大型企业中的管理非常复杂，任何职能管理也并非完全独立，或者说，只有由于人的阅历、能力、思维、认知、思考、追求带来的禁锢，根本没有孤立的职能。

企业中，要“做好”一项管理，从没有依靠“单一方法”能够解决的可能。我不喜欢讲正确理念下的废话，告诉你“应该做什么，不应该做什么”，而是分享基于体认的思考与方法，导致文章有些长。

问题是，怎样才算“做好”？有多大的瓶子装多少水，每个人的追求、理解、实践经历、经验不同，看待问题的思维、态度、行动就会不一样。

就好比内控、合规、风险管理一样，有的人认为写出一套应对上级检查的资料、完成上级要求的报告、出两份制度，就算“做好”了。但我认为，只有可持续、可发挥效能、对企业有价值，才算“做好”。

01．谈点职业生涯中的体会与感悟

在我的职业生涯中，曾先后有过在大型企业承担软件开发、人力资源，亲历大型航天工程项目管理、质量管理、经营计划的实践、学习经历。也有承担并负责企业级综合计划、战略、系统变革、能力统筹建设规划、风控、内控、合规、制度与流程等职能管理岗位长达16年的磨炼，跨越了3层级单位至集团层。然后，再步入企业管理咨询行业，去接触、领略各行各业的企业。

正是这种复杂的多维经历、实践，不断地学习与思考，在与很多企业的接触中，他们都能够一眼看出“文章”的不一样，我也自知总有与别人不一样的看法。

为什么会存在不一样的看法呢？很多人看问题，用的是“单维”视角，我用的是结合实践、学习从“整体、多维”视角形成的体认。其实，不管是企业还是咨询行业，都有一种习惯，或者说存在的共性问题。

企业中不少管理者，由于缺少参加“系统化实践行动”的机遇，再加上因“事务缠身”而不再去有目的地学习，导致拥有系统化思维的人“少之又少”，用自己多少年前的那点儿经验积累进行习惯性管理的人比比皆是。

咨询业是什么样子呢？没有企业实践经历的人帮助企业搞管理的满大街都是，依靠的是书本、文件上的理解，或者一套模版的转化，其实就是在写资料。能讲的做不了，敢做的看不到本质，更别谈系统思维，而管理是系统的，又是真正的企业实践，导致咨询界鲜少有能落地的产出。

如果看一下企业中建立的内控、合规手册，到处都充斥着“科学、合理、贯彻”之说，或者把职责、制度中的说法搬过来、倒过去，流程也是横跨部门、纵跨单位层级的做法就明白了。

这种做法，不可能体现出责任，更不可能勾勒出控制活动及作业标准，甚至还会因极大的颗粒度，把企业中已经形成的管控精华，给扔的一干二净。因为，标准因“管理”而产生，而不是来源于面向所有企业的规范、办法。咨询之后，本应是新产生的能力，而不是“乾坤大挪移”。

为什么出现这种情况呢？书本、文件面向的是“大众”，企业的实操，与规模、行业、业务模式、目标、方法、环节、关注要素紧密相关，问题出在由于缺乏实践的体认，不能很快理解“操作层”的目的和方法，找不到具体的措施，只能用“正确的废话”表达。

真正的管理，解决的是怎么布局、做什么、怎么做、做到什么程度、谁负责做、谁负责监管、谁承担管理总责，通过显性的、稳定的方式展现出来。那么，人们总讲的“落地、执行”是什么？

很多人把执行理解成“做”的行动，从管理的维度看，执行是“标准”，用胜任的人、用监管、用机制去保证执行。所以，企业中开展的内控建设，产出的是能够被认同的“流程”、能够实现控制目的的“节点作业标准”。

合规管理又是在做什么呢？不要被“风险”牵住了牛鼻子，很简单，来源于规则，回归于规则要求并得到执行，这就是合规管理的目的，最终的风险控制措施，反映为“能够自控制的标准”。当然，很多人都在讲流程、讲标准，但人与人之间的认知完全不一样，本文也表达不出来。

那怎么解决呢？回到企业中，用标准定义下来，统一认知，又回到了“标准”。怎么定义呢？仍是那句话：多大瓶装多少水。

打个比方，我曾对合规做了4种分类，是这个领域独有的做法吧，今天我们拿“合规审查”来讲。

很多人为什么停留在“合规审查”的说法上不可自拔？一是“管理办法”中没有界定，二是理解不了企业管理中的“责任体系”。没有责任界定，谈什么合规管理？那不就是讲个故事吗。

