轉(zhuǎn)載。
人們最容易出現(xiàn)的問題是���,見顯不見隱�����、見木不見林、見表不求本��。就好比廣泛傳播的“強化合規(guī)管理,打造法治央企”的說法一樣��,不少人會不加思索地引用這句話�,甚至還給出滿滿的見解,卻忘記了“換位思考”��。如果站在國家或國家部委的層面看央企����,法治央企與開展合規(guī)管理工作,可以認為是“目的與措施”的關系��;如果站在央企的角度看�,法治央企與合規(guī)管理的關系,就大相徑庭了����。企業(yè)合規(guī)管理的外延,要遠大于企業(yè)中法務職能覆蓋的范圍���,企業(yè)法務承擔的職能��,反而是為合規(guī)管理營造普法��、知法��、守法的合規(guī)環(huán)境��;法務開展的各種法律符合性審核�����,恰恰是為合規(guī)目標提供保證的“內(nèi)控”措施�;即使合規(guī)管理失效后,發(fā)生的法律糾紛問題處置�,似乎也是合規(guī)管理的事后補救。與看似稱謂上的“權威性”無關���,因為����,企業(yè)法務�����,就是因合規(guī)追求而生的一項職能�����。為什么換位后�����,出現(xiàn)這么大變化呢�?認真思考一下,這種提法轉(zhuǎn)換到央企��,其內(nèi)涵是什么�����?應該變成了“依法立規(guī)�����、依規(guī)治企�����、合規(guī)經(jīng)營”��,因為�����,企業(yè)站不到國家部委的那個位置,他是守法者的站位��,而不是執(zhí)法者的站位���。央企是社會中的一級組織�,如果把建設法治央企做為目的��,績效就是依據(jù)法律治理企業(yè)��,不發(fā)生違法違紀風險����,其邏輯是企業(yè)成為面向企業(yè)內(nèi)部實施監(jiān)管的執(zhí)法者。值得品味的是����,同樣12個字,意思全變了���。別急著給出“曲解上級部門精神”的結論���,幾個字的變化,反映出了什么��?反映出央企落實上級部門“強化合規(guī)管理,打造法治央企”要求的指導思想���。是不是感覺落實上級精神和要求的路徑變得清晰了����?是不是感覺具體多了��?是不是合規(guī)�、內(nèi)控找到了發(fā)力點���?“依法立規(guī)”的說法����,是不是還呼應了中央企業(yè)合規(guī)管理辦法中“建立合規(guī)制度”的工作要求��?這樣的變化��,不僅沒有違背上級主管部門精神����,還屬于做出了積極的回應,表達出了怎么落實的工作思路���,而且還符合企業(yè)的管理實際�����,是可實施的���。可惜的是���,社會上、企業(yè)中敢主動思考����、領悟的人太少了,很多人都會采用“上面怎么講���、企業(yè)怎么說”的辦法�,這樣做的好處�,最低程度不會犯錯,也不會有發(fā)生異議���,但管理工作不是這樣做的�。無論是企業(yè)還是咨詢機構���,導入一套方法或體系���,都應該站在企業(yè)角度思考:最先想到的應該是目的��,然后是績效��、邏輯���、工作組合與活動����,之后是產(chǎn)出形式及作用,最后才是衡量能否與上級管理要求匹配�,從而糾正邏輯、工作組合�,并規(guī)劃實施。合規(guī)管理與內(nèi)部控制����,都屬于來自于外部或上級單位部署、推動的工作�����,但實質(zhì)仍是企業(yè)應該主動開展的工作。為了促進工作的落實�,推動單位往往會對結果提出模板化要求,有時候就會無意識地牽引了企業(yè)的動機�,導致落實工作的目的發(fā)生了變化。譬如:合規(guī)管理中的三張清單���、內(nèi)部控制中的梳理流程��、嵌入內(nèi)控的說法���,很多企業(yè)都忙于追求怎么做出三張清單,怎么形成一套流程化內(nèi)控手冊�,卻疏忽了體系建設的真正目的,疏忽了對開展這些工作意義的真正理解��,疏忽了體系運作的持續(xù)性——機制���。機制�����,不單是每年評價一次體系��,形成一個評價報告����,然后領導層進行審議的機制,而是持續(xù)產(chǎn)生清單����、持續(xù)發(fā)生合規(guī)管理效能酵化、持續(xù)優(yōu)化體系的運作方式�、方法。