第2节
合规体系构建

1.1.3什么样的企业需要做合规体系建设

合规管理与业务管理、财务管理并称为现代企业管理的三大支柱，在这之中，合规管理常常容易受到忽视。造成这种现象的主要原因，是合规管理所影响的并非企业眼前的利益和短期的目标，有些企业家甚至奉行“野蛮生长”的思想，崇尚不择手段达成企业业绩增长的目标，认为合规管理会影响其业务进展。

诚然，合规管理并不能在短时间内为企业带来利益，有些时候还会抑制业务的发展，在短期内有可能导致企业业绩的下滑。但合规管理保护的是企业的底线与生命线，在企业运行当中的作用并不是只靠业绩去衡量的。

不能否认的是，建设合规体系，做好合规管理，是一件费时费力的事情，或许并非所有的企业都适合建设合规体系。笔者接下来将从三个不同维度，讨论什么样的企业最适合建立合规体系，完善合规管理。

一、企业的发展阶段

根据企业的发展阶段，可以将企业划分为创业阶段的小微企业、快速发展的中型企业、集团化的大型企业及上市公司。

1.创业阶段的小微企业

对于创业阶段的小微企业来说，企业的目标就是生存，企业的管理、制度、流程等建设还并不明确。在这个阶段，企业的一切工作都是围绕如何“活下来”进行的。

在这个阶段，企业更像是一个志同道合的工作小组，将更多的精力投入到业务拓展上，挺过创业的艰难时期更为重要。企业的工作重点就是在创始人的带领下，在法律允许的范围内，尽可能地扩大企业的业务规模。

事实上，大部分企业都很难挺过这个时期，此时的企业脆弱且幼小，通常面临经济困难和人员不足的双重压力，既不存在合规体系建设的条件，也无合规体系建设的必要。因此在这个阶段，做到遵纪守法即可，无须考虑建设企业合规体系的问题。

2.快速发展的中型企业

当企业度过了艰难的初创期，随着人员、业务规模、利润的增长，逐渐确立了企业的经营方向，形成了基本的组织架构，确立了初步的内部规则，便进入了中型企业的行列。

在这个阶段，企业的规模仍然不大，如果有一个或数个有能力的创始人、高管，仍然可以将企业的运行控制在良好的状态下。此时的企业管理颇有些个人英雄主义，考验的主要是创始人、高管的能力和领导力。

如果创始人满足于现状，只打算维持公司在这个规模的正常运作，那么确实不需要建立太复杂的合规体系。此时企业的风险主要在于创始人的决策失误或违法犯罪，与其建立一套合规体系，倒不如根据行业管理模式的特点，进行企业合规专项管理。例如数据合规之于互联网公司，劳动用工合规之于劳动密集型企业，商标、专利、著作权等知识产权合规之于技术开发类企业，等等。

3.集团化的大型企业

如果企业的创始人有志于将企业做大做强，达到集团化的大型企业的规模，那么在公司内部建立一套完善的合规体系，做好合规管理，就变得至关重要了。

在这个阶段，经过前期的成长积累，无论是公司的人员规模，还是业务规模，都已经超出了创始人所能掌握的极限，靠几个人就能控制公司事务的时候早已一去不复返了，公司管理会逐渐由“人治”转向“法治”，也就亟需一套配套的管理体系。

合规体系建设之于公司管理，是一种必要的奢侈品，乍听起来，必要和奢侈品之间似乎有些矛盾。

之所以说合规体系建设是一种必要的奢侈品，第一点在于，只有企业发展到一定的规模，具备了相应的实力，才有承担合规体系建设的能力，所以我们称合规体系建设为企业的“奢侈品”。

第二点在于，当公司迈入大型企业这个阶段，公司的主要矛盾已经从“如何活下去”变成了“如何活得好，活得稳”，合规体系建设正是解决企业“如何活得好，活得稳”的钥匙之一，这自然成为企业建设合规体系的动力，所以我们说合规体系建设对于大型企业来说是“必要的”。

