有效合規管理的基本原則

陳瑞華

一、引 言

企業合規是一種以風險防控為導向的內部控制體系。通過建立一套合規管理體系，企業可以減少或避免違法違規行為的發生，建立防控合規風險的長效保障機制，確立一種依法依規經營的企業文化。根據企業合規建立的時機，可以將其分為“日常性合規體系建設”與“危機發生后的合規整改”兩種類型。前者又稱為“事前合規”或“自主性合規”，是企業在沒有發生違法違規行為的情況下，為增強競爭實力、增加商業交易機會而開展的合規體系建設；后者又稱為“事后合規”，是企業在發生違法違規事件，接受執法調查或刑事追訴后，為爭取獲得較為寬大的處理，避免陷入災難性境地，而開展的制度補救和合規體系建設行為。①參見陳瑞華：《有效合規管理的兩種模式》，《法制與社會發展》2022 年第1 期。根據企業涉嫌違法違規的類型，這種合規整改又可以分為“行政合規整改”“刑事合規整改”“國際金融合規整改”等相應的制度形態。②企業合規本來屬于一種基于風險防控而建立的企業管理體系。但是，企業自生自發地建立合規管理體系，通常是難以取得成功的。而唯有建立源于外部的激勵機制，給予企業在陷入危機時以合規管理換取寬大處理的機會，才能激發企業建立并實施合規管理體系的強大動力。根據合規激勵的來源，我們將外部推動的企業合規整改分為三類：一是由行政機關推動的“行政合規激勵”，簡稱為“行政合規”；二是由司法部門推動的“刑事合規激勵”，簡稱為“刑事合規”；三是由世界銀行等國際金融機構推動的“國際金融合規激勵”，簡稱為“國際金融合規”。當然，除了推動合規激勵之外，越來越多的國家和地區開始在行政監管、司法程序中引入“合規指導”和“合規強制”機制，從而激發企業在建立合規管理體系方面的更大壓力或動力。對這一問題的分析，可參見陳瑞華：《企業合規基本理論》（第3 版），法律出版社2022 年版，第31-58 頁。

一般而言，在沒有外部監管、制裁或處罰壓力的情況下，企業所建立的合規管理體系通常缺乏統一的評價標準，也不存在接受合規驗收評估的壓力，難以達到有效管控合規風險的效果。而在行政機關、司法部門或國際金融組織的執法調查程序啟動后，“涉案企業”不僅面臨著受到行政處罰、刑事追究或金融制裁的可能性，而且還要接受這些機構或組織的合規考察、評估和驗收。在此情形下，涉案企業通常會盡量滿足考察部門的合規整改要求，達到后者所確立的合規標準?？梢哉f，企業通過開展“日常性合規體系建設”，通?？梢越鉀Q合規管理體系“從無到有”的問題。而各種“危機發生后的合規整改”，則可以解決合規管理體系“從無效到有效”的問題。

所謂“有效合規管理”，又稱為“有效合規計劃”，是由行政機關、司法部門或國際金融機構針對涉案企業所確立的合規風險控制目標。要達到這種“有效控制合規風險”的目標，涉案企業需要建立起有效預防合規風險，實時監控企業經營活動，合理應對違法違規事件的內部控制體系。迄今為止，不少國家都在相關法律法規中確立了“有效合規管理的基本要素”。一些國際合規文件也列明了有效合規計劃的基本內容。但是，這些法律和文件往往注重對一些具體合規管理要素的強調，卻忽略了對有效合規管理基本理念的概括和總結。①例如，國際標準組織（ISO）2021 年發布的《合規管理體系——要求及使用指南》（ISO37301），認為一個組織的合規管理體系，應反映組織的“價值觀、目標、戰略和合規風險。并且應考慮組織環境”。在此基礎上，組織的合規管理體系應遵循“良好治理”“相稱性”“完整性”“透明度”“問責制”“可持續性”等基本原則。參見最高人民檢察院涉案企業合規研究指導組：《涉案企業合規辦案手冊》，中國檢察出版社2022 年版，第399 頁。一些國家的法律法規盡管也聲稱確立了“有效合規的基本原則”，但這些原則通常包含著諸如“盡職調查”“風險評估”“文化傳達與溝通”“合規審計與檢測”等較為具體的制度和流程，而并不屬于那種對合規管理產生指導作用的基本準則。例如，英國法律盡管針對反腐敗合規管理確立了“充分程序六項基本原則”，并將其視為涉案企業據以作出無罪抗辯的法定事由，但這些原則中的部分內容都屬于較為具體的合規管理制度。②英國司法部2011 年通過反賄賂法實施指南所確立的“充分程序”六項原則，在2017 年被《刑事金融法》實施指南所確立，又在2020年被SFO 企業合規評估操作手冊確立為合規有效性的一般評估標準。這六項原則分別是相稱程序原則、高層承諾原則、風險評估原則、盡職調查原則、有效溝通原則以及監控和評估原則。參見陳瑞華：《有效合規的中國經驗》，北京大學出版社2023 年版，第270-274 頁。又如，法國法律盡管也確立了反腐敗合規管理的基本要素，并隨后確立了反腐敗合規管理的一個核心理念和三項制度支柱，但這些內容也大多屬于對合規管理制度的列舉，而缺乏對有效合規管理基本理念的總結。③2016 年法國議會通過的《薩賓第二法案》，曾確立了企業合規制度的七項制度要素：一是“制定行為準則”；二是建立“內部預警系統”；三是進行“風險評估”；四是制定“內部和外部會計控制程序”；五是建立“培訓體系”；六是建立“懲處機制”；七是建立“內部控制和評價制度”。2020 年發布的《法國反腐敗指南》試圖為企業提高認識、預防、發現和制裁相關腐敗犯罪確立必要的措施和程序。該指南將“相稱性原則”確立為核心理念，并確立了反腐敗合規計劃的三個制度支柱：一是高級管理層的反腐敗承諾；二是風險識別；三是風險管理。參見陳瑞華：《有效合規的中國經驗》，北京大學出版社2023 年版，第278-279 頁。再如，美國1991 年修訂的《聯邦量刑指南》曾確立了有效合規的七大要素，美國司法部則從2019 年開始發布《公司合規計劃評價》，確立了有效合規計劃的基本標準。但是，這些要素和標準并不是有效合規管理的基本原則。④根據1991 年修訂的美國《聯邦量刑指南》，一個有效的合規計劃，既是檢察官決定是否對涉案企業起訴的重要依據，也是法官對犯罪企業進行量刑時的參考因素。該項指南列出了有效合規的“一般標準”：一是建立合規標準和程序，合理預防犯罪行為的發生；二是企業領導人和治理部門（董事會）監控和管理合規計劃；三是將那些有過違法或者不遵守有效合規程序的人，排除于企業合規管理職能之外；四是通過培訓等方式向員工傳達企業合規的政策和標準；五是建立有效合規的合理措施，如利用監測、審計和報告系統發現犯罪行為；六是建立懲戒機制，嚴格執行合規標準；七是持續不斷地改進和更新合規計劃。2019 年4 月，美國司法部刑事部門發布了《公司合規計劃評價》。該文件后來經過多次修訂，確立了有效合規計劃的三項要素：一是公司是否有一個設計良好的書面合規計劃，這被視為合規計劃有效性的前提條件；二是合規計劃在組織上是否得到了嚴格執行和有效落實；三是是否存在著違規行為的有效識別、糾正和報告機制。參見陳瑞華：《企業合規基本理論》（第3 版），法律出版社2022 年版，第102-109 頁。