產(chǎn)生一套符合要求的結果形式��,僅僅是短期目標的反映����,可以反映短期的工作成績���。但任何體系的建設��,本質(zhì)是要用的���,而不是僅為了滿足上級要求、應付上級檢查���,都需要轉(zhuǎn)化為可持續(xù)的有益于企業(yè)發(fā)展的工作���,這才是對企業(yè)的貢獻�����。就好比當下不少企業(yè)出現(xiàn)的現(xiàn)象�,搞出一套反映法律合規(guī)要求的風險清單�����,不是說法律法規(guī)不重要����,但你見過哪家大型企業(yè)是用法律、法規(guī)管理企業(yè)的���,你見過企業(yè)員工有多少經(jīng)常研究各種法律條款的�?就好比當下一些企業(yè)出現(xiàn)的一景�����,突然出現(xiàn)了第二套崗位員工合規(guī)職責手冊���。要知道����,組織管理之道,組織管理手冊只能是唯一的一份�,避免歧義。合規(guī)管理“第二張清單”�����,僅是要求把合規(guī)義務納入到關鍵員工崗位職責��,宗旨在于堵住“法無禁止盡可為”的漏洞�����,但產(chǎn)出仍然是組織及崗位職責手冊�����。就好比當下盛行的“X位一體”的說法���,似乎要重新建設一套新的合規(guī)風險管控流程一樣,熟不知“第三張清單”��,指的就是可以發(fā)揮控制作用的流程。因為��,內(nèi)控作用的風險���,本身就包括合規(guī)風險��,合規(guī)管理工作的內(nèi)容之一���,是去審視流程與內(nèi)控是否具有防范合規(guī)風險的能力,確保把一些崗位職責中的底線�����、紅線型合規(guī)義務����,寫入對應角色的“作業(yè)指導書”。對合規(guī)風險的管控有3種基本的表現(xiàn):第一種是員工的自控力��,即掌握崗位合規(guī)義務要求���,加強自我約束力���,這一點還與“價值觀”有關���,是為“勢”;第二種是不以員工自我意識為主導的內(nèi)控�,所以,合規(guī)管理離不開內(nèi)控��,是為“控”��;第三種是事后的舉報與監(jiān)督�����,是為“查”��。那么什么是內(nèi)控呢����?企業(yè)為實現(xiàn)經(jīng)營目標,防范運營風險所建立的制度���、流程與角色執(zhí)行標準���。所以�,內(nèi)控的范圍是非常寬泛的,并非當下流行的參照18項指引梳理的部分流程、對其中控制活動作業(yè)說明進行具體化規(guī)范所能代表����,何況,有些內(nèi)容也并非流程所能解決�。那為什么這種方式成為內(nèi)控建設的“主流”呢?因為�����,制度管理是大型企業(yè)中已經(jīng)存在的存量職能��,可能與內(nèi)控管理分屬不同部門����,很難做到功能間的統(tǒng)籌推進,但并不意味著企業(yè)內(nèi)部控制建設不包括制度���,也不意味著合規(guī)管理因“強化合規(guī)管理�,打造法治央企”的表面理解��,把合規(guī)管理的重點導向“法律�����、法規(guī)”,而疏忽了用以管理企業(yè)����、員工的制度。對工作內(nèi)涵與外延的認識出現(xiàn)了失誤��,一定會導致工作重心的嚴重偏移而影響效果���。我理解合規(guī)管理辦法中講的加強合規(guī)管理與法治�、內(nèi)控����、風險管理協(xié)同,不是讓企業(yè)必須進行什么所謂的“一體化建設”��,而是已經(jīng)有的��,要互相利用�����,新工作的導入���,要注意存量工作的補充�、完善���,打通相關工作之間的關系界面��,從而形成整體效應���。何況,這些工作也不是呈現(xiàn)一本手冊就能解決�����,手冊只是進行體系管理的一種方式�。在合規(guī)管理工作中,經(jīng)常提到三張清單:合規(guī)風險清單���、崗位職責合規(guī)清單�����、流程管控清單�。這三張清單是什么意思�?怎么生成?有什么作用�����?不少專家經(jīng)過周密思考,基于表面理解做出解釋��,甚至還會給出合規(guī)風險清單��,可以與崗位合規(guī)清單并為“一表”的答案�。