【3】风控与内控整合框架的差异与联系：

从二者的框架结构看，ERM 增加了战略目标；增加了目标设定，事件识别和风险对策三个要素。

从二者的实质内容看

一是内部控制仅是管理的一项职能，而全面风险管理贯穿于管理过程的各个方面；

二是全面风险管理框架涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险，包括风险和机会；而内部控制框架没有区分风险和机会；

三是由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，在风险度量的基础上有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资源分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的四项目标。

全面风险管理涵盖了内部控制。

【1】为企业提供三大价值

【2】三者的区别

1. 来源不同，管控更多来源于法律法规，如《公司法》、《证券法》等，内控和风控初始起源于财务报表合规性。

2. 使用对象不同，管控更加适用于集团化经营的公司，风控和内控具有更加的普适性。

3. 细节要求不同，管控更多面向的是“三重一大”，内控和风控全覆盖。

4. 服务对象不同，管控适应组织意志，更多为企业决策者服务，内控和风控更加关注客户。

5 . 应用规范要求不同，管控不具有强制性，人如果作为上市公司，内控和风控具有强制性的规范要求。

6. 三者关联，管控是企业管理的骨架，内控可作为员工行为准则，风控进行了更加的细化。

二.高度重视“三控”

企业要做好“三控”，必须全员树立高度的认知。如何进行呢？

1.“三控”是企业永续发展的动力

【1】“三控”给与了企业发展动力

从“三控”的内涵，我们可以理解到：

管控决定了企业的投资权、重大事项决策权、利益分配权和监控权，这是企业成立的根本，即为投资者的权益保护，是企业存在的最基本环境和规则，决定了企业必须在该规则下才能有运营的前提。

内控，内部控制，为企业为出资人意志、财务报表预期可行、企业运营合规而进行了相关细节内容的规范和要求，企业的行为是否有效，首先是以这三个方面为满足的，其实这按个条件也是企业可持续发展的基本要求。

风控，以控制风险为主题的经营业务行为，企业要获取可持续的永续及健康发展，风险预防首当其冲。

【2】“三控”是企业永续发展的三道安全阀

企业要获得永续健康发展，“三控”是基本要求，因为其为企业建立了“合规”、“价值”、 “进取”的基本标准。可以说“三控”是企业永续发展的三大保障之‘阀门’。

2.领导有责

【1】领导责任

根据成功学基本原理，任何事情的成功都需要理念、行为，才能有好的结果。“三控”的成功，首先需要领导负起责任，特别是在国资国企中根式如此，许多的国资国企仍然是“领导重视就做、领导关注就干”的行政思维作祟、管理作风盛行。所以“三控”不仅仅停留在口头上、标语上，以及《责任状》上，它需要公司领导做到：

1. 明晰责任权责，签署《责任状》知识表面；

2. 清楚“三控”内涵，向下层层宣导，让全员都明白其价值意义；

3. 带头进行“三控”体系的编制，具化到作业标准和工具，在编制的过程中进行商业模式的创新，获取“三控”体系的前瞻性；

4. 科学决策，这项至关重要，要以“三控”思维作为战略目标实现、管理能力升级的基本保障，以此指导企业的存量激活、增量创新、、质量提升、潜量激活的基本保证；

5. 督导实施，所谓领导，不仅要领导方向，更要指导细节，所以“三控”的实施有赖于高管的层层督导落地；

6. 奖罚体系上，要建立“三控”核心事项的一票否决制，要建立负面清单，只要发生，则全面否决。

【2】江浙沪粤疫情处置措施借鉴思考

在这次的疫情泛滥时，为什么广东、上海、江苏、浙江等地没有出现一次死亡事件（截止至今日，2020 年 2 月 14 日），原因在于：

1. 1 月 20 日，国家和世界卫生组织先不该事项事，这些地方即进入了“一级战备状态”，对从武汉和湖北来人全部进行等级制，告诉国民疫情的严重性，施行了“小区隔离”，这个不像许多地方，直至现在才开始进行“小区隔离”，而且还大幅度报导，好像多么大的政绩似的，要玩的惊天动地。说明什么？领导高度重视，风险意识强，长期的宣导，人民也高度响应！

2. 实证明，这些地方，疑似病例和确诊病例，几乎都是A、B 传播着，少有C、D 传播者。原因在哪？领导高度重视，上下一盘棋，大家行动跟的上！

3. 至今没有被传染死亡案例（截止至今日，2020 年 2 月 14 日），因为发现的早，一旦发现就治疗，如果到重症期，死亡概率还是较大的。说明什么？这几个地方已经将社会风险防治做到了将“风险控治”做到了“法治防控”，后续的结果肯定能够扼杀病毒于襁褓之中！

