很崇尚企业的流程管理,但流程管理体系建设的长期性、系统性,以及需要领导人持之以恒的决心和优秀员工的积极参与,又限制了流程管理在企业的推广。在大多企业里,制度仍然是企业实施管理所采取的主要权威工具。
10月10日,国家财政部会计司制度三处发布了《关于强化上市公司及拟上市企业内部控制建设 推进控制评价和审计的通知》(征求意见稿)。意味着企业开展内控管理体系建设进程加快,涉及企业的范围开始扩大。
通知由制度三处发布,机构名称及职责间接反映出企业内控建设与制度管理的关联关系。其实,笔者曾在某中央企业集团工作期间,主管领域也兼具制度管理、内控管理、合规管理、风险管理、流程管理,几者之间、特别是前三者之间,有着密不可分的直接关系。
很多时候,人们接受一个新的任务,往往容易从落实上级要求、从任务单维、从直观功能角度去看待、认识一项工作,却忽略了任务与周边的关系、整体直观功能属性与现实功能发挥的环境与应用需求,以及支持任务成立的必要条件。
要做好内控建设、合规管理、规则管理工作,需要厘清各自产生的机理和相互关系。
01.规则因目标预期与风险感知而产生
规则是企业中常见的用于管理的一种工具。规则的订立是基于实现目标产出希望的预期,目的在于掌控结果。常见的规则包括制度、流程,企业希望规则中的相关角色执行规则,实现符合预期的产出。
规则是企业建立稳定运营秩序的基本方法。规则有两层含义:其一,规则本身是一种工具,企业通过确定规则的形式、标准,确保规则本身的规范化;其二,规则中的内容,包括了实现产出的方法、要求、工具、角色、职责、权限、程序及重要活动等(制度与流程内容有所区别)。先进的规则,由优秀绩效人员将技能、成功经验等进行总结、整合而成,其它员工执行规则的过程,也是预防风险(问题重复发生)的过程。
一个重视规则的企业,规则管理会非常规范。规则建设前,会经过系统的规划,上可承载企业战略和合法合规要求,下可指导员工的作业操作。这种系统化逐步细化的过程,一方面是将战略落实在执行层的反映,另一方面也发挥着逐步降低风险影响程度、缩小风险影响范围的作用。
企业中的规则不在于多,而在于覆盖全面、规划系统、目标明确、方法有理、设计适用、稳定有控。现实中,不少企业的制度,很多都是因问题而生,缺失进行系统、持续的规划,制度的增量远大于废止量和优化量,导致制度的离散度很大,数量越来越多。
规则本身有三个特点:一要合法合规,通过搜集外部规则、识别合规义务并加以贯彻,或将合规要求落实于内建规则,内部规则的执行,意味着对违反外部规则风险的控制与化解;二要具有权威性,通过建立规则文化来实现;三要被企业员工知悉,通过公示、发布、渠道获取等方式实现。规则管理的优劣,直接影响合规管理的效果,规则在企业中的权威性,要远高于合规清单、内控程序手册的作用(是工作方法带来的结果,或是对制度的延伸化补充)。
企业、员工执行规则,实现了企业的秩序化运营。合规管理的首要任务是明确需要遵从的外部规则,或建立能够承载外部规则、政策要求且能够被企业或员工遵从的规则,通过内化的过程控制,降低发生违法违规问题的风险程度和发生概率。
02.内控因企业安全和规则稳定需要而产生
从规则的设计角度,包括了两种思维:一种是实现预期目标的最短路径,我们称为正向布局;第二种是充分考虑正向布局中的不确定性对规则产出稳定、企业安全的影响,设计者会根据经验嵌入针对性控制措施,以减少不确定性,我们称为逆向布局。
逆向布局的本质是风险管理的潜在过程,也是控制节点产生的原因。控制因“不确定性对规则产出预期的影响”而产生,风险是决定控制方法、完善控制依据的因子。在规则中,只要有人参与的每一项活动,背后都有不确定性的可能,是否选择控制,需要进行清晰的风险评估,而不是含糊不清的认识,只有必要的控制才有意义,而不是越多越好。
控制的目的性非常明确,且要有规可循。目的不清晰的控制,是无价值的多余存在,流程优化很大程度上就是对这类活动的剔、减、并。控制需要规则中的角色或工具完成,控制的适用体绝不是一个,一个适用体不需要专门建立例行化控制。所以,控制的执行需要一致化、可持续,决定一致化、可持续的是可操作、可衡量的标准化。
以流程作为规则主要方式的企业,控制也是流程活动,内控建设渗透在流程梳理与建立作业指导书的过程中。所以,流程是内控、合规、风控的载体,是集成的概念,而不是内控、合规、风控与某项职能的一体化建设。
以制度作为规则主要方式的企业,对控制活动的内容、标准描述较难做到详实,内控建设是借助流程梳理反映事理,将控制活动进一步具体化、标准化。正如一个标准型控制规则一样,规则的内容就是“合规红线”,这种规则,既无需内控具体化,也不需要建立合规清单,因为规则本身就是“控制标准”,区别是一个以规则的形式反映,另一个是以手册的非正规文件反映。
即使我们刚谈到的内控产生机理,也仅是局限于规则中进行的分析说明。现实是,规则本身就是一种“控制措施”,区别是不同阶次的规则,其控制功能程度不同,有一个逐步具体化的过程。通常的情况是:越高阶的规则越宏观,其内部的控制往往越重要,但规则的控制功能表现越不明显;越低阶的规则越具体,控制功能越明显,但控制的影响度不一定高。