我國自2018 年“中興事件”發生之后，在行政監管和刑事司法兩個領域加快了合規改革的步伐。在反壟斷、證券管理、網絡數據管理、反洗錢等領域，行政機關為督促相關企業開展合規體系建設，初步確立了合規指導、合規強制和合規激勵等多元化的合規監管方式，試圖通過行政機關的引導和壓力，來督促相關企業建立有效的合規管理體系。而隨著涉案企業合規改革的興起，檢察機關探索建立了一種涉案企業合規監督考察制度，對于那些符合相關條件的涉案企業，啟動合規監督考察程序，使其接受一定期限的第三方合規考察、評估和驗收，對于通過合規整改驗收的企業，作出不起訴或者建議從輕量刑的寬大刑事處理。與此同時，在各級國資委的指導和監督下，國有企業普遍開展“自主性合規”的建設活動，中央國有企業已經初步建立了“全面合規體系”，越來越多的省級國有企業也啟動了合規體系建設的進程。

在我國行政機關、司法部門的推動下，有效合規管理的理念已經逐漸深入人心，得到諸多法律法規和規范性文件的承認。特別是檢察機關推動發布的一些改革文件，更是在“涉案企業合規評估驗收”領域，確立了“有效合規整改”或“有效合規計劃”的基本目標，也就是通過進行有針對性的合規整改，建立專項合規計劃，達到“有效預防相同或相似違法犯罪行為再次發生”的效果。但是，一個涉案企業在合規整改過程中究竟應貫徹哪些基本原則，才能達到這一有效合規整改的目標呢？對于這一問題，這些文件盡管列出了諸如“相稱性”“高層承諾”等原則要求，卻并沒有給出較為完整的解釋。文件所列出的有效合規整改要求，仍然是一些較為具體的合規管理和合規流程建設的要素。至于行政機關所通過的“合規指引”或“合規管理辦法”，則更是側重列舉合規管理的制度、體系和流程，而缺乏對有效合規管理原則的總結和提煉。①2018 年，我國國家發展和改革委員會會同多個部門發布的《企業境外經營合規管理指引》，確立了企業合規管理的三項基本原則：一是獨立性原則；二是實用性原則；三是全面性原則。我國國務院國資委2022 年發布的《中央企業合規管理辦法》，在強調合規管理的政治方向的同時，為“中央企業”確立了“全面覆蓋”“權責清晰”“務實高效”等基本原則。參見陳瑞華：《企業合規基本理論》（第2 版），法律出版社2021 年版，第467 頁。另參見國務院國有資產管理委員會2022 年發布的《中央企業合規管理辦法》第5 條。這就導致行政機關在向相關企業設定“強制性合規要求”，或者對涉案企業合規整改“進行評估驗收”時，無法確立一些最低限度的有效合規要求，造成行政機關在合規評估驗收時具有太大的自由裁量權。

有鑒于此，本文擬對有效合規管理的基本原則問題作出初步的研究。筆者擬在對一些國家的合規立法和相關國際文件進行反思的基礎上，通過對我國行政機關開展合規監管和司法部門開展合規考察的經驗進行總結，確立有效合規管理的六項原則，并對這些原則的內容、要求和適用作出初步的概括。本文所要論證的基本觀點是：不同企業盡管有不盡相同的合規管理需求，行政機關和司法部門對不同的涉案企業盡管會提出迥然不同的合規整改要求，但是，任何一個有效的合規管理或合規整改，都應遵循一些最低限度的合規管理理念和準則，也就是“風險導向原則”“相稱性原則”“高層承諾原則”“權威性原則”“業務流程滲透原則”“可持續性原則”。只有符合這些原則的要求，企業才能建立起有效的合規管理體系，或者完成有效的合規整改，并確保合規管理體系得到有效的運行，發揮有效防控合規風險的效果。

二、風險導向原則

目前，我國一些國有企業在行政監管部門的指導下，普遍開展了合規管理體系建設活動。這種合規管理遵循了一種“全面合規”的理念，強調實現“企業依法依規經營”的目標，先通過梳理國家法律、法規、政策、國際法律文件、企業規章制度乃至行業管理、職業倫理等規范，確定企業的“合規義務”，再根據企業所從事的業務和所處的行業，來識別和評估企業的重點合規領域，并據此建立一種覆蓋全部業務流程、全部人員和全部經營活動的合規管理體系。

這種以管理為導向的合規模式，在企業合規管理建設初期有著一定的優勢，能夠集中公司整體的力量，自上而下地快速建立合規體系，保障合規管理的實施。但是，從有效合規管理的角度來看，這種合規模式也具有僵化、盲目執行和效率低下等弊端，無法適應企業的風險分布情況和場景化治理需求，也難以做到有針對性地預防違法違規行為的發生。正因為如此，越來越多的企業開始從有效防控合規風險的角度出發，確立了“以風險為導向的合規原則”。①參見中興通訊股份有限公司：《合規創造價值——中興通訊合規建設實踐》，法律出版社2023 年版，第7-8 頁。

與那種以管理為導向的合規理念不同，以風險為導向的合規原則最初發端于涉案企業的合規整改過程之中，后來逐漸為眾多企業在日常性合規體系建設中所接受。無論是行政監管部門、司法機關還是國際金融機構，在查處涉嫌違法違規的企業時，通常會責令其建立專項合規計劃，這種合規管理遵循了“以風險為導向”的理念，強調針對企業所涉嫌實施的違法違規行為類型，以有效預防相同或相似違法犯罪行為再次發生為目標，在調查合規風險的基礎上，進行有針對性的制度糾錯，然后再引進一種專門性的合規管理體系。

很多國際合規文件和相關法律都確立了這種以風險為導向的原則。例如，國際標準組織《合規管理體系——要求及使用指南》（ISO37301）就明確要求組織“采取以風險為基礎的方法”，將合規風險評估作為開展合規管理的基礎性工作。該文件將合規評估區分為“固有合規風險”和“殘余合規風險”；要求組織開展“合規風險識別”，包括識別合規風險源和劃分合規風險等級，制定合規風險源清單和合規風險等級清單；要求組織在發生諸如業務更新、組織架構改變、重大外部變化、合規義務改變、并購發生、不合規行為發生等情況時，應重新開展合規風險評估；要求組織在對合規風險采取零容忍態度的前提下，將精力和資源優先集中到高風險事項上，然后逐漸擴展至全部合規風險。②參見最高人民檢察院涉案企業合規研究指導組：《涉案企業合規辦案手冊》，中國檢察出版社2022 年版，第425-427 頁。

美國是世界上較早確立有效合規評估標準的國家。美國司法部發布的《公司合規計劃評價》將企業是否建立“風險評估機制”視為合規計劃是否設計良好的首要標準。檢察官在了解企業業務的前提下，要了解企業如何識別、評估和定義合規風險，在多大程度上進行了審查，以及為此投入了多少資源。在識別合規風險方面，檢察官應考慮分析并處理因“經營地點、經營范圍、競爭能力、監管主體、潛在客戶和合作伙伴、第三方伙伴、禮物、差旅、娛樂開銷、慈善捐贈和政治獻金所帶來的風險”。在風險評估方面，檢察官還要考慮企業的風險管理過程、風險管理的資源配置以及風險評估機制的定期審查、更新和修訂情況。①參見陳瑞華：《有效合規計劃的基本標準——美國司法部〈公司合規計劃評價〉簡介》，《中國律師》2019 年第9 期。

英國反腐敗法律確立了有效合規管理的六項“充分程序原則”，其中第三項是“風險評估原則”，要求企業對所面臨的外部和內部賄賂的性質和嚴重程度進行定期評估，包括：高層進行整體風險評估；企業進行適當的資源整合；確定內部和外部的信息源；開展盡職調查；準確記錄風險評估過程和結論。②參見陳瑞華：《英國〈反賄賂法〉與刑事合規問題》，《中國律師》2019 年第3 期。

