半岛全站前，检察机关主导推进的涉案企业合规改革已经进入全面试点阶段。对于企业涉嫌刑事犯罪，检察机关给予其重建合规、合规整改的机会，经过评估验收确定有效的情况下，可以获得程序出罪（不起诉）或从宽量刑的处遇。合规程序出罪、合规从宽量刑是建立在涉案企业的合规计划有效实施基础之上的，而合规计划的有效实施又是建立在合规计划的建设和设计科学合理的基础之上。建设和设计一个好的合规计划，是实施的基础，也是有效性的基础半岛全站。当前，实践中很多合规计划的设计、建设缺乏专业性，无法真正实施，必然流于纸面。企业合规计划的建设最根本的问题是要预防“纸面合规”。

　　由于我国的涉案企业合规尚处于试点阶段，对于如何建设企业的合规管理体系（合规计划），处于“摸着石头过河”的阶段，出现了诸多问题，主要表现在以下三方面：

　　到底有哪些风险？风险产生的原因是什么？这是建立合规计划的前提半岛全站。以涉案企业合规为例，企业向检察机关提交合规承诺书之后，按照检察机关的要求建立合规计划半岛全站，一些企业及其聘请的律师团队，在很短的时间内就完成了风险识别。所形成的风险识别仅仅停留在梳理法律法规层面，没有把合规义务与公司的经营活动、产品、服务和运行联系起来，也没有深入分析风险产生的原因及可能的后果，更没有对风险进行分级。

　　实践中很多合规计划“假大空”，似乎放在任何一个企业、任何一个行业“都行”，其实是“都不行”。原则、目标、宗旨长篇大论，但是具体到业务流程则浮于表面。例如，有的涉案企业委托律师团队制作《反舞弊合规管理制度》，通篇都是“严禁……”“不得……”“不允许……”这些都是法律中明确规定的，没有与这个涉案企业具体的业务结合起来，只是口号式地禁止员工做什么，但是没有告诉员工该怎么做。

　　企业合规是一个新生事物，同时又是一个交叉学科，企业合规不仅是个法律问题，更是一个经济学问题、管理学问题，特别是一个企业管理的实践问题。有的把合规计划当成工作计划；有的涉案企业建立合规计划后，涉嫌犯罪的责任人没有处理，既没有被开除，也没有被降级、调离，而是在原岗位继续任职，甚至还成为合规委员会的负责人、首席合规官。

　　涉案企业合规整改的核心目标是改造企业的治理结构和重塑企业文化。换言之，改造企业的治理结构和重塑企业文化应当成为涉案企业建设合规计划的指导理念。通过合规整改，改造企业的治理结果和重塑企业文化，让一个涉案企业实现根本性的改变，实现“脱胎换骨”。在这个指导理念的指引下，坚持适宜性、充分性、有效性原则，合理把握合规计划的基本要素进行建设。

　　根据ISO37301:2021《合规管理体系要求及使用指南》（以下简称ISO37301），合规计划（合规管理体系）的设计应当遵循适宜性（suitability）、充分性（adequacy）、有效性（effectiveness）的原则。

　　1.适宜性原则。适宜性的基本内涵就是适合企业自身的实际情况，针对企业行业属性、自身实际情况和特点，量身定制，所谓适合自己的才是最好的。不同规模的企业，其合规计划有不同的要求；不同行业、不同类型的企业，合规计划是不同的；组织环境的动态变化要求合规计划持续改进以与变化了的组织环境保持适宜性。

　　2.充分性原则。充分性是指合规管理体系结构合理、程序完善、资源充足，能够满足组织管理和控制过程的需要。充分性与全面性是不同的概念。一些观点认为，企业合规计划要符合全面性的原则，这是有误导的。合规计划不一定得大而全，大而全更容易流于形式半岛全站、流于纸面。合规是不完美的、有限的，虽然通过强有力的执法和明确的授权可以遏制恶劣行为，但是错误、事故和误解依然不可避免，实践中总有瑕疵。充分性强调不是面上的广，而是线上的深。充分性主要体现为相互关联的两个方面：是否充分识别了风险，并建立了充分的控制过程；二是实施这些控制过程是否有足够的资源。

