01.体系的构建思维是什么样的
有时候,人们很容易误认为通过制度、手册等形成一种治理关系,一套信息数据的产出,就意味着体系的完成。不是这样的。
体系的核心是机制,机制是一种动态的,当满足设置条件时,就会自发地触发由不同角色、不同时点执行的相关流程。比如,企业中一直纠结的风险管理、内控管理、合规管理不能落地等问题,根因在于,没有设计出一种动态的长效机制;相反,设定条件下必须进行的、基于确定风险要素的风险评估,无论什么时间、哪个组织都可以自动进行,否则流程就走不通,这就是机制,需要配套制度提供保障。
无论是站在咨询角度,还是企业角度,我们都应该思考一个问题:做好一项工作,是面对问题找方法,还是用一套方法应对不同企业、不同环境下的不同问题。我倾向于前者。所以,每次与客户达成合作意向,都会留下一句话:从我进场开始,我就是企业中人,会与你们一起讨论企业中的问题。这句话听起来很简单,但绝非大多人都能做到,也写不出来。
我经常讲,一套体系的顶层,需要遵循PDCA原则,事实上不止于此, PDCA闭环的构建,还需要以企业的文化、理念、运营架构为思维导入,是设计出来的。看待一个问题,要站在企业的角度,并不意味着要站在企业领导岗位的角度看企业,而是从企业运营架构中的某个结构,去认识与待解决课题相关的、贯穿于企业的端到端过程,这个过程就是结构,从而找到一套切实可行的解决方案,企业中有独立的机构,但很少有封闭孤立的职能。以下我用建立企业合规管理体系的构思来做说明。
一套解决方案,首先要考虑的是系统性,其次要考虑可实现性与适应性,只有建立在系统条件下的方案,才具备构建真正有效体系的可能。合规管理体系是基于管理观所形成的产物,而不是基于管控合规风险。比如:开篇所讲3个朋友的讨论,他们的思维放到了合规管理解决的问题,即合规风险的控制,就发生了偏差。合规风险的控制,由体系内部的适应性决定,是建立体系的追求,而不是合规管理体系本身。
什么是系统性呢?系统性基于宏观整体的视角而形成,需要遵循“零基”思维,不受企业现实职能划分的干扰,否则,很容易出现“孤岛”问题。比如,ISO37301中的PDCA图中的P,如果认真思考一下,无论如何,都不足以构成合规管理体系的计划,计划是由确定的事项构成的。当然,不能认为它没有道理,因为,这张图是基于合规管理单维认识下,形成的范围性结论的结果,不能体现为企业级的端到端。
什么是可实现性呢?指的是构建的方案能够转变为现实,否则,再好的方案都是理想化的理论。比如,不少专家一直在讲,把合规要求融入到流程活动或通过流程实现几位一体,想法好吗?绝对是最好的,但前提是“企业必须有系统、标准的成熟流程”为条件,而这一过程,需要企业坚定的信心、若干年的努力才能实现。如果不具备这一条件,讲的再好、再有道理也难以转变为现实。
比如:内控建设形成的审批流程基本属于流程片段,很多并不是现实的操作流程,而是逻辑流程,所以既不能落地,控制活动也很难具体化、完整化,只是企业已经形成了过程习惯,看似在运作而已。如果合规要求仅仅融入这些流程,您觉的能覆盖全面吗?
什么是适应性呢?指的是与员工日常工作的结合。我们导入合规管理,是一个新的理念和举措,但不意味着企业在导入之前没有对合规的追求。导入一套新理念、新方法,无非有4种选择:放弃、弱化、强化、新增,是基于企业现实环境的选择,关键是哪个环节需要选择什么?
