从底层认识企业制度与流程、内控、合规的关系
这几天连续4个企业就制度管理事宜进行沟通,很高兴他们终于意识到内控、合规与制度管理之间的关系,意识到制度管理对企业运作的重要支持作用,没有完善的制度为基础,内控、合规就会缺乏基础条件。借此文一并探讨。
一、制度与流程的关系与优缺点
制度与流程都是支持企业运营的规则,以不同的形式表现出来,是企业特别是大型国有企业实现规范管理、高效运营不可缺失的要素。制度与流程除表现形式不同之外,还有以下特点:1.制度更具有权威性,是外部、内部审计或其他监督,度量企业合规运营有效性的标尺。对企业来讲,不同属性定位的制度,决定了制度指导、约束、限制等控制强度的不同。也正是这些特点的存在,很容易造成制度客体在适用性认识上出现不一致,发生不合规风险。2.对大型国企来讲,没有流程形式的规则,可能影响运营效率、成本等,但如果没有制度,是万万不行的。原因是国企资产所有者并非企业,企业是国有资产的委托经营者和使用者,必须接受来自于外部不同方面的检查、监督。所以,我国国有企业的制度,一直占据规则的主导地位,且数量很多。何况,即使是一个大型民营企业,即使流程是规则的主要形式,也离不开制度,流程很重要,但并不能解决企业中的一切,理想分布应该是,二者相辅相成、协调匹配共存。3.无论是制度,还是流程,都有其固有的优劣点:(1)通常情况下,他们都会有文本存在,都需要员工掌握,这是管理期望。但客观上员工能够完全掌握与自己相关的规则已属不易。其次,制度往往以文字、附件表单或简易流程形式展现,且不论制度水平的高低,很容易出现不同人不同理解的问题;制度一定是管人的,但并不意味着所有制度文本中不涉及流程,一份制度可以对应多流程或者不对应流程,只不过是文字描述出来的。
(2)强化流程管理是企业规范运营的趋势,具有很多优点,是企业实现一致性、精细化管理的途径,但也并非没有缺点。流程强调战略承载性、系统性,所以,“企业级端到端流程系统”(指多层的一体)非常重要,需要系统型人员与不同场景下各分支流程的参与角色人员配合完成,需要长期坚持不懈。不要认为流程文件可以减少规则数量、体量。由于流程承载相关的各种要素,需要通过流程作业说明书体现,更增加了遵从的难度。所以,流程梳理、优化的终极目的是通过IT固化,企业级端到端流程的系统化,有利于提高IT的数字化程度。在这一点上,制度的劣势就会表露无遗。(3)为什么流程管理很重要?由于流程管理的系统性,可以极大提高企业IT的跨度,避免IT孤岛现象发生,员工通过IT操作,可以极大降低不合规风险概率。这时候,企业中存在的大量制度,就显得不那么重要了,最大的作用,就会转变成“应对外部监督”的依据,以及企业用以管理员工的“内部法理依据”。
二、制度与内控的关系
由于篇幅所限,我们不谈流程,专谈制度。我曾在一篇小文中,从全面风险管理体系建设的维度,将其描述为“构建两层能力”,其中第一层能力就是构建规则(指制度与流程,下专指制度)。由于制度包括了两层含义:一是制度拟定者按照“期望目标”进行的运筹逻辑设计;二是对运筹路线进行的潜在的“不确定性识别、评估与控制效果模拟”,所以才出现了“时间限制、要求、奖惩、审核、审批┉┉”等条件、要求与控制。内控建设,就是企业全面风险管理体系建设的“第一层风险控制能力”,第一层的风险是“可控风险”,取决于制度设计的合理性和设计者的认知水平。所以,我总讲,规则具有预防风险的功能。很多人一直纠结于风险管理中的“控制、管控、防范、化解”等说辞的区别,是因为没有认清全面风险管理的底层逻辑。第一层预防风险的能力,指的是“控制”,而第二层动态显性的风险管理,目的是“防范、化解”风险,统称“管控”。不要认为“企业内控”是统一的标准。内控的设置,在“遵从外规要求”的情况下,更多体现的是“企业自身管理的方法与期望”。所以,内控的有效性更多体现于“内控评价”,以不断完善内控。只有当内控很成熟时,才具备“内控审计”的条件,当然可以反馈到内控的优化。
