合规笔者理解为一个正式的程序（Programs），指帮助企业等组织预防和发现违规行为，并塑造合规的政策、程序、行动。合规程序（Compliance Programs）旨在防止违规，例如洗钱、贿赂和欺诈，该程序旨在为企业提供对合规风险源的综合回应。一个好的合规程序的范围，应该指向广泛，不仅仅是执行一套特定的法律规则。合规程序还应解决广泛的企业道德问题，以及有关声誉风险等其他准则。其中有一些职能重叠的问题，例如，合规可能与风险管理职能有很大重叠。

对于小微企业来说不一定要有正式的合规程序，也不必有正式的合规官，重要的是，企业必须遵守无论是正式还是非正式的合规程序，例如反贿赂，环保等要求，至关重要的是企业管理职能应与企业的合规程序整合运作。

三种最常见的企业合规程序的目标是：（1）防止违规。（2）建立可以监测异常行为的机制。（3）使企业行为符合合规义务。企业合规程序的有效性（基于以上3个目标）也与以下三个维度的合规相关联：

（1） 个体合规，指的是传统意义上的正直、诚实、适当的行为（根据企业的规范和规则“做正确的事”）及言行之间的一致性。因为企业是由愿意为该企业工作以换取薪酬、医疗、专业发展的员工等个体组成。企业内的个体可能有不同的目标，甚至与企业合规目标冲突。当个体在企业内的行为违反规章制度和监管规定时，个体就把自己和企业置于风险之中。有效的合规程序应通过调整企业、个体与监管机构、监管规定的目标一致性，减轻利益冲突。

（2） 企业合规，指的是一个企业根据其自身以及监管规则运作。企业应以倡导合规经营价值观为导向，企业领导层管理者的支持，明确合规管理工作内容，健全合规管理架构，制定合规管理制度，完善合规运行机制，加强合规风险识别、评估与处置，开展合规评审与改进，培育合规文化，形成重视合规经营的企业氛围，并塑造个体合规的良好环境，阐明企业道德界限，促进各级个体的合规性。企业应当明确合规管理责任，全面构建合规管理体系，树立依法合规、守法诚信的价值观，不断提升广大员工的合规意识和行为自觉，营造依规办事、按章操作的合规氛围，确保企业依法合规经营，有效防控合规风险。

（3） 合规环境，有效的企业合规程序还应该与监管机构和社会公众联动，整合企业合规方针政策和社会行动，旨在减少常见的违规活动，塑造良好的合规环境。

笔者结合以下文件，指导企业建立完整的CRI合规治理体系。

（1） 《GB/T 35770—2022/1S0 37301：2021 合规管理体系 要求及使用指南》

（2） 《中央企业合规管理办法》

（3） 《公司合规程序的评估方法》（Evaluation of Corporate Compliance Programs Updated March 2023）

（4） 《美国财政部外国资产控制办公室合规承诺框架》（A Framework for OFAC Compliance Commitments）

（5） 《刑事反垄断调查中公司合规程序的评估——美国司法部反垄断司》（Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations）

（6） 《银行的合规和合规职能——巴塞尔银行监管委员会》（Compliance and the compliance function in banks, April 2005）

（7） 《世界银行集团廉诚合规指南》（WORLD BANK GROUP INTEGRITY COMPLIANCE GUIDELINES）

（8） 《欧盟两用用途贸易管制内部合规程序指南》（COMMISSION RECOMMENDATION （EU） 2019/1318 of 30 July 2019 on internal compliance programmes for dual-use trade controls under Council Regulation （EC） No 428/2009）

（9） 《美国量刑委员会指南§8B2.1-有效的合规和道德计划》（USSC Guidelines Manual 2021 §8B2.1 - EFFECTIVE COMPLIANCE AND ETHICSPROGRAM）

（10） 《企业风险管理与战略和绩效相结合执行摘要——美国反虚假财务报告委员会下属发起委员会（COSO）》（Enterprise Risk Management Integrating with Strategy and Performance Executive Summar）

（11） 《内部控制综合框架执行摘要——美国反虚假财务报告委员会下属发起委员会（COSO）》（Internal Control-Integrated Framework Executive Summary）