在我看来，可以分化出对应不同责任的“现场监管、现场巡查、管理监管、管理审查、专业控制、法律控制”类型。他们是不同应用场景、面对不同对象、采用不同做事儿方式、承担不同责任的具体反映。清晰了、定义了，就没有什么可讨论的空间。一个模糊的似是而非的概念，总不能在“八个人十种认识”的基础上谈落地吧。

有人会提出疑问，那通常讲的“合规监督”、“合规检查”是什么呢？去定义呀，反正他们不能视同为“合规审查”，责任主体、目的、承担的责任，连“中心线”的一致性都不靠边。

问题是，你得理解现场、管理、决策、审批的界面、层级结构责任的划分吧，得知道体系用什么表达吧，得知道流程从整体到末节的切割机理吧，得知道制度类型及目的吧，得知道标准类型的划分与表达方式吧┈┈。这就是为什么企业天天喊“体系”，最后，一个都没成型的原因，很多都是在一个“模糊”的概念上兜来转去。

体系通过管理手册、流程作业说明书表达，基于“事儿”的流程，得落实到角色，是角色在做事儿和承担责任，而不是部门；部门间反映的是管理关系与实现方法；再往上的高阶流程，部门都不存在，反映的是企业的布局。不然呢？流程做事儿，岂不又变成“理念性忽悠”了？

所以，我做的“企业制度与合规集成体系”，由近百条具体流程组成，都是从包括“制度、法务、合规、监督”架构上层层分解、切割、拆解出来，当然也包括过程中的表单。要做体系却不做流程，那怎么运作呢，开个会，就代表了运作？企业中的员工能知道吗？流程确定了，哪来那么多风险。

端到端流程，并非一个“横条”，而是一个多横条组成的结构。横条流程，只是一个逻辑展现的“整体、相对整体、阶段划分”的表现，而结构体现的是“多职能之间”的“协同”界面。协同，不是空喊，更不能简单理解成“职能之间的包容”，他们仍然是单独的存在。

相对来讲，都在喊流程梳理，怎么梳理呢？从整体到结构、到每个结构的一级流程规划、到流程清单，是一个从顶层分解的正向过程。但是，梳理流程，则是一个从最末端的跨角色作业流程，逐步向上收拢、汇集的逆向过程，期间有双向的不断调整。而且，流程应该是横向的，才能展现责任关系。

会有人说，我们做合规管理，从没有做过流程。所以，我说那种做法是“写资料”而不是做体系，更不是可持续的体系。我们经常听到一句话叫“束手束脚”，在大型企业中，特别是大型国企中表现的淋漓尽致。

束脚，指的是企业中的组织架构、机制，以及来自于上级管理者思维、认知、追求、能力的局限与干预，决定了你能够迈开步伐的跨度。这是一个“定义标准”，能被大家认知吗？

束手，指的是管理者受自身系统思维、经验、认知的能力限制，导致难以形成管理思想、管理方法，以至于不知道该怎么做、管什么、怎么管，决定了你做事儿的效率与成效。这是一个“定义标准”，能被大家认知吗？

要解决束手束脚问题，就得放开手脚。我们用本文提高下认知，是我自己的归纳。结合职业经历，我把对管理的认识，用4句话概括：战略的尽头是管理，管理的尽头是标准，标准的尽头是合规，合规的尽头是人的能力。

02.战略的尽头是管理

讨论战略的人有很多，也要分不同的维度。其实，战略管理绝不是战略管理部门独有的事儿。战略管理部门解决的是单位层面的方向、目标、指导方针、路径选择、基于目标的能力布局与保障措施问题，即中长期战略制定问题。

中长期是相对概念，没有固定的标准，不同行业的认识并不一致。

比如：航天产品具有相对长期的稳定性，所以，我曾做过运载火箭研究院首部15年长期战略，体现的是一种期望理想目标下的“转型”路线导向，是为下一步能力结构布局的系统化改革做出的导航标；也曾做过3次5年综合规划，体现的是以长期战略指导思想为原则，在既定能力布局为前提下的中期目标实现路线；也曾做过年度三年滚动规划，体现的是年度绩效计划目标导向下、单位管控的关键事项，然后再细化到科研生产计划部门的年度经营计划、财务部门牵头的全面预算财务计划，再往下细分，就构成了采购计划、项目实施计划、子单位的年度计划等，都是战略管理的体现。

