对企业来讲,重要的有两件事儿,一个是战略管理,一个是运营秩序。战略管理包括战略制定与战略实施,从行动维度,反映为年度经营计划与年度计划执行,即事儿的筹划与行动。
运营秩序,本质是企业构建的运营与管理体系,是企业开展经营活动的载体。企业的战略实施建立在秩序基础上,通过企业中的制度、流程反映出来,即做事儿的套路。
从企业风险管理、内部控制与合规管理的维度看,制度、流程、不同阶次流程中关键节点的控制活动,都属于企业的内控能力范畴;合规管理是保证外部法律法规、监管政策、社会责任,以及保证企业内部管理有效性的重要措施。
合规管理是一个功能性描述的名词概念,本身具有模糊性,很难做到行动落地,也绝非沿用一种方法所能解决。
合规管理要转化为工作,需要通过系统分析、解构,对不同合规风险进行属性划分,我把合规风险划分为7类,其中既包括企业、员工对既定外规、内制的遵从,也包括由于科技进步,所带来的对原有规则调整的可能。
毕竟,科技的飞速发展,企业既有承担社会责任的义务,也可能由于技术创新和应用,促进原有法律法规、政策的改进与变通,从而促进社会文明不断走向进步。我国电子支付、网络发展、智能应用,无一不经历过这一过程。
合规风险划分,是为了让模糊的概念清晰化,从而找到与企业具体业务工作的结合点,降低管理复杂度,与企业的健康发展契合,从而体现合规管理的价值。企业首先是一个经济实体,合法合规是企业开展经营活动的必要条件。
合规管理的外延很大。人们思考一个问题,很容易受限于认识问题第一感的“脑回路”影响,僵化地把合规管理视同为外部法律法规、政策监管问题的解决方案。直感,也并非完全没有道理。
一般讲,外部法律法规、政策监管是一种普适性的外部控制,适用于所有、或某一行业、某类性质的企业。每个企业由于行业、产品、发展策略的不同,内部管理方式、方法表现各异。
企业规模的增长,会导致企业法人主体、组织层级的增多、业务结构的多元、员工之间素质与能力的差异、管理的难度。
企业构建运营秩序的目的:一是提高运营效率;二是降低不确定性的影响;三是实现最大产出。当然,合法、合规、合制、合德,是构建运营秩序必须坚持的基本原则。
于是,我们就可以找到一条将合规管理与企业构建运营秩序相统一的路径,这就是合规管理工作对企业发展的贡献。企业中,不能贡献于企业目标的工作,都是浪费、是成本。
企业防范法律法规、监管政策等外部控制风险最好的方式,就是用更系统、更严厉、更具体的内部控制。但不要误认为内部控制就是层层加码的监督,以及为证实活动合规,而进行的无休止的补充、说明、验证,这种方式,只能让优秀员工无所适从而磨灭激情。
在我看来,一套好的内部控制机制,一套好的运营管理体系,既是约束,也是为了释放灵活。衡量标准是:监督随便来,你监督你的,我工作我的,你需要什么我配合,你验证你的,我继续工作。
所以,广义的内控包括企业中的制度、流程,以及不同程度的从宏观到微观的活动标准。
制度,明确组织与角色任务、权限与责任;流程,明确组织与角色具体活动的标准、协同完成任务的程序;狭义的内控,既包括组织间的制衡,也包括嵌入流程的内控活动。通过价值观引导、规则订立、自控制、他控制、监督而浑然天成。
如果放大来看,制度、流程也是一种管理标准,标准程度的高低,离不开风险评估,离不开从理念、思想、制度、方法、活动的细化与固化。从合规管理的维度,合规风险评估,是“实内”必须经过的行动之一。
合规风险评估的产出,即合规管理中提到的第一张表单:合规风险清单。不能关闭的风险不是风险,而是亟待解决的长期问题。所以,合规风险清单的管理是动态的,而不是静态的表格。
当合规风险得到有效控制而化解时,合规风险清单就转化为风险关闭后的记录,但不影响其中反映的合规要求、合规限制继续发挥作用。
在我看来,合规要求也不能笼统地讲,其中包括必须开展的“有条件活动”,也包括不得、严禁开展的限制活动。所以,我们可以将其定义为:合规要求是开展工作必须坚守的条件,即底线;合规限制是不能碰触的约束,即红线。
