企业在合规整改过程中应当针对面临的合规风险制定专门合规计划。首先识别合规风险义务来源，明确企业合规风险来源和合规义务，形成合规义务库；其次结合企业实际情况，采取调查回访法、监督举报法、调研访谈法以及案例分析法识别出与企业实际情况相适应的合规风险，并从企业主要经营管理活动等角度制定专门合规计划。在制定合规计划后只有在企业生产经营过程中落到实处才能发挥其防范企业经营风险的作用，为此企业应当配置独立的合规组织与合规管理人员、出台专门性的合规政策与合规员工手册、寻找企业相关业务的替代性方案并设立企业合规持续改进机制。

关键词：企业合规；专项合规计划；合规风险

企业制定合规计划的目的一方面在于建立一套确保企业依法依规经营的管理机制，另一方面企业也希望通过制定合规计划能够积极配合执法调查，有效切割法律责任，从而最大程度减少合规风险。基于这一目的，制定合规计划不能仅定位于应对政府执法部门的强制合规要求，而应从合规治理、避免合规风险等角度来帮助企业获得实际利益，制定专业化和有效化的合规计划。

企业进行合规整改时应树立专项合规计划的基本意识，放弃制定“大而全”的合规计划的空洞设想。在实务过程中，有的企业制定了一种“大而全”的合规计划，针对数十种合规领域制定了综合合规政策，这显然是一种失败的合规计划设计。真正专业的合规计划应是针对企业的主要合规风险，[1]就某一特定领域打造专项合规计划。例如，被业界视为合规范本的西门子打造的反海外贿赂合规计划，中兴公司打造的出口管制合规计划，湖南建工打造的诚信合规计划等等，都属于针对特定合规领域的专项合规计划。

综上所述，搭建与落实合规计划的关键在于识别与评估企业存在的法律风险，并且针对企业所面临的主要风险制定专项合规计划，从而保证合规计划的有效性与可执行性。

合规计划作为一种风险抵御工具，不但能够降低企业面临的经营风险，而且依法依规经营也是企业可持续发展的必然要求，因此从长远来看企业搭建合规计划也有利于增强企业竞争力。[18]搭建合规计划的前提是对合规风险的识别，企业应根据自身性质与业务内容，针对企业在税收、反商业贿赂、知识产权等特定领域的风险，基于风险识别进行风险评估，并在风险评估的基础上建立专项合规机制，避免企业因违法违规产生不必要的法律风险。

（一）合规风险的识别

专项合规计划需要以合规风险评估结果为基础，有针对性的展开合规整改，因此企业制定专项合规计划的前提是建立有效的风险识别与控制机制。在我国行政部门要求国内企业建立合规体系时，其出发点便是防范并控制合规风险。[19]美国《联邦量刑指南》也指出企业有效合规计划的构建首先应当针对企业自身的经营风险进行自我调查。[20]伴随“一带一路”倡议与“企业走出去”战略的施行，我国企业不仅受到国内法律规制，还可能受到外国法律以及相关国际条约的影响，加之《企业境外经营合规管理指引》《中央企业合规管理办法》等多部法律法规的出台，以及最高检在多个基层检察院开展企业合规不起诉的试点工作的有序展开，合规监管正在成为企业生产经营中所必须审慎面对的重要领域。对合规风险的忽视将为企业经营埋下一颗“定时炸弹”，当合规风险最终演变为严重违法违规问题时将给企业造成无法预计的损失。因此合规计划的制定应当首先从合规风险的识别出发。

1.  合规风险识别的义务来源

依据国际标准化组织发布的ISO37301：2021《合规管理体系要求及使用指南》（以下简称《使用指南》）第3.24条的规定：合规风险是因不符合组织合规义务而发生不合规的可能性及其后果。企业合规风险与合规义务总是一体两面的，违反合规义务即形成合规风险，因此识别合规风险的前提需瞄准合规义务。《使用指南》将合规风险分为内源风险与外源风险两类。