現(xiàn)實中,不少單位就是這樣做的���,并表后變成一個橫幅極為寬闊�,必須橫屏不斷拖動才能瀏覽的小字大表格����,但不影響宣傳和對工作落實的表達。如果仔細分析����,如此寬闊的表格內(nèi)容,居然很難發(fā)現(xiàn)企業(yè)中最擔心發(fā)生的超權限違規(guī)風險描述�,因為,一是不能再加內(nèi)容了��;二是外、內(nèi)兼?zhèn)涞姆?����、制多重?guī)則集聚于一表的做法�,從組合上就出現(xiàn)了問題,主要是不熟悉企業(yè)的制度管理方法所致���。但是,企業(yè)中超權限決策重大事項����,如果造成重大損失事實,是何等的違法�����、違規(guī)問題�����?那這樣的表單又有何意義��?為什么會造成那么寬闊的表格�?因為,跨度太大了!把國家法律���、地方法規(guī)�、部委規(guī)章���、制度與一個部門中的崗位關聯(lián)在一起�����,那是多么漫長的一條路���!既要有“外規(guī)內(nèi)制”的名稱,還要體現(xiàn)風險名稱�、風險級別、風險程度����、合規(guī)要求、底線與紅線�����、責任部門�、相關崗位。如果再遇到題目、條款內(nèi)容很長的規(guī)則名稱����,您大可想象,結果會何等壯觀��!我曾針對合規(guī)管理���,做出一個基于各種事兒的詳細業(yè)務關系圖���,其中����,涉及法人治理中分權授權、制度�、內(nèi)部控制、風險管理����、法務、審計�����、紀檢監(jiān)察、企業(yè)巡查��,甚至還涉及企業(yè)的信訪工作�����。如果深刻理解企業(yè)中各職能之間的關聯(lián)關系���,理解企業(yè)化解法規(guī)與政策風險的常用之法��,理解企業(yè)內(nèi)部控制的真實構成�����,完全可以讓三張表單各有其用�,單獨成形�����,結果符合要求����,且對員工還有參考、學習�、應用價值���。做任何工作,我們都要先清晰目的��。合規(guī)管理的目的不是三張表單�����,這是工作要求���,合規(guī)管理的目的是…�����,什么?怎么又有人說防控違規(guī)風險�?也對,只看到了字面意思����,咱們往深處看一看,與企業(yè)關聯(lián)起來:第一�,讓合規(guī)管理助力企業(yè)的管理有效,違規(guī)風險發(fā)生的概率就會降低����;第二���,讓產(chǎn)出的結果符合上級的要求。怎么做呢�����?其實���,《中央企業(yè)合規(guī)管理辦法》已經(jīng)給出了答案���,但必須深刻理解其內(nèi)涵才行。第十六條 中央企業(yè)應當建立健全合規(guī)管理制度���,根據(jù)適用范圍��、效力層級等��,構建分級分類的合規(guī)管理制度體系����。怎么理解這個條款呢���?這里的合規(guī)管理制度�����,指的是能夠承載不同類型外部規(guī)則要求的企業(yè)內(nèi)部制度����,不然,還把責任壓實給“各部門”��?而企業(yè)中的制度管理���,就是采用分類����、分層進行管理的��,不用考慮�。只不過�,受這個辦法的題目所限,不好表述����,故統(tǒng)稱為“合規(guī)管理制度”�,就好比內(nèi)控文件中���,國資委也會提到“內(nèi)控制度”一樣��。其內(nèi)在含義可以理解為:企業(yè)依據(jù)外部規(guī)則建立的內(nèi)部制度�,必須具備不會違背外規(guī)合規(guī)要求的能力����,必須具備不會違背上位制度合規(guī)要求的能力。即用制度的確定性��,不斷收縮��、擠壓觸及違規(guī)要素的空間�。企業(yè)面對的外規(guī),涉及太多方面�����,企業(yè)的制度建設���,需要結合實際�����,通過“分類”解決這一問題�����。那分級到什么程度呢���?辦法也給出了答案��,就在于“合規(guī)管理制度體系”���。分類分級指的是橫向分類、縱向分級����、層層提高“具體化程度”的意思。