这几天连续4个企业就制度管理事宜进行沟通，很高兴他们终于意识到内控、合规与制度管理之间的关系，意识到制度管理对企业运作的重要支持作用，没有完善的制度为基础，内控、合规就会缺乏基础条件。借此文一并探讨。

一、制度与流程的关系与优缺点

制度与流程都是支持企业运营的规则，以不同的形式表现出来，是企业特别是大型国有企业实现规范管理、高效运营不可缺失的要素。制度与流程除表现形式不同之外，还有以下特点：1.制度更具有权威性，是外部、内部审计或其他监督，度量企业合规运营有效性的标尺。对企业来讲，不同属性定位的制度，决定了制度指导、约束、限制等控制强度的不同。也正是这些特点的存在，很容易造成制度客体在适用性认识上出现不一致，发生不合规风险。2.对大型国企来讲，没有流程形式的规则，可能影响运营效率、成本等，但如果没有制度，是万万不行的。原因是国企资产所有者并非企业，企业是国有资产的委托经营者和使用者，必须接受来自于外部不同方面的检查、监督。所以，我国国有企业的制度，一直占据规则的主导地位，且数量很多。何况，即使是一个大型民营企业，即使流程是规则的主要形式，也离不开制度，流程很重要，但并不能解决企业中的一切，理想分布应该是，二者相辅相成、协调匹配共存。3.无论是制度，还是流程，都有其固有的优劣点：（1）通常情况下，他们都会有文本存在，都需要员工掌握，这是管理期望。但客观上员工能够完全掌握与自己相关的规则已属不易。其次，制度往往以文字、附件表单或简易流程形式展现，且不论制度水平的高低，很容易出现不同人不同理解的问题；制度一定是管人的，但并不意味着所有制度文本中不涉及流程，一份制度可以对应多流程或者不对应流程，只不过是文字描述出来的。

（2）强化流程管理是企业规范运营的趋势，具有很多优点，是企业实现一致性、精细化管理的途径，但也并非没有缺点。流程强调战略承载性、系统性，所以，“企业级端到端流程系统”（指多层的一体）非常重要，需要系统型人员与不同场景下各分支流程的参与角色人员配合完成，需要长期坚持不懈。不要认为流程文件可以减少规则数量、体量。由于流程承载相关的各种要素，需要通过流程作业说明书体现，更增加了遵从的难度。所以，流程梳理、优化的终极目的是通过IT固化，企业级端到端流程的系统化，有利于提高IT的数字化程度。在这一点上，制度的劣势就会表露无遗。（3）为什么流程管理很重要？由于流程管理的系统性，可以极大提高企业IT的跨度，避免IT孤岛现象发生，员工通过IT操作，可以极大降低不合规风险概率。这时候，企业中存在的大量制度，就显得不那么重要了，最大的作用，就会转变成“应对外部监督”的依据，以及企业用以管理员工的“内部法理依据”。

二、制度与内控的关系

由于篇幅所限，我们不谈流程，专谈制度。我曾在一篇小文中，从全面风险管理体系建设的维度，将其描述为“构建两层能力”，其中第一层能力就是构建规则（指制度与流程，下专指制度）。由于制度包括了两层含义：一是制度拟定者按照“期望目标”进行的运筹逻辑设计；二是对运筹路线进行的潜在的“不确定性识别、评估与控制效果模拟”，所以才出现了“时间限制、要求、奖惩、审核、审批┉┉”等条件、要求与控制。内控建设，就是企业全面风险管理体系建设的“第一层风险控制能力”，第一层的风险是“可控风险”，取决于制度设计的合理性和设计者的认知水平。所以，我总讲，规则具有预防风险的功能。很多人一直纠结于风险管理中的“控制、管控、防范、化解”等说辞的区别，是因为没有认清全面风险管理的底层逻辑。第一层预防风险的能力，指的是“控制”，而第二层动态显性的风险管理，目的是“防范、化解”风险，统称“管控”。不要认为“企业内控”是统一的标准。内控的设置，在“遵从外规要求”的情况下，更多体现的是“企业自身管理的方法与期望”。所以，内控的有效性更多体现于“内控评价”，以不断完善内控。只有当内控很成熟时，才具备“内控审计”的条件，当然可以反馈到内控的优化。

