企业制定合规计划的目的总体可以分为两个部分，企业既希望建立起一套确保企业依法依规经营的管理机制，也希望通过制定合规计划能够积极配合执法调查，将自身法律责任有限化，从而最大程度减少违法风险。由此企业制定合规计划不能仅定位于应对政府部门的强制合规要求，而应着眼于优化企业管理的角度，制定专业化和有效化的合规计划，使得合规治理达到规避隐藏的法律风险的效果，进而使得企业从中获得实际利益。

为了达到有效合规管理的目标，企业进行合规整改时应树立专项合规计划的基本意识，放弃制定“大而全”合规计划的空洞设想。在实务过程中，有的企业制定了极为全面与细致的合规计划，针对数十种合规领域制定了综合合规政策，此种类型的合规计划不仅使得企业的管理成本快速增长，并且公司的组织结构未做到配套完善，工作人员素质未及时培训提高，那么该份合规计划最终也只能止于形式而无法发挥其预期作用，这显然是一种失败的合规计划设计。真正专业的合规计划应是针对企业的主要合规风险，就某一特定领域打造专项合规计划。例如，作为合规整改的典型案例之一西门子公司打造的反海外贿赂合规计划，便属于针对特定合规领域的专项合规计划，西门子公司为使得该计划发挥实际作用，在打造专项合规计划时还配套设立了专门的合规政策、合规组织以及合规管理程序。

搭建与落实合规计划的关键在于识别与评估企业存在的法律风险，并且针对企业所面临的主要风险制定专项合规计划，从而保证合规计划的有效性与可执行性。

合规计划作为一种风险抵御工具，如能发挥有效作用，既能够降低企业面临的经营风险，从长远来看也有利于增强企业竞争力、优化营商环境。[1]搭建有效合规计划的前提是对合规风险的识别，企业应根据自身性质与业务内容，针对企业在税收、反商业贿赂、知识产权等特定领域的风险，基于风险识别进行风险评估，并在风险评估的基础上建立专项合规机制，避免企业因违法违规产生不必要的法律风险。

（一）合规风险的识别

合规管理与企业管理相同，并不存在适用于所有企业的管理模式，而应当根据企业自身情况寻找最为合适的管理方案。进行合规管理的目的在于规避企业生产经营过程中所面临的经营风险，专项合规计划需要以合规风险评估结果为基础，有针对性地开展合规整改，企业制定专项合规计划的前提是建立有效的风险识别机制。美国联邦量刑委员会公布的《联邦量刑指南》中即明确指出，构建有效合规计划的前提是基于企业对自身经营风险所进行的自我调查。在特朗普政府发布的《企业合规计划评估指南》中也特别要求检察官重点关注企业识别、分析以及解决相关风险的方式。可以说在我国行政部门要求国内企业建立合规体系时，其出发点便是防范并控制“合规风险”。[2]伴随“一带一路”倡议与“企业走出去”战略的施行，我国企业不仅受到国内法律规制，还可能受到外国法律以及相关国际条约的影响，加之《企业境外经营合规管理指引》《中央企业合规管理办法》等多部法律法规的出台，以及最高检在多个基层检察院开展企业合规不起诉的试点工作的有序展开，合规监管正在成为企业生产经营中所必须审慎面对的重要领域。对合规风险的忽视将为企业经营埋下一颗“定时炸弹”，当合规风险最终演变为严重违法违规问题时将给企业造成无法预计的损失。因此合规计划的制定应当首先从合规风险的识别出发。

1，合规风险识别的义务来源

国际标准化组织发布的《合规管理体系要求及使用指南》（以下简称《使用指南》）第3条将合规风险定义为因不符合组织合规义务而发生不合规的可能性及其后果。企业合规风险与合规义务如同一枚硬币的正反面，企业不遵守合规义务便会导致合规风险的产生，因此识别合规风险的前提明确合规义务的范围。《使用指南》将合规风险分为内源风险与外源风险两类。

根据《使用指南》的精神及规定，内部合规义务往往来源于企业的自主意识确立的合规义务，常见的内部合规义务来源包括但不限于：企业内部的章程、规章制度；与法人、自然人签订的协议；与其他组织签订的合同；针对产品质量、环境保护作出的相关承诺等。来源于内部的合规义务虽然是“自愿遵守”，但是往往基于外部法律法规、行业性标准等均会产生相应的合规义务，如不规范履行合规义务将产生相应的合规风险。