企業(yè)的制度分級����,最末級、最具確定性的制度�����,是標準控制型制度���。譬如:公務接待管理細則��、領導人員公務差旅費用管理細則���、員工行為規(guī)范等等,這些制度是不可拆分的�,是顆粒度最小的制度,或者�,是管理類制度附件中的模板、表單��,否則怎么叫“合規(guī)管理制度體系”呢���。這些內(nèi)容����,才是有效“管控違規(guī)風險”的措施�����,其功能就是內(nèi)部控制�,而不是“貫徹、執(zhí)行”之類的話術。這種方式����,也是德魯克講的:防范法律法規(guī)風險最好的方法,是轉(zhuǎn)化為更嚴厲�����、更具體�����、更有效的內(nèi)部控制�����。說到這�����,再多說一句題外話���,依目前流行的做法�����,拿套“通用流程模板”適應性復制進行內(nèi)控建設�,很難落地。會有人質(zhì)疑:我們做的內(nèi)控可以落地���,領導也在簽字審批,而且也沒出過什么大事兒����?做個假設,可以設想一下:把企業(yè)當下做的流程與內(nèi)控��、合規(guī)管理取締����,看看企業(yè)運作會不會受影響?然后保留當下的流程與內(nèi)控�、合規(guī)管理,把制度全部取締�,讓企業(yè)依據(jù)留下的內(nèi)控、合規(guī)成果運作�,看看會是什么結果?他們是不可分割的幾個部分�,這就是要協(xié)同而不是一體的意義。企業(yè)中大部分管理類制度����、操作類制度��、標準控制類制度等���,都具有內(nèi)控功能,只不過�����,制度管理����、內(nèi)控管理職能可能分設于不同部門,內(nèi)控部門參照其它企業(yè)的做法����,會誤認為:梳理流程建內(nèi)控,是內(nèi)控建設的全部工作���,不是那樣的�。又是誰講過���,別的企業(yè)做的�����,就一定正確�����?這就是某證券交易所質(zhì)詢某券商:請說明內(nèi)控如何保證財報證實性����,但回答不成功的原因�����,不是狹隘內(nèi)控的理解���,而必須是廣義內(nèi)控的回答�,是跨部門的��。這也是合規(guī)管理辦法中���,為什么多次提到制度建設的原因�。內(nèi)控是防范違規(guī)風險�����、通過監(jiān)管及時發(fā)現(xiàn)并糾正不合規(guī)行為的最佳措施,即使生成的風險清單��、崗位職責合規(guī)清單�、流程管控清單,都具有直接或間接的控制功能��,也并非唯一����。所以,企業(yè)中的制度���,與內(nèi)控�、合規(guī)管理���、風險管理���、法治、監(jiān)督�����、各種職能管理中的監(jiān)管有不可分割的關系,制度是合規(guī)管理之魂����,內(nèi)控是合規(guī)管理之手,普法是合規(guī)管理之境��。本身都是全面的�,那需要做到“幾位一體”才合適?啰嗦這么多����,那怎么生成合規(guī)風險清單呢����?首先,不要被“清單”二字的表面意思迷惑了���,清單并不意味著只能是一行一行的大EXCEL表合成���。其次,既然是合規(guī)風險清單���,自然需要風險評估的過程才能產(chǎn)生��,評估什么呢�?風險因“規(guī)則要求”而產(chǎn)生,自然從與企業(yè)有關的外規(guī)開始��。現(xiàn)實中���,企業(yè)也是這樣做的���,只不過這個過程體現(xiàn)在“思評、討論評”����,把這些隱形的、不穩(wěn)定的過程���,顯性化地規(guī)范下來�����,讓他們穩(wěn)定����、確定地去做�����,本質(zhì)是流程管理的“思想”。做一個假設�,如果我給企業(yè)做合規(guī)評價,從表單中看不到證實合規(guī)風險評估的過程痕跡�,我就會認為清單是填寫出來的,即使能夠找到對應的法規(guī)�����、制度也不行�����。因為�����,即使表中顯示了很多“風險詞匯”�,即使內(nèi)容是正確的���,也不能證明這個表跟風險評估有關系�����,填表是“個人認識”的行為�����,你不能把個人認識強加給所有員工�����。既然是對體系的評價�,當然要拿證據(jù)說話。