论PDCA循环在企业合规机制中的作用

吕洪果 吕坤容

1.济南中合合规研究院，山东 济南 250014；2.浙江工商大学 法学院，浙江 杭州 310018

虽然绝大多数的企业都不是为违法犯罪而设立、经营的，但单位、高管等违法、犯罪现象时有发生，企业负面新闻层出不穷，因违法而导致企业破产或者业务萎靡、企业负责人被采取强制措施或被迫离职等现象经常发生。在分析风险预防体制存在什么问题之前，我们应该研究一下企业决策过程中应该遵守的“法”是什么，以及要遵守到何种程度。

一、企业合规的现状与发展

（一）企业合规之“规”

有人说合规与法规的遵从性意义相同，也有人认为法规的遵从性是合规的核心。①法规遵从性是指社会主体在履行职责和业务活动中，遵守政府和行业规定的各项法律、法规和规章，同时又能证明自己确实达到了相关的要求。参见高爱民、韩劲草、霍飞：《后保管时代建设项目原始信息档案化的研究应用 ——基于建设项目管理者的业务驱动型电子档案管理》，《档案建设》2018年第3期。从广义上来说，“规”是为了维护人们的共同生活而设置的一系列普遍性规则的总体，它不仅包括实在法还包括各种规则、习惯法、民间法以及其他各种社会规范，还包括一些自我承诺、指引、指南等，不需要国家强制力保证实施的情况下，却高效、灵活的成为遵从性的纪律，这可以称之为“软规范”。和企业合规相关的软规范，一般是指公司治理方面的准则和股东责任准则等要求。例如，企业可以参考企业道德准则、公司行为准则以及其他自律性规定，确保企业行为符合适用的法规、伦理和商业标准，以达到企业稳健经营的目的。《合规管理体系要求及使用指南》（ISO37301）引言中讲：“一个有效的合规管理体系，能表明组织遵守相关法律、监管要求、行业守则、组织标准、良好治理标准、普遍接受的最佳方法以及道德和社区期望的承诺。”可见，合规之“规”不仅包含刑事、民事、行政等方面的法律法规，还包括一些“软规范”。通常来讲“软规范”又叫“软法”，是未经立法程序予以制定和颁布，亦不需要国家机器保障实施，但对人们的行为具有一定约束力的行业习惯、社会道德、组织承诺等。“软规范”一般通过协商、谈判、追认等方式赋予其法律上的效力，制定程序呈多样性。与“软规范”相对应的是“制定法”又叫“硬法”，反映国家的意志，有严格的制定或确认的立法程序，由国家强制力保证实施。

企业首先要遵守以业务为中心的法律法规，英语中的Compliance在过去通常被翻译为“合规”。然而，如今人们普遍认为，合规不仅是对法律的尊重，也是对社会规范的尊重。①根据巴塞尔银行监管委员会对于合规风险的诠释：银行业合规主要是遵从法律、法规、监管准则。《中央企业合规管理办法》第三条规定：本办法所称合规，是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则，以及公司章程、相关规章制度等要求。也有人用Business Ethics或Ethical-Legal Compliance来表达“合规”。②Business Ethics一般翻译为“企业道德”或“企业伦理”，Ethical-Legal Compliance一般翻译为“企业合规”或“伦理法遵从”。这只是不同语言表达某个行为或事物所引起的差异，对于“合规”概念的内涵基本趋同。陈瑞华认为：“合规是指一个企业遵守全部的‘合规义务’，而合规义务则来自企业外部的‘合规监管要求’和企业自身的‘合规承诺’，前者是企业要‘强制遵守’的合规要求，后者则是企业‘自愿选择遵守’的合规要求。”③陈瑞华：《企业合规整改中的专项合规计划》，《政法论坛》2023年第1期。

实定法是经过法律解释后适用的，法官也是依据条款宗旨，通过常识性判断得出结论，因此，只要是基于社会一般观念的常识性判断，合规体制就不能说存在问题。企业合规之“规”是以包含各种规范的多元性为特征，规范的内容不一定能保证一致性和系统性，也可能有相互矛盾的情况。在这种错综复杂的规范背景下，企业的决策以什么为依据，遵循什么样的程序才能实现合规性呢？通过对这些概念的阐明，提高了可预见性，一方面可以预防丑闻，另一方面可以使容易萎缩的局面恢复自由豁达的商业机会，总的来说，有望形成健康积极的企业活动。

（二）企业合规现状和发展

现代化的公司治理对于企业可持续发展越来越重要，治理、风险管理和合规被称为“GRC”。④GRC是Governance, Risk, Compliance三个单词的首字母；Governance是治理的意思，这里主要是指企业治理；Risk是风险的意思，这里主要是指因不合规行为所导致的不利后果；Compliance是合规性的意思，包括了企业合规概念的内涵和外延。“GRC 是有效支持企业运营所必需的，采用这些方法的公司会获得一些好处，包括：更少的违规事件、提高对威胁和风险的可见性、提高公司一致性、帮助支持不断变化的合规性法规、消除孤岛。”⑤36氪企服点评：《什么是GRC？》，2023年7月4日。https://www.36dianping.com/news/12823.html.目前企业合规如火如荼，“现阶段已经初步形成了以行政监管的形式迫使金融企业与上市公司率先实现内控合规体系建设，以行政主导的机制强制央企及地方国企构建法律、合规、风险、内控一体化管理体系，以发布合规指引的方式引导外向型企业顺应国际合规潮流，以合规不起诉激励民营企业构建合规管理体系。”①梁涛：《企业合规制度的本土化构建模式探索》，《北方法学》2023年第3期。

