党建
内控、合规与风险管理在企业中究竟是什么定位、什么属性、什么功能?各种解释、定义也非常之多。常见的解释是:因“防范、化解与控制风险”而生,或者引用一些官方文件的定义说明。我觉的,这样的回答,等于什么也没讲。
讨论问题,如果仅停留于文件的理解或解释,得到的答案,大概率是浮于表面的认识。什么是表面认识?听着、看着都对,还蛮有道理的,虽然也理解但总有不解渴的那种感觉,一旦付诸行动,很难说落地、持续。因为,客观上,认识被文件的直观表述影响了。
对企业来讲,需要理解的不是道理,而是道理之下的那层“机理”,指的是涉及角色的运作认知。能够证实可应用、可实践的,不是基于管理的理解,而是操作者的执行。因为,管理的目的,是通过执行者按照管理要求、方法操作,从而产出与预期一致的结果。
怎么看待这一问题?归零思维。把内控、合规与风险管理视同为一个在“粗略”理解基础上的名称符号,然后去理解他们产生的底层逻辑,这种方式,只有拉大极致空间才能领会,是一套系统化思维,任何单一维度的专业型认识,都无法找到答案。
本文将不受现有的框架、标准、文件、规范等约束,从本质进行理解。上篇:回归企业本质看合规管理的机理与方法
01.分析企业合规、内控与风控的产生机理
如果说企业是什么?都知道是为社会提供有价值服务、或为社会做贡献的组织,通过价值交换实现经济利润。那么,企业出现了生存问题或损失,谁最着急?谁投资的企业谁着急。
所以,我们才看到国资委不断对央企、国企提出国有资产保值增值、考核、内控、合规、风险管理、监督、责任追究、反腐等要求。因为,央企、国企的资产是国有的,是委托企业负责人代为经营、管理,不放心啊。事实上,我们看到很多一串串高级领导者的重大违法违纪现象,根因就在于此,才发生了很多“靠什么吃什么”的问题。
民企或其它性质的企业,则是另一种情景,企业发生了危机,最着急的是公司股东或企业家,他们是公司的所有者。所以,我们可以理解为,企业家受各股东的委托,对企业生存、发展、资产安全负责,对股东会负责,而这个组织就是董事会。所以,无论合规、内控,还是风险管理,都是公司董事会或单位的最高决策组织行使领导责任。
虽然央企、国企、其他性质的企业,在涉及企业生存、安全方面,看似都有相同的道理,但关心的重点,还是有一定差异的。所以,我们经常听到央企、国企中“既要…又要…还要…”的声音。
如果我们把各类性质的企业放在国家大环境中,无论身处我国,还是其他国家的市场环境,无论企业什么性质,每一个企业都是一个社会经济组织。企业要开展经营,就需要融入到营商环境中,都需要遵从国家、部委、行业、社会对企业有约束的规则、政策。我们暂不考虑央企、国企的国资属性,就认为它是一个大众企业。
合法合规经营,是国家、社会赋予每个企业必须承担的责任、义务,我们称为“企业的合规义务、社会责任”。合规义务的承担主体,是企业,而不是企业内每个员工,企业法人代表,或实际控制人,或主要负责人,是企业承担合规义务的法律责任承担者。
企业为了落实国家、社会赋予的责任与义务,实现合法经营,其中,经营是目的,合法是条件,每个企业都应充分了解、考虑外部规则要求,融入到企业的内部管理中。而企业员工的行为,从外部看都代表企业行为,所以,企业的合规管理涉及到企业行为、员工行为。
从外部法律法规、监管政策的主体看企业,无论企业采取什么管理方式、方法,出现违法违规问题的原因,都是企业内部没有管控好,核心在于“控制”。所以,讨论内部控制,不是从控制本身出发,而是从管控期望入手,落地于控制活动,面向的是影响期望的要素(讨论风险管理,不应该用“风险”来讨论)。
