合规是现代企业日常业务活动中不可或缺的一部分。简言之,合规意味着按照法律法规行事。合规体系建设的目标是确保企业的所有员工开展工作时,始终符合适用的法律、法规、与第三方的协议、自愿承诺和企业的价值观,并如具有约束力一样遵循诚信的道德守则。然而,一提到“合规”,仍有一些企业将遵纪守法,日常法务审查和论证当作是合规工作。加之前几年要求的企业内控、风险管理建设,让企业管理层无比困扰。是否国家要求了合规建设,原有的内控体系、风险管理体系就被取而代之?亦或需要不断加码工作,运行多套管理体系?
2021年11月,国务院国资委印发《关于进一步深化法治央企建设的意见》的通知,将健全合规管理体系作为法治央企五大重点体系之一,又一次让“法律、合规、内控、风险管理”之间的关系成为焦点。相较2015年国资委印发《关于全面推进法治央企建设的意见》中提出的“探索建立法律、合规、风险、内控一体化管理平台”,本次《关于进一步深化法治央企建设的意见》将此调整为“探索构建法律、合规、内控、风险管理协同运作机制”。
从“四位一体化”到“协同运作机制”,这不仅仅是概念上的调整,而是对于合规管理体系与与其他体系之间关系的重新认识。
一、“一体化”与“协同运作”的异同
“一体化管理”是指通过对不同体系的类似管理过程进行整合优化以及相互的补充完善,最终融为一体给企业管理带来积极成效,提高管理效率。“协同运作”就是指两个或者两个以上的不同部分或个体,在组织统一的指挥下,为完成某一共同目标,在各自相对独立的信息系统实施的协调配合过程。
(一)“四位一体化”的动因
现代企业不可避免地要应对越来越多的不确定性,如何应对风险已经成为独立的企业管理领域。而合规、内控、风险管理都是以风险管理为导向的。按照COSO的定义,内控体系建设是以风险管理为导向。2019年《关于加强中央企业内部控制体系建设与监督工作的实施意见》明确“建立健全以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效的内控体系。”而当以法律为基础的合规管理体系成为最为关注的领域时,法律或法务工作本身也被纳入到风险控制的领域之中。
(二)“四位一体化”建设困境
从本质而言,企业的管理都是可以进行整合和一体化建设的,这也是2015年法治央企建设中将“四位一体化”建设作为目标的动因。然而,经过多年的实践,我们不得不承认:“法律、合规、内控、风险管理”之间仍然存在的差异性。导致了一体化建设目标难以一蹴而就。
“一体化”本身具有一定的模糊性,是将几个管理体系合并为一个体系,还是其中一个体系居于主导,从而包含或链接其余几个体系?一体化更强调整合,希望各管理体系能够集成、融合,最终形成行动上的聚合效应。然而由于“内控是实现合规的重要手段”,“风险管理既是目标,又是包含过于广泛的概念”,法务工作仍然需要与合规工作进行区分辨明,这样的背景下,导致当下的“一体化”建设很难统一。
首先,在组织架构层面。实践中的法务、合规、内控、风控等部门设置呈现不同形式。一些企业分设法务部、合规部、风险管理部、内控部等部门,有一些企业审计、监察职能也参杂其中,另有一些企业内控、合规成为风险管理部门下属的一个子部门等。不同的企业对执行合规、内控、风险管理工作的认识不同,资源配置也不同。
其次,在工作内容层面。合规、内控、风险管理,包括法律管理,有不少的工作内容和工作程序是重合的。但是,在具体进行工作拆解和职责分工时,合规、内控与风险管理的风险评估工作又不完全相同。
当着力整合各个管理体系一体化时,我们发现除了共同的目标与一些要素以外,各个管理体系的差异性也是非常明显。于是促使需要重新思考四项管理体系的关系构建。
(三)承认差异性的“协同运作机制”
合规、内控与风险,同属企业风险管理工作的某些部分,有不同的来源、不同的要求、不同的指向。央企合规建设从“一体化”到“协同运作”,是一种理性回归,承认管理体系差异性的务实做法。“协同运作机制”的提出,是承认法律、合规、内控、风险管理之间存在差异性的基础上,归纳和总结其运行架构、管理体系的内核、建设方法论上的共通之处,实现更好的衔接和匹配。
“一体化”不是简单的各体系的有形“联合”,更加强调信息的粘合作用,实现个性优势与系统效能的完美结合。这样的理想并不契合国有企业现行管理发展阶段,因此《关于进一步深化法治央企建设的意见》更务实提出“协同运作机制”,协同运作在承认现行管理体系差异化的基础上,通过在管理力量上的联合,行动上的聚合,以图避免相互掣肘、重复投入。实现四者能够为共同风险管理目标服务,发挥合力。