只不过,现实中企业建立内部控制,往往聚焦于流程梳理和内控建设,忘掉了规则产生和规则本身的作用。如果梳理的流程是通用化原理流程,必然会导致内控与规则的失耦效应,规则与内控手册的权威性天差地别,内控手册的“应用、参考地位”就会消失殆尽,这就是内控主管部门经常存在“缺乏成就感”的根本原因。
其实,企业中的控制非常多,甚至可以说因管理的层级性而层层嵌套。不同的控制,有时候控制体、控制功能体可能不同,内控建设的必要性是“需求”,而不一定是控制本身,譬如,质量评审组具有控制功能,但控制体是质量管理部门。所以,泛泛而谈内部控制或方法没有任何意义。
图片
企业要开展内部控制建设,前提需要对控制进行分类,通过定义建立内控建设的选择标准,才能找到建设重点。不加区分进行的内控建设,其结果完全可以预见。内控管理、合规管理、风险管理本身体现的是一种能力,能力建设只能内敛化,而不是外向化,但其作用可以反映到对外部的影响。
03.合规管理因提升管理执行力需要而产生
在内控部分,我们讲到企业能力建设只能内敛化,合规管理也是一种能力,但最容易忽略“本质”,简单、直观地理解为法律法规遵从,这就是能力建设“外向化”的表现。
企业执行力指的是战略实施执行力。战略实施执行力包括两个方面:一是计划执行力,绩效目标是衡量的标准;二是管理执行力,即企业、员工对规则的遵从力。合规是衡量管理执行力的标准,是结果反映。
企业为保证合规经营开展的合规管理工作,包括了将外部规则适应性纳入企业内部规则管理,旨在利用外部规则指导企业活动;根据外部规则要求建立内部规则,旨在通过过程管理,提高企业的抗外部违规风险能力;通过内部规则管理,旨在提高企业保持稳定运营的内部合规能力;根据合规义务分解为合规行为,旨在细化相关角色的合规责任,降低行为和能力的不确定性风险;通过违规举报、不合规监管、监督等措施,旨在及时发现并揭示违规问题、问题苗头并予以控制。各阶段工作,全部是合规能力建设“内敛化”的反映,除非合规管理跨越了这一逻辑步骤。
合规管理的目的,是为了防范违规风险,防范曾出现过的不合规问题重复发生,保证结果合规。其中的合规审查,是企业的内部控制构成。所以,合规管理与企业的制度管理、内部控制有紧密的交叉关系。
04.结语:实现内控、合规与制度匹配与耦合
企业无论开展内控建设,还是合规管理,都不能把视角局限性地盯在其本身,而应找到与任务相关的外部存量,充分掌握任务成立的必要条件现状,从而确定任务的目标、范围及实施程度,形成继承、细化、补充效应。其中,补充不是结束,最终要形成对条件的反哺,是责、权、利回归匹配的反映。这种思路反映的不是“局部”,而是对全局整体效果最优的追求。
一个制度管理非常规范的企业,内控建设也并非单纯针对“控制活动”,失去场景的“控制”,即使再标准化,除对控制角色履行控制责任“大有裨益”之外,对企业大多员工仍欠缺参照性的价值意义。
企业中的内控建设是“给自己用,让别人知道并满足控制要求”,所以,仍离不开对存在“重点控制”的流程梳理,产出的流程分布是离散的,其产出远达不到“流程管理”的程度和覆盖范围(不用理想化,华为流程建设可以说明),但能够满足内控管理的基本需要。这时候的内控建设,本质是对制度中流程文本描述的流程化,对其中控制的显性化、规范化过程,如果梳理的流程符合实际,流程、内控与现行制度会基本匹配,其结果必然提高了“内控执行”的一致性。企业中的内控建设是一个持续的过程,而不是一个时点任务。
对一些制度管理不太规范的企业,内控建设怎么办?有两条路可选择:一是规范制度管理,包括治理结构中对重大事项的授权,这是决定流程责任控制的起源,然后再开展内控建设,其中18项指引的借鉴意义非常大,但有很大的困难。二是充分继承已有的制度,把重点放在流程梳理上,重塑流程与内控,但流程必须可执行。然后,通过新建制度,明确相关流程的权威地位,形成制度与流程互补的局面,即流程管事儿,制度管人。
同理,企业中的合规管理也不能外向化。即使因为开展合规管理工作而搜集到与企业大量相关的“外部规则”,在通过模型进行合规风险一致性评估、或建立合规义务与风险清单之后,这些外部规则也应回归规则管理部门。
回归,并不意味着合规管理部门不能保存,而是按照职责进行的“信息数据管理权”移交,目的有两个:一是反哺规则管理部门加强管理;二是形成可持续规则管理与合规管理的耦合机制,而不是因任务需要而打乱“整体职责布局”。其次,合规管理中存在的合规审查,也应回归内控管理。合规审查,是从合规管理维度,对法律法规符合性内部控制的另维描述,但不能改变其功能属性。
企业中涉及的包括但不限于规则管理、内控、合规、风险管理等赋能型、保证型工作,都不能简单地认为是单项工作。在企业中,单项能力强,不一定代表整体能力强,有时候,反而会出现分工失耦、职责漂移等问题,影响正常运作的持续性、稳定性,甚至还会造成对全局能力布局的冲击和破坏。
