企业建立管理体系并没有优劣好坏之分,参照标准建体系,是一种方法,但并不意味着体系就一定有效;结合企业现实、采用差异化方法,其结果也未必就不满足体系标准。
如何评价一个管理体系的有效性?关键在于体系的适宜性,在于是否达到了建体系所期望的目标。建体系是为了应用,支撑目标实现的关键,在于是否建立了一种可持续的动态运作机制。机制不单是主管部门组织进行的例行检查、评价、问题分析、形成提案、高级管理层决策等“事项”,而在于满足条件下的一套动态的、可重复运作的流程。
本文以合规管理体系建设为例,分享一套将制度管理、合规管理、问题管理有效集成的方法,以帮助企业摆脱当前合规管理体系建设普遍存在的一手册、一表单、一制度、一准则的静态产出,却窘迫于无法持续维护、更新数据的困境。造成这一现象的主要原因,是没有建立长效机制。合规管理体系的建设,要兼顾当下产出与未来持续改善的平衡。
01.理解合规管理的核心:规则
合规管理体系建设追求的目标是“不发生违规问题”。追求目标与现实结果不同,设置追求目标的目的,是为了放大差距空间,以便于找到更适宜的措施。违规问题包括违反外部、内部规则要求所带来的损失。那么规则是怎么产生的呢?
规则,是统治层、管理层基于希望掌控预期的结果而进行的秩序设计。规则中隐含着两条线:一是实现结果的资源、行为全要素的正向运筹设计,指的是应该怎么做;二是基于规则范围内各角色人性、行为关系风险而采取的措施,具有约束、限制、纠正的控制功能,或表现为需要“自控制”的底线、红线,或表现为控制要求,或直接体现为内控。
自控制有别于内控。合规管理体系中讲的“合规审查”,本质是能否满足控制要求的符合性内控(法务审核也不例外),多存在于企业内部的程序型管理类制度或跨角色流程中,自控制则或明或隐地反映于各类制度中。外部规则一般只有自控制或内控要求,内控是企业根据外规控制要求、内部管理需要进行的操作型设置,体现为用过程控制保证结果品质。那么怎么应用规则呢?
相对遵从规则的客体来讲,行为偏离了运筹路线,可能会被规则监管者视为“不合规”,通过偏离程度、结果损失等,度量是否构成了违规;底线和红线不同,底线是行为的最大限度,在底线之上的空间内可以灵活,突破了底线,可能会被认定为违规,红线没有任何灵活空间,一但触碰,就构成确定的违规。规则应用考验的是两个方面:一是设计水平,要可理解、可落地;二是执行力,要知道做什么、怎么做、做到什么程度、不能做什么。究其本质,仍然是计划与执行的关系。
企业管理中,理解某一项管理中的说法,需要建立宏观与微观、绝对与相对的概念。比如,我们常讲的规划,可以是长期的、也可以是短期的,长期的称为战略,短期的称为计划,本质是从时间维度,从宏观方向性事项,向微观具体事项的分解、转化表现,但都是对未来的规划。比如,我们常讲的产品,可划分为整机、单机、组件等,也可划分为外销产品、内供产品;我们常讲的创新,又可以划分为基础创新、技术开发、预研、产品开发等。再比如,我们谈全面风险管理,需要具体到内控、合规与风控,才能落实到工作项。
管理只有进行了划分,才能做到深刻理解,从而转化为管理措施,否则,也只能停留在“话事儿”的层级而影响可落实性。理解规则,也具有同样道理,掌握了这一技巧,就掌握了“管事儿”并取得成效的手术刀。