法國2016 年通過的一部反腐敗法律將“風險評估”列為七項有效合規管理要素之一，要求企業根據其所在行業和運營地區，對賄賂風險進行識別、分析和分級，并定期進行風險評估。2020 年發布的《法國反腐敗指南》進一步將“風險識別”和“風險管理”視為有效合規管理的主要制度支柱。所謂風險識別，也就是運用風險識別工具，對企業所面臨的腐敗風險作出具體的確認、評估，并采取分級管理措施。所謂“風險管理”，是指通過有效措施和程序來管理已識別的風險，以預防和發現任何違反行為準則或可能構成腐敗的行為，并實施相應的制裁。③參見陳瑞華：《法國〈薩賓第二法案〉與刑事合規問題》，《中國律師》2019 年第5 期。另參見陳瑞華：《法國反腐敗案件的有效合規標準》，“悄悄法律人”微信公眾號，2022 年6 月29 日發布。

我國行政監管部門發布的合規管理指引對合規風險評估給予了一定程度的重視，并將其視為合規管理的基礎工作之一。例如，國務院國資委發布的《中央企業合規管理辦法》，將“合規管理”定義為企業以有效防控合規風險為目的的管理活動。根據這一辦法，企業應當建立合規風險識別評估預警機制，全面梳理經營管理中的合規風險，建立并定期更新合規風險數據庫，對風險發生的可能性、影響、潛在后果等進行分析，對典型的、普遍的或者可能產生嚴重后果的風險及時預警。國家發改委會同其他部門2018 年發布的《企業境外經營合規管理指引》也將合規風險識別、評估和處置視為合規管理的重要工作之一。根據這一指引，合規風險識別是指企業圍繞著關鍵崗位或核心業務流程，通過內部合規咨詢、審核、考核和違規查處等途徑，或者通過獲悉外部監管要求的變化，來識別合規風險。在識別合規風險的基礎上，企業可以通過分析違規原因、來源、發生的可能性、后果的嚴重性等進行合規風險評估，并根據企業的規模、目標、市場環境及風險狀況，來確定合規風險評估的標準和合規風險管理的優先等級。對于識別和評估的各類合規風險，企業應建立健全合規風險應對機制，采取必要的控制和處置措施。④參見陳瑞華：《企業合規基本理論》（第2 版），法律出版社2021 年版，第471 頁。另參見國務院國有資產管理委員會2022 年發布的《中央企業合規管理辦法》第20 條。

最高人民檢察院推動發布的《涉案企業合規建設、評估和審查辦法》將有效合規整改視為合規建設的目標。所謂有效合規整改，主要是指“能夠有效防止再次發生相同或者類似的違法犯罪行為”。為實現這一目標，第三方組織要重點審查涉案企業是否對涉案合規風險采取了“有效識別和控制”措施。涉案企業應在全面分析研判企業合規風險的基礎上，制定專項合規計劃和內部規章制度；應針對合規風險防控和合規管理機構履職的需要，通過制定合規管理規范、彌補監督管理漏洞等方式，建立健全合規管理機制。①參見最高人民檢察院涉案企業合規研究指導組：《涉案企業合規辦案手冊》，中國檢察出版社2022 年版，第85 頁。

以上文件普遍強調了“合規風險評估”或“風險識別”的重要性，并將其視為合規管理的重要工作。但迄今為止，有關合規風險防控的問題仍然被視為一種合規管理的制度要素，而沒有被上升為“有效合規基本原則”的高度。其實，從實現有效合規管理的角度出發，我們應在對“以管理為導向的合規模式”進行反思的基礎上，將“以風險為導向的原則”確立為合規管理的基本準則。

根據以風險為導向的原則，企業合規不應僅僅被定位為“遵從規則”，或者“依法依規經營”，而應被視為一種“以有效防控合規風險為目的”的公司治理活動。企業在經營過程中所要防控的“合規風險”，屬于與決策風險、經營風險和財務風險相提并論的戰略風險。這種戰略風險通常有行政處罰風險、刑事追究風險和國際金融制裁風險三種形式，但都具有“資格剝奪”這一附隨性后果。至于那種因違法違規所帶來的一般經濟損失、聲譽損失或其他更為輕緩的不利后果，則不應被視為企業所要防控的“合規風險”。所謂“資格剝奪”，主要是指企業被取消或暫停各種市場準入資格，如被暫停經營資格、暫停特許經營權、被取消經營資格、被吊銷經營許可證、被取消參與招投標資格、被取消貸款資格、被取消上市資格、被吊銷營業執照等。正是為了防止企業遭受這種由行政處罰、刑事追究或國際金融制裁所帶來的“資格剝奪”后果，才使得合規風險成為企業的戰略風險，也使得合規管理成為企業的一種戰略管理活動，成為當代企業所要解決的重大公司治理課題。

按照以風險為導向的原則，企業不應動輒從事那種寬泛無邊的合規義務梳理工作，而應將合規風險的評估作為合規管理的基礎工作。首先，根據有效合規管理的理念，企業應當進行科學的風險識別，區分“抽象性合規風險”和“具象性合規風險”，通過對具象合規風險的評估，找到那些現實的、迫在眉睫的并可能帶來重大損失的系統性合規風險來源，包括可能帶來重大損失的風險業務、風險人員和風險環節。其次，企業在發現“風險源”的前提下，應對這些風險爆發的可能性及其影響范圍、影響程度、潛在后果作出準確的分析。再次，在合規風險分析的基礎上，企業應對各種具體風險劃定風險等級并進行合規風險排序，以便采取差異化的合規管理措施。

根據以風險為導向的原則，企業應以某一具象合規風險為單元建立專項合規計劃。這種專項合規計劃要得到有效的實施，就需要同時具備兩個基本要素：一是基礎性合規管理平臺；二是專門性合規管理要素。前者是一種保證合規管理體系正常運轉的支柱性合規管理要素，可以包括企業的合規章程、合規領導機構、合規組織結構、合規風險防范體系（合規風險評估、盡職調查、合規培訓、合規承諾、內部溝通和宣傳）、合規風險監控體系（合規報告、合規舉報、合規調查、合規審計）以及合規風險應對體系（內部調查、違規懲戒、修復制度漏洞）等風險控制體系。后者則是一系列針對某一具體合規風險所確立的合規管理要素，包括專門性的合規準則、標準和流程，專門性的員工手冊，專門性的合規培訓和合規承諾，嵌入特定業務流程的專門性風險防控機制，等等。

根據以風險為導向的原則，無論是監管部門、司法機關或國際金融機構對涉案企業的合規整改情況進行評估驗收，還是企業開展自主性合規管理體系建設，都應將有效防控合規風險作為基本的衡量標準。對于涉案企業而言，有效防控合規風險主要是指“有效地預防相同或者相似違法犯罪行為再次發生”。而對于沒有涉案的企業而言，有效防控合規風險則是指有效地“預防違法違規行為的發生”“監控企業經營行為的合法性”，以及“對違規事件作出應對和補救”。對于涉案企業，監管部門、司法機關或國際金融機構唯有認為其合規整改達到上述標準的，才能通過寬大處理給予適當的合規激勵。而對于非涉案企業，唯有達到上述有效防控合規風險的目標，才能滿足相應的合規監管要求，被視為履行了合規管理義務。

