论PDCA_循环在企业合规机制中的作用

东方论坛—青岛大学学报（社会科学版）2023年第5期
121 EASTERN FORUM—JOURNAL OF QINGDAO UNIVERSITY( Social Science Edition ) No. 5, 2023
论PDCA循环在企业合规机制中的作用
吕洪果1 吕坤容2
1.济南中合合规研究院，山东 济南 250014；
2.浙江工商大学 法学院，浙江 杭州310018
摘□要：企业合规可以分为“事前合规”和“涉案企业合规”，都属于企业现代化治理的革新。

企业合规可以防控风险，同时还具有刑事激励功能。

PDCA四个环节是企业合规体系建设和运行最有效的模型，它不是在二维的圆周上持续旋转，而是在螺旋楼梯上上升的三维模型。

企业合规风险分为“违反法律法规的风险”和“违背社会规范的风险”，合规风险的识别是Plan步骤（计划）中的重要环节，它是制定合规政策、准则和手册的前提，风险项目要进行优先级排序。

Do步骤（执行）的两个模块是“组织架构”和“教育和培训”，对合规文化的形成有重要作用。

为了应对“合规疲劳”有必要引入“限时期间”来验证制度效果，保证企业合规体系的有效性。

关键词□：企业合规；软规范；合规计划；风险识别；PDCA
中图分类号：D922.1 文献标识码：A 文章编号：1005-7110（2023）05-0121-13
迫离职等现象经常发生。

在分析风险预防体制存在什么问题之前，我们应该研究一下企业决策过程中应该遵守的“法”是什么，以及要遵守到何种程度。

一、企业合规的现状与发展
（一）企业合规之“规”
有人说合规与法规的遵从性意义相同，也有人认为法规的遵从性是合规的核心。

a从广义上来说，“规”是为了维护人们的共同生活而设置的一系列普遍性规则的总体，它不仅包括实在法还包括各种规则、习惯法、民间法以及其他各种社会规范，还包括一些自我承诺、指引、指南等，不需要国家强制力保证实施的情况下，却高效、灵活的成为遵从性的纪律，这可以称之为“软规范”。

和企业合规基金项目： 本文系山东省人民检察院检察理论研究课题“中小微涉案企业合规第三方监督评估机制的适用与完善”
（SD2023C08）的阶段性成果。

作者简介： 吕洪果，男，山东诸城人，法学博士，济南中合合规研究院副院长，二级律师，山东经贸职业学院会计系副教授，主要从事经济法、企业合规研究；吕坤容，女，山东潍坊人，浙江工商大学法学院博士生，主要从事国际
经济法和企业合规研究。

a 法规遵从性是指社会主体在履行职责和业务活动中，遵守政府和行业规定的各项法律、法规和规章，同时又能证明
自己确实达到了相关的要求。

参见高爱民、韩劲草、霍飞：《后保管时代建设项目原始信息档案化的研究应用 ——基于建设项目管理者的业务驱动型电子档案管理》，《档案建设》2018年第3期。

 
122东方论坛—青岛大学学报（社会科学版）2023年第5期
相关的软规范，一般是指公司治理方面的准则和股东责任准则等要求。

例如，企业可以参考企业道德准则、公司行为准则以及其他自律性规定，确保企业行为符合适用的法规、伦理和商业标准，以达到企业稳健经营的目的。

《合规管理体系要求及使用指南》（ISO37301）引言中讲：“一个有效的合规管理体系，能表明组织遵守相关法律、监管要求、行业守则、组织标准、良好治理标准、普遍接受的最佳方法以及道德和社区期望的承诺。