最高检从2020年开始推行涉案企业合规改革试点，根据企业的性质、已涉嫌的罪名进行差异化的专项合规整改，给予涉案企业或股东、高管、实控人等自然人宽大处理。合规整改的必要性和价值在多个部门发布的通告、规范性文件以及实践案例中已经获得肯定和验证，这对于推进企业合规，达成有效合规的目标起到了正向引导的作用。但是，对于企业合规的落地和运行方式存在一些学术和实践上的争议，相关理论研究略显薄弱，研究者对于其中所面临的理论难题也缺乏应有的敏感性。

对于企业合规包括两种类型的观点，学术界和实务界的意见是一致的，只是称谓相异而已。一种是“全面合规”体系，又叫“大合规”、“事前合规”，即企业根据公司治理的需要，在未被行政处罚或刑事处罚的前提下所进行的合规管理体系建设活动；第二类是“涉案企业合规”，又叫“专项合规”、“事后合规”体系，即企业已经被行政机关处罚或被司法机关调查、处罚的情况下，为争取宽大处理而进行的合规整改活动。②陈瑞华：《企业合规整改中的相称性原则》，《比较法研究》2023年第1期。后来陈瑞华又有“涉案企业在律师团队指导下自行开展的合规整改则具有‘事中合规’的性质。”的说法，陈瑞华：《法院推动企业合规整改的制度模式》，《中国应用法学》2023年第4期。第一种体系以前主要是经济管理专家研究和实践的较多，第二种体系主要是法学专家研究和实践较多。

目前检察机关对于是否同意涉案企业启动合规整改主要考虑三个方面：第一案件属于公司、企业等市场主体在生产经营活动中涉及的经济犯罪、职务犯罪等，既包括公司、企业等实施的单位犯罪案件，也包括公司、企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪案件；第二，涉罪企业、个人认罪认罚。认罪认罚是固定案件证据、衡量犯罪主体悔过意愿的重要依据；第三，企业能够正常生产经营，承诺建立或者完善企业合规制度。但是这并非企业进行合规建设的先决条件，涉案企业的合规整改是一种被动行为，是想通过整改获得刑事上的宽大处理，因此需要获得司法机关的前提确认。涉案是因为不合规导致的，从预防的角度看即使不能获得宽大处理也应该进行合规整改。

最高检法律政策研究室主任高景峰多次强调：在进行涉案企业合规改革时要把握好“四个结合”。第一，合规与责任的结合。这个责任既包括刑事责任，又包括民事责任。依法合规、有效责任有利于减轻行政责任、刑事责任、考核和风险处罚。我们通常所说无责任则无制度，无处罚则无法律，仅仅靠宣传教育效果有限。第二，刑事合规与行政合规相结合。把刑事合规与行政合规，刑事司法执法机关与行政执法机关、行政主管机关，包括行业协会，推动企业符合相关的合规要求。第三，处罚与激励相结合。调动涉案企业合规的积极性。第四，实体与程序相结合。在现阶段之内应该明确目标、突出重点。实体法是为了保证公平正义的实现，程序法是保证公平正义更好更快的实现。

涉案企业合规整改一般是专项整改，针对的是单位犯罪的某个领域，如反垄断、商业贿赂等等。微软前大中华区合规总监李近宇先生认为：即使是涉案企业专项合规整改也得使用企业合规管理通用方法论，防止出现头疼医头脚疼医脚的状况。为防止出现“纸面合规”的现象，不管是哪一类型的体系建设，都要实现落地的有效性，本文依据某上市公司的操作经验，重点讨论企业合规PDCA循环中的Plan步骤和Do步骤的通用方法论。

二、PDCA在企业合规中的必要性

企业合规中的风险不仅存在“违反法律法规的风险”，还有“违背社会规范的风险”。这里的社会规范是指各种规则、伦理道德、习惯、不成文规定等非实定法，还包括企业的自我承诺、指引、指南等不需要国家强制力推行实施，却被高效、灵活遵从的“软规范”。违反法律所带来的后果是法律制裁（包括刑事和民事责任）和行政处罚，违背社会规范的后果是社会制裁（比如声誉受损、失去更多商业机会等）。“企业合规本质内涵在于企业治理结构和企业文化的自我变革，这决定了合规入法的方向是引导型、激励型的‘软法’模式，而不是强制型、制裁型的‘硬法’模式，这也是我国企业合规法律化的基本方向。”①李勇：《我国企业合规法律化的方向与路径》，《贵州大学学报》（社会科学版）2023年第3期。相应的企业应当掌握和理解法律精神、立法的背景和来龙去脉以及社会规范和道德要求，以应对风险。“对涉案企业而言，早合规优于晚合规，检察机关提前介入有助于推动涉案企业将合规准备工作前移。在检察机关表现出将案件作为企业合规案件办理的初步意向之后，企业可以尽早进行合规自查，找到犯罪的根本原因，分析合规管控的漏洞，尽早拟定合规整改计划，聘请合规专家顾问，为后续接受合规考察、开展合规整改奠定基础”②李奋飞：《论涉案企业合规的全流程从宽》，《中国法学》2023年第4期。。