三、相稱性原則

企業要建立有效的合規管理體系，需要防止陷入那種“一刀切的合規計劃”的陷阱。經驗表明，那種不考慮企業的規模、業務、行業和合規風險等因素，而動輒追求“大而全”或“標準化”合規管理的做法，一般難以達到有效防控合規風險的目標。因為這種合規計劃并不區分低風險領域與高風險領域，將有限的合規資源分散適用于所有領域和業務活動，無法實施與其交易規模和風險相稱的盡職調查，通常也無法管控那些高風險領域違法違規行為的發生。

要實現有效的合規管理，避免合規走向紙面化和形式化，就需要在合規管理體系建設中確立“相稱性原則”。根據這一原則，企業應當根據自身的規模、經營情況、業務類型、治理結構、企業文化、合規風險等情況，識別、評估和管理合規風險，并確立與合規風險相適應的合規管理體系。同時，監管部門、司法機關或國際金融機構在督導涉案企業開展合規整改過程中，也應根據這一原則，要求企業建立一種與實現有效合規目標相符合的合規管理體系，按照必要性原則投入人力物力等合規資源，并根據比例性原則建立合規風險的防控、監控和應對管理流程。

從實現有效合規目標的角度來看，相稱性原則有兩個方面的具體要求：一是“積極的相稱性原則”；二是“消極的相稱性原則”。前者是指企業在合規體系建設過程中，需要投入較為充足的資源，建立必要的合規管理制度，以滿足有效合規整改的基本要求，也就是有效地預防違法違規行為的發生，建立依法依規經營的企業文化。而所謂消極的相稱性原則，則要求企業所投入的資源和所建立的合規管理制度，要以有效的合規整改為限度，選擇那些給企業帶來最小負擔和代價的管理制度，并將其所投入的資源和所建立的制度與企業所要預防的合規風險相適應。一方面，企業的合規管理制度應遵循“必要性原則”，也就是在足以達到有效防控合規風險的前提下，盡量選擇那些對企業損害較小、負擔較輕或者懲罰后果較為輕緩的制度安排；另一方面，根據狹義的“成比例原則”，企業所建立的合規組織、所配備的合規管理人員、所設定的考察期限、所設定的合規監管人以及所投入的其他合規資源，應當與其規模、業務范圍、行業特點、涉罪輕重程度以及所面臨的合規風險相適應，或者成正比例關系。原則上，涉案企業規模越大，所面臨的合規風險等級越高，就應建立更為標準化的合規管理體系。相反，對規模較小、合規風險等級較低的企業，就不應提出過高的合規整改要求，避免使其承擔不成比例的合規負擔。否則，就構成一種“過度合規”，違背了相稱性原則的要求。①參見陳瑞華：《企業合規整改中的相稱性原則》，《比較法研究》2023 年第1 期。

相稱性原則已經得到諸多國家法律的確立，被視為有效合規管理的基本準則。例如，英國法律就將“相稱程序原則”確立為反腐敗合規“充分程序”的首要原則。根據這一原則，商業組織用來預防相關人員實施賄賂的程序，應當與其所面臨的賄賂風險以及該組織活動的性質、規模和復雜程度成正比例，它們應當是清晰的、實用的、易于獲取的和有效實施的。具體而言，商業組織以預防違法犯罪為目的所建立的合規計劃，需要采用以風險為基礎的方法（Risk-Based Approach），對企業內部進行整體上的風險評估，以便使合規程序與所面臨的合規風險相適應。與此同時，考慮到不同企業的業務性質、規模以及復雜程度都不一樣，所面臨的合規風險也不盡相同，因此企業在建立合規程序時，還應建立與上述因素相適應的合規管理制度。②參見張遠煌等：《企業合規全球考察》，北京大學出版社2021 年版，第95-96 頁。

又如，《法國反腐敗指南》將“相稱性原則”確立為企業反腐敗合規的核心理念。③參見陳瑞華：《法國反腐敗案件的有效合規標準》，“悄悄法律人”微信公眾號，2022 年6 月29 日發布。根據這一原則，企業應根據其所面臨的合規風險情況來建立反腐敗合規計劃。合規風險情況由不同的因素所決定，這些因素可以包括業務活動、產品或服務類型、治理結構、規模、業務部門、營業地點以及不同類型的第三方商業伙伴等。為體現相稱性原則的要求，企業高級管理層應當“根據企業的風險狀況投入適當的反腐敗資源，以便設計、實施和監督作為反腐敗計劃組成部分的措施和程序”。對于任何違反反腐敗指南或者被定性為腐敗的行為，高級管理層應對行為人實施適當的和成比例的制裁措施。

再如，美國監管部門和司法機關對涉案企業的合規整改也奉行了“相稱性原則”的要求。無論是美國司法部還是證交會，都要求企業根據自己的需求、風險和所面臨的挑戰來量身打造各自的合規計劃。一個行之有效的合規計劃，一定是經過合規風險評估，根據企業所面臨的不同等級的合規風險領域，投入與其相適應的合規管理資源，建立成比例的合規風險防范、監控和應對機制。

為貫徹相稱性原則，美國檢察官通常會根據企業的規模、結構和風險情況，來確認企業是否投入了足夠的合規人員和資源。在進行風險評估方面，檢察官鼓勵涉案企業投入更多精力和資源到較高風險領域，并隨著合規風險的增加，及時調整包括盡職調查和內部審計在內的合規程序。在是否指定合規監管人方面，檢察官要考慮企業是否建立合規計劃或者是否建立內部控制機制等情況。對于那些自愿披露違法行為、采取合作配合措施并承諾改革內控機制的涉案企業，檢察機關可以不任命合規監管人，而責令企業進行自我監管，定期提交合規報告。④參見陳瑞華：《有效合規的中國經驗》，北京大學出版社2023 年版，第290-297 頁。

我國檢察機關在開展涉案企業合規改革過程中，逐漸將“相稱性原則”確立為合規建設、評估和審查的基本原則。根據最高人民檢察院2022 年4 月19 日發布的《涉案企業合規建設、評估和審查辦法（試行）》（以下簡稱“合規辦法”），涉案企業應當以“全面合規為目標、專項合規為重點”，根據企業規模、業務范圍、行業特點等因素變化，逐步增設必要的專項合規計劃，推動全面合規。⑤參見最高人民檢察院涉案企業合規研究指導組：《涉案企業合規辦案手冊》，中國檢察出版社2022 年版，第85 頁。原則上，根據企業涉嫌犯罪的具體情況，檢察機關應督促其制定“專項合規計劃”，確保所進行的合規整改能夠有效地防止再次發生相同或者類似的違法犯罪行為。

其次，在合規資源投入上，檢察機關要求涉案企業應設置與企業類型、規模、業務范圍、行業特點等相適應的合規管理機構或者管理人員。根據企業的具體情況，在保證有效合規整改的前提下，涉案企業既可以專設合規管理機構和合規管理人員，也可以設置兼職合規管理人員，或者從外部聘請合規管理人員。

再次，第三方組織在制定合規評估工作方案時，要根據有效合規評估的要求，結合特定行業合規評估指標，制定符合涉案企業實際情況的“評估指標體系”。根據《合規辦法》的要求，評估指標的權重可以根據“涉案企業類型、規模、業務范圍、行業特點以及赦罪行為等因素”進行設置，并適當提高合規管理的“重點領域、薄弱環節和重要崗位等方面指標的權重”。

最后，針對小微企業在合規資源投入有限性等方面的特殊情況，《合規辦法》提出了一些有別于大中型涉案企業的簡易化的合規整改要求。例如，對于未啟動第三方機制的小微企業，檢察機關可以不再對第三方組織合規評估過程和結論進行審核，而直接對企業提交的合規計劃和整改報告進行審查。又如，對于小微企業合規計劃和整改報告的審查，無論是檢察機關還是第三方委員會，都應重點審查“合規承諾的履行”、“合規計劃的執行”和“合規整改的實效”等內容。

