一个企业，大体可以划分为战略层、运营层、业务管理层、专业职能管理层和辅助支持层。战略层明确企业的方向、实施路径、阶段目标和管理要求；运营层体现企业的业务运作，是企业创造价值、实现价值持续增长的动力；业务管理层面向运营层实施管理，构建业务运营管理体系；专业职能管理层面向企业运营，提供专业化体系管理与服务；辅助支持层为企业运营提供必要的基础保障，共同构成了企业的运营管理体系。

一个企业，无论绩效指标如何分解和设定，其运营的中心目标都可以概括为三类：安全目标、效率目标、质量目标。从“形”上来看，企业制度、流程、合规、内控、风控，都是围绕三类目标导入的工具、方法与实践；从“质”上来看，都需要以三类目标为导向，通过必要的设计、实践发挥作用。作用的优劣，不在于五者本身，而在于对其本质的认识、具体机制的设计、运作实践的结果。

01.制度的本质

企业是链接国家、行政组织、社会人员的中间体，对上要承接不可控、无可回避的责任义务，对下要组织员工，利用各种资源，按照确定的价值管道创造价值和价值实现，由此构成了社会秩序、企业运营秩序。制度，是企业维持运营管理秩序的必要工具。

企业制度的有效性，取决于五个方面：一是不违反国家法律、法规、行政规章及政策规定；二是履行了合法合规的审批与发布程序；三是对制度适用范围内的组织、员工履行了告知义务；四是具备可落地、可执行的条件；五是拥有一定素质且富有执行力的员工。

从制度的作用分析，企业内部自建制度的有、无，并非是“必不可少的要素”。一个制度短缺的企业，完全可以用法律法规、行政规章及政策规定去衡量与处理，对企业来讲，损失的是“效率、质量和安全”，增大了企业运营的不确定风险，构成了与企业战略方向的背离。由此看，企业制度，是维持企业运营秩序和管控风险的实践总结。制度对企业的重要性、必要性，可见一斑。

现实中，企业重视制度建设，却容易忽视制度的有效性。制度的本质并不在于制度本身，而在于制度的有效性，制度的有效性最终体现于企业组织、员工对制度的遵从和执行。抛开制度必然的合规要求，从制度本身来讲，制度有效性体现于设计有效性与执行的有效性。

制度设计有效性来源于两个方面：一是运筹合理；二是人性符合。运筹合理，解决的是组织资源的配置和各组织行为之间的协调，目的在于预设一条最佳秩序的行动路线；人性符合，则是协调组织和员工的行为，目的在于保证运筹更为有效。经过人性验证的运筹设计，自然具备了可落地的条件。

由此分析：制度、流程、合规、内控、风控有着密不可分的关系。一个制度完善、有效的企业，能够为流程管理、合规管理、内控管理、风险管理提供良好的基础保证。

02.流程的本质

企业因利益而生，组织因事而存在，因流程而高效，因当责而产生结果，因文化而凝聚，最终为企业创造价值。企业拥有一套结构合理、设计完备，可以承载外规义务与合规要求、内部控制标准、风控活动要求的流程体系，企业基本具备了秩序化运营的能力。

流程是围绕目标，由一组活动按照一定秩序进行排列的产出。流程的本质，是链接相关做事儿活动的程序，从而实现产出，没有产出的流程没有意义。

流程由活动构成，决定了流程的“活性”。从企业角度分析，组织是静态的，组织承载职责，流程是动态的，在活动中落实职责。职责是流程的基础，流程是职责有效的前提。

制度与流程，都具备维持企业秩序的功能。不同的是，流程更侧重于“事理”，通过结构、层级，划分为企业业务级核心流程、任务级流程、跨岗位作业流程、单岗位作业流程，极大提高了秩序的落地性、可执行性。

制度往往由部门负责设计，决定了制度系统性不足的天然局限。一个以制度为主要管理方式的企业，要提高制度的有效性，需要寻求一条类似流程管理的方法和治理机制，合理解决制度与岗位角色关联度不高的问题，这是企业制度管理职能发挥最高境界的追求，需要通过各种定义实现。

企业是一个现实的组织。定义，并非等同于理论上的“模糊定义”，包括了每一层定义的细化，譬如：基本制度、程序管理制度、操作制度、通用规范制度用什么体例划分？解决的是什么问题？发挥的是什么作用？不同体例制度渗透到什么组织、角色？企业管理的全部制度怎么划分结构？如何与外部相关法律法规、行政规章、制度、政策等建立关联并实施管理?┉┉。定义的本质，是设计前的一种规范基础，类似做数学作业的条件设定，否则，来自于不同单位、部门的制度，必然陷入结构、边界、内容的混乱。

当一个企业流程管理成熟度达到一定程度，制度的定位、趋势、作用、数量，必然发生适应性变化。笔者坚信，制度管理向流程管理的过渡、转化、协调，是企业实施规范管理的必然趋势，但制度只会发生适应性变化，不会消失。