当我们短期内无法科学统一认识,而法务部门、合规部门、审计部门、风险管理部门、内控部门等处在彼此平等的组织关系,很难从管理体系和管理要素上真正融合为一个整体。因此迫切需要“协同运作机制”作为当下的适应性发展策略,以便相互之间得到协调的进一步发展。
二、合规管理及相关体系发展路径与“四位一体化”的模式解析
随着国企改革深化,市场化竞争环境及“走出去”战略之下,促使国有企业必须进一步提升自身的管理能力。于是落实依法治企理念,构建符合企业实际的风险管理体系逐渐成为管理要求。在此过程,风险管理、总法律顾问、内控、合规等概念相继提出。从发展路径上,我们大体可以将这些管理体系发展分为四个阶段:
(一)孤立发展阶段
对央、国企来说,早在2006年国务院国资委和发展委就颁发了《中央企业全面风险管理指引》;在内部控制方面,权威文件是2008年颁发的《企业内部控制基本规范》;在合规管理方面,标志性文件是2018年颁发的《中央企业合规管理指引(试行)》。可以看到这些文件出台的时间和背景各不相同,不同监管机构为解决不同问题给企业风控带来不同的视角。企业为符合这些不尽一致的要求,分别进行了大量的人力和财力资源的投入,但取得的最终效果往往一般。
该阶段,各个管理体系各成一派,相互间缺少联系,属于低层次的均衡发展。不同管理体系的核心部门坚持自身负责的管理体系中心地位,与其他板块除必要的信息交换联系外,基本上无跨部门、跨领域的合作联系。我们在一些财务管理居于强势地位的国有企业可以看到有趣的现象,目前仍然坚持由会计师事务所为主导的内控为实质内核的合规管理体系建设。
从当下看,合规管理作为最晚提出的概念,一经提出就得到了全社会各领域、各部门、各层级的积极响应,合规管理已经成为与业务管理、财务管理并驾齐驱的企业三大管理体系之一。然而基于认知差异或部门利益,仍有不少企业和学术研究将内控、风险管理架设在合规管理之上,停留在各个管理体系孤立发展阶段的国企仍然大量存在。
(二)中心极化阶段
在统一合规管理体系与其他体系的“关系定位”时,一些国有企业的某项管理体系在业务活动中起到实质作用,在企业内部的中心作用明显,带动企业管理资源倾斜集聚,各个管理体系均衡状态被打破,进入极化发展阶段。虽然合规管理体系从理论上应当处于核心地位,然而提出较晚,一些国有企业在此前的内控建设和风险管理建设中已经受益,甚至相关的管理体系为满足企业业务发展需要,正在不断延伸,与其他管理体系开始出现松散的协同发展机制。当再进行合规管理体系建设时,很自然依托已经具有中心极化地位的管理体系衍生出合规管理子系统。
这种一个管理体系处于中心极化,链接其他管理体系的发展阶段也是大量存在的现状。我们在为这类中心极化阶段国企提供合规管理体系建设法律服务时,需要阶段性考虑将合规管理体系嵌入大内控体系或大风险管理体系。
(三)强中心与次中心共生阶段
随着合规管理体系在更多国企内部落地,因其链接外部法律法规变化,内接业务操作指引,必然会演变为“次级增长极”迅速壮大。此时与原有的中心极化的管理体系将形成强中心与次中心共生发展阶段。
该阶段企业为避免不同中心管理体系的冲突,同时为了减少重复管理要求给各个部门、业务条线带来的工作压力,必然会寻求不同的管理体系的部门之间的协同运作机制。不同管理体系从工作计划、信息共享、人力资源调配、分工和衔接等方面开展全方位的要素合作。随着发展积累,在企业管理层力量的推动下,不同管理体系在资源共享、协同运作方面的合作将有一定突破。
不同管理体系达到协同运作的新阶段,实现网格化协调联动,进一步满足对于企业业务管控的“常态化、全覆盖、全周期、动态化”。该阶段不再突出哪一种管理体系的中心极化地位,更关注不同管理体系的专业支撑价值,实现真正的高度协同发展关系。
三、“协同运作机制”模式探讨
当我们将法律、合规、内控、风险管理几个管理体系的要求,从理想主义的“一体化建设”调整为务实的“协同运作机制”时,也必须明白协同运作同样分为低层次的松散协同与高层次的密切协同。不同的协同运作机制选择,必须适应企业管理现状,简单照抄照搬其他企业经验,无法起到应有的管理效果。
(一)“协同运作机制”模式的出发点
当我们探索法治框架的四项管理体系的“协同运作机制”时,必然涉及对于共同基础的探索,这些共同基础构成了协同运作机制的出发点。
1.以风险管理为目标