放在华为、美的这样的企业呢？他们绝不会做15年战略，因为他们从事的是公开竞争环境下“相对更迭较速”的产业产品，最多放在5年或者3年期，而美的甚至会出现以“月度、周”为代表的经营计划。

期望的战略规划，首先是“唯心”的一种表现，唯心，需要用内部能力布局去夯实“实现”的可能。所以，企业级的改革、变革、组织管理职责，一般都设置在战略规划部门。

从战略管理本身来讲，有基于职责的管理成分，但更多体现在战略制定、分解、组织绩效管理。战略实施反映在哪呢？反映在以“制度、流程、标准”为支撑能力的“完成计划事项”和“过程风险管控”中。我们常讲的风险管理，就在这个中枢上。需要说明的是，很多人认识的风险管理，跟我定义的风险管理，不是一回事儿，别混淆了，所以，很多人做的是写报告，我在企业中做的是定型的实践。

实际上，企业中常见的“非规律性”协调会、分析会、重大节点评审会等，恰恰是“风险管控”的具体行动表现之一，而不是管理。只不过很多人把风险管控误当成了管理，管理的核心在于“建制度、理流程、定标准”，并推广执行。

这就是我为什么总质疑风控领域提出的“几位一体”的原因，依靠风险管理，根本做不成流程管理，流程管理是一套系统解决方案，而不是松松散散的“具体流程片段”。别说“几位一体”，我把“制度与合规集成管理体系”顶层的整体流程结构在前些时候公布了，有几人能把他分解、稳定下来？管理不能瞎忽悠。

很多人都在谈变革，流程管理谈流程变革，组织管理喊组织变革，仍离不开看问题的维度。从最高阶流程的维度，任何高阶流程的再造，都会带动业务能力结构布局的变化，自然会牵引组织的调整。那什么是改革、变革呢？

改革体现在“时点”活动，变革是因改革活动带来的逐步发酵的化学反应过程。对企业来说，任何不涉及“业务管道、能力结构布局”的调整，都不能称其为“改革”，只不过很多企业把看似“因目的需要而进行的组织与职能调整、管理模式或方法调整”打上了改革标签，缺少“改革的判定标准”。

改革，一定是由“高风险动态业务能力布局变化”拉动的组织调整，而拉动业务布局变化的，是希望改变成的经营模式带来的潜在“流程再造”。所以，长期战略、经营模式的变动，一定会导致流程再造，会带来改革，会带来管理的调整，会发生组织变革。

一套系统化改革的效能发挥，不会低于5年期发酵期，也就是说，从第五个年度开始，无论当初的改革是成功还是失败，都会越来越快地发生效能的变化，直到达成新的平衡。所以，改革是有风险的，并不是改革就一定正确，也不是一定就成功。

如果大家感兴趣，可以从网络上查从2005年开始，到2020年运载火箭年度发射的次数，画出趋势线，从2010年看结果变化，就能感知到“正确的系统化改革”的魅力，是当年改革设定的期望目标，因为，能够证实管理有效的，只有结果。结果的变化，还不计管理适应化调整，因为，后边配套的管理改进，并没有完全跟上改革的步伐。

在战略制定、分解之后，进入战略实施阶段。战略实施就是把计划转变为结果的过程，实现的程度，通过现实绩效与目标绩效计划的对比进行度量。所以，衡量企业效能的前提，离不开“效能成本”的概念。

什么是效能成本呢？比如，我曾在某集团公司一人承担其它央企多个机构承担的风险管理、内控、合规、制度与流程管理职能，在同等产出甚至高于其他企业产出的情况下，没有落下任何一件事儿，单位成本的产出应该算很高了。当然，依靠的是“人”的作用，别看每天不紧不慢，那么有本事别加人啊。

再比如，我曾承担过制度管理模式的调整任务，用不到两周时间出台总体方案、实施方案，设定若干用于判别的定义标准。在一帮开头儿什么都谈不出，完成后一哄而上的高级专业型管理人士东拼西凑、不明白的就删除的强改烂删中，标准消失了，针对领导决策层、作业执行层的两套方案，被合并成一篇“理念性文章”了，再次回归到人人可以认知的低水平“模糊”状态，用时7个月，单位成本的产出当然是最低的。

问题出在哪了？管理存在严重缺陷，没有衡量标准，做事儿无标准，用人无标准，在不同的产出下“毫无压力地拿着高薪”，体现的是一种慵懒、官僚文化，这就是大企业病，反映的必然是到处的“人治”，出问题是早晚的事儿，而一旦高层出了问题，剩下的就是一串儿问题，这就是环境的作用。风险，有一个“量”的积累过程。