企业合规的发展经历了从注重管控(control) 到重视企业文化(culture) 的过程，合规计划的内容也从最初的注重获得刑事从宽处理来激励企业建立合规体系，演变成以诚信为基础的合规文化构建，美国企业合规官员的称谓也从“首席合规官”( CCO) 进化为“首席道德与合规官”( CECO)。

前面已经论述了合规之“规”概念的内涵和外延，它不光包括刑事方面的法律法规，其预防的也不仅仅是刑事风险，即使在涉案企业合规体系的建设中，检察机关在监察、评估时也要求企业合规计划的内容不光包含刑事合规风险，还应当包括所涉罪名领域相关联的违法、违规和不当行为。企业合规的目标一是为预防合规风险建立合规体系，二是建设和形成合规文化。企业合规在注意本土化的同时，一定要和国际接轨，具有国际化视野。

法律法规和社会规范都是随着时代变化的“移动目标”，因此企业的合规体系一旦建立起来，不可能一劳永逸、万无一失。企业必须提高信息敏感度，密切关注法律环境和社会形势，不断改善合规体制以适应其变化。例如，现在越来越重视“廉洁和诚信经营”，这就要改变以往粗放式发展的思路，不管是外贸还是内贸企业要注意和供应商、采购商、政府的交往，防止贿赂行为的发生，当然这个防止不能停留在口头或纸面上，要建立一种实在的可执行的体系；如果企业的生产是有标准要求的，从法律层面讲合乎这个标准就可以了，而企业采取了更高的一个标准，这就是合乎社会道德的要求，企业这样做对社会是有利的，长远看对于企业的发展也是有利的。所以合规不光是防范风险，还有一种价值体现。

随着法律法规的变化，企业要随时对合规风险进行重新识别和评估，对合规政策和合规手册进行更新、修改，重新进行合规培训。企业的发展会增设新岗位、增加新员工，管理制度和管理流程也要改变。企业市场的开拓、业务的更新、投资并购都需要重新启动合规范风险的识别和评估。公司必须持续改进合规系统，以适应新的趋势（移动目标），这意味着在企业合规方面PDCA循环是必要的①PDCA循环又叫“戴明环”，是美国质量管理专家沃特·阿曼德·休哈特（Walter A. Shewhart）首先提出的无限循环下去的科学程序，PDCA是英语单词Plan（计划）、Do（执行）、Check（检查）和Act（处理）的第一个字母的缩写，它虽然是一种质量管理科学模型，却可以应用在很多场景中。。

PDCA是按顺序重复Plan（计划）-Do（执行）-Check（评估/检查）-Act（改进）过程的管理方法。将P-D-C-A用圆（圆圈）连接起来表示的情况较多，但这种画法也会导致误解，以为四个环节是在一个平面或层次上，其实P-D-C是需要用A来提升的。由于Act步骤是将PDC流程引向更高层次的周期的步骤，因此PDCA周期不是在二维的圆周上持续旋转，若是在螺旋楼梯上升的三维印象中来理解会更恰切。“PDCA循环作为质量管理的基本方法，不仅适用于整个工程项目，也适应于整个企业和企业内的科室、工段、班组以至个人，各级部门根据企业的方针目标，都有自己的PDCA循环。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机联系起来，彼此协同，互相促进”②姜先良：《企业合规与律师服务》，北京：法律出版社，2021年，第129页。。

计划（Plan）：PDCA模型首先要求企业明确合规目标并制定相应的计划。在合规方面，企业需要明确法律、政策、法规和行业规范等要求，并制定符合要求的程序、政策和方针。通过规划阶段，企业可以系统地思考合规目标、需求和限制，并为实施合规措施提供清晰的指导。

执行（Do）：在PDCA模型中的执行阶段，企业需要将其合规计划付诸行动。这包括分配资源、实施合规措施和培训员工等。企业需要确保所有的合规要求都得到满足，并且实施的合规措施能够在实际操作中有效地执行。执行阶段的实施过程也需要进行记录和跟踪，以便后续的检查和改进。

三、企业合规计划（Plan）

企业合规计划是针对合规风险，以预防违规事项的发生为目标，它是确认涉案企业合规整改、考察和评估的依据。“从企业自身视角看，合规计划是一种公司治理方式，企业要想获得好的发展，须在发展过程中采取一种管理模式，尽量避免内部发生违法犯罪行为及其带来的危害。”③肖凤、刘东：《数字经济时代企业数据合规建设考察——以合规计划有效建构为基点》，《上海法学研究》集刊2023年第6卷。合规计划的内涵可以归纳为企业为预防违规行为的发生、发现违规行为而主动制定、实施的自我管理和约束机制，该违规行为不仅仅包括刑事犯罪和一般违法行为，还包括对社会道德、公司承诺等“软规范”的背叛。

这种机制的建立在企业负责人或者单位犯罪时可以提出申请（或抗辩），作为减轻或者免于起诉的理由。“在美国，是否制定和实施‘守法计划’是与刑事制裁紧密相连的，当违法企业制定并有效地实施了‘守法计划’时，根据联邦量刑委员会制定的《量刑标准》的规定，可以减轻对企业判处的罚金额。”①陆建平、张旭辉：《美国反海外腐败法解读》，北京：中国方正出版社，2007年，第77页。其初衷是一种违法预防措施，可以监测并遏制部分和企业经营活动相关的犯罪活动。Plan步骤（计划）包括两个主要内容：“制度建设”和“合规计划制定”。

