转载。
人们最容易出现的问题是,见显不见隐、见木不见林、见表不求本。就好比广泛传播的“强化合规管理,打造法治央企”的说法一样,不少人会不加思索地引用这句话,甚至还给出满满的见解,却忘记了“换位思考”。如果站在国家或国家部委的层面看央企,法治央企与开展合规管理工作,可以认为是“目的与措施”的关系;如果站在央企的角度看,法治央企与合规管理的关系,就大相径庭了。企业合规管理的外延,要远大于企业中法务职能覆盖的范围,企业法务承担的职能,反而是为合规管理营造普法、知法、守法的合规环境;法务开展的各种法律符合性审核,恰恰是为合规目标提供保证的“内控”措施;即使合规管理失效后,发生的法律纠纷问题处置,似乎也是合规管理的事后补救。与看似称谓上的“权威性”无关,因为,企业法务,就是因合规追求而生的一项职能。认真思考一下,这种提法转换到央企,其内涵是什么?应该变成了“依法立规、依规治企、合规经营”,因为,企业站不到国家部委的那个位置,他是守法者的站位,而不是执法者的站位。央企是社会中的一级组织,如果把建设法治央企做为目的,绩效就是依据法律治理企业,不发生违法违纪风险,其逻辑是企业成为面向企业内部实施监管的执法者。值得品味的是,同样12个字,意思全变了。别急着给出“曲解上级部门精神”的结论,几个字的变化,反映出了什么?反映出央企落实上级部门“强化合规管理,打造法治央企”要求的指导思想。是不是感觉落实上级精神和要求的路径变得清晰了?是不是感觉具体多了?是不是合规、内控找到了发力点?“依法立规”的说法,是不是还呼应了中央企业合规管理办法中“建立合规制度”的工作要求?这样的变化,不仅没有违背上级主管部门精神,还属于做出了积极的回应,表达出了怎么落实的工作思路,而且还符合企业的管理实际,是可实施的。可惜的是,社会上、企业中敢主动思考、领悟的人太少了,很多人都会采用“上面怎么讲、企业怎么说”的办法,这样做的好处,最低程度不会犯错,也不会有发生异议,但管理工作不是这样做的。无论是企业还是咨询机构,导入一套方法或体系,都应该站在企业角度思考:最先想到的应该是目的,然后是绩效、逻辑、工作组合与活动,之后是产出形式及作用,最后才是衡量能否与上级管理要求匹配,从而纠正逻辑、工作组合,并规划实施。合规管理与内部控制,都属于来自于外部或上级单位部署、推动的工作,但实质仍是企业应该主动开展的工作。为了促进工作的落实,推动单位往往会对结果提出模板化要求,有时候就会无意识地牵引了企业的动机,导致落实工作的目的发生了变化。譬如:合规管理中的三张清单、内部控制中的梳理流程、嵌入内控的说法,很多企业都忙于追求怎么做出三张清单,怎么形成一套流程化内控手册,却疏忽了体系建设的真正目的,疏忽了对开展这些工作意义的真正理解,疏忽了体系运作的持续性——机制。机制,不单是每年评价一次体系,形成一个评价报告,然后领导层进行审议的机制,而是持续产生清单、持续发生合规管理效能酵化、持续优化体系的运作方式、方法。产生一套符合要求的结果形式,仅仅是短期目标的反映,可以反映短期的工作成绩。但任何体系的建设,本质是要用的,而不是仅为了满足上级要求、应付上级检查,都需要转化为可持续的有益于企业发展的工作,这才是对企业的贡献。就好比当下不少企业出现的现象,搞出一套反映法律合规要求的风险清单,不是说法律法规不重要,但你见过哪家大型企业是用法律、法规管理企业的,你见过企业员工有多少经常研究各种法律条款的?就好比当下一些企业出现的一景,突然出现了第二套岗位员工合规职责手册。要知道,组织管理之道,组织管理手册只能是唯一的一份,避免歧义。合规管理“第二张清单”,仅是要求把合规义务纳入到关键员工岗位职责,宗旨在于堵住“法无禁止尽可为”的漏洞,但产出仍然是组织及岗位职责手册。就好比当下盛行的“X位一体”的说法,似乎要重新建设一套新的合规风险管控流程一样,熟不知“第三张清单”,指的就是可以发挥控制作用的流程。因为,内控作用的风险,本身就包括合规风险,合规管理工作的内容之一,是去审视流程与内控是否具有防范合规风险的能力,确保把一些岗位职责中的底线、红线型合规义务,写入对应角色的“作业指导书”。