四、高層承諾原則

作為一種為防控企業戰略風險而建立的內控體系，合規管理體系經常面臨著被架空、被擱置的危險。一方面，企業即便設計出了貌似完備的合規計劃，但假如不改變內部的企業文化，允許各級管理層為追求經濟效益的最大化，明示或者暗示員工從事違法違規行為，或者縱容業務部門、子公司或第三方商業伙伴實施不法行為，那么，這種合規管理也注定是流于形式的。另一方面，假如企業的高級管理層不重視合規管理的有效執行問題，對于合規管理既不投入充足的人力物力資源，也不親自傳達合規經營的文化理念，那么面對業務部門的質疑，這種合規管理也經常會走向“邊緣化”的境地，而難以發揮有效管控合規風險的作用。

為避免上述問題的發生，企業在合規管理中需要確立“高層承諾原則”，并將此作為有效合規管理的制度保障。所謂“高層承諾原則”，主要是指企業的董事會、高級管理人員（簡稱為“高級管理層”）在有效合規治理方面發揮著領導、監督和推進的作用。那么，最高管理層的合規治理職能究竟體現在哪些方面呢？這直接涉及高層承諾原則的基本內涵和外延。要理解高層承諾原則，需要區分“合規治理”與“合規管理”，前者屬于企業高層作出承諾和擔當責任的領域，而后者則屬于合規部門的具體管理職能。高層承諾原則并不意味著企業高層承擔較為具體的合規管理事務，也不意味著高層要對合規管理事必躬親，而是強調高層將合規風險視為公司的戰略風險之一，與決策風險、經營風險和財務風險給予同等地充分重視，并將合規治理上升到公司戰略治理的高度。

一般而言，高層承諾原則包含著三個方面的基本含義：一是企業高級管理層應承擔著“搭建合規管理體系”的職責，包括推動建立一個有效運行的合規領導機構，以及推動合規管理體系的有效制定和持續改進；二是企業高層應在企業內部傳達合規文化，包括做出合規治理的承諾，向全體員工、股東、分支機構、商業伙伴傳達合規理念，分享合規知識，介紹合規管理體系的進展情況；三是企業最高層應承擔維護合規管理體系有效運行的職責。這主要包括：企業高層應為合規管理投入充足的人力物力資源；持續關注合規管理與業務活動的協調，確保業務得到切實的合規性審查；對于存在重大合規風險的業務或產品立項，給予果斷否決；對于實施違法違規行為的員工或管理人員，給予紀律懲戒；等等。①參見陳瑞華：《合規整改中的高層承諾原則》，《法律科學（西北政法大學學報）》2023 年第3 期。

作為一項旨在實現有效合規管理的基本準則，“高層承諾原則”在國際合規文件和各國法律中得到普遍確立。例如，2005 年4 月，巴塞爾銀行監管管理委員會發布的《合規與銀行內部合規部門》，強調合規應從銀行高層做起，唯有董事會和高級管理層作出表率，合規才最為有效；在最高層的領導監督下，銀行開展業務時應堅持較高合規標準，始終力求遵循法律的規定和精神。②參見陳瑞華：《企業合規基本理論》（第2 版），法律出版社2021 年版，第450 頁。

國際標準化組織發布的《合規管理體系——要求及使用指南》，強調組織領導層在推進合規方面的重要性，認為“組織合規的實現是由領導層運用核心價值觀以及普適的優秀治理方法，結合道德要求和社會準則共同形成的”。該文件高度重視組織的最高管理者在推進合規方面的“領導作用”，這主要體現在三個方面：一是發揮合規的領導作用并作出合規承諾；二是制定符合要求的合規方針；三是在組織內分配和溝通相關崗位的職責和權限。③參見最高人民檢察院涉案企業合規研究指導組：《涉案企業合規辦案手冊》，中國檢察出版社2022 年版，第408-411 頁。

根據美國司法部刑事部門發布的《公司合規計劃評價》,有效的合規計劃需要公司中高級管理層創造和培養合規文化。檢察官應審查公司高級管理層是否清楚地表達了公司的道德標準，準確無誤地進行了傳達，并且以身作則實施這些標準；檢察官也要審查公司中層在強調合規標準和鼓勵員工遵守標準方面的表現；檢察官在分析高層和中層的重視程度時，應審查中高層本身的行為，對合規的承諾以及如何有效地進行監督。④參見陳瑞華：《有效合規計劃的基本標準——美國司法部〈公司合規計劃評價〉簡介》，《中國律師》2019 年第9 期。

英國法律將“高層承諾原則”視為反腐敗合規“充分程序”的六項原則之一。根據這一原則，商業組織的高級管理人員（包括董事會、股東和其他同等機構或個人）應致力于預防關聯人員商業賄賂行為的發生，他們應在組織內部培養一種禁止商業賄賂的企業文化。⑤參見張遠煌等：《企業合規全球考察》，北京大學出版社2021 年版，第95-96 頁。隨后，英國相關監管部門對這一原則的適用作出了解釋。無論企業的規模、結構和市場情況如何，高層承諾原則都體現在兩個方面：一是高級管理層應傳達企業的反賄賂立場；二是高級管理層應參與預防賄賂的程序。⑥參見最高人民檢察院涉案企業合規研究指導組：《涉案企業合規辦案手冊》，中國檢察出版社2022 年版，第449 頁。

與英國相似，法國也高度重視反腐敗領域的合規監管，將“高級管理層的承諾”、“風險識別”和“風險管理”確立為有效預防腐敗的三個制度支柱。⑦參見陳瑞華：《法國反腐敗案件的有效合規標準》，“悄悄法律人”微信公眾號，2022 年6 月29 日發布。在反腐敗合規體系建設方面，企業高級管理人員在執行企業任務、展示能力和開展業務方面所作的反腐敗承諾，是任何反腐敗計劃的基礎。

這種承諾不僅體現在高級管理層在企業內部實施預防和發現腐敗行為的決心上面，還體現在反腐敗資源的適當分配上面。例如，高級管理層既可以親自負責反腐敗計劃的設計、實施和監督工作，也可以將這些工作委派給其他工作人員。后者必須直接向高級管理層進行報告；高級管理層應確保其下屬工作人員通過經驗或接受培訓獲得必要知識，享有為履行職責所需要的足夠權力和相關信息；高級管理層應對其反腐敗計劃的各項措施和程序的審計結果加以審查，以確保該計劃的正常運行；高級管理層應親自參與執行某些重要的反腐敗措施和程序；高級管理層應在企業內部并向第三方商業伙伴傳達其反腐敗計劃，強調自己對道德和誠信的堅定承諾；高級管理層應確保對那些違反行為準則或實施腐敗行為的人，作出適當和成比例的制裁；等等。①See AFA,“The French Anti-Corruption Agency Guidelines”，https://www.agence-francaise-anticorruption.gouv.fr,accessed by July 23,2022.

