在阐述一种方法、策划一个方案、实施一个项目之前,我喜欢进行系统性跨域思考,然后再加以定义,这是多年学习、实践养成的习惯。譬如,临近空间(出自临近空间技术研究所组建方案,方案设计与起草者、机构组建到交付的直接组织实施者)、航天运输系统(出自航天火箭院首部十五年发展战略,策划与起草者)、内部控制(公众文章)自行定义等。做好定义,是统一认识、支撑决策,推进工作顺利实施、实践的关键和条件。
为便于理解,我把企业合规管理定义为:企业为保证运营安全,对各适用规则进行识别、分析,主动承担规则义务、满足规则要求,践行各项公开、正式承诺所采取的管理方法和实践过程(注:规则是一个宏观概念)。
这几年,风险管理热持久不衰。一项具有相似属性工作的导入,不应被热点所束缚。否则,企业员工还没明白合规管理的本质,又将陷入风险管理、内部控制认识的漩涡(本文会从细微处体现风控、内控与合规管理的关系与契合)。
也许有人会说,定义缺少了合规风险评估的环节。现实中,告诉员工进行“风险评估”,还不如告诉他:要结合业务实际,动态识别可能来自于外部监管、政策限制带来的处罚问题更为直接、实际,可以设计一个专题表单简化工作流程。在企业现实中,告诉领导者“做什么”是合理的,对广大员工来讲,他们最想知道的是“该做什么,该怎么做”。
对企业来讲,定义是否严密,无伤大雅。只要不违背其内在本质,只要有利于企业员工能够达成广泛统一的认识,能够让员工按照设定的反映事理逻辑的“规则”去执行,只要满足上级工作指导精神和要求,足够了。
企业建立一套管理体系,是否能够保持有效,很大程度并不取决于该体系本身,而取决于母系统的定位、运作架构和机制。保持企业运营安全和运营效率,是任何企业必须面对的永恒主题,也是所有管理体系建设必须考虑和平衡的问题。
合规管理是从合规维度进行的体系建设,是直接服务运营安全所开展的工作。合规管理系统、制度管理系统、风险管理等系统的母系统都是企业的运营管理体系,其中,法务、制度管理体系的部分成果,是企业合规管理体系的输入,通过合规管理体系的作用,支撑、服务于企业的运营安全。
现实中,一套管理体系的设计与建设结果难以落地,并不是因为体系的设计与建设者不明白单一维度管理体系的机理,而在于对机理的把握和相关系统间的平衡与选择,取决于管理者的认识深度、经验与系统思维。
合规管理如此,制度管理、内控管理、风险管理都一样。我们进行一次反思,经常把“融合”挂到嘴边讨论问题,除了浪费时间不会起到任何作用,还不如直接找到方法和途径,跟什么融合,怎么融合,怎么支持目标预期,通过什么形式固化下来更为有效。
譬如,在很多企业中,合规管理体系包括了风险评估、外规转内规、识别外规内制赋予的义务与合规要求、设定行为底线、明确责任机构或责任岗位等等,这些内容都属于合规管理理论上的阐述内容,从合规管理机理上看,是成立的。
企业是现实的,很多大型企业中,制度管理职能是存在的,风险评估、外规内化、企业自身制度建设等环节,属于制度管理体系范畴。合规管理体系的建设,前提重点在于解决制度管理与合规管理的协同问题。
也许有人说,合规管理涉及法律法规、行政规章、公约等等,其实一个管理规范的企业,这些内容基本都包括在企业制度管理职责中,区别在于,制度管理体系“管没管、做没做、管到什么程度”而已。
安全与效率是企业运营面对的永恒主题。合规管理侧重于企业的运营安全保障,制度管理则是二者的兼顾与平衡,前提是制度必须完整、优良,能够通过不断的评估进行动态维护、完善。
