|
来 源 | 天锦咨询 作 者 | 郑永强 德鲁克曾经说过:无论多么优秀的个体都无法与优秀的体系抗衡。构建运作逻辑完整、清晰的合规管理体系,本质是用系统思维、方法去理解、解决问题,其产出及运作的结果,即表现为体系。 本文就合规管理管理体系进行解构,在符合“办法”义务条件下,就各结构的功能、作用与运作逻辑进行概要说明,其中不少内容结合“办法”、企业常见情况进行了适应性改造(适用于规模型企业,中小规模企业只可参考)。 建立合规管理体系,其目的并不在于体系本身,而在于其效能的追求。合规管理的目的:控制并化解潜在的重大合规风险,降低“合规风险事件”发生率或危害度。这是企业合规管理体系的最终目的。
联系外部因素,企业合规管理体系建设,还需要考虑司法系统就重大违规企业“合规有效计划”诉求的要求,以及国资委对企业合规管理体系的效果评价。这是合规管理体系设计,需要思考的兼顾性目标。 为实现合规管理目的,对其中心作用概括为3个方面:一是及时识别合规风险,建立预防措施;二是实施过程检查与监督,发现违规问题的苗头,及时采取措施,避免损失扩大;三是发生了重大违规事件,需要有事先设定的例行应对措施。 从合规管理体系建设本身,可以划分为“建设、运作、持续完善”三个阶段,其中持续完善阶段包括了运作、评价与改进过程,意味着合规管理进入正常运转状态。
我们把合规管理体系的边界界定为:企业在完善的制度管理基础上,为确保企业、员工遵从与执行外规内制,构建的集识别合规义务、评估合规风险,采取的预防、发现、控制合规风险趋势的措施,对发生的重大违规问题进行追责、处置相结合的运作系统。 企业建立合规管理体系,不能单从“合规”维度进行建设,而是一个以“知规、行规、合规”为主线的系统性工作,与“制度管理”的共通之处是“执行规则”。 规则包括外规、政策与企业的内部制度。合规管理体系建设的主线是“预防合规风险、依规处置违规主体”。从规则的角度分析,建立规则的目的,在于构建并维持秩序,本身具有预防风险的作用。预防合规风险的本质:遵从并执行制度,履行制度赋予的义务。因此,合规管理体系的核心作用,是保障外规内制得到贯彻、遵从与执行的手段。可见,如果企业的制度管理不完善,合规管理体系就会存在根基不牢的问题。 02.对合规管理体系进行功能解构 用系统思维构建企业合规管理体系,是一个结构化的过程。决策层、治理层、运作层、支撑层是通用的原理指导型结构,不能替代对“合规体系”功能结构的理解与策划。 对体系的解构,是基于“功能需求”为基准进行的分解。合规管理体系最基本的功能在于4个部分:识别合规义务、评估合规风险;建立预防合规风险的措施;采取发现、控制合规风险趋势的措施;建立对发生的例行违规问题、重大违规问题进行追责处置的机制。  P:体系建设方案,反映的是体系的整体设计思路,属于项目建设阶段的计划。年度计划是体系建设及牵引常规工作的具体策划,是对合规管理工作进行衡量的依据,贯穿于建设、运作的全过程,不同阶段具有不同的内容和工作重点。 D:(1)体系的运作需要配套的管理机制作为保障,由此构成了支持合规管理决策、治理的基本制度;支持以职能为导向的业务域合规管理具体制度;支持不同经营区域的专项制度。 (2)各职能机构依据定期计划、具体业务运作动态、外部规则的建立与变动等情况,识别合规义务、评估合规风险,提出企业的制度建设计划,将合规义务逐层分解至关键操作层,建立关键行为的操作基线标准,明确正确性、全面性内控责任,构建“预防合规风险的第一道防线”。显性产出包括3项:一是合规义务与风险行为清单;二是企业合规管理准则;三是部分“规范、准则、规则”类制度的完善。 (3)依据风险评估结果,对重要合规风险事项,设立基于关键岗位操作行为的直接责任、基层管理岗位的业务正确性核校责任、中层管理岗位内控责任的“管理”考核标准,依据日常考核规则,对未发生合规风险的日常行为结果问题,实施常规考核及阶段结果的利用,目的在于提高岗位履职能力,改善合规执行力,发挥的是“防控合规风险第二道防线”的作用。 (4)结合风险管理、内控审计、风险监测、举报与调查、专项监督等例行机制,建立合规管理协同机制,目的在于及时发现并将合规风险控制在问题苗头。 (5)在具备预防、及早发现合规问题的基础上,建立“合规风险发生后的应对机制”(在风险管理中,很多人对应对措施的理解并不准确,应对措施指的是风险发生之后采取的措施,而不是之前)。应对机制应包括3个场景:一是依据规则的例行重大合规风险的处置机制;二是例行的对重大合规风险涉及的企管干部处置、员工开除、辞退等事项的“升级化组织决定”机制;三是对新的、突发的重大合规风险,实施的特殊处置方式。 C、A及合规文化的内容,不再赘述。 用系统的方法,对定义的合规管理体系进行解构,明确各机构的基本功能,是理顺体系建设思路、逻辑、路线的前提,但在每个功能结构设计中,会衍生出不少新的问题和内容,绝非简单的认为“产出一套义务与行为风险表单”、建立几套“岗位合规手册”、编写或复制几份制度,太原理化、理想化了。 合规管理体系建设,遵循的是“全面理念、突出重点”的理念,选择哪些法律法规文件、导入哪些制度、依据什么政策作为输入,与企业从事的行业、企业的规模、所处的区域结构、竞争力的大小、企业的管理基础和水平、风险态度、制度基础、人员素质、外部相关要素等等,都有紧密的关系,要提出切实可行的方案,需要了解、洞察企业的现实。 企业合规管理体系的建设成效,取决于企业对合规管理的认识与态度,按照“办法”内容开展建设,完全能够形成一套“有形的产出”,但并不一定能够真实发挥效能。管理是刻意的追求,一套能够落地的管理体系是设计出来的,体系运作的执行力也是设计出来的,但绝不仅局限于“办法”中的内容,原因是“办法”的成立,是有假设条件的。
对合规义务进行分类,是找到共性合规义务,或排除部分与企业现实关联度不高、影响度不大的义务来源,从而降低合规义务识别、降低对应的合规保证行为基线梳理复杂度的方法。 针对识别的不同类型义务,进行风险程度评估,风险程度相对于合规义务的风险后果、企业的风险承受度,涉及外部影响程度与企业内部影响程度,与企业对风险的认识、态度有关。 风险程度仅仅代表了影响度,还需要结合企业现实,与相关业务的频率关联,建立频率-程度关系图,确定合规义务识别、与义务相关“关键操作行为”重点。 义务与行为清单,并非为了产出而产出,而是底线思维的体现,包括禁止行为、行为最低标准等等,要保证行为落地,需要建立必要的常规考核保障机制。 企业的合规管理委员会、董事会的合规管理职能,需要结合企业对合规管理体系的定位具体设计,在满足“办法”基本要求下,与企业的管理结构、风格有很大的关系。下图的合规体系结构示意图,是笔者基于运作效率,充分发挥“合规委员会”作用为前提,进行的结构化设计(该图的委员会定位为“具备常规功能的非常设组织”,目的是让它更接地气,有别于董事会合规管理委员会)。  企业开展合规管理体系建设,与企业制度管理紧密相关,制度与流程是维持企业运作秩序的依据和手段。合规管理体系不应成为“体系孤岛”,而应紧密联系企业的组织职能战略与管理模式,围绕企业的高质量发展目标进行系统策划、设计与建设。 合规管理也不能完全陷入过度的“管控”、“追责”、“处罚”误区,而应以 “正向引导”为主旋律,用积极的理念、正确的价值观为导向,采用必要的“逆向保障”措施,促进合规管理与企业整体管理、监督的协同。 合规管理应导入“底线思维”,定位为保障“底线不破、红线不碰”的手段,不应演变为追求建立事无巨细的“完全化行为标准” 清单,更不能衍生出“合规流程”,与正向的制度与流程产生冲突。 企业应以合规管理为契机,进行制度的梳理与完善,制度建设绝非无视企业的发展阶段、规模等现实,盲目追求“一刀切”式的完整,而与满足企业健康运维、外部监督需求,外规遵从、上位制度导入与执行、内建制度等紧密相关。 在企业中,制度、流程、内控、合规都是维持企业秩序的手段。对国有企业而言,制度的权威性、约束性、限制性的地位与作用,无可动摇。区别在于,哪个更有利于理解、更富指导性、更有利于执行,但最终衡量行为结果并做出决定的依据,仍然是制度。 |
|
|