　　3.有效性原则。有效性是指策划的活动得以实现的程度和策划的结果得以达到的程度。有效性原则关注的焦点是合规计划在实践中有无起作用，也就是合规计划实现管理目标的程度和效用，即合规计划是否能够有效地预防和阻止不当、违法、犯罪行为。

　　适宜性、充分性、有效性“三性”之间是相互关联的，有效性是最终目标，适宜性和充分性是有效性的重要保障。“三性”被形象地称为“能不能用”“够不够用”“有没有用”。

　　从实践的角度来说，设计合规计划的基本要素，最佳的借鉴就是ISO37301。该文件共计设计了7项一级要素、26项二级要素。7项一级要素分别为组织环境、领导作用、策划、支持、运行、绩效评价、改进。26项二级要素项下还有三级和四级要素指标。这里将7项一级要素和26项二级要素以及部分三级要素列表如下（限于篇幅四级要素没有列表）：

　　当然，上述要素只是参考要点，需要结合企业的实际情况进行具体设计和构建，不能照搬照抄或生搬硬套，否则很容易流于“纸面打钩”。笔者认为，在参考上述要素指标时，应当坚持以风险为导向，致力于建立风险防御（识别）体系、风险监控体系、风险应对体系。ISO37301列举的要素基本上都可以归入这三大体系。例如，组织环境、政策和程序、领导作用等都属于风险防御体系，运行、调查、控制、举报等都属于风险监控体系，报告、改进、纠正等都属于风险应对体系。

　　建设合规计划是一个耗时费力的专业性、系统性工程，建设合规计划的团队应当制定工作计划，按照步骤，层层推进，确保每一步扎实有效。

　　由于企业合规是“最佳实践”，因此，设计和建立合规计划，必须了解企业的情况，也就是ISO37301所强调的“理解组织”。合规计划设计的人员、团队应当进驻到企业开展深入调查了解，不能浮于表面，更不能“隔空”了解。进驻企业的时间长短视企业的规模、内部结构的复杂程度、行业特点等而定。

　　调查了解企业及其合规状况的主要内容，应当围绕与合规计划的目标和宗旨相关，并影响其实现合规计划预期结果的内部和外部因素。包括但不限于以下方面：1.商业模式，包括组织活动和运行的战略、性质、规模、复杂性和可持续性。2.与第三方业务关系的性质和范围。3.企业所在地及其行业所面临的法律和监管环境。4.经济状况。5.企业所处的社会、文化、环境背景。6.企业的内部结构、方针、过程、程序和资源以及技术。7.企业现有的合规文化状况。8.理解利益相关方的需要和期望，特别要理解执法、司法机关的需求和期望，明确哪些需求将通过合规管理体系予以解决。9.确定合规管理体系的范围，也就是界定合规管理体系的边界和适用性，以确立其范围。

　　这是建立和设计合规计划最为重要、最为基础的环节。风险识别不深入、不精准，就不可能建立起符合“最佳实践”要求的合规计划。具体来说：一是先对企业所处的环境予以识别和分析，这些环境既涉及法律法规、监管要求、行业准则半岛全站、良好实践、道德标准，又涉及组织自行制定或公开声明遵守的各类规则。合规风险的识别，不能局限于刑事风险，对于合规计划的建构来说，刑事合规这个术语是极具误导性的。企业建立合规计划，不是说只识别刑事犯罪风险，而不管行政违法风险甚至违反行业规章的风险，行政违法和刑事犯罪是一纸之隔，有时只有数额差异。行政违法向前一步就是刑事犯罪。如果建立的合规计划只预防犯罪，对行政违法和行业标准不管不问，这无疑是把企业推向风险的“火山口”。二是识别与企业的产品、服务或活动有关的合规义务、评估合规风险。三是风险分级，对识别到的风险按照风险严重程度和发生可能性进行分级。合规的资源是有限的，应合理配置资源，优先解决严重且可发生大的风险。四是评估与外包或第三方相关的合规风险。这是实践中容易忽略的。一些企业的相关业务外包给第三方，这种情况下，对第三方应当进行尽职调查，评估合规风险。

