您当前位置:首页 > 专业学习 > 监管要求

企业中的战略、组织、制度、流程、内控、合规的逻辑关系

  来源:-  责编:注册风险管理师协会

 企业中没有孤立的体系,只有认识不到的体系间的衔接关系和界面的界定。

 
对企业来讲,重要的就两件事儿,一个是战略管理,一个是组织建设,都以动态横、纵向结构化业务为根本。组织建设体现为追求效率的能力提升,保障战略实现。
 
从运营角度来讲,反映为规划、执行两个层面。规划是基于不同时空内的策划,是动态的。放在五年或三年期,是中期规划,放在一年期,体现为以中期规划为指导,结合内外因素将确定的目标转化为结果为目的的计划。绩效评价,是联系结果进行的对目标实现程度的度量,又可以延伸到结果的利用。
 
战略、规划、计划是在不同时段内,驱动企业运作的中枢。在大型单位(火箭院)中完整地走完这条中枢,我用了9年。按时间路线,包括年度经营计划、单位三年滚动计划、五年综合规划、十五年发展战略,是职业路线逐次升级的过程反映,但具体到企业运作管理,恰恰是相反的逻辑。
 
从运作执行来讲,本质是将计划中的事儿,转变为期望结果的过程,即经营。事儿由人利用资源、工具等,在确定的时间内通过活动完成,即便是全自动智能化装备生产线,背后也有人的作用。人是企业中唯一的最具活力、拥有价值增长潜力,也是最具不确定性的资源。
 
01.组织的内涵与机理
 
从原理讲,组织由拥有共同目的的结构化人群构成。企业规模的增长,带来了基于不同功能目的为原则的组织分工。从社会角度看企业,企业是一级组织,从企业看内部,形成了基于不同功能目的为导向的横、纵结合的子组织架构。
 
大型集团型企业组织管理职能,会逐步从人力资源分化出来。企业会基于战略、不同阶段的目的追求、业务结构及各功能之间的关系等,划分为不同的组织,明确目的与职能,起一个名称,集中于一个区域,从形态上表现为机构。机构内的结构化人员通过有秩序的活动,释放功能以达成目标。组织架构、组织结构、组织的概念,是因企业发展所带来的不同空间和表达形式的说法,从内容上各有所指,但微观的底层本质一样。
 
独立出来的组织管理职能,宏观上管理的是组织架构,中观上是组织结构,微观上管理的最小单元是岗位与编制,但这只是表层的表现。这时候,人力资源负责的核心职能,是把合适的人安排在合适的岗位,由此带来选、育、用、留、管的主要职责。一个胜任的人力资源组织,本质是以企业各组织为客户开展的对“人”的经营,而不是停留于“人事儿”。
 
组织管理部门与人力资源部门是紧密的耦合关系。这就是笔者当年在火箭院负责战略、组织管理时,经常与人力资源部门沟通、探讨岗位结构、职位资格标准的原因。当然,也包括对超出确定标准之上的项目组织管控。
 
企业中,凡是提到“控”的,一般都有参照基线标准,否则,何谈控?控的另一面是灵活,明确标准是为了授权,授权不能被孤立地理解为“权力”,而是责任。企业中一味地谈“控”,不是什么好现象,往往就是缺失管控基线的反映,当下不少企业的内控、合规管理,都或多或少地有这方面的问题,仔细分析一下,要么模模糊糊,要么单维地“控”,什么事儿,都要讲究平衡。
 
组织的分工,是为了提高专业化能力和整体运作效率,但企业仍是一个拥有明确目标的整体,所以,与分工对应的就是协作。各组织提出的绩效计划目标,都有向上对齐企业绩效,按组织协作关系横向拉通的管理逻辑和过程,包括多角色的配合、上下游串联或并联、单角色的作业活动等,又属于战略管理的范畴。
 
从宏观、微观角度分析,角色包括了组织、人的不同视角,从而形成一个基于企业整体的运作秩序。所以,企业的绩效管理,对人的评价,建立在组织绩效基础上,是管理拿捏的标准基线;对特别突出的个人,取个名儿,叫特别贡献奖,是超脱标准之上的个性。这就是企业中常讲的执行效果取决于设计之初的原因,很多事情,都跳不出这一规律。
 
