|
在风控、内控与合规领域,迄今为止,并没有一个完全一致,或者说能够得到大家完全认同的“最好”做法,因为三者均不属于“专业类”管理业务。
合规管理办法发布后,制度刚性的提升,是构建一个与企业现实相一致的“合规体系”?还是完全按照办法,构建一个所有企业“基本一致”的模式?各路专家各有说法,当然,完全按照办法去解读、去构建,是最少争议的一种做法,因为,“办法”是面向“所有企业”的共用制度。 企业是不同的,有规模庞大、组织层级复杂的集团公司,也有规模不大、结构单一的央企各级子企业,有同样需要最高决策机构审议决策的涉法业务提案,也有受不同政策监管限制的业务提案,还有企业自身的重大内部议案┉┉。具体采用什么好的方法,是一刀切,还是分类分策?能“简单”给出准确回答的,绝对堪称“大咖”。 笔者只是一个曾经历过,从专业到综合、从综合到逆向的具有执行保障性质类等不同类别职能,历经20余年企业不同管理岗位磨炼的实践者,实践者的最大特点,不会坐而论其道,不会不加区别地套用“理想化”方案,而会在理论指导下因地制宜地改造。 我能给出的回答是: 一是要履行“办法”赋予的义务,这叫“合规”; 二是找到最适合自己的途径与方法,在履行义务之下,皆可创新; 三是能证实“我做了”。最能落地、最有效的,就是最好的方法。 管理无好坏,组织无定式,能够达到预设的结果目的,就证明它是合理的。我们必须有勇气承认:一个完好无暇的体系产出,如果不能落地,除了证实“我做了”之外,一切等于“零”;相反,即使一个不是特别完美的体系产出,如果能够得到有效落地,它也具有极大的“价值”。最好的方式是,把风控、内控、合规转变成既有产出表现,可以应对万一“不靠谱”专家的检验,又能成为企业运作的常态,避免“两张皮”现象,做到润物细无声。 来源丨天锦咨询(ID:zhtjin8) 很多时候,风控、内控、合规管理,容易停留于一种“简单”的认识,即“我要建体系”,但“建体系”的目的是什么?反而容易忽略。在我看来,建体系的目的,不是体系本身,而是用体系化的管理方法,去落实风控、内控与合规。如果从实践的角度,我并不认为风控、内控、合规是一项“专业管理类”业务,而是一类“基于目的需要”,通过采取措施,提升执行力的逆向保障类工作。原因是,这类业务都需要其它部门去落实,去承担责任,归口管理部门自身,并没有适用于各类业务目标需求的“专业”方法。所以,应该做的,首先就是去掉“专业”伪装,去探索可落地的有效方法。对风控、内控、合规体系来讲,如何衡量体系的有效性?我认为,可以通过三点衡量:一是从“外部与内部”来讲,降低了“风险事件”发生率或危害度,以及潜在风险发生的概率;二是从“过程与结果”来讲,通过治理机制,让体系运作起来,用有效的过程,保证了结果产出;三是从“上与下”来讲,从政策义务角度,证实“我做了,而且还有效”。众所周知,理论只解决“是什么”的问题,强调的是思路和原则,具有一定的通用性,没有考虑企业的具体情况与特点。实践强调的是实战,需要根据企业具体情况,采取正确的方法,在理论指导下的摸索、变通、简化,甚至是创造,把理论转化为有效的方法或工具。这就是笔者一直反对“简单复制”、“标杆复制”的原因。在不同企业中,即使同样的“职能部门或专业管理”,在都能满足“外规义务”的情况下,内部管理也可能存在很大的不同。所以,企业之间才有了管理模式的差异;所以,企业之间才有了不同的结果。如果能够找到一种“万全的统一之策”,能够保证所有企业都立足于不败之地,那是最理想的,但有吗?很多时候,我们考虑一个问题,容易从“职能”角度,去寻找解决之道。譬如,合规管理办法出台后,不少企业一般会有3个动作:二是主管部门会研究如何建立合规管理体系,开展哪些工作;这种套路,本身没有问题,问题在于认识的“深度与广度”。