”可见，合规之“规”不仅包含刑事、民事、行政等方面的法律法规，还包括一些“软规范”。

通常来讲“软规范”又叫“软法”，是未经立法程序予以制定和颁布，亦不需要国家机器保障实施，但对人们的行为具有一定约束力的行业习惯、社会道德、组织承诺等。

“软规范”一般通过协商、谈判、追认等方式赋予其法律上的效力，制定程序呈多样性。

与“软规范”相对应的是“制定法”又叫“硬法”，反映国家的意志，有严格的制定或确认的立法程序，由国家强制力保证实施。

企业首先要遵守以业务为中心的法律法规，英语中的Compliance在过去通常被翻译为“合规”。

然而，如今人们普遍认为，合规不仅是对法律的尊重，也是对社会规范的尊重。

a也有人用Business Ethics或Ethical-Legal Compliance来表达“合规”。

b这只是不同语言表达某个行为或事物所引起的差异，对于“合规”概念的内涵基本趋同。

陈瑞华认为：“合规是指一个企业遵守全部的‘合规义务’，而合规义务则来自企业外部的‘合规监管要求’和企业自身的‘合规承诺’，前者是企业要‘强制遵守’的合规要求，后者则是企业‘自愿选择遵守’的合规要求。

”c
实定法是经过法律解释后适用的，法官也是依据条款宗旨，通过常识性判断得出结论，因此，只
种错综复杂的规范背景下，企业的决策以什么为依据，遵循什么样的程序才能实现合规性呢？通过对这些概念的阐明，提高了可预见性，一方面可以预防丑闻，另一方面可以使容易萎缩的局面恢复自由豁达的商业机会，总的来说，有望形成健康积极的企业活动。

（二）企业合规现状和发展
现代化的公司治理对于企业可持续发展越来越重要，治理、风险管理和合规被称为“GRC”。

d“GRC 是有效支持企业运营所必需的，采用这些方法的公司会获得一些好处，包括：更少的违规事件、提高对威胁和风险的可见性、提高公司一致性、帮助支持不断变化的合规性法规、消除孤岛。

”e目前企业合规如火如荼，“现阶段已经初步形成了以行政监管的形式迫使金融企业与上市公司率先实现内控合规体系建设，以行政主导的机制强制央企及地方国企构建法律、合规、风险、内控
a 根据巴塞尔银行监管委员会对于合规风险的诠释：银行业合规主要是遵从法律、法规、监管准则。

《中央企业合规
管理办法》第三条规定：本办法所称合规，是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则，以及公司章程、相关规章制度等要求。

b B usiness Ethics一般翻译为“企业道德”或“企业伦理”，Ethical-Legal Compliance一般翻译为“企业合规”或“伦理
法遵从”。

 
《企业合规整改中的专项合规计划》，《政法论坛》2023年第1期。

c 陈瑞华：
d G RC是Governance, Risk, Compliance三个单词的首字母；Governance是治理的意思，这里主要是指企业治理；
Risk是风险的意思，这里主要是指因不合规行为所导致的不利后果；Compliance是合规性的意思，包括了企业合规概念的内涵和外延。

《什么是GRC？》，2023年7月4日。

https:///news/12823.html.
e 36氪企服点评：
123
论PDCA循环在企业合规机制中的作用
一体化管理体系，以发布合规指引的方式引导外向型企业顺应国际合规潮流，以合规不起诉激励民营企业构建合规管理体系。

”a
最高检从2020年开始推行涉案企业合规改革试点，根据企业的性质、已涉嫌的罪名进行差异化的专项合规整改，给予涉案企业或股东、高管、实控人等自然人宽大处理。

合规整改的必要性和价值在多个部门发布的通告、规范性文件以及实践案例中已经获得肯定和验证，这对于推进企业合规，达成有效合规的目标起到了正向引导的作用。

但是，对于企业合规的落地和运行方式存在一些学术和实践上的争议，相关理论研究略显薄弱，研究者对于其中所面临的理论难题也缺乏应有的敏感性。

对于企业合规包括两种类型的观点，学术界和实务界的意见是一致的，只是称谓相异而已。

一种是“全面合规”体系，又叫“大合规”、“事前合规”，即企业根据公司治理的需要，在未被行政处罚或刑事处罚的前提下所进行的合规管理体系建设活动；第二类是“涉案企业合规”，又叫“专项合规”、“事后合规”体系，即企业已经被行政机关处罚或被司法机关调查、处罚的情况下，为争取宽大处理而进行的合规整改活动。

b第一种体系以前主要是经济管理专家研究和实践的较多，第二种体系主要是法学专家研究和实践较多。

目前检察机关对于是否同意涉案企业启动合规整改主要考虑三个方面：第一案件属于公司、企业等市场主体在生产经营活动中涉及的经济犯罪、职务犯罪等，既包括公司、企业等实施的单位犯罪案件，也包括公司、企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相
合规建设的先决条件，涉案企业的合规整改是一种被动行为，是想通过整改获得刑事上的宽大处理，因此需要获得司法机关的前提确认。

