除初创的微小型企业之外，任何一个中大型企业都离不开制度，只不过由于企业所处阶段、追求的重点不同，制度渗透的程度、分布状态不同而已。

处于成长期的企业，追求的重点是扩张，面对的风险是生存，制度分布会反映在与外部合法合规、员工利益紧密相关的领域，以及员工群体行为的规范。

当企业进入成熟期后，追求的是短期收益增长与支撑中长期持续成长力的协调，规范治理、高效运营成为企业家的期望，企业开始进入强化制度管理阶段。

事实上，制度管理与流程管理紧密相关，就好比跷跷板一样，系统化流程成熟度高，制度的倾向性、侧重点、数量就会发生变化，反之，制度的覆盖范围、结构、数量就会比较系统、严密。

制度管理没有完全公认的方法，而是一项根据企业期望所采用的管理实践，方法的优劣只能通过结果证实。本文重点针对流程可视化基础比较弱、以制度作为主要规则形式的大型企业进行阐述。

01.制度是用来做什么的

长期以来，人们对企业制度的看法并不一样，有的认为是一层层为控制而建立的紧箍咒，有的认为是需要时拿出来、不需要时束之高阁的形式，有的认为制度就是为了管人的工具，更有甚者，将制度作为应对外部监督、上级检查不得不建立的手段┈┈

这些观点都有失偏颇。制度本身仅仅是一个体现权威性的规则工具，工具是否能用、好用、管用，取决于管理者对制度的结果期望、制度设计参与者的认知、达成结果的过程风险控制措施、生成过程的共识，以及对制度的态度与规则文化。

制度是用来做什么的？这个话题并不好回答，可以说成是管理采用的方法，可以说是用来规范管理的措施，也可以说是管人的。都有一定道理，但似乎又都不太准确。

在我看来，制度是为了达成期望结果而建立的在适用范围内由组织、员工共同遵守的规约。只要是规约，一定会存在约束的属性。制度一定是由人设计的，也一定是由人遵从与执行的，无论是企业还是企业中的组织，都是由人构成的。

制度往往产自于管理部门，以企业的名义发布，由管理部门负责推广、监管与维护，但不能片面地认为是管理手段，只是由于领导者、管理者、执行者的职责不同，按照制度规约各自表现出的不同行为。

既然制度是共同遵守的，制度制定过程就应该在三者之间达成一定程度的共识，是决定制度有效性的关键要素。

既然制度是由人遵从与执行的，那是不是意味着制度就是管人的呢？

企业中确实存在管人的制度，比如，企业员工行为规范、员工合规行为准则等制度，本质就是规范、约束企业全体员工行为的制度。

但是，看问题不能从某一个方面就得出整体结论。员工到企业是做事儿的，企业也是通过做事儿一步步向愿景靠近。所以，企业制度的建立总是遵从“事第一、人第二”的原则。

反过来看企业员工行为规范、员工合规行为准则这些管人的制度，又会得出什么结论呢？是不是又可以解释为人在企业做事儿，必须遵守的公共要约呢？

管理之所在，贵在“理”，指的是事理，辅以“管”，指的是通过对人的动机、态度、行为、能力缺陷所采取的措施，目的是为了让符合事理的做事过程更稳定，从而产生符合预期的结果。我们常讲的“内控”，就是其中采用的措施之一。

怎么看待管理呢？并不是自上而下的控制，而是把符合事理的布局、运筹过程明确下来，对风险环节采取影响措施以保证运筹有效，运用制度、流程等规则工具表达出来，从而形成一种运作秩序。所以，管理的首要任务是建制度、理流程。

企业中常见的多如牛毛的听汇报、问题协调等会议现象，本质是制度、流程基础薄弱的表现，无形中，形成了管理高高在上的错觉。事实上，管理因运营而存在，不能为提高运营效率、质量或企业安全带来效益的管理，没有存在的理由。

看待企业中的制度，有五大环节：一是制度确立的运作秩序，制度是为了运作而不是单纯地为了管；二是制度的效能，决定效能的不是某一个环节，也就是说并非单一制度所能决定，而是顶层设计的科学性，构成了制度建设的顶层指导、约束与统领；三是怎么建制度，决定了如何让业务域、职能域的运作产出符合最大预期；四是怎么管制度，决定了如何实现外部合规与内部合规的匹配，以及制度的易获取性；五是如何让制度发挥作用，即制度的推广与合规执行的监管。

以上五个环节，构成了企业制度管理必须考虑的内容。

02.做好制度建设的关键是什么

企业中有两大现象：一是一个职能管理部门在组织变革中被裁撤；二是管理部门不断地听汇报、协调并解决问题。两大现象都不是偶然，而是与制度基础薄弱有非常大的关系，是一种表现，但不是决定条件。

我曾于大型科技型单位从事过战略与组织管理，在组织变革提案中涉及过组织调整、部门裁撤，也见到过去提议新建的技术管理部门被裁撤的结果，还见过组建不足两年的职能部门被直接撤销的结果。