所以,即使会计师事务所执行的、对上市公司财报内控的审计,也跳不出3项基本内容:一是评价企业制度设计“是否具备保证财报真实的能力”,是否按照上市公司财报公告的要求,对财报公告前的审批程序进行明确,特别是审核、审批者“明确的责任权限”。二是结合财报中的数据,通过对业务运作过程是否执行了制度要求进行验证,只有当制度设计确定有效的情况下,具备了“审计”属性。三是对财报中不同指标之间的勾稽关系进行分析,找到风险可疑点,查找原因,再反馈到内控有效性上。最后出具内控评价报告。既然制度具备了内控的作用,为什么还要“内控流程化”呢?完善的制度,本质已经形成了内控。但制度本身有固有缺陷,受文本所限,很少能将内控活动描述到“控制内容”的颗粒度。所以,企业内控评价中,经常出现领导、管理者或有关部门“有签字,却不知道为什么签,讲不出签字的目的是什么”的问题,或者经常遇到这样的回答:制度规定让签字。这就叫“有控制,但无效或低效”。为解决这一“设计缺陷”问题,所以要“内控流程化”。这就带来一种结果,在梳理流程中,对内控活动的描述问题。梳理流程、建立内控的主要目的有3个:一是流程要准确,符合现实,流程不落地,内控必然“飞”。
二是内控活动的描述,能够弥补制度中“颗粒度”过粗的缺陷,将内控活动建设到“规范化、可操作化”的程度,衡量的标准是:让提案发起者“知道怎么做,才能满足内控责任部门的要求”,所以,有些内控需要设计表单以实现前置。三是为IT化做准备,只有规范化的控制活动,才具备“内控模型化”即“数字孪生”的基础,也就具备了通过IT实现“数字化控制”的条件。
三、制度与合规的关系
管理,总是要面对主要矛盾的两端进行平衡。合规的对立面是不合规,不合规程度过大,就发生了“违规”,理想的状态是控制住“不合规”,自然就极大降低了“违规”风险可能。合规的核心在于“规”,规指的是规则,这里的规则,很少涉及到流程,流程是企业“内化”的规则,前提当然也是合法合规。从合规管理角度,企业合规确实存在“外部合规”与“内部合规”两层含义。如果从直观理解上,外部合规风险高于内部合规风险的容忍度,正是这种直观认识,再加上“某兴”被美国处罚这一导火索和人们的感触,很多人把合规管理的工作重点,自然而然地转移到“外部合规”。认识上没问题,但企业的管理,从流程上不是这样做的,而且,以目前大多的“外规拆解法”,从根本上解决不了问题。那有没有一举两得,既能做到外部合规又能做到内部合规呢?合规中的规则,包括企业外部的法律法规、规章、制度,以及限制型的政策文件,企业经营所在地在哪,有哪些外部规则的适用性?搜集这些外规,决定了合规管理的输入条件。但必须弄清两个问题:一是适用的规则并不一定必须用;二是企业任何体系的建设,不是体系本身,而是体系的可持续运作。这些外部规则的搜集责任由谁负责?只能是各个部门(需要区分开第三方服务与体系持续运作的区别)。
