合规管理是一个管理课题。用管理的系统思维解决合规管理体系建设，用流程驱动体系的持续运作，用整体、系统的协同方法，拉动企业法律、政策的搜集与遵从，推动制度与标准的系统建设、管理与执行监管、审查、控制责任的落实，实现企业管理能力不断提升的循环，是制度与合规集成体系研发的初衷与追求。

这种做法的效能如何呢？从结果说，既符合ISO37301标准，让企业合规资格认证不存在悬念，又符合中央企业合规管理办法要求，让企业经受得住上级主管单位对合规管理体系有效性的检查、评价；从效能说，管理追求的是一步一提升地向卓越靠近，可以帮助企业通过制度、标准建立、监管、合规的运作，促进企业管理水平的提升，是本号在风控领域推出的“独有”做法。

01.为什么合规管理离不开制度、流程与标准

制度与合规集成体系，建立在以企业为整体的基础上，从外部法规、政策监管开始，到内部、外部监督发现问题及问题整改结束，构成了一条以规则管理、制度制定、控制节点作业标准建立、规则推广、遵从、监管、监督与问题整改为中枢的端到端管道。体系评价，只是体系管理中的一件事儿。

外部法规与政策、制度、流程、标准，是企业实施管理所运用的工具。法规与政策、制度让企业的管理有序，流程让制度的遵从转变为实践，标准是提升管理水平、执行力的参照基准。合规，依靠的是知规、建规、守规、行规，通过责任、监管、审查、控制提供保证。

为什么企业用对待法规梳理合规要求的做法，很难应用于企业制度合规义务的梳理？由两个因素导致：

一是看似都是规则，但规则产生的“公、私”体定位的属性不同，导致文体内容的表述存在很大区别；二是规则建立的目的不同，前者是必须做什么事、不能做什么事儿，由公体“法无授权不可为”的性质决定；后者是做什么事儿、怎么做、做到什么程度，用什么保证，由私体“法无禁止尽可为”的性质决定，所以，企业的职能富有“张力”。

看似同样的道理与梳理方法，在实际应用中并不通行。要解决这一差异，通过合规管理的相关制度结构解决。

制度的多领域分布状态，反映了企业各领域的管理能力，制度建立的可行性，是影响合规执行结果的先决条件。制度的有效性，并不取决于制度数量的多寡，也不取决于单体制度文本的长短与涉及的范围，而是该领域管理思路、方法、事项、要素标准、保证机制的系统性。这就是不少单位看似制度很完善，但经不住“监督”考验，违规问题频发、多发的原因。

很多企业的制度数量并不少，但为什么总感觉力不从心？制度由多部门、单一部门的多人分别起草，在制度的认知、经验体认、方法认识、起草者能力、问题视角等方面，可以说存在“巨大差异”，结果自然分散、凌乱、低效。

随着问题、风险的暴漏，通过整改形成的制度数量越来越多，但效果不一定有明显改观，根本原因是缺少系统的规划。而系统规划的实现，必须用预设标准“压住”前端。

同样道理，如果沿用传统制度建设的做法，即使放在流程梳理上，照样会出现一样的结果，不同人梳理的流程不一样。所以，流程管理专家总说“需要相关各部门优秀人员的共同参与”，但现实中制度建设的做法，并不拥有同等的条件，问题的核心在于，企业中具有系统思维并能够转变为现实的人员非常稀少。管理设计，无论如何导入IT、AI，都离不开“人”的作用。

怎么解决这一看似不可解决的问题呢？管理控制。内控建设并不是像不少企业一样，眼睛向外，复制、翻版出一本看似通用的手册，而是因“管理所需、风险所求”产生。

当下盛行的内控建设做法，几乎全传承于有在美上市公司的某央企集团的做法。但人家的粗放，建立在多大体量的规模上。而且，这种产出建立在多少年前的认识基础上，居然被国人套用至今而不烦不厌。

