轉(zhuǎn)載。
人們最容易出現(xiàn)的問題是,見顯不見隱、見木不見林、見表不求本。就好比廣泛傳播的“強化合規(guī)管理,打造法治央企”的說法一樣,不少人會不加思索地引用這句話,甚至還給出滿滿的見解,卻忘記了“換位思考”。01.法治央企與合規(guī)管理的關(guān)系理解如果站在國家或國家部委的層面看央企,法治央企與開展合規(guī)管理工作,可以認為是“目的與措施”的關(guān)系;如果站在央企的角度看,法治央企與合規(guī)管理的關(guān)系,就大相徑庭了。企業(yè)合規(guī)管理的外延,要遠大于企業(yè)中法務(wù)職能覆蓋的范圍,企業(yè)法務(wù)承擔的職能,反而是為合規(guī)管理營造普法、知法、守法的合規(guī)環(huán)境;法務(wù)開展的各種法律符合性審核,恰恰是為合規(guī)目標提供保證的“內(nèi)控”措施;即使合規(guī)管理失效后,發(fā)生的法律糾紛問題處置,似乎也是合規(guī)管理的事后補救。與看似稱謂上的“權(quán)威性”無關(guān),因為,企業(yè)法務(wù),就是因合規(guī)追求而生的一項職能。認真思考一下,這種提法轉(zhuǎn)換到央企,其內(nèi)涵是什么?應(yīng)該變成了“依法立規(guī)、依規(guī)治企、合規(guī)經(jīng)營”,因為,企業(yè)站不到國家部委的那個位置,他是守法者的站位,而不是執(zhí)法者的站位。央企是社會中的一級組織,如果把建設(shè)法治央企做為目的,績效就是依據(jù)法律治理企業(yè),不發(fā)生違法違紀風險,其邏輯是企業(yè)成為面向企業(yè)內(nèi)部實施監(jiān)管的執(zhí)法者。值得品味的是,同樣12個字,意思全變了。別急著給出“曲解上級部門精神”的結(jié)論,幾個字的變化,反映出了什么?反映出央企落實上級部門“強化合規(guī)管理,打造法治央企”要求的指導思想。是不是感覺落實上級精神和要求的路徑變得清晰了?是不是感覺具體多了?是不是合規(guī)、內(nèi)控找到了發(fā)力點?“依法立規(guī)”的說法,是不是還呼應(yīng)了中央企業(yè)合規(guī)管理辦法中“建立合規(guī)制度”的工作要求?這樣的變化,不僅沒有違背上級主管部門精神,還屬于做出了積極的回應(yīng),表達出了怎么落實的工作思路,而且還符合企業(yè)的管理實際,是可實施的。可惜的是,社會上、企業(yè)中敢主動思考、領(lǐng)悟的人太少了,很多人都會采用“上面怎么講、企業(yè)怎么說”的辦法,這樣做的好處,最低程度不會犯錯,也不會有發(fā)生異議,但管理工作不是這樣做的。無論是企業(yè)還是咨詢機構(gòu),導入一套方法或體系,都應(yīng)該站在企業(yè)角度思考:最先想到的應(yīng)該是目的,然后是績效、邏輯、工作組合與活動,之后是產(chǎn)出形式及作用,最后才是衡量能否與上級管理要求匹配,從而糾正邏輯、工作組合,并規(guī)劃實施。合規(guī)管理與內(nèi)部控制,都屬于來自于外部或上級單位部署、推動的工作,但實質(zhì)仍是企業(yè)應(yīng)該主動開展的工作。為了促進工作的落實,推動單位往往會對結(jié)果提出模板化要求,有時候就會無意識地牽引了企業(yè)的動機,導致落實工作的目的發(fā)生了變化。譬如:合規(guī)管理中的三張清單、內(nèi)部控制中的梳理流程、嵌入內(nèi)控的說法,很多企業(yè)都忙于追求怎么做出三張清單,怎么形成一套流程化內(nèi)控手冊,卻疏忽了體系建設(shè)的真正目的,疏忽了對開展這些工作意義的真正理解,疏忽了體系運作的持續(xù)性——機制。機制,不單是每年評價一次體系,形成一個評價報告,然后領(lǐng)導層進行審議的機制,而是持續(xù)產(chǎn)生清單、持續(xù)發(fā)生合規(guī)管理效能酵化、持續(xù)優(yōu)化體系的運作方式、方法。