根据《使用指南》的精神及规定，内部合规义务往往来源于企业的自主意识确立的合规义务，常见的内部合规义务来源包括但不限于：企业内部的章程、规章制度；与法人、自然人签订的协议；与其他组织签订的合同；针对产品质量、环境保护作出的相关承诺等。来源于内部的合规义务虽然是“自愿遵守”，但是往往基于外部法律法规、行业性标准等均会产生相应的合规义务，如不规范履行合规义务将产生相应的合规风险。

外部来源的合规义务顾名思义是则来源于企业之外的合规义务，往往是企业必须要遵守的要求，包括但不限于：法律法规；行政许可；监管机构的命令或条例；法院判决；国际条约、惯例等。

2.  识别合规风险的方法

为有效管理企业合规风险，企业必须通过收集企业各项重要经营活动以及重要业务流程中存在的合规风险，并对相关风险进行分析归纳。现有商事实践中，企业常用的识别方法有：调查回访法、监督举报法、调研访谈法以及案例分析法。

（1）调查回访法

企业与其他企业进行合作前，应该对合作企业开展全面的尽职调查，对合作企业的资金情况、违法违规情况等进行充分的了解，综合判断与该企业合作的法律风险，避免自身因牵涉合作企业的违法行为而承担法律责任。在合作结束之后，企业也可以与相关合作企业开展合作回访，通过合作企业的信息反馈，了解到此次合作过程中各环节可能存在法律风险，尤其是识别企业员工在此次合作中是否存在串通投标、商业贿赂等法律风险。[21]

（2）监督举报法

企业可以建立举报机制，鼓励举报人通过信函、电话、电子邮件、网络留言等形式对企业可能存在的合规风险进行举报；企业可以增设举报奖励，以提高举报人的积极性。同时在举报机制建立后，企业还要配套建立相应的调查机制，及时对举报的合规风险进行调查、分析并采取风险化解和处置措施。[22]

（3）调研访谈法

调研访谈法是指通过对可能存在法律风险的对象进行访谈，了解其潜在的观点和认知，确定其是否真的存在法律风险。基于此调研访谈的对象应当具有针对性，一般可以针对各部门领导及关键岗位员工进行访谈，可以结合案例梳理的结果以及调查问卷的内容有针对性地制作访谈提纲，由法律专业人员对访谈内容进行梳理把关，从而发现一些管理层及业务人员所关注的风险要点，企业合规人员可以在此基础上判断是否存在可能的合规风险事件。

（4）案例分析法

案例分析法是指企业根据自身以往的合规风险案例或者其他企业相同或类似的合规风险案例，通过研究分析、总结，以提升企业合规风险识别和预防能力的方法。采用案例分析法应当注重以下几个要点：首先是案例的挑选。企业可以挑选企业先前发生的合规风险案例，企业先前没有发生过类似的合规风险案例，则可以参考其他企业或相同行业、业务领域等的案例。其次是案例的分析。在选定适宜的案例后，要对案例进行系统的汇总和分析，结合案件的争议焦点和核心合规风险，分析在该案件中企业作出的有效措施以及未来仍需改进和补充的部分。最后通过提炼案例中与本企业相同或类似的合规风险内容及合规风险应对措施，不断更新、健全本企业的合规风险管理体系。[23]

（二）针对风险制定专项合规计划

在及时、科学地识别出企业生产经营面临的风险后，企业便应当针对识别出来的风险制定专项合规计划。不同企业之间存在企业性质、经营规模与业务范围等多方面不同，试图以一套普适性的合规计划推广适用于所有企业不具有可行性。相反，每个企业基于其性质、业务、公司治理结构和经营方式，都会面临各不相同的合规风险。因此，专项合规计划的制定应当从企业实际情况出发，选择特定角度对企业面临的重要风险进行识别，并以此为基础制定专项合规计划。