我國檢察機關在推進涉案企業合規改革過程中，也逐漸認識到高層承諾原則的重要性，并將這一原則貫徹到諸多制度的設計之中。②參見最高人民檢察院2022 年4 月發布的《涉案企業合規建設、評估和審查辦法（試行）》，第4 條、第6 條和第9 條。根據最高人民檢察院2022 年4 月發布的《合規辦法》，企業最高層在開展合規整改方面可以發揮以下主要作用：首先，“涉案企業一般應當建立合規建設領導小組，由其實際控制人、主要負責人和直接負責的主管人員等組成，必要時可以聘請外部專業機構或者專業人員參與或者協助。合規建設領導小組應當在全面分析研判企業合規風險的基礎上，研究制定專項合規計劃和內部規章制度”。這就以權威性文件的形式確立了企業最高層建立合規領導機構的制度設計。其次，“涉案企業實際控制人、主要負責人應當在專項合規計劃中作出合規承諾并明確宣示，合規是企業的優先價值，對違法違規行為采取零容忍的態度，確保合規融入企業的發展目標、發展戰略和管理體系”。這就確立了企業最高管理層在推進企業合規文化建設方面的責任，將預防違法違規行為作為企業合規管理的基本目標。再次，“涉案企業應當為合規管理制度機制的有效運行提供必要的人員、培訓、宣傳、場所、設備和經費等人力物力保障”“涉案企業應當建立合規績效評價機制，引入合規指標對企業主要負責人等進行考核”。這就對企業高層承擔在合規管理資源投入方面的責任確立了明確規范依據。

五、權威性原則

傳統上，企業法律事務部門也承擔著一定的合規管理職能。但是，這些部門和管理人員沒有被授予較大的權威，既不能對那些存在重大合規風險的業務活動提出否定意見，也無法對那些存在違法違規行為或不遵守合規管理制度的員工或管理人員展開調查，作出紀律處分。這就導致合規管理無論是對業務活動還是人事管理均缺乏足夠的約束力，在企業內部逐漸走向“邊緣化”的地位，難以發揮有效防控合規風險的作用。

為避免合規管理重蹈法律事務管理的“覆轍”，確保合規部門切實有效地履行合規風險管理的職能，企業應確保合規管理部門具有真正的權威性，在保證獨立履職的前提下，賦予其對業務和人員的合規管理職權，并投入與合規管理職能相稱的資源保障。對于這一合規管理理念，我們可以簡稱為“權威性原則”。

例如，根據國際標準組織《合規管理體系——要求及使用指南》（ISO37301）的要求，合規職能部門要有效地履行合規管理職責，就需要具備以下基本保障：可以直接接觸治理機構和最高管理層；保持獨立，不受組織架構或其他因素的影響，可以自由行動，不受垂直管理的干涉；保持權威性，可根據需要指導其他工作人員，應有“發言權”，可以主張并提出合規問題；有足夠的資源來支持組織履行合規管理職責。①參見最高人民檢察院涉案企業合規研究指導組：《涉案企業合規辦案手冊》，中國檢察出版社2022 年版，第429 頁。

巴塞爾銀行監督管理委員會發布的《合規與銀行內部合規部門》確立了十項合規管理“原則”，其中第五項和第六項原則就涉及合規部門的獨立性和資源配備問題。根據這兩項原則，合規部門在銀行內部享有正式地位；應由一名合規官全面協調銀行的合規風險管理工作；應避免合規管理職責與其他職責發生利益沖突。與此同時，合規部門為履行職責，可以獲取任何記錄或檔案材料，可以自行或委托外部專家進行內部調查，可以就調查情況直接向銀行最高管理層報告，也可以繞開通常報告路線，直接向董事會進行報告。不僅如此，為保證合規風險的有效管理，銀行應為合規部門提供充足和適當的資源保障，包括具有合規專業素質的合規人員，為合規人員提高專業技能而提供的教育培訓等。②參見陳瑞華：《企業合規基本理論》（第2 版），法律出版社2021 年，第451-252 頁。

我國行政監管部門在對企業開展合規管理指導時，也注意到保持合規部門獨立性的重要性，并將其確立為合規管理的基本原則。例如，國家發改委會同其他部門發布的《企業境外經營合規管理指引》明確將獨立性確立為合規管理的三大原則之一。根據這一原則，企業的合規管理應在制度設計、機構設置、崗位安排、回報途徑等方面保持獨立性，盡量避免利益沖突。③同注②，第467 頁。最高人民檢察院推動制定并發布的《涉案企業合規建設、評估和審查辦法》，強調涉案企業在開展合規考察工作時，應確保合規管理機構和管理人員獨立履行職責，對于涉及重大合規風險的決策具有充分發表意見并參與決策的權利，并應為合規管理機制的有效運行提供必要的人力物力保障。④同注①，第86 頁。

從實現合規管理目標的角度看，上述文件和規范所確立的相關原則各有不同的側重方面，而很少系統地確立合規部門在履行合規管理職責方面的權威性。其實，企業合規管理要發揮有效預防合規風險的作用，就需要貫徹“權威性原則”。這一原則可以有“獨立性”、“優先性”和“充足資源保障”三項基本要素。

首先，合規管理的獨立性，是指在遵循高層承諾原則的前提下，合規管理部門有權獨立自主地開展合規管理工作，不受業務部門或其他管理部門的干預或限制。一方面，合規管理的最高領導者應當具有獨立的地位，并具有公司高管的身份。無論是合規管理委員會負責人，還是首席合規官或總法律顧問，都不應被賦予與合規管理不相符合的決策、業務或財務管理工作，而應保持合規管理的獨立性。另一方面，企業應設置相對獨立的合規部門和專職合規團隊，使其專門從事合規管理工作，而不從事與合規管理不相符的業務管理工作。企業的合規管理應保持“自上而下”的領導體制，確保母公司與子公司、分公司、各部門或派出機構在合規管理上的“上令下從關系”，激活母公司合規部門對下級合規部門的“合規巡視機制”，實施下級合規部門向上級合規部門的“合規報告機制”。

其次，“合規優先性”，是指合規管理部門對于企業的決策過程、業務活動和管理流程發揮權威的影響和決定作用。具體而言，在決策環節，未經合規部門進行合規性審查，企業不得作出任何重大決策。在業務開展方面，對于那些存在系統性合規風險的業務活動或產品立項活動，合規管理部門有權提出異議，并可以繞開業務部門，直接報請最高層審核批準，對存在問題的業務或產品予以否決。而對于任何員工或高管存在違法違規行為的，合規部門有權啟動合規調查程序，對查證屬實的違法違規行為，可以報請高層作出紀律懲戒。

尤其是在懲戒違法違規人員方面，企業需要激活合規調查和合規舉報系統，建立合規稽查機制，由相關合規管理人員對違法違規事件開展及時的內部調查和反舞弊調查，一方面查明企業發生違法違規行為的事實，揭示發生這些違法違規事件的內生性結構原因，另一方面查明對違法違規事件負有直接責任的員工和高級管理人員，以便確定這些人員的責任，對其作出調離工作崗位、撤銷職務或送交司法機關處理的處理。

再次，一個有效的合規管理體系，應當確保企業的合規管理具有基本的資源保障。一方面，企業應確保合規管理人員具有與合規管理相適應的身份和地位，如：首席合規官應具有高級管理人員的身份，能夠參加包括董事會、監事會、高級執行團隊在內的最高層會議；分支機構的合規負責人應具有較高的地位，兼職合規官專員應具有分支機構或部門副職的地位；等等。另一方面，企業應當根據其規模、業務、產品以及合規風險情況，為合規管理投入必要的人力、物力和財力資源，尤其是設置專職的合規管理人員，包括適量的專門性合規管理人員、合規組織人員和合規調查人員，投入為開展合規管理所需要的經費預算。

六、業務流程滲透原則

合規作為一種風險防控體系，唯有與企業的業務經營活動相結合，才能有效地發揮預防、監控和應對合規風險的作用。但是，很多企業動輒采取“全面合規”的措施，簡單地將外部法律法規的要求轉化為“合規義務”，并據此開展所謂的“遵從法律法規的管理”，既沒有對企業業務經營中的具體合規風險作出科學的識別和評估，發現業務管理流程中的“風險點”，也沒有對這些具體合規風險設計出有針對性的業務風險管控手段，更沒有通過不斷檢查、監控和風險評估去發現新的制度漏洞和管理隱患，持續升級相應的內部監控水平。這種合規管理注定會走向“紙面合規”。

