目前流传最多的是各大专家们都在陈述自己的好做法，却很少考虑提出的观点能不能站住脚！听起来花枝招展，企业用起来剩下的就是一愁莫展！恐怕很多企业都有切身体会。作为咨询机构，分析、思考问题，或者提出一种观点，需要站在客户的实践角度去认识。我所讲的企业，指的是中大型规模企业，小型企业无需如此。

01.怎么理解企业中的管理部门？

对企业来讲，存在三类机构：企业为一级组织，我们称为企业；运营机构，即价值创造或产出部门（不同领域的价值创造，内容上存在不同），我们称为业务部门；业务管理部门，针对业务部门提供管理与服务的机构，我们称为业务管理部门；职能部门，业务管理部门也是职能部门，为了进一步细分，指的是除业务管理部门之外的其它职能领域的部门。

在企业中，时至今日，其实存在很多的认识误区。譬如：若干年前，我还在企业主管战略规划与改革工作，改革是为了让企业按照战略期望实现变革发展所采取的阶段措施。当年在按照战略设想、主干流程进行系统的组织大整合时，提出业务管理部门、职能管理部门要发挥好“管理+服务”两项作用，遭到众多部门人员的质疑，他们说“既要当裁判，又要做运动员，让我们怎么管？”，当时承受了莫大的压力。我只能讲，你在工作中开展的“培训、问题沟通、宣传、辅导、诊断、协调与协同”等工作，难道不是“服务”吗？做都做到了，为什么就不愿意承认是“服务”呢？其实，从当时来讲，如何认识管理无好坏之分，改革也无对错之别，能够验证的只有当下的结果。

对企业来讲，真正的中心在于业务部门，所以经常讲“中心任务”。小型企业业务结构单一，无需那么复杂，但大型企业，产品结构、技术结构、支持平台结构复杂，不得不建立业务管理部门进行管理。同时，企业组织中心任务，需要调配、组织大量资源，还要接受外部监管，让中心业务有秩序地运作，是企业的期望。所以，各类职能部门自然就产生了，且还会不断向细分方向拆解。

对职能部门来讲，除战略规划部门、企业运营管理等企业级管理职能以外，主管的都是某一领域、或某一专业的工作，所以，企业内部才出现了综合管理部门、专业职能管理部门，综合、系统型人员、专业型人员之分。同样，除企业级管理职能部门之外，任何一个专业型、领域型职能机构，都拥有在权限范围内的“决策权”。不过，各部门的实际表现，可就“因管理者而异”了，为什么？缺乏统一的认识和标准。

对业务管理部门来讲，他们要组织协调好业务部门的事儿。在实践中，业务管理部门会导入不少方法，建立很多规则，帮助业务部门协调解决大量工作。但如何衡量他们的业绩呢？如果业务部门不能取得经营成功，再好的业务管理都不意味着成功。所以，业务管理部门的绩效，与业务部门绩效是紧密关联的。

无论是业务管理部门、职能管理部门，都要做好两件事儿：一是面向公司业务，通过履行职责提供支持、做好服务，帮助业务部门解决问题，这时候，业务部门是他们的“客户”。二是面向公司股东、投资者（或者上级主管部委），按照追求合规条件下的利益最大化原则，做好控制，所以，我们才能看到管理部门又是建制度、又是建流程（职能管理部门的控制要求，大多是通过业务管理部门帮助实现），目的都是为了“控制”，这时候，股东是他们的“客户”。

控制，既体现在建秩序，又体现在过程中的监管以实现按秩序运作。所以，我总在讲“企业中的制度、流程本身具有控制功能，也具有预防风险的功能”，就是源于这一认识。管理部门的核心工作，就是要统筹好“服务+控制”的平衡，通过“管理”行动体现出来。

02.企业中管理部门的“管理”是怎么实现的？

服务与控制，构成了管理部门实施管理行动的两大主要内容。业务管理部门、职能管理部门的管理职责，主要体现在体系的建立、优化、实施、监控、审计与评价。所以，在企业中出现了组织管理体系、战略管理体系、财经管理体系、人力资源管理体系、全面风险管理体系等等。需要认识到的是，建立并实施管理体系的目的，都是“服务于管理部门”的管理。