法律、合规、内控、风险管理等体系协同运作的基础,是四者均与风险相关,虽然在对企业的风险管理的范围、方式、路径上存在一些差异,四项体系在最终目标上十分一致,保证企业依法经营,进而促进企业实现可持续性发展。探寻法律、合规、内控、风险管理的最大公约数和最小公倍数,剔除了职责交叉、重叠的冗余工作,提升管理效率。往往优秀的企业都会把风险管理作为渗透到企业全流程、全过程的管理工具。只有如此,才能在复杂多变的市场环境中为缔造长期可持续发展的企业打下扎实的基础。
2.弥合的业务流程为导向
法律、合规、内控、风险管理等体系,均为管理体系。除法律直接支撑具体业务外,其余的都是从风险角度帮助业务顺利开展。从流程上看这四项管理体系的流程都包括了风险管理的几个阶段:风险识别、风险评估、风险应对、风险检测和预警、信息沟通等几个工作模块。不管是说“规范业务”“嵌入业务”,还是“监督业务”,其管理功能的实现不能脱离企业业务发展的战略需求。
3.构建组织架构的链接
法律、合规、内控、风险管理等体系无法实现一体化的一个重要原因,是大部分的国有企业在发展法治框架的四项管理体系过程中,已经构建了不同的主导部门。而探索“协同运作机制”,也需要促进“平等”式组织关系向“融合”式组织关系转变。因此,必须找到组织架构上的链接作为出发点。合规、内控、风险管理在组织架构上都可在董事会下设相应委员会,在董事会层面找到承担共同责任的委员会是很好的出发点选择。
(二)“协同运作机制”模式的协同点
协同运作总体思路基于法治框架的四项管理体系协同运作模式,以体制协同为前提,以体系协同为基础,以机制协同为主线,以工作内容协同为重点。鉴于四项管理体系在较长一段时间仍然无法找到恰当模式予以融合,运作机制具有开放性、动态性和自组织性成为必然。聚焦关键事项实现“一岗式审查”,聚焦管理效果实现“一站式评价”,培育协同文化的过程,营造共享、共赢、包容的文化氛围,寻求尽可能的协同点成为构建协同运作机制的核心。
1.体制协同
四项管理体系构建协同关系,首要解决的就是定位问题。依法治企是法治央企建设的基本方略;“防风险”是董事会职责之一,董事会对合规、风险、内控管理的有效性负有最终责任。各管理体系通过制度建设以文件形式为企业全体成员共享显性知识部分,然而隐性知识往往分散于各管理核心部门。在协同运作机制中,需要通过体制协调打破这种信息不均衡状态,让协同能够达到心智与能力高度统一。
2.体系协同
为实现四项管理体系的协同,必然要求“平等”管理部门实现开放性,在管理理念、机构设置、职责划分、方法工具、人员配置等管理要素方面建立起协同关系。然而开放性意味着耗散结构,原有管理体系必然不断从外界获得负熵。这需要从体系协同入手,避免已有良性管理体系被打破。在相关工作开展过程中能够实现“五同时”,即同计划、同部署、同实施、同检查、同考核。可将法律与合规先行归属一个部门管理,风险与内控先行归属一个部门管理。在计划、实施、检查、整改、信息共享、独立报告、能力培训、考核评价八个方面开展体系协同。
3.机制协同
四项管理体系在协同过程中,通过相互依存和相互影响的作用机制必然向网络化演变,在该网络中会产生要素总体功能将整体倍增。这种非线性相互作用需要机制协同予以控制。把属性类同、高度关联的工作事项一次完成,最大限度的避免工作重复、交叉。通过合规评价、内控评价和风险评估监督检查业务过程风险控制情况,在工作事项、规则、程序、标准、评价等方面建立有机联系和高效运转的工作方式。通过知识的碰撞、渗透和融合又反作用于目标体系和环境要素,推动相互向更高级的有序结构进化。
4.工作内容协同。
四项管理体系的协同运作,必然要求在具体工作中实现职责明确、相互配合,工作有序开展。面向企业业务快速发展,不断调整,协同过程必须避免出现随机性、动态性和阶段性。而应当有相应机制保障对于问题的高效响应,达到节约信息传递与沟通成本,提高工作效率和质量的效果。
(三)“协同运作机制”的探索心智
最后,《关于进一步深化法治央企建设的意见》强调的是“探索构建法律、合规、内控、风险管理协同运作机制”。这种探索是需要通过文化建设,在企业内部形成一种长期的集体心智。保持思维活跃性,勇于对已有协同提出质疑,哪怕这种协同产生了积极意义,并以此为契机推动更深层次和更广范围的协同模式建立。同时,开放心态,与其他企业保持协同方法的交流分享,不断探索法治框架下各管理体系的协同发展。
虽然文件体现的是法治央企建设要求,其实质对于各级国企开展合规管理体系建设都是一种有益的启迪。