企业合规管理怎么做?——从制度来到制度去的端到端
这两天,六厅一办联合发布了《涉案企业合规建设、评估和审查办法(试行)》,意味着涉案企业今后在认罪、认缴、认罚的前提下,可以通过证实企业合规体系建设有效的途径,争取获得人民检察院依法作出不批准逮捕、变更强制措施、不起诉的决定,或争取到从宽处罚、处分的机会,最大程度降低由于企业违法而带来的损失或生存风险。无疑,这是我国司法领域在企业合规有效性改革方面的又一大进步。企业要利用好这一政策红利,前提需要开展合规管理体系建设。当然,企业开展合规管理体系建设,不能狭隘地理解为仅仅是为了应对犯罪事实成立之后,争取司法免责、减责的风险应对措施。完善有效的企业合规管理体系,还有助于企业持续提升经营管理质量、运营效率和文化升华,也有助于企业的高质量发展追求。自国资委正式印发合规管理指引以来,很多企业特别是国有企业,在加强合规管理方面进行了尝试,形式各异、产出各异。但基本有一个共同点,建立治理机制、构建合规风险库、制定合规行为准则、明确违规举报平台、进行合规有效性评价,以合规手册的形式将承诺、准则、体系机理、执行标准、合规文化、持续改进等反映出来。现状,基本符合指引的体系逻辑,也不缺乏体系关键要素的存在。但仔细研阅合规体系的具体内容,则是琳琅满目、缤彩纷呈。在上一篇《合规管理在企业中的定位及体系建设常见问题》小文中,笔者用类比的方法,将合规管理在企业中的定位进行了分析和理解,将合规管理体系建设常见问题和原因,分别从5个方面进行了归纳。虽然由于时间关系,比喻并不一定合理、严密,但也并非太偏颇。为什么会存在如此大的差异?合规管理体系并没有一个基本的建设执行标准,即使当下已经发布了合规管理体系建设参考标准,也是合规管理指引的再一次挖掘,并向标准规范性的延展,很难呈现为一个公认的执行标准。原因在于,合规管理是一个呈现为“面”的具有多维特征的工作。置身于企业实际,由于市场、经营区域、行业的不同,面对的外部合规风险结构、内容也不同;反映到具体的企业,业务结构、业务特征、市场结构、经营模式、管理基础等也各具特点。合规管理体系只有反映企业实际,才能具有可执行性,然后才能谈到有效性。反映到内容、结构上的不同很正常,如果很多企业基本一致,反而不正常了。外规转内规,是合规管理领域的一众专家“没有一次缺失”经常讲的一句话,很好理解。但在实际运用中,无论是第三方专业机构,还是企业自身,很容易陷入“困惑”的迷茫荒原,原因是,缺少“外规转内规”的判别标准。例如,企业员工在社会上触犯国家刑事法律,会被起诉批捕,酒醉驾车被拘留,在很多企业中,会触发企业对员工行为后果做出处理,刑事法律与企业也有关系,是不是也要转化呢?甚至于不少企业费尽心思搜集到国际公约、西方法规、法案,我国所有的法律法规、各部委、监督机构的制度、政策等,都觉得有关系,到底哪些需要转、哪些需要搁置呢?对企业来讲,外规转内规,本身是制度建设的触发源之一。企业开展合规管理体系建设,眼界不能仅停留于“我要建合规管理体系”,而忽略企业其它领域的工作基础。现实中,企业制度建设中的外规转内规,并非没有停留于“思维中”的潜在标准,需要通过语言的形式规范下来。一是与企业相关的,且一旦触发底线,被外部机构依据外规对企业实施处罚或追责的概率比较大。二是对企业经营管理活动来讲,与外规底线约束相关的活动具有“重复性”,而不是偶然性;三是对那些虽具有偶然性,但企业无法容忍的外部处罚事件怎么办?没必要转为企业制度,可以通过纪律规则类制度体现出容忍度。本质是什么?由行为结果度量带来的,通过企业管理形式体现出“纪律性惩处标准”,可以通过人力资源员工行为纪律制度、专业管理类制度、业务制度等条款予以反映。如果从合规管理角度看,是不是也是“违规行为处罚标准”呢?刚发布的《涉案企业合规建设、评估和审查办法(试行)》第四条有一句话:合规建设领导小组应当在全面分析研判企业合规风险的基础上,结合本行业合规建设指引,研究制定专项合规计划和内部规章制度。