01.企业的运营架构原理

对企业来讲，重点要做好4件事：一是理顺价值链，重复实施价值创造，不断获取充分利润，实现价值增长；二是做好战略性投资，提升企业核心竞争力，打造战略控制点，实现价值创造的有序循环与升级；三是着力提升内部运营能力，提高效率；四是合规运营与履行社会责任。

前3项都属于企业运作问题，重在解决好战略管理、预算管理、组织绩效与员工绩效管理。第4项指的是规则与合规管理。

企业的管理，重在规则管理与机制建设。规则管理包括规则建设、规则的遵从与执行监管。机制不能完全等同于规则，还包括领导力、价值观，他们很难通过规则体现出来，但规则可以固化运作机制。当遇到规则难以解决的问题时，依靠的就是价值观，或企业某领域确定的管理原则。

战略管理包括战略规划、战略实施两个大的结构，战略规划自然离不开商业模式的确立，这是第一目的。战略规划解决好之后，考验企业的就是战略实施能力，包括两部分：一是计划执行力；二是规则的遵从与执行力，二者共同构成了企业的战略执行力，其中规则的遵从与执行力，又称为管理执行力。

战略执行力是一种能力，企业中只要是能力，就是内生的，就需要进行投资与建设，实现持续提升。那么，能力反映哪些要素呢？组织、流程与制度（规则）、IT、工具、人，其中最基本的支撑条件是“人岗匹配”和职业发展通道，没有这一条，别谈“培养继任者”。

如果企业缺乏“引导员工持续提升自我能力”的机制和动态的绩效评价机制，这个企业的战略执行力是不稳的；如果企业能力建设总是处于发现问题、推翻、重建、维护的状态，企业就一定会失去能力迭代成长的基础和机会。所以，有些企业，发展了几十年，老套话一直讲，原因就在于此。

企业是一个整体，开展任何管理体系建设，都需要向上对齐，聚焦于企业战略；向下看，解决怎么管、怎么运作的问题。向左看，解决输入条件，本质是条件假设的问题；向右看，解决需要得到什么产出的问题。合规管理体系建设也不例外。

02.合规管理体系建设需要找准定位

管理执行力是战略执行力的构成，企业导入合规管理体系建设，从直观上看是提高合法合规经营与管理问题，本质是解决“企业规则遵从与执行力的问题”。制度与流程管理，是合规管理的条件和基础，追求的理想目标是“将违规风险化解为零”。

违规风险有两类：一是来自于外部规则不能容忍的；二是来自与企业不能容忍的。企业防范违规风险也是一种能力，通过制度与流程等内部建设，形成预防外部违规风险的隔离墙。

企业内部制度与流程建设，是降低或化解外部违规风险、提高抗外部违规风险能力的第一道措施，企业的制度与流程必须建立在“合法合规”条件上才有效，前提是动态搜集与企业相关的外部规则。

搜集外部规则是制度管理的“左侧”输入条件。企业中任何管理，都是动态、持续的，根本不存在写出一份手册、发布几份制度，就意味着体系的完成，那不是管理，是劳动。

企业开展合规管理体系建设，如果看不到这一点，跨过企业内部制度与流程管理而直接对齐外部规则，其结果有3个：一是出现了能力归零化的错误；二是打乱了职能分工的交界面，不具有持续性；三是由于缺失对内部规则的匹配性，造成与企业提升战略执行力的失耦。

对企业来讲，这种方式不能说没有意义，但不会产生“过大预期的增值”，只能是“成本费用的增长、效率的降低”，然后获得两份制度、一套手册或表格信息数据。至于营造合规文化等说辞，如果没有持续的行动，它就是一种说法，文化是大家愿意接受，并靠规则、行动反映出来的，贴在墙上、写在纸上的文化，是口号。

企业开展合规管理体系建设，要找准定位，与企业的制度与流程管理形成共振力，用合规管理提升企业管理范围内的规则遵从与执行力，才能发挥更大的作用。

对企业来讲，规则的“遵从与执行”，是完全不一样的两个概念，恐怕很多企业，包括一些在该领域活跃的专家都没搞明白。

“遵从”以结果度量，不让你做的你没做，过程怎么样？做的有没有效率？有没有质量？没人管你，比如外部的法律法规、监管政策等，躺在家里，怎么都不会出现违规问题。所以，强调底线、红线的观点，本质指的是遵从。

“执行”以过程和结果度量，规定必须做的，就必须做到，否则要承担“行规责任”；其次，也包括“结果”度量，不让做的，就不要去做，做了就要被“惩罚”，然后，才是灵活空间。

一个规则管理规范的企业，一般会包括两个大类的规则：一类是遵从的规则，如果是外规，会构成内部制度建设的“依据”，形成过程管理规则。一类是执行的规则，其中企业自建的制度，必然是执行、遵从的；还有一种特殊情况，外部发布的规则，比如国资委发布的“融资性贸易”政策文件、“参股公司管理”制度、“违规经营投资责任追究实施办法”等等，当企业还没有自建制度时，他们就是企业的“执行规则”，当企业完成自建，对企业来讲，他们就转变成“遵从类规则”。

这就是我一直讲的，企业合规管理不是对齐外部规则，而是对齐纳入企业管理范围内“规则”的原因。这种方式，建立了规则、合规管理与提升企业管理执行力的必然联系，同时，也解决了企业外部合规与内部合规的一体性问题，具有持续性。

