在我过往的职业生涯里，因为承担风险管理、内控、合规、制度、流程等职责，误打误撞地与企业内审机构有了一个较长时间的工作之缘，才对管控、监督的做法做了些观察、思考和认识。

管理是相通的，认识的深度决定了行动，浮于表面的貌似合理的说法，在企业中解决不了任何问题，喊一年、两年甚至年年喊也不会有任何作用。也就是在这里，改变了我长期坚守并为之奋斗多少年的职业路线。

习惯上，人们往往自然而然地把监管认识成“代表正确与正义”的化身，认识本无错，监管也当如此。

但如果监管者的认识、方法出了问题，如果监管者所依赖的规则在设计上都存在缺陷，结果可能就谬之千里了。在这一点上，风险管理的机理同样适用，如果基础管理存在大量问题，就别谈风控了，恐怕监管也只能忙于被动地料理暴露出来的各种问题了。

前几天，看到一个文件提到“穿透式监管”的用语。我们不谈“穿透式监管”实现的可能性有多大，至少这种说法代表的是“监管者履行职责的决心”，这一点没错吧，但这个词有它的适用之所，不一定适用于任何场合、任何监管，也有它可实现的条件，那就是基础管理决定的数据，就看怎么理解了。

本文结合穿透式监管重点梳理监管的构成与机理，最后分析内控与监管的区别。

01.监管适用的4把凳子

如果从管理实践学的角度看监管，我照样把它认为是个一般概念。管理是理性的，只要是一般概念，就要把它层层剥开、加以澄清，才能做到有的放矢，而不能依靠感性认识去泛谈这个话题。

监管这一职责并没有太多的管理属性，监管背后依靠的就是现行规则。但是，要把监管做好，也离不开用管理的思维去看待它、规划它，否则就成了大道理，成了一种基于自然认识下的惯性说法或习惯做法，直到一个个隐藏良久的大问题被暴露出来而付出巨大的代价。

可能有人会说，监管这么简单的说法有什么可澄清的呢？说句不好听的话，如果连屁股放到哪个凳子上都没搞明白，在这种情况下去谈监管，那误导性就太强了。

（1）第1把凳子：基于群体信任的监管

从社会学的角度去看监管，社会由什么构成呢？权力组织、社会中的组织、人。权力组织的监管自然延伸到对社会组织和人的行为监管上。

监管包括哪些类型呢？一是国家设立权力机构的依法监管，他们面向的是职责范围内的群体，在法则的授权范围内行使建章立制、依法依规履行监管的职责。

法则的设立，是基于权力机构希望达到的结果而建立，遵从的是“人性本恶”下的博弈原则而设计，构成了权力机构实施监管的依据，但监管的重点、方法，由群体性质、信任度而决定。

比如，有没有对社会人的监管呢？肯定有啊，有权力的地方就有监管，但它不需要穿透式监管，而是被动式以发现违规行为为目的的监管，在依法执行层面，遵从的是“人性本善”基础上的监管原则，是大量采用的监管方法，常见于交通警察的执法、安全环保执法等等，还有诸多通俗的“民不举官不纠”的监管领域。被动式监管不等于不进行主动检查。

（2）第2把凳子：基于群体不信任的监管

穿透式监管是一种基于对监管范围内“所有个体都不信任”的主动式监管，适用于“利益导向下博弈色彩浓厚的群体”，是由人性的“向私”立场决定的监管方法。当然，也可以理解为“横向覆盖全范围、纵向覆盖从顶到底儿”的监管空间，监管空间、监管对象不一样。

也许有人会说，你讲的不对，监管是对事儿的监管。这一点我承认，其实，人与事之间，隔的就是一层法则或制度介质，对事儿的监管反映的是“监管方法”，最终会映射到人。

比如：社会经济组织、社会人的纳税监管，就适用“穿透式监管”，通过导入“判定规则”，利用IT工具实施扫描式筛查化监管，本质是大数据机理的运用。

只不过在我国的法治演变过程中，形成了一种惯性认识：社会经济组织偷税漏税处罚的是组织而不是人。这种观点真错了，映射的是法治环境尚不成熟的表现。

一个完善的法治社会，承担责任的一定是这个组织的负责人，如果研究过西方法案，常见一个条款“签字即知悉”，意味着知悉就要承担责任，没有辩解的弹性空间，落实在责任追究上，永远对的是人而不是组织，责任不是落实在组织体上而是“人”的身上。