大型企业是企业合规风险高发区，由于内部管理结构复杂，上下级之间沟通存在隔阂，因此由于合规管理失误造成企业巨额亏损的案例比比皆是，甚至造成公司倒闭，让公司创始人的多年心血毁于一旦。

集团化的大型企业往往拥有复杂的组织形式，分支机构、关联企业、子公司、分公司数量众多，这就要求其拥有与体量相匹配的抗风险能力。因此我们认为，无论是什么行业、什么业务的大型企业，都需要建立集团化的合规体系。

4.上市公司

对于选择在证券交易所上市的公司来说，所要面对的合规问题会更加多元。

上市公司向社会公众发行股票或债券，所涉及的不仅仅是股东的利益，还有社会公众的利益，因此要受到来自证监会、当地政府和交易所的三重监督。

上市公司还有定期披露公司信息的义务，公司的运营情况会显著影响公众对公司的评价，一旦发生合规问题，很有可能造成社会对公司的评价下降，进而带来股价的下跌，为公司造成巨大损失，严重的甚至有退市的风险。

因此上市公司不仅需要合规体系建设，还要根据上市公司的监管特点和行业特点，做有突出重点的合规管理。

二、企业的所有制形式和出资来源

根据企业的所有制形式及出资来源的不同，一般将企业划分为国有企业（包括全民所有制企业及依据公司法成立的国有独资企业、国有控股企业等）、集体所有制企业、混合所有制企业、民营企业、外商投资企业等。本文仅以国有企业、民营企业、外商投资企业为例展开阐述。

1.国有企业

国有企业是由国家资本投资或实际控股的企业。国有企业是我国国民经济的支柱和主导力量。可能有人会疑问，国有企业管理正规，又同时接受国有资产监督部门和政府审计的监管，是否国有企业发生合规风险的概率较低呢？

这个问题的答案明显是否定的。国有企业具有一定的行政性，拥有流程正规，对违法行为的敏感性强，企业策略布局稳定保守等优势。但凡事都有两面性，行政性所带来的一个风险就是公司内部容易出现“一言堂”，即高级管理人员独断专行的情形。

2004年，曾经是中国企业“走出去”的典范的某油（新加坡）公司被爆出巨额亏损5.5亿美元，向法院申请破产保护。某油（新加坡）曾经是许多专家预测的未来最为成功、盈利最高的海外上市国企，造成某油（新加坡）如此亏损的主要原因就是企业的管理人陈某合规风险意识的淡薄。

陈某早期为某油（新加坡）立下了汗马功劳，将公司扭亏为盈，最后在新加坡成功上市，一度被业界捧为神话，之后公司在新加坡的事务由陈某一人把持。公司《风险管理手册》明确规定，损失超过500万美元就要上报集团公司董事会，但大权在握的陈某从来不报，风险防范机制基本等于崩溃，最后由于陈某孤注一掷的期货投机失败而发生5.5亿美元的巨额亏损。

合规体系建设与合规管理虽然不是企业的最终目标，但是合规管理能力决定了企业是脱颖而出还是被淘汰出局，在某油（新加坡）事件中，我们看到正是合规管理作用缺失才最终酿成巨额亏损的苦果。

2.民营企业

在三种不同经济类型的企业里，民营企业的合规管理是最薄弱的，相比于国企的层级分明、外企的成熟制度，民营企业的管理风格比较灵活。

一方面，这给了民营企业更高的效率，是民营企业的活力所在；另一方面，这也导致了民营企业忽视合规管理，容易产生合规风险的问题。

民营企业建设合规管理体系，强化合规管理，是基于市场竞争的需要。民营企业设立的主要目的就是盈利，企业想要在市场中叱咤风云，就要遵守市场的管理秩序，否则就会受到来自政府的处罚或是其他市场主体的起诉，使得企业利益受到损失。

