在大型企业中，制度管理、合规管理是不可缺失的两大归口管理职能。在大型跨国公司中，合规管理也称为“道德遵从”。二者之间，有密不可分的关联度和共通性。

作为企业内部管理职能，追求的是满足各自“本质目标”要求的前提下，如何实现最大效能的产出。最大效能，需要用全局的视角，对关联职能做出局部平衡，对流程进行并行、协同设计，以实现集成化管理。

集成化管理要解决三个问题：可持续性、数据规范性、阶段产出的可衡量性。制度管理、合规管理是企业中关联程度最高、最具现实可能的协同体。前提是要立足“管理”，从“风险”模糊概念的怪圈中跳出来。因为，所有管理的初衷构成之一，都来源于“风险管理”。在企业中，合规管理是职能，防风险是其功能之一，但更合理的理解，应该是“按照规则要求去做”。

01.制度管理 —— 传统认识上的误区

对企业来讲，制度是一个“大概念”，而不能局限于传统认知中“自建的具有章节条款目特点的‘制度’”。由此，决定了企业制度管理的“跨度”和管理方法。

笔者曾在某央企集团企业中负责过制度管理。在我的认识里，制度包括企业必须遵从的与公司经营管理、员工管理有较高关联度的法律法规、行政规章，更包括来自于内、外部的制度、监管文件等具有权威性、长效性的“规则”。这是从“规则数据管理范围、规则要求的承继与符合性”角度，做出的职能界定。认识不同，决定了管理内容的差异，在这个数字化时代，“管理”如果“不考虑数据”，那真是太LOW了！

因为，制度管理职能是企业中“唯一”管理规则的职能，谁也没告诉你只能管理“特定形式的制度”，而来自于上级单位、部门具有长效性政策文件的监管风险，发生的可能性更甚于“对传统认识中的法律法规的违背”，这些政策文件更具现实性、针对性，当然具有权威性、长效性、规则性，你不管谁管？

譬如：禁止央企开展融资性贸易，禁止央企开展与主业无关的房地产业务等等，这些政策既有中短期的“监管”力度，也有长期的“约束”权威，虽然不是以“制度”的形式呈现，但同样构成了权威性“规则”。但不久前，我们仍然看到在长达几年之久的三令五申“限制文件”要求之下，某央企集团所属的国有上市公司发生了“巨额融资性贸易财务舞弊”的重大违规问题。值得反思的是，这两个政策文件，是否被纳入到“规则管理”范畴，还是散落于部门自我把握？前者体现的是“规范的规则监管责任”，后者体现的是“部门自主认识上的主动落实”。

企业的制度管理，是一个“广义”认知上的归口管理职能，而不是“狭义”的制度管理，至少从管理的数据上，包括了“具有关联度的法律法规、监管政策，企业本体之外的行政规章与制度”，当然更包括企业执行的外部、内部各种规则，谁说过企业必须自建制度呢？所以，搜集外部规则，是企业制度管理的前端流程，而不是合规管理范围的流程。打通制度管理与合规管理流程，自然涉及到法律法规数据的集中管理，自然令法务职能和所有员工在“合规”方面受益，这就是“归口管理”的作用之一。

02.合规管理 —— 认识和行动上的误区

对合规管理来讲，企业没必要把它“过度复杂化”。用最简单的方法，在满足合规管理要求的基础上，释放最大的灵活，才是企业管理的追求和成就体现，目的只有两个—— 让企业“合法合规经营”、让员工“在规则遵从下创新”。难道这不是开展“合规管理”的初衷？还不够？看问题不能“一根线”。

如何理解“合规”？对与企业相关的外部、内部规则的内容要求，企业及员工遵从了，对规则中限制性的底线、红线设定，企业及员工保持了“不破、不碰”，这就是“规则执行力”，如果达到这一目标，没有人说你的“合规管理”能力不足。问题是，这一看似简单目标，实现起来并不容易，联想一下这几天发生的尚“不被人知”的再次重复发生的违规问题，千万不要把“合规”简单理解为“违法、舞弊、贪腐”，那只是违规之一角。

所以，合规管理既涉及正向思维下的遵从，又涉及逆向思维下防风险的“限行”，重点在于“找到规则设定的内容要求、限制的底线、红线内容”，并严格贯彻执行。问题在于“从哪找？”。

为了完成合规管理体系建设，不少企业开始了“从零起点开始的行动”，搜集法律法规、所有的外部政策文件，通过分析，建立合规行为清单，建立合规管理制度，建立合规行为准则。忙了很长时间，形成了一套基于法律法规等规则的“表格数据”，却把企业“内部规则”的合规要求丢得“一干二净”。问题出在哪里？把合规管理做成“任务”了，却忘掉了“企业自己最不希望看到的事儿”。

这种方式的误区有三个：一是枉顾了制度管理的前端逻辑，构成了合规管理职能“孤岛”；二是这种短期的“任务型做法”，清单内容不可能照顾“全面”，只能是一种短期工作业绩的体现；三是在外部规则与监管政策、内部制度与管理限制要求持续推出的情况下，在企业不断拓展新领域、新市场的情况下，合规管理的“可持续”不足，喧嚣过后，除了产出几个制度、表单之外，很难产生什么大的改变。这种做法，无益于“制度管理”的规范，无益于合规管理的规范与持续，出台几个制度，并不等于形成了“长效机制”，造成这一现象的原因——职能割裂与体系孤岛问题的再次产生。