（3）第3把凳子：群体之间互不信任而存在大量博弈行为的公正性监管。

这样的监管是怎么产生的呢？行使监管职责的可能是国家权力机构，也可能是非官方机构，产生的机理不一样，是最复杂的一种规则设计，规则是决定监管效果的充分条件，而不是必要条件。

比如，资本市场的设立，参与到资本市场的组织、人员，他们之间是互信的吗？彼此之间都不可信，每个角色之间也互不可信。这里的角色包括谁呢？投资者、上市公司、券商、金融投资机构、保荐机构，你不能认为其中哪一个角色是“向善”的吧，每一个角色都是“利益”导向下的“博弈者”。

在日常教育与价值观引导上，可以用“觉悟、品德”加以引导，但在管理上，绝不能用“觉悟、品德、科学之说”掩盖可衡量的行为产出。其逻辑是：在约束性规则设计上，不能用觉悟掩盖“恶”的假设；在对人的评价上，不能证实被评价者存在违背觉悟、品德、道德的行为，就不能做出觉悟、品德、道德的负面评价。

那怎么办呢？就需要找到一个值得参与个体都信任的第三方，希望第三方能够代表“公正、公平”。资本市场的内部第三方是谁呢？是交易所而不是证监会。

所以，代表共同信任的“第三方”是不能直接参与或间接掺和到“博弈行列”中的，一旦参与，“向私的本性”必然会导致公正、公平的沦丧，会构成严重的违法违规行为。其次，也不能出现因“商业目的”而出现数据信息泄露给参与博弈角色的哪一方问题，这一点同样适用于证劵公司。

代表公正、公平的第三方是资本市场中的一个特殊角色，由于它是一个“中人”定位，所以，它拥有对其他各参与角色的行为合规性实施“穿透式主动监管权、处罚权”。

我没有研究过证劵法，通过逻辑推理应该能认识个八九不离十。不过，公正、公平还有一套逻辑，绝不是极度明显的强、弱者放在一起互相博弈，就代表公平，否则奥运会还分出残奥会。

如何保证资本市场第三方的公正、公平呢？监管者照样也要处于被监督之下，这个监督机构就是“证监会”，也可以采用“穿透式主动监管”。问题是，这个监督机构监督的是什么？各参与者执行行为的合规性、第三方“自身行为的合规性与监管的有效性”。

这里就出现了新的概念：监管与监督有重叠的部分，但也有差异项。你看很多人依靠感性认识下的监管，是不是在内涵、外延上就出问题了呢？太多人都是依靠习惯“用一般概念”在做事儿，没有具体的界定，谁都不知道你在做什么，只知道是在监管。

（4）第4把特殊凳子：基于权力约束的监管。

是在反腐大潮强监管环境下产生的一种监管，严格意义上，约束本身就是建立在“不信任”基础上的一种措施，是在一个适用对象范围内发挥作用的主动穿透式监管，而不应成为用于所有个体的穿透式监管。这个范围就是“权力拥有者”、“掌握资源并拥有直接或间接分配的部分权限者”。

人与人的认知千差万别，在强监管环境下，很容易滋生出一些扭曲的所谓监管现象，原因仍然是“以监管名义”的权力滥用，会向下扩散。

是不是感觉现在做什么事儿都要开证明，证明你的清白，然后到可以开证明的地方，又要求你证明“你要证明的东西是真实的”证明呢？你说他是负责任也对，说是一种监管的表现方式也没错！

监管有必要但不能滥用，监管是有责任实施主体的，也有它的适用场景，不能为了不承责而自己建立一个内定规则，让成千上万的人为了满足这个“非通行、不被大家知、贴张白纸讲规定”的要求去开证明，更不能因为某一偶然“个例”问题，打着防风险的名义而祸及所有人员。

是不是畸形了呢？效率在哪呢？大数据技术呢？数据积累呢？既然不相信所有人，监管者可以去穿透式监管，而不是让所有人自己去开证明，这不是在履行职责，更不是在做服务，也不是在做监管，而是不作为的反映，“卷”就是这样形成的。