试想一下，一个大型科技型单位，技术管理部门是否有必要存在呢？太有必要了吧。

为什么这些部门被裁撤呢？我曾做过分析，有一个共同特点：不知道做什么、怎么做、自己发挥什么作用，只是根据过去习惯从事些事务型工作，或忙于处理暴露出的问题。

结果是什么？这些部门管理者其实也很痛苦、很被动，上边压、下边催，不是不忙而是自己都不知道在忙什么。

是因为这些部门缺少制度吗？不是直接原因。是因为管理者不明白职责下的系统应该怎么运作，就产生不了用以改善的制度，那就只能深陷问题的漩涡中。

会有人说，他们有组织职责啊。企业中的组织职责是什么？是清晰组织定位、界定组织边界的粗放型依据，不会涉及具体的管理模式与管理方法，也就是说涉及流程结构、流程中涉及的动态职责，需要在管理部门确立运作模式、管理模式的前提下，通过方法展现出来。

但是，如果没有思路何谈方法？没有方法，何谈制度？没有制度、流程，就一定会呈现出以“解决问题”为主的工作表现，有时候这些部门还会很忙。当然，还有一种方式，为了解决问题订立制度，其结果就是制度泛滥、交叉、重叠甚至相互抵触，原因是缺少系统思维。

为什么呢？新组建一个职能管理部门，必然有领导者感受到的运作问题和改善期望，前后能否带来新变化的直接感受是最强烈的。如果一年、两年没有带来新的变化，那就意味着增加了一道无效或低效管理，能不被裁撤吗？

怎么做好制度呢？有两种含义：一是怎么把制度设计好；二是产生建立制度的需求与欲望。无疑，后者是管理能力问题，是因思考、思路、方法、结果期望决定的需求；前者是人的经验和技能问题。做好制度，核心是后者，前者是实现条件。

在01中，我们讲过管理效能的发挥，不是“我想怎么管”而是“怎么运作”，运作的效能决定于顶层布局，反映在管理上叫策略，反映在制度上叫基本制度。效能通过系统地、有条理地运作反映出来。

同样道理，从代表该部门职能发挥的制度角度，希望的是什么？反映各功能模块制度的应用，会从顶层逐步分解到执行层，通过制度就能够基本掌握该领域的运作状态，管理上称为“可控”。

还希望什么呢？制度执行者获取制度后的理解与可执行，并不意味着每份制度都面对同样的群体，还有不同环节参与的部分群体，他们最关心与自己相关的那部分制度。

一个富有整体观、逻辑思维的管理者非常重要，如何通过制度反映职能策略、让每一个功能模块正常、协调运转呢？就带来制度规划的需求，通过规划映射职能域的布局、功能运作、重要环节程序、执行标准，建立保障措施及数据规范。

剩下的就是依据制度规划按照实施计划起草制度，履行制度的“立改废”流程。

是不是企业中的每个一级职能管理部门都能理解以上逻辑呢？不一定。但它是面向群体组织的“一致性”运筹逻辑，依靠什么解决呢？制度管理的策略与方法。

03.制度管理应该做什么，怎么做

大型企业一般都存在制度管理归口部门，应该做什么、管什么？看似普通的问题，在各企业中的认识、具体行动上各有特点。这就是我开篇把制度管理说成是“实践方法”的原因，认知决定了行动的天花板。

在很多企业中，通常做法是“管企业自建的符合格式要求的制度”，导入制度管理IT系统的企业，一般会延伸到来自于上级单位的制度。从行动上，每个企业都有管理制度的制度，也都有制度分层的表达。

不管怎么做，都有每个人的认知道理，无所谓对错。问题是，制度管理对企业来讲，要做到什么程度才能满足企业制度化管理的需要，让制度发挥作用。所以，制度管理选择的方法，要建立在对领导者期望、制度作用、各职能管理部门需求、下属单位需求、执行者需求的全面理解上，才能找到适合自己的方法。

这就是我总讲单维、单一专业思维、系统思维、逻辑思维的原因，单维思维在管理上很难行得通。管理有感性认识的需要，但更重要的是逻辑下的理性。

企业中任何管理方法都是目标导向型，制度归口部门首先要考虑的是拥有有效的制度，即数据。要解决数据，就必须理顺数据产生的逻辑流，无非来自于三个方面：内部自建的、所在系统即上级单位发布的、系统外部的。

自建的很好解决，来自于外部的那部分是不受控的，这部分制度包括什么呢？只要是适用于企业、具有约束力且存在不能承受违规风险的，都属于应纳入管理的“制度数据”范畴。

来自于外部的包括哪些类型的制度数据呢？有显性的符合制度格式的，也有来自于外部监管机构具有权威性的政策文书，怎么办呢？订立控制标准。比如，企业具有违规风险且有效期超过两年的监管文件，视为制度进行管理。