03.归口管理必须做的那几件事儿，做到了吗？

在很多人眼里，合规管理往往与“法务”更为紧密，但没有“法律数据”的规范管理，只能依靠“法律专业”加以保证，这不是管理，而是基于“直观感觉”产生的“人治”功能作用的最表层认识。

与企业经营管理相关的法律数据（文本）在哪？很多人会说在“法务部门”。这种回答只对了一半，法务部门掌握法律文本，没有任何问题，这是它履行职能的依靠。但真实的“法律文本”，应该规范地体现于企业中的“制度管理”，而不是法务部门，该谁管的，就要“师出有名”。

制度管理的要义在于“被关注、易获取、可视化”，而不是把数据置身于“部门自用”。每个部门发布一项“制度”，无论是直接套用的外规，还是自建的“内规”，都有责任“采用一切方式让规则得到遵从”，这也是制度管理的“促进”型职能之一。所以，制度管理的目标是：让所有人看到他希望了解和掌握的有效规则与历史规则，让每个职能部门充分履行制度建设、维护和推动制度遵从的责任。至于怎么建，用什么方法管，当然是“制度管理”部门要考虑的问题。

合规管理当然也是一项归口管理职能。它管理的数据在于“合规行为清单”，所以，合规行为清单的规范化、标准化，是它履职必须开展的工作，这就构成了“合规管理”的一个“内控节点”。

在合规管理办法中，合规管理还有几个必选活动，包括合规官（有的依靠法务部门）对重大决策的内控节点、合规举报的承接与调查、合规文化的建立与固化等等。任何一个体系，都存在一个“体系文化”，这是体系要素，不谈。

那么，合规官怎么做出内控意见呢？当然需要依据，在合规方面，任何“有权威、有说服力、有可信度的意见”必须有规则依据，否则就是“想当然”。这个依据在哪呢？不能简单地认为，在他们脑子里的知识。最优秀的律师也不是“万事通”，而企业进行决策的事项繁杂多样。依据来源于“制度管理”中公开的、被关注的、易获取的数据，但绝对不是“合规行为清单”，合规行为清单中的数据，本质就是流程活动中的“规范”内容或标准，从流程角度就是承载的合规要素，代替不了权威性的“规则”。

那么，归口管理的本质内容包括哪些呢？我把它归纳为必须完成的5件事儿：

一是归口管理工作，需要对所管理的数据进行规范，保持数据结构、形式的一致性，一般通过制度规范的形式体现出来。这是归口管理的必做功课。

二是要明确组织与职责，保证责任落实到位。体系建设是为了应用，有归口管理，就有直接责任主体。这是归口管理体系运作的组织基础。

三是要建立治理机制，即管理规则。由于归口管理工作基本具有可重复性，可以通过工作流程表现出来，更为直接、有效。治理机制是贯通决策层、执行层的通道，归口管理部门发挥着对上支撑、对下指导、监管的衔接作用。流程就是告诉“直接责任主体”怎么做的工具，就是业务。

四是要体现绩效。绩效是出于“归口管理阶段目标”而设定的衡量标准，由归口管理目标的关键成功要素决定。没有标准就不可衡量，没有绩效，归口管理职能很难发挥且难以持续。这是实现归口管理目标的保证。

五是要导入方法、工具。由于归口管理的复杂性，归口管理部门必然要充当“符合性内控”角色，要做好内控，需要建立让所有体系内各类角色共同理解的“内控规则”，这是内控前置。工具就是“IT手段”。

04.制度管理与合规管理的协同节点

法务、制度、合规，在企业中有天然的关联性与贯通性，当然还可延伸到监督。但作为体系，必须明确一个范围，这个范围就是“制度与合规”管理体系的集成。

企业开展制度管理，当然离不开对外规的搜集与接收，这是制度确立的“根源”之一。合规管理从逻辑上也有一个搜集的过程（这一逻辑建立在制度管理不全面的假设条件上），这是二者的相同点。企业必须明确的原则是，制度管理承担搜集外规的责任，制度不搜、不管必须“追责”，合规管理对搜集到的外规不传递给制度管理，必须“打板子”。看着挺麻烦，但本质都是“各部门”做的事儿。这是第一个协同点，职能之间不能乱，管理讲究的就是“有秩序运作”，这就是流程的作用。

合规管理的职能，获取数据的来源从制度开始，这是交界面，也是第二个协同点，其假设前提是“制度管理数据”的全面性、适应性。问题是规则的重点内容、合规要求谁最明白？履行合规要求的责任应该是谁？捋顺了这些问题，就会找到第三个协同点。

制度管理与合规管理的共同目标，都是让企业、企业内的组织、员工遵从规则要求去开展经营管理、作业活动，从流程上，是相通的，从文化上，是一致的，这是第四个协同点。当然，道理是这样，如果不理解流程、不理解流程节点、数据，就会不知所措。

基于制度管理、合规管理的目标，二者都有“违规追责”的内容，违规追责的前提是“发生了不能容忍的问题”，与合规管理日常中对“行为项的合规计分”不同，前提是“不能僵化地认为违规追责就是‘监督’的职能”，也有管理部门的职能，这是第五个协同点。

找到了协同点，就可以实现制度管理、合规管理的集成。集成，本质是流程的并行、协同，实现的方式就是“传统流程的优化”，在每个协同点，都会产生“数据”，否则，集成就是“空话、故事”。

企业中的职能管理，要保持延续，就必须将任务型工作改变为例行化工作，只有例行化工作才具备可持续性，实现这一目标的方法就是体系的可视化，而不是什么“几位一体”的一体化建设。所谓的一体化建设“概念”，就是把若干要素通过共同的载体反映出来，这个载体只能是“流程”。