所以，即使会计师事务所执行的、对上市公司财报内控的审计，也跳不出3项基本内容：一是评价企业制度设计“是否具备保证财报真实的能力”，是否按照上市公司财报公告的要求，对财报公告前的审批程序进行明确，特别是审核、审批者“明确的责任权限”。二是结合财报中的数据，通过对业务运作过程是否执行了制度要求进行验证，只有当制度设计确定有效的情况下，具备了“审计”属性。三是对财报中不同指标之间的勾稽关系进行分析，找到风险可疑点，查找原因，再反馈到内控有效性上。最后出具内控评价报告。既然制度具备了内控的作用，为什么还要“内控流程化”呢？完善的制度，本质已经形成了内控。但制度本身有固有缺陷，受文本所限，很少能将内控活动描述到“控制内容”的颗粒度。所以，企业内控评价中，经常出现领导、管理者或有关部门“有签字，却不知道为什么签，讲不出签字的目的是什么”的问题，或者经常遇到这样的回答：制度规定让签字。这就叫“有控制，但无效或低效”。为解决这一“设计缺陷”问题，所以要“内控流程化”。这就带来一种结果，在梳理流程中，对内控活动的描述问题。梳理流程、建立内控的主要目的有3个：一是流程要准确，符合现实，流程不落地，内控必然“飞”。

二是内控活动的描述，能够弥补制度中“颗粒度”过粗的缺陷，将内控活动建设到“规范化、可操作化”的程度，衡量的标准是：让提案发起者“知道怎么做，才能满足内控责任部门的要求”，所以，有些内控需要设计表单以实现前置。三是为IT化做准备，只有规范化的控制活动，才具备“内控模型化”即“数字孪生”的基础，也就具备了通过IT实现“数字化控制”的条件。

三、制度与合规的关系

管理，总是要面对主要矛盾的两端进行平衡。合规的对立面是不合规，不合规程度过大，就发生了“违规”，理想的状态是控制住“不合规”，自然就极大降低了“违规”风险可能。合规的核心在于“规”，规指的是规则，这里的规则，很少涉及到流程，流程是企业“内化”的规则，前提当然也是合法合规。从合规管理角度，企业合规确实存在“外部合规”与“内部合规”两层含义。如果从直观理解上，外部合规风险高于内部合规风险的容忍度，正是这种直观认识，再加上“某兴”被美国处罚这一导火索和人们的感触，很多人把合规管理的工作重点，自然而然地转移到“外部合规”。认识上没问题，但企业的管理，从流程上不是这样做的，而且，以目前大多的“外规拆解法”，从根本上解决不了问题。那有没有一举两得，既能做到外部合规又能做到内部合规呢？合规中的规则，包括企业外部的法律法规、规章、制度，以及限制型的政策文件，企业经营所在地在哪，有哪些外部规则的适用性？搜集这些外规，决定了合规管理的输入条件。但必须弄清两个问题：一是适用的规则并不一定必须用；二是企业任何体系的建设，不是体系本身，而是体系的可持续运作。这些外部规则的搜集责任由谁负责？只能是各个部门（需要区分开第三方服务与体系持续运作的区别）。