產(chǎn)生一套符合要求的結(jié)果形式,僅僅是短期目標的反映,可以反映短期的工作成績。但任何體系的建設(shè),本質(zhì)是要用的,而不是僅為了滿足上級要求、應(yīng)付上級檢查,都需要轉(zhuǎn)化為可持續(xù)的有益于企業(yè)發(fā)展的工作,這才是對企業(yè)的貢獻。就好比當下不少企業(yè)出現(xiàn)的現(xiàn)象,搞出一套反映法律合規(guī)要求的風險清單,不是說法律法規(guī)不重要,但你見過哪家大型企業(yè)是用法律、法規(guī)管理企業(yè)的,你見過企業(yè)員工有多少經(jīng)常研究各種法律條款的?就好比當下一些企業(yè)出現(xiàn)的一景,突然出現(xiàn)了第二套崗位員工合規(guī)職責手冊。要知道,組織管理之道,組織管理手冊只能是唯一的一份,避免歧義。合規(guī)管理“第二張清單”,僅是要求把合規(guī)義務(wù)納入到關(guān)鍵員工崗位職責,宗旨在于堵住“法無禁止盡可為”的漏洞,但產(chǎn)出仍然是組織及崗位職責手冊。就好比當下盛行的“X位一體”的說法,似乎要重新建設(shè)一套新的合規(guī)風險管控流程一樣,熟不知“第三張清單”,指的就是可以發(fā)揮控制作用的流程。因為,內(nèi)控作用的風險,本身就包括合規(guī)風險,合規(guī)管理工作的內(nèi)容之一,是去審視流程與內(nèi)控是否具有防范合規(guī)風險的能力,確保把一些崗位職責中的底線、紅線型合規(guī)義務(wù),寫入對應(yīng)角色的“作業(yè)指導書”。對合規(guī)風險的管控有3種基本的表現(xiàn):第一種是員工的自控力,即掌握崗位合規(guī)義務(wù)要求,加強自我約束力,這一點還與“價值觀”有關(guān),是為“勢”;第二種是不以員工自我意識為主導的內(nèi)控,所以,合規(guī)管理離不開內(nèi)控,是為“控”;第三種是事后的舉報與監(jiān)督,是為“查”。那么什么是內(nèi)控呢?企業(yè)為實現(xiàn)經(jīng)營目標,防范運營風險所建立的制度、流程與角色執(zhí)行標準。所以,內(nèi)控的范圍是非常寬泛的,并非當下流行的參照18項指引梳理的部分流程、對其中控制活動作業(yè)說明進行具體化規(guī)范所能代表,何況,有些內(nèi)容也并非流程所能解決。那為什么這種方式成為內(nèi)控建設(shè)的“主流”呢?因為,制度管理是大型企業(yè)中已經(jīng)存在的存量職能,可能與內(nèi)控管理分屬不同部門,很難做到功能間的統(tǒng)籌推進,但并不意味著企業(yè)內(nèi)部控制建設(shè)不包括制度,也不意味著合規(guī)管理因“強化合規(guī)管理,打造法治央企”的表面理解,把合規(guī)管理的重點導向“法律、法規(guī)”,而疏忽了用以管理企業(yè)、員工的制度。對工作內(nèi)涵與外延的認識出現(xiàn)了失誤,一定會導致工作重心的嚴重偏移而影響效果。我理解合規(guī)管理辦法中講的加強合規(guī)管理與法治、內(nèi)控、風險管理協(xié)同,不是讓企業(yè)必須進行什么所謂的“一體化建設(shè)”,而是已經(jīng)有的,要互相利用,新工作的導入,要注意存量工作的補充、完善,打通相關(guān)工作之間的關(guān)系界面,從而形成整體效應(yīng)。何況,這些工作也不是呈現(xiàn)一本手冊就能解決,手冊只是進行體系管理的一種方式。在合規(guī)管理工作中,經(jīng)常提到三張清單:合規(guī)風險清單、崗位職責合規(guī)清單、流程管控清單。這三張清單是什么意思?怎么生成?有什么作用?