制度是合规管理的基础条件,这句话可能很少有人反对,但一定会有人质疑制度管理覆盖不了“外规”。实际上,完善、良好的制度管理,包括了与企业、员工关系紧密的“外规”,也包括了企业内部制度,否则,企业大量制度就缺少了依据、基础或条件。这时候,制度管理的“制度”,赋予了“规则”更大、更广的含义。
例如,企业制度开头内容经常存在“依据XXX,制定本制度”的表述。但“XXX”在哪?什么内容?如果大家都无从查起,制度管理解决不了这么个问题,这句话岂不是空话、套话或废话。
解决制度管理与合规管理耦合问题,就是解决两大职能的匹配和协同问题,一般包括前端产出标准化和后端前移,合规管理是一个大概念,合规实践是制度管理的后端,可以参与到制度管理体系建设中,参与的目的是 “提出合规管理的输入需求,了解制度管理结构与规则,做好制度管理产出与合规实践的衔接”,实现由“串行”到“并行”的转变。
在了解过的几十家企业中,制度管理大部分是落后的,在制度的分类、分级、审批权限等方面一般会做出比较规范的规定,看似制度管理加强了,但在制度执行方面却极少涉及“执行监督规范”,即完全交给制度主责部门“责任式、自主式”负责,但制度管理职能是“专业”的,缺少“执行监督规范”的输出,制度主责部门在履行制度执行检查、监督方面不可能一致,发生了“专业机构没有发挥专业管理指导作用”的缺陷问题。
譬如:企业会面对来自于国家部委、上级主管机构、上级行政主管单位发布或转发的各个方面的制度,其中,很多包括“适用于某范围内的单位”等等描述。什么是“适用”,什么是“执行”,什么是“遵从”,下属企业应该怎么做?完全执行,企业组织都对应不上!不执行,监督就会发现问题!如果制度制定者、执行者的认识都不一致,执行、监督永远混沌,这些都是制度管理应该解决的问题。如果企业能够合理解决这些问题,企业合规管理的输入需求基本可以满足。
现实中,企业职能往往重视过程中的内控,但疏忽于“内控前移”的设计,根因在于职能管理对“事理”理解不深,把“表象”当做本质,或者说没有完全走心,或者是本末倒置,结果是该伸出的腿,却总是蜷缩在部门内部活动。
再譬如,曾在某客户企业进行调研,期间看到他们出台的制度体系建设方案和工作计划,其中对制度类别、层级的划分、审批者权限等进行了界定,对制度执行提出了原则性要求,然后就提出3-5年后 “形成制度文化”的目标设想。
但仔细看其中的内容,一没有制度怎么宣贯的机制;二没有保障制度设计规则的控制规范或标准;三没有防范制度执行客体违反制度后的措施;四没有制度文化导向的“机制”。无论如何,都看不出支持“形成制度文化”结果的过程,
所以,我给他们开玩笑:你们的制度文化要么是喊出来的,要么是计划出来的,或者只是为了反映方案完整性的“影子”,但一定不是过程中能够形成的,何况“制度文化是什么”?连喊都没喊出来。
控制风险,是企业运营的一个基本追求。无论是对合规风险,还是对流程中的可重复风险,都是一个系统性工作,任何一个单体控制手段都做不到一劳永逸,只有系统化、多维度、多点的“作用”,才能构成多维的风控环境,达成“有效”。
熙熙攘攘中,很多人常常从单一维度对合规、内控体系进行阐述,其实都是“管理”另一角度的反映。
认识合规义务,必须区分“规则”主体与执行客体,对主体来讲,“合规义务”是一种希望目标导向下的行为结果,譬如上市公司必须定期公布财报与内控有效评价结果;超过资产一定比例的重要重组活动必须经过证监会核准备案等等。对客体来讲,就转化为必须履行的“义务”,否则就会招致监管处罚。
合规义务与合规要求有所不同,对主体来讲,合规要求体现在为保证行为结果质量而设计的要求型措施;对客体来讲,合规要求体现在合规义务履行过程中的内控作用。