这句话很简单,但也需要思考,“专项合规计划”指的是针对“犯罪事实”的根因进行整治的计划,属于合规建设、整改与完善的范畴。“内部规章制度”指的是要针对“犯罪事实”事件,通过建立必要的规章制度,上升到企业内部“法”的地位,保证“类似事件”不会重复性发生,又回到了“制度”的话题,合规管理与制度管理密不可分。查了很多资料,但总感觉食之无味。在很多人的理解中,“制度”是一个名词,但如果分开理解,则是多重含义。我们可以这样理解,“制”指的是当下的名词“制度”,是要建立一个“管理计量标准”的存在;“度”是动词,要用“制”衡量行为结果是否出现了较大偏差,这是制度建设和制度执行的关系。理解的范围不同,决定了 “企业制度管理”的外延和内容。对大型企业来讲,制度并不陌生,但真实理解其内涵的人并不多。我把“制度”的作用归纳为4点:一是管秩序,二是管重复性风险,三是管计量,四是管结果。这个道理,与“流程管理”并无二致,只不过制度往往落实于组织,而流程则可以落实于角色。二是问题重复发生,需要建立维持企业运营的“法”度,通常情况下,制度因问题而生。三是控企业内部“运营风险”的工具和方法,防止偏差。四是应对企业运营风险的具体措施,固化下来,按要求做。会有人质疑:你解释的不对,而且有些矛盾。因为你思考了,但思考的起点限制在了“单一制度”的理解,没有看到企业制度管理的“结构与层次”。关于这一点,笔者在制度管理中谈过很多,不再赘述。但有一点,在企业顶层制度结构中,大部分体现了外规转内规,体现了由于企业自身需要管理运营秩序而开展制度建设的动因。不相信?随便从企业中找一个顶层制度,仔细研究一下,就会形成结论,绝大部分不会超出以上两点。在合规管理定义中,包括了公约、法律法规、行政规章、管理或监管政策、企业制度等等。无论怎么理解,其实都是一种“制”的存在,或具有公信性、或具有强制性等特点,都可以简单理解为是一种“制度”的不同形式。管理不是思考的越复杂越好,而是“至简至全至细”。一个制度管理基础非常好的企业,开展合规管理体系建设,理论上并不包括“外规转内规”的过程,这是企业制度建设的过程,而不是“合规管理”的过程。但现实往往存在差距,所以,合规管理也是企业完善自身“制度建设”的过程。企业中,即使不是来自于“外规驱动”而形成的较高阶制度,也是合规建设的根源,这是如何理解“合规管理”的问题,我们放后边谈。“合规”的前提是“有规”,合规的核心在于“对制度规则”的执行和度量。笔者一直强调:合规管理不是孤立的工作,与企业的制度管理密不可分。从制度本身分析,笔者把制度的内在要素归纳为4个方面:一是运作逻辑的统筹,即程序。程序离不了角色,这就是制度中为什么经常出现组织与责任、制度内容中分阶段进行布局、描述的原因。二是体现“人性”。这一点非常重要,但能做好的不多,为什么?因为企业制订制度,本应由经验丰富、认识系统的高阶人员承担,但现实中,却总是由新人或者不忙的人承担,这就是现实。三是体现“基线”,制度建设是立规的过程,合规与灵活是一对背反指标。基线即底线,底线不单是为了“束缚”,也是为了“灵活”,“法无限制即可为”,“制无废止须执行”就是这一点的体现。认识“基线”就是认识“合规义务”的过程。四是体现“激励与惩戒”,激励与惩戒经常同时出现,激励是为了引导守规,“惩戒”则是通过“度”对不能容忍的偏差结果进行的处罚,“过度的偏差”即“风险状态”。处罚以“结果”论,不以“风险”论。在规范的制度管理中,制度是分类、分层的,这就是常说的基本制度、管理制度、作业制度、基础规范制度的来源。一套好的制度,会遵从“由面到线”、“由线到点”、“由大到小”的逻辑,最终反映到“作业类制度”和“基础规范类制度”,作业制度即 “风险应对措施”。原理同“流程管理”的分类、分层、分场景一个道理,不过流程管理是按照“阶段、程序、作业、活动”进行表述,异曲同工。作业制度的出现,就是具体的“合规风险应对措施”。合规建设既是一个提高“制度执行”能力的过程,也是一个“反思、检视”制度完善性、有效性的过程,进而反映企业的“制度管理水平”。