组织设计具有典型的目的特征,通过职责表现出来,组织履行职责,就需要确立运作秩序。对秩序的规划、建立、实施、运作、监管、维护、改进的过程,即管理的体现,通过规则、执行、监管、评价、改进表现出来。管理以目标、结果为导向,都有一个从上到下、从整体到分工,从宏观到微观的表现,追求的是基于组织整体产出的效率。
 
实务中,企业各部门的管理能力有非常大的差异,区别在于机构负责人管理认识的系统性、可落地性。管理只有通过确定的、清晰的机制,从不同维度、视角确定要素结构,才能形成具体、有形、一致的确定性机制,依靠“话事儿”的方式进行管理,很多反映为原理,本身谈不上可靠性、周全性。所以,人们总会看到企业中存在一些“夸夸奇谈”者,听着很精彩、很有道理,但就是不能转化为工作事项。
 
以上只是企业运营的基本原理,现实中,并没有这么简单,沟沟坎坎、各种因素的匹配、耦合、验证,会涉及到潜在的思维、推演过程。就好比很多人讲的各种观点:战略决定组织、流程决定组织、组织决定流程、流程就是做事儿步骤等说法,听着都有道理,讨论来、讨论去没有什么意义,都没有错,但又都有失偏颇。因为,管理没有唯一解。实务中,这些说法是交叉、并存的。
 
02.规范管理不可缺失之法:制度
 
管理重点、方式与方法,是相对企业追求目标、发展阶段及期望的选择,是服务于经营、提升组织运营效率的体现,所以,管理追求简单、高效。
 
管理简单化,并不意味着把简处留给设计者,把繁处留给执行者,应该是当繁则繁、当简则简。管理设计只有具体、有形、清楚,执行者才能知其责、行其规、做其事儿,管理才能化繁为简,指的是用设计的繁,换取执行的简。
 
中小型企业追求的是生存与成长,能力体现为灵活、高效,更偏重于经营,所以,会对管理有重点地进行选择;大型企业往往已进入稳定增长期,更关注规范化运作,所以总讲“管理规范化”、“一致性”,这就是管理很难复制的原因。
 
目标意味着组织的意图,管理就是要找到一条实现意图的路线、分析影响路线中的各种内外干扰因素,采取必要的控制措施,建立一条管理链,留下一定灵活宽度的路幅,又要防止路线走偏,路幅界面就是标准所在。由此,管理包括目标、组织、计划、指挥、控制、协调、绩效等。
 
管理方法的确定,包括了对可能偏差的事前预测,即潜在的风险评估,采取的措施即控制。所以,我常讲企业的内部控制是针对风险的解决方案,是管理的一项职能,蕴含着隐性的风险评估,而企业显性的风险管理,必须做出定义,否则会成为理不清的一团乱麻。
 
目标因做事儿而实现。企业中的管理,面对的是由不同组织、人员承担的事儿,管理首先管事儿,因事儿把人裹挟进来。为了让员工理解做事儿的逻辑、路线、要求、标准并达成共识,企业会选取一种共同认可的具有权威性的工具,制度产生了。制度管人的说法,并不完全准确,侧重于最底阶的标准控制型制度,只是相对流程作用的一种观点,需要区分什么样的制度。
 
制度是企业实施管理的工具,制度中的内容,是管理思想、经验、方法、智慧、要求、具体措施的固化与传承,本身具有预防风险的作用,由各种控制功能完成,组织是分层级的,制度当然也有阶次之分。所以,企业显性的风险管理,只能在其外而不能重复、混淆,内部控制构成了风险管理的能力基础。
 
这就是我常讲的,全面风险管理的本质是构建两层能力的原因,请注意,我说的是“全面风险管理”,而不是风险管理。内控与风控,二者是有区分的,划分的介质就是制度,内控在内,风险管理在外。如果再继续讨论内控也是管理风险的方法,我没有异议,但你永远跳不出这个“风险困惑”之圈。
 
伴随着外部环境的变化、企业的成长,制度会发生变化。最初的制度,不仅管事儿,也管人,而且还会因问题的重复发生而慢慢滋长,数量会越来越多。正如当下很多企业中看到的制度一样,即使没有流程的形式,依靠制度,也可以构建一种运作秩序,区别是秩序“迂路”的多少。
 
