咨询电话
151 0105 1188
151 0105 1188
认识有两种,一种是思认,一种是体认。思认,是基于对道理的理解而形成的认识。体认,是在理解道理的基础上,从遇到过的事情中再去感悟道理,从而形成一种发自于内心的认识与行动。
01.基于“体认”看合规管理办法
很多人认识“合规管理办法”并非不认真,也不是不明白其道理。对企业来讲,合规管理办法是行政规章,适用于所有中央企业。同样,也可以适用于其他企业,只要你愿意接受。
适用,并非像很多人讲的那样,必须完全按照办法的规定去开展工作。只要不违背办法精神与原则,只要能够充分反映办法中提到的体系几大要素,只要产出结果符合办法要求,企业完全可以选择具体的实施方法,这就是过程,否则,企业大可不必建立自己的合规管理制度。
如何认识合规管理办法,决定着合规管理体系的建设思路与方法。在我看来,合规管理办法建立在两大假设条件上:
一是建立在企业拥有完善的制度基础上,但考虑到不少企业并不拥有这一基础,所以出现了第三章“制度建设”,只不过办法是从“合规”角度进行的单维系统描述,才出现了第16条“构建分级分类的合规管理制度体系”的说法。当然,也包括合规管理体系建设离不开的管合规的“制度”。这样做,是为了先把假设定义好,然后才好论述合规体系的结构与关系。
二是建立在合规管理与法务合署办公的条件上,所以出现了第21条的“因违规行为引发重大法律纠纷案件┈,合规管理部门统筹协调”的说法;所以,出现了第14条中的“负责规章制度、经济合同、重大决策合规审查”的职责说法。
现实是什么样子呢?大多央企都拥有较为完善的“法务”系统,大多都承担着第14条、第21条的职责。假如企业合规管理职能“没有设置在法务主管部门”,如果僵化地依靠“对办法的思认”去开展合规管理体系建设,就出现了合规管理部门难以履职的客观问题,甚至出现了职能之间的认知冲突。
事实上,很多企业都出现了这种问题,只不过大家都墨守成规地按照经验、习惯去做罢了,甚至还出现了另一个情景,很多职能管理部门、业务部门都出现了不少冠以“合规管理”名称的制度,似乎不这样做,就意味着没有落实办法的要求。
其实,大可不必如此刻板,按照企业自身的制度管理模式与方法,只要制度具有完善的“预防合规风险”的功能,只要建立了合规与不合规的衡量标准,制度就拥有了“具体合规管理制度”的属性。
出现以上现象的原因,也是建立在“思认”基础上的结果表现。如果仔细翻阅制度的设计内容,很多制度的名称仅仅停留在“喊”,问题出在对“制度”认识的偏差,喊的再响,实质意义也不大。
02.合规管理与哪些职能更具“协同性”
合规管理的中枢在于,用“控制不合规行为”去化解与防范违规风险。衡量不合规行为依靠的是什么?是制度,是规则。
很多人会表示惊讶!合规风险的定义是“因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性”,当然要用法律的要求去衡量!
