当一个企业建立了内控、合规管理体系,但违规问题、绩效问题仍时不时发生,甚至表现为单点到多点的辐射问题,不是内控与合规管理本身的问题,而是规则管理出现了问题。
当一个企业严格地执行设计的内控与合规管理时,以投入产出比为代表的企业运营效率明显降低的时候,企业管理中的官僚化、形式化、机械化问题已经非常严重了。
企业的安全、效率,是所有企业永远面对的两大问题。内控、合规、风控本身不是孤立的存在,而是彼此交融的结果。
现实中,企业很容易陷入单维的思维,为了某项目的而开展一个子体系的建设,久而久之,五脏俱全的各个子体系林立,但却收效甚微。
01.合规风险评估对齐什么“规”
合规的核心在于“规”,反映于合规要求的满足与符合。规,有法律法规,约束限制性行政规章、政策等外部规则,也包括了企业内部承继的上级发布的制度,以及企业自建制度,那么合规风险评估的基准,需要对齐哪种“规”呢?
现实中,不少人把合规管理直接对齐法律法规、行业政策等等,认为法律风险是最重要的风险,把合规管理简单地认为是法律遵从问题,看似合情合理,但对企业来讲,显然经不起推敲。
无论是企业外部存在的法律法规、行政规章,还是限制、约束性政策等等,对所有的企业来讲,都具有同等的违规风险重要性,不会因企业的不同而存在不同的违规代价,原因在于他们是适用于所有受体的系统性规则。但对不同企业来讲,在违规可能性、企业的抗风险能力方面,则千差万别。
为什么同样的外部规则,不同企业在违规风险可能性方面,会有如此大的差别呢?因为企业会通过内建规则,用规则的执行强化了过程控制,保证了外规明确的合规要求得到全面落实,自然降低了发生违规风险的概率。
对企业来讲,常见的普法教育,是让企业员工知法、提高自觉守法意识的过程,但很少见到企业会把关联度不高的法律法规,当做企业内部遵从的规则进行管理,依靠的是员工“主动守法守规”的自觉行动。
关联度较高,对企业来讲违规风险可能性较大的外部规则,企业会有两种选择:一是把外规直接纳入企业内部,视同为内部规则实施遵从管理与执行监管;二是通过建立内部制度,用制度强化过程执行,承载外规的合规义务,降低违规风险概率。
前者意味着不能出现违背合规要求的事项,一旦出现,就可能发生违规追责风险;后者则建立了缓冲区,对制度要求局部的违背,不一定触发外规的红线、底线而诱发监管追责。企业能够做的,就是加强对确定的、纳入企业内部管理的外部、内部规则的遵从管理与执行监督。
所以,企业合规要求的识别、合规风险的评估,对齐的是纳入企业管理范围的“规则”,而不是直接对齐外部存在的“刚性外规”。视企业内部规则管理的严密性、规范性而定。这与企业是否搜集到与企业关联度比较紧密的外部规则的全面性无关,搜集外规的责任,是规则管理的基本职能要求。
02.企业如何实施不合规行为监管计分
合规监管计分,目的不在于监管,而在于促进企业员工规则遵从力的提高,即企业的管理执行力。
纳入企业内部管理的外规,被企业适应性地视同为内部规则进行管理,但由于缺乏过程管理的内建制度,违规风险可能性可能会有所降低,但企业抗违规风险的能力并没有提高,违规风险的重要度,也没有因为纳入管理而降低。
一套体系的有效性,取决于其上游体系的有效性。不少人认为通过对外规的合规要求,建立行为清单,就可以防范违规风险,并不准确。一旦行为出现不合规问题,意味着非常可能触发了外部规则的红线、底线,原因是缺少过程管理的缓冲区 —— 内部制度或流程。
正是基于以上事实分析,任何外规风险的重要度,无论企业内部设计的计分满分值是多少,合规义务与风险清单中的行为,对应的不合规行为分值都由外规风险程度决定,一定是该规则设定的处罚程度决定的最高分。正如某汽车协会召开的行业承诺大会一样,第二天就宣布部分协议条款作废,一个道理。
这种结果,意味着企业员工将承受更大的责任,以及很快达到合规计分规则设定的“不提拔、不评优、不升职级”的计分合计底线。相反的是,一个注重规则管理的部门,会内建规则承载外规的合规义务,而遵从的内部规则的违规风险“基分”则大为降低,对齐该规则形成的行为清单,设定的监管计分值自然也“很低”。
必须承认的是,企业中的员工,因管理基础、个人素质的不同,不能理想地认为“有了约束就不会出现不合规行为”。行为分值的设定,取决于对齐规则的唯一标准是“违规风险重要度”,与可能性无关。
违规风险重要度的评估,需要根据确立的模型标准实现量化,即使模型来源于“主观评估”设定的量化方法,标准也应该一致,而不能视不同规则拍脑袋确定,否则,分值的设定,就失去了尽可能保持公正公平的基础。
03.结语
很多时候,人们最容易重复地陷入一个不太正确的陷阱:见显而不见隐,见木而不见林。
对企业内部来讲,追求的永远是运营效率。由于效率的提升,会降低运营成本,会提高投入产出比。而决定效率的还有另一个因素,就是合规能力的适度构建。合规管理,首先要做的就是预防违规风险的能力,其次是不合规行为的过程监管与纠正,最后才是违规问题的及时发现、责任追究与持续完善。
合规管理,是风险管理的一个构成,风险管理强调的是化解、降低、承受。如果僵化地讲合规风险评估直接对齐外规,而不考虑自身已有的抗风险能力,既不能影响违规风险的重要度,也不能提高企业的抗风险能力,又何谈降低风险呢?因为这种方式,跨越式跳出了合规管理的上游 —— 规则管理体系的有效性。