“二难选择”，希望能“具体问题具体分析”。

二，合规在企业体系中的位置。合规是企业中某位管理者负责的某项职责而已，还是独立地存在于企业的监督体系之中。合规部门、合规职责、合规人员的独立性问题，一直是企业需要解决的难题。它考验企业的合规决心和现有机制的支持力度。一份有效的合规治理方针，应明确合规的独立性，把合规独立性贯彻于合规体系的设计与实施，运行与评价之中。

三，企业在合规管理事务中愿意投入多大的人、财、物。企业能为合规建设提供多少支持，也反映了企业合规建设的决心。如具备这种决心，明确在合规治理方针中，对于引领合规建设，将起到事半功倍的效果。企业内的合规义务遵守主体，正是需要看到合规建设的力度。如果非常清楚地表明企业将提供相当的资源保障来推动企业合规建设，那么那些不合规的情况自然也会“受到威慑”而大大减少。

四，不合规时的内部处置。当发生不合规的情况时，合规治理方针是否明确将对责任人实施追责，对不合规的情况进行“零容忍”。这也是企业员工希望看到的，由治理机构发出的这种信号，对于合规管理落地也是非常有效的。同时，鉴于合规激励机制的独特价值，合规治理方针也有必要考虑“尽职合规免责”的处置方式。对于实施了合规制度中规定的合规遵守行为，如依据发生不合规情况，可根据制度的例外规定，予以免责。

合规治理方针，是企业合规建设的基础性文件，也是展开合规建设的指导性文件。在实践中，合规治理方针的制定，容易被企业所忽略。但纵观企业合规风险事件，那些大的“不合规”、频繁出现的“不合规”，其根本原因还是在于对于合规管理的基本态度不清晰、不明确。因此，合规治理方针作为企业合规建设的重要一环，应进行强化，其最后输出的成果是《企业合规治理方针》，或在《企业合规管理建设实施方案》的重要章节中体现“合规治理方针”。

四、发布合规行为准则

在明确合规治理方针之后，接下来便是将合规要求转化为管理要求的过程。第一招，便是制定及发布合规行为准则。这是最基本的合规要求，准则是基于公司整体和员工全体而言的。在同地区、同类型的企业，合规行为准则存在很大相通之处。把合规行为准则区别开来的，是企业最高管理层的不同关注。一般来说，管理层希望合规行为准则帮助传递其所在企业独特的价值观、理念等。这导致合规行为准则的差异性。但合规行为准则的本义，是源自法律法规对企业的基本要求，既然法律法规相同，那么合规行为准则的内容也应类似。

合规行为准则，通常会从“企业端”和“员工端”两个方面规定行为标准，以禁止性、限制性的行为为主。例如，某中央企业的合规行为准则，规定了企业的安全生产、合法用工、环境保护、公平竞争、反垄断、依法纳税、财务信息真实、防止腐败等义务；同时，规定员工的勤勉、忠实、维护企业利益、反腐败、禁止利益输送等义务。这些义务，均是合规义务，的体现和概况。当然，主要是来自法律法规的义务。对于该等义务，既然是法律法规的规定，那么在法治国家，无须专门指出，企业及其员工都必须无条件遵守。但是，鉴于法律法规的具体内容可能持续在变化，作为一般员工对法律法规的理解存在不准确、不及时的问题，最重要的是，作为“限制型”的约束，必须不断重复，随时强调，方可更好地被遵守。因此，根据法律法规的通用要求，制作和发布能为员工更好理解和触及的“内部手册”，是非常有必要的。

合规行为准则，在一些企业内又被称之为“合规手册”或“诚信合规手册”。实践中，合规手册，一般不仅规定合规行为准则的内容本身，而且还会将为什么要制定行为准则，员工遵守合规行为准则的承诺，以及如违反行为准则的基本处理等作为手册的组成部分。为什么要制定行为准则，往往体现为公司最高管理者亲自签署的诚信与合规“宣誓词”。员工遵守行为准则的承诺，则是员工应分别签字确认的“合规承诺书”。违反行为准则的基本处理，则体现为举报热线与调查基本程序规定等。这几项内容组合起来，形成企业可对外公布的“诚信合规手册”。

对于企业人力资源管理中经常提及的员工手册，其与合规手册是什么关系？员工手册，在企业内部管理中一直存在，合规手册是相对较新的事物。从定位上看，两者是不同的；从内容上看，两者有一定交叉。员工手册，其主要是从员工角度，规定的员工应遵守的法律法规、道德规范、内部规则；合规手册，从企业和员工两个角度，主要是企业角度，规定企业应遵守的法律法规、道德规范等。这也决定了，不能简单地用员工手册取代合规手册。

