在强化合规管理的大环境下,充斥于耳边、泛滥于朋友圈的,到处是合规管理的信息,但具体到深度,无非就是依靠办法、理解进行的一些道理阐释。
在大的监管环境下,在中国企业向国际化进军的时代,强化合规管理,无疑是必要的。但如果合规管理只盯着“细节”不放,却疏忽于“高阶”的衔接关系,做到“越做员工越不知道怎么做的时候”,有意义的工作,反而容易成为负担。这是中国式企业管理的通病,所有管理大多落实于最基层员工。
把管理简单化、清晰化、规范化、标准化,是做好各类管理的基本原则。合规管理本身是“管理”,无论是从法务、制度管理部门,还是从监督部门归口管理的角度,如何做好合规管理,体现的都不能是职能部门的视角,而是从企业角度进行的全局思考和逐项落实。
01.为什么说合规管理是规则管理的延长线?
企业存在的目的和条件由两部分构成:一是追求自身价值的增长;二是履行外部环境赋予的责任和义务。合规管理最基本的要义,是企业对外规责任和义务的传导、承担与落实,这是合规管理的第一层含义。
企业的管理,只能面向企业内部,即机构与员工。机构是由员工构成的,对机构的影响力,体现的是“管理责任的传导”。所以,企业的管理内容中,包括“对管理者的管理”、“对员工的管理”,管理者代表的就是机构,机构内部的员工出现“非主观违规”问题,就是管理者的管理责任。
企业对管理者、员工的管理,是通过企业规则的方式进行的影响与约束,企业无权依据外部法律法规对员工做出处理决定。企业虽然不是执法机构(属于实话实说,无需绑架),但承担着面向内部员工进行普法教育的义务。至于党组织内部的政策、纪律与条例,党员是组织人,当然要执行组织纪律,所以,党员承担的责任与义务是共同的,企业党组织完全可以按照组织纪律,对党员进行管理与约束,这就是企业中“管党员规则(不包括党务)”很少的原因。这是二者的不同之处。
既然企业无权行使法律法规对作为社会公民的员工的监管,那就只能通过将外部规则对“企业”的要求,转化为企业内部的管理规则。所以,外规转内规,不是“合规管理”的工作内容,而是“规则管理”的内容(制度或流程),这是做好合规管理的假设条件。合规管理是规则管理的“延长线”,绝不是法务工作的延长线(合规重点和工作逻辑是两回事儿),要做好合规管理,必须让假设条件成立。
02.企业中的建规则责任,由谁承担?
企业的规则是传导外部责任与义务的载体,至于能不能承载,是企业能力和水平的问题。这里需要明确一个观点,企业中的一级职能部门代表的是部门本身吗?不是,代表的是企业分配给该部门的企业职责。
部门行使职责,就是代表企业在该职责内的行动,所以,建立规则的职责不在“部门职能”内,而在部门管理者岗位职责内,部门管理者承担的是“规则建立、维护与管理”的责任,二级部门、下属员工岗位职责都不包括这一“职责”内容。至于具体由哪个二级部门负责、由谁承担写制度、写流程的工作,那是责任传导与工作分配问题。这里涉及一级部门和二级部门功能定位的问题,不再阐述。
在企业中,与职责对应的就是责任。但现实中,仔细浏览企业中的岗位职责,“制度建立与维护”分布在不同岗位职责中,这就是“管理缺乏标准”的具体反映。为什么出现这种现象呢?职责是由人写的,即使出自于所谓的“专业咨询机构”,由于具体人员的经历、知识以及对管理认识深度的差异,都会出现五花八门的结果。企业中最基础的管理从哪来呢?来自于“企业的自定义”。
其次,在一些管理者的观点中,往往认为“把工作做好”最重要,所以,经常看到企业中不少管理者忙于“事儿”,把修改给领导汇报的“PPT”,当做了每天的主要工作,却把建立规则的职责分解到“二级部门”管理岗位中,甚至在“员工岗位职责”中,这都是“责任漂移”的表现,没有规则,管理体现在哪?管理者的管理技能反映在哪?
如果责任不清晰,合规管理中提到的“外规转内规”,就只能是一个“原理性观点”,很难落实为“一致行动”。所以,企业开展合规管理,经常出现一个难以置信的“怪像”!合规管理部门,或者聘请的第三方咨询机构,到处搜集、寻找法律法规、外部政策,或者制作一套“通用的表格化信息数据”在各个企业中复制,导致合规行为清单“越搞越复杂”。
如果一个企业连必要的“通用规则要求”都没有落实,谈何合规管理?如果合规管理清单多到甚于“性规则”,那它的意义还会有吗?会有不少人说“当然有”,他们的理由是:由于制度缺失,或者外规比较多、风险影响很大,所以用“行为清单”解决。那应该反问一下,既然风险影响很大,为什么还不订立“具有性的规则”以预防风险呢?