基于以上逻辑,再加上COSO内控框架理论的加持,我国有关部委在职责范围内,从不同行业、领域内推行了企业内部控制建设,更多反映在国资企业、上市公司,很大程度上,是为了提高企业的合规能力。
为了提高对企业内控建设的指导性,才出台了内控规范,联系与合规、财报、资产相关的企业内部要素,又出台了18项内控指引,从合规能力扩大到管控能力。
为什么没有在所有企业全面推行呢?是由管理关系和职责分工造成的。上市公司中也有民企,为什么也要开展内部控制建设呢?企业谋求上市,本质是达成了一种接受资本市场政策约束的契约,其中涉及到财政部的内控建设政策要求。如果联系到最高检的合规有效性司法改革,本质也是引导所有企业提高合规能力的反映。
既然企业要开展内控建设,我们就从企业看内部,管控方式有人治、法治,也有教化,划分为内部的领导、制度、流程、控制、协调、监管、监督、价值观与文化等措施,所以,从不同视角看内部控制,认识的结论并不一样。
从合规的维度分析,如果说企业合规管理的目标是为了合法,没有任何问题,是最基本的、最低目标。但如果说企业合规管理的目标就是为了合法,那就大错特错了,别忘了,“合法”并没有说完,而是“合法经营”。
经营是为了创造价值,创造价值的效率依靠的是管理,管理的最核心工作是构建能力,通过制度、流程实现,反映的是高效率运营秩序,只不过被日常的计划、监管、协调、组织、控制等活动掩盖了。所以,企业合规管理的核心,必然落实在企业“内部控制”能力建设上。通过分析,我们找到了外部监管者、企业的共通点。
回看《中央企业合规管理办法》,如果从企业外部规则、内部制度、员工对规则的遵从、契约、道德遵从角度看,统称为合规管理,所以,合规管理与内部控制不可分割,合规管理离不开内部控制,但内部控制并不是全部为了合规管理而生;内部控制的产生,是针对风险评估结果采取的措施,但针对风险评估结果所采取的措施,并不完全是内部控制;合规风险、流程风险通过风险评估识别出来,通过控制解决,构成了风险管理过程,但企业的风险管理,并非全部针对合规风险、流程风险。企业风险管理空间的大小,由制度、流程为代表的组织能力、水平决定,所以,我经常讲,通过第一道能力的建设,不断压缩第二道风险管理空间。
是不是感觉上段的描述很乱?有这样的感觉很正常,因为合规、内控、风险管理都是一个大概念,要去应用、实践,不根据企业实际进行自定义、分类,就一定会乱。原因是,你理解了,并不代表员工可以理解,员工不理解,就不可能落地、执行、有效、持续。
02.从国家治理角度理解合规管理
无论哪个正常国家,都要做好两件最基本的事儿:一是构建社会秩序,营造一个稳定、良好的社会环境,解决好民生问题;二是促进经济发展,主要依靠的是作为社会经济组织的企业。至于其它层面的考虑,譬如,国家安全、世界地位、文化环境等等,我们都不谈。
无论是构建社会秩序,还是营商环境、创新环境、涉及社会、政治责任与义务的企业事项管控环境,都是通过国家法律、地方政府法规来实现。意味着什么?从企业、社会公民的角度理解,都可以视同为一套相对稳定、一致的需要遵从的法律、法规级标准。
为什么法律法规出台后,国家部委还要出台行政规章、制度和政策呢?主管部门要依法履行职责,掌握了法律的作用范围,感知到了可能出现违法行为的风险可能,所以,才要结合履职需求,在法律框架下进一步细化为措施,通过行政规章、制度、政策的形式表现出来。