合规行为准则，不能仅仅是一种宣传，必须是一项可执行的企业内部规章制度。也即，制作和发布合规行为准则，同样必须遵守劳动法上关于规章制度生效与实施的实体和程序方面的规定。

五、进行合规风险评估

进行风险评估，或者说是更广泛意义上的“问题发现”，理论上是所有的风险管理活动的前提。如果连“风险”、“问题”都不知道在哪，或不愿意知道在哪，那么所开展的若干合规管理活动，如合规制度、合规流程，甚至是合规培训，都将因缺乏针对性而收效甚微。但实践中，很多企业“如火如荼”开展的“合规管理运动”，却大多如此。

风险评估是企业合规建设过程中的一个重点和难点。也有专家说，合规管理过程，就是合规风险的管理过程。其重要性，可见一般。风险评估的难点，在于风险本身的特点。虽出现了很多风险管理的理论或框架，但对于“风险”的基本概念，其实到目前都缺乏统一的定义。不同机构，从不同的角度，对企业风险进行了界定。世界标准化组织ISO提出，“风险是不确定性对目标的影响”。COSO提出，“风险是事项发生并影响战略和业务目标之实现的可能性”。不同的“风险”定义，带来了不同的“风险评估”的定义，进而产生不同的风险管理框架或指南。因此，合乎企业实践需要的“风险”定义，是非常重要的。这也就是风险评估之难的原因。

在企业风险管理范畴，我们一般会借鉴类似于COSO对风险的界定方法来开展风险评估工作。对于企业合规建设，也是如此。这种对风险的界定，要求进行合规风险评估时，至少事先就应辨识及分析合规风险的形成原因、合规风险的发生场景、合规风险发生概率、合规风险发生后果等。这些辨识和分析工作，还存在一个潜在的前提，那就是企业对合规风险管理的准则与目标的设定。企业原则上会把合规风险管理的准则设定为“合规零容忍”，即任何合规风险都是不可接受的，都需要“避免”。但实践中，限于经济成本和有限能力，企业往往是先挑选对其可能影响程度最大的一类或几类合规风险，优先进行评估及规避应对。

典型的合规风险评估过程，分为合规风险的识别、分析与评价等三个阶段。合规风险识别，是最为关键的阶段。在这个阶段，合规人员需要业务人员紧密配合，共同完成合规风险的辨识。合规风险辨识的方法，基本上分为归纳法和演绎法。归纳法是通过梳理、总结过去曾经发生的合规风险判例、案例、事故等，由此形成本企业的合规风险库。演绎法是通过对业务流程的拆解，由专家结合其经验，假设每一项业务流程发生违反法律法规、内部规定等的可能情形，由此形成本企业的合规风险清单。

合规风险分析，是围绕发生原因、发生可能性大小和发生影响程度大小等三个方面进行。风险分析的过程，本身就是还原风险的要素的过程。要了解一项风险，必须了解风险为什么会发生（包括发生的场景），风险发生的概率以及风险发生的后果等方面的内容。风险分析，正是分析这几类事宜。对于发生概率和发生后果的，可用定性和定量的方法。鉴于风险的主客观的性质并存，同时兼用定性与定量的度量方法，也是迫不得已的事。定性，对于发生概率来说，最简单的就是“大、中、小”；对于发生后果来说，最简单的就是“严重、一般、轻微”。定量，其实就是对定性的细化，用数字或区间来表示。如，对于发生概率，用“10%以下，10%-30%、30%-50%、50%-70%、70%-90%、90%以上”来表示。其本质与定性的方法是一致的，都是对企业合规风险发生的可能性大小进行预估。

合规风险评价，是对经合规风险分析之后，对合规风险等级进行排序。在有一些场合下，合规风险评价，也包括对现有的风险控制措施的评价。合规风险等级，是合规风险发生概率和合规风险发生后果的乘积。例如，一个发生概率大且发生后果为严重的合规风险，其应被视为是企业的前列风险，应当投入更多的资源和精力予以应对。风险等级，是为了让企业对于所有可能面临的风险有一个直观、综合的认识。依此而制作的风险等级地图，既能让企业风险管理者整体上知晓风险的分布或结构，也能促使其注意力集中在排列在前的具体风险。这正符合企业经济性原理。合规风险之所以也参考风险进行等级排序，并不是说被列入“低等级”的合规风险，就可以采取“低防范”措施，甚至“不防范”。对于合规风险进行评价，主要原因还是想通过评价界定“高合规风险”，以更好地匹配应对资源。