企业要实现管理提升，当然要充分运用“内控”的机理，让执行者按照管理设计的思路、事项、方法去完成任务，通过执行重要控制节点的作业标准提供保证。

标准，有多重含义，但都脱离不了其本质——“执行的参照基准”。内控标准的建立，一般应由业务域的管理部门设计，而现场执行标准，则由现场作业团队通过“立标”实现，从而构成标杆水平的不断提升，放大了看，就是企业管理对标的真谛。对标，仅仅是其中的一个步骤而已。

合规审查是什么？是责任体系按照制度、流程的多方位运作，是合规执行不可缺少的控制构成，通过流程、责任驱使实现，是合规体系运作的突出表现。缺少责任设置的合规管理体系，不用评价，本身就是缺陷。

很多人都在谈违规举报、监督等观点，匆忙得出与“内审、纪检监察、巡查”专门监督职能的一体化结论观点，粗看似乎很有道理，其实并非如此简单。

不要忘了，企业的质量管理、安全生产、保密、环保等很多职能管理部门，同样负有“监督”责任，只不过因主业不同表现的程度不同而已，企业出现了违规问题，追责的不是专门监督部门，而是这些管控部门。看一个问题，必须深观、洞察其本质。

要解决这一问题，必须找到合规监管、违规举报的共同特征，才能真正发挥作用。做事儿，首先得占理、有理，所有这一切，无论是企业中各领域的管理，还是集成体系中涉及的制度管理、合规管理、法务、内控管理、监督、责任本身，都离不开制度、流程、标准。

企业中所有部门、所有员工怎么理解？怎么掌握？怎么运作呢？通过体系管理手册、流程与作业说明书、表单提供支撑，才能称其为体系管理，体系并不是通过制度所能解决。为什么企业中很多管理体系形同虚设？根本原因是：缺少体系建设前的“预设标准”。

02.制度与合规集成体系能给企业带来什么？

为什么我的文章很长？管理的错误，在于不求甚解地书面化、文件化想当然，在于用一套设定好的模式、方法僵化地套用，如果员工不是依靠觉悟、习惯、责任，依靠直觉的“是非”意识去开展工作，这样的做法，终将造成执行的混乱。我不想用观点误导每一个读者。

那么，这套体系的建立与实现难不难？

经常看我公众号文章的人，应该有个体会，我总在强调“分工、协同、整合”，不同层面的分工理解，就是整体下结构化的体现；整合，就是将分工回笼，从而形成整体的过程；协同，是实现回笼的不同职能间的接口。如果感兴趣，回看一下自己企业组织与职能的演变大路线，是不是一直走在“分工”的道路上？这是趋势，也是系统化思维的反映。

问题是，企业中很多看似合理的表现，其实并不符合管理的机理。比如，合规中常见的“法务”职能，虽然说普法、三个100%法律控制、法律纠纷维权看似是主要工作构成，但是，企业又设总法律顾问、又设首席合规官，我们不谈法务是否承担了其它管理职能，难道法务工作就这点职责，企业就这点期望吗？依靠目前的做法，真的能做到“合法合规经营”？只不过是长期形成的习惯认识罢了。

再比如，制度管理与合规管理职能，在企业中可能分属两个部门，制度管理在管“系统内的制度或企业自建的制度台账”，法务或合规搞出一套“法律台账”，职责真的是这样分布吗？那归口体现在哪呢？归口，反映的是“广义”而不是“狭义”，这个道理，其实在企业中“一点就通”，但苦的是找不到管理方法。

只要把这些职能机构的价值定位、职责定位搞清楚，不会涉及任何职能的变化，职能与职责不一样。当搞清楚定位的时候，部门管理者自己就能体会到“管理的缺失或不足”。企业中职能的调整与变化，是组织管理的职责，合规也好、风控也好，都无权干预，做合规管理，这点基本常识应该认识到。

体系的部署，合规管理的导入，无论如何都会涉及到一些变化。变化体现在方法而不是职能，这套方法会反映到解决“领导层长期的期望实现”、“制度管理的困惑”、“合规管理实现的前端可行性条件”、“大监督需要的多线接口”。什么是领导期望呢？能感觉到，但表达不出来，领导对管理的不满意，都来源于此。