涉案是因为不合规导致的，从预防的角度看即使不能获得宽大处理也应该进行合规整改。

最高检法律政策研究室主任高景峰多次强调：在进行涉案企业合规改革时要把握好“四个结合”。

第一，合规与责任的结合。

这个责任既包括刑事责任，又包括民事责任。

依法合规、有效责任有利于减轻行政责任、刑事责任、考核和风险处罚。

我们通常所说无责任则无制度，无处罚则无法律，仅仅靠宣传教育效果有限。

第二，刑事合规与行政合规相结合。

把刑事合规与行政合规，刑事司法执法机关与行政执法机关、行政主管机关，包括行业协会，推动企业符合相关的合规要求。

第三，处罚与激励相结合。

调动涉案企业合规的积极性。

第四，实体与程序相结合。

在现阶段之内应该明确目标、突出重点。

实体法是为了保证公平正义的实现，程序法是保证公平正义更好更快的实现。

涉案企业合规整改一般是专项整改，针对的是单位犯罪的某个领域，如反垄断、商业贿赂等等。

微软前大中华区合规总监李近宇先生认为：即使是涉案企业专项合规整改也得使用企业合规管理通用方法论，防止出现头疼医头脚疼医脚的状况。

为防止出现“纸面合规”的现象，不管是哪一类型的
《企业合规制度的本土化构建模式探索》，《北方法学》2023年第3期。

a 梁涛：
《企业合规整改中的相称性原则》，《比较法研究》2023年第1期。

后来陈瑞华又有“涉案企业在律师团队b 陈瑞华：
指导下自行开展的合规整改则具有‘事中合规’的性质。

”的说法，陈瑞华：《法院推动企业合规整改的制度模式》，《中国应用法学》2023年第4期。

124东方论坛—青岛大学学报（社会科学版）2023年第5期
体系建设，都要实现落地的有效性，本文依据某上市公司的操作经验，重点讨论企业合规PDCA循环中的Plan步骤和Do步骤的通用方法论。

二、PDCA在企业合规中的必要性
企业合规中的风险不仅存在“违反法律法规的风险”，还有“违背社会规范的风险”。

这里的社会规范是指各种规则、伦理道德、习惯、不成文规定等非实定法，还包括企业的自我承诺、指引、指南等不需要国家强制力推行实施，却被高效、灵活遵从的“软规范”。

违反法律所带来的后果是法律制裁（包括刑事和民事责任）和行政处罚，违背社会规范的后果是社会制裁（比如声誉受损、失去更多商业机会等）。

“企业合规本质内涵在于企业治理结构和企业文化的自我变革，这决定了合规入法的方向是引导型、激励型的‘软法’模式，而不是强制型、制裁型的‘硬法’模式，这也是我国企业合规法律化的基本方向。

”a相应的企业应当掌握和理解法律精神、立法的背景和来龙去脉以及社会规范和道德要求，以应对风险。

“对涉案企业而言，早合规优于晚合规，检察机关提前介入有助于推动涉案企业将合规准备工作前移。

在检察机关表现出将案件作为企业合规案件办理的初步意向之后，企业可以尽早进行合规自查，找到犯罪的根本原因，分析合规管控的漏洞，尽早拟定合规整改计划，聘请合规专家顾问，为后续接受合规考察、开展合规整改奠定基础”b。

建，美国企业合规官员的称谓也从“首席合规官”( CCO) 进化为“首席道德与合规官”( CECO)。

前面已经论述了合规之“规”概念的内涵和外延，它不光包括刑事方面的法律法规，其预防的也不仅仅是刑事风险，即使在涉案企业合规体系的建设中，检察机关在监察、评估时也要求企业合规计划的内容不光包含刑事合规风险，还应当包括所涉罪名领域相关联的违法、违规和不当行为。