比如,很多人讲法务、合规、监督的协同方法,听着挺好,但合规管理体系如果只强调与“法务”的关系,那还叫体系吗?法务只是体系中一个承担法律合规性审核的控制角色,那其他扮演政策合规性审核的控制角色,难道就不需要协同了?还是法务承担所有的合规控制角色责任?问题是他也承担不了,所以,这是一个伪命题,或者说是一个“点”的问题,问题出在混淆了“角色身份”与“职责”的对应关系。
企业常犯的错误是:主管部门认识的原理、思路与方法,希望其他员工也应该认识到,那是不可能的,只能是尽可能争取实现。解决的方法是,结合日常工作去改进、融合,让员工在工作过程中形成从不适应到适应的惯性,再辅以必要的内控,逐步形成习惯,而员工的工作是主角,合规是配角,这时候,机制就形成了。
比如,企业年年培训风险管理,要求做好风险评估、强化内控等,认真思考一下,发挥的作用又有几何?培训,只是一种知识储备型的做事儿准备。再比如,当年我离开某集团时,有部门领导开玩笑:感觉你没怎么折腾我们,但这些年我们都在为你打工。这就是机制的作用。
02.找到运营架构中与合规管理关联的结构
端到端过程,通俗地讲,就是从客户中来,到客户中去。那么,为什么有些流程专家的观点,认为端到端也是“满足需求的过程”呢?问题出在不知不觉中视角发生了变化,混淆了外部客户与内部客户的区分,企业角度的客户,一定是外部的,最多是股东。
从整体认识,并不意味着视合规管理办法和标准于不顾。而是在充分理解基础上,从体系建设构思的角度思考课题。一般遵循先整体简单、再结构化的原则,即:外部监管机构希望企业全部掌握,并严格遵从与企业相关的外部法律、监管政策、制度要求,这是外部客户的需求。如何回到客户中去呢?企业不发生任何违反外部规则要求的违规问题,意味着满足了外部客户的需求。
其次,再转入内部客户。同样的道理,客户是每个发布规则的主体,包括企业、部门等,他们也希望相关员工遵从他们发布的规则。那么二者有什么关系呢?
企业建立制度,首选前提是合法合规,即符合外部规则的要求,不能违背其限制条件,但并不意味着企业内部制度,能够覆盖所有的外部规则,此其一。
国家的法律,是面向所有企业、公民的最基本要求,司法机构希望相关角色掌握法律要义,所以,企业法务人员的重要主责是“普法,法律合规性内控”,但很少有企业拿法律作为内部的管理规则,因为企业不是执法机构,所以,与企业相关的法律是“必备知识资料”,也是法务人员经常查阅的立职之本,此其二。
企业经常接收到的来自于外部监管机构、国家部委、上级单位的制度、约束性政策文件等,很多需要企业立即执行,构成了企业检查、监督、开展工作的政策依据。所以,企业管理范围内必须遵从的规则,主要由内部自建制度、外部制度与政策构成,此其三。因此,一个单体企业,不一定都要内建制度,而应“善用”上级单位的资源。
由此,构成了企业合规管理体系的“规则及合规要求输入”,这是“从外向内”的内化思维逻辑,企业中的任何建设,只能是“内化能力建设”。接下来需要面对的问题是:外规如何转内规。这就是企业为什么人力资源管理制度能够满足劳动法、民法典等法律的原因,同样道理,公司法、会计法、税法等转化为内部管理制度,都是一样的逻辑。问题是,哪些外规需要内建制度?哪些外规只要在需要时了解、掌握即可呢?是合规管理要考虑并回答的问题。
现实中,员工回答这个问题,往往是“因为有要求,有必要”。这种认识很难实质性地满足外规的要求,仔细看一下企业中制度的第一条,依据基本都有,但并不一定传导了必要的外规要求。所以,需要建立一种“执行标准”和责任方法。其中,执行标准对应的活动,即“合规风险评估”,需要把必要性进行具体化设计,转化为确定性,从而统一所有员工的合规风险评估行为,由违规损失程度、违规可能性、抗风险能力三个评估指标构成。
合规风险评估,不能简单地依靠主观认识判定,需要通过“一致性、确定性要素”表现出来,这才是管理。风险评估需要落实到两个节点:一是搜集外规的节点评估,搜集信息就要有“确定”的过程,不然就会发生信息泛滥的问题;二是内规分解细化前的节点评估。理顺了思路,就要明确落实的责任主体,是制度管理部门而不是合规管理部门。所以,制度体系的完善性、规范性,是合规管理体系的“上游体系”。一套体系的有效性,取决于上游体系的有效性,是有效性条件,与法务一点关系没有。这与法务部门是否承担制度管理、合规管理职能无关,别忘了“零基”思维。
通过这种方式,我们就找到“合规管理体系”识别合规义务清单的“确定性来源”:企业管理范围内并直接遵从的规则。会有人说,如果企业进入一个新的国家进行国际化经营,经营所在地的法律法规搜集怎么解决?这是制度管理的责任,不是狭义合规管理体系的功能,搜集不到外规,追制度管理的“责”,合规管理不往前设计,那就打合规管理的“板子”。这就是企业中系统下的结构化、责权对等原则体现,也是协同的体现。协同,不就是构建串行流程间接口的“凹凸衔接”吗?责任不能搞乱。这种方式,能够满足兼顾内、外合规管理的需求。