企业选择制度管理,还是流程管理方式的优先度,都没有错,核心在于企业对运作效率的追求程度。华为因系统的流程管理而快速成长,但并不意味着没有制度;航天依靠完善的制度,实现巨大型号项目工程的成功,也不意味着没有流程。制度与流程,二者不是互斥关系,而是各有所长、各有所短、功能效果有所差异、形态表现不同的规则形式。
 
现实中,即使企业采用了流程管理方式,流程也能找到对应的制度,但制度不一定找到对应的流程。可以肯定地讲,无论企业处于什么阶段,制度都不可或缺,区别在于随着流程管理成熟度的提高,制度数量、结构、内容会变得少而简单,运作效率和效果会发生巨大变化。孰优孰劣不好说,但肯定的是,再好的工具被庸者使用,结果也好不到哪去。
 
制度是用来执行、遵从的,与文化有关、与制度设计质量有关、与制度结构化的系统性有关。随着制度数量的增长,制度可能会变得繁多、交叉、抵触、矛盾,制度的执行也面临挑战,久痛之下,企业会加强对制度的管理,制度管理职能产生了。
 
制度管理首先做的,会结合目标寻求方法,会结合方法对制度进行一次全面、彻底地分析与清理,清理是有前提的,也是制度管理的目标,那就是系统性、全面性、适应性改善。如果单从原理上讲,对制度全面清理并不合理,实务中,只有全面清理才能达成制度管理的目标,所以,各央企、国企几乎都做过类似的事儿,但清理是有计划地推动,而不能理解为全盘推翻重建。
 
笔者在某央企集团主管该项工作时,组织全集团对制度的清理与完善,计划用时3-4年时间(上下有一个承继规则原则、合规要求的错位时间段),平衡的是制度清理与秩序的关系。怎么实现呢?仍然离不开两条:规划与计划、执行。
 
制度管理方法因企而异,我们不能用方法去解决问题,而应因解决问题去寻找妥善的方法,方法可以通过分析找到,但不意味着不掌握已有的方法。管理中很多方法模型,就是为了解决通过分析可能带来的的弯路问题,但绝不是僵化套用,任何方法都有背后的假设。
 
规划通过制度架构实现,是确定性、一致性的表现。一级架构解决的是覆盖的“全面性”问题,在重要领域以基本制度作为顶端,从上到下形成整体、结构化功能管理、操作规范与标准的层级,是二级架构规划的反映,解决的是某领域制度的“系统性”问题;不同阶次的各类制度,面对的适用组织范围、解决的问题不同,制度管理必须给予清晰的定义,确定功能作用的空间范围、作用界面,让制度主责机构知道制度管理的要求与规范,促进制度“适应性”问题的解决。
 
很多人在讲架构,但真正理解架构的有多少人呢?我曾见过一个管理者固执地把架构改成一个“树状图”,这种做法,其实已经毁掉了架构方法,结果必然达不到预期。架构必须有共享性、二次可开发性、可扩展性、可补充性,既有抽象的确定一面,又有适用灵活的一面。华为战略管理中的“图、卡、表”,也包括流程管理,本质运用的都是架构原理。
 
企业中的制度是严肃的,需要建立计划、实施、审批与发布、公示、遵从监管与违规处罚的步骤,实现全寿命受控。制度管理既有方法、又有合法合规、规范化的要求,怎么满足呢?依靠的就是主责部门对法规、管理的深刻理解,协作部门分工的专业化符合性内控、法务合规审核内控、制度审批前的制度管理符合性内控,为决策者审批提供保证。
 
现实中,有些企业的制度管理有些理想化,经常会出现“制度全覆盖”的说法,不能说不对,但也不能说完全对。在业务领域,制度应该全覆盖,在职能管理领域,应该侧重于管理重点,是成本与产出的平衡。企业中的管理不能偏执,无论制度、流程程度如何,法治、人治、教化都是同时存在的,关键在“度”的把握以及适应领域,这就是事实。
 
