本文发表于《冶金管理》杂志,作者裴桂华,全文12541字,分上、下两篇转载。
国资监管部门按职能划分,对作为监管对象的中央企业实施条线管理,各监管部门立足本职强化管控,导致相关政策文件,不仅数量繁多、交叉重叠,使得企业在构建自身管理体制、实施具体管理行为时,不仅需考量企业在竞争中的生存发展实际需要,还需花费巨大精力对应各监管条线工作要求,建立各种体制机制以满足文件上报、对标考核等监管要求。监管的必要性毋庸置疑,但将企业管理机制的构建、运行,与监管的被动需求和企业生存发展的主动需求更好地结合,将监管的刚性要求与企业不同阶段的动态诉求相结合,实现企业管理机制和模式的非统一化、非行政化、非被动化才是企业既满足自身管理需要又符合管理监管要求的重中之重。真正让企业管理融合行业领域、融合业务模式、融合发展阶段、融合企业规模等不同特质,使得企业管理呈现务实性、动态性、个性化,实现高质、高效管理。
2022年是国资委组织中央企业开展的“合规管理强化年”,多数央企总部牵头推进合规体系搭建,完善合规运行机制,建立首席合规官制度等,出台了内容完备、制作精美的合规管理手册,大有企业管理不可不提合规之成效。但我们也了解到,真正将手册要求落实到企业日常运营,并实现全流程合规管控的企业,实践中并不多见。
1.不同管理机制的体系建设和同时运行将面临较大现实问题
中央企业基于监管要求,分别建立有法律风险防范体系、全面风险管理体系、合规管理体系、内部控制体系等多体系管理机制。而同一企业中多体系的建设和各自运行将会导致面临诸多问题,比如由于各体系建设运行归口于不同部门,使得其规制内容、规制标准以及运行管理,均存在较大差异。不同监管部门从不同监管立场出发,向同一企业多头部署工作任务,使得企业各条线工作落实时存在交叉重复,甚至冲突。既然是体系建设,每种监管要求如果自成体系,必然与其他独立的体系之间协同性差、体系兼容的周延性弱,同时也使得不具有推广性。
国企需回应监管要求,国资委各委办局基于其履职需要会针对企业提出监管要求,而企业内部各职能部门亦需要实施相应管理举措,以回应不同委办局的要求。但各部门监管要求分解到企业,因合规管理、内部控制、全面风险管理,各有定位,必然使得企业治理建立多种管理体系以回应监管,且各体系处于并存状态,分头落实时也必然会发生交叉重叠。
各委办局的监管要求均设置有对应考核,考核系数不同使得企业领导的重视程度不同,导致企业在管理机制建设中的投入和效果不均衡,甚至差异较大,如何既满足单项要求,又能达到管理投入最小、输出价值最大,则是企业在考量管理体系建设时必须考虑的问题。
法律合规、内部控制、风险管理等职责,在企业经营过程中,属于支持保障和监督职能范畴,在企业经营绩效提升方面,与生产、市场、投资、财务等职能相比,缺乏显性效果,很大可能在资源投入上弱于其他具有显性经济效果的职能部门。
央国企实施的集团化、层级化管理,一般总部和二级公司以管理为主,而三级及以下企业则负责生产和经营,此类上级管理职能和子企业经营职能的差别必然导致不同层级企业的管理重点不同,如果采取普遍自上而下的统一化要求,必然给子企业管理资源造成无效浪费,反而使得经营中的实际管理需求不能得到及时响应。
当前企业管理中并存的法律、合规、风险管理、内部控制等,均有其存在价值,但又很难并行不悖。如果选取适应该企业管理实际的根基性体系作为主要支撑“1”,而将其他管理机制作为协同的“N”,以“1+N”的模式推进体系融合建设,将不失为一种解决思路。
一是
,
国有企业公司治理已经进入治理机制融合的现实阶段
。我国国有企业治理经过30多年的发展和演进,从1992年开始推行的现代企业制度,实现了企业产权清晰和管理科学,后又经过股权多元化、规范董事会建设、完善治理结构等方式逐步完善公司治理路径,到当前党的领导融入公司治理各环节,真正实现了以管资本为主的国资监管体系。
二是
,
外部市场环境对企业生存发展的影响倒逼公司管理机制必须适当和实用