然后，我们再看一看，企业内控建设通常的说法：依据18项指引，梳理企业级流程等等。其实，在企业中，任何一个部门发起的职能流程，基本是跨部门的（除部门内的末级操作流程外），不过因事儿不同，表现出不同的跨度。原因是什么？企业职能的划分，是建立在一个整体认识、协同基础上，所以，任何一个部门建立体系，首先要界定体系边界，然后认识支持体系的条件，采取措施保证条件成立，然后才能形成“体系化业务组合”，这就是“IT业务架构”的由来。你不可能一次把企业整体“IT系统”建立起来的。

正是有了以上的原因，企业建立任何一个体系，要处理好几层关系：一是企业中任何管理部门都是可利用的资源，他们是体系建设的供应商；二是部门自身也是其他部门可调用的资源，他们是自己的客户和合作者；三是体系中体现的控制，必须与企业的利益和方向保持一致，由公司治理层、公司战略决定；四是体系要站在执行者角度考虑，他们是体系全寿命有效期的直接参与者。

任何一个部门履行职责、实施管理的体现，就是管理体系的运作、实施过程。只不过，现实中有些部门喜欢冠以体系的称谓，或者出于认证、管理要求的目的，按照标准的方式进行建设，从而表现出不同的产出形式。核心在于“体系边界和目的的界定”，不能乱来。

再看当下，很多人喊出“风控、内控、合规一体化”的说法，甚至钻在牛角尖里不能自拔，问题出在哪？在体系边界的界定和具体的操作层面出现了混淆，风控、内控、合规本是基于“风险”的维度，针对不同目的采取的方式和方法，他们都是企业全面风险管理体系的结构构成，而划分结构的前提，需要定义。

内控、合规可以通过流程活动标准体现，通过摘取行为表现反映为清单，但风控则需要沿流程外延，反映于流程节点与角色，是建设不来的，三者的关系，取决于企业的自我定义。何况，通过内控梳理的流程，且不说“写流程”的质量是否符合现实、是否具有可操作性，就具体形态而言，呈现的也是离散状态，反映不了不同层级的控制关系，也涵盖不了企业主要风险所在的“价值流”。

03.为什么说公司治理决定着内控的设计而不是指引

很多时候，人们眼里只看到一本“程序手册”或者产出一套表格，以体现体系建设的完成。中篇，我们将阐述体系的要素与建设事项，然后再反思企业体系建设的做法，就能解除困惑。

为股东创造最大化价值，是企业管理部门开展体系建设的“初衷”，这里理解的最大化价值，必须建立在合法合规、经济绩效、战略规划目标的方向上。

严格意义上，公司治理结构也是一套体系，体系的要素，必然包括组织、流程、人力资源、绩效、IT、数据。只不过，这套治理结构体系的输入是股东会（或上级主管部委）对董事会的授权，也包括为了让董事会正确行使“授权、权限”所采取的风险解决方案，即制衡机制。

同样道理，由于公司所有者（或所有者代表）与经理层的分离，董事会、党委需要通过治理结构体系的建立，对有关组织进行授权与权限划分。当然，这里的组织包括对经理层、下属经营单位、部门层的授权与权限设置，甚至包括对“相关公司级会议形式的决策角色”进行的授权与权限设置，通过清单表现出来。

授权，解决的是“这事儿由你负责，由你组织去做”，本质是责任的“压实”，但也不失监控。既然是授权，就构成了审批流的长短，超出权限的，就需要进行流程向上延伸。这就是我一直讲的“治理结构决定着审批流程，内控建设梳理的流程要符合现实”的原因。这一点，与内控建设有关、与合规建设有关，合规并不一定必须“摘自于法律法规原文”，做实了，就是企业行为的管理表现，关键是能否认识到“过程与结果”的关联关系，因人而异。

在我看来，拿着一套通用的流程进行适应性调整复制拷贝的做法，或者把18项目指引作为衡量内控建设是否完成的做法，部分可取，但最多局限于通用专业职能领域或低阶流程，并不适合于“管理型流程与内控”。所以，内控建设的前提，需要认识到流程与通过治理结构反映的授权与权限的关系，以及为达到控制目的所采用的管理方法，而不是一套“通用的理论型流程或理论型不相容职位清单”。