01.法治央企与合规管理的关系理解

如果站在国家或国家部委的层面看央企，法治央企与开展合规管理工作，可以认为是“目的与措施”的关系；如果站在央企的角度看，法治央企与合规管理的关系，就大相径庭了。

企业合规管理的外延，要远大于企业中法务职能覆盖的范围，企业法务承担的职能，反而是为合规管理营造普法、知法、守法的合规环境；法务开展的各种法律符合性审核，恰恰是为合规目标提供保证的“内控”措施；即使合规管理失效后，发生的法律纠纷问题处置，似乎也是合规管理的事后补救。与看似称谓上的“权威性”无关，因为，企业法务，就是因合规追求而生的一项职能。

为什么换位后，出现这么大变化呢？

认真思考一下，这种提法转换到央企，其内涵是什么？应该变成了“依法立规、依规治企、合规经营”，因为，企业站不到国家部委的那个位置，他是守法者的站位，而不是执法者的站位。

央企是社会中的一级组织，如果把建设法治央企做为目的，绩效就是依据法律治理企业，不发生违法违纪风险，其逻辑是企业成为面向企业内部实施监管的执法者。

值得品味的是，同样12个字，意思全变了。别急着给出“曲解上级部门精神”的结论，几个字的变化，反映出了什么？

反映出央企落实上级部门“强化合规管理，打造法治央企”要求的指导思想。是不是感觉落实上级精神和要求的路径变得清晰了？是不是感觉具体多了？是不是合规、内控找到了发力点？“依法立规”的说法，是不是还呼应了中央企业合规管理办法中“建立合规制度”的工作要求？

这样的变化，不仅没有违背上级主管部门精神，还属于做出了积极的回应，表达出了怎么落实的工作思路，而且还符合企业的管理实际，是可实施的。可惜的是，社会上、企业中敢主动思考、领悟的人太少了，很多人都会采用“上面怎么讲、企业怎么说”的办法，这样做的好处，最低程度不会犯错，也不会有发生异议，但管理工作不是这样做的。

02.谈合规管理离不开内控

无论是企业还是咨询机构，导入一套方法或体系，都应该站在企业角度思考：最先想到的应该是目的，然后是绩效、逻辑、工作组合与活动，之后是产出形式及作用，最后才是衡量能否与上级管理要求匹配，从而纠正逻辑、工作组合，并规划实施。

合规管理与内部控制，都属于来自于外部或上级单位部署、推动的工作，但实质仍是企业应该主动开展的工作。为了促进工作的落实，推动单位往往会对结果提出模板化要求，有时候就会无意识地牵引了企业的动机，导致落实工作的目的发生了变化。

譬如：合规管理中的三张清单、内部控制中的梳理流程、嵌入内控的说法，很多企业都忙于追求怎么做出三张清单，怎么形成一套流程化内控手册，却疏忽了体系建设的真正目的，疏忽了对开展这些工作意义的真正理解，疏忽了体系运作的持续性——机制。

机制，不单是每年评价一次体系，形成一个评价报告，然后领导层进行审议的机制，而是持续产生清单、持续发生合规管理效能酵化、持续优化体系的运作方式、方法。

产生一套符合要求的结果形式，仅仅是短期目标的反映，可以反映短期的工作成绩。但任何体系的建设，本质是要用的，而不是仅为了满足上级要求、应付上级检查，都需要转化为可持续的有益于企业发展的工作，这才是对企业的贡献。

就好比当下不少企业出现的现象，搞出一套反映法律合规要求的风险清单，不是说法律法规不重要，但你见过哪家大型企业是用法律、法规管理企业的，你见过企业员工有多少经常研究各种法律条款的？

就好比当下一些企业出现的一景，突然出现了第二套岗位员工合规职责手册。要知道，组织管理之道，组织管理手册只能是唯一的一份，避免歧义。合规管理“第二张清单”，仅是要求把合规义务纳入到关键员工岗位职责，宗旨在于堵住“法无禁止尽可为”的漏洞，但产出仍然是组织及岗位职责手册。

就好比当下盛行的“X位一体”的说法，似乎要重新建设一套新的合规风险管控流程一样，熟不知“第三张清单”，指的就是可以发挥控制作用的流程。因为，内控作用的风险，本身就包括合规风险，合规管理工作的内容之一，是去审视流程与内控是否具有防范合规风险的能力，确保把一些岗位职责中的底线、红线型合规义务，写入对应角色的“作业指导书”。

对合规风险的管控有3种基本的表现：第一种是员工的自控力，即掌握岗位合规义务要求，加强自我约束力，这一点还与“价值观”有关，是为“势”；第二种是不以员工自我意识为主导的内控，所以，合规管理离不开内控，是为“控”；第三种是事后的举报与监督，是为“查”。