效能成本，是影响战略实施的关键环节，解决效能成本问题，依靠的是管理，企业任何的管理改进，都体现在效能成本的改善上，是提高战略实施力的措施。所以，我说“战略的尽头是管理”。

03.管理的尽头是标准

什么是管理呢？管理首先解决的是“事理”的认识与梳理。事理来源于哪？

来源于企业战略指导下的业务布局，来源于业务域的价值定位与管理模式，企业中所有的职能、事儿，围绕的都是对业务运作的支持与服务，落地于制度、流程、管控标准、控制标准、作业标准、结果标准。所以，我总讲，企业中的制度、流程、标准、表单、模版是体现企业战略实施力的反映。

为什么企业总感觉制度、流程难以发挥作用呢？去看看设计，设计出了问题，怎么会发挥作用呢？决定设计水平的是什么？当然是“人”。

其次，必须纠正一个观点，制度、流程的施行，并非像一些专家讲的那样必须全面执行，需要区分哪个层面的制度、流程。在管理领域，也不是万事儿都要一样控制，通过设定的管控基准，超出基准的必然加严，低于标准的不会浪费时间，这就是“风险容忍度”的标准定义。

而且，即使触发了加严管控的条件，控制的也是关键环节的关键节点，控制标准指的是关键要素指标的设计。一个好的管理类制度，在节点之处一般都会有“表单”存在，也就是说把内控转变成了“前置的自控力”，规避掉很多的“风险要素”。这就是我总说内控建设是控制活动“具体化、规范化、标准化”建设过程的原因。

当然，越接近于操作层面的制度、流程、标准，刚性度越强，特别是现场标准，只有在满足标准前提下才具备继续作业的条件，现场合规监管，就是对标准执行的衡量，一旦出问题，作业执行人、现场合规监管人负有“同等执行责任”，因为，二者是分不开的。

制度、流程、标准、表单、模版，贯穿了管控、执行、衡量的全过程，所以说，不可衡量就不可管理，而衡量的尺度就是标准。那么衡量又是什么？不就是监管、审查、控制吗。当然，这里的标准不能理解成狭义的“点标准”，控制也不能完全理解为“他人的控制”，标准明确了，执行人自己就会“自衡量”，所以，标准体现的是执行。

要做好管理，必须有一个从系统宏观理解到微观实现的“抽象”认知、分解、细化的过程，产出就是制度、流程、标准，他们都是不同程度的“标准”。所以，我说“管理的尽头是标准”。

04.标准的尽头是合规

什么是合规管理呢？从国家层面，当然离不开法律法规与国家监管政策等外部法规，但是，如果把合规管理就视同为“防法律风险”课题，那就真的令人哭笑不得了。

“风险”这个词，永远离不开认识、度量、预测、判断，然后采取行动，无论用多么“学术”的语言表达，都摆脱不了这一过程。问题是，风险的判断是怎么来的？别给我讲“风险评估”。

如果我们把企业中现有的管理清零，也就是把已有的制度、流程、标准都认为不存在，会是什么情况呢？

第一，判断外部法规、监管政策要求与企业活动是否相关？如果相关，就要分析企业开展活动中，会触发外部监管要求的条件是什么，这就是关键风险环节的控制要素。

第二，考虑如何让企业业务活动正常进行呢？企业不会拿着法律法规，去指导、监督多到管不过来的员工们怎么做吧。所以，企业的合规管理、内部控制与企业的规模有非常大的关系，有相同的机理，但没有一样的做法：力所能控，就用外部规则，通过“人”实施风险控制；力所不能及，就需要内建制度，梳理流程，用规则管理。这不就是大、小企业的划分标准吗？管理都是相通的，问题是能不能汇融于一体。

内建制度、梳理流程、规范管理，是保证企业正常运营、防控法律、政策风险的控制措施。是什么机理呢？是“制度管理”的机理。合规，是一个非常大的概念，其核心中枢就在企业适用的“制度”，但是，合规管理不能从“零”开始，全是书面认知的表现。

第三，同样的道理，一份管理制度的出台，由于存在对关键风险环节的要素控制，对员工来讲，再次构成了“内部制度合规要求”，合法就变成了合制。如何看待外部规则与内部制度的区别呢？