从民营企业的经营目的出发，为了更好地经营，赚取更多的利润，民营企业建立合规体系建设，加强合规管理是非常有必要的。

3.外商投资企业

外商投资企业，是指全部或者部分由外国投资者投资，依照中国法律在中国境内经登记注册设立的企业。

虽然外商投资企业在海外已经拥有了很完善的合规制度，但是跨境运作，在经营中难免面临许多新的问题，比如不熟悉中国法律法规，对政策风险的把控不敏感，难以发现派驻人员的违法违规行为等。

外商投资企业的特点在于，所要规避的合规风险除了内部控制之外，更要重视来自外部的反垄断、反不正当竞争调查、反腐败、反商业贿赂调查等。

中国市场监督管理部门对在华外企的合法监管为外商投资企业敲响了警钟，建设一套涵盖内部控制与外部风险预防的合规体系，规避由于不当市场行为带来的计划外损失，是外商投资企业在中国市场长期稳定经营的应有之义。

三、企业的业务类型

企业的业务类型种类繁多，本文仅选取常见的生产制造业、服务业、互联网新业态、跨境业务四个方面进行分析。

1.生产制造业

在日常的生产制造中，不可避免要用到许多专业技术，会涉及技术、专利的自主研发，也因此产生了很多知识产权方面的纠纷。

在最高法发布的指导案例中，有关专利侵权的案例就有5个，一旦出现知识产权合规风险，不仅业务拓展受阻，还要支付巨额赔偿金，对企业的经营是相当沉重的打击。

另外，在企业的生产制造中难免会产生对环境的影响，这也是企业被行政处罚的重灾区。

据不完全统计，2018年，有40多家公司因环保问题遭到环保部门的处罚，环保指标已经成为公司经营状况的重要因素。

因此，对于传统的制造业，需要重点关注知识产权合规和环境合规两个方面，加大相关投入，筑造企业的护城河。

2.服务业

服务业的种类多样，根据服务业的类型不同，需要重点管理的合规事项也有所不同。

对于提供高端专业服务的行业，比如金融、法律、审计服务，由于服务人员的行为属于职务行为，在服务过程中由于过失造成客户损失的，需要由企业承担赔偿责任。

这类企业员工经手的业务标的额往往较大，一旦发生损失，可能会为公司带来难以承受的损失，因此企业需要加强员工执业合规，重点防范由于员工违规操作所产生的风险。

对于劳动密集型的服务业，比如餐饮、家政、医疗、快递行业，需要重点加强劳动用工合规管理。

劳动密集型企业经常会因为劳资问题陷入讼累，产生这些诉讼的原因主要是企业内部人事管理失当。一旦发生劳资纠纷，企业往往很难胜诉。

所以避免劳动用工风险的最佳方式就是通过合规管理从源头进行控制，充分的劳动用工合规管理可以大大降低发生劳资问题的可能。

3.互联网新业态业务

每一次社会进步都会带来新的法律问题，进入互联网时代，企业的业务模式也出现了许多“新物种”，比如网上支付行业，外卖行业，网约车行业，直播行业等。互联网新业态业务所面临的三大合规问题是反垄断、数据安全和用工模式。

2020年，市场监管总局以涉嫌滥用市场支配地位对阿里巴巴集团控股有限公司进行了反垄断调查，最终认定阿里巴巴集团构成垄断，处以了182.28亿元人民币的行政处罚。

由于互联网公司所耕耘的业务领域往往比较新颖，所以很容易形成行业巨头公司，比如互联网公司三巨头BAT（百度、阿里巴巴、腾讯），互联网三大创业公司TMD（今日头条、美团、滴滴），这些巨头公司往往在所处行业内拥有绝对优势的地位，因此也很容易被判定为存在垄断行为。

一旦被认定为垄断，企业无疑会受到沉重的打击，防范垄断风险不能指望被调查时临时抱佛脚，而是要加强日常业务的规范性，避免企业存在垄断行为。从这个角度出发，互联网巨头亟须加强垄断合规的管理，建立垄断合规体系。

