企业中有一个习以为常的现象，业务管理或掌握资源的部门，做事儿基调甚至话语权往往显得更为主动；距离业务或资源较远的部门，做事儿往往偏于内敛、低调，俗称小部门。

在当前全球重视合规管理的环境下，在我国强监督的大背景下，合规管理正式走上了企业的管理舞台。大同小异的是，这项职能几乎均处于各大企业中距离业务或资源较远的小部门。

如何看待这件事情？企业中的职能管理部门并无大小之分，只有与企业绩效目标贡献度、关联度的大小之别。这就意味着法务、合规、风控主管部门需要突破习惯性方式，向综合型管理性质的部门迈出一大步。

01.合规管理及相近职能之间的关系

合规是一种结果。

从表层认识，可以理解成狭隘的符合法规政策要求的结果，是企业对外履行社会、公众、道德责任的体现。

往深层认识，可以理解成企业以合法合规经营为目的实施管理的结果，是价值型思维的最明显反映。这就是我总讲合规是体现企业“管理执行力”的原因，也就是说，合规管理与企业的管理有非常紧密的关系。

管理追求的是以效能成本为基础的规范化，通过建制度、理流程、定标准，并推动执行者贯彻执行实现，做到管理有法可依，做事儿有章可循，监管有标可对。企业中的规则以合法为前提，是基本条件。

监管与监督的本质，是对管理、做事儿、执行过程、结果是否符合法规、政策、制度要求的验证，其结果就是保证广义的“合规”，前提是规则本身需要可行、系统。所以，监督实施的第一步，就是对企业相关制度可行性的验证，找准依据。

监管与监督执行主体的性质有所不同，理解上存在不确定性，需要自定义统一认识。虽然经常都以审查的方式出现，但监管体现于过程，与执行紧密相关，专门的监督反映于合规管理的事后，都有对发现违规问题采取措施的权责，而控制又有另一方含义。

站在企业整体的视角，合规管理是在监督之前，以合规为目的对事儿、对人的干预与控制，相对而言，不能混淆监督的事后属性。同样，监督构成了合规管理的“事后”。

责任分不清，管理的结果就会一片混沌，即使合规管理办法中提到制度、监督，也不意味着他们就是合规管理的构成，因为，办法讲的是单维的整体，而企业实践讲的是整体下的多维结构，只要结果符合办法要求即可。没有结构就没有整体，整体化与一体化不是一回事儿。

纳入企业适用管理范围之内的各项法规、政策文件、内部制度，是处于合规管理上游的制度管理体系产出，我们统称为内部规则。为什么外部法规、政策、上级单位制度也成内部规则了？

你建立了台账，外规修订你也更新，难道不构成你在“管”的工作吗？区别在于企业是直接执行，还是用以学习备用。

为什么监督查出问题，有关人员一会儿解释执行的是上级制度，一会儿又解释执行的是另一个制度呢？问题就出在这儿，制度管理有非常大的漏洞，不具有一致性，而一致性依靠的是“标准”，标准是“人”定的，很多漏洞都来源于标准的缺失。企业“执行”的内部规则，构成了合规管理的“事前”，需要说明的事，执行的规则与纳入管理范围的适用规则不同。

事前与事后，职能划分虽然不同，在合规方面却具有共同的目标，构成了“彼此协同”的条件，但绝不意味着一体化。为什么没提法务呢？

法务本身的主要职责对合法、依法维权负责，不对合制负责，相对合规管理来讲，不是协同，而是分工，分工意味着责任的界定。为什么很多人经常陷入认识的困局，解释不清的最后就揉捏于一体，缺乏责任界定。

企业构建一个体系，不是忙于把若干职能“熬成一锅粥”，即使是同一个机构承担若干职能，抑或是一岗多责也不例外。管理是要越管越清晰，清晰不是割裂，而是理顺、打通关系，明确责任。为什么华为到现在都在讲“打通流程”？机理就在这里。否则只能是越做越混沌，别说落地，连落脚的可能性都没有。因为，体系是自己管但给别人看的、用的、做的，而不是自己化妆成美丽俏佳人孤芳自赏。当然，追求决定了态度，态度决定着行动。