那么什么是内控呢？企业为实现经营目标，防范运营风险所建立的制度、流程与角色执行标准。所以，内控的范围是非常宽泛的，并非当下流行的参照18项指引梳理的部分流程、对其中控制活动作业说明进行具体化规范所能代表，何况，有些内容也并非流程所能解决。那为什么这种方式成为内控建设的“主流”呢？

因为，制度管理是大型企业中已经存在的存量职能，可能与内控管理分属不同部门，很难做到功能间的统筹推进，但并不意味着企业内部控制建设不包括制度，也不意味着合规管理因“强化合规管理，打造法治央企”的表面理解，把合规管理的重点导向“法律、法规”，而疏忽了用以管理企业、员工的制度。

对工作内涵与外延的认识出现了失误，一定会导致工作重心的严重偏移而影响效果。

我理解合规管理办法中讲的加强合规管理与法治、内控、风险管理协同，不是让企业必须进行什么所谓的“一体化建设”，而是已经有的，要互相利用，新工作的导入，要注意存量工作的补充、完善，打通相关工作之间的关系界面，从而形成整体效应。何况，这些工作也不是呈现一本手册就能解决，手册只是进行体系管理的一种方式。

03.如何生成“三张清单”并发挥作用

在合规管理工作中，经常提到三张清单：合规风险清单、岗位职责合规清单、流程管控清单。这三张清单是什么意思？怎么生成？有什么作用？

不少专家经过周密思考，基于表面理解做出解释，甚至还会给出合规风险清单，可以与岗位合规清单并为“一表”的答案。

现实中，不少单位就是这样做的，并表后变成一个横幅极为宽阔，必须横屏不断拖动才能浏览的小字大表格，但不影响宣传和对工作落实的表达。

如果仔细分析，如此宽阔的表格内容，居然很难发现企业中最担心发生的超权限违规风险描述，因为，一是不能再加内容了；二是外、内兼备的法、制多重规则集聚于一表的做法，从组合上就出现了问题，主要是不熟悉企业的制度管理方法所致。

但是，企业中超权限决策重大事项，如果造成重大损失事实，是何等的违法、违规问题？那这样的表单又有何意义？

为什么会造成那么宽阔的表格？因为，跨度太大了！把国家法律、地方法规、部委规章、制度与一个部门中的岗位关联在一起，那是多么漫长的一条路！

既要有“外规内制”的名称，还要体现风险名称、风险级别、风险程度、合规要求、底线与红线、责任部门、相关岗位。如果再遇到题目、条款内容很长的规则名称，您大可想象，结果会何等壮观！

我曾针对合规管理，做出一个基于各种事儿的详细业务关系图，其中，涉及法人治理中分权授权、制度、内部控制、风险管理、法务、审计、纪检监察、企业巡查，甚至还涉及企业的信访工作。

如果深刻理解企业中各职能之间的关联关系，理解企业化解法规与政策风险的常用之法，理解企业内部控制的真实构成，完全可以让三张表单各有其用，单独成形，结果符合要求，且对员工还有参考、学习、应用价值。

做任何工作，我们都要先清晰目的。合规管理的目的不是三张表单，这是工作要求，合规管理的目的是…，什么？怎么又有人说防控违规风险？也对，只看到了字面意思，咱们往深处看一看，与企业关联起来：第一，让合规管理助力企业的管理有效，违规风险发生的概率就会降低；第二，让产出的结果符合上级的要求。怎么做呢？

其实，《中央企业合规管理办法》已经给出了答案，但必须深刻理解其内涵才行。

第十六条 中央企业应当建立健全合规管理制度，根据适用范围、效力层级等，构建分级分类的合规管理制度体系。

怎么理解这个条款呢？这里的合规管理制度，指的是能够承载不同类型外部规则要求的企业内部制度，不然，还把责任压实给“各部门”？而企业中的制度管理，就是采用分类、分层进行管理的，不用考虑。

只不过，受这个办法的题目所限，不好表述，故统称为“合规管理制度”，就好比内控文件中，国资委也会提到“内控制度”一样。其内在含义可以理解为：企业依据外部规则建立的内部制度，必须具备不会违背外规合规要求的能力，必须具备不会违背上位制度合规要求的能力。即用制度的确定性，不断收缩、挤压触及违规要素的空间。

企业面对的外规，涉及太多方面，企业的制度建设，需要结合实际，通过“分类”解决这一问题。那分级到什么程度呢？办法也给出了答案，就在于“合规管理制度体系”。分类分级指的是横向分类、纵向分级、层层提高“具体化程度”的意思。