六、完善合规管理制度

合规管理相关的制度，对于企业来说，不是新事物。即便对于完全新建的合规体系来说，与合规相关的制度规定，也是一直存在的。只是这些规定，被淹没在其他管理制度之中了。例如，企业制定的《采购管理办法》，一般来说，其章节可能会涉及如何防范采购舞弊的条款。这就是采购合规管理制度规定的一种体现。但目前大多数企业，可能不会制定一个类似于《采购合规指引》的规章制度。也就是说，关于合规管理的制度，有规定，只是散落在其他的制度了，需要进一步归拢、整理，因此我们称之为“完善合规管理制度”。

制定和实施制度，是企业管理的基本手段，也是对风险进行管控的主要方式。当然，也包括合规风险。可以说，合规管理制度，是推动合规（风险）管理措施落地的集中体现。通过用书面化的方式，表达企业对合规的态度、对管控行为的正式安排，对不合规的调查与处罚程序等，企业主动设计和实施一套完整的合规应对策略。

合规管理制度的具体表现形态是多样的。《合规管理办法》可以说是最基本的合规管理制度，也被称之为“合规宪章”。《合规管理办法》是企业合规管理实施的指引性文件，规定企业合规管理的基本原则、各部门的基本合规职责、合规运行的流程、合规管控措施、合规保障机制等内容。它与《合规行为准则》正好形成一个犹如“程序法和实体法”的关系。对于合规管理办法中涉及的每一项“合规程序”，如合规风险评估、合规审查、合规检查、合规调查、合规评价，都可制定专项的实施细则。如《合规风险评估实施细则》、《合规审查办法》、《举报与调查管理办法》等，这些都属于重要的合规管理制度。

《业务合规指引》是另一类操作性更强的合规管理制度。《业务合规指引》，有的也称为“业务合规操作指南”，包括各业务和各领域的合规指南。例如有《企业采购合规指引》、《企业广告发布合规指引》、《企业研发管理合规指引》等业务层面的合规指引，还有《企业反商业贿赂合规指引》、《企业反垄断合规指引》、《企业出口管制合规指引》、《企业环境保护合规指引》等专项合规指引。

为方便企业人员了解和熟悉企业合规管理制度，很多企业还会将以上“合规实体法和合规程序法”等规定结合起来，制定和发布《企业合规管理手册》。它是合规管理综合性的制度，把合规管理的若干要素均攘括其中。其基本架构由合规行为准则、合规组织职责、合规管控程序、业务合规要点、合规评价与合规文化等方面的内容组成。一份完整且操作性强的合规管理手册，对于企业的合规建设非常重要。在涉案企业合规整改中，它往往被称为“有效合规计划”。两者的内容结构基本一致，但出发点和目的有所不同。

合规管理制度在企业合规整体建设的作用非常之大，对于后续的合规管控流程也是一个前提和基础。绝大多数的合规管控流程，都需要事先规定一项或若干项制度，否则在企业内将因缺乏实施基础而导致失效。当然，合规管理制度的作用发挥，不仅在于制度设计的合理有效，更在于制度本身的实施和考核。所以，大多数企业会专门制定关于“制度如何实施”的制度。

七、推行合规管控流程

合规管控流程，或称合规管控机制，是实现合规管理目标的关键抓手。如果说合规管理制度是静态的，那么合规管控流程则是动态的。制度和流程，是相辅相成的。合规管控流程，既是合规管理制度实施的体现，也是合规风险预付、控制与应对的具体行动。有时候，流程和制度是分不开的。或者按部分专家的观点，流程其实就是一种特殊的制度，制度均应流程化。但个人认为，流程和制度还是有关键区别的。制度是需要人主动去实施的，否则就是一纸空文。流程则是人处于一种被设计的机制之下，不得不实施，就像流水线上的作业，不完成某个动作，则无法进行下一步的操作。

通常认为，从介入被管控对象的时机来说，合规管控流程可分为事前型流程、事中型流程、事后型流程。事前型流程，或事前型机制，包括合规培训、合规风险预警机制、合规联席会议机制等。事中型机制，包括合规审查、合规检查、合规管理信息系统等。事后型机制，包括合规考核、合规免责、合规处罚等。这些流程或机制，是从不同角度、不同时间来防控合规风险的。

