“合规讲座”为何徒劳无功？驱动组织的关键在于“机制设计”

“听过讲座”与“行为改变”是两回事
为何“依赖教育”会失败？三个结构性问题
从Azul Claro Numazu的案例，学习中小企业向“设计”的转变
治理，就是设计组织的“默认状态”

“听过讲座”与“行为改变”是两回事

有新闻报道，静冈的职业足球俱乐部——Azul Claro Numazu的球员们，邀请了律师参加以“了解特殊诈骗现状”为主题的合规讲座。乍一看，这似乎是模范举措。然而，我希望中小企业的经营者和管理部门同仁，能从这则新闻中读出某种“危险的错觉”。那就是“只要进行了教育，合规就能得到遵守”的幻想。

这次讲座，旨在应对球员使用社交媒体的机会增多、不当发言损害俱乐部声誉的风险，以及作为高收入者容易成为诈骗目标的风险。确实，“不了解”是最大的风险，因此作为灌输知识的第一步，讲座有其意义。

但是，思考不能止步于此。治理的本质不在于“知识的传递”，而在于设计“能够确保组织整体、基于知识采取适当行动的机制”。仅仅满足于举办了讲座这一事实，在检查框里打个✓，什么问题也解决不了。反而可能只留下“做过了”的感觉，导致引入真正有效的对策被延迟，甚至可能招致“治理的形式化”。

为何“依赖教育”会失败？三个结构性问题

为何许多组织虽然重视合规教育，但丑闻仍屡禁不止？这是因为在教育这种方法本身，潜藏着三个结构性问题。

1. 依赖个人记忆与善意的“脆弱性”

讲座中获得的知识，会随着时间的推移而淡忘。在紧张的比赛前夕，或者处于转会传闻等心理状态下，讲座的内容恐怕早就抛到九霄云外了。治理，不是依赖个人在“状态好时”的判断，而是要设计一种机制，确保即使在“压力最大时”、“最忙碌时”、“判断力最迟钝时”，组织整体也能采取期望的行动。依赖个人记忆力或道德观的设计，本质上是脆弱的。

2. 缺乏向“行动”的“转化”

“请注意诈骗”、“请注意社交媒体发言”这类信息是抽象的。那么，具体应该怎么做呢？接到可疑电话时，应向谁、如何报告？在Instagram上发布内容前，那张照片或评论需要获得谁的批准？获得批准的流程，是能用手机在30秒内完成，还是繁琐到让人想绕开？如果没有将知识转化为具体的“行动协议”和“工具”，并将其融入日常工作的设计，教育的效果将是有限的。

3. “做过了”的感觉导致风险认知降低

这是最危险的副作用。经营层或管理部门因“举办了讲座”这一事实，而产生“合规措施已完成”或“已取得很大进展”的错觉。这会导致对更本质、更有效的机制建设（例如，引入简易的社交媒体发布审批系统，或构建金融交易的双重核查规则）的投资被推迟，反而可能催生使组织整体风险感觉麻痹的“安全神话”。

从Azul Claro Numazu的案例，学习中小企业向“设计”的转变

那么，让我们以这则新闻为素材，具体思考一下中小企业如何设计超越讲座的“机制”。将Azul Claro Numazu的案例，替换为普通的中小企业（例如，员工可能在社交媒体上发布公司信息，或以个人名义进行业务相关交易的IT公司或销售公司）。

行动1：将规则分解为“行动流程”

将“注意社交媒体发布”这条规则，落实为如下具体行动流程：

明确对象：创建“图像清单”，列举具体的NG模式，例如：出现公司Logo的照片、能看出与客户会面的背景、可能拍到未发布产品的图像等。
简化审批流程：若发布前需要确认，则设计一个“轻量级”流程，例如只需在公司内部聊天工具（Slack、Teams等）的特定频道贴出图片和文案，即可在30分钟内获得负责人的OK/NG贴图回复。繁琐的邮件审批或纸质请示，会显著降低遵守率。
紧急情况应对：明文规定误发布后的“立即删除与报告”步骤，并向全员周知，报告行为不会受到任何处罚。

行动2：嵌入使风险“可视化”的机制

不依赖个人善意，而是通过机制使风险可视化。例如，为防止销售人员与客户发生个人金钱借贷（这也是典型的合规违规苗头），仅靠“每年一次签署重大合规事项确认书”是不够的。

取而代之的是，稍微改变一下财务系统的设计。设定规则：当输入明显不同于常规费用报销性质的、向个人名义账户的大额转账，或向非交易对象的个人付款时，系统自动向财务负责人和总务负责人发送警报邮件。这并非为了监视个人，而是作为保护公司资产的“自动安全网”发挥作用。这在技术上，是许多会计软件都能实现的简单机制。