04.管理体系的要素

需要认识到的是，建立企业管理体系是要用的，体系的内容包括建立、优化、实施、监控、审计、评价。其中，最为关键的不是体系建设，建设始于因，而实施才为果。所以，在企业中，经常见到的现象是，建体系时轰轰烈烈，实施时一筹莫展。问题出在哪里？其实，体系实施中出现问题并不可怕，出现一次、两次都可以通过监管进行纠正，通过优化进行完善和改进，但如果热闹过后却仍不能运转，说明问题出在了“设计”。这就是需要从“认识体系”开始谈的原因。

那么，企业管理部门建立的一个体系，包括什么要素呢？要素指的是条件，是自变量，缺失要素的体系，自然影响体系设计和实施的成效。

通常讲，一套完善的体系构架，应该包括组织、流程、人力资源、绩效、IT、数据、文化。组织很好理解，任何一个体系都可以划分为决策层、治理层、执行层，通过具体机构与职责的设定，结合体系本身的运作流程、管理制度，形成一套治理机制。既然有流程，就离不开角色，角色当然涉及人力资源，扮演角色的人员，需拥有满足职位要求的能力，才能保证流程的畅通和效率。

建立一个体系，体系目标都不会缺失，区别在于是建设阶段的目标，还是瞄准体系实施后希望达成的结果目标？当然是后者，这个目标可以划分为阶段，通过绩效指标反映出来，其本质同企业中的绩效管理。没有目标或目标非常宏观的体系，很难谈“优化”。

IT是一套帮助体系落地、提高体系效率的工具。当然，体系建立的过程，也有可能不存在这么一套工具，但体系的建设，需要与后期的“IT”建设结合起来，也就是说，体系中设计的流程，能够支持体系的“IT”化基本需求。所以，我把它视同为“体系可视化”，因为，只有可视化，体系才能被大多人形成统一的认识，才能形成体系实施过程中的“一致性”，否则，根据个人理解而各行其事，那还能称为为体系？

数据产生于现场，现场来自于流程。从数字化转型来讲，数据源必须是唯一的，且经过“两两验证”予以保证其正确性、准确性。所以，流程设计中，源数据产生之后，一般会存在“确认控制”。举个例子，“核算会计与出纳”角色分离，我觉得其真实原因是“确认”，数据有出错的可能，也有可能是舞弊的结果反映，这种分离原因，不能简单地理解为“防舞弊”，那太表面化了。所以，企业开展内控建设，需要在合理定义后才能实施，否则就成了一锅到处都控制的“乱炖”。

至于文化，很好理解。质量管理体系有质量文化、全面风险管理体系有风险管理文化、合规管理也有合规文化等等，因为文化是体系的一个要素。不少人纠结于体系文化与企业文化的关系，这并不矛盾，从企业文化管理角度，体系建立自己的文化是可以的，二者的关系是什么？企业管理部门在做好企业文化体系管理的同时，可以指导体系文化的建设、宣传等工作，因为它是文化管理部门。

回归到体系的设计，为什么我总说，企业通过内控建设，形成的一套由风险控制矩阵支撑的流程合集，不是内控手册？内控手册解决的是“体系可视化”的问题，“流程合集”不过是一套“程序文件”。寄希望用一套程序文件，让大家去执行，并没有发挥体系化“管理”的作用。理解了这些，再去看一下企业自身的“内控体系”，是不是就找到了产生“困惑”的原因 —— 缺乏体系认识与支撑体系执行的基础。

05.管理体系的内容

体系的内容包括建立、优化、实施、监控、审计、评价。“建立”是实施的条件，体系要素缺失或者体系并不存在，依靠制度设定的“治理路径或审批路径”，只是体系的内容之一。要理解管理体系的内容，可以从结果逆向分析。

首先，需要认识到，ISO所提出的任何一个体系的建立，都包括审计与评价的过程（可以仔细看一看）。所以，合规审计很好理解，但不要把“审计部门是风险管理体系的第三道防线”、内控审计，看做是风控、内控、合规体系的专属构成。

从审计角度看，对体系的审计是验证型发现监督；从体系管理的角度看，是通过审计对体系进行的符合性验证，体系管理的责任者，是“牵头建体系”的部门。审计不会对体系的适应性给出建议，它的功能就是依据设计，通过结果进行验证。所以，体系的建设，首先要考虑的就是“执行能不能符合预期”，从而做出适应性选择。

其次，什么是评价？很多人在内控审计、内控评价这里“转磨磨”，或者干脆给企业讲就是“评价内控设计有效性、执行有效性”，虽然我也这么讲，但其中有更深的含义。评价包括三层含义：一指的是对体系绩效目标实现程度进行的评价；二指的是对体系的完整性、系统性、适应性进行的评价；三是对体系运转的闭环性进行评价。然后才能渗透到不同层级的设计、执行。

