轉載。
人們最容易出現的問題是,見顯不見隱、見木不見林、見表不求本。就好比廣泛傳播的“強化合規管理,打造法治央企”的說法一樣,不少人會不加思索地引用這句話,甚至還給出滿滿的見解,卻忘記了“換位思考”。如果站在國家或國家部委的層面看央企,法治央企與開展合規管理工作,可以認為是“目的與措施”的關系;如果站在央企的角度看,法治央企與合規管理的關系,就大相徑庭了。企業合規管理的外延,要遠大于企業中法務職能覆蓋的范圍,企業法務承擔的職能,反而是為合規管理營造普法、知法、守法的合規環境;法務開展的各種法律符合性審核,恰恰是為合規目標提供保證的“內控”措施;即使合規管理失效后,發生的法律糾紛問題處置,似乎也是合規管理的事后補救。與看似稱謂上的“權威性”無關,因為,企業法務,就是因合規追求而生的一項職能。認真思考一下,這種提法轉換到央企,其內涵是什么?應該變成了“依法立規、依規治企、合規經營”,因為,企業站不到國家部委的那個位置,他是守法者的站位,而不是執法者的站位。央企是社會中的一級組織,如果把建設法治央企做為目的,績效就是依據法律治理企業,不發生違法違紀風險,其邏輯是企業成為面向企業內部實施監管的執法者。值得品味的是,同樣12個字,意思全變了。別急著給出“曲解上級部門精神”的結論,幾個字的變化,反映出了什么?反映出央企落實上級部門“強化合規管理,打造法治央企”要求的指導思想。是不是感覺落實上級精神和要求的路徑變得清晰了?是不是感覺具體多了?是不是合規、內控找到了發力點?“依法立規”的說法,是不是還呼應了中央企業合規管理辦法中“建立合規制度”的工作要求?這樣的變化,不僅沒有違背上級主管部門精神,還屬于做出了積極的回應,表達出了怎么落實的工作思路,而且還符合企業的管理實際,是可實施的。可惜的是,社會上、企業中敢主動思考、領悟的人太少了,很多人都會采用“上面怎么講、企業怎么說”的辦法,這樣做的好處,最低程度不會犯錯,也不會有發生異議,但管理工作不是這樣做的。無論是企業還是咨詢機構,導入一套方法或體系,都應該站在企業角度思考:最先想到的應該是目的,然后是績效、邏輯、工作組合與活動,之后是產出形式及作用,最后才是衡量能否與上級管理要求匹配,從而糾正邏輯、工作組合,并規劃實施。合規管理與內部控制,都屬于來自于外部或上級單位部署、推動的工作,但實質仍是企業應該主動開展的工作。為了促進工作的落實,推動單位往往會對結果提出模板化要求,有時候就會無意識地牽引了企業的動機,導致落實工作的目的發生了變化。譬如:合規管理中的三張清單、內部控制中的梳理流程、嵌入內控的說法,很多企業都忙于追求怎么做出三張清單,怎么形成一套流程化內控手冊,卻疏忽了體系建設的真正目的,疏忽了對開展這些工作意義的真正理解,疏忽了體系運作的持續性——機制。機制,不單是每年評價一次體系,形成一個評價報告,然后領導層進行審議的機制,而是持續產生清單、持續發生合規管理效能酵化、持續優化體系的運作方式、方法。產生一套符合要求的結果形式,僅僅是短期目標的反映,可以反映短期的工作成績。但任何體系的建設,本質是要用的,而不是僅為了滿足上級要求、應付上級檢查,都需要轉化為可持續的有益于企業發展的工作,這才是對企業的貢獻。就好比當下不少企業出現的現象,搞出一套反映法律合規要求的風險清單,不是說法律法規不重要,但你見過哪家大型企業是用法律、法規管理企業的,你見過企業員工有多少經常研究各種法律條款的?就好比當下一些企業出現的一景,突然出現了第二套崗位員工合規職責手冊。要知道,組織管理之道,組織管理手冊只能是唯一的一份,避免歧義。合規管理“第二張清單”,僅是要求把合規義務納入到關鍵員工崗位職責,宗旨在于堵住“法無禁止盡可為”的漏洞,但產出仍然是組織及崗位職責手冊。就好比當下盛行的“X位一體”的說法,似乎要重新建設一套新的合規風險管控流程一樣,熟不知“第三張清單”,指的就是可以發揮控制作用的流程。因為,內控作用的風險,本身就包括合規風險,合規管理工作的內容之一,是去審視流程與內控是否具有防范合規風險的能力,確保把一些崗位職責中的底線、紅線型合規義務,寫入對應角色的“作業指導書”。