　　在公司内部应该有一个独立的机构负责合规计划的执行和实施，其负责人通常被称为首席合规官（CCO）以及其他合规官员（中小型企业可以是合规专员）。这些合规官应当有一定的地位并保持独立性，首席合规官能够直达公司管理层。组织管理建构基本模式：1.最高管理者要展现对合规管理体系的领导作用和积极承诺。2.大型企业董事会下设合规管理委员会——首席合规官——合规职能部门——业务部门（设立合规联络员）。对于中小企业来说，在企业负责人绝对承诺和支持的前提下，可以设置合规专员。合规部门的职能与传统的法务部门是不同的，合规部是从事合规计划的运行、持续改进等职能的专业部门。

　　搭建合规管理制度是设计企业合规的中心环节。合规的政策、程序需要落实到制度上，合规的政策和程序的载体就是制度。对外制定合规政策；对内制定员工手册，建立“隔离带”和“防火墙”。合规管理制度应当符合以下要求：1.与企业的价值观、目标和战略保持一致；2.阐明企业所要遵守的合规义务；3.规定合规职能；4.规定不遵守组织的合规义务、方针、过程和程序的后果；5.举报机制，鼓励提出疑虑，并且禁止任何形式的报复；6.用通俗易懂的语言书写，易于所有人员理解其原则和意图；7.被适当地实施和执行；8.作为文件化信息可获取；9.在组织内传达；10.必要时，便于利益相关方获取。

　　合规计划的运行需要充分的资源保障及配套机制。支持机制包括确定并提供所需的资源；招聘能胜任且能遵守合规要求的员工，对违反合规要求的员工采取纪律处分等管理措施；培训与沟通；创建、控制和维护文件化信息。运行机制包括对控制措施进行维护、定期评审和测试；建立举报程序；制定、建立、实施调查程序等。

　　绩效评价是对合规管理体系建立并运行后的绩效、体系有效性进行评价，对于查找可能存在的问题、后续改进合规管理体系等具有重要意义。监视、测量、分析和评价机制，制定、实施和保持一套合适的指标，以帮助企业评估其合规目标的实现程度和合规绩效。对公司原有的绩效考核评价体系进行修订，全面融入合规因素。没有配套的量化绩效考核，制度都是苍白无力的。

　　策划、制定、实施和维护一个或多个审核方案，包括频次、方法、职责、策划要求和报告。有计划地开展内部审核，定期对合规管理体系进行评审，以确保合规管理体系持续的适用性、充分性和有效性。定期开展管理评审（巡查）、自下而上的定期报告。

　　风险点是动态的，合规计划也应动态持续改进。改进是对合规管理体系运行中发生不合格或不合规情况做出反应，评价是否需要采取措施；消除不合格或不合规的根本原因，以避免再次发生或在其他地方发生，并持续改进以确保合规管理体系的动态持续有效。

　　管理体系文件一般包括三个层级：第一层级为纲领性文件（如管理手册），第二层级为规章制度（如各层级管理制度、办法），第三层级为操作规范（如作业指导书）。合规管理体系内容庞大，分布广泛，为了便于实施和执行，也便于培训沟通，编制成册是必要的。

　　企业应该在其内部各个层级建立、维护并推广清晰的合规文化，并将合规文化融入企业经营的日常运作，这是合规有效性评价的根本标准。合规文化建设的路径：一是领导层定调并以身作则；二是管理层推动且言行一致；三是团队协作，形成鼓励合规、不容忍不合规的团队氛围；四是同事间正面影响。

　　企业合规是“最佳实践”，涉案企业的合规建设应当在坚持基本原则、基本要素的基础上，结合涉案企业的实际情况，遵循“最佳实践”的方针开展。有以下几点需要特别重申：一是合规计划的建设不能闭门造车。深入了解企业，将合规融入企业各个业务环节。没有适用于所有企业的合规模板，只有最佳实践。二是所有的政策、制度做到“三个C”，即清晰（clear）、简洁（concise）、完整（complete）。清晰即政策必须易于理解；简洁即说你需要的和需要你说的，其他一切都是不必要的；完整即覆盖业务流程，避免漏洞。三是合规管理的要求必须纳入可测算、可量化的考核，才能真正实施。将合规纳入员工晋升、薪酬计划是必选动作。四是从不报告异常情况的合规不是好合规，只报告好消息而不报告坏消息的监管等于没有监管。五是合规是有限的也是动态的。没有一成不变的合规计划，没有一劳永逸的合规管理体系，风险不断动态变化，合规计划应不断动态更新。