合规的对象涵盖企业的经营管理行为和员工的履职行为，并非只关注企业层面，还需覆盖“企业+个人”双维度。合规的依据分为“外规”和“内规”，外规包括国家法律法规、监管规定、行业准则以及国际条约和规则，内规则是企业的公司章程与相关规章制度，其中外规的优先级高于内规，内规需实现“外规内化”，也就是内部制度必须符合外部法规要求。

合规风险指的是企业及其员工在经营管理过程中，因违规行为引发法律责任、造成经济损失、声誉损失或其他负面影响的可能性，简单来说，就是“违规带来的后果”。这往往是说服管理者的关键点，因为他们是风险的主要承担者。后续所有合规工作的核心目标都是防控这种后果。而合规管理是以防控合规风险为目的，通过建立合规制度、完善运行机制、培育合规文化、强化监督问责等开展的有组织、有计划的管理活动，它不是“一纸空文”，而是需要落地执行的全流程管理工作。

合规工作的核心是“不做错事”，聚焦于确保业务行为符合所有适用的内外规范，侧重事前预防。例如，某企业计划开展跨境贸易，法务会审查贸易合同的法律有效性，风控会评估汇率波动、合作方信用等风险，合规则会核查该贸易是否符合出口管制、反洗钱等外规要求，三者共同保障业务合法合规且风险可控。

2023年国资委启动“中央企业合规管理体系有效性评价”；2025年国资委发布相关通知；同年，工信部等部门出台《中小企业合规管理指导意见》，让中小企业合规需求从“可选”转向“必要”。

实践中还需注意各行业各地区针对合规的窗口文件，对于国企而言，还要注意党内合规。而且，不同类型企业的合规监管重点差异明显。金融机构的合规义务主要源于《保险法》《商业银行法》《反洗钱法》等，管理重点集中在反洗钱、数据安全、金融消费者权益保护、资本充足率和内幕交易，必须配备专职合规团队和合规官，一旦违规，可能面临高额罚款甚至吊销牌照，监管核心是防范系统性金融风险。国有企业需依据公司法以及国有资产相关的法律，重点防控国有资产流失、商业贿赂、招标采购合规和安全生产问题，合规人员常与法务、风险管理部门合并，违规后果包括党纪政纪处分、国有资产追缴和限制市场准入，管理目标兼具政治责任与国有资产保值要求。中小企业则以《劳动合同法》等为依据，合规重点在劳动用工、知识产权侵权、产品质量和广告宣传，通常没有专职合规人员，违规多面临罚款、责令整改或劳动仲裁，核心需求是保障企业基本合法经营。

第一阶段：项目启动

项目启动阶段的关键是争取客户高层支持、统一认知。首先要成立项目组，项目组分为领导小组和执行小组，领导小组由客户方企业主要负责人（如董事长、总经理）和律师团队负责人组成，负责把控整体方向；执行小组由客户方各部门对接人（业务、财务、法务等）和律师团队成员构成，承担具体执行工作。律师需要主动推动客户明确领导小组的权责，确保高层重视，否则后续数据收集、流程优化工作可能受阻。

成立项目组后，要召开项目启动会。会上，律师需向客户清晰说明合规项目的目的，例如是为了应对国资委评价、防控风险、获取ISO 37301国际认证等；接着介绍项目实施方案，包括时间节点（例如2个月完成尽职调查，3个月搭建制度体系）和责任分工（明确客户方哪个部门负责提供资料，律师方哪个成员负责分析）；最后明确交付成果，如合规现状评估报告、合规制度手册、风险清单等。同时，律师要出具书面的《项目实施方案》，需写清所有事项的时间节点，以及对应的企业跟进人，让客户签字确认，以避免后续因需求变更产生纠纷。

第二阶段：尽职调查

调查需从三个维度展开：业务情况、管理情况和部门情况。业务情况方面，要了解客户的业务模式（生产、销售、供应等）、短期与中长期战略规划，以及已存在的业务问题，需收集近2年的年度报告（如果之前有诉讼或处罚，可适当延长年限）、业务流程手册、既往违规记录和诉讼案件材料，通过这些资料掌握客户业务的核心环节和潜在风险点。