不少專家經(jīng)過周密思考,基于表面理解做出解釋,甚至還會給出合規(guī)風險清單,可以與崗位合規(guī)清單并為“一表”的答案。現(xiàn)實中,不少單位就是這樣做的,并表后變成一個橫幅極為寬闊,必須橫屏不斷拖動才能瀏覽的小字大表格,但不影響宣傳和對工作落實的表達。如果仔細分析,如此寬闊的表格內(nèi)容,居然很難發(fā)現(xiàn)企業(yè)中最擔心發(fā)生的超權(quán)限違規(guī)風險描述,因為,一是不能再加內(nèi)容了;二是外、內(nèi)兼?zhèn)涞姆ā⒅贫嘀匾?guī)則集聚于一表的做法,從組合上就出現(xiàn)了問題,主要是不熟悉企業(yè)的制度管理方法所致。但是,企業(yè)中超權(quán)限決策重大事項,如果造成重大損失事實,是何等的違法、違規(guī)問題?那這樣的表單又有何意義?為什么會造成那么寬闊的表格?因為,跨度太大了!把國家法律、地方法規(guī)、部委規(guī)章、制度與一個部門中的崗位關(guān)聯(lián)在一起,那是多么漫長的一條路!既要有“外規(guī)內(nèi)制”的名稱,還要體現(xiàn)風險名稱、風險級別、風險程度、合規(guī)要求、底線與紅線、責任部門、相關(guān)崗位。如果再遇到題目、條款內(nèi)容很長的規(guī)則名稱,您大可想象,結(jié)果會何等壯觀!我曾針對合規(guī)管理,做出一個基于各種事兒的詳細業(yè)務(wù)關(guān)系圖,其中,涉及法人治理中分權(quán)授權(quán)、制度、內(nèi)部控制、風險管理、法務(wù)、審計、紀檢監(jiān)察、企業(yè)巡查,甚至還涉及企業(yè)的信訪工作。如果深刻理解企業(yè)中各職能之間的關(guān)聯(lián)關(guān)系,理解企業(yè)化解法規(guī)與政策風險的常用之法,理解企業(yè)內(nèi)部控制的真實構(gòu)成,完全可以讓三張表單各有其用,單獨成形,結(jié)果符合要求,且對員工還有參考、學習、應(yīng)用價值。做任何工作,我們都要先清晰目的。合規(guī)管理的目的不是三張表單,這是工作要求,合規(guī)管理的目的是…,什么?怎么又有人說防控違規(guī)風險?也對,只看到了字面意思,咱們往深處看一看,與企業(yè)關(guān)聯(lián)起來:第一,讓合規(guī)管理助力企業(yè)的管理有效,違規(guī)風險發(fā)生的概率就會降低;第二,讓產(chǎn)出的結(jié)果符合上級的要求。怎么做呢?其實,《中央企業(yè)合規(guī)管理辦法》已經(jīng)給出了答案,但必須深刻理解其內(nèi)涵才行。第十六條 中央企業(yè)應(yīng)當建立健全合規(guī)管理制度,根據(jù)適用范圍、效力層級等,構(gòu)建分級分類的合規(guī)管理制度體系。怎么理解這個條款呢?這里的合規(guī)管理制度,指的是能夠承載不同類型外部規(guī)則要求的企業(yè)內(nèi)部制度,不然,還把責任壓實給“各部門”?而企業(yè)中的制度管理,就是采用分類、分層進行管理的,不用考慮。只不過,受這個辦法的題目所限,不好表述,故統(tǒng)稱為“合規(guī)管理制度”,就好比內(nèi)控文件中,國資委也會提到“內(nèi)控制度”一樣。其內(nèi)在含義可以理解為:企業(yè)依據(jù)外部規(guī)則建立的內(nèi)部制度,必須具備不會違背外規(guī)合規(guī)要求的能力,必須具備不會違背上位制度合規(guī)要求的能力。即用制度的確定性,不斷收縮、擠壓觸及違規(guī)要素的空間。企業(yè)面對的外規(guī),涉及太多方面,企業(yè)的制度建設(shè),需要結(jié)合實際,通過“分類”解決這一問題。那分級到什么程度呢?辦法也給出了答案,就在于“合規(guī)管理制度體系”。