对合规风险的管控有3种基本的表现:第一种是员工的自控力,即掌握岗位合规义务要求,加强自我约束力,这一点还与“价值观”有关,是为“势”;第二种是不以员工自我意识为主导的内控,所以,合规管理离不开内控,是为“控”;第三种是事后的举报与监督,是为“查”。那么什么是内控呢?企业为实现经营目标,防范运营风险所建立的制度、流程与角色执行标准。所以,内控的范围是非常宽泛的,并非当下流行的参照18项指引梳理的部分流程、对其中控制活动作业说明进行具体化规范所能代表,何况,有些内容也并非流程所能解决。那为什么这种方式成为内控建设的“主流”呢?因为,制度管理是大型企业中已经存在的存量职能,可能与内控管理分属不同部门,很难做到功能间的统筹推进,但并不意味着企业内部控制建设不包括制度,也不意味着合规管理因“强化合规管理,打造法治央企”的表面理解,把合规管理的重点导向“法律、法规”,而疏忽了用以管理企业、员工的制度。对工作内涵与外延的认识出现了失误,一定会导致工作重心的严重偏移而影响效果。我理解合规管理办法中讲的加强合规管理与法治、内控、风险管理协同,不是让企业必须进行什么所谓的“一体化建设”,而是已经有的,要互相利用,新工作的导入,要注意存量工作的补充、完善,打通相关工作之间的关系界面,从而形成整体效应。何况,这些工作也不是呈现一本手册就能解决,手册只是进行体系管理的一种方式。在合规管理工作中,经常提到三张清单:合规风险清单、岗位职责合规清单、流程管控清单。这三张清单是什么意思?怎么生成?有什么作用?不少专家经过周密思考,基于表面理解做出解释,甚至还会给出合规风险清单,可以与岗位合规清单并为“一表”的答案。现实中,不少单位就是这样做的,并表后变成一个横幅极为宽阔,必须横屏不断拖动才能浏览的小字大表格,但不影响宣传和对工作落实的表达。如果仔细分析,如此宽阔的表格内容,居然很难发现企业中最担心发生的超权限违规风险描述,因为,一是不能再加内容了;二是外、内兼备的法、制多重规则集聚于一表的做法,从组合上就出现了问题,主要是不熟悉企业的制度管理方法所致。但是,企业中超权限决策重大事项,如果造成重大损失事实,是何等的违法、违规问题?那这样的表单又有何意义?为什么会造成那么宽阔的表格?因为,跨度太大了!把国家法律、地方法规、部委规章、制度与一个部门中的岗位关联在一起,那是多么漫长的一条路!既要有“外规内制”的名称,还要体现风险名称、风险级别、风险程度、合规要求、底线与红线、责任部门、相关岗位。如果再遇到题目、条款内容很长的规则名称,您大可想象,结果会何等壮观!我曾针对合规管理,做出一个基于各种事儿的详细业务关系图,其中,涉及法人治理中分权授权、制度、内部控制、风险管理、法务、审计、纪检监察、企业巡查,甚至还涉及企业的信访工作。如果深刻理解企业中各职能之间的关联关系,理解企业化解法规与政策风险的常用之法,理解企业内部控制的真实构成,完全可以让三张表单各有其用,单独成形,结果符合要求,且对员工还有参考、学习、应用价值。做任何工作,我们都要先清晰目的。合规管理的目的不是三张表单,这是工作要求,合规管理的目的是…,什么?怎么又有人说防控违规风险?也对,只看到了字面意思,咱们往深处看一看,与企业关联起来:第一,让合规管理助力企业的管理有效,违规风险发生的概率就会降低;第二,让产出的结果符合上级的要求。怎么做呢?其实,《中央企业合规管理办法》已经给出了答案,但必须深刻理解其内涵才行。第十六条 中央企业应当建立健全合规管理制度,根据适用范围、效力层级等,构建分级分类的合规管理制度体系。怎么理解这个条款呢?这里的合规管理制度,指的是能够承载不同类型外部规则要求的企业内部制度,不然,还把责任压实给“各部门”?而企业中的制度管理,就是采用分类、分层进行管理的,不用考虑。只不过,受这个办法的题目所限,不好表述,故统称为“合规管理制度”,就好比内控文件中,国资委也会提到“内控制度”一样。其内在含义可以理解为:企业依据外部规则建立的内部制度,必须具备不会违背外规合规要求的能力,必须具备不会违背上位制度合规要求的能力。即用制度的确定性,不断收缩、挤压触及违规要素的空间。企业面对的外规,涉及太多方面,企业的制度建设,需要结合实际,通过“分类”解决这一问题。那分级到什么程度呢?