法务、制度管理、合规管理
、内控管理乃至风险管理，对企业来讲
，几大职能并不陌生。从这些职能产生、治理和实施的运作逻辑分析
，具有天然的
、紧密关系和联系。

01.企业现实中的几项职能分布

企业中
，法务
、制度管理

、合规管理、内控管理和风险管理几大职能
，要么集中于某一个部门
，要么分散于多个部门，由部门下的二级业务管理机构具体承担
，甚至某单项职能，由于管理与建设、监督与评价、实施与被评价的内涵不同
，在很多企业中，还会分散由多个部门或机构具体承担或实施。

由于职能的分割
，推动工作的先后顺序不同，不少人容易陷入单一职能项的认识，久而久之，几项工作各自呈现不同的产出形态和治理机制，隔离墙形成了。

隔离墙的存在，一方面导致工作策划与部署迭代、交叉

、重复
，缺乏有效的衔接，影响工作效率。另一方面，也会给下属单位、部门和岗位人员带来理解混乱
，徒增无谓的工作负担问题
。

现实中，不少企业受困于几项职能的割裂，受困于各系统框架下的不同参照标准或工作指引

，甚至受困于多个管理者分管不同职能工作项的问题
，虽然在交汇融合方面做了大量分析与研究，但往往停留于原理性框架，止步于具体职能的实施和运作
。

出现几大职能割离的情形并不奇怪，这是职能管理或专业分工回避不了的问题
。其次，能否实现衔接和集成，与牵头主管部门的思维定式、系统思维
、统筹规划与协同能力的认知和理解有关，与企业是领导文化还是贡献文化
，与各职能的分工管理方式息息相关。

几大职能是分散于不同的部门
，还是归集于一个机构

，没有好坏之分，与企业规模、层级、管理模式、管理幅宽
、运营逻辑
、内涵理解有关，这是组织设置与职能分配问题，因企而异。只要不出现小吃大
、窄吃宽

、先后逻辑矛盾的问题
，无关紧要。譬如，把流程管理这一复杂的、长期的涉及运营管理重构的大型职能，纳入监督主导下的内控管理机构，恐怕也只能刷一刷职能的存在。

02.落实几项职能的思考

讨论这一问题非常困难，一是长期的专业思路喜欢本位思考，容易出现观点碰撞，这是面

、线、点的关系；二是传统的职能管理模式
、成型的工作方式与内容，不愿接受新的职能增量带来的对存量方式与内容的影响与变革

。

无论如何，企业面临来自于外部的管控力度越来越大、越来越多是不争的事实。从合规管理角度认识
，意味着企业需要承担更多的义务内控管理制度是什么意思
，或者说需要把本就应该承担但尚未得到认知的义务识别全
，让承担义务（无论内

、外）的责任更加显性化
、规范化

。

落实一项职能，既要考虑职能实施前的方式与方法
，也要站在执行客体的角度去衡量、路演执行的有效性与可行性。具有紧密关联性的多维、单项职能的分头实施，必将增加其它部门或下属单位岗位人员的压力和负担。

无论企业做法务、制度、合规
、内控还是风险管理
，对于不断演化
、越来越贴近经营与管理前端的业务管理或业务岗位人员来讲，不会过多地思考、理解这些专业的理论和重要性，他们更需要的是“应该怎么做，才能满足要求”。

职能机构只有找到既能满足职能管理要求，又能下沉到与执行机构
、岗位绩效关联的方法，找到岗位人员能够接受的工作方式和业务活动标准，与他们习以为常的工作和可理解的管控方法交融为一体
，在不知不觉中发挥作用。这种模式

，意味着越向基层下沉，专业化的色彩就会越弱化。

要做到这一点虽然有难度，但并非不可行
，核心在于对多项工作的属性
、内涵、本源、方式、作用的贯通认识，才能找到有效的方法和工具
。

03.几种职能的逻辑关系分析

从几种职能分析
，都属于以不同属性目标为导向的专业化职能管理性质，其中，我们把风险管理定义为识别与评估不确定事项的作业型业务活动，不纳入职能管理（定义，是为了区分全面风险管理职能与风险管理活动的不同），但在几项职能中
，风险管理渗透其中。

职能型专业化管理有一个共同的特征，都会冠以职能领域的管理体系建设与运行。职能领域的管理体系是指“建立、优化
、实施
、监控
、审计、评价”一系列管理活动的统称。在具体构建中
，一般都会涉及
：流程管理、组织与人力资源
、绩效
、信息化及组织文化几大要素
。

（1）法务职能

通过对法务
、制度、合规与内控的关系及业务逻辑关系的梳理与逻辑流程分析，可以看出法务工作的本源在于国家法律与法规，以及相关行政规章与政策等外规。行业内的行政规章与政策

，则以对应的业务机构承担主要的认知、理解与践行责任

。

企业中，无论是普法教育，对制度建设的法律义务符合性内控

，还是对常态的合同法律义务与权益保护的内控，法务工作都是从防范法律风险的视角开展的业务活动。

外规体系非常庞大
，企业、员工关心的是与切身利益关系紧密
、影响重大、具有重复性影响的外规
。常规情况下
，企业会通过制度建设，设置流程控制点，以保证外规要求得到落实。