02.合规管理是什么属性的工作

什么是价值，并不是每天做了多少工作，或者每天看似认真、负责地忙碌就意味着有价值。

认真负责，不等同于有能力负责。有的管理者忙碌一生，最后，他自己回头看，都讲不出忙出了什么，因为，他只是在尽责尽力。价值，指的是通过有效的工作，给企业期望实现的目标做出了多少“贡献”。

一项职能的名称，代表的往往是职能产生的目的。目的不等同于职能属性，属性决定了履行职责的思维方式、体系的范围、结构、关系与方法。

本文所讲的，并不是告诉你合规管理工作应该如何做，也不是告诉你合规管理多么有意义，更不是告诉你某项法规要求怎么梳理，而是基于价值定位下的合规管理体系，应怎样定位、怎么规划才能发挥其应有价值。

企业体系的构建，离不开对整体的理解。什么是整体？站在高于建设对象的层级，俯瞰实现的路线，从而做出布局规划，事前、事中、事后是起码的必须环节。贯穿企业整体，考验的是看问题的“全局性”，事前、事中、事后环节的理顺与平衡，考验的是布局的“大局性”，具体体系的建设，考验的是“系统性”。

企业或社会中的“做”，一般会处于制度产生之前，但处于规范管理状态下的“做”，一定滞后于“建”。怎么建，建立在对目的的理解、对“如何做”的运筹规划基础上，体系规划、建设的结果，决定了“做”能走多远，能做到什么程度，能产生多大成效，能给企业带来什么价值，能否实现自完善，即持续性。

合规管理看似都很熟悉，但内涵却非常丰富。

很多专家在解读合规管理中，为了增强授课的吸引力，引经据典、追古溯今，有企业违法经营被制裁、处罚之生动，有诸多昔日光环四射权威人物深陷囹圄之悲哀，也有世界一流企业的成功案例以佐证观点的正确与必要性。

说者无心，听者有意，再加上总法与合规官职位兼容并蓄，指引对合规管理重点的法规领域拨冗，更增加了企业合规管理对控制法律风险的追求。合规审查机制，又很容易让人把合规管理想象为“监督”。

控制法律风险的追求没有任何问题，因为，这是企业存续最基本的条件。最基本是什么意思？是企业开展经营管理活动最低的条件标准，但绝不意味着是合规管理的片面追求。

实施合规审查本身也没有任何问题，只要是管理，一般都离不开监管、控制。只要是监管，就应该有规则标准可对，是为保证结果合规采取的过程手段。因为，执行与监管本就为“执行”的一体两面，但并不意味着合规管理就是监管，也不意味着合规审查只有监管一种方式。

在我看来，合规管理既不是完全的法律法规风险控制问题，也不是完全的监管、监督问题，而是以“控制不合规行为”为主要活动的“管理”。

预防、发现、控制不合规行为，是合规管理的“中心线”，依靠的是执行标准。企业合规管理体系的构建，无论采取什么方法，几个层级，无论是合规义务清单、风险清单、岗位清单、合规审查流程清单等等，最终都要回到“中心线”。中心线是体系建设的“主轴”，是合规管理体系本身的“事中”。

03.以企业为整体的合规管理价值

要做到合规，就必须做好合规风险管理，我不否认，这也是正确的废话，核心在于怎么做好。为什么我说合规的内涵非常丰富呢？因为，合规风险是一个概念，理论可以这样讲，但推动“多线条”的合规管理实践，不能这样做。

如何从合规的角度看待外部法律法规、监管政策、内部制度、社会与职业道德呢？

企业或员工应该把他们视同为“影响经营活动范围”的风险因素，才会产生不同的态度、行动，从执行体角度，将他们对应地称之为法律风险、政策风险、道德风险、制度或管理风险，与之对应的结果是合法、合德、合制，再加上企业与外部、内部关联者之间以诚信为纽带的“守约”，构成了合规的内涵。所以，企业的合规管理，贯穿于外部关系与内部关系的处理。

思维模式会影响管理思想，会反映到管理体系、管理机制的选择、构建，以及体系文化的凝练，合规管理并不例外。建立在笼统概念上的解读与理解，本质都是“道理”，而不是实践。

