很多时候,企业的职能管理部门承担并推动一项工作,往往会因为部门职责定位、立场,以及指导该项工作的外部体系标准、政策等因素,把注意力和工作重点倾心于直观可见的领域,既是人的自然反应结果,也是外部参照不变因素的影响结果,决定于人的认知能力、深度与宽度。
譬如:风险管理会直观地理解为“防风险”,内部控制会直观地理解为“建控制”,合规管理会直观地理解为“保合规”,结果可想而知。这就是企业中的管理问题,基本上体现于部门交界、职能交界之处的原因。
01.企业讲合规管理要有正确导向
一直很着急当下流行的、广为传播的、浮于表面认识下的合规管理刻板做法。管理是有成本的,不要再让员工对企业推动的各项管理失去信心了,企业挺难,员工也不易!如果做一些无用功,又不能够持续地实现自我完善,有意义吗?
不是企业不想做好,而是对合规管理做法的有效性存在无奈的疑虑。可以说,失去制度管理的条件,就很难谈合规管理的有效性,别看年复一年的开展表面化有效性评价活动,那仅仅是一种“称谓”。
我这样讲,不要误认为合规管理与法务、业务或职能管理、内控、风控、监督失去了关联性,这些属于体系职能运作层问题,而不是决定有效性的“根本”。
在当下严峻的强监管环境下,合规管理本可发挥更大的作用,却受限于狭隘理解,变成了为完成任务而进行的象征性工程,可惜可叹。具体合规管理的做法,由于是独家所创,我本不想讲,今天就深度地把机理、分析写出来,贡献给大家思考。
当企业的管理规范性达到一定程度的时候,企业的管理工作就转变成了“抽象的合规管理”。合规执行的过程,就是绩效达成的过程,这是合规管理“单独成型”的原生态,就好比大企业为了追求灵活,把组织变小还原到小企业形态一样,同样的道理。所以,合规、绩效是统一的两面。
我在多篇文章中一直在纠正当下就合规谈合规的说法。“企业合规管理”的目的,是提高战略执行力中的“管理执行力”,让合规管理与企业的高质量发展紧密地联系在一起,才是合规管理应该发挥的作用。
一定要给员工讲清楚,“合规管理工作”的目的是为了什么。给员工讲合规管理,不要谈为了“防范合规风险”,这些话,留给专门承担工作的人员认识和把握,你能做的,一方面讲合规的重要性,一方面告诉员工怎么做才算正确,而不是年复一年的公司法、合规管理办法解读。员工都是研究生、大学生,一个文件还需要换着花样地解读吗?
客观讲,我一直结合企业培训在纠正一些观点,就好比有些人比喻内控一样:车总在跑,必要的时候也要刹车。能不能换一种说法!无论是方向盘还是刹车,都是为了让车跑得更好。风险管理要向积极的方向引导,不要这样误导员工。
那给员工怎么讲“合规管理工作”呢?是为了让员工在确定的规则范围内释放更大的灵活。员工是要工作的,不是单纯防合规风险的。要敢于承认,很多合规问题的发生,有些是因管理设计存在重大缺陷造成的,有些是因个人主观动机造成的。
至于合规管理的具体工作方法,面对的是管理者或承担具体合规管理职责的员工,但也是阶段工作。阶段之后,让合规管理转化成一项习惯性的正常例行工作,周而复始、自动循环,这才是可持续,才是用管理思维解决合规管理问题的做法。
如果有异议,看看企业的制度,究竟有多大的基于员工可以“再思考、再研究” 可钻漏洞的弹性空间,这种空间越大,违法违规概率越高。
当然,更系统的还包括选人用人与责任、治理中党委与行政关系、分权与制衡界定等等,都是造成企业的中高级管理者违法违规、管理混沌的根源因素。
不要误认为制度刚性越强,就意味着监管越多,恰恰想反,而是监管越少、越简单。就好像流程一样,颗粒度越小,控制越少,你内控建设写的是通用化、常识化、可复制的逻辑流程,说有多少控制、写多宏观、多模糊的措施都可以,可惜的是有什么用吗?这就是内控不能落地的原因,也是“用确定性管理不确定性”说法的来由。