这一点,其中就渗透着合法、履职期望目标的风险评估原理,对应的风险控制措施,即“行政规章、制度、政策”的制定计划(别说企业中的制度制定没有计划),计划完成,意味着违法风险关闭。也就是说,法律适用体只要严格执行了规章制度、政策,就不会在该领域出现违法问题,但并不意味着适用体可以不了解法律法规,只是大幅降低了对法律法规的依赖度,与企业的主动性有关。
是不是有了一套法律法规、规章制度、政策,就意味着被执行呢?就好像我们每个人考驾照一样,每个司机都通过了交通规则、上路验证的测试,然后拿到了驾驶证,开始了驾车之旅。但是,现实中,并不是每个司机都能够做到“守规”,所以,才出现了交警、电子眼的“监管”,以及对违规行为结果的处罚。试想一下,如果没有监管、没有处罚标准,是不是司机的行为会更具不确定性呢,这就是规则的“势”。
对国家部委来讲,他们会依法对适用体进行监管,监管的依据是行政规章、制度与政策,而不是法律。在监管中又会形成对风险的认识与管控期望,所以,我们才看到规章制度、政策的迭代升级、增加,才出现了“违规但尚不构成违法”、“严重违规且触犯了法律”之说。
这就意味着,合规是一个结果性的笼统概念,如果企业按照管理办法的说法,用“合规”去给员工部署工作,员工头脑中会形成五花八门的理解,甚至与合规管理关系最为密切的“法务部门”,都会陷入认识纠结(讨论一个问题,前提不能把他们自然结合在一起,而是分开考虑)。
所以,企业部署合规管理工作,需要将合规进行清晰化分类,让员工理解具体含义。管理简单化,并不是说管理设计简单化,而是通过设计将模糊化的问题澄清,让员工能够通过少量记忆形成惯性,用少量思考,就可直接做出物理反应。
从企业外围角度,再严厉的监管,也不可能覆盖所有领域的每一个环节。所以,才出现了社会主义核心价值观、社会公德等,从思想、意识、文化认同上对社会公民形成正向引导,目的是强化自控力。企业中的员工,也是公民。
同时,从外部监管角度,希望每个被监管的个体主动遵从外部规则,他们认为,规则订立了、监管也加强了,如果企业仍出现不合规、违法违规行为,是什么原因呢?
原因只有一个,企业内部的管理存在问题、控制存在问题。所以,出现了企业内部的“普法教育”,出现了外部监管机构推动企业加强“内部控制”的要求,因此,内部控制的第一个目标是:保证合法合规。
为什么内控目标提到“合法合规”,而不是合规呢?一是内控是基于企业外部的说法,二是有特指的含义。而合规管理中的“合规”,是一个模糊化的概念。
什么是内部控制呢?从企业内部看,本身没有“内部控制”这个词,仅仅是为了区别与外部控制的不同,而产生的一种说法。所以,我们才看到内控规范中对“内部控制”的定义,本身不是定义,而是解释。怎么理解呢?
打个比方,如果企业把外部规则、外部监管,统称为“外部控制”,但国家部委不会说他们的监管是“外部控制”一样,内部控制具有相同的道理,是一种相对的“说法”。
只不过为了呼应上级要求,企业默认了“内部控制”之说,但不要简单认为,内部控制仅仅就是“不相容岗位分离”带来的控制,或者说仅仅是流程中的某个“控制活动”,这是传统遗留的认识,太狭隘了。企业开展内控建设,也是需要自定义的。
怎么定义呢?看看《中央企业全面风险管理指引》怎么讲的,就知道内部控制建设包括什么内容了,再联系《中央企业合规管理办法》,就知道合规管理建设的核心是什么了。双向对比,也就知道内控、合规管理的共同点是什么了,这才是真正的“一体”所在。
找到了共同点,合规管理部门就可以“从单纯的合规”角度超脱出来,领会到内部控制、合规管理与企业经营的关系,从而找到“管理服务经营”的枢机。企业开展一项工作,并不是拿到一份儿文件,就形成一个观点,用观点指导工作,一定是不可落地的,关键是要掌握“机理”。
03.企业合规管理怎么做?