企业的制度分级，最末级、最具确定性的制度，是标准控制型制度。譬如：公务接待管理细则、领导人员公务差旅费用管理细则、员工行为规范等等，这些制度是不可拆分的，是颗粒度最小的制度，或者，是管理类制度附件中的模板、表单，否则怎么叫“合规管理制度体系”呢。这些内容，才是有效“管控违规风险”的措施，其功能就是内部控制，而不是“贯彻、执行”之类的话术。

这种方式，也是德鲁克讲的：防范法律法规风险最好的方法，是转化为更严厉、更具体、更有效的内部控制。

说到这，再多说一句题外话，依目前流行的做法，拿套“通用流程模板”适应性复制进行内控建设，很难落地。会有人质疑：我们做的内控可以落地，领导也在签字审批，而且也没出过什么大事儿？

做个假设，可以设想一下：把企业当下做的流程与内控、合规管理取缔，看看企业运作会不会受影响？然后保留当下的流程与内控、合规管理，把制度全部取缔，让企业依据留下的内控、合规成果运作，看看会是什么结果？他们是不可分割的几个部分，这就是要协同而不是一体的意义。

企业中大部分管理类制度、操作类制度、标准控制类制度等，都具有内控功能，只不过，制度管理、内控管理职能可能分设于不同部门，内控部门参照其它企业的做法，会误认为：梳理流程建内控，是内控建设的全部工作，不是那样的。又是谁讲过，别的企业做的，就一定正确？

这就是某证券交易所质询某券商：请说明内控如何保证财报证实性，但回答不成功的原因，不是狭隘内控的理解，而必须是广义内控的回答，是跨部门的。

这也是合规管理办法中，为什么多次提到制度建设的原因。内控是防范违规风险、通过监管及时发现并纠正不合规行为的最佳措施，即使生成的风险清单、岗位职责合规清单、流程管控清单，都具有直接或间接的控制功能，也并非唯一。

所以，企业中的制度，与内控、合规管理、风险管理、法治、监督、各种职能管理中的监管有不可分割的关系，制度是合规管理之魂，内控是合规管理之手，普法是合规管理之境。本身都是全面的，那需要做到“几位一体”才合适？

啰嗦这么多，那怎么生成合规风险清单呢？

首先，不要被“清单”二字的表面意思迷惑了，清单并不意味着只能是一行一行的大EXCEL表合成。

其次，既然是合规风险清单，自然需要风险评估的过程才能产生，评估什么呢？风险因“规则要求”而产生，自然从与企业有关的外规开始。现实中，企业也是这样做的，只不过这个过程体现在“思评、讨论评”，把这些隐形的、不稳定的过程，显性化地规范下来，让他们稳定、确定地去做，本质是流程管理的“思想”。

做一个假设，如果我给企业做合规评价，从表单中看不到证实合规风险评估的过程痕迹，我就会认为清单是填写出来的，即使能够找到对应的法规、制度也不行。因为，即使表中显示了很多“风险词汇”，即使内容是正确的，也不能证明这个表跟风险评估有关系，填表是“个人认识”的行为，你不能把个人认识强加给所有员工。既然是对体系的评价，当然要拿证据说话。

别产生误解，合规风险评估，绝不是法规中标明的“给予行政处罚”、“罚XX-XXX万元”、“追究刑事责任”而判断，必须理解风险评估的目的是什么。

风险评估的目的在于：第一，外规约定的合规要求、违规处罚是客观的，只要与企业有一定相关性和频率，企业就必须承担合规的责任与义务，即只能“风险承担”；第二，要衡量企业的抗风险能力，同样的风险，对不同企业、不同员工是不一样的，所以，这个风险表不是通用复制的；第三，风险承担绝不是等着，而是要采取风险解决方案，即内部控制，这不就回到是否需要“外规内化”了吗，也是与企业的制度、内控的衔接接口。这就是最外沿风险评估的目的。

需要设想的是，我们要构建的是一个可持续的机制，所以，风险评估的方法必须保持一致，即要找到风险评估的“确定要素”，建立一个“评估标准及风险判断的规则”，让每一个员工掌握这套操作简单的标准模型，从而达到风险评估遵从标准的一致，这样才能可持续、可操作。毕竟，外规搜集与所有部门、所有员工有关，不是合规管理部门之责，所以，很多结果是需要周密设计出来的，不是通过整理填表的。