譬如,风险管理有过、内控体系建设都有过类似的做法,但最终的结果,除了剩下“例行风险报告”、“例行内控评价报告”,还有一套长期静置于文件柜中的“资料标志”之外,还剩下什么?问题出在哪里?看系统的视角出了问题,没有界定好系统,没有认识到系统的外在关联因素、内部结构及关系,把视角完全局限于“指引”、“规范”、“办法”之内,去筹划、设计、要求、落实。我们以“合规管理”为例进行分析。合规管理的目的、意义、价值体现在哪里?这应该是企业中所有从事合规管理人员,最应首先考虑的问题。我归纳如下:目的:识别、控制并化解潜在的重大合规风险,降低“合规风险事件”发生率或危害度。(当然,如果从理论上,偏执地认为“能防范所有的合规风险”,也无从辩驳。)意义:保障企业健康发展,保障员工快乐工作、幸福生活。那合规管理的本质是什么?本质不是合规管理本身,而是合规管理的目的、意义和价值。至于办法中提到的“一官一委”、“清单”、“举报调查”、“1+m+n”制度等等,都是保证“本质”实现的措施。企业中,一套方案设计的是否客观,首先要把“消除权威影响”做为前提,然后再用“权威影响”、“人性”去衡量、完善。否则,一定是“万般一样”的模式,自然忘掉了“企业是实践体”这一现实。理解了合规的本质,才能找到合规管理的方法与工具的落地所在,合规管理才能“富有灵魂”,而不是“静态产出”。合规管理的理解,需要在“合”、“规”、“管”、“理”四个字上进行分析:合:不太好理解,简单理解为 —— 准确履行了规则赋予的合规义务,满足义务要求,即义务要求与行为结果的一致性;理:可以理解为,让企业、组织、员工“合规”的事理,简单理解为 —— 识规、行规、合规。管:可以理解为对“可能不按规则执行的人性”治理,构成了保障合规的“逆向”管理活动,涉及“合规内控”、 “合规执行检查”、“合规考核”、“违规举报与调查”、“责任追究”等措施。对合规管理的理解,构成了合规管理高阶流程的“识规、行规、合规、内控与监督”的主要阶段,流程的输入、贯穿其中的主线是“规”。回顾过去,是为了更好地分析与解决问题。历史上,每个大型企业,或多或少都出现过“违规事件或问题”,或被企业外部的司法机构、监管机构公开处理,或由企业内部处理,或出于企业人情原因而“事了”。从合规管理角度,对这些事件或问题进行原因分析,有利于找到合规管理建设的重点路线,我概括为7个方面的原因:一是有明确的规则限制,受个人主观意识支配的违规问题,属于个人问题,或者监管无效、失效或低效问题。如:近期不断曝出的“职权人物违法违纪”问题。二是不知道规则限制,由于未准确履行职责,“非主观”造成的“客观违规问题”,同样造成违规损失。如:看似合理的“恶意竞争”行为。三是按照内部制度执行,但由于内部制度不能承载外部规则的“合规义务”,触发了“外规”追责或处罚问题。属于“制度管理缺陷”导致风险发生的问题。类似例子有很多。四是知道有违规风险可能,但存有侥幸或没有认识到风险程度,出于“责任意识”铤而走险,造成违规问题。如:未完全取得施工许可,按自身计划启动的基建项目。五是由于岗位人员“人岗匹配”问题,岗位人员不能正确履行职责,造成违规问题。如:上市公司的董秘,没有掌握“上市公司的担保限制条件”,未履行政策内控责任,企业董事会批准担保的额度,超出比例限额,造成违规担保问题。六是由于管理存在缺陷,造成违规风险隐患。譬如,某企业部门设部长、副部长、总监等职位,总监被定义为“级别待遇职级”,不拥有资源调配权,但由于部长、副部长有岗无人的客观问题,总监在“习惯”、“未授权”情况下,长期超权限履行“审签”大额费用支出职责,构成了违规问题。本质也属于“制度缺失”或“未执行制度”的问题。七是长期游走于规则的灰色地带,突然被限制,但仍可能隐藏的延续违规问题。如:融资性贸易问题等。企业要解决以上问题,仅靠“办法”中的内容是不够的。