不同行业的专项调查重点不同。例如，制造业企业需额外调查“安全生产流程”（如车间操作规范、应急预案）和“环保合规”，这一块尤为重要，需关注排污许可证、固废处理记录等，应收集环保部门检查报告、安全生产培训记录，以避免遗漏高风险领域。

科技企业（含数据业务）则重点调查“数据流转流程”（如数据收集、存储、共享环节）和“知识产权管理”（如专利申请、软件著作权登记），需收集数据脱敏记录、知识产权权属证明，以呼应知产、数据合规以及个人信息保护等要求，并需前瞻性考虑人工智能相关风险。

管理情况调查需梳理客户的组织架构（包括子公司股权结构）、管理风格（如集权或分权）、考核方式（是否与合规挂钩），以及现有的管理体系（如内控、风控是否已建立），收集的资料包括组织架构图（需标注控股或参股关系）、公司章程、现行规章制度（按起草部门分类整理）和考核办法，从而判断客户现有管理体系是否能支撑合规工作。

部门情况重点关注合规牵头部门（如有）的职责、工作资源与能力，以及各部门对“三道防线”（业务部门、合规部门、监督部门）的认知，需收集牵头部门职责文件、既往合规工作记录（如检查报告）等，以明确牵头部门的工作痛点和期望，为后续体系搭建提供针对性方向。

调查完成后，律师需整合所有信息，形成《合规管理现状评估报告》，客观列明客户现有合规体系的优点（如已建立部分内控流程）和缺口（如缺少数据合规专项制度、招标流程未留痕），为后续合规体系建设方案的制定提供依据。

第三阶段：合规体系建立

首先是搭建合规组织，核心是设立合规委员会。国资委认可的设立方式包括独立设置（作为独立于公司治理机构的议事决策机构）、与法治建设领导小组合署（人员重叠、定位一致）、与董事会专门委员会合署（作为董事会工作机构）等。需避免“部门同级”设置（如由法律合规部负责人兼任合规委员会主任），这种方式不被国资委认可。同时，要明确合规管理部门的职责（如合规审查、风险监测、宣贯培训），并根据企业类型配置合规人员（国企需专职，中小企业可兼职），最终形成《合规组织架构及职责方案》，明确各层级的合规权责。

接下来是梳理合规义务，梳理时需优先聚焦外规，尤其是有明确违规后果的强制性义务（如《数据安全法》中数据分类分级的要求）。应建立“外规库”并按领域分类（如数据合规、采购合规），标注法条对应的客户业务场景；内规梳理则需筛选出内化自外规的内容（如内部采购制度中符合《招标投标法》的条款），剔除纯业务流程条款（如“产品出库流程”不属于合规义务）。最终形成《合规义务清单》，按“领域+义务内容+依据+责任部门”列示，让客户清晰知道“必须遵守什么”。

实践中，需要每周跟进法律以及相关案例的变化。

合规风险识别与分析评估需结合梳理出的合规义务和客户业务场景，通过案例归纳（收集同行业违规案例）、专家研讨（组织客户业务部门负责人开会讨论）等方式，识别潜在的合规风险。例如，采购领域可能存在“招标信息未公示3天”的风险，需分析该风险的发生概率（如每月一次采购则概率高）、影响程度（如行政罚款、合同无效），并按“高、中、低”划分风险等级。识别完成后，形成《合规风险清单》，列明风险名称、业务场景、法律责任、风险等级和责任部门，为后续风险应对提供清晰指向。

针对识别出的风险，需制定对应的应对措施：高风险点（如国有资产流失风险）需制定强制性措施（如投资项目需经合规部门前置审查并留书面记录）；中风险点（如供应商资质审核不严）可通过完善流程控制（如增加2级审批环节）防控；低风险点（如员工合规意识薄弱）则加强培训宣贯（如每年至少2次全员合规培训）。措施制定需确保“可落地”，避免笼统表述，例如不说“加强管理”，而应明确“每月5日前，采购部门向合规部门提交上月招标记录，合规部门3日内完成审查并出具意见”。