无论是国家还是企业,监管与监督有差异。监管一般由规则责任部门负责,在监管中又会认识到影响管控期望的因素。于是,我们才看到国家部委发布的行政规章、制度、政策;于是,我们才看到企业中责任管理部门不断细化的制度,以及对特定事项进行管控的约束性文件;于是,我们才看到无论国家部委、企业部门,经常出现的表彰、处罚等活动,依靠的都是规则标准。
标准,不能简单理解为“执行、做”的标准,是一种不同程度上的理解。而这套标准的产生,建立在对期望目标、实现路线、影响要素综合平衡的基础上,通过对涉及其中的资源、角色进行运筹,对不确定因素考量、执行角色的立场、人性博弈等因素的平衡,以规则的形式体现出来。
很多人讨论合规管理时,经常陷入规则与风险先后逻辑关系的纠结中。怎么理解呢?不需要劳心费力地必须弄明白。为什么?从规则订立者、规则执行者的角度,会得出不同的结论。他们没有前后关系,而是彼此之间互补、交叉、迭代的关系。
规则订立者之所以订立规则,是因期望与风险的平衡,规则的发布,目的之一在于控风险,根本目的是实现期望结果,但并不意味着有了规则,期望结果就一定实现。
因为,还有规则执行者通过审时度势后形成的动机与行为选择。所以,企业中才出现了监管、审查、举报、监督、追责、处罚等活动。不要认为是因为进行合规管理建设,才出现了“法律符合审查、合规监管、合规审查、违规举报与调查”等,他们仅仅是为了文件表达,从合规维度形成的一种说法。
现实中,管理规范的中大型企业,这些活动大都存在。当然,需要从合规管理角度,进行梳理、规范,但最好不要在手册中再搞出若干个“新辞”,符合员工传统习惯,为这些工作提供保证落实的必要工具,把模糊的概念解释清晰、具体,才是上上之选。
方法喊的再漂亮,也只是自己心中掌握,给上级汇报可以,不需要给员工增加过多的“知识负担”,员工需要的是“做什么,怎么做”,别光记着讲光辉灿烂的思路、方法,却忘掉了真实的操作工具。
抛开企业内部追求价值的需求,我们仅仅从“规则”的角度理解,在企业刚刚建立,或者企业处于领导者可控的规模时,企业无需建立过多的内部制度,只要记住与企业经营活动相关的“外部规则”要求、红线,就可以不出现“违规风险”。
所以,把相关的外部规则导入公司,就视同为企业的内部控制。初建或小规模企业的特点是“重经营,轻管理”。但是,现实中,是不是很多企业搞出了一个与大型企业一样的“内控”、“合规”呢?做什么事儿,不能“因药诊病”,而是“诊病开方”。
问题是,当企业达到一定规模,依靠“人治、外部规则”,已经不足以控制风险的时候,企业的内部制度出现了,意味着规范的内部控制产生了。所以,我总讲,不要把内部控制狭义地理解为“不相容岗位分离”的制衡措施,只是其中的一部分而已。
为什么大型企业会有很多成型的制度、流程呢?道理一样,就是结合现实能力,对上位制度、高阶流程效能的评估,规划建立的下位制度、分支流程,以及流程中的部分内控活动,就是合规风险的控制措施。所以,我才说,合规风险清单是动态的,而不是静态的,合规风险是需要关闭的。但是,这仅仅是合规风险清单产生的一个方面,还有两大风险清单产生源,都需要建立通道,转变为合规系统运作的活动。
那么,合规风险评估是在做什么?千万别直接说出“评估风险”的结论。这种说法有错误吗?没有,但是员工不可理解,我们的工作,一定要站在“客户需求”角度上设计。
对企业来讲,所谓管理规范化、制度规范化、流程规范化,都不是静态的理解,都有一个参照标准,无论是管理的改善、问题的解决、风险的识别,都应建立在一个稳定、一致的“台阶”标准基础上,只有标准的确立,预测才具有“趋于准确”的可能,是组织能力的一部分。
就好比,一个制度、流程基础薄弱的企业,风险评估的结果,必然是“遍地开花”,原因是由于缺少控制标准,预测结果的不确定性就会很高。所以,合规风险评估的目的,是为了不断抬升标准的高度,抬升高度的原因是“可能存在合规风险”,抬升标准高度的结果,是组织能力的加强。企业的管理,都是服务于经营的,融入企业的管理期望,就转变成了包括“外规、内制”合规的全部。
改善,只能从上一个标准的台阶上提升,不可能总是“归零化”从头开始。这就是我讲的,对大型企业来讲,合规管理不能枉顾内部制度、流程,把合规管理转变成从头开始的“变相普法”。
合规风险评估,针对的是被评估规则的“合规要求、违规红线”,评估出的风险,与规则中的处罚程度有关但并非全部,所以,才要设计风险评估模型,不然,缺乏经验的员工怎么操作呢?