互联网企业在运营的过程中会获得大量用户信息，包括用户的身份信息及行动信息等，这使得一旦发生信息泄露，就会发生严重的后果。所以互联网企业也面临着严峻的数据安全风险。

“某滴出行”APP因为涉嫌违法违规收集用户个人信息被调查，国家网络安全审查办公室发布公告称，对“某滴出行”实施网络安全审查，审查期间停止新用户注册。随后，网络安全审查办公室又启动了对“运某满”“货某帮”“某直聘”三家公司的网络安全审查。

数据作为互联网世界中一项非常重要的战略性资源，对国家的安全与发展起着举足轻重的作用，国家对于企业数据合规的要求也是越发严格，2021年6月10日，《中华人民共和国数据安全法》由全国人大常委会表决通过，于该年9月1日起施行，这也体现了国家对于企业数据安全管控的决心。

对于掌握着诸多数据信息的互联网企业来说，应当构建数据安全合规体系，严防数据泄露，避免在信息时代的发展中处于被动的地位。

此外，互联网企业新的业务形式带来了新的用工模式，由于立法具有滞后性，使得法律对这些全新的业态并没有针对性的规定，在目前的司法实践中，处理这些法律问题的依据主要是法律的宽泛性规定及立法精神。

这就导致了在互联网用工纠纷中，对于法律如何适用缺乏明确的标准，比如外卖骑手发生事故造成他人受伤，外卖骑手与平台、站点之间是什么关系？送餐行为是否属于职务行为？事故责任由谁承担？这些问题从目前的司法实例来看，并没有一个标准的答案。

在法律标准缺失的情况下，企业内部自己制定相应的规则，规避纠纷发生时的风险，就显得颇为重要。

4.跨境业务

随着中国改革开放的深入，科学技术的发展，中国有能力、有意愿做跨境业务的公司越来越多。跨境业务为企业带来新的利润的同时，也对企业的合规能力提出了新的挑战。

企业面对国家力量的制裁，往往无力反抗，但这并不代表企业就毫无应对措施。企业可以通过建设合规体系的方法，尽可能地降低企业触犯外国法律的次数和程度。

2018年，国家发改委、外交部、商务部等七部门联合发布了关于印发《企业境外经营合规管理指引》的通知，明确指出合规是企业“走出去”行稳致远的前提，合规管理能力是企业国际竞争力的重要方面。建设完善的合规体系，提高企业的抗风险能力，对有志于深耕跨境业务的企业大有裨益。

1.1.4编制企业合规建设方案的18条建议

企业进行合规建设，必须先行制订一个规划合理、点面兼具的建设方案。编制合规体系建设方案，是企业进行合规建设的前奏，更是一个从无到有的阶梯搭建过程。结合笔者参与众多企业合规体系建设的实践经验，本文从方案编制角度提出如下18条操作建议：

1.围绕原则主旨，定好方案基调

在进行合规管理体系建设方案编制前，需要根据国家及企业所在省、自治区、直辖市有关合规管理政策或企业合规管理指引文件（如《中央企业合规管理指引（试行）》《中央企业合规管理办法》及各省级国资委发布的企业合规管理相关文件）的逻辑和核心内容深入理解和正确认识，结合企业当前亟须合规管理的重点领域、重点环节、重点人员等，为建设方案明确整体基调。

2.明确指导方针，依照指导要求

企业合规管理体系建设必须在一定的指导方针基础上进行，所以在编制方案时也应在此基础上进行设计，保证建立的体系适合于企业的目的，与企业战略保持一致，保证为合规管理体系建设提供基础架构支持，保证适用要求的承诺得到明确的落实，保证有持续改进合规管理体系的空间。由此形成的方案才能为企业合规创造真实有效的价值。

3.明确建设范围，设定方案边界

编制企业合规管理体系建设方案，首先要划定建设范围。这是决定向合规管理体系建设工作投入相关资源的前提。相关资源包括人力资源、财务资源、外部专家资源以及组织文化资源。判断是大合规体系还是某一项或某几项的体系，选择在哪些领域开展合规等，可参考合规风险发生的可能性、过往案例等因素决定。