譬如《劳动法》，与劳动法有关的部门有三个：人力资源、工会、法务部门，但法务部门是由于专业需要而搜集，不承担搜集责任。所以，责任部门是人力资源部、工会。再比如：国资委2023年4月19日下发的《中央企业财务决算审核发现问题整改和责任追究工作规定》，责任部门是财务部门、审计部门，绝不是法务部门。那怎么让体系持续运作呢？首先要让这些部门主动承担起“搜集外规”的责任，这个很简单。外规有很多，比如：仅人力资源部门就涉及劳动法、领导干部公务接待、差旅标准等等。那是不是这些部门搜集到这些外部规则，就开始“分拆”合规义务项呢？您觉得可能吗？首先，这些部门一定是通过学习，掌握与企业相关、与部门职责相关的“主要内容”。其次，这些部门一定会衡量“违规程度”及内部现有管控能力是否满足“外规要求”。如果满足，人力资源部门绝不会“每天桌子上放着《劳动法》”，用劳动法来做人力资源管理，这就是一个“合规风险评估”的过程，评估的结果，决定“外规的选择程度”，制度、合规都是一个“主动”遵从的概念。所以，合规管理一定是“先有规，然后再评估风险”。当然这是一个大的概念，那就看一看财务部门如何处理国资委的“上位制度”的流程。

第一，他也会有一个风险评估过程，如果认为本部门现有的管理能力，能够满足《中央企业财务决算审核发现问题整改和责任追究工作规定》，那么这个“规定”就不会成为其管理依据，但一定会分发给下属单位，明确要求下属各单位必须“做好哪些工作”。因为这个企业满足，但并不意味着下属单位能够满足，必须“让大家知”。第二，如果发现该“规定”是新的要求，分发与明确要求是必然的，但财务部门一定“先把该制度”作为必须执行的“内部制度”进行管理，实施过程控制，或一直坚持下去（包括来自于外部的，明确为“遵照执行”的规则，企业无需再建，直接应用即可，但需要有适用记录），或内建制度，建立满足该上位制度要求的“自建制度”，细化过程及控制，形成“违规风险隔离墙”。第三，进入合规管理阶段，将合规义务分拆，转化为合规义务清单。任何一个成熟的企业，除来自于外部的上位制度外，很少会用“法律法规”作为管理依据（微型、新建企业除外）。所以，企业的合规管理，对齐的是“纳入企业管理范围的必须直接遵从或执行的规则”，而不能单纯地以“外规”论，制度是合规管理的基础。企业解决内规与外规对齐的关系，是制度管理的职责范围。那为什么要建立“合规行为清单”呢？很简单，只要明白了流程管理中，为什么除流程图之外，还要写出“流程作业文件”，本质是一个道理。

企业中，有一个共同规律，有计划、有设计就必须有执行。正如战略规划与战略实施一样，有制度必有执行，但不能认为“有了制度，就一定会被执行”。那如何提高执行力呢？战略实施的关键，是明确对应组织、关键员工的“KPI\PBC绩效”，绩效是为了衡量结果，衡量结果就是体现“责任感”。所以，制度的执行力，来源于“找到承担合规义务的责任者”。从企业整体看，我们可以把每个“阶次”的流程都当做一个“活动”，只不过高阶流程的活动太大，所以才有了“根据场景”不断的“分类、分层”分解，最后，如果有必要，可以形成“单角色的操作流程”，本质是单角色活动。这就是有些流程专家讲的“流程很简单，第一步、第二步、第三步┉┉”的来源。现实中，流程管理还是非常复杂的。之所以不断挖掘，就是要“可视化”，对应到角色，找到“责任者”。同理，合规管理建立合规行为清单，也是一个“将合规义务落实到责任者”的体现。流程是链接角色活动秩序的规则，流程的本质是业务，流程是为了“正确地做事儿”，事儿是由岗位人员完成的，而不是组织。所以，“内控与合规”可以通过流程，实现并列建设，前提必须建立在“流程相对全”的基础上（合规不仅仅反映在审批性质的流程），但太难实现了（中型企业的流程管理，至少3年周期）。所以，在企业流程管理成熟度不高的情况下，用流程承载“内控、合规、风险”，其实并不现实，合规行为清单，还是对应到岗位，更为实际、可行。当然，企业能够容忍“不完整性”，可以接受在有限流程内，承载内控、合规、风控，那是另一回事儿，但没有什么意义。续篇：企业制度的管理方法与适用性甄别