對合規風險的管控有3種基本的表現:第一種是員工的自控力,即掌握崗位合規義務要求,加強自我約束力,這一點還與“價值觀”有關,是為“勢”;第二種是不以員工自我意識為主導的內控,所以,合規管理離不開內控,是為“控”;第三種是事后的舉報與監督,是為“查”。那么什么是內控呢?企業為實現經營目標,防范運營風險所建立的制度、流程與角色執行標準。所以,內控的范圍是非常寬泛的,并非當下流行的參照18項指引梳理的部分流程、對其中控制活動作業說明進行具體化規范所能代表,何況,有些內容也并非流程所能解決。那為什么這種方式成為內控建設的“主流”呢?因為,制度管理是大型企業中已經存在的存量職能,可能與內控管理分屬不同部門,很難做到功能間的統籌推進,但并不意味著企業內部控制建設不包括制度,也不意味著合規管理因“強化合規管理,打造法治央企”的表面理解,把合規管理的重點導向“法律、法規”,而疏忽了用以管理企業、員工的制度。對工作內涵與外延的認識出現了失誤,一定會導致工作重心的嚴重偏移而影響效果。我理解合規管理辦法中講的加強合規管理與法治、內控、風險管理協同,不是讓企業必須進行什么所謂的“一體化建設”,而是已經有的,要互相利用,新工作的導入,要注意存量工作的補充、完善,打通相關工作之間的關系界面,從而形成整體效應。何況,這些工作也不是呈現一本手冊就能解決,手冊只是進行體系管理的一種方式。在合規管理工作中,經常提到三張清單:合規風險清單、崗位職責合規清單、流程管控清單。這三張清單是什么意思?怎么生成?有什么作用?不少專家經過周密思考,基于表面理解做出解釋,甚至還會給出合規風險清單,可以與崗位合規清單并為“一表”的答案。現實中,不少單位就是這樣做的,并表后變成一個橫幅極為寬闊,必須橫屏不斷拖動才能瀏覽的小字大表格,但不影響宣傳和對工作落實的表達。如果仔細分析,如此寬闊的表格內容,居然很難發現企業中最擔心發生的超權限違規風險描述,因為,一是不能再加內容了;二是外、內兼備的法、制多重規則集聚于一表的做法,從組合上就出現了問題,主要是不熟悉企業的制度管理方法所致。但是,企業中超權限決策重大事項,如果造成重大損失事實,是何等的違法、違規問題?那這樣的表單又有何意義?為什么會造成那么寬闊的表格?因為,跨度太大了!把國家法律、地方法規、部委規章、制度與一個部門中的崗位關聯在一起,那是多么漫長的一條路!既要有“外規內制”的名稱,還要體現風險名稱、風險級別、風險程度、合規要求、底線與紅線、責任部門、相關崗位。如果再遇到題目、條款內容很長的規則名稱,您大可想象,結果會何等壯觀!我曾針對合規管理,做出一個基于各種事兒的詳細業務關系圖,其中,涉及法人治理中分權授權、制度、內部控制、風險管理、法務、審計、紀檢監察、企業巡查,甚至還涉及企業的信訪工作。如果深刻理解企業中各職能之間的關聯關系,理解企業化解法規與政策風險的常用之法,理解企業內部控制的真實構成,完全可以讓三張表單各有其用,單獨成形,結果符合要求,且對員工還有參考、學習、應用價值。做任何工作,我們都要先清晰目的。合規管理的目的不是三張表單,這是工作要求,合規管理的目的是…,什么?怎么又有人說防控違規風險?也對,只看到了字面意思,咱們往深處看一看,與企業關聯起來:第一,讓合規管理助力企業的管理有效,違規風險發生的概率就會降低;第二,讓產出的結果符合上級的要求。怎么做呢?其實,《中央企業合規管理辦法》已經給出了答案,但必須深刻理解其內涵才行。第十六條 中央企業應當建立健全合規管理制度,根據適用范圍、效力層級等,構建分級分類的合規管理制度體系。怎么理解這個條款呢?這里的合規管理制度,指的是能夠承載不同類型外部規則要求的企業內部制度,不然,還把責任壓實給“各部門”?而企業中的制度管理,就是采用分類、分層進行管理的,不用考慮。只不過,受這個辦法的題目所限,不好表述,故統稱為“合規管理制度”,就好比內控文件中,國資委也會提到“內控制度”一樣。其內在含義可以理解為:企業依據外部規則建立的內部制度,必須具備不會違背外規合規要求的能力,必須具備不會違背上位制度合規要求的能力。即用制度的確定性,不斷收縮、擠壓觸及違規要素的空間。企業面對的外規,涉及太多方面,企業的制度建設,需要結合實際,通過“分類”解決這一問題。