为什么这样做呢？制度数据管理的目的不是数据本身，而是为提高管理执行力夯实数据基础，满足企业组织、员工拥有制度的“易获取性”，制度不能单纯地分布于各主责部门而处于不受控状态。

既然导入外部规则来源于各部门，就存在“对违规风险的不同认识”，怎么办？导入外部规则的合规风险评估模型，统一风险评估标准。如果评估结果出现“不稳定”怎么办？设置“选择”控制点，团队组织出现了，增加了工作量降低了效率怎么办？每个季度选择一次的成本投入，相较重大违规风险来讲，还是值得投入的。

这是什么思维呢？流程思维。

会有人说，法律由法务部门负责管理。可以这样理解，但法律遵从的直接责任不是法务部门而是与法律要求对应的职能部门，是其一；其二，企业强调数字化，数据来源是唯一的，只能来自于制度管理归口部门，是掌握“具有一致性属性”完整数据的唯一来源，是企业员工获取规则数据的公共平台，但并不影响法务部门对法律文本、各部门对政策、制度的拥有与掌握。

在当下各企业强调数字化能力的背景下，任何管理都应该考虑到数字化建设的需要。

这种做法的真正意义是什么？完善了制度管理，夯实了合法合规经营的基础能力，找到了外部合规与内部合规的结合点，内控、风控成为了确定性的保证措施。

这种做法是不是风险管理与业务融合的体现呢？这就是我总讲“风险管理与业务融合不是喊的，而是做的”、“管理要变成确定性”的原因。

解决了制度数据的一致性管理问题，企业遵从和执行的制度怎么做呢？涉及到企业运营体系、各职能系统、下属单位的统筹统联。

企业为什么建制度？目的是要构建一套有秩序的高效运营体系，这一点对任何企业包括下属企业都适用，怎么实现呢？

第一，建立一套适用于集团、下属单位的通用、相对刚性的结构框架，作为体现运营体系结构的共享框架；找到保证体系稳定的成功要素强化控制，我称为“一级制度架构”。

第二，要考虑到同级各职能管理部门的需要，兼顾部门一定程度的灵活性，满足他们“建立系统化制度”的需要，通过规划反映出来，提供给各部门进行规划的应用工具，我把规划的结果称为“二级制度架构”。

第三，要考虑到下属单位制度管理需要，不能剥夺下属单位制度整体规划的权力，化解 “传统行政管理带来的制度层级性误解风险”，并不意味着上级单位建立了基本制度，下级单位就不能拥有自己的基本制度，明确这种规则只适用于本体单位，又是“确定性”。

第四，提供了工具怎么规划呢？设置全集团统一的“一致性体例名称选择标准”。要考虑各部门选择体例的错判，体例关系到“流程的审批责任”，会出现“人性投机风险”，订立“判别标准”，构成了制度归口管理部门审核的“控制内容”。所以，制度管理的内控包括什么？看似是体例，实质是审批流程的选择。

企业中的内控，很多因“管理要求”而产生，而不单是内控指引中涉及的内容。同样，管理要求来源于哪？也包括来源于外部的合规义务，这就是我反对通过粗放、提高内控可复制化程度，简单把合规管理定义为外部合法合规那些做法的原因，由于没有转化为内部管控而降低了应发挥的作用。

第五，要前瞻性地考虑到制度的可执行性。可执行性不是制度发布之后形成的，而是产生于制度设计过程中。最大的风险是什么？达成制度共识的要素包括“主导者、参与者、执行者代表”。

为什么企业制度都有征求意见的过程，但总会出现不能被执行的情况呢？问题出在制度主导部门根据自己的理解，只征求了同级参与者的沟通，出在由于制度范围过大、执行者无所适从的象征性参与。

由于二级架构的清晰性，会构成不同体例制度的适用范围与作用，就决定了相关制度对沟通对象的选择。任何管理的有效性，不是体现在结果端，而是前端设计。

第六，确立不同制度的审批流程，把以上内容通过制度表达出来，通过制度管理手册进行详细说明，让所有制度管理范围内的参与者、执行者理解管理意图、方法及要求。

企业中的管理手册、指南、指引是什么？不是制度，而是对保证制度有效性、管理有效性的指导与支撑。这就是为什么我说“内控手册”不是一份流程与控制手册的原因。

04.结语

企业中的任何管理都不是孤立的，只有孤立、单维认知所转化出来的结果。管理从来没有为管而管，而是为运作而产生，不能转化为实践的管理是没有意义的。

企业中的管理不应该是模糊的，强调的是系统、结构、可行性、结果。管理追求的首先是“确定性”，其次是“排它性”，后者是保证确定性的措施。

企业中管理的简单化，应该是当简则简，当繁则繁，用程度适宜、逻辑严密的设计换取执行的简单化，而不能被偏执地认为是设计简单化。

任何管理都应构成可持续的循环机制，不可持续的一定是低效或无效的。管理追求的是达成期望结果、有序运作、预防风险、化解问题的重复发生。

企业中的问题是不可避免的，但必须树立“问题处理是劣质成本”的理念。