別產(chǎn)生誤解����,合規(guī)風險評估,絕不是法規(guī)中標明的“給予行政處罰”���、“罰XX-XXX萬元”����、“追究刑事責任”而判斷�,必須理解風險評估的目的是什么。風險評估的目的在于:第一����,外規(guī)約定的合規(guī)要求�、違規(guī)處罰是客觀的��,只要與企業(yè)有一定相關性和頻率����,企業(yè)就必須承擔合規(guī)的責任與義務,即只能“風險承擔”���;第二����,要衡量企業(yè)的抗風險能力�����,同樣的風險���,對不同企業(yè)��、不同員工是不一樣的,所以����,這個風險表不是通用復制的���;第三,風險承擔絕不是等著����,而是要采取風險解決方案,即內(nèi)部控制���,這不就回到是否需要“外規(guī)內(nèi)化”了嗎���,也是與企業(yè)的制度、內(nèi)控的銜接接口�����。這就是最外沿風險評估的目的���。需要設想的是�����,我們要構建的是一個可持續(xù)的機制��,所以����,風險評估的方法必須保持一致,即要找到風險評估的“確定要素”����,建立一個“評估標準及風險判斷的規(guī)則”,讓每一個員工掌握這套操作簡單的標準模型�,從而達到風險評估遵從標準的一致,這樣才能可持續(xù)���、可操作���。畢竟,外規(guī)搜集與所有部門�����、所有員工有關�����,不是合規(guī)管理部門之責����,所以,很多結果是需要周密設計出來的�,不是通過整理填表的。那結果是什么樣的呢����?別忘了目的。如果外規(guī)風險很高����,且企業(yè)尚不具備抗風險的內(nèi)控能力,那這個外規(guī)��,就是企業(yè)要求“相關崗位人員���,必須重點遵從的內(nèi)部規(guī)則”�。比如��,國資委發(fā)布的“嚴禁央企開展融資性貿(mào)易�����、虛假貿(mào)易”制度���,對央企來講�����,它是外部規(guī)則��。為什么央企能夠拿著國資委發(fā)布的制度����,立即開展大檢查呢?很多人講�����,是國資委的工作要求����,沒錯,但還沒總結出內(nèi)在的管理規(guī)律����。一是緊急,企業(yè)來不及建制度內(nèi)控�����,只能把它視同為“內(nèi)規(guī)”管理,企業(yè)直接用“外部規(guī)則”作為監(jiān)管依據(jù)���,相當于把外規(guī)納入到企業(yè)內(nèi)部制度管理的范圍,視同為內(nèi)規(guī)了��,必須直接遵從�����。但現(xiàn)在看央企�����,很多都建立了自己的內(nèi)部制度���,這就是企業(yè)如何對待外規(guī)的“管理規(guī)律”��。那為什么要直接納入內(nèi)部管理呢���?二是責任明確,查到誰��,就地免職主要負責人�����,這個制度“有勢能”啊,企業(yè)就感覺到風險程度很大�。大可理解為:通過運用風險評估模型進行評估,發(fā)現(xiàn)企業(yè)不具備滿足該制度合規(guī)要求的抗風險能力�����,所以��,必須視同為內(nèi)部制度一樣�����,以它為依據(jù)���,馬上啟動監(jiān)管�����。那這應該屬于什么風險呢���?如果企業(yè)把合規(guī)風險作為企業(yè)級風險分類,就看合規(guī)風險再怎么分類規(guī)劃了。合規(guī)風險清單是題目�,表中風險就是“違反經(jīng)營政策風險”,是一個對應并反饋企業(yè)合規(guī)風險管理規(guī)劃架構的過程��。那怎么反映制度中的合規(guī)要求呢���?該文件中明確的底線���、紅線設定�,即風險因子。那怎么體現(xiàn)風險防控措施呢�?接到這個制度,企業(yè)會怎么辦����?拿著制度去清查嗎?絕對不會:一是發(fā)文周知�,視為公示;二是文中必然明確要求��,自查并報送自查結果����,自查必須有自查表吧,文件中的自查表即風險防控措施��;三是根據(jù)自查情況,企業(yè)開展檢查����、排查,并將結果報送國資委����,這個措施就可以表述為“組織審計、財務����、某業(yè)務部門聯(lián)合監(jiān)督檢查”。