企业员工
，首先是国家公民
，既享有国家赋予的公民权利
，也需要承担法律法规赋予的法律义务，企业不可能毋分多少、轻重地进行外规向内部制度的转化，而是由人力资源管理职能
，通过建立员工行为规范
、员工守则
、纪律管理与罚则等方式，防范员工在企业外部的违法违规行为风险
。

外规转内规，是一个通俗的说法
，并不太严密。外规向内部制度转化
，并非完全来源于当下的合规管理，企业合规管理体系的建立与加强，本质是在规范传统的外规转内规工作模式、内容方面发挥作用，让企业和员工更好地履行合规义务，防范违规风险
。

（2）制度管理职能

企业制度的建立，从发起的动力和机理上只来源于1个方面，即规范企业运营秩序和员工行为，为企业的发展提供运营支持。作为市场经营体，企业自然要承担法律、规章和政策赋予的权利和义务。义务的存在，本身就是关系到企业健康发展的不确定因素，需要作为依据

，纳入到企业的制度建设中。

现实中，企业的制度建设，既要考虑外规义务的要求，也要考虑企业的运营模式与秩序，制度建设的内涵是一个统筹逻辑布局
、功能分解再布局
、重要活动作业化的过程，通过制度的设计与制度的遵循，可以满足履行外规义务与企业运营的双向需求

。

每个企业都有一个从小到大的成长和发展过程

，最早的制度往往直击问题，问题必然是企业经常发生的重复性问题，这就是很多流程管理咨询者经常讲的一句话“制度因问题而生”


，这句话有一定道理，但并不完全准确。

企业规模的壮大，越来越多的制度呈现点状、区块化分布形态

。制度散乱，内容交叉、重叠甚至会出现相互抵触的问题

，即使在当下很多企业中，也并不鲜见
。高层管理者“有章不循”的训诫式讲话，在很多企业中长期延续。问题的根本是“制度管理”出现了问题
，于是，制度管理职能产生了。

制度管理职能并非简单的建制度
、发布制度
、管制度，让制度得到执行那么单一，而是要通过制度体系的规划，反映企业运营架构
、业务架构
、业务目标
、外规义务承载、运作程序
、控制与活动标准，这才是制度管理的高阶价值所在。

制度架构方法的导入
，并非仅仅为了把企业的制度通过分类
、分层进行管理，根本的作用是将将分布于架构中的干、枝、节制度进行搭建
，反映该领域的业务模式
、运作逻辑与运作秩序，形成与该业务域运作相匹配的制度布局，为企业强化制度化管理提供支持
。

制度管理通过设计制度架构，并按照架构进行细分，按照层级进行制度建设，本质与流程管理的思维一致，但受限于制度文本化表述的固有特点，制度管理者思维开放与实践经历等关系，很容易出现形大于质
，甚至越做越倒退的问题

。

当前，国资委多次提到：企业要加强基本制度建设。于是，很多人开始聊起了基本制度问题，这句话要从深层理解，而不能停留于对这句话的直观、简单认识
。

基本制度是制度细化的根本
，也是对企业部门、下属单位实施分权
、授权的依据，合理的基本制度，可以与企业管理紧密结合起来，但绝不意味着企业基本制度越多越好。如果企业的各级管理者可以说出有多少制度
，但却说不出有多少基本制度，意味着这个企业的制度管理处于混乱状态
。做好基本制度的管理，是制度管理部门最核心的职责，而不是制度责任部门
。

（3）合规管理职能

企业合规管理职能产生的背景
，大家耳闻能详，不做过多的陈述。

从诸多合规管理文章中看
，不少人给合规管理赋予了很多定义，也赐予了合规管理很多的工作方法
，但到底好不好？是否合适，并没有什么具体参考标准
。在笔者看来
，合规管理的本质，是促进企业制度更趋规范、完整，更具可落地和可执行性的抓手，这是基于企业整体对合规管理定位的认识。

企业的进步、发展，构成了更为广阔的市场，经营范围
、规模、企业运作环境的扩大
、变化
，意味着企业承担更多的义务，受到更多的来自于外部的控制（与内控的对应关系）
。

企业通过合规管理，进一步梳理外部义务的目的
，并不是通过合规管理可以绕开“制度建设”，更不是针对外规义务，通过模糊的“风险描述”、“风险后果”
，更为原则的“风险应对措施”就能解决
，合规管理是促进企业制度进一步走向完善的措施。这一点
，从企业自身制度赋予各部门、岗位的合规义务角度，可以得到更好地理解。

制度是企业维持运营秩序
、防范重复性风险的实践总结，当企业的制度管理得以规范和完善，处于制度最底层的“操作类制度”，已经转化为具体的作业文件，作业文件是比较刚性的规则，就好比企业产品生产过程中的“质量检验”，已经成为“应对产品质量风险”的具体控制措施。合规管理没必要再把“规范的操作规则”打乱，再形成对应风险的“散点式”措施
，取决于企业制度管理的成熟度。