会有不少企业认为管理设计不存在问题,或者认为制度本身就缺乏可执行性。那就不对了,制度缺乏可执行性的原因,本质是设计不可行,对照一下现实,抄来抄去进行制度翻版的做法,不少见吧。但是,参照的制度来源体,恐怕站位与企业都不一定一样吧。
如果我说当下大多企业或者说“合规风险清单”模版,在设计上存在的根本不是缺陷,而是错误,会有人相信吗?你参照我的,我看他做的,看多了、习惯了,大家自然而然就认为是“应该的了”,我放第3部分解释。
02.控制、合规与灵活、创新的背反效应
会有人说,你一边讲释放灵活,一边又讲压缩制度的弹性空间,都被你说了,岂不是矛盾?管理就是在矛盾的主要方面中取得平衡,否则就不需要管理。
你认为有绝对的公平吗?有绝对的自由吗?正确的认识应该是:只要执行了确定的规则,剩下的就是自由、灵活空间。无论是控制、合规,还是灵活,都是一个取舍下的选择,是相对的,要根据风险容忍度进行平衡。
一个管理规范的企业,应该有勇气告诉员工:在企业中要执行好制度、流程;在企业之外,每个员工要自觉遵从社会法律与公共道德;无论是谁违背了明确的规定,就要承担责任、追究管理连带责任。而不是把各种社会法则、政策、规章制度一股脑地推向员工,即使兼容并蓄地整理成了“合规义务清单”,也不应该如此。
当然,因为讲的太翔实,我的说法已经出现了漏洞,员工在企业之外是社会人,企业不拥有社会管理权。但是,企业要通过内部规定,对员工在企业之外的“行为结果”进行容忍度界定,就转变成了内部管理,构成了合规准则的内容,适用于所有员工。
如果没有规定呢?企业就没有纪律处分依据,因为企业不是执法机构。我们这个群里,有很多从事律师行业的老师,你们认为我讲的对吗?
需要思考的是,这种做法,属于管理还是合规管理呢?是基于风险评估转化成了“内部管理”,体现的是什么呢?是制度,诚信与合规准则也是制度。制度不应该是“苛政”,当提高了系统性之后,该控的不少,但是各制度中的重复表述大量减少,至少让员工感知到:你监督你的,我做我的,自己没问题就与己无关,有了违规动机,也能衡量到可能付出的代价。
几次赴若干企业的沟通,都能感受到当下高频监督的力量,管理者、员工忙于准备迎接监督,无论在行动表现、沟通语言上,很少再能看到过去敢于担当的工作激情,总是隐隐感觉到些许揪心与惆怅。
企业不应该是这样的,一个富有活力的企业,应该呈现的是“拥有旺盛想象力与追求、敢于承担风险的强劲执行力”状态。我心中希望的合规管理,应该是有压力的责任,有责任下的追求与激情,而不是“再增加一层束缚”,要做到这一点,设计必须有清晰的界面与标准。
当制度被遵从、被执行,当发现了不合规、违规问题时,依据制度做出处分的时候,就是合规管理系统运作的过程,是不是又构成了企业运营管理呢?所以,深度的、合理的制度与合规管理,就是管理执行力问题,就是释放灵活空间,激活组织活力的反映之一。合规管理要努力做到有限度的释放自由,有控制的高效组织,让管理走出混沌。
至于企业员工因工作需要获取外部规则,是另一回事儿。所以,企业中评价制度管理有效性的标准之一是:易获取,指的是通过制度管理渠道,能够找到需要的法规、监管政策、规章、制度,是制度与合规管理“无可割裂”的“应用”体现点。如果企业做不到这一点,制度管理存在缺陷,原因是没有做到“管理归口”。
这就是我总讲法规文本的管理职责不在法务机构的原因,是制度管理层面的课题,是与合规管理最紧密的本质环节,也是企业对当下合规管理的流行做法,总感觉“似是而非”的原因吧?是表面化理解造成的设计问题啊。
天锦咨询倡导的是“制度与合规管理集成”,是做好合规管理的实质“主线”,是目前唯一敢于将合规管理与制度管理衔接的做法,而且用“系统流程、制度、标准”压实,通过可读、可理解的手册提供制度与合规体系支撑,谈制度,请不要误认为缺少了“外部合规风险”部分。