。
一方面,
公司治理主要围绕股东与经营管理层之间、公司与其他利益相关者之间、大股东与小股东之间的委托代理关系展开。当前需要解决的不仅是公司所有权和控制权问题、公司各利益主体相互制衡的问题,还有内部管理机制有效性、防范经营风险的问题。
另一方面
,影响公司治理的因素中,除公司自身的股权结构和运行机制、公司控股股东的身份之外,公司的发展阶段及行业特性、公司所处的外部市场环境,均对公司治理项下的管理机制提出更高要求。
三是
,
公司管理机制是公司治理架构中应有内容。
公司治理、运营机制、管理机制所处位阶不同,各自对应要素的内容亦有所区别。比如从目的来说,公司治理是为了实现治理主体间的制衡和协调运转,而管理机制是为了实现公司既定目标;比如从机制来说,公司治理更多的是决策、授权、激励、制衡和约束,而管理机制则是计划、组织、控制和协调;而执行主体,公司治理是三会一层,管理机制则是经理层和各职能部门。但这并不影响企业形成权责法定、权责透明的公司治理结构,以及协调运转、有效制衡的公司治理机制,二者可以相互统一。其中核心组件部分,包括目标、组织、制度、流程和绩效等五个要素,是实现企业核心诉求的组合,而环境组件部分,包括企业文化、信息与沟通、外部情境等三个要素,是实现企业诉求必须同时考虑的因素。
四是
,
公司管理机制的内核使得“1+N”模式可行。
一是
法律事务、合规管理、内部控制、风险管理、审计甚至纪检巡视等,均属于公司治理中管理机制层面的内容。
二是
管理机制的设置、实施以及评价等,均需统一于公司治理整体框架之下,不能与公司治理的基本遵循相冲突。
三是
所有管理机制建设,均应建立在企业现实需求、管理实践基础上,秉持的理念应该统一为不求多、不求全,唯求实、求精。
通过企业实践以及对监管部门下发的各政策文件的解读,可以得出以下结论:
“1+N”中的1和N均是公司治理中企业管理机制层面,相平行且有重叠,不可替代但能整合优化,从管理投入上实现“1+1<2”,但从管理效果上实现“1+1>2”。
“1+N”中的1可以根据企业现有管理机制的建设实际,选择以合规管理、内控或风险管理机制之一作为核心切入点,将其他各项机制均纳入N的范围,该N可视企业管理需要并结合管理机制要素特点进行有序扩展。
“1+N”除以上内容层面之外,还可理解为方法层面,即以体系建设为1,然后以围绕体系的各专项内容为N,该N可分阶段、视需求深入延展。
合规管理、内部控制、全面风险管理的一体化建设具有可实现性。三者在要素、实施者、实质、目标、重点、文化和系统等各方面,均存在相似性。
如果以内控或风险作为“1”进行统筹协同,则需关注以下方面:
一是
,国资委的意见指出,以“强内控、防风险、促合规"为目标,建立以内控体系建设与监督制度为统领,各项具体操作规范为支撑的“1+N”内控制度体系。
二是
,内部控制与风险管理存在冲突,内控制度是基于对所有岗位不信任并制造相互制约为目的而建立的各业务活动相互制约的机制;风险分散于各领域、各岗位、各业务,风险管理以合理利用风险创造价值为理念,旨在形成各业务单元自我管理的机制,各业务单元层层负责,形成多维交叉的三道防线机制。
三是
,如以内控为“1”,则出现以低目标(财务不作假)统领高要求(创造价值)、以局部制约全局的情况,可能导致风险管理与业务实际中的风险控制相互脱离,成为两张皮。如以风险管理为“1”,由于风险的宽泛性和企业的趋利性,可能导致机会与风险并存时,会因决策层的偏好不一而导致管控的不确定性。
以合规体系为基础建立“1+N”管理模式亦有其理由。
其一
,外部环境对企业合规的迫切性,使得企业合规成为必选项,包括形式要求和实质需求。
其二
,合规体系建设的规范依据相比于内控、风险管理更新更快、要求更明确,更便于企业落实。
其三
,合规管理虽然范围小于内控、风险管理,但从实际效果来说,其更趋于显性、直接。
其四