正是基于这一认识,导致很多企业的合规义务体现的是法律条款,但是,企业又感觉现实不是那么回事儿,怎么办?法规、制度要求全部搬上去,制造一个包罗万象的“宽幅”大表单,这就是现实。
又是基于“思认”形成方法的体现。制度是替代外部法规控制的过程工具,反映的是用行动过程落实法律要求、屏蔽或排除法规明确的限制红线。出现这种结果的实质原因是:一是虽然喊着合规风险评估,但是根本就没有做风险评估;二是不了解制度管理的内涵。
现实中,很多人讲着法务、内控、合规、风险管理、监督的一体化建设方法,其实也是在“喊”,连“思认”的高度都没有达到,只是停留在对办法中第16条“健全合规管理与法务管理、内部控制、风险管理等协同运作机制”的粗浅认识。
如果用“体认”去认知,内控、合规、风险管理之间,存在线性的运筹逻辑,运筹是有逻辑线的。
合理、可行的内控,本身存续于制度、流程中,因预防风险而存在,否则就不称为“内”控;合规强调的是在完善的制度、流程基础上,对法规、制度要求的“符合”。当然,前提是制度的结构、层级要系统、完善,制度本体的设计要可行、适宜。
风险管理是什么?是制度、流程在设计可行、执行符合要求的前提下,基于经营风险的评估与管控,不存在于制度、流程中,而存在于战略实施过程中的“活动”,因“事儿”而产生不同的态度与行动,何谈“一体化”呢?需要说明的是,不要误认为“流程能解决所有的事儿”。
为什么会出现很多人奢想的“内控、合规、风险管理”一体化建设呢?仍然是“思认”的结果。混淆了“内控设置前的风险评估,然后选择是否设置内控活动”的风险管理过程,与基于年度绩效目标所进行的风险管理过程的区别。
所以,我一直在说,企业要对风险管理做出“自定义”,不然,他就是一个“模糊概念”,会因为不正确的认知,搞得一塌糊涂,除了老生常谈的“融合”之外,也就剩下写报告了。
客观讲,出现这种观点,至少说明连内控框架、风险管理框架的基本道理都没有认识到。所以,我说那是在“喊”。
那么合规管理跟哪些职能更具有“协同”性呢?既不是跟内控、也不是跟法务,而是跟“制度、监督”,而这里的监督,更多是“纪检监察、巡察”职能,审计还要退其次。
请注意,我讲的是“协同”,而不是关系。你要做协同,分工必须非常明确,而不能用“监督”这一大概念取而代之。
协同的必要性体现在哪?体现在前后职能之间的“协作化”关系,而协作是不稳定的,协同是为了让不同职能之间“保持稳定的接口”,让功能化割裂的流程保持畅通,而不是“一体化”的概念。
只有处理好了三者之间的协同,制度、流程中的内控,“预防合规风险”的作用自然发挥,即合规审查。如果说用流程去承载“合规要求”,并没有问题,也就是写入流程角色对应的“作业说明书”而已,但是,这不是合规管理建设的“全部”,仅仅是“数据”利用的问题,谈不上“一体化”。
合规要求写入作业说明书,并非局限于“内控活动”,还会涉及流程中其它“作业活动”,已经转化成了“流程管理”。为什么合规管理与法务总是处于“纠结”状态呢?有两个原因:
一是合规是一个模糊的概念,“合法”仅是其中的一部分,法务重点应对的是“法律风险”,而不是合规风险的全部,甚至连“政策风险”都不是完全依赖于法务。所以,法务工作是合规管理的一个功能构成,而不是“协同”的关系,需要的不但不是“一体化”,而恰恰是“分工”。
二是混淆了企业整体与内部运营的关系。从企业整体看“合规风险”,面对的就是外部法规风险、政策风险、员工行为的社会公德风险。就好比从企业整体看“供应链”一样,就是“采购、交付”的功能体一样,但其内里有很多价值创造活动。
同样,实质性防范外部法规、政策合规风险的,不是完全依赖于“法务”,而是制度。法务是一个“外向”附加的控制法律风险的手段。所以,合规管理的起点,从原理上在于“外规搜集、内建制度”之处。
但是,即使体认的道理,终究还是道理,要符合现实,就要认识本质,所以,体认是发自于内心的认知。
从合规管理单维的角度理解,合规管理起始于外部法规的搜集与风险评估,但事实是,这一职责由各部门分别承担,是触发“制度管理流程”的一个输入条件。所以,合规管理前端要处理的问题是:与制度管理的协同,而不是上来就大喊“一体化”建设。
基于体认的分析与实践,合规管理系统的起点在于“与制度的接口之处”,终点在于“违规线索记录与分置”之处。只有这样,监督才能仍保持其独立性、客观性。
会有人说,合规管理也有其 “独立性”,这种独立性体现在哪?如果央国企也像“外企”一样,没那么多分散的“法务、监督”专门职能,那么合规管理就拥有了“天然的独立性、监督与调查”特征。但现实是这样吗?