分類分級指的是橫向分類、縱向分級、層層提高“具體化程度”的意思。企業(yè)的制度分級,最末級、最具確定性的制度,是標準控制型制度。譬如:公務(wù)接待管理細則、領(lǐng)導人員公務(wù)差旅費用管理細則、員工行為規(guī)范等等,這些制度是不可拆分的,是顆粒度最小的制度,或者,是管理類制度附件中的模板、表單,否則怎么叫“合規(guī)管理制度體系”呢。這些內(nèi)容,才是有效“管控違規(guī)風險”的措施,其功能就是內(nèi)部控制,而不是“貫徹、執(zhí)行”之類的話術(shù)。這種方式,也是德魯克講的:防范法律法規(guī)風險最好的方法,是轉(zhuǎn)化為更嚴厲、更具體、更有效的內(nèi)部控制。說到這,再多說一句題外話,依目前流行的做法,拿套“通用流程模板”適應(yīng)性復(fù)制進行內(nèi)控建設(shè),很難落地。會有人質(zhì)疑:我們做的內(nèi)控可以落地,領(lǐng)導也在簽字審批,而且也沒出過什么大事兒?做個假設(shè),可以設(shè)想一下:把企業(yè)當下做的流程與內(nèi)控、合規(guī)管理取締,看看企業(yè)運作會不會受影響?然后保留當下的流程與內(nèi)控、合規(guī)管理,把制度全部取締,讓企業(yè)依據(jù)留下的內(nèi)控、合規(guī)成果運作,看看會是什么結(jié)果?他們是不可分割的幾個部分,這就是要協(xié)同而不是一體的意義。企業(yè)中大部分管理類制度、操作類制度、標準控制類制度等,都具有內(nèi)控功能,只不過,制度管理、內(nèi)控管理職能可能分設(shè)于不同部門,內(nèi)控部門參照其它企業(yè)的做法,會誤認為:梳理流程建內(nèi)控,是內(nèi)控建設(shè)的全部工作,不是那樣的。又是誰講過,別的企業(yè)做的,就一定正確?這就是某證券交易所質(zhì)詢某券商:請說明內(nèi)控如何保證財報證實性,但回答不成功的原因,不是狹隘內(nèi)控的理解,而必須是廣義內(nèi)控的回答,是跨部門的。這也是合規(guī)管理辦法中,為什么多次提到制度建設(shè)的原因。內(nèi)控是防范違規(guī)風險、通過監(jiān)管及時發(fā)現(xiàn)并糾正不合規(guī)行為的最佳措施,即使生成的風險清單、崗位職責合規(guī)清單、流程管控清單,都具有直接或間接的控制功能,也并非唯一。所以,企業(yè)中的制度,與內(nèi)控、合規(guī)管理、風險管理、法治、監(jiān)督、各種職能管理中的監(jiān)管有不可分割的關(guān)系,制度是合規(guī)管理之魂,內(nèi)控是合規(guī)管理之手,普法是合規(guī)管理之境。本身都是全面的,那需要做到“幾位一體”才合適?首先,不要被“清單”二字的表面意思迷惑了,清單并不意味著只能是一行一行的大EXCEL表合成。其次,既然是合規(guī)風險清單,自然需要風險評估的過程才能產(chǎn)生,評估什么呢?風險因“規(guī)則要求”而產(chǎn)生,自然從與企業(yè)有關(guān)的外規(guī)開始。現(xiàn)實中,企業(yè)也是這樣做的,只不過這個過程體現(xiàn)在“思評、討論評”,把這些隱形的、不穩(wěn)定的過程,顯性化地規(guī)范下來,讓他們穩(wěn)定、確定地去做,本質(zhì)是流程管理的“思想”。做一個假設(shè),如果我給企業(yè)做合規(guī)評價,從表單中看不到證實合規(guī)風險評估的過程痕跡,我就會認為清單是填寫出來的,即使能夠找到對應(yīng)的法規(guī)、制度也不行。因為,即使表中顯示了很多“風險詞匯”,即使內(nèi)容是正確的,也不能證明這個表跟風險評估有關(guān)系,填表是“個人認識”的行為,你不能把個人認識強加給所有員工。既然是對體系的評價,當然要拿證據(jù)說話。