,合规既是最基础的目标,亦是管理的最低标准,相比于内控仅是手段、风险管理更宽泛和要求高低的可变性而言,合规更适合作为管理机制融合的根基,并据此建立协同一体的管理机制。
其五
,基于合规评价,更利于内部审计、纪检巡视等监督机制、追责机制的工作衔接和协同。
基于以上分析,笔者对于企业管理机制的建设建议,是以合规管理为“1”,有序搭建融合法律、内控、风险管理在内的“1+N”一体化管理机制,实现精准有效管理。该“1+N”一体化管理机制的建设要点包括:“1+N”管理机制的核心,要求管理行为必须植根于企业具体的业务流程;以风险管理为方向,以合规体系化建设为根本,优化整合管理组织架构,将管理机制嵌入企业决策、经营、管理等全方面业务流程,重点落实到制度建设和运行机制,并深入文化培育和监督提升;“1+N”管理机制建设需立足现状进行优化完善,切忌另起炉灶;与审计监督、纪检巡视监督做好衔接和协同,确保管理有效、改进及时。
在工作实践中,可以通过识别出发点、确定着力点、找到有效抓手等方式推进“1+N”管理机制在本企业的实际落地及协同发展。
(一)识别“1+N”机制建设出发点
“1+N”机制建设出发点的识别,需要明确企业管理的初衷,是完成任务型,还是满足需求型。其一,当前管理机制建设的大前提,需要满足企业中法务人员作为合规管理牵头角色需求的现实性,其面临传统法律工作、增加合规工作的纷繁性,以及监管需求的多头性和合规任务的紧迫性。其二,还需厘清所在企业管理现状这个小前提。管理现状包括但不限于,与企业经营相关的内容,如所在行业、营收规模、发展战略、业务领域、核心竞争力、市场和竞争情况,与企业管理相关的内容,如企业所在层级、股权结构、管理模式、团队组织、集团是否统一要求等,与管理机制相关的内容,如内控、风险管理、合规各体系在本企业的现状,企业资源投入预算,是否纳入考核等。其三,需要关注企业业务实质,比如企业属于管理型总部还是其他业务型公司,是多元化业务还是单一型业务,是公众型公司还是非公众型公司,能源制造业企业还是创新科技型企业,业务中的主要风险类别都是哪些,等等。
(二)确定“1+N”管理机制建设的着力点
清楚了企业管理机制建设的出发点之后,还需明确如何抓住重点、抓住哪些重点来推进机制建设。其一,在建设“1+N”管理机制时,需要尽可能满足国资监管部门的规定动作,无论是哪个条线,规定动作不能遗漏。比如,体系建设六大模块,组织体系、制度建设、工作机制、责任落实、工作保障、合规文化,无论以何种机制为“1”,均需设置相应模块。比如国资委2023年要求开展专项治理,要求是全级次、全领域、全方位,既要进行排查和处置,还要落实报告和整改。所以在管理机制建设过程中,要适时匹配监管要求推进工作。其二,需要结合企业当前实际需求和管理水平,比如企业所在行业、企业规模、企业层级、管理水平、现实风险、管控现状、可投入资源等。其三,需要切实解决企业的实际问题,结合需要解决问题的急迫程度、问题的重要层次,来确定先后次序,确定投入资源。其四,需要确定机制建设的方式路径。现有机制是一体化融合建设,还是各体系机制之间协同配合,与纪检巡视、审计追责如何关联,均需我们结合企业实际情况,在实践中逐步摸索。
(三)找到“1+N”管理机制建设的有效抓手
“1+N”管理机制建设的有效抓手,包括五个方面:一是有序搭建组织体系,从党委、合规/风控委员会、主要负责人、首席合规官,到合规牵头部门、业务部门、审计/纪检监督部门,以及全体员工,均是该体系中组织构成中的关键成员,均需落实到组织体系建设中。二是建立制度体系,包括一体化建设方案、管理机制基本制度、具体制度,风险管理应对预案、确定管理职责和问责标准的制度、各类工作表单等,均是今后体系运行的规范要求。三是确定流程体系,包括合规运行机制、内控流程设置、对应制度要求等,确保流程管控有效落地。好的流程能确保纸面制度成为管控利器。四是建立宣贯体系,对应合规文化、风险意识、合规意识的培育,需要加强专项培训和文化宣贯,要让每个员工知合规、行合规、促合规。五是建立评价体系,要对管理机制整体体系的有效性开展评价,根据管理需要针对重点业务合规或风控情况开展专项评价,结合评价情况进行制度更新、流程修订、问题整改,并适时开展追责和问责,形成整个管理闭环。