4.调研内部环境，进行新旧区分

调研合规管理企业内部情况，是启动合规管理体系搭建的前期必备工作。由于国企建立合规体系时往往已有一定基础，国有企业，包括中央企业，大多数在内部已建立了类似的管控机制。如内部控制体系、全面风险管理体系、法律风险管理机制等。如需编制合规管理体系新建方案，则在内部环境调研时要注意对旧有的管理体系进行区分。

5.关注外部力量，重视驱动因素

编制建设方案需要关注来自企业外部的力量。企业建立合规管理体系的驱动因素一般是多个的，其中之一便是来自监管部门的要求。监管部门会提出一些指导意见，这些指导意见必须贯彻到合规管理体系的建设方案之中。此外，在制订建设方案过程中，还应关注与企业具有业务关系、合作关系的上下游企业如供应商、代理商、经销商、合作伙伴等的合规管理状况及其当前的合规风险状况。

6.扫描风险敞口，规划方案体系

合规管理体系的目的在于进行合规风险管理，因此在编制建设方案时需要考虑企业内的业务发展与风险管控的关系。从一定意义上看，方案编制过程，实际上也是对企业合规风险点的梳理过程。在企业目前整体战略中，风险体系目前处于何种位置，即风险文化是怎么样的，是准备工作需要给出的结论。

7.确立建设目标，明确方案走向

合规管理是企业走向规范经营的系统化过程，而建设方案中的目标则相当于整个系统的“基层控制中心”。通过分析当前已公布的诸多合规管理政策文件，我们也可以窥见其对于合规建设目标的叙述总是高居文首，其重要性自是不言而喻。目标设定有政策层面的明确导向，但是也不宜千篇一律，要根据对于上述问题的调研，及对于企业能力的分析，做到“高而不危，满而不溢”。

8.找准编制抓手，明确方案重心

根据企业管理现状和业务情况，找到推动本企业合规体系建设的适宜抓手，以两到三个工作抓手来通贯建设方案，以点连线，以线代面。这样的抓手包括但不限于合规风险库、合规联络员（有的企业也叫“合规管理员”“合规大使”等）制度、合规审查机制、合规检查机制、合规文化塑造等，形成建设方案的“血肉”，促进系统的“运算核心”构成。

9.设计组织架构，关注职责人员

合规管理体系架构包含合规管理过程中涉及的合规管理组织架构及其涉及的人力资源安排。因此在编制建设方案中必须对人员问题进行考量。大多数情况下，新建合规管理体系的国有企业已有履行合规职责的人员，但这些人员往往是兼职的，合规管理体系架构优化建设首先是需要将企业内负责合规职责的人员或部门用书面形式固定下来，并将其与其他人员和部门尽量分开，保持合规独立性。

10.考察管理体系，完善职责划分

企业管理制度体系的建设方案必须实现对企业管理体系结构组成情况的考察，尤其要对职责划分等活动进行分析，使企业管控策略的建设方案能够为高质量管理策略的优化提供足够完整的支持，并从人力资源管理、财务管理等多方面出发，实现对企业管理制度相关信息的创新性应用，更好实现企业管理体系建设工作的优化创新。

11.拟定合规制度，充实方案内容

合规体系是一种管控型管理体系，必须依赖于企业内的规章制度才能得以落地实施。在建设方案的内容中，合规管理制度体系是最为关键的子体系，也是合规管理工作中最为“有形化”的部分，是整个系统的“行为中心”。合规制度包括合规管理的一般性规定，即合规管理办法或合规管理实施细则等，也包括为推动合规运行的专项规定，这些用于专项合规管控的制度，与专项的合规管理指引可以合并，也可以单独制定。

