管理大师德鲁克把企业家关心的问题归纳为5个方面:效率与创新、制度与非例行化、利润与社会道德、授权与控制、自我与他人。
5个方面与企业中的制度、流程、合规、风控、内控(下称“5类工作”)有着千丝万缕的关系,他们是保障企业健康运营的5大要素,与企业中的组织、职责、角色、权限、工作、绩效紧密地关联在一起。
有些朋友曾问我,为什么你的文章总涉及多个方面?一是因为企业是一个整体,功能化分工的目的是为了提升专业能力、易于管理,最终的目标仍然是实现合成;二是企业是一个立体结构的整体,加上信息化应用程度的提高,没有任何一个维度的方法,可以独善其身或发挥期望功效。这就是企业为什么总提倡培养复合型人才,管理向上看的原因。
要解释清楚几者之间的关系,是一件非常复杂的事情。首先,制度、流程、风控、内控与合规管理,本身都是一件贴着标签的花瓶,核心在于研究瓶中的内容。如果从每个单一维度看,都会形成一个不同的观点。
1.制度管人,流程管事儿。这种观点一定产自流程管理专家,或以“流程”为主要规则方式的企业,但它的成立是有条件的,前提是流程已经成为企业运作的主要规则方式,用制度的权威性去发挥保障员工遵从流程的作用。当制度仍占据企业规则主导地位的时候,如果仍孤立地认为制度就是管人的,那就大错特错了。
企业实施流程管理是一个趋势,确实比单纯的制度管理有很多优势,但不能否认制度在企业中发挥的重要作用。一个企业制度体系的“优与劣”,取决于归口管理部门的能力和水平,决定于各主责管理部门认知的系统性与追求精细化管理的程度。
企业中经常存在一个误区,因问题补漏而建立新制度,导致制度泛滥、彼此交叉甚至矛盾。更何况制度的编写人,不一定全是“经验丰富之人”,我曾亲眼见过一个借调人员,居然能够半天完成制度修订且无讨论而一天内部门审核通过的事情,太不严肃了!但流程管理则强调把相关的优秀人员集中在一起讨论形成结果,起点不同,结果没什么可比性。
理想的状态是,企业日常做基于职能的流程梳理,不是没有意义,而是要做一条就应该成熟一条,因为这些“琐碎”的职能流程,都可以构成未来流程管理中“核心流程”的调用单元,把琐碎的流程梳理工作,转变成“由单纯制度管理向流程与制度管理互补方式转变”的准备,而不能搞成貌似流程却不接地气的原理图。
2.如何做好制度管理。并不能找到一个完全一致的十全十美的做法,因为,不同企业、不同性质的部门,制度结构、内容重点不一样。比如:监督机构建立的制度,必须告知员工哪些事情是绝不允许的,出现了什么标准的违规问题、造成了多大影响,会对应什么样的处罚和责任,监督制度必须是清晰的、可落实的、可衡量的,让员工能够预测违规所能承受的风险、会付出的代价,这就是制度之“势”。但仔细看一下企业中的制度,很少有达到这样的程度,很多都是“追究责任”或“给予表彰”等意图性表述,人情原因、认知程度所限,还与人力资源管理政策等分工相关。
但有一点,对每个部门来讲,缺乏制度规划,必然导致“头小尾大”,制度泛滥的结果;其次,制度的起草者,是决定制度质量的“最前沿关键”,与多少管理者参加讨论的关系不大。笔者曾在某央企集团总部提出了制度架构设计,组织开展了制度清理工作,其结果是八百多件制度,锐减到三百多件,其中的一个部门,居然发现有80多件制度,连他们自己都很惊诧,甚至不知道有些制度的存在,谈什么有效性?其实,如果辅以“流程”,制度数量还可以进一步减少。
可惜的是,由于认知不同,监督部门把架构变成了清单结构;把给下属单位提供具体指导的实施方案,合并到给领导审议的总体方案(最平庸的东剪西裁南考北制中文章);把因管理需要、因人性风险假设而提出的“体例内控标准”一删了之┉┉,虽然满足了领导关切,却导致下属各单位不知所措。
最后的结果可以预见:借助数据库补漏,但没改变管理机制,清理的结果很难维持;制度体例仍将混乱而影响架构规划,原因是人性与无控所致;下属单位难以改观的问题必然存在,因为不知如何做;制度管理工作将转变为例行检查或评价,徒劳无功。过几年,又逐步会恢复原状,这就是一个风险管理的评估过程,风险评估的结果,不一定必须冠以风险的标记。
