企业全体系融合管理,其实是企业各方面风险控制措施整合、一体化管理过程。只是在实践工作推进中,企业内部面临各种管理体系的建设,形成企业各管理体系丛林。
各种管理体系如何“融合”,实现多管理体系“多合一”一体化管理?本文将从实战的角度示范一种比较实用的方法:基于业务流程的多管理体系大融合“五步骤建立法”。
目前,企业在推进的各管理体系有以下这些。
首先是ISO9001质量管理体系。国内企业接触ISO的标准中, ISO9001质量管理体系标准《质量管理体系-要求》是最早进入中国企业的。
它强调,对于实施质量管理体系的组织来说,潜在的收益是:
a) 稳定提供满足顾客要求和法律法规要求的产品和服务的能力;
b) 获取增强顾客满意的机会;
c) 应对与组织环境和目标相关的风险;
d) 证实符合质量管理体系特定要求的能力。
《质量管理体系-要求》重点在于为满足顾客要求的质量管理,主要针对质量风险控制。
其次是ISO14001环境管理体系。
环境管理体系标准旨在为各组织提供框架,以保护环境,响应变化的环境状况,同时与社会经济需求保持平衡。
a)预防或减轻不利环境影响以保护环境,
b)减轻环境状况对组织的潜在不利影响;
c)帮助组织履行合规义务,
d)提升环境绩效,
e)运用生命周期观点,控制或影响组织的产品和服务的设计、制造、交付、消费和处置的方式,能够防止环境影响被无意地转移到生命周期的其他阶段;
f)实施环境友好的、且可巩固组织市场地位的可选方案,以获得财务和运营收益;
g)与有关的相关方沟通环境信息。
环境管理体系标准主要围绕环境友好要求而建立管理体系,主要针对企业全生命周期运营中的环境风险控制。
第三是OHSAS18001职业健康安全管理体系。
职业健康安全管理体系的要求,旨在使组织能够控制其职业健康安全风险,并改进其职业健康安全绩效。
职业健康安全管理体系目的在于企业员工安全、健康风险控制。
第四是企业内部控制体系。
以发布的《企业内部控制基本规范》为标志,内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
企业内部控制是风险控制方面重要的控制措施和体系化设计方案,它是风险控制措施的主要一种。
第五是全面风险管理体系。
以印发《中央企业全面风险管理指引》为标志。
企业开展全面风险管理要努力实现以下风险管理总体目标:
(一)确保将风险控制在与总体目标相适应并可承受的范围内;
(二)确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告;
(三)确保遵守有关法律法规;
(四)确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;
(五)确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。
全面风险管理其实是前面提到的风险控制和本文后面要提到的及未提到的其他风险管理控制的集合。强调了风险管理的一般过程。
第六是企业法律风险管理体系
以国家标准化委员会《企业法律风险管理指南》(GB/T 27914-2011)为标志。通过企业法律风险管理,确保本企业的法律风险管理资源投入与企业的目标相契合,达到管理本企业法律风险的目标。
企业法律风险管理是以企业生产经营的内部、外部法律风险控制为主要任务。
第七是反贿赂管理体系
以ISO37001-2016《反贿赂管理体系-要求及使用指南 》为标志。
标准解决与组织活动相关 的下列贿赂:
a)公共、私营和非营利部门中的贿赂;
b)组织实施的贿赂;
c)组织的员工代表组织或为其利益而实施的贿赂;
d)组织的商业伙伴代表组织或为其利益而实施的贿赂;
e)对组织实施的贿赂;
f)在与组织相关的活动中对其员工实施的贿赂;
g)对与组织有关的活动中对其商业伙伴实施的贿赂;
h)直接和间接贿赂(例如,通过或由第三方给予或收受贿赂)。
反贿赂管理体系主要针对企业生产经营中的贿赂风险进行控制管理。
第八是风险管理体系
以ISO31000风险管理体系发布为标志。依据该国际标准实施和保持风险管理时,能够使组织:
提高实现目标的可能性;
鼓励主动性管理;
—— 在整个组织意识到识别和处理风险的需求;
—— 改进机会和威胁的识别能力;
—— 符合相关法律法规要求和国际规范;
—— 改进强制性和自愿性报告;
—— 改善治理;
—— 提高利益相关方的信心和信任;
—— 为决策和规划建立可靠的根基;
—— 加强控制;
—— 有效地分配和利用风险处理的资源;
—— 提高运营的效果和效率;
—— 增强健康安全绩效,以及环境保护;
—— 改善损失预防和事件管理;
—— 减少损失;
—— 提高组织的学习能力
—— 提高组织的应变能力
ISO31000风险管理体系,其实与全面风险管理是同一个事情,国内叫全面风险管理,国际上叫ISO风险管理体系而已。
第九是合规管理体系
ISO19600《合规管理体系 指南》、GB/T35770《合规管理体系 指南》、《中央企业合规管理指引》等等,都已经逐步发布。建立合规管理体系,在于推动企业全面加强合规管理,加快提升依法合规经营管理水平,着力打造法治央企,保障企业持续健康发展,有效防控企业及其员工因不合规行为所引发的法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。
以后ISO和国内有关监管部门还会制定出台针对其他风险的管理体系。
。。。。。。
走进这些管理体系之丛林,我们发现,它们要去管理的对象其实只有一个:业务流程!只是不同的管理体系是从不同的监管机构部门从不同类型的风险、不同的相关方要求进行站位的结果,是横看成岭侧成峰!其实是对着一座山!
当然,这些管理体系里多数都有个共同的要求,“要与企业组织现有的管理过程融合”,这里的过程,在企业里,其实就是流程的意思,如何让这些诸多管理体系标准和要求有序的融入那同一个“业务流程”中,对许多人来说,是个比较头大的执行难题!
并且,这些管理体系并非整齐的分割和排列,比如质量、环境、职业健康安全、法律风险、反贿赂管理体系,合规风险管理、内部控制,与前面的各分类有交集,交叉,也有管理全面的,如全面风险管理、风险管理,其实这两个是包含了前面的各风险类型,这种颗粒度切分,忽大忽小,忽纵向忽横向,有重叠,有不同,相互交织交叉联系,要相互融合,真是难!
这里,笔者综合各管理体系的内容特征,循着“解析业务内容→风险识别→策划和制定风险管理措施→嵌入业务管理过程(流程)→形成新流程管理制度”五步骤来示范各管理体系如何大融合。
这个过程是:按照五步骤来建立对应的管理措施,合并同类、相同内容的管理措施,一并嵌入业务流程管理制度,形成新的业务流程管理制度。