清单不具有“”性,作用在于“知悉、提醒、遵从”,也不可以成为作出“惩处”的依据,依据是“规则”,是否违背了清单限制,只能作为进行惩处的证据。
03.合规管理工作怎么做?
这里,我并不想谈所谓“合规管理体系”的问题,体系一定是一个完整的构架,包括“企业层的体系建立指导原则、体系一级流程的PDCA实现”,缺失这两个条件,不要谈体系。这里要谈的,是企业合规管理工作如何做的问题,我把它分为4个步骤。
第一个步骤:健全企业制度数据库
有些人可能很困惑,企业制度建设是一个漫长的过程,何况,有些企业还处于成长期?不错,健全企业制度,并非让各个部门“一起建制度”,而是找到必须遵从的“规则”。即使部门要建制度,也有一个“执行外规、实践、认识、总结、固化”的过程,想不明白“制度怎么建”的时候,先把外部规则、上级明确的规则,纳为己用,转变成“企业自己的规则”。谁告诉过你,“外规内化”,就只能通过“自己建自己的制度”实现呢?这是企业“制度管理”的思想和方法,暂且不谈。
外规内化,就是一个“识规”的过程,有些合规管理专家经常讲,合规管理先从“风险评估开始”。试问找不到“规则”,就没有风险识别标准,怎么会从“风险评估”开始呢?识规的过程,由谁承担?谁负有责任,谁来组织。这个过程,合规管理部门做不到!外部合规管理咨询机构更做不到!
第二个步骤:基于识规基础上的“风险评估”
有了“识规”的基础,就具备了风险评估的条件。对搜集到的“规则”,从“影响程度”、“工作关联频度”的维度进行度量。度量的结果,是对“识规”的二次清洗,IT界称为“数据清洗”。对影响度不高或频度极低的规则,清理出“规则库”(注:清理不意味着删除数据)。企业中的“规则”不是越多、越全越好,而是越相关、越有用的越全越好。企业规则库中的规则,有效的永远是“有用的”。
风险评估,不是基于某项行为或时点,而是基于现实工作与规则整体执行的结果,这里要区别“底线、红线”与“违规处置”的关系。现实中的合规管理,“合规行为清单”为什么出现大量“不痛不痒、越做越多”的问题?一是理想化了;二是想当然了;三是认为“量大”才能体现成绩。这种结果,恰恰出现了片面追求“过度合规”,忘记了企业保持适度活力需要的“灵活”!
第三个步骤:基于风险判断的“规则自内化”
在第二个步骤中的风险评估中,对承继的“外规”,如果风险程度较高、未触发“外部惩治”前的“过程行为”存在较多问题,这时候就需要考虑“规则自内化”的必要性了。规则的自内化,是一个由粗放到通过“规则”强化过程管理的追求,“管理”不就是一个“分类、分层、分级”的实现过程吗?这时候,企业自建制度产生了,与之对应的“外规”就可以清理掉了。
第四个步骤:建立基于“企业规则”的合规行为清单
所谓合规行为清单,指的是“由于操作问题可能触发‘规则惩治’发生”的行为。所以,合规行为清单是与“规范化行为”对应的“限制性约定”,即底线、红线行为,可能反映在规则中,也可能需要具体明确。对应的处罚结果,不一定是“清单行为孤立造成”,也可能还有其它关联要素,这就是“合规手册”中要说明并让员工知道的部分内容。
合规行为清单,不具有“处罚”,只有当“违背规则遭受处罚时”,清单就具备找到“问题原因”的脉络和直接责任,这不就是“管理归零”吗?所以,合规管理是“提升规则执行力”的措施。
04.结 语
对企业来讲,有效的合规管理并非“建立一套清单”、“出台一套合规管理专门制度”那么简单,既然合规管理称为“体系”,它就可以成为一个系统,而这个系统,与规则管理存在不可分割的“结构关系”。
即使我归纳的4个步骤,由于时间关系,也并不全面。当企业规则健全的时候,客观上,合规管理的重点就会转向“企业内部”。
企业规则的建立,与外规的承继紧密相关,与企业治理结构的规范化、权限的设计、治理结构中的“接收提案内控、前置、审批、决策”的责任清单、管理的原则与方法紧密相关。
所谓的“三重一大”事项,不落实在清单中,不落实在设定的判别标准中,企业董事会就会在“模糊”的认知中,成为“处理日常繁杂例行事项”的机构,所以,企业建立规范的现代治理结构,是企业“内控管理、合规管理”能否发挥最大效能的关键。而规范的治理结构,也绝非建立党委、董事会、监事会、专门委员会组织、订立议事规则所能代替,这是“形”,而不是“质”。