办法也给出了答案,就在于“合规管理制度体系”。分类分级指的是横向分类、纵向分级、层层提高“具体化程度”的意思。企业的制度分级,最末级、最具确定性的制度,是标准控制型制度。譬如:公务接待管理细则、领导人员公务差旅费用管理细则、员工行为规范等等,这些制度是不可拆分的,是颗粒度最小的制度,或者,是管理类制度附件中的模板、表单,否则怎么叫“合规管理制度体系”呢。这些内容,才是有效“管控违规风险”的措施,其功能就是内部控制,而不是“贯彻、执行”之类的话术。这种方式,也是德鲁克讲的:防范法律法规风险最好的方法,是转化为更严厉、更具体、更有效的内部控制。说到这,再多说一句题外话,依目前流行的做法,拿套“通用流程模板”适应性复制进行内控建设,很难落地。会有人质疑:我们做的内控可以落地,领导也在签字审批,而且也没出过什么大事儿?做个假设,可以设想一下:把企业当下做的流程与内控、合规管理取缔,看看企业运作会不会受影响?然后保留当下的流程与内控、合规管理,把制度全部取缔,让企业依据留下的内控、合规成果运作,看看会是什么结果?他们是不可分割的几个部分,这就是要协同而不是一体的意义。企业中大部分管理类制度、操作类制度、标准控制类制度等,都具有内控功能,只不过,制度管理、内控管理职能可能分设于不同部门,内控部门参照其它企业的做法,会误认为:梳理流程建内控,是内控建设的全部工作,不是那样的。又是谁讲过,别的企业做的,就一定正确?这就是某证券交易所质询某券商:请说明内控如何保证财报证实性,但回答不成功的原因,不是狭隘内控的理解,而必须是广义内控的回答,是跨部门的。这也是合规管理办法中,为什么多次提到制度建设的原因。内控是防范违规风险、通过监管及时发现并纠正不合规行为的最佳措施,即使生成的风险清单、岗位职责合规清单、流程管控清单,都具有直接或间接的控制功能,也并非唯一。所以,企业中的制度,与内控、合规管理、风险管理、法治、监督、各种职能管理中的监管有不可分割的关系,制度是合规管理之魂,内控是合规管理之手,普法是合规管理之境。本身都是全面的,那需要做到“几位一体”才合适?首先,不要被“清单”二字的表面意思迷惑了,清单并不意味着只能是一行一行的大EXCEL表合成。其次,既然是合规风险清单,自然需要风险评估的过程才能产生,评估什么呢?风险因“规则要求”而产生,自然从与企业有关的外规开始。现实中,企业也是这样做的,只不过这个过程体现在“思评、讨论评”,把这些隐形的、不稳定的过程,显性化地规范下来,让他们稳定、确定地去做,本质是流程管理的“思想”。做一个假设,如果我给企业做合规评价,从表单中看不到证实合规风险评估的过程痕迹,我就会认为清单是填写出来的,即使能够找到对应的法规、制度也不行。因为,即使表中显示了很多“风险词汇”,即使内容是正确的,也不能证明这个表跟风险评估有关系,填表是“个人认识”的行为,你不能把个人认识强加给所有员工。既然是对体系的评价,当然要拿证据说话。别产生误解,合规风险评估,绝不是法规中标明的“给予行政处罚”、“罚XX-XXX万元”、“追究刑事责任”而判断,必须理解风险评估的目的是什么。风险评估的目的在于:第一,外规约定的合规要求、违规处罚是客观的,只要与企业有一定相关性和频率,企业就必须承担合规的责任与义务,即只能“风险承担”;第二,要衡量企业的抗风险能力,同样的风险,对不同企业、不同员工是不一样的,所以,这个风险表不是通用复制的;第三,风险承担绝不是等着,而是要采取风险解决方案,即内部控制,这不就回到是否需要“外规内化”了吗,也是与企业的制度、内控的衔接接口。这就是最外沿风险评估的目的。需要设想的是,我们要构建的是一个可持续的机制,所以,风险评估的方法必须保持一致,即要找到风险评估的“确定要素”,建立一个“评估标准及风险判断的规则”,让每一个员工掌握这套操作简单的标准模型,从而达到风险评估遵从标准的一致,这样才能可持续、可操作。毕竟,外规搜集与所有部门、所有员工有关,不是合规管理部门之责,所以,很多结果是需要周密设计出来的,不是通过整理填表的。那结果是什么样的呢?别忘了目的。如果外规风险很高,且企业尚不具备抗风险的内控能力,那这个外规,就是企业要求“相关岗位人员,必须重点遵从的内部规则”。