譬如《劳动法》,与劳动法有关的部门有三个:人力资源、工会、法务部门,但法务部门是由于专业需要而搜集,不承担搜集责任。所以,责任部门是人力资源部、工会。再比如:国资委2023年4月19日下发的《中央企业财务决算审核发现问题整改和责任追究工作规定》,责任部门是财务部门、审计部门,绝不是法务部门。那怎么让体系持续运作呢?首先要让这些部门主动承担起“搜集外规”的责任,这个很简单。外规有很多,比如:仅人力资源部门就涉及劳动法、领导干部公务接待、差旅标准等等。那是不是这些部门搜集到这些外部规则,就开始“分拆”合规义务项呢?您觉得可能吗?首先,这些部门一定是通过学习,掌握与企业相关、与部门职责相关的“主要内容”。其次,这些部门一定会衡量“违规程度”及内部现有管控能力是否满足“外规要求”。如果满足,人力资源部门绝不会“每天桌子上放着《劳动法》”,用劳动法来做人力资源管理,这就是一个“合规风险评估”的过程,评估的结果,决定“外规的选择程度”,制度、合规都是一个“主动”遵从的概念。所以,合规管理一定是“先有规,然后再评估风险”。当然这是一个大的概念,那就看一看财务部门如何处理国资委的“上位制度”的流程。
第一,他也会有一个风险评估过程,如果认为本部门现有的管理能力,能够满足《中央企业财务决算审核发现问题整改和责任追究工作规定》,那么这个“规定”就不会成为其管理依据,但一定会分发给下属单位,明确要求下属各单位必须“做好哪些工作”。因为这个企业满足,但并不意味着下属单位能够满足,必须“让大家知”。第二,如果发现该“规定”是新的要求,分发与明确要求是必然的,但财务部门一定“先把该制度”作为必须执行的“内部制度”进行管理,实施过程控制,或一直坚持下去(包括来自于外部的,明确为“遵照执行”的规则,企业无需再建,直接应用即可,但需要有适用记录),或内建制度,建立满足该上位制度要求的“自建制度”,细化过程及控制,形成“违规风险隔离墙”。第三,进入合规管理阶段,将合规义务分拆,转化为合规义务清单。任何一个成熟的企业,除来自于外部的上位制度外,很少会用“法律法规”作为管理依据(微型、新建企业除外)。所以,企业的合规管理,对齐的是“纳入企业管理范围的必须直接遵从或执行的规则”,而不能单纯地以“外规”论,制度是合规管理的基础。企业解决内规与外规对齐的关系,是制度管理的职责范围。那为什么要建立“合规行为清单”呢?很简单,只要明白了流程管理中,为什么除流程图之外,还要写出“流程作业文件”,本质是一个道理。
企业中,有一个共同规律,有计划、有设计就必须有执行。正如战略规划与战略实施一样,有制度必有执行,但不能认为“有了制度,就一定会被执行”。那如何提高执行力呢?战略实施的关键,是明确对应组织、关键员工的“KPI\PBC绩效”,绩效是为了衡量结果,衡量结果就是体现“责任感”。所以,制度的执行力,来源于“找到承担合规义务的责任者”。从企业整体看,我们可以把每个“阶次”的流程都当做一个“活动”,只不过高阶流程的活动太大,所以才有了“根据场景”不断的“分类、分层”分解,最后,如果有必要,可以形成“单角色的操作流程”,本质是单角色活动。这就是有些流程专家讲的“流程很简单,第一步、第二步、第三步┉┉”的来源。现实中,流程管理还是非常复杂的。之所以不断挖掘,就是要“可视化”,对应到角色,找到“责任者”。同理,合规管理建立合规行为清单,也是一个“将合规义务落实到责任者”的体现。流程是链接角色活动秩序的规则,流程的本质是业务,流程是为了“正确地做事儿”,事儿是由岗位人员完成的,而不是组织。所以,“内控与合规”可以通过流程,实现并列建设,前提必须建立在“流程相对全”的基础上(合规不仅仅反映在审批性质的流程),但太难实现了(中型企业的流程管理,至少3年周期)。所以,在企业流程管理成熟度不高的情况下,用流程承载“内控、合规、风险”,其实并不现实,合规行为清单,还是对应到岗位,更为实际、可行。当然,企业能够容忍“不完整性”,可以接受在有限流程内,承载内控、合规、风控,那是另一回事儿,但没有什么意义。续篇:企业制度的管理方法与适用性甄别
我来说两句