12.流程删繁就简，分类分层理顺

流程建设是针对某种特定目标系统所具有的体系性的、普遍性的问题而提供的通用解决方案，其往往是对复杂系统的一种共性的体系抽象，架构让我们能够正确、合理地理解、设计和构建复杂的系统。从本质上看，流程规划是从复杂的系统中抽取出共性，从而达到化繁为简的效果，这也是系统的高阶解决方案的展现。在建设方案中对于流程方面的规划重点在于简单化、责任化、全员化及持续化，满足战略落地要求，同时需兼备全局视角。

13.设定清晰步骤，明确方案节点

建设方案中的步骤编写是系统中的“传感部分”，将接收到的信息，如前述的原则、要求等，进行转化，成为可被企业直接操作的实际信号。因此在建设方案中，该部分应该做到对前述内容的梳理整合，并进行拆解细化。对于步骤的设定一定程度上凸显建设方案的初衷，良好的步骤也将大大提高体系建设的效率。

14.结合企业实际，保障实施落实

建设方案是推动合规体系搭建工作的指导大纲，应力争做到符合企业战略，适应公司现有管理模式及管理能力，与企业业务发展走向契合，否则可能造成业务主体与合规管理“两张皮”，建设方案终难实施。实践中，一些企业之所以认为合规建设没什么用，不过是“纸面合规”“花架子”，很大程度上是因为只顾完成“任务”，而忘记了“任务”的真正作用在于施行。因此，唯有从企业实际情况出发的建设方案，才可能确保它从“纸上”走到“纸下”，从而获得“生命”。

15.关注最新政策，确定有力支撑

编制合规管理体系建设方案，需要加强对最新法律政策、合规管理相关文件等应用情况的关注，尤其要对法律空白领域给予足够的关注。从构建企业市场信誉的高度，定位合规管理工作，从而使合规管理体系建设方案可以在实施过程中获得强有力的依据支撑。同时，正确理解和运用最新的合规相关法律政策文件精神，还可以为合规建设方案的权威性、稳定性和长期性提供有力的依据支持。

16.加强价值分析，寻求理论支持

在编制合规管理体系建设方案过程中，一定要加强对合规管理措施和价值的分析。结合高质量发展战略的实际需要，制定合规管理体系的具体建设方案，使合规管理相关措施，不仅在实施过程中获得广泛的认可度，而且可以在理论层面得到更高水平的价值认定，从而保障合规制度获得长远的价值力和生命力，进而获得足够的重视，充分保障其稳定性和权威性。

17.组织协调资源，广泛听取意见

由于合规建设关系到企业合规管理的顶层设计和基层实施，不仅影响到企业经营管理的具体业务活动，而且涉及从最高领导到基层员工的岗位职责和职权利益，为了最大限度体现各方意志，从而在实施过程中赢得广泛支持和响应，在方案编制过程中，在多方调度有关部门、人员相关资源基础上，加强互动参与，广泛听取各部门及相关人员的意见和建议，为方案有效实施奠定良好基础。

18.树立长远眼光，关注长期发展

企业合规建设非一朝一夕完成，更不仅仅是为了解决企业当前面临和遇到的具体难题和困难，而是通过一套行之有效的合规管理体系，促进企业长期高质量发展。因此，编制合规管理体系建设方案，目光不应囿于企业当前的管理现实，而应结合企业的战略规划和长远发展计划，从长计议，在适当对短期利益、具体问题提出应对方案的基础上，重点从长远角度，为企业长期合规管理发展和合规体系构建提供创新建议和有力帮助。

1.1.5企业合规管理体系如何有效落地

“徒善不足以为政，徒法不足以自行”，合规管理体系如何落地，已经建立的体系如何有效运作，已成为包括央企在内的优秀中国企业共同的困惑。本文结合循环式品质管理流程（PDCA），探究合规管理体系的有效落地机制。