別產(chǎn)生誤解,合規(guī)風險評估,絕不是法規(guī)中標明的“給予行政處罰”、“罰XX-XXX萬元”、“追究刑事責任”而判斷,必須理解風險評估的目的是什么。風險評估的目的在于:第一,外規(guī)約定的合規(guī)要求、違規(guī)處罰是客觀的,只要與企業(yè)有一定相關(guān)性和頻率,企業(yè)就必須承擔合規(guī)的責任與義務(wù),即只能“風險承擔”;第二,要衡量企業(yè)的抗風險能力,同樣的風險,對不同企業(yè)、不同員工是不一樣的,所以,這個風險表不是通用復(fù)制的;第三,風險承擔絕不是等著,而是要采取風險解決方案,即內(nèi)部控制,這不就回到是否需要“外規(guī)內(nèi)化”了嗎,也是與企業(yè)的制度、內(nèi)控的銜接接口。這就是最外沿風險評估的目的。需要設(shè)想的是,我們要構(gòu)建的是一個可持續(xù)的機制,所以,風險評估的方法必須保持一致,即要找到風險評估的“確定要素”,建立一個“評估標準及風險判斷的規(guī)則”,讓每一個員工掌握這套操作簡單的標準模型,從而達到風險評估遵從標準的一致,這樣才能可持續(xù)、可操作。畢竟,外規(guī)搜集與所有部門、所有員工有關(guān),不是合規(guī)管理部門之責,所以,很多結(jié)果是需要周密設(shè)計出來的,不是通過整理填表的。那結(jié)果是什么樣的呢?別忘了目的。如果外規(guī)風險很高,且企業(yè)尚不具備抗風險的內(nèi)控能力,那這個外規(guī),就是企業(yè)要求“相關(guān)崗位人員,必須重點遵從的內(nèi)部規(guī)則”。比如,國資委發(fā)布的“嚴禁央企開展融資性貿(mào)易、虛假貿(mào)易”制度,對央企來講,它是外部規(guī)則。為什么央企能夠拿著國資委發(fā)布的制度,立即開展大檢查呢?很多人講,是國資委的工作要求,沒錯,但還沒總結(jié)出內(nèi)在的管理規(guī)律。一是緊急,企業(yè)來不及建制度內(nèi)控,只能把它視同為“內(nèi)規(guī)”管理,企業(yè)直接用“外部規(guī)則”作為監(jiān)管依據(jù),相當于把外規(guī)納入到企業(yè)內(nèi)部制度管理的范圍,視同為內(nèi)規(guī)了,必須直接遵從。但現(xiàn)在看央企,很多都建立了自己的內(nèi)部制度,這就是企業(yè)如何對待外規(guī)的“管理規(guī)律”。那為什么要直接納入內(nèi)部管理呢?二是責任明確,查到誰,就地免職主要負責人,這個制度“有勢能”啊,企業(yè)就感覺到風險程度很大。大可理解為:通過運用風險評估模型進行評估,發(fā)現(xiàn)企業(yè)不具備滿足該制度合規(guī)要求的抗風險能力,所以,必須視同為內(nèi)部制度一樣,以它為依據(jù),馬上啟動監(jiān)管。那這應(yīng)該屬于什么風險呢?如果企業(yè)把合規(guī)風險作為企業(yè)級風險分類,就看合規(guī)風險再怎么分類規(guī)劃了。合規(guī)風險清單是題目,表中風險就是“違反經(jīng)營政策風險”,是一個對應(yīng)并反饋企業(yè)合規(guī)風險管理規(guī)劃架構(gòu)的過程。那怎么反映制度中的合規(guī)要求呢?該文件中明確的底線、紅線設(shè)定,即風險因子。那怎么體現(xiàn)風險防控措施呢?接到這個制度,企業(yè)會怎么辦?拿著制度去清查嗎?絕對不會:一是發(fā)文周知,視為公示;二是文中必然明確要求,自查并報送自查結(jié)果,自查必須有自查表吧,文件中的自查表即風險防控措施;三是根據(jù)自查情況,企業(yè)開展檢查、排查,并將結(jié)果報送國資委,這個措施就可以表述為“組織審計、財務(wù)、某業(yè)務(wù)部門聯(lián)合監(jiān)督檢查”。