很多时候,人们更愿意在较短的时间内,去完成一项期望的工作、制定一套制度,然后冠以“管理体系”之名,沉浸于一时完成任务的成就之中,却不愿意深究管理体系的真正含义。
这种情况下的产出,基本就是全寿命周期的最终结果。也就是说,在产出形成之时,也意味着基本走到了终点,剩下的就是定期开展的形式化例行工作,譬如定期提交一份评价报告、定期开展一次培训等等。为什么说是形式化?因为,这种方式,不支持体系的可持续运转。
正如当下不少企业开展合规管理体系建设一样,结合一些系统性法律法规的研究或理解,写出一套放之四海而皆准,与企业业务、产品、管理没有丝毫关系的通用风险清单,发布一项合规管理制度、诚信与合规行为准则,就认为完成了合规管理体系建设。
如果这样也能发挥防范合规风险的作用,一些著名央企国企,也不至于陷入高管违背社会公德而遭受网络谴责,或领导者无意识造成重大违规问题而被请去喝茶的窘境了。
一套真正的合规管理体系,具备可视化、可理解化的条件,具备运作的一致性、有效性、可持续性,是富有生命力的。通过一套制度、一份体系管理手册、一套流程、一套表单、一套标准、一套数据清单,建立彼此之间的匹配,实现可视化。
处于体系顶层的制度,对依据、目的、定义、原则、适用范围,组织与职责、体系工作的功能结构及内容,进行了“法理”界定,从而固化为方向、责任、权限、事项构成。这是企业构建体系的“内部法理”基础。
体系内部,还会细分为一些工作或任务。有的工作,也需要建立“管理的法理基础”,才具备做事儿的条件。正如合规管理体系中的违规举报、举报评估、违规线索调查一样,也需要通过制度,构建“法理性”规定,譬如,对举报人的保护政策等等,然后才能谈到“做事儿”。
体系运作过程中,会伴随流程产生大量的数据,有些数据需要作为“管理痕迹”、“证据”加以保存;有些数据,就是体系运作的“产出结果”。通过“制度”规范下来,譬如格式、编码规则、集中管理责任、修订条件、数据变动内控、版本等等。
正如合规风险与行为清单、合规培训报名与实际参训记录等信息数据一样,是将来验证体系有效性、可持续运转的依据。
在规则完成之后,就具备将管理体系“可视化”的基础。可视化,是保障体系运作一致性、有效性、可持续的必要条件。
在通过流程管理实现可视化之前,应该考虑到,要让所有执行者全面理解流程,并按照流程做事儿,需要正确理解主管部门体系建设的理念、思路、管理逻辑模型、合规风险规划等等,统一彼此之间的“沟通语言”。否则,很容易出现理解上南辕北辙的不确定性。如何保持一致性?合规管理体系手册,解决的就是这一问题。
反映体系的流程,是系统性的,以达到体系管理的目的。流程是给别人看的,是给别人做事儿用的。譬如搜集外规、进行风险评估、开展违规调查等等。所以,反映体系的流程,不是割裂的流程片段,而是由一个整体,通过分类、分级体现出来,需要掌握“流程管理”的技能。
合规管理程序手册,就是体系可视化的结果。其中包括流程节点需要的表单、某些工作的参照标准等等。
譬如:对外部规则合规要求、违规惩处程度的认识,对企业内部现有规则承载合规义务能力的认识,构成了外部规则合规要求识别、内部规则管理保障之间的关联。通过表单反映出来,形成了启动合规风险评估流程的“状态条件”。
处于同样行业,开展同样业务的不同企业,由于处于不同的发展阶段、企业规模不同、管理基础存在差异等,决定了同样一份法律法规、政策的合规要求,对两个企业而言,可能表现为不同的“合规风险程度、可能性”。甚至,一个企业视同为重大合规风险,而另一个企业,完全可以漠视的不同结果。
合规风险怎么能“单从法律法规、政策”一维“风险因子”进行评估?风险评估,一定是基于“两层多维”进行的分析、评价。两层,指的是风险因子、结果状态两个层面;多维,指的是外部法律法规、监管政策等合规要求与控制措施,以及内部管理的能力基础。
两层多维风险评估,自然离不了评估标准,否则“可能性”都会完全一样,而失去风险评估的意义。这就是企业合规管理体系中,给其它部门提供使用的“合规风险评估参照标准”。
这个标准,与企业现实的管理基础相结合。没有这么个标准,岂不成了“公说公有理、婆说婆有道”了吗?总不能只要求其它部门“开展风险评估”,却不告诉“怎么评估”吧!通用的风险清单,就是这样产生的。
正是有了这个过程,合规风险,才能与企业产品、业务、管理等事项结合起来,形成“可理解、可落实的合规风险与行为清单”。
最后,简单谈一下如何让体系“有效、可持续运转”。上述内容,仅可以满足“当下状态下”的一致性要求。要让合规管理体系持续有效,需要做好“合规风险规划”。
怎么理解 “风险规划”?需要摒弃传统的“五年、三年规划”之说,风险是动态的,风险管理规划必然是动态的过程。至少,需要在较短的“一定定期”范围内,进行周期性认识、规划,譬如:一年期。
风险规划的本质,是结合企业外部环境、内部合规环境,进行的“合规风险管理重点的规划”。
企业是发展的,通过新业务拓展、并购、区域性扩张、“走出去”等表现出来。外部法律法规、政策是变动、增加、不确定的,动态搜集外部规则,及时掌握变动的、新增的合规要求等,构成了企业的“合规风险增量”,通过合规风险规划表现出来。这一点,本质类同企业的“客户需求管理”。
虽然,构建了合规管理体系的可视化流程,理论上具备了“有增量、有评估、有控制”的逻辑,但风险管理讲究的是不确定性,不能单纯地认为各部门、员工会主动执行合规管理流程。
风险规划不动,合规风险管理没有覆盖“增量”,责任在“合规管理部门”;风险规划进行了调整,合规风险管理没有向广度、深度扩展,责任在“执行部门”。
同时,合规风险规划的施行,也构成了合规管理部门“合规检查、绩效管理与评价”的部分内容,是牵动合规管理体系闭环、一致、有效、可持续运转的先导条件。
管理,不能孤立地强调逆逻辑的控制;引导,才是让工作取得成效的正逻辑。合规管理,也不例外。讲我所做,做我所讲,追求实效,是我们坚守的服务原则。
本文综合了合规管理、运营管理体系、制度管理、流程管理等方法论。