一、合规管理体系运行现状

在企业这一人类社会的制度构造体中，合规管理体系是全面护卫构造体安全的网络系统。为确保这一网络能够有效地发挥作用，其结构应当具有以下四个基本特征：

第一，这一网络的中枢是合规领导机构，它包括企业的最高领导机构，也包括专门的合规管理领导机构，两者共同承担企业合规管理的领导责任。

第二，企业的最高领导机构基于其合规管理职责，应要求企业各内设机构、各岗位以及全体员工都要履行合规责任，牢固树立合规意识，合规管理体系的结构必须保证合规责任在企业内部实现全覆盖。

第三，企业的专业合规领导机构应当建立覆盖企业的合规组织网络，这一组织内的人员配备侧重于履行合规性审查和监督职能，与业务及管理岗位的人员形成合作关系，共同加强风险防范。

第四，在合规风险防范过程中，比照人体免疫系统，应当形成识别、监测、清除、整改、完善的层次分明、持续精进的结构脉络。

对照人体免疫系统的功能定位，我们很容易发现中国企业目前的合规管理普遍存在“空心化”和“盲目化”问题。所谓“空心化”，就是企业合规管理停留在政策宣导和提要求层面，抓落实不到位，形式主义问题突出。所谓“盲目化”，是指企业合规管理陷入具体的事务中，企业内部部门本位主义现象严重，各自为战，无法形成有效合力，合规管理水平整体难以提升。

造成这些问题的根本原因是，管理者对企业合规的本质和功能定位认识不清，合规管理体系没有形成合理结构，无法有效发挥作用，所以合规管理就沦落为主要为应对外部监管，这必将导致合规管理丧失坚实基础，最终走向失败。

二、合规管理体系的有效落地机制

有效的合规管理，在形成内部合理的结构后能够高效运行是关键。只有在持续地运行中，才能及时发现并有效防范合规风险。作为企业管理的重要组成部分，合规管理也应当遵循企业全面质量管理方法。在此，我们认为国际上普遍公认的PDCA质量管理办法，应当作为企业合规管理的落地运行机制。

PDCA方法是美国质量管理专家休哈特博士首先提出的，由世界著名的质量管理专家戴明采纳宣传，获得普及，所以又称戴明环。

全面质量管理的思想基础和方法依据就是PDCA循环。PDCA循环的含义是将质量管理分为四个阶段，即计划（plan）、执行（do）、检查（check）、处理（action）。以上四个过程不是运行一次就结束，而是周而复始地运行，一个循环结束，解决一些问题；未解决的问题进入下一个循环，阶梯上升。

根据合规管理体系形成的基本结构，按照PDCA方法运行，包括了下列阶段和步骤：

1.计划阶段。一般以企业一个经营年度为单位，制订全年的合规管理计划，安排全年任务和计划实现的管理目标。承担这一阶段职责的是合规管理中枢机构，即企业领导机构和专业合规领导机构。

2.执行阶段。按照计划任务，企业合规管理的三道防线分别抓落实，有序推进合规风险的识别、监测、评估，以及调查、整改等工作。承担这一阶段职责的是合规管理三道防线的岗位（或部门），包括经营管理、内控审计和调查处置。

3.检查阶段。检查合规计划的落实情况，及时纠正存在的问题和偏差，确保各项任务落实到位。承担这一阶段职责的是合规中枢机构及具体执行部门。

4.处置阶段。将监测、审计、调查处置后的问题，集中进行处理，根据处理情况提出整改的计划，实现更高水平的合规管理目标。承担这一阶段职责的是第三道防线的部门和合规中枢机构。

据此，我们来设计这样一个企业合规管理场景：一个以年度为周期的企业合规管理工作运行轨迹大致是这样的：

（1）年初，企业合规领导机构审议批准年度合规工作计划，下发到全公司范围内开始实施。

（2）业务部门（中小企业可能是业务岗）根据确定的年度合规计划，会同合规工作人员（专、兼职均可），有重点地自查业务中的合规风险，完善合规风险清单，同时将业务开展中需要合规性审查的事项依照业务流程提交内控部门审核。此外，将自查发现的严重违规问题，移交调查部门核实处理。