為避免上述問題的發生，企業的合規管理體系需要貫徹“業務流程滲透原則”。根據這一原則，企業合規管理不應站在業務流程之外，僅僅充當外部的監督者、審核者和否決者，而是應當嵌入“企業的全業務流程”之中，針對企業業務流程所存在的合規風險點，找到相應的合規管控點，實施有針對性的合規管控措施。

我國監管部門發布的一些合規管理指引，盡管對企業提出了將合規管理融入業務流程之中的要求，但這種要求還遠沒有上升到“合規管理基本原則”的高度。例如，國務院國資委2020 年發布的《中央企業合規管理辦法》明確確立了合規管理“全面覆蓋原則”，要求將合規要求嵌入經營管理各領域各環節，貫穿決策、執行、監督全過程，落實到各部門、各單位和全體員工。這顯然包含著“業務流程滲透”的基本理念。該辦法還要求中央企業將合規審查“作為必經程序嵌入經營管理流程”，重大決策事項的合規審查意見應由首席合規官簽字，對決策事項的合規性提出明確意見；業務部門、職能部門、合規管理部門定期對審查情況開展相關評估工作。①參見國務院國資委2022 年發布的《中央企業合規管理辦法》第5 條和第21 條。

一些因為涉及重大違規事件而被迫開展合規整改的企業，因為掌握了較為科學的合規管理方法，從實現有效合規管理的角度出發，開始進行將合規管理嵌入業務流程的制度探索，并取得了較為理想的效果。例如，中興通訊公司就確立了“風險-管控-流程-工具”的風險控制流程。該公司區分了“抽象性合規風險”和“具象性合規風險”，將前者定位為一種宏觀的、概括的、潛在的合規風險，將后者則界定為一種微觀的、純粹的、現實的合規風險。在識別和分析具象性合規風險的基礎上，該公司確定了各項業務流程中的關鍵控制點（KCP）。所謂關鍵控制點，是指那些“能夠預防和消除風險的影響或將其減少到可接受水平的控制措施”，如檢查、驗證、評審、審核、復核、決策、考核、預算、預警、分析、授權、盤點、不相容職務分離等措施。通常情況下，企業可以通過四個步驟來判斷某一風險控制點是否為關鍵控制點：一是該步驟是否有風險控制措施？二是該步驟是否有專門用于消除風險因素或能夠將風險因素降低至可接受風險水平的管控措施？三是判斷風險因素的影響是否超出可接受水平？四是判斷后續步驟是否可以消除或降低風險發生的影響？通過建立一個判斷控制點屬性的模型，企業可以判定風險控制點的類型，結合風險評估結果和業務類型來設定KCP，有效分配合規管理資源，增強風險管控能力。②參見中興通訊股份有限公司：《合規創造價值——中興通訊合規建設實踐》，法律出版社2023 年版，第14-34 頁。

中興通訊公司的合規管理經驗，其實就體現了一種將合規管理融入業務流程的基本思路，這一思路符合“業務流程滲透原則”的要求。為推廣該公司的合規管理經驗，我們可以對這一原則作出簡要的分析。

首先，在合規風險評估環節，企業應對業務流程存在的具象性合規風險作出全面準確的識別，找到存在重大現實風險的“合規風險源”，也就是具有發生違法違規行為重大可能性的業務領域、業務環節、業務崗位和業務人員。為準確地評估業務流程中存在的具象性合規風險，企業需要將業務流程中存在的風險源進行分解和標注，在此基礎上，對其爆發風險的可能性和影響后果作出分析，對其風險等級作出評定，對各種風險排出需要優先管理的次序。

其次，在合規風險管理環節，企業應針對業務流程的各個風險來源，分別引入差異化的合規管控措施，消除業務流程的風險隱患和管理漏洞。中興公司所提出的合規“關鍵控制點”的概念，對于企業開展合規風險管理具有普遍的借鑒意義。其精髓在于企業需要根據合規風險的具體內容，制定相應的風險管控方法，確立合理有效的合規管控落地方案，最終將合規管控要求嵌入業務流程之中，達到合規融入業務流程的效果。

再次，在合規管理組織方面，企業應對合規管理與業務管理進行深度融合，配備充足的“合規兼職人員”，將業務開展打造成合規風險防控的“第一道防線”。為確保合規與業務的深度融合，避免發生合規與業務“兩層皮”的現象，企業可以考慮在各業務管理部門設置合規聯絡人或合規兼職人員，由其負責按照專業合規團隊、所在單位的要求，負責合規規則、標準和指引的傳遞和有關合規管理任務的執行工作。對于沒有設置合規聯絡人的業務單位或子公司，也可以默認由該單位或子公司的總經理擔任合規聯絡人。與此同時，為激發業務部門參與合規管理的積極性，企業可以考慮確立合規風險防控“三道防線”的機制。其中，各業務單位可以作為合規管理的“第一責任人”，擔負起將合規管控措施加以落地的責任；合規管理部門作為第二道防線，通過制定合規規則和持續監督來識別和處理合規風險；合規稽查部門作為第三道防線，負責接收違規事件的舉報、違規事件的調查、違規人員的處分以及持續不斷的合規審計工作。上述三道防線相互聯系，共同發揮有效管控合規風險的作用。

七、可持續性原則

很多企業出于應付行政機關監管要求的考慮，或者出于應對行政機關或司法部門合規整改驗收的需要，在短時間內建立了一套合規管理體系。這種合規體系對于管控此前爆發的合規風險或許是有效的，也發揮了預防、監控和應對特定合規風險的作用。但是，隨著企業經營活動的開展和業務的變化，也隨著國家法律法規的更新，企業所面臨的合規風險也發生了程度不同的變化。假如企業不對合規風險進行持續的評估，不對原有合規體系的有效性作出及時的檢測和評估，或者不根據合規風險的變化情況來改進合規管理體系，那么，這種合規管理就有可能陷入“被動落伍”的窘境，難以發揮有效控制合規風險的作用。

為防止出現上述問題，企業的合規管理體系需要貫徹“可持續性原則”，也就是合規管理應針對外部法律法規的變化和企業合規風險的轉型作出持續不斷的調整和更新，以便可持續性地發揮防控合規風險的作用。

對于合規管理體系的持續更新問題，一些國際合規文件提出了明確的要求。例如，國際標準組織《合規管理體系——要求及使用指南》（ISO 37301）明確將可持續性作為合規管理的基本原則。根據這一指南，合規管理體系的有效性取決于它具有持續改進和發展的能力?？紤]到企業的環境和業務會隨著時間的推移而發生變化，客戶的情況以及所適用的合規義務也會出現改變，因此需要對合規風險進行持續和定期的重新評估，對合規管理體系進行不斷審查和改進，以確保其保持最新狀態并有助于合規目標的實現。必要時，企業可以對其合規文化展開重新調查和評價；對于所發生的不合規行為，企業應通過調查找到發生這種行為的原因，并據此對合規政策和程序作出更新。①參見最高人民檢察院涉案企業合規研究指導組：《涉案企業合規辦案手冊》，中國檢察出版社2022 年版，第441-442 頁。

一些國家發布的企業合規指南也提出了持續改進合規管理體系的要求。例如，英國反腐敗法律所確立的“充分程序六項原則”就明確包含了“監控和評估”的要求，要求商業組織采取監控和評估程序，確保合規計劃得到持續不斷的改進。為此，商業組織應建立內部和外部檢測機制，包括針對員工的調查、內部控制以及其他監控措施；商業組織還應建立合規風險定期報告制度，以確保商業組織最高層對合規計劃的有效性開展定期審查。②參見陳瑞華：《有效合規的中國經驗》，北京大學出版社2023 年版，第273 頁。

