在强化合规管理的大环境下，充斥于耳边、泛滥于朋友圈的，到处是合规管理的信息，但具体到深度，无非就是依靠办法、理解进行的一些道理阐释。

       在大的监管环境下，在中国企业向国际化进军的时代，强化合规管理，无疑是必要的。但如果合规管理只盯着“细节”不放，却疏忽于“高阶”的衔接关系，做到“越做员工越不知道怎么做的时候”，有意义的工作，反而容易成为负担。这是中国式企业管理的通病，所有管理大多落实于最基层员工。

       把管理简单化、清晰化、规范化、标准化，是做好各类管理的基本原则。合规管理本身是“管理”，无论是从法务、制度管理部门，还是从监督部门归口管理的角度，如何做好合规管理，体现的都不能是职能部门的视角，而是从企业角度进行的全局思考和逐项落实。

01.为什么说合规管理是规则管理的延长线？

       企业存在的目的和条件由两部分构成：一是追求自身价值的增长；二是履行外部环境赋予的责任和义务。合规管理最基本的要义，是企业对外规责任和义务的传导、承担与落实，这是合规管理的第一层含义。

       企业的管理，只能面向企业内部，即机构与员工。机构是由员工构成的，对机构的影响力，体现的是“管理责任的传导”。所以，企业的管理内容中，包括“对管理者的管理”、“对员工的管理”，管理者代表的就是机构，机构内部的员工出现“非主观违规”问题，就是管理者的管理责任。

       企业对管理者、员工的管理，是通过企业规则的方式进行的影响与约束，企业无权依据外部法律法规对员工做出处理决定。企业虽然不是执法机构（属于实话实说，无需绑架），但承担着面向内部员工进行普法教育的义务。至于党组织内部的政策、纪律与条例，党员是组织人，当然要执行组织纪律，所以，党员承担的责任与义务是共同的，企业党组织完全可以按照组织纪律，对党员进行管理与约束，这就是企业中“管党员规则（不包括党务）”很少的原因。这是二者的不同之处。

       既然企业无权行使法律法规对作为社会公民的员工的监管，那就只能通过将外部规则对“企业”的要求，转化为企业内部的管理规则。所以，外规转内规，不是“合规管理”的工作内容，而是“规则管理”的内容（制度或流程），这是做好合规管理的假设条件。合规管理是规则管理的“延长线”，绝不是法务工作的延长线（合规重点和工作逻辑是两回事儿），要做好合规管理，必须让假设条件成立。

02.企业中的建规则责任，由谁承担？

       企业的规则是传导外部责任与义务的载体，至于能不能承载，是企业能力和水平的问题。这里需要明确一个观点，企业中的一级职能部门代表的是部门本身吗？不是，代表的是企业分配给该部门的企业职责。

       部门行使职责，就是代表企业在该职责内的行动，所以，建立规则的职责不在“部门职能”内，而在部门管理者岗位职责内，部门管理者承担的是“规则建立、维护与管理”的责任，二级部门、下属员工岗位职责都不包括这一“职责”内容。至于具体由哪个二级部门负责、由谁承担写制度、写流程的工作，那是责任传导与工作分配问题。这里涉及一级部门和二级部门功能定位的问题，不再阐述。

       在企业中，与职责对应的就是责任。但现实中，仔细浏览企业中的岗位职责，“制度建立与维护”分布在不同岗位职责中，这就是“管理缺乏标准”的具体反映。为什么出现这种现象呢？职责是由人写的，即使出自于所谓的“专业咨询机构”，由于具体人员的经历、知识以及对管理认识深度的差异，都会出现五花八门的结果。企业中最基础的管理从哪来呢？来自于“企业的自定义”。

       其次，在一些管理者的观点中，往往认为“把工作做好”最重要，所以，经常看到企业中不少管理者忙于“事儿”，把修改给领导汇报的“PPT”，当做了每天的主要工作，却把建立规则的职责分解到“二级部门”管理岗位中，甚至在“员工岗位职责”中，这都是“责任漂移”的表现，没有规则，管理体现在哪？管理者的管理技能反映在哪？

       如果责任不清晰，合规管理中提到的“外规转内规”，就只能是一个“原理性观点”，很难落实为“一致行动”。所以，企业开展合规管理，经常出现一个难以置信的“怪像”！合规管理部门，或者聘请的第三方咨询机构，到处搜集、寻找法律法规、外部政策，或者制作一套“通用的表格化信息数据”在各个企业中复制，导致合规行为清单“越搞越复杂”。

       如果一个企业连必要的“通用规则要求”都没有落实，谈何合规管理？如果合规管理清单多到甚于“性规则”，那它的意义还会有吗？会有不少人说“当然有”，他们的理由是：由于制度缺失，或者外规比较多、风险影响很大，所以用“行为清单”解决。那应该反问一下，既然风险影响很大，为什么还不订立“具有性的规则”以预防风险呢？

