随着社会主义市场经济的发展，“合规”一词越来越多常见于企业的经济交往中，并随着全面依法治国的深化而融入到企业的管理和文化之中。许多企业通过独立设置或联合办公的方式设置了合规管理部门，从而应对潜在的合规风险和不断增加的合规问题。

在合规管理中，合规审查作为企业进行合规管理的重要一环，是企业识别合规义务、评价合规风险的重要手段。合规审查具有怎样的内涵、开展合规审查包含怎样的过程、厘清合规审查和法律审查的关系，对企业合规体系的建设具有重要意义。

什么是合规？合规=遵守法规即守规，就是企业及其员工的经营管理行为要符合国家法律、行政法规、国际条约、行业准则、商业道德以及企业内部的管理制度。刑事合规是企业合规的一个组成部分，主要是指企业内部防范刑事法律风险的规则和机制。

合规的内容是什么？可以分三个层次：一是国家层面的规则，包括国家的法律和国家间的条约；二是社会层面的规则，主要是行业规则、商业惯例以及商业道德等；三是企业层面的规则，即企业内部的规章制度、管理制度。企业合规是企业内部控制和自我约束的一种机制。它既是一个管理过程，也是一种管理结果。

当然广义的“合规”，还包括企业员工要遵守良好的职业操守和道德规范以及风俗习惯等。比如针对数据脱敏（我们最常见的火车票、医院就诊显示器(有*号的地方)、电商收货地址都会对敏感信息做处理）的合规暂时还没有规定要求（暂不存在合规依据可以直接依托），但企业基于自我约束与企业文化要求也应当做到数据脱敏。

所以在合规整改需要分3步：第一：就是确定且汇总应当遵守的规则，第二：围绕上述规则开始查摆问题（当然查摆问题的方式有二：自行查摆问题与在第三方监管人的监督下查摆问题）；第三：围绕问题进行整改。

（一）承担民事责任。表现在损害赔偿和合同无效这2个与商业利益最相关方面：民事赔偿是因企业违反法定或约定义务给相对人或第三人造成损失需要承担的赔偿义务；合同无效是因企业的经营活动违反法律、行政法规的效力性规定，致使企业从事的民事法律行为无效。

（二）承担行政责任。行政罚款、没收违法所得、责令停产停业、吊销营业执照等。

（三）承担刑事责任。企业实施危害社会的行为，法律规定为单位犯罪的，企业作为犯罪主体应当负刑事责任。

在我国，行政合规与刑事合规可以基本理解一致（一般而言，剔除特殊/行政违法+数额=刑事犯罪）。若刑事合规整改只是为了预防刑事犯罪（且为专项刑事风险预防），则会大大影响整改效果（发票合规难道仅仅为了防止骗取增值税税额5万以上？不对吧，应该是禁止未来骗取任何的增值税吧！）。我们认为应使用“企业合规”的概念，涉案企业整改的目标是防止未来的行政风险与刑事风险（简单点说就是防止被执法部分检查并处罚）。

《中央企业合规管理指引（试行）》中将合规阐释为：中央企业及员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。《中央企业合规管理办法（征求意见稿）》将“规”的范围适当扩大，增加了党内法规和国际标准。《企业境外经营合规管理指引》将合规阐释为：企业及其员工的经营管理行为符合有关法律法规、国际条约、监管规定、行业准则、商业管理、道德规范和企业依法制定的章程及规章制度等要求。

合规审查的依据可以分为三个方面，一是在国家层面具有强制力和普遍的约束力的规定，如法律法规、监管规定等，二是对特定企业具有较强约束力的规定，如公司章程、企业规章制度、市场承诺等；三是对企业具有“软约束力”的规定，如商业惯例、道德规范等，本类型的规定对企业合规提出了更高的标准和要求。对于涉外企业而言，合规审查的依据除了上述的三个方面，还包括国际条约，国际公约，我国和投资所在国签订的双边条约、协定，以及所在地的法律法规、监管规定等等，其合规审查的难度也进一步提升。

《中央企业合规管理指引（试行）》提出“合规审查作为规章制度制定、重大事项决策、重要合同签订、重大项目运营等经营管理行为的必经程序……”，将规章制度制定、重大事项决策、重要合同签订、重大项目运营等作为合规审查的必备内容。在北京市国资委印发的《市管企业合规管理指引（试行）》中也将上述内容作为必经合规审查的内容。目前，国有企业已经基本实现了合规审查对规章制度、重大决策、经济合同的覆盖。

合规审查作为识别合规义务、防范合规风险的重要手段，其审查范围可以涉及到企业的方方面面。根据相关规范性文件和合规审查的内涵，我们不难看出，凡是具备合规义务的企业行为，都可以经过合规审查，避免合规风险。在企业日常经营中，除了上文提到的规章制度制定、重大事项决策、重要合同签订、重大项目运营等，企业经营中的书面函件、对外发布的企业形象宣传广告等等也都蕴含着潜在的合规风险。针对可能出现风险的行为，开展合规审查对企业而言明显利大于弊。

一、调研企业合规管理内外部环境

通过内外部环境的分析，可以系统地识别企业所承担的合规义务，以及企业对合规义务的落实执行情况，以及构建合规管理体系的资源等。

这是启动合规管理体系搭建的前期工作和基础工作。

二、制定合规管理体系实施方案

该方案在符合公司战略的情况下，应适应企业现有管理模式、管理能力以及资源投入，作为推动合规管理体系搭建工作的指导大纲。

三、梳理、分析业务流程

对公司现有业务流程、现有制度、现有风险管理体系等进行梳理，形成公司合规管理的现状诊断评估报告，作为下一步合规体系搭建工作的基础。

四、设计合规管理组织架构

可以参照风险管理的“三道防线模型”来设计。从企业最高决策层到企业的业务一线，包括决策层、管理层、业务部门、职能部门、下属单位、业务岗位等，都应有明确的合规职责分工与说明。