如果合规管理与法务同署,赋予他“独立性、可调查”的权利,在专门监督三分天下的情况下,除了法律纠纷问题之外,他真的能履行独立调查职责吗?具备违规调查“取证”的能力吗?如果合规与风控同署,这种独立性有现实意义吗?那怎么才能符合“办法”要求呢?不是与监督进行的一体化建设,而是“协同”。需要说明的是,协同是内部职能之间,而不是“独立”基础上借助外力完成。
03.如何实现制度管理与合规管理的集成
相信很多人急于希望获得方法,但是,管理重要的不单单是方法,而是逻辑。首先要搞明白为什么要提出“合规集成管理”?
看待一个问题,必须从系统的角度去认知、去思考,如果用一个不清晰的主旨去建立体系,那是非常糟糕的一件事儿:一是花了钱、浪费了时间但没起啥作用,造成成本浪费。二是体系设计不仅仅是写出一堆材料,而是要建立一套“生态系统”。
什么是生态系统呢?从企业整体看,要建立一条“管理链”,就好比企业供应链一样,实际形成了一个管道,这条管道是全连同的,每个部门都作为一个主角参与到管道中,周而复始,从而保持“可持续”。
搜集外规是所有人都明白的道理,问题是搜集到外规后怎么办?梳理合规义务、进行合规风险评估!似乎是很多人都明白的大道理。于是,不少人拿起来就开始依靠简单的理解,开启了填写“预设的大表格”之程,如果企业的管理都如此粗放,还要什么管理呢?
需要搞明白梳理合规义务、进行风险评估这个活动,是事项?还是方法呢?答案是方法。很多人表示不服,拿了几套法规就开始梳理,我要告诉你,保护国家安全秘密,是每个央企面对的最大“合规风险”,你可以按照这种做法,梳理一下《保密法》,看看有多少红线、底线,看看这样做的结果是什么。
应该做的,首先是判断法规的属性,很多法规的属性是不一样的。类似保密法这样的法规,梳理合规义务只是主管部门的一个过程,重要的是用“确定性的制度、流程、表单”去排除红线,原因是,这样的法规都是“合规要求”。
体系之所在,管道之所成,不是基于道理,而是基于现实。现实起于什么?起于根据法规的不同属性进行的分类,从而对应不同的行动,然后才具备让员工按照体系管理手册的说法,会操作、去操作,而不是“替做”。
替做,是基于什么?是基于体系逻辑、构架、流程的搭建、梳理,替做的部分,解决的是“阶段数据”,而不是“终极的、静态的目标数据”。体系建设没有结束,其生命力来源于“可持续”,所以,体系建设的本质,是在建立一套“生态系统”。
如果我们把制度与合规管理集成体系看做一个整体,《合规义务与风险清单》、《岗位合规职责清单》是什么?他们是体系中流动的“信息流”,是数据,产出他们的合规义务梳理与风险评估活动,是“单维”合规管理还原于企业整体的一种“职能让渡”。
数据只有勤加利用,才能变得有价值,数据是资产,是需要治理的,治理的根源,必须找到“元数据”。从合规管理的角度看,元数据是什么?是外部法规、政策、内部制度。清单,是相对的驱动合规管理运作的“主数据”。
作为元数据的外部法规、政策、内部制度,他们是非结构化信息数据,《合规义务与风险清单》、《岗位合规职责清单》的本质,是对逻辑数据的结构化过程,是对外部法规、政策、内部制度精华的提炼,是驱动合规管理,能够被很多部门、员工使用的结构化、模板化、信息化数据。所以,《合规义务与风险清单》与对应的外部法规、政策、内部制度来源,是一对一的关系,而不是一个包容万物的“大表格”。
如果想用本文把合规集成管理的方法完全描述出来,估计还有很长篇幅,我用流程关系把“整个管道结构”呈现出来。
04.合规集成管理体系的表达