制度、流程本身是一个工具,其核心在于内中的要义。规则建设有一个从宏观到微观的细分和具体化过程,虽然我们讲“规则遵从”,但具体到不同规则,含义并不一样。高阶的规则,一般体现于对某领域行为的指引、约束与统帅,具体到管理、操作层,都需要从高阶规则逐层地拆分为具体、详实、有形的可操作规则。所以,才形成了宪法之下的法律、法律之下的规章、制度、因事儿而生的政策等等。企业内部的制度管理,譬如,企业中常讲的基本制度、管理制度、操作规程、主干流程、职能流程、作业流程等等,原理都一样。
由于规则的设计,已经充分继承了上位规则的原则、运筹路线与约束条件等,区别在于,由于功能结构的划分,单体规则范围收窄、行为更为具体。所以,规则遵从客体只要按照最接近本身的规则行事,一般不会触发高阶规则的限制。
正是基于这一原理,企业合规管理体系中才体现出建立“合规义务与风险清单”的说法,本质就是从整体规则中拆分出“微观”层面的规则,与行为人建立合规责任关联,至于已经细化至微观的整体规则,不需拆分,也不能拆分,因为他已经是微观层的规则了。
虽然,规则并不是结果的充分必要条件,但不能否认的是:确定性的规则,是管理不确定性的最好方法。对企业来讲,制度、流程是最具权威性的规则,企业建立内控体系、合规体系,从根本上都离不开制度、流程建设。所以,完善的规则管理,是开展内控管理、合规管理的必要基础条件。严格意义上,建立合规清单,都属于规则管理范畴,只不过为了区分适用体针对性的颗粒度,我们称之为“制度管理的延长线”。
合规管理最容易产生的两个误解:一是理想化地认为把外部法律法规、政策拆分成清单,就意味着合规建设,这种做法更适合中小企业,但不适合大型企业。拿一个企业必须遵从的“安全生产法”为例,直接拆分成清单有很大困难,即使拆分完了,反而会变得复杂化,可操作性也不会太理想。现实中,企业也不会这样做,必然是先内化为制度,但不能否认,有的企业的合规管理偏偏是这样做的,作用可能有,但从实效上看,只不过是一种不切实际的一厢情愿罢了。
02.理解监督的核心:依规核定行为结果
企业中的监督,是一种随着企业规模的增长、基于资产安全、合规管理等需求衍生出来的内部功能。内部监督的独立性,是相对被监督方、企业各方而言的一种原则,与外部监督的独立性有本质的区别。从企业角度看,内部监督是防范、化解外部监督发现违规风险、防范执行企业管理要求出现偏差的保证措施。
决定内部监督效能的条件有两个:一是监督人员的能力;二是监督人员履职的经验与技能。技能具有职业化的普遍性,基本都是依据监督领域相关的规则,对被监督方实施结果进行符合性验证,又划分为两个步骤,一是分析被监督方内部规则与监督依据规则的符合性,判定是否存在设计缺陷,设计有缺陷,执行必然存在偏差,问题是偏差到什么程度。二是通过过程数据分析、访谈等进行验证,从而找到与规则要求可能存在的执行偏差、结果程度等问题,经沟通、确认后形成“监督问题”记录。
现实中,监督人员一方面会携带相关制度文本,另一方面会从制度中提炼出“制度要求”,以便于重复监督使用,可以理解为合规清单内容。所以,合规管理中建立合规清单,不是什么新生事物或方法。
企业中内部监督有两类,现在不少企业还诞生出第三类:一类是内部审计、一类是纪检与监察,新加的一类是巡查,还有一个与监督紧密相关但不属于监督的“信访”功能,区别是关注点有所差异而已,真正讲到协同,合规管理有之,但属于前后分工关系,恰恰在这三个半监督之间,更需要协同。
监督也有“人人参与”的概念,违规举报并非纯粹因合规管理所产生,只不过是合规管理体系中一个不可或缺的功能结构。现实中,真正的举报仍以传统监督内容为主,虽然合规管理是一个大概念,也无需另建一个新的举报平台,做好资源共享、违规举报的性质划分,明确与举报问题性质对应的不同责任处置部门和流程即可,是一个举报信息分析、确认、分发的界面过程。