4. 国家本来号召是每个省负责会一个地市的医疗支持，我的家乡，徐州市则是每个区均派出一个医疗队进行对口支援。为什么？因为日常的预防策略准备到位、平时演练到位，日常储备的足，所以战时就能“来则能战、战责必胜”！

这就是领导重视、切长期积累的结果！！！

3.中层担责

【1】中层责任

企业中层，对“三控”更是有有着责任，一是因为其是企业的枢纽，上传下达和横向协同需要他们的运作；二是其是企业的技术骨干力量，在体系的专业化上能够给与更多的贡献。所以中层的责任主要在于：

1. 在体系的设计上，基于实践，进行最大化的参与，保障体系的适用性；

2. 在体系的宣导上，基于对体系的身体理解，更能表达清晰体系的内涵，所以对下的传导是中层义不容辞的责任；

3. 在体系的应用上，基于技术的深度把握，能够起到指导者的作用；

4. 在体系的优化上，中层是企业管理中台掌握者，更能够基于内部数据的创新，同时有直接接触外部利益相关者，有着商业模式创新的基于，更能够为企业提供建设性的优化意见。

【2】中层责任心激励

如何换发其责任心呢？建议主要通过如下两点：

1. 责任事项处罚制：对因为“三控”发生的责任事故、迟滞现象，给与处罚，将之做入绩效考核指标中去世非常可行的方式。

2. 建议采用奖励制：对优化建议，创造直接价值的，给与百分比的奖励；创造隐藏价值的，给与绩效奖励。笔者在为企业进行内控建设时，总会有体系审计的，设置了奖金池，在过去的一段时间内，因为优化建议进行的改进进行评估，给与建议者应的奖励。该方法很好，倡导了企业的学习研究氛围，助长了创新文化。

4.员工尽责

【1】建议思考

春节前疫情爆发之初，一些企业家和我进行研讨，说春节后因为疫情如何确保开工安全，我就给出了如下的建议：

1. 在“防”上下功夫：在家不要和和外来人员聚会和接触，避免传染；不要去医院，不要公交，即使去医院和坐公交，防护措施要做好，回家要清洗；上下班期间，口罩要换掉，衣物要清洗，鞋子要消毒……

2. 在“控”上下力气：公司门口最好设置消毒通道，人员进出门口均要经过消毒室；严禁车辆进入厂区，货物交接在门口，而且车辆必须全面消毒。其实这花不了几个钱，消毒室也就几个紫光灯而已。

3. 在“治”上要重视：对可能的感冒、发烧，及时医院检查；发现他人有该症状，也要催促其前去检查，不怕一万，就怕万一。

4. 在“环”上做工作：全面清理工厂的环境，对垃圾污染物高度重视，定期清理和消毒，不让污染源污染员工和外面的人员，藉此进行员工清洁教育。

其实上述这些内容和国家下发的《防控手册》，以及后来的开工要求很一致。

【2】员工责任

那么对“三控”，员工应负有哪些责任呢？

1. 有对工作精益求精不断提高效率的责任。许多人员认为我做好生产、产品质量上的去就可以了，其实这是皮毛，精益求精不仅是在生产上，是在产品质量上，还包括环境上，这些环境包括设备环境、场地环境、工具环境、人文环境等，这些要素是产品生产和应用的必备要素，有了这些，产品才能更好地被消费，产品的价值得以升值。

2. 有对自身环境提出优化建议的责任。自身环境优化建议的提出，也是自己的权利，首先要求自己的健康得到保证。

3. 有对工作可能风险进行预防的责任。对可能的风险进行预测，班组长应首先发挥作用。经验证明，许多的矿井发生灾难，更多原因在于探测和施工之间出现信息障碍，探测不可能天天进行，又没有教会施工现场进行先行探测，所以现在许多的矿井安装了安全警报装置，旷工怎么做的呢？“班前叮嘱、班中注意、班后总结”，即使天天千篇一律，仍然雷打不动，该机制就有效保障了自己的人身安全。

4. 有对自身进行5S 管理的责任。每天日行三思，随时对自己进行5S 检查、清理、清楚，将一切不好的现象扼杀，养成素养，相信将此带到社会、带到家庭，也是对全面素质提升的贡献。

【3】员工责任保障

如何让员工有相应的责任呢？举个例子，马路上画线和设置护栏，结果呢？车祸大量减少，通行效率大力提升。仅仅是因为画线和护栏吗？还有配套的措施，那就是拿驾照前的考试、违规后的罚款扣分。