       清单不具有“”性，作用在于“知悉、提醒、遵从”，也不可以成为作出“惩处”的依据，依据是“规则”，是否违背了清单限制，只能作为进行惩处的证据。

03.合规管理工作怎么做？

       这里，我并不想谈所谓“合规管理体系”的问题，体系一定是一个完整的构架，包括“企业层的体系建立指导原则、体系一级流程的PDCA实现”，缺失这两个条件，不要谈体系。这里要谈的，是企业合规管理工作如何做的问题，我把它分为4个步骤。

第一个步骤：健全企业制度数据库

       有些人可能很困惑，企业制度建设是一个漫长的过程，何况，有些企业还处于成长期？不错，健全企业制度，并非让各个部门“一起建制度”，而是找到必须遵从的“规则”。即使部门要建制度，也有一个“执行外规、实践、认识、总结、固化”的过程，想不明白“制度怎么建”的时候，先把外部规则、上级明确的规则，纳为己用，转变成“企业自己的规则”。谁告诉过你，“外规内化”，就只能通过“自己建自己的制度”实现呢？这是企业“制度管理”的思想和方法，暂且不谈。

       外规内化，就是一个“识规”的过程，有些合规管理专家经常讲，合规管理先从“风险评估开始”。试问找不到“规则”，就没有风险识别标准，怎么会从“风险评估”开始呢？识规的过程，由谁承担？谁负有责任，谁来组织。这个过程，合规管理部门做不到！外部合规管理咨询机构更做不到！

第二个步骤：基于识规基础上的“风险评估”

       有了“识规”的基础，就具备了风险评估的条件。对搜集到的“规则”，从“影响程度”、“工作关联频度”的维度进行度量。度量的结果，是对“识规”的二次清洗，IT界称为“数据清洗”。对影响度不高或频度极低的规则，清理出“规则库”（注：清理不意味着删除数据）。企业中的“规则”不是越多、越全越好，而是越相关、越有用的越全越好。企业规则库中的规则，有效的永远是“有用的”。

       风险评估，不是基于某项行为或时点，而是基于现实工作与规则整体执行的结果，这里要区别“底线、红线”与“违规处置”的关系。现实中的合规管理，“合规行为清单”为什么出现大量“不痛不痒、越做越多”的问题？一是理想化了；二是想当然了；三是认为“量大”才能体现成绩。这种结果，恰恰出现了片面追求“过度合规”，忘记了企业保持适度活力需要的“灵活”！

第三个步骤：基于风险判断的“规则自内化”

       在第二个步骤中的风险评估中，对承继的“外规”，如果风险程度较高、未触发“外部惩治”前的“过程行为”存在较多问题，这时候就需要考虑“规则自内化”的必要性了。规则的自内化，是一个由粗放到通过“规则”强化过程管理的追求，“管理”不就是一个“分类、分层、分级”的实现过程吗？这时候，企业自建制度产生了，与之对应的“外规”就可以清理掉了。

第四个步骤：建立基于“企业规则”的合规行为清单

       所谓合规行为清单，指的是“由于操作问题可能触发‘规则惩治’发生”的行为。所以，合规行为清单是与“规范化行为”对应的“限制性约定”，即底线、红线行为，可能反映在规则中，也可能需要具体明确。对应的处罚结果，不一定是“清单行为孤立造成”，也可能还有其它关联要素，这就是“合规手册”中要说明并让员工知道的部分内容。

       合规行为清单，不具有“处罚”，只有当“违背规则遭受处罚时”，清单就具备找到“问题原因”的脉络和直接责任，这不就是“管理归零”吗？所以，合规管理是“提升规则执行力”的措施。

04.结 语

       对企业来讲，有效的合规管理并非“建立一套清单”、“出台一套合规管理专门制度”那么简单，既然合规管理称为“体系”，它就可以成为一个系统，而这个系统，与规则管理存在不可分割的“结构关系”。

       即使我归纳的4个步骤，由于时间关系，也并不全面。当企业规则健全的时候，客观上，合规管理的重点就会转向“企业内部”。

       企业规则的建立，与外规的承继紧密相关，与企业治理结构的规范化、权限的设计、治理结构中的“接收提案内控、前置、审批、决策”的责任清单、管理的原则与方法紧密相关。

       所谓的“三重一大”事项，不落实在清单中，不落实在设定的判别标准中，企业董事会就会在“模糊”的认知中，成为“处理日常繁杂例行事项”的机构，所以，企业建立规范的现代治理结构，是企业“内控管理、合规管理”能否发挥最大效能的关键。而规范的治理结构，也绝非建立党委、董事会、监事会、专门委员会组织、订立议事规则所能代替，这是“形”，而不是“质”。