（三）企业应当聚焦重点风险领域、重点业务的合规义务

企业没有必要也不可能识别所有合规义务，而应当以主要业务为基础，关注重点风险领域，识别对于企业最重要的的合规义务。最重要的合规义务，往往与企业重要业务领域息息相关，关乎企业的生存发展。若企业忽视或者不履行这些业务，必将给企业带来重大风险和危害。例如，对于制造类企业，应重点关注安全生产、劳动保护及环境保护等相关合规义务；对于投资类企业，应重点关注投资负面清单、主管部门监管规定等相关合规义务；对于技术研发类企业，则需重点关注知识产权、商业秘密等相关合规义务。

在识别出企业最重要的的合规与义务后，可以沿着业务领域的范畴，再去识别其他的的合规义务。这部分合规义务数量庞杂，企业在识别过程中应将这些合规义务限定于与企业业务、发展有关联的范畴当中，做到具体问题具体分析，抽象出与企业有密切关系的合规义务。

（四）企业应以监管部门为导向，关注业务对应的监管风险

 每个企业都有不同的业务领域，所对应的监管部门自然各不相同，同一个部门对不同的业务也有不同的监管要求。因此，企业可以从重点业务对应的主要监管机构进行识别，关注其监管权限和执法领域、重点，厘清违反相关监管规定所面临的风险和处罚，以此识别主要监管部门涉及的重要合规义务。例如，食品企业的主要监管部门为市监局、卫健委等部门。

企业根据各个部门的业务范围、职责为基础，确定各自涉及的主要监管部门，将各种类型领域的合规义务的识别和更新下发给各部门。企业除了监管部门的规章制度及要求外，还要随时了解这些监管部门公开发布的信息，从而识别并动态调整自己的合规义务。

（五）借助第三方视角识别重要合规风险

在未建立合规管理体系的企业里，合规义务的识别工作往往是在自发状态下分散性展开的，这些合规义务往往侧重于企业内部面临的风险，而一定程度上忽视了外部环境可能面临的风险。

在建立了合规管理体系的企业里，其往往有意识的进行合规义务识别，并结合企业的实际情况，采用适当的识别方法识别企业的内外部环境面临的合规义务。但无论是否建立合规管理体系，其识别合规义务往往是基于自身视角，难以发现企业的潜在风险。为此，企业可以考虑借助外部专家对企业内外部环境进行详尽分析，提示出企业可能面临的重大合规风险，并针对这些合规风险确定企业需要重点关注和识别的合规

合规计划的执行是指企业根据合规计划中增强内部管理的方案，在企业生产经营的过程中将该方案进行严格落实，使得合规计划在企业管理中充分发挥内部监管作用，保障企业始终保持合法合规运行。按照《涉案企业合规建设、评估和审查办法（试行）》的规定，企业应当配置独立的合规组织与合规管理人员、制定或修订合规章程、寻求企业相关业务的替代方案并对专项合规管理体系进行持续改进。

（一）独立的合规组织与合规管理人员

建立适当的合规组织并配置必要的合规管理人员，是合规管理体系得以有效执行的组织保障。[24]国务院国有资产监督管理委员会于2018年印发了《中央企业合规管理指引（试行）》，其中第二章规定了总计八个层级的企业合规组织，为企业设置专门合规组织提供原则性的指引。但合规组织与合规管理人员的设置应当视企业具体情况而定，对小微企业而言，如不加区分盲目套用大型企业的合规体系设置专门合规机构，将导致在实际过程中企业经营成本过度增加，进而使得企业对推进合规管理缺乏动力，合规管理的效果必然也将打折扣。相反对于小微企业来说，可执行性是合规组织设立的重要标准，其可以仅设立合规专员来专门负责合规管理工作，合规专员应具备相应合规管理资质或者专业能力，通过在合规管理过程中加强对合规专员的绩效考核保障合规计划的执行效果。[25]对大中型企业而言，由于其内部治理结构本身较为复杂，也不能盲目按照普适标准配置合规组织及其工作人员，而应遵循“量身打造”的基本原则。以前述合规风险识别与评估的结果为基本依据，确立开展合规管理的重点领域，针对性设立专门合规组织并配置相应合规管理人员，使其从事专门性的合规管理业务。