不要想当然地认为合规管理范围广,就可以随意获取所有的违规问题信息(除监督部门承担合规管理职能外),但并不妨碍合规管理对问题性质、数量的分析,分析是为了验证“合规管理体系的效能”,绝非合规管理体系可以覆盖监督。其实,最好的、最现实的方法,尽可能减少对传统监督的影响,遵循的是分工主责原则。
与合规对应的是违规,如果发现了违规问题怎么解决呢?监督发现的问题,绝大部分属于合规问题。与监督部门有近十年的接触,听他们向高级领导者汇报,一会儿风险、一会儿问题,不知道领导者、监督方是否知道在讲什么,反正我听着有点犯晕,甚至还经常出现针对发现的问题,请示领导应该怎么整改的怪象!为什么?缺乏对不合规、违规问题的细分定义,缺乏问题程度判定与处置标准,简单地依靠人为经验判断所形成的结论,是不靠谱的。
由于缺乏管理理念的导向,造成一种现象,监督喜欢以“发现问题、揭示问题”为使命,监督年年查、问题年年有,重复不重复无所谓,最终演变为因外部监督介入而付出沉重代价的实例并不少见,原因是监督的使命定位出现了问题,发现、揭示问题固然重要,但更重要的是整改后不能再次出现。丢失了后者,必然出现东面发现了火,转过头右边又冒起了烟的怪象,那就继续发现、整改、再揭示吧。
03.理解合规管理的事前、事中、事后
从合规管理办法、管理标准来讲,都会提到制度、流程,但落脚点在于“合规义务与风险清单”。至于过程中的合规审查、违规举报与调查、不合规监管等等,由业务管理分支流程承载,并非合规管理主流程中的主要活动,只不过是从体系的角度形成的一个结构化功能,功能有别于流程。
为什么合规管理体系中存在这些说法或活动呢?是由合规管理体系目标决定的。合规管理的目标是“不发生违规风险”,违规风险是由规则要求与限制、承担重要活动的角色能力与责任、过程控制、活动结果、监督验证决定的,所以,要形成规则要求与岗位、流程活动的责任关联,把主动遵从、过程控制、事后监督的责任,分别落实到不同业务活动的角色上,从而构成基于合规管理的事前、事中、事后。
所谓合规清单进流程,其实就是在岗位职责中、对应角色流程活动中,建立包括合规义务的活动标准,构成合规管理的“事前”。从角色的视角,是微观意义上的“立规”;从制度管理视角,则是制度相关责任的确定、分解过程,是让角色“知规”的体现。所以,ISO37301把清单视同为PDCA中的“P”。
实际上,无论做什么样的管理,都要尊重现实,面向期望目标去分析、设计、压实,而不能依靠简单的理解去推动。无论是内控管理、合规管理,最根本、有效的措施,仍然离不开制度、流程,只不过我们基于体系目标而导入一套新方法,譬如,内控建设建立风险控制矩阵、合规管理建立清单等等,突出了新方法,却忘掉了方法成立的假设条件 —— 完善的制度。希望实现预期结果,就必须让假设条件成立。
那合规审查是怎么回事儿呢?首先,在很多企业中,合规管理职能由法务机构承担,但必须搞清楚,即使法务机构只有一个法务人员 ,即使这个人既承担法务工作,又承担制度管理、合规管理、合同管理的归口管理职责,都是一种组织分工的表现,不能想当然地认为法务就是做这些的,更不能因职能同属一个机构,而形成并不准确的法务、合规协同观点,协同体现在流程界面,只要一梳理,就能证明这种观点并不准确。那为什么仍广为流传,甚至被大多人接受呢?