譬如：内控评价中，企业经常讲我们在某方面控制非常严格，某类业务全部由“一把手审批”。仔细分析，这是例行化业务的控制，完全可以通过分类，将低程度风险的例行事务由“主管领导”审批，超过一定额度的审批，可以上升到“一把手”审批，这就是授权与权限的反映。所以，这种流程与内控的适应性，存在重要的设计缺陷，问题是具备不具备看到流程背后“管理逻辑”的能力，内控当然要考虑效率，否则，企业不成了“严控下的蜗牛”。如果企业从时间、责任、压力、收入等角度，得出“副职比正职含金量更高”的说法，其实就是这种现象的反映。

所以，构建一个体系，需要站在企业整体角度，审视体系的范围边界、目的、条件输入、结果产出，然后对体系结构进行划分与定义，才能提出体系建设的步骤和工作。

体系的建立，不是给自己用的，而是用于管理部门的“管理”。所以，体系建设首先要解决原则问题，原则包括基本原则和实施指导原则，基本原则一般体现在企业层，指导原则是体系建立、实施的基准。原则有两个作用：一是聚焦作用，确定体系基线；二是解决问题的作用，当遇到有争议的问题时，用指导原则去衡量，从而做出选择。

其次，体系建设要有顶层设计，顶层设计并非企业中经常讲的“建立了方案，建立了顶层制度”，而是基于体系实施的完整闭环过程，是一个逻辑流程的体现。从这个角度来讲，控制、合规在企业中广泛存在，包括制度、流程、管理关系，也包括评审、审计、审核等活动表现，很难构成顶层的“P”。如果从发现出的缺陷整改计划角度形成“P”，只是体系之下的小闭环。所以，我觉得“内控、合规”应该纳入企业全面风险管理体系中，与风控一起成为体系的结构组成。

从实施角度考虑：一要考虑体系建立后的理解一致性问题；二要考虑主管部门的工作连续性问题，即工作例行化；三要考虑与现实的符合问题。原因是什么？

很多企业借助第三方完成一套程序手册或合规清单，就认为体系建设完成，而第三方又没有帮助建立一套基于体系本身的“体系说明手册”，意味着发生了“谈体系却看不到体系”的问题；没有告诉主管部门例行工作的方法，比如：国家修订一套政策、企业建立一个新的制度，合规要求谁来提出？合规义务谁来承担？合规行为清单如何建立和补充等等，导致主管部门内控、合规管理变成了“阶段时效工作”，造成了岗位角色“最没有存在感和成就感”的问题，何谈“以客户为中心”呢？；梳理的流程、合规清单僵化地套用，比如把部门职责应用到流程，把模糊的说法写入流程，把制度的部分内容移入清单，这只是一种“移花接木”的体现，风控、内控、合规作为增量工作，如果不能产生任何增量价值，没有意义。

06.风控管理体系中经常出现的误区

认识不少大型企业的风控人员，在谈起工作时，经常能够感受到一个误区：完成了全面风险管理体系建设、内控管理体系建设，现在开展合规管理体系建设的说法。但去看反映一致性的体系手册，就只能用制度、方案说事儿了。问题出在哪里？

忙于给别人建流程，却忘了“责任范围内体系管理”的流程建设，就好比企业中的信息化部门，每年忙于其它部门的信息化建设项目，但开展方案评审、计划评审等工作，全部需要依靠纸质、人工线下完成一个道理 —— 灯下黑。

用一套通用的规则应对千差万别的企业。如果说合规管理，用外部的法律法规作为导入，构建一套适合于所有企业外规遵从的“合规清单”，尚可理解，但我仍觉得，合规的识别不能脱离“企业制度”。

假设一个制度相当完善的企业，完全能够通过制度的执行满足外部约束性的外规要求，合规管理应该从制度开始；假设一个制度不那么完善的企业，意味着什么？意味着直接执行上级单位制度，或者把满足外规基本要求作为企业合规的最低标准，也是可以的，这时候的合规管理的重点不是急于建立合规行为清单，而是如何“构建企业规则库”的问题，然后才是建立“合规行为清单”的工作。这样做的好处，在于“应用同一条流程”打造常态的“例行工作”，这才是合规管理所反映出来的“管理”。企业开展合规管理工作，不能错误地认为“非权威性的合规行为清单的作用，大于具有权威性规则的作用”。

如果说企业内控是基于18项指引要求进行建设，我觉得看似合理实质并不合理。指引是面向千差万别企业，给出的一种富有控制机理的通用指导借鉴，代表不了具体企业的控制方法。之所以很多人以此为理由，原因有二：一是不能很快理解企业的现实，所以将指引中的指导性说法，导入到流程说明文件，虽然不具有操作性但不会犯错；二是设定内控建设项目的范围边界。前者出现了“不具体、不能落地”的问题，后者可能造成“有意义的内控出现缺失”问题。来源：互联网