（一）制度建设

制度建设体系包括经营理念、合规方针、合规准则、合规手册。②ISO37301中计划包括：公开承诺、确定合规方针的范围、角色和职责、义务和风险。“合规方针”是指企业制定的基本合规原则指向，也有人称之为“合规政策”。下面的“合规准则”又叫“行为准则”，有时又被称之为Code of Conduct，是在系统地梳理和本公司业务相关的违反法律、法规风险和违反社会规范风险的基础上，对各自风险进行合理控制的具体方法。换言之，是关于员工应该如何行动，或者不能采取什么行动的制度。③从属性看属于法律行为：为一定行为（积极行为）或不为一定行为（消极行为）。“合规手册”是详细解说“合规方针”和“合规准则”的指导手册，一般要求公司各个部门、分公司、子公司都要具备，其内容更切合企业生产经营。这些可称为“通用合规制度”，又叫“基础性合规要素”，“是企业建立合规管理体系所必须具有的基本合规制度，在整个合规管理体系中具有全局性和基础性的地位”④季美君：《论通用合规》，《民主与法制》（周刊）2022年第19期。。

合规制度以公司治理结构完善、董事与高级管理人员权责明确为必要条件，合规制度并不仅是企业内部某个机构或某位领导的责任，而是自上而下责任到每个人的体系。⑤参见郭传凯：《互联网平台企业反垄断合规制度的建构》，《法学论坛》2023年第5期。合规制度有三层结构（如果算上“经营理念”在内的话是四层结构），但这只是制度体系建设的一个例子，根据企业规模的不同而形式不一。合规制度体系有两个要点：一是在整个体系中要保持一致性，制度之间没有重复或遗漏的内容；二是在整个体系中明文规定，为使合规文化在本公司扎根必须向员工贯彻的事项。

在制定“合规方针”以体现公司合规的基本原则时，应注意几个要点：第一，“合规方针”的内容是公司“经营理念”的解释，“经营理念”是指企业的核心价值观（核心价值），“合规方针”的内容必须切实体现公司的核心价值；第二，首先要识别对本公司认为重要的相关法律法规，并按照这些法律法规排查“风险项目”。因方针是纲领性的，在对排查出的风险项目进行系统梳理的基础上，细微的事项要转到“行为准则”和“合规手册”中；第三，“合规方针”要用简洁、不引起误解的词语来表述。不要过分强调狭义上的合规（遵守法律），否则会引起“只要遵守法律，其他一切都没问题”、“这里没有写的东西做什么都可以”这样的误解。⑥虽然法理上有“法无禁止即许可”的原则，但这是指公民权利行使的边界，如果一个企业也遵循该法律原则，会让外界产生企业“投机取巧”“不厚道”的印象。一旦这种误解在公司蔓延，钻规则的空子便会形成一种文化，潜规则行为会正当化，从而大大偏离了“形成和落实守规文化”这一企业合规的最初目的；第四，在“合规方针”的序言中加入“高层管理人员的决心表达、承诺”是很重要的。高层管理人员用自己的语言表明他们将积极致力于合规和企业道德，从而传递了一个“合规方针”是认真的、不是表面形式的正确信号，这是推进“守规文化的形成和落实”的第一步。

合规准则又叫“行为准则”或“行为规范”，“首先规定企业的经营理念等基本原则，然后具体规定企业为进行公正的经营活动而应遵守的行为准则。从守法的观点来讲，这些行为准则的核心内容应首先是不作构成犯罪的行为。”①[日]芝原邦尔著：《经济刑法》，金光旭译，北京：法律出版社，2002年，第129页。在制定时要注意以下几点：第一，任何企业都在人员和预算等经营资源受到限制的情况下推进合规活动，因此必须在查明风险项目的基础上“排定优先顺序”，使其成为全体人员能够实践的“行为准则”。第二，系统构成。实际上“合规准则”的系统构成没有“正确答案”，每个企业可以按照本公司的规模和特性，采取被认为是最合适的结构。②企业按照“合规方针”的项目制定“合规准则”的章节，构成对本公司来说重要的每个“相关法律法规”，每个“利益相关者”，例如“对股东的承诺”“对客户的承诺”“对消费者的承诺”“对员工和工作场所的承诺”“对社会的承诺”等这样章节的行为准则。第三，有必要明示违反“合规准则”时的处罚。只要所有的处罚都是有明文规定的，非任意的处分即可，至于记载的文件在哪里不是重点。第四，重要的是在“合规准则”上明确规定，如果管理层和员工对“合规准则”的解释或判断感到困惑，应向何处查询（例如“合规部”）。通过培训、传播、签署等环节让“行为准则”渗入公司每一个人心中，形成公司的合规文化才是最关键的。第五，强调组织对于合规的严肃态度和高度关切，强调组织对于适用范围内的业务和人员的合规要求和期望，提及重要的相关法律法规和内部制度的要点，强调违反组织合规规定的处理和后果，尽量保持语言简洁、清晰，以原则性描述为主。