同样的，员工责任保障，建议企业做到：

1. 岗前培训，许多企业的岗前培训就是设备的操作、企业介绍和文化等，这些不够，建议能够将H.S.E 纳入进去。

2. 环境管理，许多企业做了许多的质量体系认证，就是简单地花上三两万买个证书，这是不负责任的行为，助长了员工的阳奉阴违、弄虚作假风气，我之前不为一家企业服务，就是因为老板告诉我他们做认证所只花钱买证的事，老板都不地道，企业也干不好，为其服务只能是阴谋论，不如不合作。要做，就切切实实地进行管理的提升，将体系的要求内容作为日常工作的标准，切实实践下去，这样才能创造自己的体系创新，以质量换取企业长青。

3. 班组管理，对人、机、料、法、环的过程管理到位、对质、量、成、效、安全的结果管理到位，杜风险事宜、作业关键点盯到位、考核到位、激励到位、处罚更要到位。

4. 强化理论学习和工具应用，加强对员工的作业理论学习和工具应用，让员工明白为什么这样做、如何这样做，还应该如何做才能更见效。

5. 创新文化的新内涵。许多企业的创新就是为了省工省料，认为这样效率就是提升了，

而不惜以降低质量为代价。我现在基本上不喝啤酒了，因为现在市场的啤酒几乎都不用麦芽发酵了，而是玉米糖浆，高浓稀释的多，成本当然降低了，从原来的几千一吨降低到了280 元左右，在市场上还美其名曰“清爽”、“超爽”。啤酒本是“高品位生活”，结果成了糖尿病的培养基。为企业长青，建议企业的创新前提是品质提升，后再通过设备、运料、工艺等的优化和重组进行创新。

【1】诊断与评估时机的把握

周期性地对企业“三控”进行诊断和评估，就如我们进行体检，是为企业的健康而进行的。诊断和评估如何进行，主要包括两个方面，一是体系本身的成熟度，即体系本身的科学规范性，第二就是提环境的成熟度，即系的产生和应用环境是否是适当的。

那么在什么时间进行诊断与评估呢？

至于诊断和评估的时间控制，建议分为周期性和即时性。周期性，最好为年度进行。

即时性，即发生重大事项时。

根据企业管理的基本准则，会在发生下属现象时对企业“三控”激进型诊断好评估：

即如下的五种环境下进行：

1. 企业环境发生重大变化，导致的战略发生巨大的变化，如进行上市等；

2. 外部和内部环境发生重大的变化，如环保政策等，该事项直接导致布局的变化；

3. 企业内部发生重大的人事变化，而别是国资国企，因为领导人的变化可能导致企业的管理风格发生变化；

4. 企业内部出现重大事项需要全公司之力进行解决，或管理体系需要跟随性变革；

5. 根据历史时期，企业的文化体系需要变革，对国资国企来说，如果国家政策导向、上级机构发生重大变化时，则需要相应的跟随性调整。

上述的五大要素的变化将导致企业的“三控”体系进行相应的根进行变革。

【2】诊断与评估的依据在哪？

许多的管理咨询，就是将现状进行描述，直接按照SWOT 进行分类和判断，许多判断出的结论，如劣势，但可能是优势哦！如许多创新型的企业或产品技术，在创业期因为需要经过磨合和试验，你不可能因此而否定技术的不先进吧？

那如何进行呢？建议要判断一个事情的好与坏、先进与落后、积极与消极，建议一定要有标准。建议诊断与评估的依据可如下：

1. 企业战略是否符合时代的发生？是否符合生态环境的要求？

2. 企业的商品与服务是否符合消费与市场的价值

3. 和行业最佳标杆比较，是否有差距？

4. 现存的企业现象对企业发展是起到引领性、驱动性作用，还是限制性、阻碍性作用呢？

5. 企业现存现象是否为企业造成不良影响呢，或是制造了不必要的麻烦而造成损失？

6. 和企业现存现象存在的关系是什么样的呢？正面的还是负面的？

正面因素，我们可以说是“优势”，反之“劣势”。而对于外部环境，顺应时代的，我们可以说是“机遇”，反之“威胁”！

【3】诊断与评估的表达

有了上述的判断依据，我们可进行定性或者两化的评估，雷达图可能是较好的一种表达方式了，如下图：

具体的做法：

1. 将诊断与评估对象进行结构化，并设定理想值为1.0；

2 . 将现状进行描绘；

3. 评估现状和理想值的差异，确定所处的状态；

4. 绘制雷达图；

5. 看差距编制《短板举措与对策建议》

下面我们以PEMM 模型对“三控”体系进行诊断。

1.“三控”成熟度评估

“三控”体系不仅仅表现在具体的制度、流程与相关文件的完整性上，还包括流程体系内在的表达，如职能职责体系等，总体架构如下：

其中，文件的表达规范性为重中之重，下面的体系设计中会进行讲述。

再好的工具也要有好的应用方法，“三控”的价值彰显需要“三控”环境的支持！体系环境成熟度主要包括企业对该体系的领导能力、体系形成的企业文化、企业掌握的对该体系的技能，以及噶体系的治理能力等维度。