企业合规的目标一是为预防合规风险建立合规体系，二是建设和形成合规文化。

企业合规在注意本土化的同时，一定要和国际接轨，具有国际化视野。

法律法规和社会规范都是随着时代变化的“移动目标”，因此企业的合规体系一旦建立起来，不可能一劳永逸、万无一失。

企业必须提高信息敏感度，密切关注法律环境和社会形势，不断改善合规体制以适应其变化。

例如，现在越来越重视“廉洁和诚信经营”，这就要改变以往粗放式发展的思路，不管是外贸还是内贸企业要注意和供应商、采购商、政府的交往，防止贿赂行为的发生，当然这个防止不能停留在口头或纸面上，要建立一种实在的可执行的体系；如果企业的生产是有标准要求的，从法律层面讲合乎这个标准就可以了，而企业采取了更高的一个标准，这就是合乎社会道德的要求，企业这样做对社会是有利的，长远看对于企业的发展也是有利的。

所以合规不光是防范风险，还有一种价值体现。

《我国企业合规法律化的方向与路径》，《贵州大学学报》（社会科学版）2023年第3期。

a 李勇：
《论涉案企业合规的全流程从宽》，《中国法学》2023年第4期。

b 李奋飞：
125
论PDCA循环在企业合规机制中的作用
随着法律法规的变化，企业要随时对合规风险进行重新识别和评估，对合规政策和合规手册进行更新、修改，重新进行合规培训。

企业的发展会增设新岗位、增加新员工，管理制度和管理流程也要改变。

企业市场的开拓、业务的更新、投资并购都需要重新启动合规范风险的识别和评估。

公司必须持续改进合规系统，以适应新的趋势（移动目标），这意味着在企业合规方面PDCA循环是必要的a。

PDCA是按顺序重复Plan（计划）-Do（执行）-Check（评估/检查）-Act（改进）过程的管理方法。

将P-D-C-A用圆（圆圈）连接起来表示的情况较多，但这种画法也会导致误解，以为四个环节是在一个平面或层次上，其实P-D-C是需要用A来提升的。

由于Act步骤是将PDC流程引向更高层次的周期的步骤，因此PDCA周期不是在二维的圆周上持续旋转，若是在螺旋楼梯上升的三维印象中来理解会更恰切。

“PDCA循环作为质量管理的基本方法，不仅适用于整个工程项目，也适应于整个企业和企业内的科室、工段、班组以至个人，各级部门根据企业的方针目标，都有自己的PDCA循环。

各级部门的小环都围绕着企业的总目标朝着同一方向转动。

通过循环把企业上下或工程项目的各项工作有机联系起来，彼此协同，互相促进”b。

计划（Plan）：PDCA模型首先要求企业明确合规目标并制定相应的计划。

在合规方面，企业需要明确法律、政策、法规和行业规范等要求，并制定符合要求的程序、政策和方针。

通过规划阶段，企业可以系统地思考合规目标、需求和限制，并为实施合规措施提供清晰的指导。

在实际操作中有效地执行。

执行阶段的实施过程也需要进行记录和跟踪，以便后续的检查和改进。

三、企业合规计划（Plan）
企业合规计划是针对合规风险，以预防违规事项的发生为目标，它是确认涉案企业合规整改、考察和评估的依据。

“从企业自身视角看，合规计划是一种公司治理方式，企业要想获得好的发展，须在发展过程中采取一种管理模式，尽量避免内部发生违法犯罪行为及其带来的危害。

”c合规计划的内涵可以归纳为企业为预防违规行为的发生、发现违规行为而主动制定、实施的自我管理和约束机制，该违规行为不仅仅包括刑事犯罪和一般违法行为，还包括对社会道德、公司承诺等“软规范”的背叛。

这种机制的建立在企业负责人或者单位犯罪时可以提出申请（或抗辩），作为减轻或者免于起诉的理由。

“在美国，是否制定和实施‘守法计划’是与刑事制裁紧密相连的，当违法企业制定并有效地实施了‘守法计划’时，根据联邦量刑委员会制定的《量刑标准》的规定，可以减轻对企业判处的罚金a P DCA循环又叫“戴明环”，是美国质量管理专家沃特·阿曼德·休哈特（Walter A. Shewhart）首先提出的无限循
环下去的科学程序，PDCA是英语单词Plan（计划）、Do（执行）、Check（检查）和Act（处理）的第一个字母的缩写，它虽然是一种质量管理科学模型，却可以应用在很多场景中。

