前言：在前述文章中，笔者曾简要提及合规（compliance）的语义以及理解，实质上，并没有一个足够权威的机构对该词语作出明确的定义，但各规范文件（尤其是国内的文件）在解释合规的概念内涵时具有高度的同一性，足以见得顶层制度的设计者们对此概念的理解已经趋于统一。

（1）各类规范文件语境下合规的概念

1、（国际化标准组织）ISO19600《合规管理体系 指南》和ISO37301《合规管理体系 要求及使用指南》术语：合规是指履行组织的全部合规义务，包括合规要求及合规承诺。

2、（发改委等七部）《企业境外经营合规管理指引》第3条：本指引所称合规，是指企业及其员工的经营管理行为符合有关法律法规、国际条约、监管规定、行业准则、商业惯例、道德规范和企业依法制定的章程及规章制度等要求。

3、（国务院反垄断委员会）《经营者反垄断合规指南》第3条：本指南所称合规，是指经营者及其员工的经营管理行为符合《反垄断法》等法律、法规、规章及其他规范性文件的要求。

4、（国资委）《中央企业合规管理指引（试行）》第2条：本指引所称合规，是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。

5、（保监会）《保险公司合规管理办法》第2条：本办法所称的合规是指保险公司及其保险从业人员的保险经营管理行为应当符合法律法规、监管规定、公司内部管理制度以及诚实守信的道德准则。

6、（证监会）《证券公司和证券投资基金管理公司合规管理办法》第2条：本办法所称合规，是指证券基金经营机构及其工作人员的经营管理和执业行为符合法律、法规、规章及规范性文件、行业规范和自律规则、公司内部规章制度，以及行业普遍遵守的职业道德和行为准则。

纵观上述的规范性文件，我们可以从受约束的主体、行为以及应该遵守的规则范围总结出合规概念的内涵：一种企业及其员工（主体）的经营管理行为（行为）符合有关法律法规、国际条约、监管规定、行业准则、商业惯例、道德规范和企业依法制定的章程及规章制度等（应该遵守的规则范围）的治理模式。

（2）对合规概念的深度理解

北京大学法学院的陈瑞华教授认为“企业合规是围绕着合规风险展开的，因此一定要深入合规风险的层面加以理解。所谓企业合规，是企业为有效防范、识别、应对可能发生的合规风险所建立的一整套公司治理体系”。（中国法律评论2020年第1期）

根据陈教授的观点，合规实质的落脚点就在于“合规风险”，故而可以从企业对待合规风险的态度来对企业合规作不同的理解。如果从积极层面来理解，企业合规是指企业在经营过程中主动遵守法律和规则，并督促员工、第三方以及其他商业合作伙伴依法依规进行经营活动，即更侧重于合规风险的防范。从消极层面来理解，企业合规是指企业为避免或减轻因违法违规经营而可能受到的行政责任、刑事责任及民事责任，避免受到更大的经济以及其他损失，而采取的一种公司治理方式，即更侧重于合规风险的应对。而识别则是企业防范和应对风险的前置环节，是企业得以开展防范工作和应对工作的基石。

也有一些实务工作者提出了其他的观点，例如原北京市第二中级人民法院法官姜先良认为合规的本质是企业的道德问题，如果将合规仅仅定位于应对外部监管和避免受到外部处罚，合规难逃最终失败的命运。他认为企业的道德问题，或者说是企业的合规文化才是合规管理过程中最重要的一环，构造良好的合规文化才是正本清源之举。

笔者认为，如果要深度剖析合规的概念，无所谓哪种元素更为重要或更不重要，企业合规是一个大概念，它既是一种法律及具象化规则的要求，同时也是一种道德的要求。一方面，提升企业的道德要求和道德责任感是合规制度设计的主要目的，另一方面，道德所隐含的自律性要求和善恶标准是合规制度获得合法性、正当性的伦理基础。空谈道德可能会使合规管理太过空泛，缺乏实际操作性，而只谈具体制度的约束又会使企业和员工失去主观能动性。因此在具体合规指引的设计上，包括国际组织在内的众多国家都将具体制度要求与道德要求并用，以形成两者之间的良好互动。