企业内部制度合规,也具有一致的道理,不过由于制度的细化,作用的不同,执行客体的角色在不断发生作用,由此,合规管理可以沿着规则脉络,延伸到企业、企业内的组织、岗位等角色。
制度最大的本质缺陷,只能落实到组织或制度范围内的关键岗位,在大型企业中,甚至体现不到二级职能机构的存在。合规义务与要求的识别、梳理,通过责任的落实,恰恰弥补了这一缺陷。所以,我说合规管理是提高规则执行力的抓手。
解决这个问题,需要在更大的范围内去认识。企业中组织与职责、规则流程是一硬一软两个方面。组织与职责是静态的,规则与流程是动态的,组织与职责是规则的基础,规则与流程是组织职责有效的保证。
合规管理中,识别合规义务与合规要求的意义,并不在于活动本身,关键在于找出影响履行义务、满足合规要求的过程行为阈值,即风险动因要素,行为体现于流程活动,流程活动由角色承担。由此,合规义务与风险清单的识别与建立,本质是在提出“流程活动的最低规范与标准”,这一点与内控建设的“控制规范与标准”本质相同,其中渗透着风险评估机理。如果从流程管理角度看,其实就是管理前移,可以说是洗尽铅华、返璞归真、殊途同归。
规则有两层含义:一是泛指外规内制的“形”;二是指制度内在的运筹设计及符合人性运作机制的“质”。本节指第二层含义。
之所以说合规体系的有效性取决于运营管理体系的定位、运作结构与机制,一是联系实际可以找到合规管理的重要专项,解决重要性与普遍性问题;二是在治理机制方面要解决风险管理、内控管理、合规管理、审计监督等职能可能存在的谷仓效应、决策分裂问题;三是在执行方面解决“事前、事中、事后”的衔接问题;四是在管理方面解决“指导、辅导、督导”问题。
一、二属于职能内部的管理设计,很好解决;重点在于三、四,属于跨部门的规则设计。
合规义务风险清单的建立,本质就是在建立和夯实“主动合规”的基础,发挥告知和进一步制定监督标准的作用。
二是最低行为阈值的动态监督,即日常合规考核规则,以及合规举报调查机制,发挥的是“防止违规风险发生,防范违规风险进一步放大”的作用;三是风险报告机制,包括存量运营中发现的规则执行漏洞,新市场、新业务、新规则、新情况下带来的违规风险可能;
二是违规防火墙绩效考核结果的利用,可以与选人用人、薪酬等挂钩,实现与人力资源管理的耦合。
合规管理建立了事前、事中、事后的管理机制或规则,并不意味着体系建设的完成,需要从“指导、辅导、督导” 角度进行支撑与保障条件设计,这是基于人性维度进行的深化。
合规行为准则,侧重于合规思想导向及行为原则性规范的作用,但并不一定被员工理解,发挥的是“明确企业经营合规理念,凝聚价值导向,重大事项坚守的原则及倡议”的作用;合规管理手册,是合规管理体系规则的补充与支撑,手册应具有明确的思想、原则、管理机理,以及各项规则执行的参照标准,发挥的是了解体系、理解运作、寻求执行方法与参照标准的说明作用。手册一般用通俗语言,解决的是现实的“执行指导”问题。
一是合规管理理论与机理的辅导,面向的是合规管理专业队伍;二是企业合规体系设计、运作机理的辅导,面向的是合规管理与各级管理者;四是违规案例的剖析,面向同属性类群体,本质是警示,防范重复发生,以及知识管理的作用。
需要说明的是,第三道防线的督导不是潜在的、隐藏的,而是显性的。笔者并不赞成第三道防线无限扩大角色色彩,“监督”的本质定位不可变。
第三道防线的本质是“通过结果的度量,客观反映体系的有效性,揭示存在的问题”,而不是当下盛讲的“风险管理专家”角色,更不是除监督体系之外的其它体系设计者。风险管理、内控、合规很多活动属于流程过程的职能作用,监督不能参与或改变流程。否则,必然是专家没做好,最后变得连基本的“本”都会模糊混淆。