外部来源的合规义务顾名思义是来源于企业之外的合规义务，往往是企业必须遵守的要求，包括但不限于：法律法规、行政许可、行业标准、国际条约、商业惯例等。

2.  识别合规风险的方法

为有效识别企业潜在的合规风险，企业须通过收集重要经营活动以及业务流程中存在的风险信息，并对相关风险进行分析归纳。现有商事实践中，企业常用的识别方法有：调查回访法、监督举报法以及案例分析法。

（1）调查回访法

企业与其他企业进行合作前，应该对合作企业开展全面的尽职调查，对合作企业的资金情况、违法违规情况等进行充分地了解，综合判断与该企业合作的法律风险，避免自身因牵涉合作企业的违法行为而承担法律责任。在合作结束之后，企业也可以与相关合作企业开展合作回访，通过合作企业的信息反馈，了解到此次合作过程中各环节可能存在法律风险，尤其是识别企业员工在此次合作中是否存在串通投标、商业贿赂等法律风险。[3]

（2）监督举报法

企业可以建立举报机制，鼓励举报人通过信函、电话、电子邮件、网络留言等形式对企业可能存在的合规风险进行举报；企业可以增设举报奖励，以提高举报人的积极性。同时在举报机制建立后，企业还要配套建立相应的调查机制，及时对举报的合规风险进行调查、分析并采取风险化解和处置措施。[4]

（3）案例分析法

案例分析法是指企业根据自身以往的合规风险案例或者其他企业相同或类似的合规风险案例，通过研究分析、总结，以提升企业合规风险识别和预防能力的方法。采用案例分析法应当注重以下几个要点：首先是案例的挑选。企业可以挑选企业先前发生的合规风险案例，企业先前没有发生过类似的合规风险案例，则可以参考其他企业或相同行业、业务领域等的案例。其次是案例的分析。在选定适宜的案例后，要对案例进行系统的汇总和分析，结合案件的争议焦点和核心合规风险，分析在该案件中企业做出的有效措施以及未来仍需改进和补充的部分。最后通过提炼案例中与本企业相同或类似的合规风险内容及合规风险应对措施，不断更新、健全本企业的合规风险管理体系。[5]

（二）针对风险制定专项合规计划

在有效识别出企业生产经营所面临的风险之后，便应当针对具体风险制定专项合规计划。不同企业之间存在企业性质、经营规模与业务范围等多方面不同，试图以一套普适性的合规计划推广适用于所有企业不具有可行性。相反，每个企业之间由于其性质、主营业务、治理结构的差异，都会产生具有自身特点的合规风险。因此，专项合规计划的制定应当从企业实际情况出发，选择特定角度对企业面临的重要风险进行识别，并以此为基础制定专项合规计划。在最高检公布的合规改革试点典型案例中，王某对非国家工作人员行贿的案件中，检察机关便主要围绕企业中与商业贿赂有关的内部治理结构存在的问题，要求其完善并填补反贿赂监管中存在的漏洞，制定企业内部防治商业贿赂的一系列专项合规计划。

1.企业应当聚焦重点风险领域、重点业务的合规义务

企业没有必要也不可能识别所有合规义务，而应当以主要业务为基础，关注重点风险领域，识别对于企业最重要的合规义务。最重要的合规义务，往往与企业重要业务领域息息相关，关乎企业的生存发展。若企业忽视或者不履行这些业务，必将给企业带来重大风险和危害。例如，对于制造类企业，应重点关注安全生产、劳动保护及环境保护等相关合规义务；对于投资类企业，应重点关注投资负面清单、主管部门监管规定等相关合规义务；对于技术研发类企业，则需重点关注知识产权、商业秘密等相关合规义务。

在识别出企业最重要的合规与义务后，可以沿着业务领域的范畴，再去识别其他的合规义务。这部分合规义务数量庞杂，企业在识别过程中应将这些合规义务限定于与企业业务、发展有关联的范畴当中，做到具体问题具体分析，抽象出与企业有密切关系的合规义务。

