在国家治理体系和现代治理能力持续加强的环境下,在企业开始走向国际市场的条件下,尽快建立完善的企业合规管理体系显得愈发重要。这一点,毋庸置疑。这几天,相继接到两个企业合规管理负责人的电话:一个企业希望就已经完成建设的合规管理体系进行再完善。而另一个企业,希望把制度管理与合规管理关联起来开展体系建设,我跟他讲:你们选对了路径。在企业合规管理体系建设中,很多企业遵循了合规管理指引的基本内容和工作要求,构建了企业合规管理治理机制。企业合规管理,或以制度反映治理机制,或以手册包揽整体。无论哪种形式,合规治理机制都包括了从组织与职责、合规管理重点、合规义务认识到合规风险评估,到违规举报、调查、追责、培训、合规文化、评价改进等体系的闭环。当然,更不会缺失“企业合规管理行为准则”这一基本构成。然后,联系企业所处的行业、市场、内部业务环境实际,从外规赋予企业的合规义务、企业内部制度义务、企业纪律管理、党纪党规等规则基线出发,开始了义务认识、风险识别、风险结果、关联制度、提出应对措施等结构化工作。企业合规管理的产出,或以合规手册作为指南,或以风险清单的形式展现,辅以治理机制的结合,反映出企业合规管理体系的基本框架和内容。此谓静态,也是企业合规管理工作的前半场。企业合规管理体系如何运行,则因企业管理能力、重视程度、是否较真的不同而表现各异。此谓动态,是企业合规管理的后半场。我们暂不谈后半场,仅就前半场的建设部分进行讨论。单从合规管理维度看,无论是与企业关联的外规搜集,还是外规转内规的道理,本质上都是在找合规管理的根源。对企业合规管理者而言,并不是什么高深的道理。难的是外规搜集的标准如何把握?哪些外规需要转化为内规。无论采用哪种方式,与企业要素相关的法律法规、行政规章、政策,企业的制度都是合规管理的本源。企业制度管理基础的优劣,直接关系着企业合规管理体系建设水平的高与低。从企业整体角度分析,制度管理、合规管理、内部控制、风险管理、法务管理、审计与监督有着非常大的关联关系,但从各个专业属性、特点、目标分析,又有不同的表现形式。找合规管理的根因,必须搞清楚几个关系,笔者总喜欢把全面风险管理定义为一个系统:把风险管理定义为系统结构,把合规管理定义为面向“守规”目标的一个风险管理子系统,把内部控制定义为风险管理的基础支撑子系统,把审计与监督定义为监测子系统,把企业运营中业务系统、专业系统作为执行风险管理的不同功能的分系统,把制度管理定义为风险管理的测控分系统。这里出现了一个业务系统、专业系统的概念,这是企业存在和发展的核心职能,企业任何管理都不能忽视核心职能的存在,全面风险管理体系当然也包括合规管理,也不例外。分系统的建设,依据的是系统结构的划分、功能目标要求与各分系统的耦合接口标准,系统并不关心各分系统的具体实现方式和方法。各分系统通过有机集成,基本构成了系统的存在。即只要业务功能系统、专业功能分系统、制度测控分系统能够在风险管理结构框架下协同运转,全面风险管理体系就基本实现了。其中的制度测控分系统,则是各功能系统协调运转的“管理与控制中枢”,维持了各功能在结构框架位置上的运作秩序。那是不是意味着合规管理、内部控制、审计与监督就没有建设的必要了?当然不是,子系统的存在,是为了更好地提高分系统、系统的品质,这就意味着合规管理、内部控制、审计与监督都具有“锦上添花”的专业特质。锦上添花的“锦”就是他们存在的根因。为保证制度更好地发挥“测控”功能,需要提高“制度可靠性”、“执行有效性”,及时了解并掌握系统整体、功能分系统的“执行”状态,为后期的改进提供支持。这是一个系统工程思维比喻的展现,我们可以认为:合规管理是提高制度可靠性、执行有效性的专业保证措施;内部控制是提高“制度发挥控制功能”的专业保证措施。为更好地掌握系统、各分系统的运行状态,需要审计监督进行动态的“监测”,审计监督是依据制度进行监测诊断的专业保证措施。在企业中,任何具有“保证”属性的职能,都具有“风险管理的典型属性”。当然包括安全生产管理、保密管理等职能。以上分析的观点,并不一定被所有人认可。但不可否认:合规管理、内控建设,都取代不了制度在企业中的“法”定地位。企业合规管理,是风险管理的构成,与企业制度具有密不可分的关系。讨论合规管理,必须深度了解企业制度的管理规则。制度是规范企业运营秩序的措施,是企业管理风险的实践总结。制度的格式本身并没有严格标准,只不过从国家法律法规体例、表现格式中转化而来,久而久之,就成了被企业、员工公认的制度建设规则。一个中小型的企业制度,可以通过公文形式展现,但大型企业的制度则有一套管理规则。