02.怎么理解延伸到企业中的穿透式监管

企业是一个社会经济组织，是处于经济社会中的一个“个体组织”，企业的运作机理与社会机理有所不同。

企业的一个典型特征是：用确定性来达成追求的目标。确定性有3个方面：

一是企业不允许或超出设定标准而不允许的确定性。是面向所有干部员工的行为准则构成，当然也可以“因目的”而划分出某领域下的控制准则，只是很多企业在规则设计上没有达到一定的标准程度罢了。

二是做事儿行为的确定性。如果仔细观察企业中的规则工具，无论制度、流程、结果标准等，基本都是确定性的描述，只有在该领域中容易出现突破法则设定的底线、红线的地方，才会出现“确定性的排除、限制条款”。

三是基于“群体信任”的确定性正向引导。常见于企业核心价值观、指导原则的做法。价值观很好理解，指导原则是什么呢？是在出现依靠规则仍无法做出结论、选择，或出现无规则可依的情况下，运用清晰的指导原则去做出“如何做的选择”，只不过在不少企业中，把指导原则做成了“无选择应用价值”的“觉悟式口号”罢了。

那么，怎么看待延伸到企业中的“穿透式监管”说法呢？企业贯彻落实穿透式监管要求，需要正确地理解这一说法，找到合适的方法和做法，不要人云亦云，靠感性、口号理解。

监管的目的当然是为了发现不合规行为、违规行为，但是企业中的穿透式监管，不能僵化地理解为“对所有员工群体不信任”的主动式监管，甚至导入所谓的“智能化监管工具”，这种理解下的监管行动，违背了企业达成目标的第一性原则，会挫伤干部员工的“创新、担当”激情，直接或间接影响到企业定位的根本追求。

我觉得不要孤立地理解企业中的所谓穿透式监管，要正视企业管理中本就存在的监管，有两层含义：

一是在各级企业中健全基础管理，能够支持横、纵向覆盖的“常规监管有效性”，体现的也是穿透式。企业中常规的监管并不缺失，问题出在监管的可行性、有效性上，不是由监管者的履职能力、主动性决定的，而是由监管者依靠规则的合理、可行性决定的。

二是在资金应用的合规性监管方面，可以导入主动型穿透式监管的方式或工具，而且在这个领域是有一定“数据”基础的。这样做有一个好处，规避了企业员工容易产生“时时、处处处于监管之下，且处于电子化工具扫描监视的不信任错觉”。

通过把数字化监管导向资金流，可以提高资金运营效率，可以降低资金损失风险，可以震慑资源运作中可能的舞弊行为。至于发现了资金运作中的异样，代表的是发现了违规线索，再通过日常监督去证实就可以了。

这样的穿透式数字化监管做法，不正是与“司库”建设的呼应吗？司库做好了，自然包括了对资金风险的动态跟踪、监视。怕就怕司库工作还没做好，又换了一种本质相通但表达不同的新形式。

无论企业是否导入“基于资金流的数字化穿透式监管”工具，都离不开企业的“常规式监管”，那怎么理解、做好常规式监管呢？不要单纯地理解成“道德层面的违规监管”，更多反映的是“确定性行为的偏差监管”。

企业中的监管有一个特点，是基于“群体信任”的执行监管，在人工监管领域，往往反映在过程执行正确性的检查监管，以及现场审计发现问题并验证、追溯成因的事后监督，还有合规管理中的违规举报，都属于发现不合规、违规线索的方法，区别是一个是过程监控，一个是现场审计、一个是非现场的以发现违规线索为目的的举报罢了。

03.企业中的内控与监管的区别

我不喜欢讲大道理，企业中也不需要讲什么大道理，实践中的认识和具体做法，往往并不一定多么完美，即使管理大咖也做不到完美，但不等于不追求完善性、可应用性。

我讲的是企业中的事实，这方面不用质疑。在找不到更好解决方法的情况下，那就按照当下能够认识到的最优方法去推动工作，只要不出现可认识的、不可容忍的问题，就可以在暴露出的新问题上找到进一步完善的措施。

管理做的越细致，越能压缩“执行者自我认识的不确定空间”，越能提高可应用性，当然要把握一个度；越追求可应用性，对人的知识、技能、经验、思考、设计的要求就越高，不完美的地方越容易被发现，但不会发生什么大的问题。

最可怕的是，企业中经常出现“泛谈化、口号化的管理”，怎么讲都对，程序描述也都一样，要么放大了“执行者再认识”的空间，要么执行者“委曲求全地做着无用功”，很难谈的上管理可行性。