“合规准则”通常会触及合规义务、管理监督、不正当竞争、诚信、反商业贿赂、偷逃税、商业秘密保护等内容。设想当企业因为单位或高管、员工涉案，想通过企业已建立有效的合规体系争取“出罪”或“宽大量刑”，需要提供一个企业能够在企业合规管理工作的有效性方面的证据，来说服第三方专家机构和检察官、法官。这个证据不光是书面的员工《行为准则》，最好是带有员工知情权的“合规准则”，而且还要证明这个“合规准则”不是纸面上的，不是一种应付、形式上的。实践中最好是有一个员工知情的签名，以及“合规准则”的培训签到和关于“合规准则”测试通过的记录。事实上这一番操作一方面为涉案企业宽大处理提供了证据，另一方面也实现了组织对“合规准则”进行了有效传播与沟通。

合规风险的识别和优先级排序，“有效合规管理的基本要求是，企业需要针对特定的合规风险，制定相应的合规政策、标准和程序。在特定合规风险领域确定之后，涉案企业需要将这些政策、标准和程序予以发布，使之成为企业上下一体遵守的行为规则。”③梁涛：《美国企业合规制度的构建：国家监管、强制性自我监管与刑事激励》，《政治与法律》2022年第7期。虽然对于风险的识别、评估放在本文这个位置论述，但从逻辑上来讲只有进行合规风险识别和评估，才能制定合规政策、准则和手册，在风险尚未明了、清晰的前提下制定的合规性文件也缺乏针对性和有效性。“企业根据相关机关指控的风险和违规事实，以及自身实际情况,积极主动地制定针对性的合规计划,是非常有效的整改方式。”④李奋飞：《论企业合规考察的适用条件》，《法学论坛》2021年第6期。“原则上，企业唯有对其所存在的合规风险及其影响作出全面的评估，才能在其合规政策中真正落实相称性原则的要求。”⑤陈瑞华：《企业合规整改中的相称性原则》，《比较法研究》2023年第1期。所谓的“相称性原则”就是“企业的合规整改工作应与所要达到的合规目标相契合，并与企业的规模、涉罪性质、行业特点、业务范围、合规风险等相适应，避免使企业承受过度的和不必要的合规负担。”⑥陈瑞华：《企业合规整改中的相称性原则》，《比较法研究》2023年第1期。在相称性原则指导下，在风险排查时企业要注意风险产生的概率和风险对企业经营造成的影响。

公司识别合规风险时要考虑公司的规模、性质、经营状况、业务类别、治理结构、企业文化等因素。企业合规中的风险是指“违法风险”和“违反社会规范风险”。“风险识别的前提是找到合规义务，但是找到规范条文并不一定能明确具体违法行为，而对基于规范条文所产生的案例进行梳理，则能识别出可能涉及的具体违法行为。”①顾海啸、周姗姗、许晓雨：《企业合规计划构建的关键要素之风险识别》，《西部学刊》2022年第5期。参照过去发生过的法规遵从性事件以及当前面临的法规遵从性事件，收集和排查本公司实际经历过的或目前正在显现的风险项目。合规风险直接特征就是企业的各种纠纷、诉讼，被行政调查、处罚，这些都是合规管理的薄弱环节，也是容易重复犯错的风险所在。还有一些潜在的合规风险，尚未发生，但如果未被识别存在违规的可能性。合规风险存在于某个领域，也存在于某个岗位、某个业务环节或某个人，因此风险的识别绝对不是外部律师、企业合规人员个人的工作，应当“全员”参与，识别的过程也是认识、预防、培训的过程。

涉案企业合规风险的识别发生在刑事诉讼过程中，公安机关和检察机关已经确定了企业或者相关责任人所涉嫌的罪名。如虚开增值税发票罪、销售假冒注册商标商品罪、污染环境罪、非法经营罪、单位行贿罪、串通投标罪、走私普通货物罪等等。涉案企业向检察机关提出合规整改的申请，②涉案企业合规的启动是在审查起诉阶段，最高检公布的第四期典型案例中已经有检察机关在侦查阶段介入的案例了。2023年3月28，最高人民法院院长张军在北京法院调研强调：法院也要参与到刑事涉企合规改革中并发挥一定作用。2023年4月10日，张军院长在法官学院开学第一课上要求：法院应主动做好刑事合规工作。一天之后，江苏省高级人民法院、江苏省人民检察院联合印发了《关于加强涉案企业合规工作协同协作的座谈会纪要》，就进一步协同推动涉案企业合规改革与涉案企业合规案件办理协作达成共识。未来在审判阶段、侦查阶段都有可能启动合规整改程序。在申请中就得将指控的罪行确认为“具体的合规风险”，并根据该风险制定专项合规计划。至于涉案企业在其它领域是否也存在违法犯罪的潜在风险，基于“专项合规”的性质和考察期的限制检察机关一般是不做要求的。