（12） 《监控和指导有效公司合规程序的最佳实践指南——亚太经合组织反腐败行为和透明工作组》（Guidebook on Best Practices in Monitoring and Supervising Effective Corporate Compliance Programs, APEC Anti-Corruption and Transparency Working Group, February 2020）

（13） 《OECD内部控制、道德规范和合规良好实践指南》（Good Practice Guidance on Internal Controls, Ethics, and Compliance, OECD, Adopted 18 February 2010）

（14） 英国《反贿赂法2010指南——关于相关商业组织可以实施的程序，以防止与他们有关的人贿赂（2010年贿赂法第9条）》（Guidance about procedures which relevant commercial organizations can put into place to prevent persons associated with them from bribing （section 9 of the Bribery Act 2010））

（15） 《企业反腐败行为道德和合规程序实务指南——联合国毒品和犯罪问题办公室》（An Anti-Corruption Ethics and Compliance Programme for Business A Practical Guide, UNODC）

（16） 《两用物项出口管制内部合规指南——中华人民共和国商务部》

（17） 《有效自愿的企业合规程序的一般要素——亚太经济合作组织》（APEC General Elements of Effective Voluntary Corporate Compliance Programs）

（18） 《<反腐败行为伙伴倡议全球反腐败行为原则>附件一：合规指南;附件二：透明国际反贿赂检查清单——世界经济论坛》（partnering Against Corruption Initiative Global Principles for Countering Corruption Annex I：Guidance on Compliance Annex II：TI ABC anti-bribery checklist：aligned to the Business Principles for Countering Bribery , World Economic Forum）

（19） 《反垄断合规工具包——国际商会（2013）》（ICC Antitrust Compliance Toolkit）等

企业应坚持将合规要求覆盖各业务领域、各部门、各级子企业和分支机构、全体员工，贯穿决策、执行、监督全流程。

（一） 强化责任。把加强合规管理作为企业主要负责人履行推进法治建设第一责任人职责的重要内容。建立全员合规责任制，明确管理人员和各岗位员工的合规责任并督促有效落实。

（二） 协同联动。推动合规管理与法律风险防范、纪检监察、审计、内部控制、风险管理等工作相统筹、相衔接，确保合规管理体系有效运行。

（三） 客观独立。严格依照法律法规等规定对企业和员工行为进行客观评价和处理。合规管理部门独立履行职责，不受其他部门和人员的干涉。企业合规管理应从制度设计、机构设置、岗位安排以及汇报路径等方面保证独立性。合规管理机构及人员承担的其他职责不应与合规职责产生利益冲突。

（四） 适用性原则。企业合规管理应从经营范围、组织结构和业务规模等实际出发，兼顾成本与效率，强化合规管理制度的可操作性，提高合规管理的有效性。同时，企业应随着内外部环境的变化持续调整和改进合规管理体系。

（五） 以企业价值观为导向。将合规理念纳入企业价值观体系，充分体现企业使命和担当，并以价值观作为衡量合规管理最终标准。

（六） 风险穿透。要牢固树立合规“零容忍”理念，坚持风险穿透原则，避免“纸面合规”掩盖实质违规。

（七） 有效落地。合规体系要加强与业务、管理活动融合，将合规要求有效嵌入企业章程、法人治理、管理制度、业务流程，保证合规有效落地。

CRI的实现要搭建企业整体合规架构，并加上深入的专项合规，再加企业个性化合规需求，形成1+N+个性化的关系。“1”指整体合规架构，包括组织结构、制度、机制、文化等建设。CRI需要识别企业的合规义务、合规风险，制定合规审查等制度机制，将业务、合规、数字化三位一体化建设，针对合规风险改进合规管理流程，最后达到有效应对和管控合规风险的目的。“N”指深入细致的专项合规，包括廉洁、反洗钱、出口管制、贸易制裁、数据、知识产权等合规。个性化是指企业具体需要重点治理的个性合规问题。

综上，根据CRI思想，笔者提出合规9要素，并接下来详细探讨各要素实现方法。

合规9要素分别为：合规方针政策、环境识别、领导层承诺、合规义务、合规风险、合规计划、合规组织结构、合规内部控制、合规文化。

合规9要素与传统管理体系关系如下图。