有点累了，我把在一个咨询项目中对“内控与监管的关系”界定呈现出来与大家分享。做内控与监管，总得让大家明白这层“关系机理”吧。

（1）企业中责任关系的基本机理

相对不同行政管理关系的各层级企业，都可以从自身的视角将企业视为一个整体，从而划分出决策层、管控层、执行层。

无论哪个层级，都可以划分到目的为导向的计划、流程、责任、绩效、制度、体系、监督的框架范围内。即，在确定的流程、责任、制度、体系框架下，依靠制定的计划，履行对应的流程，让目标转变成结果，同时，接受来自于制度主责部门的监管、来自于监督部门的审计、监督。

图37为企业由战略导向为中心，由执行现场系统、管理体系的管控系统、相对独立的监督系统共同构成的企业运营管理体系的层级示意图。

（2）不同层级组织与责任的关系机理

企业的运营，不可能完全依托于管控、监督，而应建立在责任体系下的“自驱动、自控制”，称为主体组织应承担的主责。来自于运营管控层的管控、监督，负责对承担主体责任的组织、角色进行制度遵从、执行的有效性检查或验证，统称为监管。

从运营管控层的维度，目标具有多重性，既不是依托于单维度管理体系的主管组织，也不是通过一个阶段过程的工作就可以达成，目标实现的过程越复杂，运营管控层的“介入、干预”就会越多，从而构成了来自于运营管控层设置的控制或实施的监管。

从控制活动来讲，有多种表现方式，比如：审查、审核、审议、集体评审、行政决策等，承担内控主体责任的不一定是控制活动角色本身，而是设置控制活动的背后那个“常设机构”。控制活动，是承担控制主体责任的组织为了保证目标实现而采取的措施，即风险解决方案。执行控制活动的角色负责落实解决方案，控制，是参与到流程中的活动。

执行现场是相对于管控层的说法，可以划分为技术开发现场、产品开发现场、制造现场、项目实施现场等等。构成现场的最小单元是作业项目，每个作业组织中的一个或多个角色，围绕具体任务目标，针对一个或多个业务对象进行连续的作业活动。

作业强调的并非作业本身，而是作业的产出成果。企业应建立的现场控制原则是：任务目标具体明确的作业，由作业团队负责决策，接受任务管理方、有关专业合规管理方的监管。

现场管理中，通过一个个不同作业活动产出的传递，形成了流程目标的成果。为保证成果的计划性、质量、成本、合规目标要求，防范不同作业责任者的产出存在风险隐患，现场管理会对现场作业、流程实施检查与记录，保证过程及产出符合各种要求。

数据来源于现场的记录，对数据的定义，来源于基础管理中的“信息定义”，呈现出来的结果是流程产出的数据结构。基础管理不规范的企业，会表现出数据遗失或不完整，会导致计划、质量、成本、进度管理与控制的低效或无效。

企业开展数据治理或提升数字化能力，根源不是数据治理本身而是流程管理课题，是一个因果、前后关系。流程来源于顶层端到端逻辑下的阶段切割、分层、分类，是基于应用场景认识下的产物，也是基础管理的反映。认识不到位，很难将流程划分出来。

作为运营管控职能，希望现场管理能够在遵从、执行各种制度的前提下完成设定的任务，产出符合各种要求的成果，会结合共性的管控要求，在整个业务流程中的环节设置控制节点，针对不同的目标要求选择合适的控制责任主体、适当的控制方式、明确的重点控制内容，保证过程执行的正确性，会对现场执行情况进行检查、监管。

控制发挥的预防风险作用，风险评估由流程所有部门完成，不需要“告诉执行者什么风险”，只需要告诉员工“控制什么具体内容”，以促进员工尽可能提供满足控制要求的输入。

所以，控制是流程过程中因管理要求而产生的例行“执行”活动，监管是依据制度对流程执行的动态检查活动，属于一项具有控制功能属性但不参与到流程中的活动，控制活动也不是监管，而是接受监管的对象。

（3）企业控制与监管责任流程

从控制与监管的角度，监管意味着一种动态控制，对发现的存在偏差的行为问题实施事后的及时纠正，结合目标、活动任务要求进行完善，保证问题不再重复发生。

其次，监管还会重点检查旨在防范风险的“控制节点”，对控制执行的有效性进行检查、评价。

来源：互联网