又如，美國司法部和證交會發布的反腐敗合規指南，也對企業提出了定期改進合規計劃的要求。該指南認為，有效的合規計劃建立在不斷改進的基礎上，隨著企業的業務、經營環境、客戶以及習慣法律或政策的變化，也隨著原有合規計劃不斷暴露出缺陷和不足，企業應定期審查和改進其合規計劃。對于那些及時改進和更新合規計劃的涉案企業，司法部和證交會會以此為依據作出寬大處理，或者采取其他獎勵措施。③同注②，第295 頁。

目前，我國行政機關發布的一些合規管理指引，也對企業提出了持續改進合規管理體系的要求，例如，國務院國資委發布的《中央企業合規管理辦法》要求中央企業應當定期梳理業務流程，查找合規風險點，將合規要求和防控措施嵌入流程，針對關鍵節點加強合規審查，強化過程管控。企業應加強對重點領域、關鍵節點的動態監測，實現合規風險的即時預警與快速處置。與此同時，中央企業還應當建立合規風險識別評級預警機制，建立并定期更新合規風險數據庫；定期開展合規管理體系有效性評價，針對重點業務合規情況開展專項評價，強化評價結果運用。④參見國務院國有資產管理委員會2022 年發布的《中央企業合規管理辦法》第20 條和第34 條。

考慮到合規管理體系剛剛被引入我國的行政監管機制和司法激勵體系，眾多企業的合規管理還處于初創階段，無論是監管部門還是司法機關，都很少明確提出持續更新合規管理體系的要求，更沒有將此作為有效合規計劃評價的重要標準。不過，從有效防控合規風險的角度考慮，企業在合規管理體系中需要確立可持續性原則，并將此作為建立、完善、評價合規管理體系有效性的基本原則。

首先，企業應根據內部和外部環境的變化，考慮到業務、客戶、產品和商業伙伴的變化情況，及時識別新的合規風險源，并針對這些風險適當調整和更新合規管理體系。具體而言，企業應定期開展合規風險評估活動，識別出新的風險業務流程、風險環節、風險崗位和風險人員，并通過對風險爆發可能性和影響力的分析，重新劃分風險等級并排列風險順序。

在風險評估方面，企業尤其需要對第三方商業伙伴和被并購企業進行持續不斷的合規管控。例如：企業在聘用第三方業務伙伴時，應進行盡職調查，并對盡職調查的情況作出記錄；應對第三方進行合規政策和程序的告知或者培訓，促使其作出合規承諾；應通過更新盡職調查、培訓、審計、年度合規認證等方式，對第三方進行持續不斷的合規監控。又如，在企業實施并購活動時，企業需要將其相關的合規準則、政策和程序盡快適用于被并購的企業。對于潛在的被并購企業，涉案企業應進行適當的盡職調查，并可以采取包括培訓、審計在內的其他合規管理措施。

其次，企業應及時更新合規義務庫，以便將相關法律法規的最新變化反映在企業相關合規政策、標準、管理規范、流程和員工手冊之中。企業合規包含著一種“外法內規化”的過程。對企業經營活動影響較大的“外法”，主要是行政監管法律、刑事法律和國際法律法規。在企業建立并運行一種合規管理體系之后，上述“外法”有可能不斷發生變化和更新。唯有將這些變化和更新及時吸收進“內規”之中，使之轉化為合規政策、員工手冊的內容，體現在合規培訓、合規承諾之中，使之成為全體員工和管理人員一體遵行的行為準則，才能發揮有效防控合規風險的作用。

再次，對合規計劃的有效性應采取定期檢查和測試措施。為應對不斷變化的法律要求、監管環境和合規風險，企業應對合規管理體系進行定期的審查和測試，以便評估和改善它們在發現和預防有關違法違規行為方面的有效性。根據這種合規測試的結果，企業應及時發現合規管理體系的不足和漏洞，采取有針對性的查缺補漏工作，對合規政策和程序作出必要的調整。

最后，違法違規事件發生后，企業此時采取應對和補救措施，應是更新合規管理體系的時機。對于違法違規事件，企業應進行必要的內部調查，在查明違規事實和查處責任人的基礎上，應當揭示違法違規行為發生的內生型結構原因，并采取有針對性的制度糾錯或補救措施，在此基礎上對合規管理體系作出改進和完善。這可以確保合規管理體系持續發揮有效預防合規風險的作用。

八、結語

企業合規管理盡管存在著事先合規與事后合規、自主性合規與合規整改等多種制度形式，但要實現有效防控合規風險的目標，就需要確立若干帶有通用性的基本準則，使之成為各種合規管理制度賴以確立的根據。與各種法律原則一樣，有效合規基本原則盡管也具有一定的抽象性，卻可以從長遠的角度影響著合規管理體系的建立、發展和完善。確立有效合規的基本原則，既要考慮有效合規的基本要求，為監管部門、司法機關開展合規評估驗收確立主要依據，也要從那些較為具體的管理制度中抽象出普遍適用性的理念，并針對一些無效合規或紙面合規的情形，確立最低限度的管理準則。

本文討論的六項基本原則從不同角度發揮著維護合規管理有效性的功能。其中，“風險導向原則”為企業建立有效合規管理機制確立了一種模式選擇，幫助企業放棄那種不切實際的“管理導向型合規模式”，而選擇一種建立在風險評估、風險管理和風險控制基礎上的內控體系?！跋喾Q性原則”要求企業建立一種與規模、業務、行業、合規風險相適應的風險控制體系，確保合規領導體制、組織體系、資源投入和管理流程等滿足有效預防違法違規行為的需要?！案邔映兄Z原則”強調企業高級管理層承擔起合規治理的責任，避免合規管理陷入“邊緣化”的命運，維護合規管理的有效運行。在高層承諾原則的保障下，“權威性原則”要求企業賦予合規管理相對獨立的地位，在合規性審查、違法業務否決和違規人員懲戒等方面具有權威性，并獲得較為充足的資源保障，這是一切合規管理有效運行的制度保障?！皹I務流程滲透原則”強調合規管理與業務流程的深度融合，實現對業務流程合規風險點的有效管控，這是避免合規脫離業務管理的制度保障。而“可持續性原則”，則重視合規管理體系的持續改進和更新，要求企業針對不斷變化的合規風險，以及外部法律法規和監管環境的改變，對合規管理體系作出相應調整，使之與時俱進地發揮預防系統性合規風險的作用。

上述六項有效合規基本原則，適用于所有企業搭建合規管理體系的場景，屬于指導企業運行有效合規管理體系的通用性準則。企業在不同的合規體系建設中，可能還要遵循一些差異化的基本原則。例如，企業開展自主性合規體系搭建，與涉案企業開展合規整改，可能要遵循不盡相同的方法和步驟，也需要奉行一些不同的準則。又如，企業在搭建不同的專項合規管理體系時，可能也會遵守不同的合規管理理念，如在搭建“反商業賄賂合規體系”“數據保護合規體系”“安全生產合規體系”“環境資源保護合規體系”“反洗錢合規體系”等不同體系時，可能會貫徹各不相同的管理理念。盡管如此，企業在開展上述合規管理活動中，要避免出現“紙面合規”、“形式化合規”或“無效合規”的情況，仍然要遵守一些最低限度的管理要求。本文所討論的六項基本原則，就為企業建立、運行、評估有效合規計劃，提供了最低限度的行為準則。