如何做好一份制度呢?一篇文章根本讲不出来,在同一领域,制度针对问题不同而表现为不同结构、方法、重点,拿“道、法、术、器”做一个不太准确的比喻:道体现为管理的理念、原则,法体现为制度,术体现为做事的流程,器体现为日常应用的表单、模板、工具,反映在不同阶次的制度中。请注意,这个比喻成立的前提,是以制度管理优先为假设的,反之,不成立。
 
看一份制度的优劣,既有本身的权、责适应性,上下位制度之间的指导、承继性,也有所处领域各制度间的关系性。所以,不要看那些来自于网络上的所谓制度结构的格式模板,而是因需而定,由制度属性、功能结构的阶次决定,企业中的管理,很多都需要“自定义”,否则,不可能做到具体化。
 
03.保证把事儿做好之术:流程
 
我这样起标题,从流程管理的视角并不合适。因为,从流程管理整体的角度,是在构建一套支撑企业战略实施、运营的生态环境;从单一领域,比如供应链、新产品集成开发等,是在构建一套解决问题的系统方案;从具体管理事项来讲,是在构建一套基于管理逻辑、做事儿的方法与标准。
 
前面说过,看问题都有从宏观到微观的过程。把企业看做一个整体单元,就是为客户创造价值一件事儿,从创造价值角度,又可以划分成产品开发、产品制造、产品销售、售后服务几件事儿;从交付角度,就是准时、足量、保质地交付给客户一件事儿,从交付环节角度,又可以拆分为面向库存、面向制造现场内部客户、面向市场外部客户三类事儿,以及每个环节逆向退货的事儿。本质都是对应的事儿,所以,我总讲看问题要确定站位、视角,否则就变成了原理,而找不到具体方法。
 
譬如,谈客户需求,将新产品开发瞄准需求,每个企业都明白这个道理。但需求本身又包括多个角度,对企业内部面向两个部分,一是产品组合,二是具体产品。只有理解了其中的事理才能具体设计,否则,也只能停留在满足客户需求的“话术”上。而理解的深度,决定着客户需求流程的结构、分工、具体程序、信息结构与流向、控制。流程管理好吗?很好,但不取决于流程本身,而是能够深刻理解内部运营机理的“人”。
 
从事儿的性质上看,有重复发生的例行的事儿,也有偶发的非例行的事儿。例行的事儿,确定最优的做事儿路径,让每个人少走弯路以达成绩效;非例行的事儿,最优的路径仍在摸索、尝试,就需要发挥领导作用、加强管控,以降低不确定性对绩效的影响。
 
做事儿是动态的,涉及全要素、资源的优化配置,那就找到一种适合描述动态的语言,把例行的最优的做事路径描述出来,流程管理无疑是最好的选择,所以,流程是由人写出来的,而不是画出来的。非例行的事儿怎么办呢?用制度管起来,流程管理再好,也并非所有的事儿必须用流程解决,在适当的时候,再把非例行的转化为例行的。
 
为什么这里强调流程,能不能用制度解决呢?当然可以,但制度以文字描述为主,很难兼顾所有资源的配置,也不可能通过确定的角色进行一一描述。其次,虽然制度也强调系统性,但很难通过一份制度,直观地呈现整体,有其固有的局限性。
 
以制度管理作为主要方式的企业,往往呈现为制度数量多、会议多、协调多、争执多、往复多的特点,原因是制度发起于管理部门,每个部门都有自身职责决定的“向私”立场,这是事实,无可非议,实际上,没有“立场”的管理者,不可能是好的管理者,但一般是一个委曲求全的大好人,所有,企业内部才有强势、弱势之说法。
 
制度由不同人员负责起草,人与人之间存在认识差异的客观情况,再加上基于分散化制度基础上的理解,经常会出现因人理解的不同,造成认识存异的问题。这一点跟法规相似,所以才产生了辩护律师这一职业。从趋势看,企业加强流程管理,有其追求发展、提升运营效率、强化管理规范性的必然选择性。
 
如何区分制度与流程的关系呢?不能单独去谈,要分三种情况:一是已经有了健全、规范的制度管理基础;二是制度管理正处于健全过程中;三是制度基础并不健全。三种不同的情况,决定了企业会有不同的流程建设路线、重点的选择,同样也决定了制度与流程的关系,取决于企业现实的应用场景。
 