通过对风险项目进行排查，形成风险清单，建立风险库，针对风险库中的风险项目进行优先级排序。③通常的做法是在一个四象限矩阵上绘制（配置）风险库中的风险项目，该矩阵包括发生频率（高/低）和影响（大/小）两个轴，在绘制矩阵的同时确定优先级，这是一个风险评估的过程。发生频率是指假如不采取任何管控手段，企业发生该类违法、违规的可能性有多大，影响是指如果上述不合规的行为发生后，企业会遭受什么样的损失、承担什么样的责任。为了更加简洁、直观，实务中对于损失可采用图表来直观表达。“合规政策”和“行为规范”等合规文件将围绕这些风险清单，建立应对每个风险的行动方法和合理的风险控制方法。基于优先级继而锁定风险项目，在企业管理资源有限的情况下，能够合理有效地控制本公司的风险。将风险进行优先级排序，是考虑到企业合规的成本问题。税务、环保、竞标、贷款、销售、采购、人事等任何一个环节、任何一个目标都有风险，单独看都有合规整改的需求，“推进企业合规改革，不能只考虑改革宣示的目标价值，而是需要进行成本效益分析。制度成本不是沉没成本，而是机会成本，也即因选择企业合规制度而放弃的其他替代选项可能带来的效益。企业合规虽能避免刑事追诉的负面效果，但它会给涉案企业带来沉重的负担，还会动摇刑法规范的效力并引发一系列负面效果。”①陈金林：《论企业合规改革的机会成本》，《法治现代化研究》2023年第3期。每个目标进行合规管控都是需要成本，必须要考虑成本和效益的平衡，才能决定是否推进某项合规进程，制定和落实某项制度，涉案企业合规整改也得做类似的权衡。

“合规政策”是企业对外的“合规义务”，是对客户、社会、监管机构公示企业的合规准则和程序，同时要求自己的合作、交易伙伴也要遵守该规则；“合规手册”（也叫“员工手册”）是企业对内的“合规义务”，是企业要求内部工作人员所要遵守的规则。而涉案企业整改过程中所制定的“合规政策”和“合规手册”无非是针对特定领域的“合规义务”。“合规义务”的形成依据是法律、法规、行业惯例、社会规范等等，还包括企业的承诺在内，也就是企业所要遵从的“规”，如果不履行合规义务则会形成“合规风险”。例如，“数据合规管理政策”和“数据合规管理员工手册”都会要求企业在收集、储存、使用、公开等环节保护个人隐私，并就企业在经营行为中作出承诺，这就是企业的合规义务，如果企业没有履行或者没有完全履行该义务，则就会发生数据合规风险。

（二）合规计划制定

Plan步骤中与“制定合规文件”（又叫“制定合规制度”）并列的另一重要模块是“合规计划的制定”，包含“改进计划的制定”和“教育、培训计划的制定”两个核心。从合规计划内容来看，开始的合规计划重点在于为获得刑事宽大处理从而激励企业被动建立合规，最终应当是企业主动建立合规，形成以诚信为基础的合规文化。合规计划的制定切忌“大而全”“大而空”，要有针对性、专门性和有效性。针对性是指企业发展迫切需求或者存在企业合规风险的领域，有效性是指计划能落地，不能华而不实。“有效企业合规计划并不仅仅是从企业自我管理层面预防犯罪，当企业收到刑事司法部门对企业可能的违法违规行为介入调查时，有效的合规计划一方面可使企业获得减免惩罚的机会,更重要的是，如果公司配合调查,主动整改纠错，并且有针对性地制定专项合规计划，并且补救违法行为造成的损害,可能获得宽大处理的机会。”②黎宏：《合规计划与企业刑事责任》，《法学杂志》2019年第9期。

改进计划的制定分为定期和不定期两种，后者是在合规监察被指出时、丑闻发生时、法律法规修订或新法实施时、公司进军海外时或新业务开始时、并购等导致的重大组织变更时等情况下启动。当然有时发生丑闻时，发现合规文件并没有瑕疵，好像不需要修，但是，即使包括合规文件在内的“合规体系”没有问题，是因为“体系的运行”存在问题才发生了丑闻，作为企业也有必要进行一些改进。另外，在同行业的其他公司发生丑闻时，也应该得到警示，绝不将其视为他人之事，不会发生在自己身上，有必要将其作为他山之石来研究制定改进计划。

企业的“事前”合规体系建设，是企业为取得更多商业机会、加强企业的可持续发展而进行的公司治理行为。当企业或者企业工作人员因经营行为涉案，企业申请合规整改，整改要符合检察机关的要求，接受第三方机制的监督、考察、验收、评估。这个情形下的改进计划和日常合规体系建设的合规计划不同，它注重根据所涉及的罪名、排除管理风险、修复治理缺陷、建立制度保障。例如，滴滴全球股份有限公司根据国家互联网信息办公室的处罚，建立了数据合规体系，避免网络安全事件再次发生；江苏张家港检察机关在对L公司污染环境案进行合规整改过程中，就责令其针对发生环境资源犯罪的内在结构性原因，特别是在规章制度、管理机制、风险意识等三个方面建立环境资源保护合规计划，以防止破坏环境资源行为的再次发生。①参见最高人民检察院涉案企业合规研究指导组：《涉案企业合规办案手册》，北京：中国检察出版社，2022年，第91页。

“涉案企业制定的专项合规计划，应当能够有效防止再次发生相同或者类似的违法犯罪行为。”②最高检会同几个部门制定的《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》第五条之规定。如果不是基于这种针对性专项合规的理念，而去制定任意的合规体系，很难在有限的合规考察期内完成合规整改，不但无法实现预防风险之目的，而且连就已指控的犯罪行为争取宽大处理的目的也难实现。对于涉案企业来说，根据被追诉的犯罪类型制定合规计划尤为重要，这是检察机关审查并同意企业能否进行有效合规整改的重要依据。

