1.刑事合规的出罪机能。刑事合规扩大了单位刑事责任范围，这就需要出罪机制的平衡。一是企业如果已经履行了合规义务，可以借鉴国外立法的经验，将企业良好的合规计划作为阻却犯罪的正当化事由。即企业在自身活动中对相关刑事风险的防范已经有了“相当的注意”，尽到了刑法设定的积极义务，满足了刑事合规要求，可以作为企业犯罪的责任抗辩理由，阻却单位和相关负责人的刑事责任。二是不可避免的违法性认识错误应当出罪。即企业“自己以为是严格依照了守法计划来作业的，可因为不了解最先进的信息而给公司造成损害结果时，有‘相当的理由’误以为其行为没有违法性，可以不追究其刑事责任。”
2.刑事合规运行情况作为单位犯罪的量刑情节。刑事合规作为刑罚的减免事由不难证立。正如我国学者指出的，“建立并有效实施了‘合规计划’的企业，其预防的必要性降低，从而影响预防刑，进而减轻甚至免除刑罚处罚，通过刑事责任的加重或者减轻、免除，给予企业合规以压力和动力，从制度合规逐步形成合规文化，进一步实现一般预防。”由于缺乏明确的法律规定，现阶段可以将企业合规管理的情况纳入认罪认罚从宽处罚的机制中，对建立有一定合规管理的犯罪企业，予以从宽处罚。有学者提出，应结合企业合规管理的情况，对一些犯罪较轻的涉案企业，实行缓起诉制度。这不失为一种可以实践思路。
刑事合规实施情况能否作为从重量刑情节，理论上有观点认为，“基于自由保障的考虑，合规只能成为刑罚的减轻事由，内控机制缺失不能成为刑罚加重根据”。笔者认为，既然是否实施刑事合规能够成为入罪的依据，就没有理由否定刑事合规与刑事制裁轻重的勾连，不能排除企业对刑事合规的敌视成为从重情节。典型的如在企业过失犯罪中，存在故意对抗合规要求的情况，反映了企业对刑法本身的敌对态度。在相关的司法解释中也有规定。例如，根据“两高”2015年印发的《关于办理危害生产安全刑事案件适用法律若干问题的解释》，行为人实施《刑法》第132条（铁路安全运营事故罪）第134条（重大责任事故罪）第134条（强令违章冒险作业罪）第135条（重大劳动安全事故罪）第135条之一（大型群众性活动重大安全事故罪）第136条（危险物品肇事罪）第137条（工程重大安全事故罪）第138条（教育设施重大安全事故罪）第139条（消防责任事故罪）第139条之一（不报、谎报安全事故罪）规定的犯罪行为，具有多次实施违法行为、事后妨碍、对抗调查等情况，可以作为从重情节。不过，在疏于刑事合规作为入罪条件的情况下，为避免入罪情节与量刑情节的混淆与重复评价，就不宜将疏于合规作为量刑情节评价。例如，《刑法》第286条之一规定的“拒不履行信息网络安全管理义务罪”，是指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使违法信息大量传播、或用户信息泄露并造成严重后果、或刑事案件证据灭失情节严重、或有其他严重情节的行为。刑法将拒不履行合规义务作为入罪条件，就不能再将此作为量刑情节适用。
 
摘自孙国祥《刑事合规的理念、机能和中国的构建》