如果哪家企业追求真正的实效、追求与企业运营管理结合,可以与本人直接联系,工作很累很复杂,但一定会让各部门有明显的前、后不一样的感受。包括内控、风控、制度、监督、组织管理在内,都能感受到什么是有用,什么是与业务管理的一体化,什么是可持续自我完善,什么是手册的作用,什么是工作之后拉动员工能力提升,什么是简单化。
不过,如果追求实效,我们不是价格破坏者而是追求收益合理者,如果担心感受不到变化,也不用担心,可以在保留成本下预留项目收益比例,由客户自己决定是否值得付出,因为,收益比对的是提供的价值。但是,双方一定要坚守诚信为本。为什么复杂呢?我们是在用“设计的周全”,换取“管理执行的简单与效能”,这就是价值。
企业中,员工对制度管理都很熟悉,但越熟悉的越难做好,每个人似乎都知道,似乎又很难说清。“做出决策的时间,与所讨论内容的难度成反比”,是帕金森第二定律。为什么社会上碰制度管理的咨询机构很少见?企业的制度管理也总是处于“惯性的自然成长状态”,因为,员工最熟悉自己的情况,最能接受直接考验,这就是现实。
03.合规清单需要创造性改造
就企业来讲,最头疼的就是三张清单,其中,尤以合规义务与风险清单的困惑最大。是什么原因呢?既然有共性的困惑与低效感,就说明设计有问题,回答这个问题,必须基于“客观性、合理性”。
所谓客观性,指的是合规管理的内涵包括外部、内部合规、承诺与道德合规,但企业面对的是庞大的外规内制,既希望理的全面,又希望更接近企业的管理现实,但客观上既理不全,也照顾不到外部与内部双收,如果向全面性推广,当下的清单模式就非常庞大,自己都觉得无法接受或实现。这种结果,不要谈合规管理。
如果大家不承认这是客观现实,就不用再花费时间继续看了,我讲的比较“辣眼睛”。
所谓合理性,指的是平时讲的、大家看到的违规问题,往往反映到“外部责任追究与处罚”,很多人讲的也是“合法、法治”,如果单纯讲起来、理解起来很合理,但当合规管理被导向“外部规则”时,企业各部门都认为我们管理的很好,不存在整理出的违法风险。所以,出现了“像那么回事儿,又不是那么会事儿”的问题。这种结果,不要谈实务。
出现这种情况有3个原因:一是人们对清单的第一认识,就是一张大表格,称为清单,是给别人看、查的字典;二是既然合规管理定义中包括了法律法规、监管政策、规章、制度、承诺等,那就全部列出来,别出现疏漏;三是怎么展开更符合逻辑,既然是风险清单,与风险管理有关,就顺着风险分类层层分解。
于是,一张复杂的、拖屏式的表单模版就被设计出来了。为什么我总说是“表象化”理解呢?你参考、他复制,几乎全是如此,似乎成了规律,很少有人再去思考其合理性了。
为什么不去思考一下清单的真实作用呢?为什么不能顺着企业管理的思维、逻辑做一个系统创意梳理呢?为什么不能从员工的角度理解他们最需要什么呢?对企业来讲,一套新事物的导入,既要满足外部制度要求,也需要有创新思维。想通了,就会发现新事物到了企业,很多事儿都需要绕个弯,因为,办法描述是单维的,企业是多维的。
现实是什么样子呢?员工连一份“长篇制度”都不愿意通读,甚至有的制度都读不懂,会有人看整理出来的“一行压一行、写的密密麻麻、字小的看都看不清、裁剪的不知说啥、包罗万象、到处是风险语言”的大表格?会看一个从一份规则中拆分出来越来越多的“断章取义”说法?
你愿意看吗?如果我是企业员工,最多用鼠标“横拖竖拉”地快速浏览一下,最多看看与自己相关的,再不会看第二遍。如果外部政策发生了变化,或者新增一个外部监管制度,谁来更新?谁承担责任?如果做工作连员工需求都理解不到,还是以客户为中心?做事儿要学会折衷。
员工最希望看到的是:哪份规则跟自己的工作有关,最相关的规定怎么做才对,无关的怎么放弃。思考一下,企业作为社会经济组织的一个个体,对待外部规则的态度,是不是一个道理呢?企业如此,员工这个期望,一点儿都不过分。
问题是,我们能不能给他们提供需要的答案,怎么给?用什么形式给?如果评估出合规风险怎么办,怎么化解风险?如何发挥合规义务与风险清单的作用?