比如:华为不惜投入300亿,就是要以流程管理作为主要的管理模式;海尔做流程,据说梳理出2000条流程,每条投入约5000美元,同样展现出强化流程管理的决心。当流程做为主要管理方式的时候,制度发挥的自然是保证流程执行的作用,反之,是另一个结论。
 
如果企业不想花费巨大的投入,也不想放弃已经成熟的制度管理基础,那就要思考一个问题:为什么制度执行不到位,经常出现重复性的不合规问题?怎么解决?其实,就是缺少了流程的规范,这时候的结果是,用制度作为优先的管理方式,用流程的显性化、规范化去保障制度理解的唯一性、一致性,用流程保证制度规定的“事儿”得以落地,形成制度与流程的呼应,循序渐进,逐步向流程管理倾斜。
 
回到本段开篇,大型企业追求管理规范化,那什么是“管理规范化”呢?包括三层含义:一是制度规范化;二是流程规范化;三是标准规范化。其作用可以理解为:管理要做到有制可依;做事儿要做到有章可循;监管要做到有标可对。能取得这样的成绩,已实属不易。所以,内控瞄准的是其“三”;合规管理一、二、三都会涉及。
 
04.提升管理品质的举措:内部控制
 
前面我们讲到,内部控制是管理中的一项职能,管理的主要任务是通过建立制度、梳理流程实现。理论中,我们常听到梳理流程、识别风险,将内部控制嵌入流程的观点。
 
其实,这仅仅是一种表述,只要有管理就一定离不开内控,只要有流程,就会有控制功能和内涵的存在,即便是单角色的作业操作流程,也就是有些专家经常举例子讲的收银流程、接待流程、游泳流程中一、二、三、四步骤的表述,也隐含着角色“自控制”的意味,本质是“操作标准”。所以,专家讲的很精彩,最宝贵的是理解其内在的逻辑,不可偏听偏信。如果流程管理如此简单,华为、海尔还用投入那么多经费?举例可择有利者以证实观点,但实务上方方面面俱有,复杂多了。
 
那么内部控制怎么建设呢?我曾讲过,制度、流程具有控制功能,流程中的过程审核、最终审批也具有控制功能。从企业外部看,关注的是审批型责任内控,但从企业内部看,领导决策点、组织决策点你能建设吗?不能,他们面对的是流程整体,是公司治理、顶层管理决定的控制,是流程不可缺失的活动。所以,我总讲企业内控建设很大程度由公司治理决定,但公司治理不能简单理解为成立了几会,出台了几个议事规程,就意味着建立了现代公司治理结构。
 
内控管理的控制功能,只能是过程中侧重于流程某一领域、某一方面的控制。有的控制表现形式,只是“内控责任方”采取的措施,所以,内控必须找到责任方,即支配控制功能的角色。
 
比如:法务审核;制度管理审核;阶段质量评审背后的控制;超优选目录物料选择的审核;资金支出合规性审核;综合规划中对专业发展正确性的审核;预算管理中超概算审核;预算执行中科目、预算执行与计划匹配的审核;选人用人中对当事者合规的追溯审核;投资项目中的战略符合性、环保性、风险评估、法规与政策符合性审核┈┈┈。只有这样,内控建设才能理解内控产生的事理,才能实现“具体化、标准化”目标,而不是指鹿为马。为什么这样理解?职能部门重要职责之一,是对决策的支撑与保证,而不是帮助决策者做决策。
 
会有人存在疑问,那外部关注的审批控制怎么办?不管了吗?那是流程设计、执行问题,属于权责履职范畴,如果这个领域的控制出现缺失、无效,说明管理存在重大问题,而不是内部控制本身,内控到不了那个层级,企业中的评价、审计、监督、监察解决的才是这一问题,不要认为内控、合规可以包管一切。所以,我总讲内控是保障管理品质的举措,是促进企业管理规范化、管理提升的抓手。
 
05.提升管理执行力的抓手:合规管理
 
前面我们讲过,管理无定式,只有结果才能证明管理的有效性。那么怎么理解合规管理呢?合规风险是怎么产生、发生的呢?
 