《企业合规与律师服务》，北京：法律出版社，2021年，第129页。

b 姜先良：
《数字经济时代企业数据合规建设考察——以合规计划有效建构为基点》，《上海法学研究》集刊2023 c 肖凤、刘东：
年第6卷。

126东方论坛—青岛大学学报（社会科学版）2023年第5期
额。

”a其初衷是一种违法预防措施，可以监测并遏制部分和企业经营活动相关的犯罪活动。

Plan步骤（计划）包括两个主要内容：“制度建设”和“合规计划制定”。

（一）制度建设
制度建设体系包括经营理念、合规方针、合规准则、合规手册。

b“合规方针”是指企业制定的基本合规原则指向，也有人称之为“合规政策”。

下面的“合规准则”又叫“行为准则”，有时又被称之为Code of Conduct，是在系统地梳理和本公司业务相关的违反法律、法规风险和违反社会规范风险的基础上，对各自风险进行合理控制的具体方法。

换言之，是关于员工应该如何行动，或者不能采取什么行动的制度。

c“合规手册”是详细解说“合规方针”和“合规准则”的指导手册，一般要求公司各个部门、分公司、子公司都要具备，其内容更切合企业生产经营。

这些可称为“通用合规制度”，又叫“基础性合规要素”，“是企业建立合规管理体系所必须具有的基本合规制度，在整个合规管理体系中具有全局性和基础性的地位”d。

合规制度以公司治理结构完善、董事与高级管理人员权责明确为必要条件，合规制度并不仅是企业内部某个机构或某位领导的责任，而是自上而下责任到每个人的体系。

e合规制度有三层结构（如果算上“经营理念”在内的话是四层结构），但这只是制度体系建设的一个例子，根据企业规模的不同而形式不一。

合规制度体系有两个要点：一是在整个体系中要保持一致性，制度之间没有重复或遗漏的内容；二是在整个体系中明文规定，为使合规文化在本公司扎根必须向员工贯彻的事项。

须切实体现公司的核心价值；第二，首先要识别对本公司认为重要的相关法律法规，并按照这些法律法规排查“风险项目”。

因方针是纲领性的，在对排查出的风险项目进行系统梳理的基础上，细微的事项要转到“行为准则”和“合规手册”中；第三，“合规方针”要用简洁、不引起误解的词语来表述。

不要过分强调狭义上的合规（遵守法律），否则会引起“只要遵守法律，其他一切都没问题”、“这里没有写的东西做什么都可以”这样的误解。

f一旦这种误解在公司蔓延，钻规则的空子便会形成一种文化，潜规则行为会正当化，从而大大偏离了“形成和落实守规文化”这一企业合规的最初目的；第四，在“合规方针”的序言中加入“高层管理人员的决心表达、承诺”是很重要的。

高层管理人员用自己的语言表明他们将积极致力于合规和企业道德，从而传递了一个“合规方针”是认真的、不是表面形式的正确信号，这是推进“守规文化的形成和落实”的第一步。

合规准则又叫“行为准则”或“行为规范”，“首先规定企业的经营理念等基本原则，然后具体规定企业为进行公正的经营活动而应遵守的行为准则。

从守法的观点来讲，这些行为准则的核心内容
《美国反海外腐败法解读》，北京：中国方正出版社，2007年，第77页。

a 陆建平、张旭辉：
b ISO37301中计划包括：公开承诺、确定合规方针的范围、角色和职责、义务和风险。

c 从属性看属于法律行为：为一定行为（积极行为）或不为一定行为（消极行为）。

《论通用合规》，《民主与法制》（周刊）2022年第19期。

d 季美君：
《互联网平台企业反垄断合规制度的建构》，《法学论坛》2023年第5期。

e 参见郭传凯：
f 虽然法理上有“法无禁止即许可”的原则，但这是指公民权利行使的边界，如果一个企业也遵循该法律原则，会让
外界产生企业“投机取巧”“不厚道”的印象。