“无论建立何种合规计划，企业都应考虑建立一种合规管理的基础性平台，将合规行为准则、合规组织、合规管理人员配置、合规风险识别和评估、合规尽职调查、合规培训、合规文化建设、合规报告和举报、合规审计和监测、合规内部调查、合规奖惩机制以及合规补救机制等制度型要素建立起来，并使之在合规管理中得到落地、运行和激活，发挥有效预防违法违规行为的作用。”③李勇：《涉罪企业合规有效性标准研究——以A公司串通投标案为例》，《政法论坛》2022年第1期。不管是全面合规还是涉案企业合规，“有效性”是建立或者整改的基本目标，即使是涉案企业进行专项合规时也得将全面合规作为目标，根据企业性质、业务类型、治理结构等因素，逐步增加和本行业紧密相关的迫切性的专项合规计划。

四、合规的执行（Do）

Do步骤（执行）的两个模块是“组织架构”和“教育和培训”，“有效的合规体系包含两个层面的要求：一是企业要有合规组织架构、合规制度等形式构成要件；二是要确保合规制度在公司得到有效实施，这两点必须同时具备”④关符：《有效合规：保障企业高质量发展》，《国际工程与劳务》2023年第6期。。

（一）组织架构

“企业合规，是崭新的公司治理模式，其特别之处在于在公司内部设定一个独立的部门或者专门人员来检测和阻止违反法律和政策的行为，通过一系列的制度设计，将合规融入企业生产、经营全过程，改变其原有的领导层权力架构和管理模式。”⑤李勇：《我国企业合规法律化的方向与路径》，《贵州大学学报》（社会科学版）2023年第3期。作为合规体系，必须在企业内部构建稳固的治理结构。需要设置一个合规部门，任命一名合规官员负责合规工作，这就需要在架构设计上下功夫，以确保公司治理工作正常运行。⑥《中央企业合规管理办法》第第十一条规定了合规委员会和企业现有法治机构合署办公，第十二条规定首席合规官可以由总法兼任。由此可以理解“合规委员会”“合规官”并非新增岗位和人员，是新增职能，避免了机构臃肿，不需要增加成本，是企业现代化治理的迭代升级，民企也可以参照执行。

“企业往往采用风险智能决策的方式衡量合规必要性，由于公司高层的自身利益与企业集体利益息息相关，其个体逐利意识可能会与立法者和社会公众对合规的期待相悖，且高层作为企业内部运行制度和管理规章的设计者和完善者，容易在权力簇拥下堵塞合规文化建设源头。”①王昕：《涉案企业合规整改中合规文化的建设困境及出路》，《北京警察学院学报》2023年第8期。“合规管理不仅难以直接创造经济价值，而且会在不同程度上阻碍企业开展业务和产品立项，合规管理与业务开展之间的冲突在所难免。因此没有企业高层的高度重视和强力推进，合规管理体系无法 在企业内部建立和运行，更难以实现有效预防违法违规行为的目标。那些因涉嫌犯罪而被纳入合规考察程序的企业，在合规整改中更要贯彻‘高层承诺原则’。”②陈瑞华：《合规整改中的高层承诺原则》，《法律科学（西北政法大学学报）》2023年第3期。因此，作为CCO最好由主管整个经营管理的副总裁级别担任。从身份型关系上看，董事长对他要完全信赖，但如果有必要则能对董事长的决定勇敢反对。CCO要具备坚持、诚信、法律素养、公私分明、原则性强、具有领导能力等品格，对负责实际业务（一线业务）的高管具有一定程度的管理权限，避免一线员工对CCO完全不配合的情况发生。

为了进一步加强合规体系的治理，有效的方式是成立“合规委员会”作为一个内部机构。委员会的负责人由CCO担任，秘书处由负责合规的部门担任，总经理也是常任委员。成员应包含熟悉法律的专业人士、了解企业大部分业务的管理人员、专业技术人员等专业人士。合规委员会在“平时”每月召开一次例会（定期会议），讨论如何开展培训活动、本公司存在哪些潜在风险等常规主题。而在“有事”时，如本公司发生丑闻时，则召开临时会议，集中而有针对性的讨论、查明丑闻的真正原因，制定防止再次发生的措施等。

（二）教育和培训

教育和培训是企业合规体系建设中的重要环节，是合规价值观、合规方法论输出的重要手段，是合规文化建设的重要路径。“合规文化作为企业文化的重要组成部分，在涉案企业合规整改中占据重要地位，是根除企业犯罪诱因，防止涉案企业‘二次’违法犯罪的重要举措。”③王昕：《涉案企业合规整改中合规文化的建设困境及出路》，《北京警察学院学报》2023年第8期。其实这种观点是二十世纪九十年代美国刚开始实行企业合规制度时的观点，也是最高检刚开始试行刑事合规的观点。合规计划和合规文化是紧密关联在一起的，合规计划是否能得到有效执行合规文化很关键，反过来一个科学而契合公司目标的合规计划可以加强公司文化建设。

通过教育和培训，让每一位员工认识到“合规不是别人的事情，是我们自己的事情”，如此整个企业的问题发现能力和自我净化能力就会提高。从公司内部摒弃了“企业的合规活动是合规主管部门的工作，与自己无关”的错误想法，只有企业的每个人都强烈地认识到自己是实践合规的责任主体，“合规文化”才能在公司内部生根发芽。