一套管理体系的建立,离不开决策关系、管理关系、运作关系的梳理。其中的运作,体现在各种活动也可以称之为工作逻辑与关系的梳理,缺一不可。任何管理,都需要条件来保证,把简单的工作复杂化固然不妥,但把“该繁的设计”简单化更不可取,管理的目的是运作。
3.如何看待从风控、内控与合规角度讲的“流程”。很多时候,人们都愿意蒙上眼睛而对事实视而不见,实际是接受了一种先验性的理想化观点或只观其表面。
从流程管理角度,有一个不断分类、分层的循环过程,本质是从整体到末端、从宏观逻辑到作业流程的分解与细化,为了分类,所以构建出价值流程、管理与支持流程等各种划分基准,而在每一个主干流程的不同层级网中,又不断实施着以业务类型为基准的分类,从而对应不同流程。所以,人们在回答业务流程、审批流程等说法时,为什么连流程管理专家都无从解释?没有站在“一个分类基准”去讨论问题。
如果从流程管理角度,审批流程的说法是不存在的,它仅仅是围绕主干流程形成的一个性质为“管控”的分支或片段。流程本身是各种要素、管理或运作方法、资源的集成体,才有了业务即流程,流程即业务的说法。所以,流程是可以承载内控、风险管理要求、合规的载体。其中,承载风险管理要求与“风控”又不是一个概念,风控是一个对客观风险事项进行影响的活动过程,而落实风险管理要求可能表现为一个“评估节点”的表单,是让别人去执行的,属于运作范畴。
4.如何看待基于风管、内控、合规视角下的“几位一体”?第一,三位一体的观点肯定是错误的,三个保证类工作的一体化,没有任何现实意义,也许表述者是表述错了;第二,三者不会与任何单一职能形成协同关系,而是“流程或制度”,原因是他们保证的是“产出目标”,协同,指的是“活动交叉界面”,是动态的、具体的、详细的动作型规则。可能,一些观点中的“协同”,反映的是治理机制,不同于运作,张冠李戴了;第三,从内控、合规视角下形成的管控类流程,仅仅是企业运营中的“支流片语”,不代表企业重大风险所在的核心流程整体结构,本质“以偏概全”了。只有在流程成熟度达到3级至少是2级以上的企业,才具备实现的条件,但已经属于风控、内控与合规管理参与“流程管理”的范畴了,也就是说,从流程管理的维度,风控、内控、合规是流程要素。
5.能不能从流程管理的角度入手实现集成化?当然是可以的,但流程管理与内控建设梳理的片段流程不同,不是一个短期、中期的工作。正如当年曾在某集团主管制度与流程、风控与内控、合规管理工作时,当流程管理职能明确之后,就意识到这一点,提出了到二级单位采购中心挂职的请求,目的有三个:
一是把采购与研发集成,形成并列流程,拉动研发“物料选型内控”与新供应商认证流程,提高效率与成本控制能力;二是构建从计划到采购的流程体系,让它规范化运作,但还谈不上供应链主干流程,只是其中的一部分,采购中心并不拥有供应链管理这一职能,也就是说不能成为供应链流程管理方;三是作为“示范”,推动整个集团的流程管理工作,顺便把内控、风控与合规载入流程。那能不能在一年内实现呢?答案是从整体到中层流程的梳理是可以的,至于操作级末级流程需要进一步细化,因为对这个采购组织太熟悉了,是笔者负责战略规划规划管理时推进的变革项目,无需什么熟悉的过程。
很多时候,你认识到的,不一定管理者能够认识到,毕竟从事过的工作经历不同,以上设想也没能实现。所以,几年下来,估计这个流程管理职能,百分百仍然停留于一个职能“符号”,最多发一个文件促动一下,没用的,没有能力不要谈做事儿,有了能力不去做,就不要期望取得绩效。
6.如何看待内控、风控与合规管理?他们的基础都来自于“规则”,无论是制度为主,还是流程为主,区别在于不同企业之间“规则的完善度和合理性”差异。离开规则管理谈合规管理,是把一条E2E端到端流程人为割裂的表现。
这就是我提出的风险管理第一道能力和第二道能力的问题。其中,规则的建立过程,是一个运筹设计与风险管理运用的互动迭代过程,只不过其产出体现的是“规则”,风控的结果体现的是“内控”。所以,内控是“规则”的构成要素,这就是“嵌入”说法的来源;合规管理当然属于风险管理中的一个维度范畴,同一纬度的风险,如果不做“一致性风险评估”,怎么找到合规风险的管控重点呢?