合规管控流程，还可分为企业层流程、部门层流程以及岗位层流程。例如，合规风险预警，可在公司层面，实施一个风险信息和数据采集的程序；在部门层面，设计一项风险信息报告的程序；在岗位层面，规定一个及时更新风险数据的岗位职责。合规风险预警机制，需要把这三个层面都结合起来，完成一项自下而上的监测和警报系统。每项机制，都需要专门设计，落到企业人员的操作上来。由此，本阶段可输出一套《合规管控流程清单》作为基本建设成果。流程清单，也属于书面规定，只是在表达上，可能采用的是流程图等方式。但作为合规管控流程，其真正涵义不是指流程清单这些书面规定，而是指实际的流程管控行为。这一点，是合规管控流程与合规管理制度的最大区别。

八、实施合规管理评价

企业合规建设，一直遵循着一个普遍的管理原理，即PDCA循环。因为合规风险在随着外部环境变化而变化，合规管控行为也跟着企业内部管理变化而变化，所以合规管理活动是一个需要不断改进的活动。改进的基础，便在于对已执行、已实施的合规管控行为本身进行评价。唯此，方可不断提升合规管理能力。

实施合规管理评价，要建立一套评价指标。评价指标，应围绕合规管理的要素进行设计。它应当包含全部的合规管理要素。对于每一项合规要素，进行细分，直到可与具体的合规行为匹配，以方便评价计分。例如，对于合规管理的组织要素，可先将合规管理组织分为合规委员会、合规管理部门、合规专员、合规联络员等，然后对每一个组织的职责明确、工作机制、日常执行、工作产出等进行打分评价，作为整个合规管理组织要素的得分。

类似于此种评价方式，美国司法部发布了一个《公司合规计划有效性评估》（2020更新），提出了一些合规体系建设有效性的评价指标，可供企业借鉴。但值得一提的是，不管是由哪个部门公布的合规体系有效性标准，对于个体企业来说，都仅仅是一个参考。这是因为企业的合规管理的具体环境和目的完全不同，体系建设和评价都不能照搬照抄。

进行合规管理评价，其目的是判断当前合规建设的有效性，包括指出其存在的问题。它是合规管理的一项独立活动，是合规管理PDCA循环里的第三个“环”。但是，合规评价，不能取代合规建设。对于实践中出现的“以评促建”，甚至“以评代建”，要谨慎用之。企业最终要的是通过合规建设的过程来实现合规管理的目的，而不是一个合规体系评价的书面结论。

对于央、国企，其合规管理评价是由企业自身来实施的，其合规建设的有效性也由企业自行或聘请外部专业机构来协助判断，最后可输出一份《企业合规管理有效性评价报告》。这一点与涉案企业合规不同，其合规评估是由法定的“第三方组织”来进行的。根据《涉案企业合规建设、评估和审查办法（试行）》规定，涉案企业的合规建设是否有效，最后由“第三方机制管委会”和人民检察院进行审查判断。

九、形成合规文化

合规文化既是合规建设的土壤，也是合规建设所追求的最终目标。当然，这里说的“合规文化”的含义是不同的。前一个“合规文化”，是企业合规建设的当前环境、现有群体的合规意识等的组合。后一个“合规文化”，是指有效的合规文化，理想的合规文化。

企业合规建设，要以形成有效合规文化为目标。实践中，合规文化是有意识的塑造的结果。也就是，有效合规文化的形成，既是一项专门的合规管理活动，同时又是其他合规管理活动的综合结果。很多学者专家提出，企业合规建设要以合规文化为前提，这是一种误解。如果已具备（有效）合规文化，就不要进行合规建设了。合规文化是结果，是目标，而不是前提。

合规文化的形成，须依赖具体的措施。例如，定期的合规培训、主动的合规宣传、对合规案例的推广，对不合规事件的处罚等。同时，合规文化的塑造，也应当持续进行。这提示合规文化，也需要运用PDCA方法论，不断加以促进。

合规文化属于企业文化的一部分。如果企业文化中未包含“合规因子”，那么，有效合规文化可能难以形成。这对合规建设也将产生根本性的影响，会导致合规管理制度，甚至是合规管控机制，流于形式。企业文化，很大程度上取决于企业最高决策者的认识。也就是，形成合规文化，就是要在企业“一把手”的认知体系中，不断植入“合规因子”，改变企业领导层的认知。因此，合规文化的形成，就像合规体系整体建设一样，其最佳路径，也应是自上而下的。