比如,国资委发布的“严禁央企开展融资性贸易、虚假贸易”制度,对央企来讲,它是外部规则。为什么央企能够拿着国资委发布的制度,立即开展大检查呢?很多人讲,是国资委的工作要求,没错,但还没总结出内在的管理规律。一是紧急,企业来不及建制度内控,只能把它视同为“内规”管理,企业直接用“外部规则”作为监管依据,相当于把外规纳入到企业内部制度管理的范围,视同为内规了,必须直接遵从。但现在看央企,很多都建立了自己的内部制度,这就是企业如何对待外规的“管理规律”。那为什么要直接纳入内部管理呢?二是责任明确,查到谁,就地免职主要负责人,这个制度“有势能”啊,企业就感觉到风险程度很大。大可理解为:通过运用风险评估模型进行评估,发现企业不具备满足该制度合规要求的抗风险能力,所以,必须视同为内部制度一样,以它为依据,马上启动监管。那这应该属于什么风险呢?如果企业把合规风险作为企业级风险分类,就看合规风险再怎么分类规划了。合规风险清单是题目,表中风险就是“违反经营政策风险”,是一个对应并反馈企业合规风险管理规划架构的过程。那怎么反映制度中的合规要求呢?该文件中明确的底线、红线设定,即风险因子。那怎么体现风险防控措施呢?接到这个制度,企业会怎么办?拿着制度去清查吗?绝对不会:一是发文周知,视为公示;二是文中必然明确要求,自查并报送自查结果,自查必须有自查表吧,文件中的自查表即风险防控措施;三是根据自查情况,企业开展检查、排查,并将结果报送国资委,这个措施就可以表述为“组织审计、财务、某业务部门联合监督检查”。那怎么找到责任单位呢?该制度覆盖的所有单位,包括集团公司、下属各单位,责任人是谁?企业主要领导。所以,合规风险清单的作用,是做这个工作的,循环下去,就形成一张张“合规风险评估表”,归纳起来,就是企业的“合规风险清单”。那是不是太多了,那么多外规?其实,办法也回答了。第十八条 中央企业应当针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域,以及合规风险较高的业务,制定合规管理具体制度或者专项指南。中央企业应当针对涉外业务重要领域,根据所在国家 (地区)法律法规等,结合实际制定专项合规管理制度。另外,这个风险评估模型具有排除功能,经过风险评估,违规风险不高,被评估的规则是可以放弃的。这就是我以前文章中经常提到的,合规风险评估最终对齐的,一定是“企业直接遵从的那个规则”的原因。而这个过程,是通过层层风险评估、现有内控能力的综合匹配完成的。这个层层,要抽象理解,有些规则,通过直接判断就可以得出结论,譬如:央企对劳动法的合规管理,企业中的内控都成熟到什么程度了,可以去审视完善性,如果没什么漏洞,就没必要再重新整理一遍,而是直接对齐内部制度。所以,合规风险清单中的风险管控措施,要么是制度、要么是流程、要么是模板、要么是表单,最差的也是具体行动,与制度管理、流程控制引发了呼应,这就叫协同。协同是设计的接口结果,不是放在一个手册,就是一体化,就是协同。一是合规风险清单的形成过程,会促进企业制度的完善,有助于解决企业制度建设适应性、全面性、系统性问题,解决的是“依法立规”问题;二是结合风险可以找到被监管者的适用规则,有针对性地履行监管、监督责任,解决的是“依规治企”问题;三是对员工来讲,通过清单既知道了风险及合规要求的具体化内容,也找到了“怎么做”的依据,解决的是“合规经营”问题。综合下来,通过企业的种种措施,用合规管理行动落实了国资委提出的“强化合规管理,打造法治央企”的要求。经过合规风险评估,形成了合规风险清单之后,风险防控责任一般都会分解到相关部门,意味着合规风险责任与部门负责人建立了关联,承担的是该规则合规要求的完全责任。部门怎么做?其实《中央企业合规管理办法》也给出了答案。第十三条 中央企业业务及职能部门承担合规管理主体责任,主要履行以下职责:(二)定期梳理重点岗位合规风险,将合规要求纳入岗位职责。复盘流程与内控部分建设成果,评价流程管控合规风险的效能,实施流程优化,结合合规风险清单、岗位责任清单,将合规义务写入相关角色的“作业指导书”。通过流程与相关风险的对应,形成风险与流程的索引表即可。