那怎么找到責任單位呢���?該制度覆蓋的所有單位����,包括集團公司��、下屬各單位���,責任人是誰�����?企業(yè)主要領導����。所以,合規(guī)風險清單的作用��,是做這個工作的���,循環(huán)下去�����,就形成一張張“合規(guī)風險評估表”,歸納起來�����,就是企業(yè)的“合規(guī)風險清單”��。那是不是太多了�����,那么多外規(guī)?其實��,辦法也回答了����。第十八條 中央企業(yè)應當針對反壟斷、反商業(yè)賄賂�����、生態(tài)環(huán)保�����、安全生產(chǎn)��、勞動用工���、稅務管理�����、數(shù)據(jù)保護等重點領域�,以及合規(guī)風險較高的業(yè)務�,制定合規(guī)管理具體制度或者專項指南����。中央企業(yè)應當針對涉外業(yè)務重要領域���,根據(jù)所在國家 (地區(qū))法律法規(guī)等����,結合實際制定專項合規(guī)管理制度��。另外����,這個風險評估模型具有排除功能,經(jīng)過風險評估����,違規(guī)風險不高���,被評估的規(guī)則是可以放棄的���。這就是我以前文章中經(jīng)常提到的,合規(guī)風險評估最終對齊的����,一定是“企業(yè)直接遵從的那個規(guī)則”的原因�。而這個過程�����,是通過層層風險評估�、現(xiàn)有內(nèi)控能力的綜合匹配完成的。這個層層�,要抽象理解,有些規(guī)則����,通過直接判斷就可以得出結論,譬如:央企對勞動法的合規(guī)管理���,企業(yè)中的內(nèi)控都成熟到什么程度了����,可以去審視完善性��,如果沒什么漏洞�,就沒必要再重新整理一遍,而是直接對齊內(nèi)部制度�����。所以,合規(guī)風險清單中的風險管控措施�,要么是制度、要么是流程�、要么是模板、要么是表單����,最差的也是具體行動,與制度管理�、流程控制引發(fā)了呼應,這就叫協(xié)同����。協(xié)同是設計的接口結果��,不是放在一個手冊����,就是一體化���,就是協(xié)同。一是合規(guī)風險清單的形成過程,會促進企業(yè)制度的完善����,有助于解決企業(yè)制度建設適應性、全面性���、系統(tǒng)性問題�,解決的是“依法立規(guī)”問題��;二是結合風險可以找到被監(jiān)管者的適用規(guī)則��,有針對性地履行監(jiān)管�����、監(jiān)督責任�����,解決的是“依規(guī)治企”問題�����;三是對員工來講,通過清單既知道了風險及合規(guī)要求的具體化內(nèi)容���,也找到了“怎么做”的依據(jù)����,解決的是“合規(guī)經(jīng)營”問題���。綜合下來���,通過企業(yè)的種種措施,用合規(guī)管理行動落實了國資委提出的“強化合規(guī)管理���,打造法治央企”的要求�����。解決了合規(guī)風險清單問題��,崗位合規(guī)職責清單怎么辦�����?經(jīng)過合規(guī)風險評估�����,形成了合規(guī)風險清單之后���,風險防控責任一般都會分解到相關部門,意味著合規(guī)風險責任與部門負責人建立了關聯(lián)����,承擔的是該規(guī)則合規(guī)要求的完全責任。部門怎么做���?其實《中央企業(yè)合規(guī)管理辦法》也給出了答案��。第十三條 中央企業(yè)業(yè)務及職能部門承擔合規(guī)管理主體責任�����,主要履行以下職責:(二)定期梳理重點崗位合規(guī)風險����,將合規(guī)要求納入崗位職責�。解決了崗位合規(guī)職責清單,流程管控清單怎么辦?復盤流程與內(nèi)控部分建設成果��,評價流程管控合規(guī)風險的效能�,實施流程優(yōu)化,結合合規(guī)風險清單���、崗位責任清單�����,將合規(guī)義務寫入相關角色的“作業(yè)指導書”���。通過流程與相關風險的對應,形成風險與流程的索引表即可���。