合规流程优化需以客户现有业务流程为基础，在关键环节插入“合规节点”。例如，在“采购流程：需求提报→预算审批→招标→签约”中，插入“合规审查”节点，明确该节点由合规主管负责，1个工作日内完成审查，需出具《合规审查意见表》作为留痕材料。优化后需形成可视化的《合规流程优化图》，让一线员工清晰知道每个环节的合规要求和操作标准。

合规制度建设需搭建“分级分类”的制度体系：第一层是基本制度（如《合规管理基本办法》），明确合规管理的总体要求、组织架构和核心机制；第二层是配套制度（如《合规审查办法》《合规风险预警办法》），细化基本制度的具体操作；第三层是专项制度（如《数据合规专项指南》《招标采购合规手册》），针对高风险领域制定精准规范。制度制定需注重“外规内化”，即在制度中直接引用外规条款（如“本办法依据《数据安全法》第10条制定，数据分类需符合以下要求：……”），确保内部制度与外部法规一致。同时，需对客户现有规章制度进行合规性审查，修改与外规冲突的内容，例如在公司章程中补充“董事会审议批准企业合规管理体系建设方案”的条款。

最后是编写合规手册，手册需兼顾“通俗性”和“实用性”，内容包括合规红线（“不能做的事”，如“禁止向供应商索要回扣”）、岗位合规职责（如“采购专员需审核供应商资质并留存复印件”）、常见问题解答（如“招标公示期不够3天怎么办？答：暂停招标，补公示后再推进”），避免法律术语堆砌，确保一线员工能看懂、会用。

同时需要搭配培训以及案例讲解，并做好培训记录。

第四阶段：培训与试运行

合规手册编写完成后，需开展分层宣贯：对高层管理人员，重点解读合规对企业战略的价值（如“合规可帮助企业获取政府项目、提升品牌声誉”）；对中层部门负责人，培训其合规管理职责（如“如何组织本部门合规自查、如何上报合规风险”）；对一线员工，用实际案例讲解违规后果（如“某企业因采购未公示被罚款50万”），并开展实操演练（如现场填写《合规审查意见表》），确保员工不仅知道“要合规”，还知道“怎么合规”。

实践中，高层与中层的宣贯难度较大。以往项目的经验表明，对高层可采用“政策解读+案例研讨”形式，邀请监管部门专家（如国资委合规处人员）分享最新要求，结合同行业国企合规失败案例（如某央企因违规投资被追责），强调高层合规责任。

对中层，可聚焦“实操工具”，例如培训如何使用《合规风险清单》排查部门风险、如何填写《合规审查意见表》，现场模拟“采购项目合规审查”场景，提升实操能力。

培训后进入1-2个月的试运行阶段，让客户各部门按新制度、新流程操作，律师需定期跟进，收集实操中的问题（如“流程审批环节过多，耗时过长”“部分员工不清楚合规审查要求”），并协助客户优化调整（如简化低风险采购的审批层级、补充针对性培训）。试运行结束后，形成《合规宣贯及试运行报告》，记录宣贯情况、员工反馈、问题整改措施，为合规体系的正式落地做好准备。

实践中还可以提示客户，考虑建立合规激励机制。

很多客户（尤其是国企）需通过合规有效性评价，律师需协助完成全流程工作。评价依据主要是国资委发布的《合规管理体系有效性评价自评表》和《重点领域合规评价自评表》，律师需先结合客户实际细化评价指标，例如将“合规培训频次”细化为“每年至少开展2次全员合规培训，留存签到表、培训课件和考核记录”，确保指标可量化、可验证。

接下来协助客户开展自评，指导客户按细化后的指标收集证明材料（如培训记录、合规审查意见表、风险处置报告），并填写自评表，对每个指标的完成情况进行说明（如“2024年共开展3次全员合规培训，覆盖1200人次，培训考核通过率95%”）。自评完成后，律师需编写《合规管理体系有效性评价报告》，客观反映合规体系的“三个性”：要素完备性（制度、组织、流程是否齐全）、运行达标性（制度是否执行、流程是否落地）、结果有效性（是否减少违规事件、降低风险损失），并深入分析存在的问题（如“子公司合规培训覆盖率不足80%，需加强对子公司的穿透式管理”）。

最后需配合通过国资委现场评价，协助整理迎检材料（按评价指标分类装订），模拟迎检问答。