怎么实现呢？只是通过流程中的“确定性表单”实现，而且可以带动其他部门管理困惑问题的解决，是一套“利多多个部门、管理者、领导者”的方法，你说有关部门愿意接受吗？

譬如，很多人对流程管理存在误解。流程的出现，并不是要求每一个角色必须“一板一眼”的操作，而是提供给“新人、无经验员工”的参考执行标准，让一般人也能做成“别人能做的事儿”，但有一点谁都绕不过：节点表单与控制。管理不就是侧重于重要环节、关键要素、标准、保证机制的设计与管控吗，需要让他变成“确定性”，不就是控制风险的措施吗。

无论是制度，还是流程，提倡的不是“事无巨细”的执行，而是遵从，必须执行的只有“标准”，无论标准呈现于制度、流程中，还是保持单独存在的形态，无一例外。

那么，合规管理中梳理的合规要求也好、合规义务也罢，他们是什么呢？标准。为什么我总讲内控建设是要把控制活动“规范化、具体化、标准化”呢？机理就在这，不标准化，就别谈执行，别谈落地。

那么，能给企业带来什么好处呢？

第一，制度管理流程的前端规范化，会让各个管理部门强化制度的系统规划；制度管理的预设标准，会让企业各部门建立的制度系统化，让适用者对制度属性的认识“一致化”；制度的系统化表达及结构，会极大降低单位、下级单位“自建制度”的数量，化解合规执行标准不一的风险；会反映出管理者的系统管理思想与方法；会让领导者突然感受到部门的“支撑”作用。再加上合规管理共同“准则标准”的导入，会极大降低制度中重复来、重复去的“不得、严禁”等常规红线的不必要表述。

第二，管理的中心是“建制度、理流程、立标准”，并推动遵从与执行。制度的系统性反映了管理者的系统管理思想与方法，再加上内控标准的加持，能说不代表“企业全面管理水平的提升”吗？

第三，合规管理中的“三张表单”，是企业落实合规管理办法的“痛点”所在。通过协同，把它变成各部门的确定性活动，难道不代表合规管理体系的“持续性”？客观讲，这种机制，根本不需要“违规企业第三方”的合规有效性评价，一看就能得出“有效性”的结论，支持企业需要进行的“合规体系标准认证”。

第四，最突出的还有3点。其一，会通过讲解，让职能管理部门员工普遍掌握管理的分解思维。这一点，没有企业实践经验的人很难理解，但企业中处于管理岗位的员工很容易接受，结合实际的沟通，跟传统培训不是一个概念。

其二，本体系是用“流程管理”的方法实现，是从端到端大结构管道分解到“角色”层而形成的一套解决方案，可以帮助员工掌握流程管理的方法，这种实操性活动，依靠几天培训根本无法解决。最难解决的是合规审查的“多域”性，要看流程的站位及内部客户认识。

其三，有利于帮助企业实现“信息化、数字化”，只要学习过华为、丰田做法的人，都能明白一个道理，企业中很多数字化项目纯属忽悠，为什么？没有事先走通的“系统化人工流程解决方案”，数字化不可能实现，因为，数字化的典型特征是“原始数据的产生与共用”，只要存在一致数据的“多个产生环节”，数字化就成为空谈。

那么，会不会出现流程与企业的不适配问题？

会的，但根据企业实际情况，通过简单处理即可解决。为什么？我讲过，所有的方法建立在分工、整合、协同的基础上，只要是具有一定规模的国有企业，各种职能一般都不缺失，区别在于“归属于哪个部门”。

这里的流程，不要误解为是大家平时见到的“横到部门”那样的泳道型职能流程，而是以责任压实的“角色流程”，责任在角色而不是部门，所以才分出4级流程结构，最后回归于“端到端的职能间流程结构管道”。就好比企业经过组织调整后，为什么信息化人员需要做“角色”归属部门调整一样，组织可以变，角色变不了，除非“不再保留这块儿职能”。

03.体系最后的产出表达形式包括什么

（1）体系管理手册。让制度管理、合规管理部门的思想、原则、方法、定义、体系组织与职责、涉及的活动等，被企业所有员工理解，保证认识一致、语言一致。其中，就包括了规范化管理离不开的“预设标准”。