举个实例：企业面对的外部规则种类繁多，但并不是“所有有关的外规”，都是合规管理的对齐规则，即使“公司法”、“反垄断法”、“劳动法”、“会计准则”等与企业紧密相关的外部规则，只要企业制度管理做得很好，都不一定构成合规管理对齐项，你见过哪个大型企业每天用“会计准则”做财务管理吗？但企业财务部门不会没有“会计准则”这份文件，因为它是做好财务管理必须遵从的依据，但执行的是内部财务管理制度。

如何取舍外规呢？依靠的是“一致性的风险评估”，属性一样的风险，评估方法必须一致，而不是“靠人拍脑袋”，专家并不比你更熟悉企业，也比不了企业人对外部规则的掌握和理解，区别是方法。恐怕，最优秀的律师，也不一定通读过所有的法律、政策，更别说掌握。不然，合规管理还有什么意义呢？

03.提升管理执行力的要素还有“IT”

这里，我们讨论下规则与合规管理集成的概念，要落地并持续运作，依靠的是IT。

有很多似是而非的概念，让人找不到北的缩微字母组合等等，都拜IT界专业人员的忽悠。什么数字化转型、数智化、大数据等等，始终坚信一条：无论什么新概念，本质都是服务业务，IT永远是工具，数字化、智能化程度的高低，反映的是工具是否好用、富有效率。

只有触及企业商业模式、价值链运作并发生较大变化的，才称为转型，由于数字化程度的提高，可能会带来这些领域的变化，或企业运营效率的提升，这才是真正的目的。所以，企业才追求数字化。

决定企业IT数字化程度的，与IT的设计技术有关，但不是决定条件。真正决定数字化程度的，是“以企业为主体”的端到端流程。由于端到端流程打通了业务运作的全过程，突破了企业“传统的职能划分”边界，才找到了数据产生的本源，提高了数据的一致性与互用性，降低了不同流程断点形成的“数据遗失、重复录入”的失误率和低效率。

这就是华为一直提倡“打通流程”的来源，别忘了，任老总有句话：流程要先僵化、再固化、再优化。怎么固化呢？依靠的就是IT。端到端流程在IT中的应用，本质上化解了“信息孤岛”的问题，形成了一个完整的系统，IT的数字化程度自然会提高，部门间自然不构成“协同”问题。其实，企业中的“数字化规划”，就是要找到不同E2E流程之间的结构，也就是企业级流程架构的问题，明确功能，这是藤，然后再去摸瓜，直到末级操作流程，与IT数字化流程形成孪生。

为提升企业的管理执行力，同时又满足法务、规则管理、合规管理、违规追责与整改等需求，我们组织了央企中的专家、管理者，来自于世界500强企业的软件博士、流程专家、大数据专家等具有丰富实践经验的人，共同精心打造了一款“规则与合规管理集成系统”，核心就在于“打通了从外规到规则、从规则到合规、从合规到监管、从监管到监督、从监督到违规问题管理与整改”的端到端流程。

该系统的功能，基本能够满足企业管理中与规则、监管相关的所有需求，可以让企业看到，真正的基于管理的数字化程度：不需要人工检查工作情况、不需要人工评价、不需要撰写报告、不需要人工基于业绩的绩效评价、不需要为是否满足ISO37301而发愁、更不需要担心来自于最高检的“第三方合规评价”而陷于被动，不持续都不可能，因为都是日常工作需要的，都有记录可追溯。

我们一直讲流程承载各种要素，当然也包括合规要素，其实，这是机理。试想，流程的作业指导书中对角色活动的描述，增加两点就可以满足流程、合规管理需要：该活动怎么做、产出达到什么程度、需要多长时间，这是其一。其二就是增加限制或约束条件，就是该角色的合规清单，本质也是权限。流程中的内控活动，也是角色活动，活动的规范化就是内控建设的产出。但风险管理不同，需要认识上的延伸。

曾经有两个流程管理咨询机构，希望通过合作，共同拓展流程管理业务，并非吾不能，而是因为企业中很多管理者难以接受流程管理的系统性、流程描述的标准化、权利变化而带来的不适应性，以及长周期的逐次推进、强化落实等工作方式，所以，我更愿意把流程当做完成项目的工具。客观讲，用流程承载风控、内控与合规，是可行的，也只有这一条路可走。但流程管理更复杂，其产出文件要若干倍于制度数量，如果流程都不健全，又何谈流程合规清单呢？

如何看待流程管理专家提倡的一个观点：需要把流程中最优秀的人员聚合在一起，共同探讨流程的合理性，完成流程梳理。我觉的，有必要，但也没有那么夸张！毕竟，华为可以为强化体系化管理而容忍一定时期对发展速度的影响，是因为人家有家底儿和底蕴，有对人的强有力管理，但很多企业并不具备这一实力。所以，复制华为管理方法的企业，极少有成功的，因为环境不同，认识的系统性、范围也不足。

流程的梳理，取决于对管理思想、管理方法的理解，取决于对企业的认识和熟悉程度。如果连企业都没经历过，那只能做方法论的指导者，只能依靠优秀人员共同解决；相反，就不会需要那么多人，也可以转变成结果后的短期群体讨论。所以，如果仔细浏览企业中的内控程序手册，就会发现很多流程不能执行的问题，内控不能规范化、标准化的症结所在：不熟悉企业，不懂流程，没有认识到现实的管理逻辑与方法。

内控建设与合规管理紧密相关，而内控建设，首先是流程，然后才是内控。流程梳理到什么程度呢？能够满足IT建设需要可认知的程度，不然，写出来的流程没有什么用途，更不会落地。