对合规管理来讲,从逻辑上也应该依托于“规则”,规则是核心、是魂,具有权威性。谈规则,总不能认为在员工“不知”的情况下而合规吧,知是行之始,规则让人以知,合规使人以行。所以,才有了合规义务与风险清单的说法,合规管理是规则管理延长线工作,绝不仅仅是对齐法律、外部约束、限制类政策那么单一,那企业还谈什么“管控”和执行力呢。
7.合规管理容易造成的认识误区。对企业中每一个管理部门来讲,制定并发布了规则,都承担着不遗余力保证执行的责任。所以,合规管理的运作不单是“合规主管部门”的职责,而是所有管理部门的责任,与合规管理挂靠于法务部门、制度部门无太大关系,合规主管部门解决的是“如何治理和数据管理”问题。如果从端到端流程来讲,是一个打通规则管理、合规管理、监督、违规问题整改流程的过程,合规管理是E2E流程中的一个构成部分,每两个部分之间的深度详细接口,才称为“协同”,统称为集成。
8.如何看待合规审核?需要认识到的是合规审核的来源?如果单纯把“法务审核”视同为合规审核,只能说这是把合规管理单纯地当做法务工作的极度狭隘的观点。法务是企业为“预防违法风险”而设置的一道“内控”节点,这与法务机构承担“哪些职能”既有关也无关,法务机构承担合规管理职能,与法务工作不能混淆,更不能认为是法务工作的延伸或扩展,只是承担了这项职能。
企业中大部分的合规审核,来源于管理,依据于规则,合规审核仅仅是“内控”的构成部分,内控存在于规则,所以,合规审核存在于业务,体现于流程,属于内控范畴,只不过是从“合规管理维度”的认识与表述。所以,在规则与合规管理集成的E2E流程中,除“清单”符合性审核内控外,不存在“合规审核”这一流程。如果不信,可以一试。
需要认识到的是,设计的流程本身是静态的,只有具备触发条件时,流程才能动起来。我们讲打通流程,并不意味着“断点”就一定不好,存在断点的流程,只能是单一状态触发的流程,如果将合规审核纳入到E2E,就会构成大量的“因不同业务管控需要”触发的多部门合规审核的断点流程,影响到整体的运作效率。
9.有没有一套方法能够同时解决合规管理、内部控制与风险管理问题呢?有的,客观讲,但很难做到“全面”。原因是他们的集中,只能体现于流程或规则,与企业流程、制度的覆盖度、成熟度有关。但试图用内控、合规管理去牵动企业流程管理的成熟度,无疑是“小马拉大车”,有点不切实际的一厢情愿。我喜欢讲真话,不知道那些称为可以的人,如何做到的?毕竟华为花了几亿美金,用了二十几年时间还在讲优化,如何做到几个月就能实现?不得其解,可能是我太不开窍了。
假如退一步,以内部控制建设牵引出的流程为基础,其中合规管理涉及到的清单,重点体现在该流程中的“权限”与“责任”,最多延伸到与该流程对应的“内外规则”的合规要求,而且还必须与“工作项”关联;其次,解决基本的基于“审批、决策”的内部控制不存在问题,但也需要认识到,即使按照18项指引去做内控,也不可能称之为“全面”,或号称完成了内控体系建设,问题仍然存在于“核心流程”的不系统或缺失,以及企业治理所形成的分权授权手册;最后,如果想把风险管理也纳入到已有流程,除战略管理流程(包括计划、预算等预期性流程)外,就需要进一步扩展流程的外延,结果是风险清单,这个清单仅属于提醒性质,但绝不能与“内控风险”混淆而谈。内控风险是一种“预先假设”,而风控的“事项”是客观事实,是动态的,因事而生。
既然用流程承载内控、风控与合规管理有这些局限性,为什么很多企业仍在孜孜不倦地追求甚至介绍经验呢?一是这些工作,确实存在交叉,所以才要做好自己定义,从效率角度尽可能集成到梳理的流程;二是有些企业介绍的经验,可能有两个原因:要么是他们的流程成熟度非常高,要么也只是一个观点,就当做一种启发或思考吧。