企业中的法务,是一个具有特殊功能的专业型职责,在很多人的认识里,第一感觉会把合规管理孤立地理解为“强调合法性”,第二,由于合规管理是来自于外部催动,但需要企业加强内部管理来落实。外部监管强调的是基于对企业监管的结果合规,企业内部管理强调的是基于过程管理、控制以保证合规结果。二者结果趋于一致,但采用的思维、方式、方法的内涵不同。认识不到这一点,很容易形成合规管理与法务密不可分的感性认识,这样的观点有些狭隘。
法务与业务的合法性控制紧密相关,并不意味着可以对所有业务进行法律法规合规审核。一个管理规范的企业,大部分管理职能部门拥有合规审核的职责,法务是在确定流程中确定的控制角色之一,而这个流程,是由流程的所有部门决定的。所以,合规作业、合规审核、不合规监管、合规评价等是企业合规管理的“事中”。
至于违规举报、监督,我们都可以理解为合规管理的“事后”。如果我们认为合规管理包括了监督,那合规管理的事后是什么呢?观点不能靠感性认识,不再赘述。
所以,企业合规管理体系建设的重点,在于“持续动态的生成合规清单”数据,并与责任角色建立规则关联,是合规管理体系的主管道。至于“三重一大”决策事项中合规官履行的合规审核,由“三重一大”决策管理,依据“合规管理原则”设计为控制节点,属于公司治理范畴;再比如,法务必须进行的合同审核、制度建设审批前的法务审核,由合同管理、制度管理设计流程决定┈┈。依次类推,构成基于不同法规、制度下的由不同责任部门实施的“合规审核”责任。所以,我总讲合规管理不是与法务如何协同的问题,跟法务是否承担合规管理职能无关。
至于合规管理体系的效能评价、不合规监管、合规举报等功能,有些通过制度设计就可以保证,有些可以通过作业流程解决。
04.建立动态的可持续合规管理机制
一套动态的可持续管理机制,必须保证首、尾贯通,即打通与外部关联的端到端,以保持完整性。现实中的流程管理,端到端流程指的是业务流程而非职能流程。
合规管理不同于其他职能,放大思维,不要拘泥于合规管理体系的理论,从企业角度看,根源上来源于外部监管要求,即社会赋予企业的社会责任,再回到外部监管对企业履行社会责任的度量结果。企业承担的社会责任,我们可以视同为“需求”;企业的合规结果,可以视同为企业提供给外部监管方的“产品”;外部监管的结果,可以视同为客户满意度。
企业要提供满意合规结果,必须找到需求,需求即企业外部的规则,包括法律法规、规章、制度、限制性政策,以及来自于上级单位的规则,但并不意味着企业必须将所有规则收入囊中,需求也需要“筛选”。现实中,企业合规管理部门基于体系建设需要,自行搜集外部规则,是短期的权宜之计。从长期看,搜集外规的责任在各部门,通过制度管理组织实现。
泛化的外规搜集,需要有一个证伪、放弃、确认、导入的过程,现实中不少企业拿着过时的外部规则应用并不少见,选择的过程需要建立甄选标准,即合规风险评估。如果仔细看已经完成合规管理体系建设的企业,不少企业所指的合规风险,往往反映为违规处罚程度,其实并不准确,企业需要履行“合规社会责任”,无论程度如何,有规定、有要求、有限制的,都应该主动遵从。合规风险指的是与企业适配度、违规后的损失、可能性、适应度的多维综合反映。
需要说明的是,管理需要留痕,选择节点是管理中的一个活动,必须有痕可循。各部门搜集外规的目的有四:一是满足本部门使用;二是让企业中的相关客体知悉并遵从;三是掌握精髓,内化制度,强化过程管理;四是直接应用以落实规则要求。所以,选择确认的结果会形成表单,信息结果有两个去向:一是用以提供员工学习和掌握外部规则,提升员工自身能力;二是弥补企业内部规则暂时短缺的状态,直接应用。没有这么个结果,可能会造成纸上谈兵,谈何管理?两个方向有不同的流程,即主管道的分支。
理解了第一个节点,就可以明白,企业的合规管理中的清单,始终对应的是第二个去向,即企业选择遵从、执行的外部规则、内部制度。这个节点是制度管理体系与合规管理体系集成的交界面,表单即管理的具体、详实、有形产物。只要企业的制度、规则管理够规范,通过合规管理形成的清单就可以覆盖外部、内部的合规要求。