（二）专门性的合规政策与员工手册

有效合规管理要求企业针对特定的合规风险制定相应的合规政策、标准与程序，并将前述政策、标准与程序在企业中进行公布，使其成为企业各员工所共同遵守的行为准则。例如，在企业存在用工方面的合规风险时，企业应当针对此风险建立用工合规管理体系，这包括用工合规政策与人力资源员工手册。不论是企业专门性合规政策，亦或是员工手册，均应当针对企业面临的特定领域的合规风险，吸纳其中的法律、行政法规、部门规章、行业惯例等强制性规范，使其成为企业开展合规整改的重要规范依据。[26]

专门性合规政策与员工手册的出台，一方面能够起到宣扬合规管理文化的作用，另一方面还能落实合规风险识别、合规风险评估等具体内容，从而有效预防特定风险的产生。例如，在企业出具与税收合规相关的专门合规政策与员工手册后，企业不仅可以针对企业目前是否存在税收违规问题进行识别，并对后续是否产生税收违规的可能性进行评估，还可以以员工手册为依据，对企业相关员工作出遵循税收相关法律法规及规章制度的合规培训，敦促员工就遵守税收相关的法律法规作出合规承诺。

（三）企业相关业务的替代性方案

许多企业长期持续存在违法违规风险的主要原因是在之前开展业务的过程中未能提前进行合规性审查，导致企业持续在违法违规的经营方式中开展业务，但又无法摆脱相关模式提供的便利，形成了制度性依赖。因此，企业在合规整改过程中如果仅满足于规章制度的构建，而不对企业涉嫌违法违规的业务作出实质性改变，那么企业在生产经营过程中一旦很可能回到原有的经营方式，导致企业生产重新回到违法违规的循环当中，经营活动中的相关合规风险始终难以消除，如同一把高悬的“达摩克里斯之剑”，成为随时可能威胁企业的不稳定因素。

在检察机关推动的合规整改过程中，企业通常都会在停止原有业务的基础上，寻找合适的合法合规的替代方案。举例而言，涉嫌污染环境的企业为了开展有效的合规整改，一般会选择在停止生产销售原有产品后，既可以选择设立相应环保措施，也可以选择变更生产产品的类型，选择一种对环境影响在国家允许范围内的新产品。又如涉嫌侵犯知识产权的企业，要想使得合规常态化，避免在合规整改过后企业又因涉嫌知识产权遭受行政处罚乃至最终构成犯罪，在向被侵权企业作出赔偿后可以与其签署知识产权许可协议，通过合法合规的方式使用知识产权，从而摆脱原先具有合规风险的商业模式。[27]

值得一提的是，为相关业务设计“可替代方案”并非每个企业所必须采取的合规管理措施，而属于企业可选择的合规风险管理方式，企业应当在对合规风险进行评估后，根据风险的严重程度决定是否需要采用业务的替代性方案。

（四）企业合规持续改进机制

企业要如须确保合规整改成果的长期有效，便不能固守合规整改的短期成果，而应做到与时俱进，针对合规风险发展变化以及相关法律法规的变动趋势，对合规机制进行持续不断地改进，从而确保企业的合规机制持续发挥有效避免企业违法违规的作用。[28]一方面，企业应当根据相关法律法规的变动情况，对企业合规政策与员工手册进行更新，对员工与管理人员组织重新培训，对企业相关合规风险领域以及风险点重新进行识别与评估。另一方面，企业在后续经营过程中，如涉及拓展业务范围、扩大经营规模，如设立分支机构、开展并购业务以及开拓海外市场等，都需要对新增领域的合规风险进行重新评估，并且对相关合规机制作出调整。

近年来我国颁布的一系列企业合规计划审查等相关法律法规凸显出对有效实施合规计划、切实推进合规整改的重视和规范。企业合规是未来一段时间内企业管理改革的主旋律，为了实现合规整改的有效化，企业应当依据业务内容与合规风险，为自身量身打造适合企业情况的合规计划，并且合规整改不能仅流于形式，企业还应采取建立合规组织、聘用专业合规管理人员等措施，确保合规计划落到实处，使得合规计划充分发挥其防范风险的作用，保障企业合法合规经营。