(四)立足“1+N”管理机制落地的关注要点
为了高质、高效推进企业管理机制的落地建设,法务人员作为牵头部门,需要从以下方面抓住要点:一是关注环境和业务流程,该环境既指企业外部环境,也涵盖企业内部环境,员工是否有相关意识,是否积极配合。二是要争取领导支持和各类资源。企业的很多工作,如果一把手能够重视则推进落实时事半功倍,所以在启动相关管理机制建设时,抓住领导、抓住主要负责人甚为关键,当然其他资源,比如外部中介机构、资金投入等,均利于管理落地。三是重视方案和工作计划。管理机制建设非一蹴而就,必然要经过设计、反馈、运行、修订等过程,所以需明确方案和时限,便于按计划推进。四是精准识别和管控风险。管理机制建设,无论是一体融合,还是协同配合,其目的均是为了精准识别企业各类风险并实现有效管控。五是定期评价和持续改进,这是管理体制保持有效性的关键环节。六是信息共享和平台建设,所有的管理行为从效率、留痕等考虑,建立信息化系统,实现数字化管理,搭建流程有序运行的管控平台,均是提升管理效能的有效途径。
一是,根据全面风险管理、内部控制、合规管理、法务管理主要目标及关注风险差异,可将四个体系分别定位,并以全面风险管理为导向,实现四个体系一体化融合、协同运行。
其中,以全面风险管理为导向,落实重大风险的防控要求;以内部控制为手段,支撑流程控制的有效运行;以合规管理为底线,保障经营行为依法合规,以权利义务为基础,维护企业利益。
二是,区分关注阶段以推进“1+N”模式建立。
按照事前、事中、事后的次序,分别对应风险管理、内部控制和审计问责,以内控手段防范风险,以评价促建设、以审计促评价。真正从事前的风险识别、评估、预警,到业务执行阶段按制度、流程落地执行,以及事后进行财务审计、经责审计、内控审计等各类审计,完成管理闭环。
三是,落实组织职能一体化。
解决风险管理、内部控制、合规管理“各自为政”的问题,整合相关管理资源,特别是统一协调各部门的相关职责,实现管理协同。比如董事会层面统一设置风控合规委员会,既满足不同监管要求,又实现统一领导、报告审核及审批流程。统一设置领导小组办公室,落实在同一部门,牵头风险管理、内部控制、合规管理等工作。明确业务部门在整合风险管理、内控与合规管理的基础上,落实各项工作具体职责要求等。
四是,推进管理制度一体化。
梳理风险管理、内部控制、合规管理相关制度要求,协调制度中的具体规定内容,使各项工作职责、工作流程等协同配合。管理制度分为治理类文件,比如公司章程,用于明确风控合规整合管理原则和治理层相关职责;程序类文件,一般是针对每个流程,将合规风险管理融入流程风险控制活动中,实现合规管理与内部控制的整合;管理制度类规范,比如合同管理制度、风险管理制度等,协同管控风险;其他还包括根据工作实际分别制定的职称类文件,比如合规手册、内控手册等。
五是,推进运行机制一体化。
整合风险管理、内部控制、内控评价等工作机制,统一流程运行,实现闭环管理。比如年初全面风险管理工作,需从识别和评估公司层面风险,更新风险信息库,按风险排序,然后制定风险管理方案及流程控制措施。经营过程中日常内控工作,除执行日常内控流程外,还需对风险变化进行监控预警,并监督检查风险控制情况。年底开展内部控制评价和报告编制。
以上是笔者基于当前企业合规工作推进现状,结合监管部门对依法治企、风险管理、内部控制工作的要求,以“1+N”一体化融合模式推进企业管理机制建设的思考。
综上所述,所有的管理机制建设,均需源自业务,而后归于业务,只有真正回归企业管理的本质,让复杂的事情简单化,才能有效建立适应企业需求的管理机制,也才能实现管理目标。