（4）内部控制职能

内部控制是一种管理职能

，从企业拥有第一份制度开始

，在制度范围内的控制就产生了
。企业内控建设更不是“内部控制规范与18项指引”的翻版，何况18项指引只能说是“指引”，除一些类似会计法
、企业法中明确的微观控制规则和要求外，很多具体条款并不能称其为可参照的“设计标准”
。你见过万般一样的企业内控吗？感兴趣的朋友们
，可以仔细研究品味一下指引，然后再形成结论。

内部控制是风险管理的支撑条件，控制、合规与效率，是天然的背反效应，必要的
、不能缺失的控制，有利于企业提升运营效率
，冗余、没有价值的控制内控管理制度是什么意思
，是牺牲效率的最大症结
。

内控建设的内容有两个

，一是通过制度理解，让基于企业级
、业务与职能管理级
、运作级的各级控制显性化（一般到职能管理级就不再细分）；二是通过流程梳理，淘汰
、合并或减少毫无价值的控制。第二项内容比较困难，控制显性化，是企业内控建设的第一阶段内容。譬如
，一个控制点的存在，有95%以上的控制结论都是“已阅”，这种控制除了浪费时间，无任何意义。

通过分析
，可以得出结论：制度管理是贯穿并链接法务、合规管理、内控管理的纽带。

在很多企业中
，经常纠结于制度建设与合规管理体系建设的关系
，纠结于制度遵循与内控执行之间“孰为依据”的困惑
。企业中，制度是唯一的“法”度
，无论是合规管理
，还是内控管理
，可以作为制度的补充或直观反映方式，也可以作为支撑制度执行
，从另一维度进行管理的表现形式，但永远不会替代制度的“法定”地位

。双标的存在，只能带来混乱，主从关系不能混淆。

（5）加强制度管理可以取代合规管理与内控管理吗
？

答案肯定是否定的。分析来源于一种假设，本文的假设建立在对外规义务的全面认知
，并通过必要的转化融汇于企业制度，企业制度是合规管理
、内控管理的本源
。

现实中，外规转内规的转化是一个长期的持续过程，制度的遵循也是一个不断遵循、间或违规、违规须惩、持续改进的过程
。用合规管理、内控建设
，进一步提升制度建设的全面性
、严密性和执行的有效性
，是企业促进并实施制度管理不可缺失的保障措施和实现途径
。

04.如何打通几项职能的隔离墙

原理好讲
，问题很难解决，在企业中是司空见惯的现象，这就是笔者一直讲的
，理论是依据
，但实践绝不是理论的翻版。

几项职能的隔离，有诸多客观因素，并非几项职能所能解决。要解决隔离墙问题

，只能找到合适的“方法与工具”
。

方法
，本文论述的是一个原理性框架
，再细化就是方法。企业制度建设完成后
，很多浮于表面而未被真实执行的原因，一是是制度往往落实在组织层，很难落实到岗位或角色
；二是制度建设的本质质量问题。要解决这一问题，需要解决制度认领问题，畅通制度问题建议与问题解决反馈的通道

。

制度认领
，或制度条款的认领，与制度中经常出现的一句话“本制度适用于所有单位”，有着根本的不同。制度认领，本质就是义务的识别、认领与承担的过程
，义务的承担，需要找到可以履行义务的规则和衡量标准，即防范义务风险的应对措施
，这一过程，即合规管理的过程
。

内部控制点的存在，本质是由常设组织
、非机构型常设组织
、项目型临时组织或不相容岗位承担。制度认领，同样意味着控制义务的承揽，在制度之外，对防范重复风险的控制内容识别、控制参照标准建立
，是保障内控职责得以落地的过程措施
。

工具
，制度管理、合规管理
、内控管理已历时多年，图形、列表画了不少，是否能够真正发挥实质作用，只有主管职能机构自己知道。

打通几项职能的隔离墙

，并不是改变几项职能的物理分布状态，而是通过IT作为工具
，用流程引擎打通几者之间的逻辑关系

，在满足日常业务信息化管理的同时

，运用规则引擎
，让几大职能的治理机制不再成为空谈；运用“结构化、数字化”思维
，形成各职能部署、执行与产出结果互相利用的模式
；挖掘过程中形成的数据价值化
，将流程执行中的典型活动
、特征、属性进行数据治理与记录；通过数字模型设计运行
，完成对常规工作的活动、进度

、控制要求执行情况的动态监督；将内部监督问题与外部监督发现问题
，通过IT进行管理
，实现制度管理

、合规管理、内控管理过程评价与结果评价的结合
；以重要活动、时间为驱动
，对工作进度
、执行风险进行动态智能监控与预警；用过程、活动、时间为要素，通过与自己比、与所有单位比、与同级单位比的方式进行评价，取代传统的以报告写作质量
、人员汇报好坏等感性化评价方法
，用数据体现评价要素与结果对比的公正、透明。（本文完）