2.企业应以监管部门为导向，关注业务对应的监管风险

每个企业都有不同的业务领域，所对应的监管部门自然各不相同，同一个部门对不同的业务也有不同的监管要求。因此，企业可以从重点业务对应的主要监管机构进行识别，关注其监管权限和执法领域、重点，厘清违反相关监管规定所面临的风险和处罚，以此识别主要监管部门涉及的重要合规义务。例如，食品企业的主要监管部门为市监局、卫健委等部门。

企业根据各个部门的业务范围、职责为基础，确定各自涉及的主要监管部门，将各种类型领域的合规义务的识别和更新下发给各部门。企业除了监管部门的规章制度及要求外，还要随时了解这些监管部门公开发布的信息，从而识别并动态调整自己的合规义务。

3.借助第三方视角识别重要合规风险

在未建立合规管理体系的企业里，合规义务的识别工作往往是在自发状态下分散性展开的，这些合规义务往往侧重于企业内部面临的风险，而一定程度上忽视了外部环境可能面临的风险。

在建立了合规管理体系的企业里，其往往有意识地进行合规义务识别，并结合企业的实际情况，采用适当的识别方法识别企业的内外部环境面临的合规义务。但无论是否建立合规管理体系，其识别合规义务往往是基于自身视角，难以发现企业的潜在风险。为此，企业可以考虑借助外部专家对企业内外部环境进行详尽分析，提示出企业可能面临的重大合规风险，并针对这些合规风险确定企业需要重点关注和识别的合规义务。

专项合规计划是企业针对特定风险，为防止发生特定的违法违规事件所专门建立的合规管理制度。除了对企业经营风险做到有效识别与评估外，为达到防止违法情况产生，还需要根据企业自身情况引入其他合规要素。例如，企业存在超标排放污染物这一情形时，在制定环保合规计划的过程中便需要考虑适时引入第三方组织对企业污染物处理机制进行管理与监督，保障企业污染物排放符合国家标准与法律规定。尽管各企业之间因面临风险各不相同而导致合规计划存在差异性，但从既往检察机关监督指导下的合规整改成功案例中仍能总结出一些共性内容，作为专项合规计划的基础制度结构。有学者将其总结为三项基本原则：（1）针对性原则：企业在制定专项合规计划判断是否需要引入相关制度时应当建立在有效的风险识别与评估结果之上，针对企业在生产经营各环节中所面临的重大风险进行针对性管理。（2）补救性原则：企业应在原先已经存在的制度漏洞上（如在特定领域内曾经发生过违法违规情况）建立专门性补救机制，防止再次发生相关违法违规情形。（3）监控特定业务流程原则：对企业现存法律风险的经营流程或环节，建立内部控制机制，加强各部门之间的监督制约，减少开展业务时违法违规的可能性。[6]在这三项原则的指引下，依照《涉案企业合规建设、评估和审查办法（试行）》的规定，企业还应当配置独立的合规组织与管理人员、建立专门性的合规政策与员工手册、寻求企业相关业务的替代方案并对专项合规管理体系进行持续改进等专门性合规机制，为企业有效合规管理提供制度保障。

（一）专门性的合规政策与员工手册

有效合规管理要求企业在针对合规风险制定完备的合规政策后在企业中进行公示，使其成为企业员工所共同遵守的行为准则。例如，在企业存在用工方面的合规风险时，企业应当针对此风险建立用工合规管理体系，这包括用工合规政策与人力资源员工手册。二者均应当针对企业面临的特定领域的合规风险，吸纳其中的法律、行政法规、部门规章等强制性规范，使其成为企业开展合规整改的重要规范依据。[7]

合规政策与员工手册分别作为对外与对内实施合规管理的义务依据。就对外来说，企业面临的合规问题不仅来自对公司高管与员工的合规管理，对公司合作方的合规管理也同样重要。如果公司的合作方违法违规，公司往往也要承担合作方违法的法律后果。[8]专项合规政策对外将特定领域所需要遵守的法律规范与行为准则以及企业开展相关业务时的业务流程进行宣示，督促合作伙伴遵守相关规范性文件，减少因合作方违法导致自身遭受牵连的可能性。员工手册则将特定领域的禁止性规定与义务性规定加以整理汇编，督促企业员工与管理人员依法依规开展业务。