03.合规的本质

透过合规管理的宏观理解，一套成熟的制度管理机制，本身能够具备合规管理的基本功能。所谓合规管理，脱离开“规”这一基础，本身就失去了意义。

透过合规管理的微观理解，无论是对外规、内规义务与合规要求的识别，还是违规行为结果的洞察、过程行为特征的确认，乃至合规义务与风险行为清单结果的产出、日常违规行为的动态考核、合规举报调查及结果处理、合规体系的完善与优化等等，即使所谓的合规风险评估，无一不是以外部、内部即时的规则遵从、执行为导向。

解决问题的机理，是通过识别“规则赋予的合规义务”，导出必要、相关的企业、组织、员工的行为活动规范，本质在于解决“哪些必须做”、“哪些不能做”，以及过程中行为活动的“红线”、“底线”是什么，通过明确对应的责任，提升执行的有效性。所以，我把合规管理定义为提高制度执行力的抓手（有时候，不必总拿防风险说事儿。这里的制度，指的是经过定义后的制度范围，包括外规、内制）。

无疑，拥有完善制度管理的基础，是合规管理有效的基本条件，流程建设与管理，基本能够承载合规管理的要求。

04.内控的本质

宏观的内控，本身就是企业管理的一项职能。拥有完善的制度、流程管理的企业，内控能力是存在的，核心在于内控的有效性。

内控体系的建设，需要从微观角度进行分析与实践，内控通过“活动”体现出来，流程是活动的载体。内控建设的本质，是在既有的流程基础上，对控制活动内容的规范化、具体化过程。这一点，与合规管理的本质“类同”。

现实中，内控体系建设，本身并不包括流程梳理，正是由于企业流程管理的显性化缺失、不规范、不系统的问题，才有了梳理流程的需求，成了内控建设不可缺少的一个步骤，但核心仍在于“控制活动”的规范。

既然制度意味着内控的存在，为什么还要进行流程梳理？主要原因在于，制度中的控制，只能体现在“活动表现”，很多不能反映到“活动内容”，譬如审核控制审核什么？法规符合性控制，控制“什么”。如果内控建设不能补偿制度的缺陷，内控建设就失去了现实价值。

从梳理流程、内控规范建设的内容看，内控的作用，重点体现在过程控制，控制的深层次意义在于“防范风险”，需要探讨设计“控制前移”、“后置控制”的问题。控制前移，是把识别、防范风险的责任“向第一道防线压实”，降低“内控执行的压力”；后置控制，即“第三道防线”的作用是否有效，增加“控制执行的压力”，二者的意义并不相同。

05.风控的本质

制度、流程、合规、内控、风控，包括管理本身，都含有“管理风险”的内涵。制度与流程，通过秩序的保持与运作，发挥防范运营效率、质量、安全风险的基本作用；合规，发挥的是防范“违反外规内制风险”的作用；内控，发挥的是防范“流程风险、周期重复风险”的作用。风控，防范的又是什么类型的风险呢？

笔者一直强调，对多维同质工作，企业必须做出适当的定义。我把风险管理定义为“发现问题发生的苗头”，包括合规、内控、风控等内容，把风控定义为“发现并管理可能影响目标的不确定事项”，构建保障目标实现的“过程风险管控”的能力。

“全面风险管理”又如何定义？我们可以借助质量管理的概念，去发现做出合理定义的方法。从质量管理的发展历程分析，经历了“质量检验阶段”、“统计质量管理阶段”、“全面质量管理阶段”。

日本著名质量管理专家石川磬认为，质量不仅包括产品质量，从广义上说，还包括工作质量、部门质量、人的质量、体系质量、公司质量、方针质量等等。全面质量管理就是全公司范围内的质量管理。

同样的道理，全面风险管理就是全公司范围内的风险管理。自然包括内控、合规、风控、制度、流程等系列工作内容，区别在于，它是从“风险管理维度”的一种定义

如果说，制度、流程是防范风险的基本保证，合规、内控、风控，则是在制度、流程作用基础上，在风险管理方面的进一步深化。

06.结语

世间事儿，都需要洞察本质，然后做出定义而采取具体行动，否则无边无际，容易陷入混沌。

现实中，来自于不同方面的不同认识，正确还是错误，并没有严格的判别标准，核心在于目的与需求。企业中的很多问题，并不在于当事人不明白个中道理，而是对“本质”的把握，最大的问题是，未知其律而粗知其形，粗知其形而不明其理但居其位，居其位者不求本质或自愎或漫无头绪，东听东有理，西听西有理，于是，混沌产生了。

认识本质，是为了寻求系统、简洁、有效的途径。企业中的管理，不能过度复杂、繁踏或重复，而掩盖创造价值的实质。

知其形、明其理、察其质，而后通过运筹以布局逻辑，通过人性思考，寻求方法以导引、推动、检查与监督，是为机制。以运筹为假设，以人性场景做能否成立的验证，辅以必要的内控措施，提升机制设计落地的可行性，预设机制被执行的有效性，从而保证目标方向不出现较大偏离的风险，是为术。

内控管理师（ICM）”着力解决企事业单位内部控制体系建设专业知识不足，内控管理专业人才匮乏的共性问题。