在识别合规要求、拆分规则至微观的过程中,需要重点考虑的是如何把工作做到最简、最少,动的员工越少越好,最简最少并不意味着否认设计之繁的必要性,管理简单化从来没有说过“设计简单化”,没有设计的繁,哪来执行的简,又何谈主动遵从?严格意义上,管理设计的技术性特征,并不亚于产品技术设计。
现实中,企业合规管理往往会产出一套EXCEL型的表格,其中包括规则名称,即合规义务来源。放心,这套表格看似很详尽,充其量是一个体现合规管理部门完成任务的象征,很难谈到效能和可持续性,可持续的不是表单而是流程。员工最希望看到的是一套结构化数据,能够最快掌握具体制度的主要内容和要求,而不是一套数据堆砌的表格。
这套结构化数据,不是产自于每个员工,而是制度的责任机构,需要通过设置必要的控制,拉动流程的执行。谈到流程,不要认为写出一件流程,大家就会按照流程一步步严格执行,高能力的人完全可以把流程中的几个活动一次完成。如何压实制度责任部门完成必须的工作,答案是“内控节点”,只有内控才能拉动流程的遵从。我这里指的是人工操作,如果引入IT,就不会存在操作问题。
结构化数据的生成,即合规要求、合规红线、底线等主要内容。现实中,企业往往通过或自己的理解、或借用第三方力量,建立清单与岗位的关联,然后再逐步完善,这种方式仅仅是满足当下急需的一种临时措施。如果关心最近公司法、民法、保密法等等系列法律法规的一系列修订,关心国资系统不断出台的新制度,企业合规管理必然是一个动态完善数据的过程。
合规管理中最困难的事情,是切实建立与岗位、角色的责任关联,本质是一个主动构建的过程,但是,如果仅仅提出要求,有必要但并非足够。要借用管理岗位的日常管理促进落实,可以形成合规监管,合规监管只是一个说法,没有措施何谈监管?所以,出现了不合规计分机制。现实中,管理岗位对下属的管理,本来就是这样做的,区别在于一般都在“话事儿”而没有具体措施。
如何计分呢?有一个对应清单分配计分标准的过程,这个过程不能是人为设定形成,因为,这个环节属于“互不信任”环节,所以,也需要建立一个模型,模型即标准,通过通用标准形成的分值,才具备说服力。那如果员工没有完成这个过程如何计分呢?取最高分,且上一级管理者会承担一定的管理计分责任,如果仔细考虑,这里存在一个作业流程。
以上谈的是合规管理与制度管理集成的问题,合规管理本质是制度管理的延长线,是提升管理执行力的措施。那如何与监督集成呢?
前面我们讲过,合规管理与监督管理感觉上非常紧密,但实质是一个结果一致、过程弱关联的关系,合规管理没必要改变监督的传统习惯,分工原则必须坚持,所以,只是一个间接提升监督规范性的过程。
从合规管理的视角,无需思考监督如何做的问题,而在于划分为外部违规问题、内部违规问题、不合规行为问题三类,是一个依次递进的升级过程,可以在类之下划分为不同的等级,制定对应的措施,本质仍是一个事前建规则标准、强化合规管理的过程。如果建的好,这个标准可以应用于人力资源管理、内部监督、日常监管、企业治理的各个领域。其实,这不是集成的概念,而是一个拉动企业规范管理的体现。与监督的集成体现在合规举报的信息分析、举报分发流程。
05.结语
至此,我们就风险管理、内控、合规管理、制度管理,已经做过很多讨论,今后,本号将逐步转向如何打造一体化战略组织、构建一体化运营体系的话题。
无论是风控、内控、合规管理,都需要与企业的运营体系融为一体,建立体系是为了应用于实践,在实践中践行风控、内控与合规,防范与化解风险最好的方法,是用确定性的规则管理不确定性,然后才能谈到管理“剩余风险”的风险管理,毕竟,企业要发展,就必须不断直面风险、挑战风险,而不是一味的规避。所以,我一直认为,风控主管人员应该是多面手,有单纯的风险管理老师,但极少有单纯的风险管理专家。