（2）完整的流程与作业说明书。包括整体结构，以及来源于整体结构中制度管理、合规管理、法务工作的具体流程，这种流程是分层级的，末端体现的是“角色”责任关系的作业流程，通过定义实现了不以部门职能变动而带来的流程失衡，是迄今为止合规管理领域“唯一”的系统化流程呈现，体系是流程驱动的。

（3）结构完整的管理“合规”的制度。系统的流程，表达的是支持体系运作的路径，但并不能替代管理制度。制度是什么样子的呢？

一是应和了制度管理架构的思想，兼顾了“企业全面风险管理体系”的结构，形成了管理办法、重要任务项、实施方法、举报机制、年度组织绩效考核机制、监管结果应用机制。当然，必须符合企业“制度管理”的标准。本质是什么呢？与企业日常经营管理工作的融合，制度间彼此衔接、上下承继，不存在交叉重复问题。

二是用员工诚信准则解决共性合规基线与责任关系问题，化解企业制度中大量存在的共性合规限制要求，分布于各个制度中的重复问题。

（4）三张清单。三张清单是管理合规风险的过程反映，实质是与流程相伴产生的过程，当然存在一个“阶段清单产出”与“清单持续产出”的关系，否则，体系何以持续？三张清单，实质是4类内容。

不过，我们产生的阶段清单产出不是一张幅度颇大的表格，而是与对应规则匹配、上下关联的反映“抗风险能力”产出，其中的信息，足以满足“应用者”的“按图索骥”需求。当然，也会让企业各部门具备自己应该掌握的操作能力。如果不能具备这一能力，合规管理如何持续，其意义又何在呢？

（5）合规风险评估模型。风险评估，是做好风险管理离不开的一个条件，但它仍然是一个学术化语言，少数人能做，不代表所有人都能够理解、掌握、会做。

合规风险评估模型，并非每一个人都必须应用的模型，而是一套提供给那些经验不足、掌握信息量较少的人进行评估的执行参照标准，保证评估结果不会出现过大的偏差。法规、政策、制度与每个员工有关，合规风险评估当然也与很多人有关，至少包括职能管理部门人员。

（6）合规管理体系评价标准。很多企业一直在寻求合规管理体系评价方法的培训，其实，体系评价培训的意义并不大，评价是由体系设计决定的。本标准，只要做好“评价人员”评价前的执行共识，统一评价的程序标准即可实施。

体系评价标准，集合了体系中的重要要素，用制度保证3种评价方式交叉的匹配性，提出评价结果应用的正、反向激励机制，让合规管理职能人员年度工作实现均衡化，让优秀合规管理人员获得成就感。

标准涉及要素抽样、重新抽样、各要素的计分标准，通过划分与界定，让评价不再成为什么困难之事儿。你相信企业中经常出现的、通过几个人、用几天时间做完“号称覆盖全面”的评价吗？不可能。

（7）系列表单。别看合规管理规模不大，却是“多线条”工作，其中涉及合规义务与风险评估单、岗位合规单、合规审查、风险报告与反馈、接收违规举报信息、违规举报信息移交等流程。有合规监管机制，就必然要有不合规申诉流程，触发设定的机制，怎么可能离开“表单”？

流程能否落地，并不是喊着执行流程就意味着落地，而是“清晰、稳定、确定”的产出。其实，喊不喊一体化一点都不重要，重要的是“职能间详尽、稳定、安全”的接口，“再多的一体化”说法，各职能部门不还是单独存在？重要的是“协同”。

（8）赠送制度诊断与架构规划。现实中，企业的制度并不缺少，但表现为散乱、不系统状态，很难构成清晰的“抗合规风险能力”，导致管理呈现“不稳定”状态，才出现了“大量会议”的形式主义表现。

我们不能把制度的完善纳入到合规管理项目中，不是做不了，而是工作量非常大，我一直认为讲过的就是契约，所以不想夸大。我们把应该的架构、存在的问题呈现出来，属于项目馈赠，因为合规管理离开“制度”等于没有“灵魂”，而这种方式，能够帮助企业快速发现制度中存在的问题，从而自主决定是否采取行动。