（3）内控部门（中小企业可能是内控岗）负责做好日常业务事项的合规性审查，及时纠正发现的问题，同时将需要进一步处理的违规问题移交给调查部门核实处理。

（4）审计部门（中小企业可能是审计岗）根据年度计划，主动开展对重点业务条线和相关部门（岗位）的合规风险和制度执行情况的审计检查，对存在的合规风险点情况和风险防控措施的有效性进行评估，及时提出违规行为的纠正意见，对严重的问题移交调查部门核实处理。

（5）调查部门（中小企业可能是法律合规岗来负责内部调查工作）根据年度计划，将业务部门自查、内控核查、审计检查发现的违规问题进行核实，并对相关责任人员进行问责。

（6）执行部门（由合规领导机构的执行部门担任）每季度检查年度合规计划的落实情况，对于落实不到位的及时纠正，对于新发现的问题及时纠偏。

（7）考核部门（由合规中枢机构承担）组织对企业各层级、各部门、各岗位的合规责任落实情况进行考核，根据考核结果进行相应的处理，并提出下一步的整改思路。

（8）根据合规自查、内控核查、审计监察、违规调查、合规考核等环节反映出来的问题，在公司内部开展多种形式的合规教育，强化员工的合规意识。

（9）根据本年度合规计划落实中反映出来的问题，执行部门提出下一年度的合规管理计划，提交合规管理委员会审议，启动第二年的合规管理工作。

至此，合规管理在企业一个经营年度内就形成了一次循环，通过改进前一个循环的问题，达到第二个循环，就是合规管理迈上新台阶的过程。

合规管理体系按照PDCA方法运行，也符合“大环套小环”的基本特征，除了年度合规计划的大循环外，其余三个功能分别在按照PDCA原理形成了小循环运行，具体为：

第一，在合规风险识别方面，合规管理体系形成了从“风险识别计划”到“合规风险自查”，到“合规风险监测”，再到“合规问题调查”的识别小循环。

第二，在合规制度建设方面，合规管理体系形成了从“合规管理基本准则”到“合规风险识别机制”“合规风险监测机制”，再到“合规风险清除机制”的合规制度建设小循环。

第三，在合规处置整改方面，合规管理体系形成了从“合规整改计划”到“业务部门自纠”，到“监督部门纠偏”，再到“问责整改教育”的整改完善小循环。

由此，合规管理体系不仅自成闭环运行，其内部每一道防线也都各自形成闭环运行，合规管理方能全面融入业务经营管理中。

三、合规管理体系有效落地的表现

合规管理有效落地的最终检验标准，是合规管理体系的建立和运行是否能够助力企业实现合规管理目标，有效防控合规风险。合规管理体系要有效落地，必须拒绝形式主义。合规管理体系的有效落地，主要体现在以下几个方面：

1.组织体系：合规管理组织体系健全，合规职责明晰。

2.全员合规责任制：各层级、各部门、各岗位合规管理责任全面落实，合规管理成为各部门和员工日常工作的一部分，做到人人、事事、时时、处处合规。

3.制度体系：制度体系完善，业务流程规范，并充分融入合规要求。

4.合规风险管理：各部门领域识别合规风险，采取应对整改措施，建立日常监测预警和持续改进机制，合规风险发生概率明显降低，重大合规风险得到有效防控。

5.违规管理：违规追责机制、激励约束机制、合规考核机制等有效运行并发挥作用。

6.合规管理队伍：专职、兼职合规管理人员配备到位并具备专业合规管理能力，各部门业务人员的日常合规管理意识与能力得到有效提升。

7.合规监督：合规管理评估、合规检查、合规审计等联合监督机制有效运行并切实发挥作用。

8.一体化管理平台与信息化：法律、合规、风险、内控一体化管理平台建立并有效运行，并实现信息化管理。

9.合规文化：企业合规文化气氛浓厚，合规成为全员共识及其日常工作中的行为自觉和习惯。