业务挑战风控：我们只保证合规，但不保证合理 / 开普饭

前几天，有一个企业内审朋友求助，在跟业务部门针对采购业务审计时，业务部门说：

我们所有的采购业务操作都是按照流程要求，肯定保证合规，但我们不能保证采购价格一定是合理的。

我们只保证合规，不保证合理。

这位审计朋友对这个回复不满意，认为：

既然操作过程都是合规的，那么最后的结果也应该是合理的，业务部门这个结论不成立。

那到底合规能不能保证合理呢？

我当时简单给她的答复是：

合规为输出合理结果提供了基本保障。

之前在中央企业下发合规管理指引时，我们在解读文章里提到过一个观点，今天我们企业讲的合规是“大合规”概念，但对于企业自行制定的“规”，不仅要“合规”，更要关注“立规”。

首先，理想情况下，如果采购业务的规则设计合理，比如：

等等相关的重要环节都有规可依，按程序操作，最后综合衡量，最终的采购价格应该会处于合理区间。

但是，这只是理想情况或者说一般情形，如果要展开讨论，下结论前还需要详细分析以下内容：

1、采购合规的“规”目前在什么水平？

规则规定了业务应该如何操作，规则有两个目的，第一是高效完成业务目标，第二是管理风险。

健全和完善的规则是管理风险的基础，而内部控制的要求正在这个规则的骨架。

规则制定的水平高低决定了一项业务的管理水平，因为规则的建立增加了业务管理的确定性。

针对这项采购业务而言，和采购相关的管理制度健全完善与否，是合规的前提，也是输出合理结果的保障。

如果采购制度有控制缺失、有灰色地带甚至有可操作性差、规定不合理的内容，那在操作过程中一定会走样。

我自己的体会，我们中国企业的制度，只要留了一个小孔，都能给你捅出个大洞。

就像业务部门说的那样，按照这样的制度，我们完全做到合规，但是最后不一定能够合理。

程序正义是结果正义的前提。

有时候，如果规则出现了上面的问题，甚至有些业务部门会主动“违规”操作从而达到结果合理的目的。

这时候，如果风控人员以业务操作“不合规”为由下结论，那和业务部门的矛盾肯定是无法调和的。

所以，我们要先看一下，如果采购价格出现了不合理的情况，是不是由于规则设定上出了问题，还是在执行过程中出了问题，对症下药。

2、何为“合理”？

这需要考虑采购产品的价格合理的判断标准是否清晰，如果是标准产品，比如一台电脑，什么型号配置在购物网站上一搜就能大概了解价格区间，来判断采购价格是否是在合理区间。

如果是非标准产品，或者是叠加了许多采购条件的采购需求，这个结论可能不太好下。

比如之前我们在企业遇到一个采购案例，10个采购要求中每个供应商都不能完全满足，满足价格的不能满足供货周期，满足供货周期的价格不是最优，最后还是要看如何取舍。

在这种情形下，如果单纯对采购价格是否合理下结论，不太容易。

关键是有时业务部门也不知道是不是合理，什么叫合理。

那有人会说，能不能把这些情形都穷尽，每一种情形规定如何操作？

理论上也许可以，但实际工作中不现实。

如果拿到一本制度，业务的所有可能情景和细节都做了约定，那谁来做都一样了，能力高低就不重要了。

一项业务的规则越细，往往是效率牺牲作为代价的，制度并不是一味追求越细、越全越好。

制度不完善是缺陷，但也要避免过度制度化，这在不确定性环境下的当下特别重要，所以现在非常流行灰度决策、方向大致正确就可以，用以保持组织的敏捷度和灵活力。

如果我是那位审计朋友，我首先要和业务聊聊，如果采购价格不合理，那会是什么问题导致的？

我相信这样沟通之后，双方也许能够达成最大的共识。

但如果规则没问题，而是业务部门有自己的小算盘，那就另当别论了。

风控也好、内控也好，规则是基础，但是规则并不是万能的。

规则可以扬善，也可以被利用来扬不善；

规则可以抑恶，恶也会想办法利用规则保护自己。

业务挑战风控：我们只保证合规，但不保证合理