把合规要求、违规红线、风险程度、风险解决计划整合起来,即“合规义务与风险清单”的一套“信息数据”,计划完成,关闭对应风险,形成一份记录,从而实现可持续。当然,这是清单来源之一。
如果回头看《合规管理办法》,就可以理解办法中提到的:各部门要建立分类、分层的制度,建立具体合规制度的含义了。对机理的分析,恰恰反映了对办法的“落实”,与企业的制度建设紧密地协同在一起。协同,是这样来的,可不是内控、合规、风险管理的协同,三个保证类业务协同的意义何在呢?协同界面在哪呢?为谁提供保证呢?
我们可以认为,企业外部规则设计的合规要求,是做事儿的底线,设置的严禁、禁止、不得等内容,是不可触碰的红线。底线,与行为结果的影响度有关;红线,无关影响度,就是违法、违规的刚性衡量标准。所以,在合规管理中,我们也不能以“合规义务”简单概之。
对企业来讲,底线可以碰,但要有控制余度;红线,碰都不要碰,碰了就会遭到反噬。企业应该怎么办?这就是企业业务主管部门从合规管理的角度应该研究的问题,可以通过模板、表单等措施,规避掉红线,是合规风险解决措施表现。
国资委发布《中央企业合规管理办法》,各央企也开始了合规管理工作,但需要把握一个度,与企业的规模有关。现实中,很多集团公司无分子企业现实进行同样标准的工作部署,一些咨询服务机构也拿着一套方法到处推广。前者出现了“一刀切”问题,后者出现了“因药诊病”问题。这种做法,其实已经违背了“内控”的机理。
至于治理机制、监管、举报与调查、与监督的关系、与法务的关系,并不复杂,我们不再讨论。无论是内控、合规,都需要评价体系的有效性。
我们经常讲有效性,很多企业都在建评价标准,但搞没搞明白“有效性”究竟是什么?如果回答是设计有效性、执行有效性,那仍等于没有回答。
我觉得,有效性体现在两个方面:一是设计的可行性;二是设计得到了不折不扣地执行。做工作,不能总建立在“有效性”这种模糊表述基础上,否则,谁又能证明评价的有效性呢?
怎么保证设计可行性呢?离不开分类、分级。所以,我们看到宪法、法律、法规、行政规章、制度、政策等等,企业制度又分为基本、管理、作业、标准控制、规范型制度,是一个不断细化、不断贴近遵从者、不断清晰化的可理解、可遵从、可衡量、可评价的过程。
企业中的制度、流程设计与管理,都是一个道理。如果放在流程中的一个“内控”活动上,就是一个单角色的作业流程标准;放在标准控制型制度,就是控制标准,其产出是由管理期望决定的。监督有标可对的说法,就源于此。
怎么保证按设计执行呢?这一点很多人在理解上存在问题。无论是企业、公民,了解法律规定很重要,而真正付诸行动时,与个体行为结果最相关的,不一定是高高在上的法律法规,而是最贴近行为人的制度、条例、政策等。监管、正向激励与负向处罚,检查执行痕迹,是保证按设计执行的措施。
但这些都属于日常措施,重要的仍在环境设计。所以,我总讲,没有违规等级标准设定、违规处罚标准的合规管理,并不完整。我讲的违规等级标准,不要理解成一级、二级、三级合规风险,在合规风险管理中,不存在风险等级。
等级标准的设定,是为违规追责、处罚而生。无论是法治央企也好,还是依规治企也罢,衡量的重点是“出现了不合规、违规问题,是不是按照标准做出处理”。
归纳以下,如何看待合规管理呢?如果认真领会了《中央企业合规管理办法》,其真正的核心,不是三张表单,而是制度、流程。三张表单,只是提升合规能力、控制风险采取的具体方法、措施,合规管理准则是企业合规管理的重点与倡导。这就是我在培训中,从不解读政策,而是侧重于对政策分析、理解的原因。那什么是核心呢?留给大家思考吧。
97046009