“柔性管理则依据企业的价值观、精神氛围，以说服教育、舆论引导、心理沟通、激励等非强制性的方式，潜移默化地增强员工对企业合规的认同感，引导员工自觉做出合规行为。”④黄静：《以人为本的企业文化》，武汉：武汉大学出版社，2003年，第146页。既然花了预算和时间来实施合规教育和培训，那么参加培训的人员，要采取几个重点，让被培训人员认为合规是“自己的事情”。这些重点包括：教育培训的内容①教育的内容除了合规价值观和认识合规管理体系以外，其核心是将自己的“合规政策”、“行为准则”和“合规手册”以及有关业务控制制度的内容落实到公司每个人。对于涉案企业合规的教育培训内容要更聚焦，根据涉案犯罪行为的风险类型建立有针对性的培训内容。要求培训对象了解涉案合规风险领域，如环保、知识产权、网络数据等，理清业务环节存在的合规风险，以及违规、违法的概率和法律责任，了解合法行为与非法行为的界限，为引起培训对象的兴趣、加深其印象，可以引入典型案例。、教育培训的方法、教育培训的主体②教育和培训一般由公司负责合规的部门牵头实施，但培训开始最好有高层管理人员上台用自己的感受说明“合规的重要性”。当本公司发生丑闻时，要请在应对客户、消费者、行政、司法官员时饱尝辛酸的员工讲述“合规的必要性”，也有效地帮助参加培训的人员将合规“个人”化。还可以考虑请律师等外部专家就培训的内容进行修改，也可以邀请外部专家亲自授课。、教育培训的对象、开展教育培训的时间。随着经济全球化、共建“一带一路”的倡议，近年来许多公司正在将业务扩展到全球，教育和培训也应采取基于风险的方法，从合规风险较高的国家、地区和业务着手。

五、应对“合规疲劳”

实践中有些企业会陷入“绝对不允许发生与合规相关的丑闻”的零容忍的完美主义，制作厚厚的合规手册等，因过度的合规体系导致无法采取任何行动的状况。如前所述，合规体系不可能尽善尽美，正因如此，PDCA循环需要不停的转动。戴姆勒公司前大中华区合规官胡国辉老师讲过“合规是目标，合规也是体系，合规也是过程。”如果沉迷于完美主义，就会陷入“只要遵守手册上的内容就行”的不良文件主义、形式主义，合规本身就会目的化，结果合规活动就会形同虚设。于是，就形成了坏的企业文化，一旦出现什么问题，员工就会遮遮掩掩。为了不陷入到这样的境地，饱受“合规疲劳”困扰的企业有必要暂时回归狭义上的“企业合规”，③狭义上的企业合规是指“涉案企业合规”或者“事后合规”，有的是已经被行政或刑事调查，有的没有被调查，但是公司自己感觉某一方面存在重大合规风险。重新审视对自己公司来说最重要的风险项目。

此外，引入“限时期间”的思路也是一个不错的方法。例如，修订行为规范和合规手册时，需要追加导入新规则。根据事项的不同，给导入规则规定一个一年的“限时期间”。经过一年后，在验证该规则效果的基础上，“将该规则永久化”或“没有效果则取消”，“有效果尚不明确的再延长一年”。这种“限时期间”的做法可以有效防止企业合规体系的臃肿。最初制定的制度，由于宗旨是正确的，即使效果不佳也很难废止，这些具有滞后性、实效性差的规则往往因为惯性而被保留下来。因此，需要在规定的期间过后，评估期间内制度的效果，重新考虑“继续、废止或修改”的问题，这种有时限的措施可以防止“制度膨胀”。通过这样的行动，企业可以防止因过度“合规”而导致合规活动失灵等本末倒置的状况，实现合规的真正目的“营造良好的合规文化”。

企业合规改革既是企业现代化治理的迭代升级，要形成一种较为完善的常态化机制还需要学术界和实务界的研究探索。同时，“涉案企业合规又是舶来品，考虑到我国司法制度和企业治理的特点，不可能照搬照抄，需要结合我国的制度特点和司法实际予以本土化的改造。”④卞建林：《企业刑事合规程序的立法思考》，《政治与法律》2023年第6期。正如中国人民大学李奋飞教授所讲的“要遵循相称性原则，防止对小微企业过度整改”，对于涉案企业，假如不考虑企业规模、行业特点、业务范围、合规风险领域和风险等级等情况，动辄追求全面的合规义务识别和合规风险评估，就有可能建立大而空的合规管理体系，反而忽略了那些最急需建立合规管理的领域，难以预防特定违法犯罪行为的发生。①参见李玉华：《有效刑事合规的基本标准》，《中国刑事法杂志》2021年第1期。

PDCA循环是合规管理中较为直观、有效的整改模型，本文通过对Plan和Do两个步骤的具体执行内容和方法的论述，其中涵盖了涉案企业合规整改的内容，是有效合规整改的体现。这中间有些观点还需要在实践中检验，而学术界也不应仅满足于提供制度和为实务的正确性提供论证，应进行前瞻性的理论思考，将成熟的经验上升到理论高度，为企业合规提供智慧支持。

“合规风险是持续存在动态变化的，且企业的经营规模与业务领域也会因时而变，这便意味着企业的合规计划应不断更新，以适应不断变化的经营环境。”②江必新、袁浙皓：《企业合规管理基本问题研究》，《法律适用》2023年第6期。PDCA循环不是一个单循环，是不断前进、不断提高的，它是大环套小环、小环保大环、推动大循环。它要求企业定期进行风险评估和风险监测，根据合规风险的变化情况，持续不断更新风险库，不断改进和完善已经建立的合规体系，以保证合规管理的生命力。