同样道理,再梳理合规管理体系整体的后端,后端即“监督与评价”。评价包括对体系的完整性、有效性、适应性评价。完整基于体系本身,有效基于体系的覆盖范围,适应基于设计与执行的验证。后端实施评价的有效性不是“孤立”的,是由合规管理体系设计决定的。体系设计的好,评价就会有的放矢,设计的“模模糊糊”,合规评价也会“模模糊糊”,例行公事。
至于监督,与合规管理体系有一定关系,但还不至于改变监督的“传统习惯与工作方式”,只要明确“合规管理中”发现的违规问题与监督的关系、信息相互流转与数据共享关系即可。监督本来就是基于“合规性”进行的验证与检查,并非专家们讲的“那么玄妙和复杂”,区别在于合规管理体系运作的好,就会大大降低“监督发现违规问题的概率”。
理顺了“上下游”的串行关系,只是体系建设的第一个步骤,还需要理顺与合规管理的并行关系。需要具体化到合规管理体系中的功能结构,包括:合规性内控、制度的审批与发布、合规举报、合规行为清单等,这些内容都是由流程决定的,把流程设计好,就可以形成“动态的长效机制”,实现合规管理与各个部门日常工作之间的协同。
至于合规管理与哪个职能的协同,全部通用化了,机制,必然是“一致性”,而不是不同部门的“差异性”。这部分处理好了,自然就可以满足合规管理办法、ISO37301认证的要求,而合规管理体系的P,也得到了具体化的澄清,如果仔细思考,通过模拟就能找到来源,而且是动态的,所以,体系必然具备持续运作的条件。
这就是我一直讲的“合规管理是制度管理的延长线,是提升企业管理执行力措施”的原因。
03.手册、准则、清单的关系与合规官的职责
企业中的管理体系是无形的,体现的是“系统化的管理思维与方法”,体系中的任何文本输出,是支撑体系运作的措施,但不等同于体系本身。体系是动态的,文本化输出是静态的,支撑体系运作的是相关作业流程,而不是文本。
走访、接触过很多企业,他们取出的合规管理成果,不少是非常尴尬的表现。其中,手册、准则、清单混为一谈,并不少见。
任何一个体系的构建,都离不开制度、管理手册、程序手册与表单。管理手册是为了让所有员工理解“管理体系”的理念、原则、构建思维、方法、目的与重点内容,以及希望员工遵从、执行的流程目标。手册的主要作用是“传导”,希望员工通过学习手册,保持与主管部门的认识趋同、理解一致,解决的是“知”。程序手册是体系运作的系统化流程,直到体系内的各个作业操作级流程,涉及前面分析的上下游衔接及接口的具体化、详尽化设计,实现流程间衔接的方法就是“表单”,解决的是“会”;流程中会新增“内控节点”,解决的是“做”,否则,流程走不通。协同反映在流程接口,而不是讲。
从企业制度分解出的“合规清单”,以及“控制型”不需拆解的制度,一定是离散的存在,可以对应到相关岗位,提高岗位认知与执行力。但也有一个非常大的缺陷,解决了“普遍性”合规问题,就会弱化企业级关注的“重要性”合规问题,解决的方式是“合规行为准则”,也可以叫“合规管理准则”。准则不是面面俱到的表述,更强调企业的价值观、企业经营面对的主要外部法律法规风险及倡导的策略,比如:反腐败法合规、反垄断法合规、军工出口许可合规、食品安全合规等等,与企业所处行业、产品、市场、企业的行业地位相关。
在企业合规管理体系中,增加了一个主要角色“合规管理官”。由于合规管理官一般由企业级领导兼任,合规管理办法中也确定了其职责,对履行重大决策的合规控制职责,责无旁贷。但更重要的是“合规体系持续完善与有效性”管理职责,需要找到可行的方法,一般通过合规管理小组的方式表现出来,但其属性与企业中的委员会有明显区分,也需要通过制度,构建一种履职机制,解决的是“合规管理人人有责”问题。
至于合规行为清单,就不再多说了,有两种选择:一种是“能动型”的方式;一种是“保守型”的方式。能动型表现为“合规要求怎么做”与“底线红线”兼备,强调的是不仅要合规,还要做好;保守型方式体现为“底线红线”,意味着不违反就不会发生违规风险,至于如何工作,按制度执行。我倾向于前者,对企业和员工来讲,追求绩效第一,合规是绩效达成的约束条件。
合规管理最忌讳的是,不小心把合规管理做成了“主角”,把员工职责中的主责做成了“配角”。比如:一些企业中出现了安全生产合规手册、质量管理合规手册、采购合规手册等等,都是不太恰当的表现。有效的方式,应该把合规管理嵌入到安全生产管理手册、质量管理手册、采购管理手册中。其次,企业重视合规管理,不能简单理解成合规管理上升到战略管理的高度,单体企业的运营结构只有两层:战略管理体系与运营体系。合规永远是企业经营管理、不同层级员工达成绩效的约束条件,是企业价值观落地的一种体现,但不能喧宾夺主。