虽然我们说,体系的建设不是要写出一份资料,但终究离不开体系手册及配套的资料用以对体系的表达。虽然都称为合规管理手册、程序作业说明书、员工诚信与合规行为准则、合规管理制度、合规义务与风险清单等等,虽然名称一样,但内容一定截然不同。因为,每一份资料,都有其固有的作用。
首先,合规集成管理体系,必须把体系的思想、原则、运作顺序、方法等清晰地表达出来,目的在于:让员工的认识与主管部门的思路保持一致。
其次,程序作业说明书,需要把体系运作的流程从全貌到支流程写下来,这里的流程不是徒有流程之型,而是从宏观到微观的层级分解、呈现与表达。
再次,要用制度把保证体系运作的措施机制化。机制,反映的是程序与责任。如果真正做到制度的系统化架构设计,很多制度连“章”都不需要,仅仅用“条”就可以实现,而且具有很大的通用性。
另外,《员工诚信与合规准则》的定位是什么?是一种可衡量的标准,是“规范类制度”的一种表达形式,是有权威的,而不是手册。
很多人看到了西门子的行为准则,中西方的习惯是不一样的,就好比中国企业发个文、出个制度,必须盖个“红萝卜章”一样,西方企业“法人代表签字”即生效。不能认为准则是一本类似“社会责任报告”一样的宣传册,至于为了更大范围推广到各个员工,做成生动些的手册,那是另一回事儿。
为什么我说虽然手册的名称一样,但内容完全不同呢?区别在于“精细、责任”,缺乏“责任”的任何体系,无论讲的多好,用多少“有效、落地”的词汇,都是在“喊”。
流程是指导各部门、员工做事儿的预设路线,是提供给员工参考、遵从的概念,流程本身并不具有“制度”的权威性(很多企业达不到流程管理的成熟度,流程不是主要的规则形式),但是流程中设置的“表单”,会因“责任”而跳不过去,执行力是设计出来的。所以,体系是动态的、持续的,合规管理会随着制度的产生而动态的产生“主数据”,这就是集成的作用。
05.结 语
合规管理体系的构建有价值吗?客观讲,如果仅仅是为了完成任务而模拟化地做出一堆资料,这种产出无人关注、问津,宣传得再好,也毫无价值。
那么,合规管理的价值体现在哪?不能用防控风险的“话术”去表达,这种表达方式的本质是废话。其价值体现在“让员工快速掌握对自己做事儿最直接、最简单的规则要求”,并灌输到“脑海”中,形成做事儿的习惯。结果是什么,转变成“确定性行为”。所以,我总讲,合规管理是制度管理的“延长线”。
如果企业实现了合规集成管理,由于合规管理没有覆盖制度管理负责的“外规搜集”,出现了违规风险怎么办?那是制度管理、制度建设的责任,合规管理不能包打天下,也不是孤立的存在。
就好比绩效管理一样,绩效要达成目标计划,但衡量绩效必须在职责范围内。谁的责任谁认领,谁的孩子谁抱走,这就是分以合为终,合以分为始。分以各专其事儿,合以各事儿成一事,最终的一事儿,就是“合规经营的结果”。
第二个价值是什么?价值反映在对企业需求的贡献,企业的需求不是搞一堆没用的资料,而是建立一种“稳定”的秩序,依靠的不是《合规义务与风险清单》,而是基于制度、流程的“全面性、系统性、适宜性”,所以,合规管理的第二个价值是:反馈并促进企业制度的迭代升级,提升企业的抗风险能力,本质是“管理提升”,合规的结果,是“管理执行力”的反映。
至于办法中第20条提到的加强企业经营管理中的合规风险识别与评估,是合规风险清单的一个来源,但这个活动体现在“风险管理”工作中,是一个逆向发现规则设计、执行漏洞的过程,并非按照这个逻辑去找对应法规与制度的合规要求。本文的重点是正向的抗合规风险能力建设,毕竟,合规风险管理本身,也是企业风险管理的一个构成。
来源:互联网