那怎么找到責任單位呢?該制度覆蓋的所有單位,包括集團公司、下屬各單位,責任人是誰?企業(yè)主要領(lǐng)導。所以,合規(guī)風險清單的作用,是做這個工作的,循環(huán)下去,就形成一張張“合規(guī)風險評估表”,歸納起來,就是企業(yè)的“合規(guī)風險清單”。那是不是太多了,那么多外規(guī)?其實,辦法也回答了。第十八條 中央企業(yè)應(yīng)當針對反壟斷、反商業(yè)賄賂、生態(tài)環(huán)保、安全生產(chǎn)、勞動用工、稅務(wù)管理、數(shù)據(jù)保護等重點領(lǐng)域,以及合規(guī)風險較高的業(yè)務(wù),制定合規(guī)管理具體制度或者專項指南。中央企業(yè)應(yīng)當針對涉外業(yè)務(wù)重要領(lǐng)域,根據(jù)所在國家 (地區(qū))法律法規(guī)等,結(jié)合實際制定專項合規(guī)管理制度。另外,這個風險評估模型具有排除功能,經(jīng)過風險評估,違規(guī)風險不高,被評估的規(guī)則是可以放棄的。這就是我以前文章中經(jīng)常提到的,合規(guī)風險評估最終對齊的,一定是“企業(yè)直接遵從的那個規(guī)則”的原因。而這個過程,是通過層層風險評估、現(xiàn)有內(nèi)控能力的綜合匹配完成的。這個層層,要抽象理解,有些規(guī)則,通過直接判斷就可以得出結(jié)論,譬如:央企對勞動法的合規(guī)管理,企業(yè)中的內(nèi)控都成熟到什么程度了,可以去審視完善性,如果沒什么漏洞,就沒必要再重新整理一遍,而是直接對齊內(nèi)部制度。所以,合規(guī)風險清單中的風險管控措施,要么是制度、要么是流程、要么是模板、要么是表單,最差的也是具體行動,與制度管理、流程控制引發(fā)了呼應(yīng),這就叫協(xié)同。協(xié)同是設(shè)計的接口結(jié)果,不是放在一個手冊,就是一體化,就是協(xié)同。一是合規(guī)風險清單的形成過程,會促進企業(yè)制度的完善,有助于解決企業(yè)制度建設(shè)適應(yīng)性、全面性、系統(tǒng)性問題,解決的是“依法立規(guī)”問題;二是結(jié)合風險可以找到被監(jiān)管者的適用規(guī)則,有針對性地履行監(jiān)管、監(jiān)督責任,解決的是“依規(guī)治企”問題;三是對員工來講,通過清單既知道了風險及合規(guī)要求的具體化內(nèi)容,也找到了“怎么做”的依據(jù),解決的是“合規(guī)經(jīng)營”問題。綜合下來,通過企業(yè)的種種措施,用合規(guī)管理行動落實了國資委提出的“強化合規(guī)管理,打造法治央企”的要求。解決了合規(guī)風險清單問題,崗位合規(guī)職責清單怎么辦?經(jīng)過合規(guī)風險評估,形成了合規(guī)風險清單之后,風險防控責任一般都會分解到相關(guān)部門,意味著合規(guī)風險責任與部門負責人建立了關(guān)聯(lián),承擔的是該規(guī)則合規(guī)要求的完全責任。部門怎么做?其實《中央企業(yè)合規(guī)管理辦法》也給出了答案。第十三條 中央企業(yè)業(yè)務(wù)及職能部門承擔合規(guī)管理主體責任,主要履行以下職責:(二)定期梳理重點崗位合規(guī)風險,將合規(guī)要求納入崗位職責。解決了崗位合規(guī)職責清單,流程管控清單怎么辦?復(fù)盤流程與內(nèi)控部分建設(shè)成果,評價流程管控合規(guī)風險的效能,實施流程優(yōu)化,結(jié)合合規(guī)風險清單、崗位責任清單,將合規(guī)義務(wù)寫入相關(guān)角色的“作業(yè)指導書”。通過流程與相關(guān)風險的對應(yīng),形成風險與流程的索引表即可。