风险评估,可以看成是一个活动的名称,也可以认为是一个动词,用做动词时就转变为一项工作活动。由不同组织、不同人所执行的具有统一属性的活动,只有当面向同一类型具体对象的时候,就带来了“一致性”需求,实现一致性,依靠的也是规则,对风险评估来讲,我们称为“风险评估模型”。
模型,听起来很神秘,很多时候,被人们直观理解为只有运用“数据”进行计算的,才能称其为模型。其实,当管理体现出了理念、方式、方法,转化为规则时,就是“管理建模”的体现。
企业中的每一个人,受限于能力、经验、信息、视距等因素,“认知结构”可能存在不同。所以,对一件事儿的认识,结果非常可能不一样,而且还很容易固执己见,唯一的解决方式,只有“统一语言或行动”。
管理模型的本质,就是统一语言、行动,以期达到不同人执行,但产出结果相近或相同的反映。合规风险评估,面向的是同属性评估对象中的规则要求风险,所以,可以实现管理模型化。
合规管理是企业内部的工作,企业员工无法撼动外部规则的规则要求,只能眼睛向内,转变为“期望目标与内部能力”之间的差距判断问题,这个差距,就是合规风险中的“一类”。
对能力差距的判断,即合规风险评估,解决的是外部、内部的各类、各种规则风险,与企业内部不断接近执行的抗风险能力匹配问题。
没有人可以预测未来,靠经验感知判断出的风险,是不稳定、不靠谱的。人们能够做的,就是通过看到已经发生过的事实,判断可能发生的“未来”趋势。
合规风险评估模型中确定的评估要素,即为基于事实基础上的判断,从而度量满足合规要求与内部能力之间的差距。弥补差距所提出的措施,即该合规风险的控制措施。
合规要求、合规限制、合规风险、控制风险的措施计划,都是合规风险清单中的内容。计划是可监控的,构成了“合规风险预警”的内容之一。
合规风险评估模型,不能被认为是工作的复杂化,而是提供的一种能够弥补评估人能力、经验差距的工具。否则,怎么保证合规风险管理落地?
当合规风险控制措施得以落实,并被证实有效之后,评估出的合规风险即可关闭,从而让合规风险清单转变为“过去式”的记录。周而复始,随新规的产生、更迭、搜集,合规风险评估与风险控制得以循环,实现抗违规风险能力持续的匹配提升。是为机制,否则,又何以可持续?
只有当模糊的概念,变得清晰、具体、有形时,工作才能称其为工作。这时候,合规风险预警、不合规报告等,都可以找到可落地的方式与方法。同理,其它类型的合规风险,一样可以实现,否则,就只能是轰轰烈烈地走过场、喊口号,或者,写出一本“洋洋傻傻”的萌化手册。
当合规管理变成具体,呈现出与“日常业务工作”同步的活动组合时,意味着工作落地、可持续。同时,我们还应考虑企业员工的“人性”,既有希望拥有“秩序”的一面,也有渴望“自由”的一面,更有希望获取“成就”并得到认可的良好愿望一面。
合规管理准则,不要认为它就是纯粹的“约束、控制”,我觉得,它更应该是一份倡导,是从价值理念角度对人性的一种高级净化,追求什么、反对什么、在什么领域不碰红线、遇到问题如何解决、提供什么解决问题的通道等,企业都应予以明确。
很多人说,审计、监督是合规管理的闭环,错了,闭环的不是这些职能活动,而是问题整改。这一点,恰恰与3月29日中央政治局提出建立巡视整改三个“清单”的要求一致。
问题整改的三个清单,指的是问题清单、责任清单、任务清单。有所区别的是,我建立的模板是问题清单、问题分析与控制策略清单、违规责任追究清单、任务计划与责任清单、效果评价与不重复发生评估清单。
在我国依法治国的路上,强化监督固然必要,也不可或缺。但更重要的是通过良好的价值观引导、踏实的合规管理过程工作,通过既有价值追求的自控制机制,又有能力互补型、及时发现型的他控制与协同,辅以有效的结果监督与有震慑力的“法治”,共同构筑一条企业追求合规经营、追求价值创造与增长、追求健康可持续高质量发展的阳光之路。
通过合规管理,实现知规、守规、行规的能力提升,释放动力、激活活力才是最终目的,依靠的不一定是条条紧箍咒,而是能够保证合法合规、符合人性的高效管理机制,考验的是规则设计者、制定者、推行规则执行者、监管者的能力与智慧。