其次,企业中的表单是做什么用的?一是记录单,二是流程单,三是任务责任单。记录单是用来备看、备查的,流程单是单独存在被应用走流程的,任务责任单是随着流程流转的。风险清单肯定不是流程单,若干个表单的组合,是不是也可以称为清单呢?换个角度,说不定有更好的答案。
再次,合规风险究竟源于规则,还是经营管理合规风险?当然是源自于规则了,没有规则,哪来的违规问题?最多是事故,但不能说是追求违法违规责任。如果是事故不能接受那不就意味着风险吗?那是“风险管控”的事情,是不是内控、合规、风控的逻辑关系就形成了?思考问题要有系统性,不能割裂,系统由方向、逻辑勾勒出轮廓、功能。
为什么很多人讨论合规风险起源呢?因为脑子中只剩下了孤立的“合规管理”,没有联系到其它职能,就好比合规管理忘掉了制度一样,忘掉了制度就意味着忘掉了已有的长期管理成果积累!在这么狭隘的认识基础上,还谈什么“几位一体”呢?谈什么协同呢?
想明白了,风险清单的模版、应用场景、可持续性就出来了,但绝不是流程单,也不应该是一张大表格。大表格是静态的,并不是“讲及时完善、优化就能实现”,要找到责任者,这才是可行性。我就不讲了,自己创新吧。
之所以清单从“风险类别”开始,出现了3个认知失误:一是僵化地认为是为了防风险,所以要找到“风险类型”;二是办法中有一句话,评估经营中的合规风险,所以认为从安全风险、财务风险等类别开始才合理;三是希望把所有风险一层层列出来才叫“清单”,才叫管理风险,天真的太可爱了。出现这种认识的原因是:还没有真正弄明白风险管理的机理。
很好解释,顺着我的思路走:做个假设,如果管理完善且完全有效,就不存在违规风险发生可能。如果在现有管理效果下,仍存在风险可能,说明管理有漏洞,而不是风险管理有漏洞,就需要通过管理的完善关闭风险。所以,放在企业内部,触发合规风险清单的来源是管理,而不是“风险本身”。
那么管理又通过什么表现出来呢?是不是合规风险的来源全部是“规则”呢?退一步讲,即使在运营中发现合规风险可能,是不是意味着规则有完善的必要性呢?那关闭风险需要做什么呢?想想企业实务,就能找到答案。实务不是通过方法讲出来,方法不代表实务,而是操作的体认与体感,需要把自己代入到场景中。
比如:高压容器操作合规风险的存在,是在安全生产管理范围内,而不是安全生产风险之下。这就是我总讲合规风险没有级次之分,只有可能性程度之别的原因。对应的是不同程度的措施,程度高用标准,刚性强、灵活空间小,提高衡量性;次之用过程控制,放大了自主空间,提高可评价性。合规风险解决措施,从来没有什么“贯彻、执行”之说,那是以规则为基础的“教化”成分,措施是“确定性”。
风险清单出现从“风险”开始的原因,被狭隘的风险管理认识迷惑了。这就是一边讲着“与业务融合”,一边又做着“把风险单独出来”的典型反映,缺少企业真实的管理实践经验。
可能还会有人说,来源写成“安全生产风险”或者“安全生产管理”,能有什么区别呢?仔细思考一下“风险落实责任”,能一样吗?
04.实现合规管理一致性下的差异化
社会法则、上级的政策、制度重要吗?不能说是重要性,而是权威性。权威性对谁讲的?对企业领导者、管理者,正是权威性高,所以才要管理。管理包括什么形式?法治、人治、教化。
什么是法治?企业是一个社会经济组织,执行的是哪项制度,是法规、是上级制度、还是自建制度必须明确,而不是把法规、政策、制度一股脑推向员工,这种做法叫“懒政”,而不是管理。
无论大企业、小企业、老企业、新企业,都有一个用以执行的“完整规则包”,有的是有形的、有的是无形的,有的体量大,有的就几份,需要抽象思维才能理解,只不过很多企业、专家没有搞明白而已。
什么叫人治?企业明确了执行哪份制度,可能是法规、可能是规章,或是哪份制度,觉得违规风险很高,管理者就盯着员工做的对不对,对员工行为进行人为干预,就叫人治。
人治的实质,是对人的控制。小企业不就如此吗,但大企业是这样吗?相比之下,合规管理工作的目的,是不是转变成了“释放灵活”,“人治”情况下,谈得上灵活吗?
