文 / 李剑鹏

1.合规理念

企业的控制者、管理人员首先要树立合规的理念，并在企业总章程或专门制定的企业合规章程中体现合规的基本理念和要求，将合规目标、合规结构、合规政策写入具有最高效力的宣言性文件中，同时也须将合规的理念贯穿至企业的整个规章制度中，让每个员工都能接触合规理念，知晓、理解、掌握、执行合规理念。

2.合规制度

书面的合规制度只是基础，一般而言，一个企业很容易就可以建立一套书面的合规体系。但合规的生命在于有效和执行，一个有效执行的合规计划才能带来收益，才能有效发挥预防违法违规行为、促进企业经营效率的效果，并起到行政监管激励和刑法激励机制的作用。

合规制度相当于合规体系中的“实体法”，主要以企业的规章制度、合规管理指引和员工手册形式出现。企业可以针对不同部门、岗位、业务环节的具体情况、合规风险点和合规风险领域，建立不同的规章制度、行为准则。

具体来看，合规风险点是指企业在经营管理中，根据可能接触的业务领域、执行的业务程序、发生的违规行为而总结的高风险爆发点。合规重点风险领域则需要根据企业的重点岗位、人员、业务加以确定。目前五大重点合规领域分别是反商业贿赂合规、出口管制合规、反洗钱合规、反不正当竞争合规、个人信息数据保护合规。每个风险领域和风险点都需要设置相应的管理规范和行为准则，为企业和员工划定行为的规范和边界，这对违法违规行为发生后单位责任和员工责任的切割具有重要意义。

3.组织机构

为了执行合规计划，企业应当建立合规组织体系，主要包括适当设置的合规委员会、首席合规官、合规部门、合规人员。需要注意的是，应在公司每个部门或分公司均设立合规分支机构，由总公司合规部门垂直管理，即便在小型部门中也要配备合规专员。

合规组织体系遵循四大原则：独立、权威、享有必要的资源、信息沟通顺畅。

独立，是指职责独立，与其他部门的职责明确分开，且不能有利益冲突，即使业务管理部门、财务审计部门也不能介入合规。

权威，是指要使合规部门拥有足够的地位，如在董事会下设合规委员会，由决策层和管理层高管担任合规委员会成员，董事长担任主席，赋予其高于由CEO领导的执行团队的地位。同时，也要保障首席合规官拥有足够的地位，即具有公司高级管理人员的地位。只有享有足够权威的地位，合规组织才有能力应对来自管理层的压力，而不至于沦为摆设。

享有必要的资源，是指充足的人力和物力投入。合规需要完善企业组织机构，需要增加必要设施设备，需要使用活动经费，需要建立奖惩机制。评价企业合规计划是否有效的一个重要依据就是合规团队的人员和经费规模，有效合规计划要求付出一定的物质代价。例如，西门子每年的合规经费就高达10亿美元，总计在全球拥有超过千名的合规人员。

信息沟通顺畅，是指合规组织体系中高度强调的信息上下通达。此点要求企业建立合规部门和合规人员的重大事项报告制度，且报告内容可以直接通达合规委员会和董事会；同时，合规委员会和董事会的合规要求，也可以从上到下贯穿整个企业机构，以使合规要求在企业中得到全员重视，最终实现有效执行。

4.合规程序

合规程序，主要包括防范体系、识别体系、应对体系三大体系，被称为合规的三大支柱。

第一个支柱是防范体系，即为防范合规风险的发生而建立的一套程序体系，可由五大要素组成：

一是梳理统计合规数据。企业应当根据自身经营管理的实际情况，梳理相关统计数据，对各个风险点进行全面有序的总结，提前建立应对预案，以便于更好识别和应对风险。

二是合规风险评估，具体形式包括定期评估和不定期评估。合规风险评估要求与时俱进，随着公司业务的变化和发展而不断更新，每年度都要定期形成合规风险评估报告，作为建立良好防范体系的证据予以留存。风险评估同样要针对合规风险点和重点合规风险领域展开，尤其是针对重点风险领域，要进行定期评估。

三是合规审查。合规审查根据调查对象的不同，可以分为以下三方面：商业伙伴的合规审查，即现代商业社会的系统性和联系性特点，使得大多数合规风险来自于商业合作伙伴，这就要求企业不仅要独善其身，而且须要求上下游商业伙伴也符合合规要求，这才可能真正有效地实现合规目的；客户的审查，如商业银行要调查大额存款客户的背景和存款来源，防止违反银行业监管法规；企业内部的审查，即对企业自身部门、岗位、员工进行合规审查。

四是合规报告制度。企业应当建立定期合规报告、匿名举报制度。报告本身兼具预防和识别的双重功能，即对合规进展、风险领域的报告具有预防作用，而针对违规行为的报告则体现识别的功能。这一过程同样要保证信息上下沟通的顺畅。对于有分支机构的企业，还须建立巡回合规检查制度。合规是要企业全体的合规，包括企业各个部门、分支机构，因此总部需要指派合规官进行巡视和调研，发现新的风险点和违规行为，及时督促其加以整改。

五是合规培训，分为常规培训和有针对性培训两类。常规培训的对象是不特定人，如一年一度对全体员工的培训；有针对性的培训是指针对高风险点和高风险领域的部门、员工和上下游第三方的专门培训。合规培训蕴含着理念、制度的贯彻、责任的分担，因此，有效的合规培训要求书面记录，还要有所有参加培训人员的签字，必要时还可以录音、录像存档，以为日后留存证据。

第二个支柱是识别体系，要求公司的合规计划具有雷达预警的效果，全天候防止企业违规行为的发生，因而又被称为企业风险的预警系统。识别体系主要包括以下四种方式：

一是行为、制度识别。当企业执行某一业务时，企业的行为、制度之间或者企业制度与国家法律法规出现不能衔接、矛盾、冲突时，说明已经出现风险点，须进一步识别处置。

二是人员识别。人员识别有两种模式，一种模式是鼓励企业所有员工、第三方在工作岗位中，都要了解和识别自己岗位的风险；另一种模式是建立专门的制度，由合规部门向各部门、分支机构派驻员工，专门识别该部门、分支机构的风险，并只对合规部门负责。

三是设备识别。通过机械设备，对可能存在的违规情况进行识别，以预防风险。

四是数据识别。企业可以通过自身积累的经营管理数据或者借助第三方的数据，识别相关风险，采取预防和处置措施。

第三个支柱是应对体系，即违规和犯罪行为一旦发生，企业能够及时应对处理合规引起的危机。应对程序一般包括五个要素：

一是提前建立预案。梳理和总结企业经营管理中的风险高发点，针对这些风险，建立相关预案，以备不时之需。

二是必要的事先重点审核。企业应对重点事项进行必要的特殊审核，必要时形成监管报告，并呈交监管部门。

三是合规风险发生后，企业要有效配合相关机构的调查。这就需要企业在平时对经营管理的相关内容进行记录、留存和妥善保管，以便有效配合调查，这同时也是合规的前提。

四是及时进行处置。对于风险要及时、果断进行处置，阻断风险发生的进程，修复风险产生的后果。

五是修复企业规章制度，管理流程，完善合规体系。只有建立了有效的应对机制，才能真正建立有效的合规程序。

 （作者单位：北京锦象律师事务所）

栏目编辑：高扬  582310008@qq.com