专门性合规政策与员工手册的出台，一方面能够起到宣扬合规管理文化的作用，另一方面还能落实合规风险识别、合规风险评估等具体内容，从而有效预防特定风险的产生。例如，在企业出具与税收合规相关的专门合规政策与员工手册后，企业不仅可以针对企业目前是否存在税收违规问题进行识别，并对后续是否产生税收违规的可能性进行评估，还可以以员工手册为依据，对企业相关员工作出遵循税收相关法律法规及规章制度的专项培训，督促员工作出遵守税收相关法律法规的承诺。

（二）寻求企业相关业务的替代性方案

许多企业长期持续存在违法违规风险的主要原因是在之前开展业务的过程中未能提前进行合规性审查，导致企业持续在违法违规的经营方式中开展业务，但又无法摆脱相关模式提供的便利，形成了制度性依赖。因此，企业在合规整改过程中如果仅满足于规章制度的构建，而不对企业涉嫌违法违规的业务作出实质性改变，那么企业在生产经营过程中一旦很可能回到原有的经营方式，导致企业生产重新回到违法违规的循环当中，经营活动中的相关合规风险始终难以消除，如同一把高悬的“达摩克利斯之剑”，成为随时可能威胁企业的不稳定因素。

在检察机关推动的合规整改过程中，企业一般都会选择暂停原有业务，寻找合适的合法合规的替代方案。举例而言，涉嫌污染环境的企业为了开展有效的合规整改，一般会选择在停止生产销售原有产品后，既可以选择设立相应环保措施，也可以选择变更生产产品的类型，选择一种对环境影响在国家允许范围内的新产品。又如涉嫌侵犯知识产权的企业，要想使得合规常态化，避免在合规整改过后企业又因涉嫌知识产权遭受行政处罚乃至最终构成犯罪，在向被侵权企业作出赔偿后可以与其签署知识产权许可协议，通过合法合规的方式获得知识产权的使用许可，最终实现剥离具有合规风险的商业模式。[9]

值得一提的是，为相关业务设计“可替代方案”并非每个企业所必须采取的合规管理措施，而属于企业可选择的合规风险管理方式，企业应当在对合规风险进行评估后，根据风险的严重程度决定是否需要采用业务的替代性方案。

（三）专门性的业务流程监管体系

企业在合规管理的过程中，除了积极寻找存在合规风险业务的替代方案以外，对无法替代的生产经营环节，为避免其再次出现违法违规情形，还需要制定一套对特定领域业务流程的监管体系。例如，中兴公司因违反美国商务部出口禁令遭受制裁后，便制定了一套运行良好的出口管制合规计划，其中为避免再次出现分销违规问题，中兴公司及其子公司发布了产品“出口管制分类编码”（ECCN），从而保证公司的供应链与分销渠道的出口合规。[10]

企业根据应当针对出现现实法律风险的特定领域与环节，引入专门性的监管体系。例如，为避免再次出现因招投标引发的法律风险，企业应当对招投标决策、标书制作等环节，进行合规性审查，加强内部控制。[11]

对业务环节进行的内部流程监管，一般包括：（1）建立并发布必要的规章制度，明确相应的工作流程。例如发票管理制度、合同审查制度以及进出口管理制度等。（2）引入新的管理流程，提高决策事项的审批层级，构建不同部门之间的监督制约机制，避免企业对合规计划失察，从而及时发现相关漏洞，避免企业产生更为复杂的合规风险。（3）实施交易过程真实记录机制，对容易产生合规风险的特定领域作出准确的书面或电子记录，为后续不定期审查业务的合规性提供制度保障。例如在黄金交易过程中，以往存在虚开发票的违法行为，在合规整改过程中，企业通过制定《发票管理制度》《黄金交易业务实施流程》等规范性文件，建立了包括合同审查、发票管理在内的黄金交易流程，消除了“票货分离”的交易模式，保证每一项发票的开具都有对应的黄金交易。并对该交易进行详尽记录，避免虚开发票行为的再次发生。