合规风险自然是因为规则的存在,对企业、员工行为带来的影响,只有影响才会产生存在“违规与合规”的结果,没有规则,怎么会有合规、不合规之说呢?所以,企业也没必要争当“别人喊100%守规,自己就要喊出争当200%合规的典型”,最好的结果是压实合规要求的底线不碰不破,从而谋求企业最大的利益,那才是最高明之举,与道德无关,实务上也是如此吧。
 
如何防范违规风险呢?很多人会千方百计寻求化解的方法,其实就一条,掌握并遵从适用的规则要求,遵从了就不会违规,在规则要求的底线之上开展经营活动即可,我觉得合规管理的最终目的,解决是这个问题。对外规、内制、政策来讲,要提高遵从性,有三种方式:
 
一是用确定性操作规避掉规则风险,即只要按照确定性操作,规则中的红线、底线就不会触及,是主管职责部门的管控设计而不是建清单的表现,反映在清单中,就是措施。
 
二是用管理思维去解决问题,通过具体的内部管理,化解与控制外部法规、政策风险,什么方法?制度、流程我们讲了很多,直到具体化的标准型操作规则,他们都是化解与控制外部违规风险的措施。
 
三是只有内化成本高、风险大的外规,可以直接转变为遵从规则,视同为内部规则进行管理即可,由紧急度决定,而且还会因风险程度高、业务频率高的原因,企业必然会通过内建制度承载外规要求,这是通行的做法,是管理的体现。
 
企业推行合规管理,虽然不能代替企业内部制度管理的过程,但并不意味着这一管理过程不存在,是支撑合规管理有效性的前端。所以,需要找到衔接的关系界面。
 
为什么上篇文章我提出莫把合规管理做成“卷”?规则之道的前提,首先应符合规律。虽然合规管理有三张清单的要求,但也要适度理解,诠释不可过度;虽然合规管理强调“合规风险”,也没必要必须划分出几个层级,真正的风险因素,就是规则中的底线、红线,风险管理要坚守两层多维原则,一因一果,不能无限延展,管理也应讲求“投入产出比”。
 
对于合规管理,千万不要光讲世界一流企业都如此,是哪家企业能达到如此程度,投入多少?千万不要光讲建立覆盖全面的管控流程清单的原理,有哪家流程管理基础薄弱的企业,通过合规管理可以构建出规范的管控流程?而且还应该搞明白流程究竟是什么,从流程管理角度,其实没有管控流程之说,只有因权责而参与到流程中的角色活动;千万不要简单地勾画出合规管理中的一级风险、二级风险、三级风险,要先拿出衡量风险级次的不依靠经验判断的“可操作衡量标准”,同时还要满足企业风险管理的风险级次划分标准,不能出现东边在建、西边推翻的问题┈┈。
 
理想的状态,三张清单应该是自然生成的过程,而不是为了这个结果而开展的工作。三张清单也不应成为几个人做出的结果,而应是企业大多员工长期都要参与的机制产出。时刻把握一点,正确的理想化观点并不等于现实,更不能依靠观点去部署工作,而要在设计之初去亲身体感可操作、可实现、可持续,以及明确追求的效果与结果。
 
通行方法必须满足普遍性企业的可行,得让大家知道怎么做,那才叫可行,只能依赖专家做的,那不叫方法,叫解决问题。对企业来讲,必须搞明白开展合规管理是为了什么?是为了建立三张清单,还是为了提高规则管理的规范性,提高员工主动遵从法规、制度的执行力。必须搞明白什么是管控措施?控制措施绝对不是“提高执行力、严格执行、贯彻落实”等话术表述,而是清晰地告诉责任员工做什么、怎么做、做到什么程度,否则会造成什么损失。解决这一问题的唯一方式,就是建立标准型规则,有制度、表单、活动标准等形式,其次,也离不开文化环境的培育。别忘了,管理的主要表现就是规则,合规管理也不会例外。
 
任何维度的管理,都应向上对齐企业目标。对企业来讲,战略执行力尤为重要,包括两个方面:一是计划执行力,反映为任务完成率;二是法规、政策、制度的遵从力,反映为企业的管理有效性。所以,正确地看待合规管理,把他作为提升管理执行力的抓手,是让责任员工“知规、行规”的过程,与规则管理的协同界面表现在此。
专业学习

qrcode_for_gh_b21e4e580d56_258.jpg

协会官方微信公众号二维码