对于每一个岗位，对其合规职责进行增设或优化，制定岗位职责说明书及由员工签署合规承诺书。

五、进行合规风险评估

在梳理企业内外部环境及业务流程的基础上，编制和完善合规义务库。

在辨识合规义务的基础上，采用多种方法，归纳合规风险点，对合规风险进行分析、评价，形成合规风险清单、合规风险地图、合规风险库。

六、专项合规计划

对于重点合规风险领域，可以提出专项方案或建议，开展专项合规管理工作，协助出台专项合规管理指引，并辅之以相关培训工作。例如：数据信息安全合规指引、反商业贿赂合规指引等。

七、梳理合规制度，制订合规手册

结合企业的合规风险特点，制定全员遵守的合规准则规范，整理体系合规管理制度，最后汇编形成合规管理手册、操作指引等文件。

八、建立各项合规管理运行机制

包括但不限于：合规审查机制、合规检查机制、合规风险预警机制、合规风险隐患跟踪机制、合规风险报告机制、合规责任追究机制等。合规管理运行机制的内容可以根据本行业监管要求和企业实际来确定。

九、制订合规管理绩效制度—合规考核

制订合规管理绩效考核办法，内容包括考核对象、考核内容/考核指标、考核形式、考核结果应用。合规管理考核的难点在于考核内容与考核指标的设置。

十、合规管理体系有效性评价

合规管理运行情况评价，一般由最高管理者组织开展或委托外部机构开展。

评估对象为公司董事会、监事会、高级管理人员、合规负责人、合规管理部门以及各部门、各层级分公司和全体工作人员。

评估内容包括：对合规管理环境的有效性评价、对合规管理职责履行情况的评价、对合规管理制度与合规运行机制、合规保障机制建设情况的评价等内容。

十一、培育合规文化，开展合规培训

合规文化取决于一把手的合规理念。

 合规培训重点做好以下工作：制订合规培训计划；开发合规培训课件；培育合规师资；开展合规培训效果评价等。

一、合规业务团队建设

合规建设法律服务是团队化的业务，必须打造一支专业化的业务团队，每位成员必须有专业的法律知识背景和实操经验。在组建专业团队时，团队成员并不一定要局限于本企业成员，可以召集在该领域具有专业优势的律师一起参与进来，这也打破了传统的团队组建模式，这种跨企业合作模式更有利于聚集专业人士，也是打造有效合规计划的必然要求。

第二个创新模式是，根据企业的经营环节不同设置八个工作小组，分别是

（1）战略管理组，服务范围包括产业结构、企业重大决策、项目策划等；

（2）劳动人事组，服务范围包括劳动合同管理、人事管理、劳资纠纷处理等；

（3）财税管理组，服务范围主要包括税务管理制度、会计核算、财务审计等财务管理制度；

（4）资产管理组，服务范围主要包括股权结构管理、投融资管理、无形资产管理、固定资产管理等；

（5）产品运营组，服务范围主要包括安全生产、生产质量、产品研发、环境保护制度设立等；

（6）供应管理组，服务范围主要包括招标与供应商管理、物流仓储管理、采购流程与人员管理等；

（7）营销管理组，服务范围主要包括投标制度管理、品牌建设管理、销售制度与人员管理等；

（8）行政管理组，服务范围主要包括企业印章管理、档案管理、合同管理、后勤保障管理等。以上八个组基本是接照“人、财、物、产、供、销”进行分类管理，同时兼顾行政后勤，为企业建设全面的合规管理制度提供保障。

二、企业合规调研

企业合规调研是合规团队或者律所在与企业达成企业合规建设意向之后开展的合规理念树立、合规尽职调查活动。

合规团队进入企业之前，应通过公开信息检索的方式对企业进行背景调查，对企业进行初步了解。然后，双方通过召开第一次会议进行座谈。企业一方由企业负责人、各业务部门负责人、法务或者合规负责人代表参加，合规团队由团队负责人和各工作组代表参加会议，会议主要围绕树立企业合规理念和合规尽职调查两个主题展开。

首先，帮助企业树立合规理念。

目前，很多企业对企业合规建设的背景、目的、过程、意义的了解并不充分，合规团队应从多个角度阐明建设企业合规管理体系的法律意义和现实意义，让企业正确认识到建立企业合规管理体系的必要性，在这个基础之上，才能获得企业很好的配合，一起将企业合规管理体系建立起来并有效实施。

其次，开展尽职调查的准备工作。

合规团队各工作组结合《现场访谈提纲》要求参会的各部门负责人先对各自部门的运行情况、现行制度以及已经出现的问题进行简单陈述，各工作组再有针对性地提出相关问题，并将《企业合规尽调清单》发放到每个部门，要求其按尽调清单提供相关材料，作为尽职调查的基础。

最后，合规团队在企业人员带领下实施考察企业生产运营情况，了解企业的生产经营第一线，详细记录并填写《现场走访记录表》。同时，为了顺利完成资料搜集和尽职调查工作，在课阶段应当与企业签订《合规建设专项法律服务协议》和《保密承诺书》。

一个符合企业实际的、有效的合规管理体系能够实现合规管理与企业业务模式、组织架构的深度融合；满足企业内外不同监管规则的适用要求。企业需要建立起适合自身实际的合规管理体系，自发管控合规风险，来适应大环境的合法合规常规化、趋势化，继而获得健康可持续发展。