（四）定制化的合规培训

合规培训不仅能够有效应对合规风险，还能作为企业建设合规文化的重要途径。《联邦量刑指南》便要求企业在制定专项合规机制后，应当对企业员工进行培训，介绍特定领域的合规程序以及标准，让员工了解合规计划的具体操作步骤，也让员工知晓相关合规计划对企业的重要程度。[12]在开展合规培训时，企业应当根据风险识别与评估的结果，建立差异化与针对性的合规培训制度。在合规培训的过程中，应当结合前述专门性的合规政策与员工手册，针对特定领域的业务内容，制定针对性的培训内容，对开展业务各环节与流程中所可能产生的风险进行预警。并且合规培训不能仅流于形式，员工除了学习课程、收听讲座外，更要以实战模拟、分组讨论等方式切实参与其中。合规培训并非一蹴而就，而是持续性的系列行为。

（五）独立的合规组织与合规管理人员

专项合规计划建立适当的合规组织并配置必要的合规管理人员，是合规管理体系得以有效执行的组织保障。[8]2018年颁布的《中央企业合规管理指引（试行）》规定了八个层级的企业合规组织，为企业设置专门合规组织提供原则性的指引。但合规组织与合规管理人员的设置应当视企业具体情况而定，对小微企业而言，如不加区分盲目套用大型企业的合规体系设置专门合规机构，将导致在实际过程中企业经营成本过度增加，进而使得企业对推进合规管理缺乏动力，合规管理的效果必然也将打折扣。相反对于小微企业来说，可执行性是合规组织设立的重要标准，可以仅设立合规专员负责合规管理工作，并通过在合规管理过程中加强对合规专员的绩效考核保障合规计划的执行效果。[9]对大中型企业而言，由于其内部治理结构本身较为复杂，也不能盲目按照普适标准配置合规组织及其工作人员，而应遵循“量身打造”的基本原则。基于开展合规管理的重点领域，针对性设立合规组织并配置一定数量的合规管理人员。

在最高人民法院公布的企业合规典型案例中，便存在因企业管理层与工作人员对知识产权侵权以及刑事犯罪的法律意识淡薄，企业领导在内部管理中大搞“一言堂”，致使公司股东与实际控制人的违法行为未能得到董事会与监事会的监督。在该案的后续合规整改过程中，第三方监督评估组织在指导企业制定合规计划时便要求企业根据自身的经营风险情况，细化合规计划所涉及的组织体系、程序，保障合规计划在后续执行中能够得到落实。[10]

尽管目前对合规组织的性质仍存有一定争议，部分学者主张应将合规作为公司组织与成员的基本法定义务，将合规规定作为企业的基本行为准则；也有部分学者主张应当区分一般合规义务与合规治理义务，在法律规定中仅需确立合规治理的有效性标准，但仍将合规治理结构的具体方案交由企业自行决定。但不论此后合规组织能否在公司法中予以明确规定，有效合规的执行都需要稳定运行的合规组织体系予以保障。

（六）企业合规持续改进机制

企业如需确保合规整改成果的长期有效，便不能固守合规整改的短期成果，而应做到与时俱进，合规风险发展变化以及相关法律法规在不断变化发展，这就要求企业对合规机制进行持续性地改进，从而确保企业的合规机制持续发挥其应有作用。[11]其一，企业应当根据法律法规的变动情况，对合规政策与员工手册进行及时更新，组织员工与管理人员重新进行培训，并对企业相关合规风险点再次识别与评估。其二，企业还应当对特定领域的合规风险的变化进行及时进行评估，甄别其中容易出现违法行为的环节与流程，与此前合规风险识别的结果相比照，进而针对性地改进相关合规管理制度并调整相应业务流程。其三，企业在后续经营过程中，如涉及拓展业务范围、扩大经营规模，如设立分支机构、开展并购业务以及开拓海外市场等，也都需要对新增领域的合规风险进行重新评估，并对相关合规机制作出调整。

近年来陆续颁布的一系列与企业合规相关法律法规凸显出社会对切实推进合规整改的重视。企业合规是未来一段时间内企业管理改革的主旋律，为了实现合规整改的有效化，企业应当依据业务内容与合规风险，为自身量身打造适合企业情况的合规计划，并且合规整改不能仅流于形式，企业还应采取建立合规组织、聘用专业合规管理人员等措施，确保合规计划落到实处，使得合规计划充分发挥其防范风险的作用，保障企业合法合规经营。