不管合规风险如何分类，无外乎两种：外部风险、内部风险。风险管理之精要，在于对风险的态度与行动，但无出其右的是，都需要内敛为企业内部的防控风险能力，包括内部规则、责任与人的能力，依靠的仍然是管理与执行。

需要说明的是，我所讲的企业执行的内部规则，包括适应性内化的外部法规与政策、内部制度、流程、标准、表单、模板等。其实，来自于法规、制度中的合规要求，本身也是“规则标准”的体现，之所以有效，是因为他们产自于法规、制度、流程。只有执行的规则标准，才构成了与行为人执行的衡量关系。所以，执行的内部规则，是一个动态的循环、升级过程，构成了合规管理的可持续支撑条件。

企业对待外部法规风险，并不是无分轻重、多少的一味高喊各种执行，即使这样做无可挑剔，或者相对我的说法，更有占据道德制高点的便利条件，也不妨碍如此的事实。因为，很多潜意识的道理，都是站在规则制定者角度得出的结论，但企业是执行者，有选择的自主权力，关键是要选择正确。

最现实的做法是，企业针对“无法回避”的法规、政策要求带来的影响，通过转化为建设性内部方案，把他们对企业经营活动的威胁或影响，主动降低到最小，而不是每天拿着外部要求到处“让人知”，那是普法教育。提高法律风险意识的“说教”很有必要，但需要以内部“法治”为基础，否则就是很快刮过去的一缕清风。

原理虽然正确，对大型企业来讲，很难实现。就好比有些央国企一届届领导者，大会小会不厌其烦地讲了几十年的“增强危机意识、强化制度执行”一样，正确的废话永远不会错，如果不采取行动，还可以继续讲下去。

目的与条件的处置并不一样，企业、员工不应忘掉了目的而片面追求条件，更不应为了目的而罔顾条件的约束。所以，企业中的建设性方案，很多表现的是“做事儿与合规的兼容并蓄”。不过，有一个技巧，即公共合规条件的共享与个体规则之间的关系处理。

富有建设性的内部方案，不是摘录的法规、政策要求清单，也不是所谓的合规风险清单，而是企业中的内部规则（解释过了）。法规、政策要求清单，是履行最基本社会责任的控制标准，合规风险清单，是督促相关责任者尽快建立风险控制措施的“鞭策力”，由此构成了一条“预警机制”。

做好合规管理的关键，并不是发布一个文件建立什么委员会的形态以满足要求，也不是要不要走“体系评价”的过程，对企业来讲，是最简单不过的事情。

让每个部门知道搜集什么样的外部规则，平衡职责范围内要做的事儿，衡量已经拥有的抗风险能力，从而做出风险判断、采取必要的措施，不断提升公司的管理水平；在监管中不断发现规则漏洞，不断提升规则水平，才是实质的事儿。合规风险评估，由两条线构成，最终都会回归于“中心线”。

清单，是体现工作过程产出，让工作稳定、显性的表现；必要的措施，是通过各部门的努力内化为管理与控制能力的产出；至于过程中的合规审查，企业中都存在，能不能发挥实质性作用，由标准、责任、能力决定。

这些都是合规管理建设应该理解的机理。机理要变成现实，依靠的是管理，而不是各种为了满足办法要求的劳动。管理来源于谁？来源于合规管理主管部门。

所谓管理，就是要把一件事儿一抓到底，通过一件事儿的解决，带动一系列问题的解决，让它凸显价值。特别是归口属性的管理部门，面对的是多线条工作，直接承担建清单、评估风险任务的勇气虽然可嘉，但既非常态，产出也不一定正确，更不可持续。因为，这种做法不是管理，而是为尽快满足上级要求不得不进行的阶段劳动，阶段劳动与持续性履行责任不一样，后者依靠的是体系。

现实中的合规管理，很多人都在谈想法、理念，这些并不难，难的是把想法、理念转变成实践。

不可否认，合规管理是事关全员责任、全员参与的问题，甚至还需要外延至外部关联者。谈谈说说并不难，下发个文件、制度、写出一套表格也并非什么难事儿，难的是，要通过合规管理找到促进企业全方位管理升级的路径，让其产生价值，这就是合规管理体系的目的、范围、运作方式、如何建设的问题。