那结果是什么样的呢？别忘了目的。如果外规风险很高，且企业尚不具备抗风险的内控能力，那这个外规，就是企业要求“相关岗位人员，必须重点遵从的内部规则”。

比如，国资委发布的“严禁央企开展融资性贸易、虚假贸易”制度，对央企来讲，它是外部规则。为什么央企能够拿着国资委发布的制度，立即开展大检查呢？很多人讲，是国资委的工作要求，没错，但还没总结出内在的管理规律。

一是紧急，企业来不及建制度内控，只能把它视同为“内规”管理，企业直接用“外部规则”作为监管依据，相当于把外规纳入到企业内部制度管理的范围，视同为内规了，必须直接遵从。但现在看央企，很多都建立了自己的内部制度，这就是企业如何对待外规的“管理规律”。那为什么要直接纳入内部管理呢？

二是责任明确，查到谁，就地免职主要负责人，这个制度“有势能”啊，企业就感觉到风险程度很大。大可理解为：通过运用风险评估模型进行评估，发现企业不具备满足该制度合规要求的抗风险能力，所以，必须视同为内部制度一样，以它为依据，马上启动监管。那这应该属于什么风险呢？

如果企业把合规风险作为企业级风险分类，就看合规风险再怎么分类规划了。合规风险清单是题目，表中风险就是“违反经营政策风险”，是一个对应并反馈企业合规风险管理规划架构的过程。那怎么反映制度中的合规要求呢？该文件中明确的底线、红线设定，即风险因子。那怎么体现风险防控措施呢？

接到这个制度，企业会怎么办？拿着制度去清查吗？绝对不会：一是发文周知，视为公示；二是文中必然明确要求，自查并报送自查结果，自查必须有自查表吧，文件中的自查表即风险防控措施；三是根据自查情况，企业开展检查、排查，并将结果报送国资委，这个措施就可以表述为“组织审计、财务、某业务部门联合监督检查”。那怎么找到责任单位呢？

该制度覆盖的所有单位，包括集团公司、下属各单位，责任人是谁？企业主要领导。所以，合规风险清单的作用，是做这个工作的，循环下去，就形成一张张“合规风险评估表”，归纳起来，就是企业的“合规风险清单”。那是不是太多了，那么多外规？其实，办法也回答了。

第十八条 中央企业应当针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域，以及合规风险较高的业务，制定合规管理具体制度或者专项指南。

中央企业应当针对涉外业务重要领域，根据所在国家 (地区)法律法规等，结合实际制定专项合规管理制度。

另外，这个风险评估模型具有排除功能，经过风险评估，违规风险不高，被评估的规则是可以放弃的。这就是我以前文章中经常提到的，合规风险评估最终对齐的，一定是“企业直接遵从的那个规则”的原因。而这个过程，是通过层层风险评估、现有内控能力的综合匹配完成的。这个层层，要抽象理解，有些规则，通过直接判断就可以得出结论，譬如：央企对劳动法的合规管理，企业中的内控都成熟到什么程度了，可以去审视完善性，如果没什么漏洞，就没必要再重新整理一遍，而是直接对齐内部制度。

所以，合规风险清单中的风险管控措施，要么是制度、要么是流程、要么是模板、要么是表单，最差的也是具体行动，与制度管理、流程控制引发了呼应，这就叫协同。协同是设计的接口结果，不是放在一个手册，就是一体化，就是协同。

这种方式解决了什么问题？

一是合规风险清单的形成过程，会促进企业制度的完善，有助于解决企业制度建设适应性、全面性、系统性问题，解决的是“依法立规”问题；二是结合风险可以找到被监管者的适用规则，有针对性地履行监管、监督责任，解决的是“依规治企”问题；三是对员工来讲，通过清单既知道了风险及合规要求的具体化内容，也找到了“怎么做”的依据，解决的是“合规经营”问题。

综合下来，通过企业的种种措施，用合规管理行动落实了国资委提出的“强化合规管理，打造法治央企”的要求。

解决了合规风险清单问题，岗位合规职责清单怎么办？

经过合规风险评估，形成了合规风险清单之后，风险防控责任一般都会分解到相关部门，意味着合规风险责任与部门负责人建立了关联，承担的是该规则合规要求的完全责任。部门怎么做？其实《中央企业合规管理办法》也给出了答案。

第十三条 中央企业业务及职能部门承担合规管理主体责任，主要履行以下职责：

（二）定期梳理重点岗位合规风险，将合规要求纳入岗位职责。

解决了岗位合规职责清单，流程管控清单怎么办？

复盘流程与内控部分建设成果，评价流程管控合规风险的效能，实施流程优化，结合合规风险清单、岗位责任清单，将合规义务写入相关角色的“作业指导书”。通过流程与相关风险的对应，形成风险与流程的索引表即可。

来源：互联网