本文有一个观点:外规转内规是制度建设的内容,而不是合规管理的内容。但现实中,大比例企业的制度管理基础是薄弱的,这一过程仍会存在。制度管理基础的强弱,并不是“以制度的多寡、制度的覆盖面”而论,而在于是否能够“反映制度涉及的业务域整体逻辑,直至作业”,既要满足高层管理者的关切、中层管理者职能责任,也要满足相关工作人员执行的需要。必要的制度一个不能少,多余的制度一个不能有。如何从合规管理角度把握“外规转内规”的度?是仁者见仁、智者见智的问题,取决于对合规管理认识的深度。具体工作原理,与“企业制度向合规建设转化过程”基本一致,但也需要界定一个阶段标志,不能与基于企业制度的合规建设混为一谈。合规建设从“识别风险”开始?还是从“制度”要义开始?这是开展合规体系建设中的一个逻辑问题。现实中,很多企业通过“各部门、各岗位识别各自合规风险”开始,逻辑错位了。合规建设建立在“有规”的基础上,制度是本源,而不是“风险”,但风险是带来违规结果的“动因”。拥有良好的制度管理基础,会降低企业合规建设的难度和复杂度。无论是外规转内规,还是内规转合规,都会经历一个义务识别、风险评估、应对措施制定与明确责任的过程。而外规转内规的“应对措施”如何反映,就是颗粒度问题。外规转内规的目标,是是否形成了能够承载外规义务的企业内部制度,目标是否实现,以结果论。“是否完成了转化?反映的是哪一个企业制度”,到此为止,不能再延伸,否则就会陷入“无休止的陷阱”。这个阶段目标,既是一个企业级“合规建设活动”的作业过程,也是审视“制度完善性”的过程,还是“度量”企业制度与外规义务符合性的过程。企业制度的合规建设,是同样的作业过程,但它的“应对措施”是找到“作业制度”或“作业流程”,应对措施反映出作业制度名称即可,大可不必再把“作业制度条款”割裂展开,“作业”是连续的活动,不能断章取义,到此为止。把握好合规建设工作逻辑、表现的颗粒度、结果的表现形式,就是笔者“合规建设从制度中来到制度中去的端到端”观点的来源。合规建设中,合规风险是风险管理中的“风险要素”,而不是风险状态。合规风险具有鲜明的个性,体现在“是与非”,即“对就是对,错就是错”,对风险的表达没有“如果”的模糊假设,一定是“没有”、“不”、“未”界定清晰的语言表述,不具有“可衡量性”,何谈“度”。如果企业合规风险清单中是“如果”式的假设,百分只能得十分。可以这样理解“义务”,主体给予你一定范围的“授权”,你可以按照授权行权,但“授权”是有条件的,必须要执行什么?否则会招来授权者的处罚,这就是“红线、底线”的问题。现实中,合规建设常见问题:制度中的“条条款款”怎么看都有责任,哪个都舍不得丢失,造成合规风险清单多而复杂的现象。找到能触发来自于不同层级、方面结果处罚的“红线和底线”内容,就是必须执行的“义务”。义务的大小、轻重,与认识的层级、管理和责任相关。企业在开展合规建设的现实中,会遇到很多问题或困惑,譬如,来自于不同部门识别的“合规义务”、“合规风险”、“风险结果”等表述各异,怎么解决?出现这一问题,责任并不在各主体部门,而是合规主管部门没有“统一语言”。在企业合规管理中,合规义务无非就几类性质,譬如“程序合规”、“作业合规”、“时间合规”等等,风险结果也无非就几个类别,但需要划分外部、内部的两向结构,需要通过定义,形成统一认识的基本参照标准。认识来源于实践,知识回馈于实践,是本号坚守的宗旨。我们不过度去从渺茫而滴水不漏的“理论”去阐述,原因是“实践必然由理论指导”,而经过实践并被证实的方法论,通过总结得以传递,就转为实践知识。由于时间原因,再加上全是实践与思考的原创,在发布的文章中会存在不少瑕疵,也不会浪费时间去做版面美化,请朋友们理解。我们不否认,当一篇文章过度论述“实践”的时候,会暴露出一些问题和短板,原因是实践的环境基础不同,会带来认识上的不同,但有一点可以达成共识,企业追求的是实践,而不是理论,除非它是理论研究型企业。来源:天锦-郑老师