那分級到什么程度呢?辦法也給出了答案,就在于“合規管理制度體系”。分類分級指的是橫向分類、縱向分級、層層提高“具體化程度”的意思。企業的制度分級,最末級、最具確定性的制度,是標準控制型制度。譬如:公務接待管理細則、領導人員公務差旅費用管理細則、員工行為規范等等,這些制度是不可拆分的,是顆粒度最小的制度,或者,是管理類制度附件中的模板、表單,否則怎么叫“合規管理制度體系”呢。這些內容,才是有效“管控違規風險”的措施,其功能就是內部控制,而不是“貫徹、執行”之類的話術。這種方式,也是德魯克講的:防范法律法規風險最好的方法,是轉化為更嚴厲、更具體、更有效的內部控制。說到這,再多說一句題外話,依目前流行的做法,拿套“通用流程模板”適應性復制進行內控建設,很難落地。會有人質疑:我們做的內控可以落地,領導也在簽字審批,而且也沒出過什么大事兒?做個假設,可以設想一下:把企業當下做的流程與內控、合規管理取締,看看企業運作會不會受影響?然后保留當下的流程與內控、合規管理,把制度全部取締,讓企業依據留下的內控、合規成果運作,看看會是什么結果?他們是不可分割的幾個部分,這就是要協同而不是一體的意義。企業中大部分管理類制度、操作類制度、標準控制類制度等,都具有內控功能,只不過,制度管理、內控管理職能可能分設于不同部門,內控部門參照其它企業的做法,會誤認為:梳理流程建內控,是內控建設的全部工作,不是那樣的。又是誰講過,別的企業做的,就一定正確?這就是某證券交易所質詢某券商:請說明內控如何保證財報證實性,但回答不成功的原因,不是狹隘內控的理解,而必須是廣義內控的回答,是跨部門的。這也是合規管理辦法中,為什么多次提到制度建設的原因。內控是防范違規風險、通過監管及時發現并糾正不合規行為的最佳措施,即使生成的風險清單、崗位職責合規清單、流程管控清單,都具有直接或間接的控制功能,也并非唯一。所以,企業中的制度,與內控、合規管理、風險管理、法治、監督、各種職能管理中的監管有不可分割的關系,制度是合規管理之魂,內控是合規管理之手,普法是合規管理之境。本身都是全面的,那需要做到“幾位一體”才合適?首先,不要被“清單”二字的表面意思迷惑了,清單并不意味著只能是一行一行的大EXCEL表合成。其次,既然是合規風險清單,自然需要風險評估的過程才能產生,評估什么呢?風險因“規則要求”而產生,自然從與企業有關的外規開始。現實中,企業也是這樣做的,只不過這個過程體現在“思評、討論評”,把這些隱形的、不穩定的過程,顯性化地規范下來,讓他們穩定、確定地去做,本質是流程管理的“思想”。做一個假設,如果我給企業做合規評價,從表單中看不到證實合規風險評估的過程痕跡,我就會認為清單是填寫出來的,即使能夠找到對應的法規、制度也不行。因為,即使表中顯示了很多“風險詞匯”,即使內容是正確的,也不能證明這個表跟風險評估有關系,填表是“個人認識”的行為,你不能把個人認識強加給所有員工。既然是對體系的評價,當然要拿證據說話。別產生誤解,合規風險評估,絕不是法規中標明的“給予行政處罰”、“罰XX-XXX萬元”、“追究刑事責任”而判斷,必須理解風險評估的目的是什么。風險評估的目的在于:第一,外規約定的合規要求、違規處罰是客觀的,只要與企業有一定相關性和頻率,企業就必須承擔合規的責任與義務,即只能“風險承擔”;第二,要衡量企業的抗風險能力,同樣的風險,對不同企業、不同員工是不一樣的,所以,這個風險表不是通用復制的;第三,風險承擔絕不是等著,而是要采取風險解決方案,即內部控制,這不就回到是否需要“外規內化”了嗎,也是與企業的制度、內控的銜接接口。這就是最外沿風險評估的目的。需要設想的是,我們要構建的是一個可持續的機制,所以,風險評估的方法必須保持一致,即要找到風險評估的“確定要素”,建立一個“評估標準及風險判斷的規則”,讓每一個員工掌握這套操作簡單的標準模型,從而達到風險評估遵從標準的一致,這樣才能可持續、可操作。畢竟,外規搜集與所有部門、所有員工有關,不是合規管理部門之責,所以,很多結果是需要周密設計出來的,不是通過整理填表的。那結果是什么樣的呢?別忘了目的。如果外規風險很高,且企業尚不具備抗風險的內控能力,那這個外規,就是企業要求“相關崗位人員,必須重點遵從的內部規則”。