前提在于要“解决企业的外规与内制的管理问题”,让企业员工具备“识规、行规”的基本条件,这是“办法”成立的假设条件。企业如果把“合规管理”定义为体系边界,制度管理就是合规管理系统的外部因素,需要通过治理加以规范,包括制度管理体系的边界界定、制度结构、制度生命周期管理等等。在我看来,合规管理体系界定,最好的方式是“把制度管理纳入合规管理体系”。原因有两点:一是“制度”是统称,本身包括外规与内制,当然也包括与企业相关的法律法规重点。现实中,法务审核不能仅停留于“符合相关法律、法规要求,拟同意”的层次上,需要告诉管理者符合“哪项、哪条内容”要求,失去制度管理基础的“合规官审核依据、审核重点、同意与否的标准”问题,需要思考。二是跨度大、参与者多、活动频率高的系统,最容易引起企业重视,最值得投入资源进行管理,最容易取得有效的成果,也最容易做到“润物细无声”。无论合规管理的边界如何界定,企业加强制度管理,都是合规管理必要的基础条件。那么如何理解并建立合规管理流程?我们参照办法内容进行设计。合规管理主流程是阶段化呈现,合规管理流程视图是各级流程的逻辑关系体现。譬如:涉及企业“三重一大”决策内容中,并不是所有决策事项都涉及“合规的专业审核”,也包括“业务的专业审核”,比如:上市规则合规性审核,权威的审核应该是董事会秘书,涉及董秘审核内容的“合规义务与行为清单”、“审核标准”等等;合规官审核的决策流程,包括哪些内容、审核依据、审核标准等,都需要结合流程分类加以规范,其实,这也属于“内控建设”的内容。需要说明的是,企业的流程管理,不会为“合规官审核”、“董秘政策审核”建立“单岗位作业流程”,而是贯穿于“三重一大”范围内,基于不同分类的决策流程中,是“内控优化”的问题。图中展示的岗位职责限制清单,指的是一个普遍性问题,譬如:企业中经常见到的“组织与岗位管理手册”中,对组织与岗位的职责进行了描述,但在很多企业中,并没有涉及重要岗位的限制性内容,容易出现岗位履职不准确的风险。限制内容必然涉及重要岗位“定位、责任、权限、合规义务”的差异内容,共性的可以通过“行为准则”正向规范。当然,这种做法,可能会带来部分人员依据“办法”中的“岗位合规手册”进行辩驳。手册不同于清单,可以说,迄今为止,也没有哪个大型企业建立了“适用于各岗位的合规清单”。管住关键,辐射全部,与岗位职责“存量+增量”浑然一体,才是个中道理,才能做到“润物细无声”。同样,办法中涉及到的合规管理制度建设内容,也需要统筹考虑,最好的方法,是结合流程进行“合规管理领域制度架构规划”,避免制度的“冗长”、“衔接”、“低效”问题,可以按照企业的制度管理规则,进行合规管理制度的结构化设计,形成一个“合规域内结构化制度子系统”。总之,在合规管理建设中,识别合规义务与要求,确定与合规义务要求紧密相关的行为基线,属于支撑合规管理系统的基本条件,但不足以构成合规管理机制。至于岗位合规清单,需要结合体系结构进行具体分析,找到最合理、最有效的方式。无论如何划分合规管理的结构关系,都需要清晰地认识到3点:一是合规管理建设,要避免陷入“理想化”、“全面化”理论状态,是否在具体环节,花费精力开展详细设计,需要对照“规则”,结合“合规义务风险评估”的结果确定。二是要处理好企业的运作效率与合规管理的背反关系问题,建立在合规基础上的效率是有效的,但枉顾效率不计风险程度的过度管控,也不可取;三是要处理好“正向管理”,与“逆向”保障外规、内制遵从与执行的“合规管理”之间的关系,只有建立成熟、完善的正向管理,才能提高合规管理的效率,降低合规管理体系建设与运作的难度。同样,企业的风险管理、内控管理,也具有一致的实践机理。
作者:郑永强 转自公众号:天锦咨询(ID:zhtjin8) 文章来源网络,除我们确实无法确认作者外,我们都会注明作者和来源。如果您认为我们有问题,请告知我们,我们会立即修改或删除。谢谢!
|