制度管理规则的存在,根本上是为了解决好制度定义、制度结构及功能、审批权限、发布执行、持续优化的问题,从而让制度更好地发挥维持企业运营系统秩序的作用。由此,我们耳闻能详地出现了“基本制度”、“管理制度”、“操作制度”“规范制度”等等,并对每一类制度进行功能定义。当然也可以按级次进行简单划分,并辅以对应的审批权限,至于怎么称呼,对企业来讲,都没有“违规”风险。管理规范的企业,为提高对制度功能的辨识度,会通过“体例”的设定进行直观反映,核心在于清晰而没有交叉的“定义”。统一语言,是统一认识的基础。无论是按制度功能,还是层级进行划分,都是一个从高阶到低阶的细分过程。这里的“阶”不是哪个制度地位孰高孰低的问题,而是一个由逻辑管理到具体操作的划分。“阶次”越低,可操作性越强,可衡量度越高,控制形式越微观;“阶次”越高,原则性越强,关键点距离越大,控制力越高。操作类制度基本达到了作业流程与活动要求的程度,这类制度中经常包括“表单”、“作业流程”附件及重要活动标准。基本规范类制度一般指的是“通用标准”,譬如,合规管理的“行为准则”,就可以认为是一种基本规范类制度。企业中的内部控制是一种管理职能,在宏观上体现为机构职能不相容原则,在微观上体现同一机构下的岗位分离。通过对制度的认识,我们能够发现,一般情况下,重要的内部控制存在于基本制度、管理制度中,微观的基本内部控制存在于操作类制度。企业合规管理是面向“防范违规风险”的管理职能,怎么防范违规风险,是合规管理的“核心”重点。在企业中,阶次越高的制度,控制的是关键节点(KCP),由于过程的可衡量性较低,合规风险的程度和发生概率也就比较高。为了提高制度的执行度,从而细化到“操作类制度”。由此看来,操作类制度本身就是防范合规风险的具体措施,问题是如何给执行客体警示“合规风险”,这就构成了合规管理“风险评估”的中心内容。这两年是企业合规管理的高潮年,当企业完成合规义务认识、风险评估、制定了风险应对措施,明确了责任主体之后,通过合规管理手册的形式,为合规管理体系运行提供行动指南。在与企业合规主管领导交流中,普遍反映的问题概括为5个方面:- 合规风险的表述,怎么看都感觉是对制度内容从“违反”角度进行的阐述,相当于制度条款的“反向翻版”。
- 风险应对措施,大部分都是“加强制度的执行管理与监督”、“建立追责机制”等等,或者把制度中的内容再正向复制一次,难谈存在的意义。
- 在风险责任后果方面,虽然列出了很多行政处罚、处分、追责等表述,但总感觉“缺少衡量标准”。
- 制度中很多条款都是管控要求,从合规管理角度看,哪一条都必须遵循而不能违背,导致合规风险库丰富而饱满。内容越多,意味着可观度、可借鉴度的降低。
- 一个普遍的现象是,与其从长而复杂的合规风险表单中仔细了解“合规义务与风险”,倒不如仔细研阅关联制度,工作越做越复杂了。
一是过度陷入合规管理理论的陷阱,把合规管理复杂化了。合规管理理论是“单维零基础”的论述,从把制度作为义务的源头开始,甚至还要结合流程、权力进行梳理,但忽略了制度管理中提高制度执行力的实践基础。二是合规管理体系建设者和参与者没有搞清楚合规管理与制度管理的关系。制度反映的是运作逻辑的统筹,好的制度设计会体现“人性”因素,在刚性规则之下释放“合规范围”内的灵活。过度的合规管理,反而会扼杀“灵活”空间,这就是合规管理与灵活的背反效应。三是没有把握好合规管理“锦上添花”的定位,而是添累了。企业制度本身就是“法定”规则,合规管理绝不是逐条逐款从“反向”的再整理,而是“红线、底线”思维下的“不确定”行为,以及可能带来的状态结果。四是没有完全领悟到不同类别制度的作用,操作类制度就是对上位制度“合规风险”的细化应对措施,绝不是模糊的无评价标准的“执行、监督”所能替代。五是企业制度管理基础薄弱,带来企业合规管理体系建设的难度。从一个企业来讲,制度库一般包括5个制度包,每个制度包中又形成逐层分解的制度结构,从而构成一个完整的域类制度架构。分别是“与企业相关的法律法规包”、“行业规章与监管政策包”、“上级单位制度义务包”、“企业制度包”、“基本规范制度包”。其中企业制度包包括了“企业自建制度、直接执行的上级单位制度”;基本规范制度包则是“来自于上级单位通用的唯一性制度、企业自建的规范类制度(极少)”;“上级单位制度义务包”,指的是作为本单位建立制度的依据来源,而不是执行的制度,但二者在内容上不能发生原则性抵触或矛盾。这就是开篇中笔者提到的:把制度管理与合规管理关联起来进行,你们选对了合规管理体系建设路径的原因。
作者:天锦郑老师
