充分利用符合性

在市场不断的国际化和革命化及竞争加剧的压力下,法规的符合性往往被人们所忽视。Martin McGuinness 意识到若能将其与风险和过程管理融合在一起,将使企业获益无限。

符合性意味着了解游戏规则并遵守它们。了解规则的存在并知道违反规则将带来的风险。这些风险来自组织运行的环境及组织自身设立的目标。他们实际上是企业所在环境活动的直接产物。

这些风险直接与组织的目标及愿意承担的市场风险相关。 目前的环境风险来自于不断出现的法规要求。每项法规规定了各自的具体要求以保护不同股东的利益。管理这些不同的关系要求组织建立一个内部控制体系以确保:

  • 运行的有效性
  • 公司人员负责制的可靠性
  • 对适用法律法规的符合性

符合性意味着组织必须具备相关法规的知识并了解其面临的重大风险。无视法律是行不通的。相关方不仅仅是公司的董事们(因为他们要对不符合负责)及不同的立法机构(因为他们希望了解他们的规章是否得以贯彻实施了),还应包括财务投资方、合作方、保险公司。实际上所有的股东希望了解他们的投资、责任和其它利益不会受到组织潜在的玩忽职守行为的负面影响。

实现符合性

为了确保保全组织的声誉,它应如何确保自己不作出任何不符合行为,并能持续地遵守游戏规则呢?一个成功的符合性组织的建议是:通过提供相关的、经验证的数据,证实企业的成就及满足法规的目标要求。这就要求组织建立一个管理信息的体系以确保信息的适宜性、及时性、现行性、准确性和可获取性。

了解组织是否保持了符合性,组织需要有具备能力的人员按照规定的方针和过程进行日常操作活动,并记录规定的证据。此外,企业还需对各个过程应实施自检和独立验证活动,并对整个过程应进行正式的持续评价。长期保持符合性要求组织进行有效的运行活动,使组织能对市场的变化作出快速反应。此外,组织还需识别受影响的活动,迅速辨别运行环境中出现的新风险。这需要组织制定明确的方针、过程及相应的控制措施。控制措施的类型应按组织的规模、复杂程度和运行环境的不同而各异,可以采取以下形式:

  • 高级管理层评审组织的目标、重大成绩及关键业绩指数。
  • 功能或活动管理、自查及报告过程绩效指数
  • 评审信息控制体系以确保数据的安全性和可获取性
  • 明确关键活动的职责  

风险、规则和过程

 业务风险是组织所在的市场活动的直接产物。活动越少风险越少。组织的活动通常发生在其业务过程中,所以这些活动对于符合性管理的重要性是不可低估的。如果组织不能明确的、协调一致的实施各个过程,它将蒙受不符合而造成的风险,而这在当今的市场上将可能意味着企业声誉的损失、利润的减少及股票价格的下跌。

明确规定过程是非常重要的,因为它们意味着实现组织的目标。它们的存在是为了支持企业长期的发展目标,同时确保企业始终如一地实施其使命。它们还意味着组织实施其活动的方式,以证明组织对内部和外部规章的符合性,如:EU 指令、国家法规、各类产品或服务标准。

此外,过程通过具体规定个人的作用和职责,使每个人了解在组织中的目标及过程的意义。这一明确的作用将能证明对一些国际法规(如Sarbanes-Oxley)要求的职责划分要求。同时,它们也说明了个人和团体间的关系,更便于人们理解组织内部的顾客关系。制定明确的、有符合性的业务过程的同时还能满足相关的法规义务。应向员工提供足够的信息,以使他们能在一个可接受的风险环境中工作。最后,过程是管理数据和知识的媒体,并向使用者说明据的储存位置。

实现真正的结合

为了使规章、风险和业务过程真正实现彼此相结合,组织应识别适用于组织的一系列规章,以确定需要哪些方针及各过程的活动从而最终确保组织的符合性。请记住每个过程通常能证实对不同规章的符合性,所以需准确勾画出所有规章和过程间的关系。这种做法还将明确符合性证据的储存位置。

下一步需要对组织的业务过程进行评审,以识别其中的存在的风险。针对这些风险所采取的控制措施应能使风险降低到可接受的情况。风险一旦识别,不仅应对它们实施相应的控制措施,同时还应制定相应的规章以证明企业已对风险进行了全面考虑并满足规定的要求。

风险管理学会指出:“这一过程将明示出现风险的业务领域、说明最基本的控制措施、说明需要增加、减少或调整风险控制投资的领域。”明示过程、将这些过程与规章相结合、识别过程中的风险满足规定要求(包括法规及业务要求),将使一体化管理体系提高到更高的水平。

组织所有级别将通过这种方法获益,因为它明确说明在实现组织目标过程中组织的长远目标、使命和个人的作用与联系。对于组织过去、现在和将来的符合性,它将向从事质量、卫生与安全、环境和运行的最高管理层及员工提出一个满意结论,并确保提供充分的信息以证明各个不同过程都经过了有效的控制。

它实现了各类繁杂要求的统一,记录了目标业绩数据的保存位置,规定了个人在实现目标过程中的职责,而这确保了业务活动业绩的一致性。它同时还保证组织对市场变化的快速反映。

这一方法在满足法规要求的前提下,为变化管理和沟通提供了一个平台,确保相关的证据一准确的记录的形式加以明示,并随时可接受审核。

此外,它还记录了数据处理人员一些明示知识和阴含知识。因为它要求相关的信息处理人员具备规定资格和经历并能对过程结果产生的数据进行可靠的分析和解释。这点对于现代化机构是非常重要,因为当今的机构往往希望在降低人员数量的同时,通过培训及人员保持措施进行人员知识的管理,确保能力不断的提高。

在企业风险管理方面,这种一体化的方法将向最高管理层明确展示风险及其与组织活动的关系 – 这样就明确了风险的责任方。它将风险和活动与地方的、国家的和国际法规要求结合,确保组织对于风险的管理。使风险降低活动通过过程进入一个良性循环而不是等着审核员的确认。此外,它还确保了最高管理层能对风险进行考虑。

实现真正的统一不是一个结果,而是一个所有组织应实现的目标。随着当今全球化趋势的发展,国家和国际法律法规的日益严格,竞争的加剧和股东期望的提高,这对传统的质量、安全和环境管理领域提出了挑战。

组织应拓展其符合性的思路,并意识到应不断扩大其方针和过程的适用领域。

它们须在业务的国际化及国家和国际法规的符合性方面进行不断地自我学习,并掌握实现统一的方法。否则将承受这样后果,即新要求不断出台而传统陈旧的方法使组织花费大量的资源结果只是建立了一个与其业务完全不适应的新体系,而最终导致体系不能有效的实施。

 

关于作者

Martin McGuiness 是BusinessPort 公司的高级业务分析师,了解更详细信息请联系:martinm@business-port.net或登陆 www.business-port.net