比如,國資委發布的“嚴禁央企開展融資性貿易、虛假貿易”制度,對央企來講,它是外部規則。為什么央企能夠拿著國資委發布的制度,立即開展大檢查呢?很多人講,是國資委的工作要求,沒錯,但還沒總結出內在的管理規律。一是緊急,企業來不及建制度內控,只能把它視同為“內規”管理,企業直接用“外部規則”作為監管依據,相當于把外規納入到企業內部制度管理的范圍,視同為內規了,必須直接遵從。但現在看央企,很多都建立了自己的內部制度,這就是企業如何對待外規的“管理規律”。那為什么要直接納入內部管理呢?二是責任明確,查到誰,就地免職主要負責人,這個制度“有勢能”啊,企業就感覺到風險程度很大。大可理解為:通過運用風險評估模型進行評估,發現企業不具備滿足該制度合規要求的抗風險能力,所以,必須視同為內部制度一樣,以它為依據,馬上啟動監管。那這應該屬于什么風險呢?如果企業把合規風險作為企業級風險分類,就看合規風險再怎么分類規劃了。合規風險清單是題目,表中風險就是“違反經營政策風險”,是一個對應并反饋企業合規風險管理規劃架構的過程。那怎么反映制度中的合規要求呢?該文件中明確的底線、紅線設定,即風險因子。那怎么體現風險防控措施呢?接到這個制度,企業會怎么辦?拿著制度去清查嗎?絕對不會:一是發文周知,視為公示;二是文中必然明確要求,自查并報送自查結果,自查必須有自查表吧,文件中的自查表即風險防控措施;三是根據自查情況,企業開展檢查、排查,并將結果報送國資委,這個措施就可以表述為“組織審計、財務、某業務部門聯合監督檢查”。那怎么找到責任單位呢?該制度覆蓋的所有單位,包括集團公司、下屬各單位,責任人是誰?企業主要領導。所以,合規風險清單的作用,是做這個工作的,循環下去,就形成一張張“合規風險評估表”,歸納起來,就是企業的“合規風險清單”。那是不是太多了,那么多外規?其實,辦法也回答了。第十八條 中央企業應當針對反壟斷、反商業賄賂、生態環保、安全生產、勞動用工、稅務管理、數據保護等重點領域,以及合規風險較高的業務,制定合規管理具體制度或者專項指南。中央企業應當針對涉外業務重要領域,根據所在國家 (地區)法律法規等,結合實際制定專項合規管理制度。另外,這個風險評估模型具有排除功能,經過風險評估,違規風險不高,被評估的規則是可以放棄的。這就是我以前文章中經常提到的,合規風險評估最終對齊的,一定是“企業直接遵從的那個規則”的原因。而這個過程,是通過層層風險評估、現有內控能力的綜合匹配完成的。這個層層,要抽象理解,有些規則,通過直接判斷就可以得出結論,譬如:央企對勞動法的合規管理,企業中的內控都成熟到什么程度了,可以去審視完善性,如果沒什么漏洞,就沒必要再重新整理一遍,而是直接對齊內部制度。所以,合規風險清單中的風險管控措施,要么是制度、要么是流程、要么是模板、要么是表單,最差的也是具體行動,與制度管理、流程控制引發了呼應,這就叫協同。協同是設計的接口結果,不是放在一個手冊,就是一體化,就是協同。一是合規風險清單的形成過程,會促進企業制度的完善,有助于解決企業制度建設適應性、全面性、系統性問題,解決的是“依法立規”問題;二是結合風險可以找到被監管者的適用規則,有針對性地履行監管、監督責任,解決的是“依規治企”問題;三是對員工來講,通過清單既知道了風險及合規要求的具體化內容,也找到了“怎么做”的依據,解決的是“合規經營”問題。綜合下來,通過企業的種種措施,用合規管理行動落實了國資委提出的“強化合規管理,打造法治央企”的要求。經過合規風險評估,形成了合規風險清單之后,風險防控責任一般都會分解到相關部門,意味著合規風險責任與部門負責人建立了關聯,承擔的是該規則合規要求的完全責任。部門怎么做?其實《中央企業合規管理辦法》也給出了答案。第十三條 中央企業業務及職能部門承擔合規管理主體責任,主要履行以下職責:(二)定期梳理重點崗位合規風險,將合規要求納入崗位職責。復盤流程與內控部分建設成果,評價流程管控合規風險的效能,實施流程優化,結合合規風險清單、崗位責任清單,將合規義務寫入相關角色的“作業指導書”。通過流程與相關風險的對應,形成風險與流程的索引表即可。