什么叫教化?多讲价值观,多讲遵纪守法,多讲按章办事儿,提高员工思想意识,不就是教化吗。
但是,教化要建立在规则基础上,没有规则为基础的教化,要么是无用的口号,要么就变成了“人治”。
我总讲“法治、人治、教化”不存在好、坏之分,在企业中是同时存在的,区别在于因管理基础、风险程度不同,呈现出不同的比例程度,在合规管理中,都会反映出来。
无论是哪种业务工作,只要是管理,其有效性的前提是什么?要符合规律。从顶端讲,规律包括自然规律、社会规律,再往下细分,变成了逻辑、变成了事理、变成了规则。当规则被群体认知并共同遵从的时候,我们就可以理解为是一个范围内的适用“规律”。社会规律如此,企业组织规律也如此,潜规则也是一个道理,又是一个抽象思维。
从理论上讲,规律是客观的。现实中,虽然人认识到的规律不一定是真规律,但是,至少在没有被证伪、推翻之前,人仍然会认为是规律。所以,规律的打破,总是被少数先知、先觉者实现。
事实上,从企业实务角度看,有4个必须考虑的因素:一是不变性;二是自主性;三是方向性;四是程度性。
不变性指的是推动一项工作的外部因素,从合规管理角度,构成了“无法改变”。譬如:财务管理遵从的会计法,保密管理遵从的保密法,企业中质量管理体系建设参照的质量管理标准,合规管理遵从的合规管理办法等等。不变因素,是适用于范围内各个主体的常识,最具可复制性。
范围内的主体包括大的、小的、新的、旧的企业,面对不变的法则,企业会有基于方向、程度的自主选择,会表现出不同的结果。
譬如:小型企业、新组建企业会追求最低程度的合法经营,所以会把外部合规作为合规管理的重点,是其规律。
同行业、同业务性质的大型企业不一样。一方面他们面对同样不变的外部法则,当然也要遵从这一规律,构成了各种企业间的一致性。另一方面,相对小型企业来讲,已经形成比较完善的内部管理,由于经营规模体量大、员工多的特点,会特别重视内部管理,从而影响外部合规,这是大型企业开展合规管理的规律之一,也是相对小企业的差异性;其次,会通过风险管控活动,及时发现经营、管理中存在的合规漏洞,进一步规范管理,这是规律之二。所以,大型企业强调管理规范性。
其次对于新领域、新区域发生的新外部法则、或着旧的外部法则变化,会及时采取合规风险控制措施,无论什么样的企业,都一个样,这是规律,也是一致性。
把企业的合规管理有选择地导向“外部规则”的做法,本质是小型企业的合规管理做法。这种做法,适用于小型企业,如果“不加深化”地应用在大型企业,一定会发生“看着像那么回事儿,但又不是那么回事儿”的必然结果。现实是,很多企业的合规管理颗粒度都差不多。
为什么大型企业的反应这么大呢?跳跃了中间层的管理,有利于为企业提供服务的机构效率,因为这种方法的复制性非常强,面对的是“不变下的一致性”,但是,丧失了大型企业合规管理的有效性。这就是我对一些企业开展“合规有效性评价”的有效性有所质疑的原因。
合规有效性评价的方法,基于合规管理体系设计的系统思维,基于体系设计方法,是由设计决定的,而不是什么“方法”。
好了,挤着休息时间写了近8千字,把天锦咨询经过长期研究独创做法的机理、所遵从的原理、逻辑基本都公开了。在具体实务中,还需要界定原则,把一般概念转化为员工可理解的、清晰的定义标准,否则就失去了工作开展的“基点”,发生头小尾大的效应,因为后端的具体设计没那么简单。
要追求设计可行、执行有效,无论什么管理工作,都需要建立在符合规律、事理的翔实基础上,不被其它部门、员工理解、认同、应用的管理,谈不上有效。有效,不是评价出来的,而是被应用出来的。
“致信金融资讯”致力于尊重版权,部分信息来源于网络,由于一些原因未能找到原作者,转载是出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。如有涉及版权请及时与我们联系,我们会尽快与您协商解决!投稿邮箱:779898565@qq.com 微 信:13933885213。