127
论PDCA循环在企业合规机制中的作用
应首先是不作构成犯罪的行为。

”a在制定时要注意以下几点：第一，任何企业都在人员和预算等经营资源受到限制的情况下推进合规活动，因此必须在查明风险项目的基础上“排定优先顺序”，使其成为全体人员能够实践的“行为准则”。

第二，系统构成。

实际上“合规准则”的系统构成没有“正确答案”，每个企业可以按照本公司的规模和特性，采取被认为是最合适的结构。

b第三，有必要明示违反“合规准则”时的处罚。

只要所有的处罚都是有明文规定的，非任意的处分即可，至于记载的文件在哪里不是重点。

第四，重要的是在“合规准则”上明确规定，如果管理层和员工对“合规准则”的解释或判断感到困惑，应向何处查询（例如“合规部”）。

通过培训、传播、签署等环节让“行为准则”渗入公司每一个人心中，形成公司的合规文化才是最关键的。

第五，强调组织对于合规的严肃态度和高度关切，强调组织对于适用范围内的业务和人员的合规要求和期望，提及重要的相关法律法规和内部制度的要点，强调违反组织合规规定的处理和后果，尽量保持语言简洁、清晰，以原则性描述为主。

“合规准则”通常会触及合规义务、管理监督、不正当竞争、诚信、反商业贿赂、偷逃税、商业秘密保护等内容。

设想当企业因为单位或高管、员工涉案，想通过企业已建立有效的合规体系争取“出罪”或“宽大量刑”，需要提供一个企业能够在企业合规管理工作的有效性方面的证据，来说服第三方专家机构和检察官、法官。

这个证据不光是书面的员工《行为准则》，最好是带有员工知情权的“合规准则”，而且还要证明这个“合规准则”不是纸面上的，不是一种应付、形式上的。

实践中最好是有一个员工知情的签名，以及“合规准则”的培训签到和关于“合规准则”测试通过的记录。

事实上这一番
合规风险的识别和优先级排序，“有效合规管理的基本要求是，企业需要针对特定的合规风险，制定相应的合规政策、标准和程序。

在特定合规风险领域确定之后，涉案企业需要将这些政策、标准和程序予以发布，使之成为企业上下一体遵守的行为规则。

”c虽然对于风险的识别、评估放在本文这个位置论述，但从逻辑上来讲只有进行合规风险识别和评估，才能制定合规政策、准则和手册，在风险尚未明了、清晰的前提下制定的合规性文件也缺乏针对性和有效性。

“企业根据相关机关指控的风险和违规事实，以及自身实际情况,积极主动地制定针对性的合规计划,是非常有效的整改方式。

”d“原则上，企业唯有对其所存在的合规风险及其影响作出全面的评估，才能在其合规政策中真正落实相称性原则的要求。

”e所谓的“相称性原则”就是“企业的合规整改工作应与所要达到的合规目标相契合，并与企业的规模、涉罪性质、行业特点、业务范围、合规风险等相适应，避免使企业承受过度的和不必要的合规负担。

”f在相称性原则指导下，在风险排查时企业要注意风险产生的概率和
《经济刑法》，金光旭译，北京：法律出版社，2002年，第129页。

a [日]芝原邦尔著：
b 企业按照“合规方针”的项目制定“合规准则”的章节，构成对本公司来说重要的每个“相关法律法规”，每个“利益
相关者”，例如“对股东的承诺”“对客户的承诺”“对消费者的承诺”“对员工和工作场所的承诺”“对社会的承诺”
等这样章节的行为准则。

《美国企业合规制度的构建：国家监管、强制性自我监管与刑事激励》，《政治与法律》2022年第7期。

c 梁涛：
《论企业合规考察的适用条件》，《法学论坛》2021年第6期。

d 李奋飞：
《企业合规整改中的相称性原则》，《比较法研究》2023年第1期。

e 陈瑞华：
《企业合规整改中的相称性原则》，《比较法研究》2023年第1期。

f 陈瑞华：。