外部规则的适用体是企业，或者说是企业中的某个业务域，而企业中的制度，是一个从整体、业务域、关键控制环节、关键要素、控制标准、保证措施的分解过程。这个过程，从合规管理的维度，是防范法律风险控制措施，越来越细化的传导路径。

第四，问题是，企业中已经有了大量的制度，但却不知道企业制度的“优、劣”，所以，企业合规管理中的合规风险评估，是一个不断演化为“合规要求”与“内部制度”之间的平衡过程。

平衡后没有问题，外部法规“视”为消失，企业的运营转化为对内部制度的执行；平衡后存在问题，意味着抗合规风险能力缺失或存在缺陷，而风险的控制措施，仍然是“制度”，这个制度是个大概念，可以是管理制度，可以是执行标准、可以是表单与模版，与企业的管理追求、实际应用场景、制度管理“密不可分”。

所以，合规管理既是一个提高“制度设计可行性”的过程，又是一个提升“制度遵从力”的过程。

第五，如何提高制度的遵从力呢？前面讲过，标准意味着执行。所以，合规风险的控制最终会落实在“标准”，而不是“贯彻、执行”的话术。同样，反映出“内控建设”的关键所在，既有流程梳理，也有控制活动的标准化建设，流程恰恰是“提高管理制度执行力”的措施。

由此，企业中的“规范类制度”并不一定是单纯的“章、节、条、款、项、目”的表达方式，还有“类技术标准”的表达方式，形成不同类型规则之间的衔接。

比如，合规管理中的《员工诚信与合规准则》，很多人把他说成是顶层制度，我倒认为是一套规范类标准型制度，而不是像企业中冠以的“员工诚信与合规管理手册”，根本没搞明白合规管理中的功能结构关系，也没搞明白制度与手册之间的关系。

第六，怎么理解合规风险清单呢？清单是一种可视化表单，可视化的内容是什么？是风险吗？这就是正确理念下的表像认识。清单展现的是对应规则的“要求、限制”，是“长态”的存在。

合规风险是什么？是指导责任部门建立控制措施的“诱因”，只有建立并落实了具体措施，发生合规风险的概率意味着降低，剩下的就是管理中“对人”的控制，而不是像很多人想象的“搞出一套静态的合规风险表格”，才是合规管理的成果体现。清单，仅仅是一个过程产出的显性化、稳定化表现，随着制度的变化而动态产生、变化、消失。

当然，企业搞出一套体现责任的“重点法律、政策合规风险清单”，还是非常有必要的，是法务进行“管理”的体现。事实上，很多企业的法务工作停留在“法律审查”而止步不前，没有发挥“职能管理”的作用，应该把法律、政策风险的责任，通过管理落实到有关部门，难道这不是法律部门的“务”吗？

合规风险的控制措施落实到什么程度呢？标准是一个大概念，包括制度、流程、作业、控制、结果等表达方式。只有最接近执行标准，才是确定性行为导向，才是“合规风险”的解决方案，仍然跟“规模”有关。所以，我说“标准的尽头是合规”。

05.结语：合规的尽头是人的能力

管理还有另一层面，解决了支撑战略实施的制度、流程、标准等能力问题，也就是支持做事儿的问题，怎么保证让做事儿有效能呢？这就是机制问题。

机制是为提高单位运营效率，降低成本采取的保障措施。机制更多反映于人、组织层面，即对事的干预，对人的激励与控制，体现的是一种策略，并非企业中万事儿都冠以“机制”的习惯做法。

不管是机制还是标准，都应该建立在正确的“指导思想”下，否则，就会出现“伪机制、伪标准”问题。所以，我说“合规的尽头是人的能力”。

我为什么要做合规集成管理体系呢？企业不能为合规而合规，那叫耍把戏，而是要在推进合规管理中，把外部法律、政策风险的控制，转变为公司现实的内部能力，让制度建设向全面化、系统化、适宜化方向转变，当然，并非只有自建的制度才叫内部制度，而要提高制度的系统性，就必须培养和提升管理者的“系统思维和认知能力”。

流程的设计，既满足了企业领导者决策关注重点的需要，也实现了管理部门对领导决策的具体支撑，形成了倒逼管理者提升系统能力的机制，同时，合规义务与风险清单动态产出，既不会增加管理部门的负担，又可以提高企业员工对制度核心要义的快速获知与理解，合规管理体系得以持续运作，本质是把“管理、人才、合规经营”能力的共同成长，转变成了企业现实的具体实践活动，对信息化、数字化建设具有极大的支持意义。

来源：互联网