四.科学建立“三控”体系

1.体系建设需要顶层思维

【1】什么是顶层设计？

顶层设计是运用系统论的方法，从全局的角度，对某项任务或者某个项目的各方面、各层次、各要素统筹规划以集中有效资源，高效快捷地实现目标。

在中国，"顶层设计"现已成为一个被各行各业广泛使用的名词，对其概念的理解略有不同。顶层设计的主要特征：一是顶层决定性，顶层设计是自高端向低端展开的设计方法，核

心理念与目标都源自顶层，因此顶层决定底层，高端决定低端;二是整体关联性，顶层设计强调设计对象内部要素之间围绕核心理念和顶层目标所形成的关联、匹配与有机衔接;三是实际可操作性，设计的基本要求是表述简洁明确，设计成果具备实践可行性，因此顶层设计成果应是可实施、可操作的。

【2】顶层设计要做好三件事

1. 架构体系设计

体系建设是一个整体思考的事情，“三控”体系既然是企业长青的安全阀，必然关联到企业的方方面面，如管控关联到企业的战略到执行、管理到绩效；内控更是铜鼓制度和流程为企业提供运营准则；风控更是将风险进行解除，关联到战略风险、财务风险、法务风险、营销风险和运营风险。

体系的设计需要关联到三个层面，即战略层面、环境层面和操作层面，具化到细节，才能被高效执行，具体框架如下：

2. 商业模式创新

完全的新的体系建设，或者体系的再造，都必然是为业务服务的，不管是开源节流，还是除风险、降成本、提效率、保安全，如果先进行商业模式的创新，那“三控”体系才能更好地服务于业务。

根据三种经营体的不同，即单一经营体、产业化集团、多元化集团，商业模式架构分别如下：

3. 应用与支撑系统

应用和支撑系统主要包括：

1） 组织保障：组织架构和结构，明确各业务单位、部门和岗位的责任系统、定位与目标、职能和专业要求等，以及与上下左右之间的关系等。

2） 机制促进：更多指绩效管理体系，既有组织绩效，也有个人绩效，既有达成目标的激励，也有没有达成绩效的处罚。

3） 平台建设：提运作过程中，体系构建必不可少，因为其是公司（特别是集团公司）创造更多层次价值的载体，如人力资源平台、融资屠宰平台、资金池管理平台、集中采购平台等。

4） 信息支撑：信息化不仅提升运营效率，更是企业进行穿透管理和透明化经营的基础设施体系，现有体系正常包括LAAS、PAAS 和SAAS 三部分构成。

2.管控体系建设

【1】确定 SOA 架构

以利益相关者价值需求为出发点，确定企业的管理架构系统，是进行集团管控的第一步，如下图案例，内容包括：

因该企业为北大荒集团下属二级子集团，为北大荒集团“三大一航母”（大产业、大基地、大平台、航母型集团）背景下表现非常优异的集团公司，现在年度营业额超过了500亿元，笔者为其进行集团管控项目服务时，通过如下路径进行集团管控的体系设计：

首先是进行了利益相关架构的设计。上述是价值需求方，企业为生产运营，供给额生产要素必不可少，所以要进行融资投资和建设，少补了设计商、建设商、法务和财务等管理咨询商、信息化供应商、人力资源服务等生产要素提供商；此外还要有技术设备供应商、生茶用原辅材料提供商等。

其次根据职能对常设机构称规则进行相应的职责分解。首先是集团决策层，表现在三会的日常办事部门，即党群办、董办、总经办，主要负责政府、上级机构和投资机构；集团各个职能部门主要面向三会和需要集团进行统筹的重大的采购平台体系建设；各下属的业务单元则进行产业化的采购和运营，三级机构则负责小额零散采购及个性化的采购。

再者，根据法理和价值目标的需要进行内部工作机制的分配。主要是根据《公司法》、《上市规范》，及其他国家的、地方政府的、上级集团等的相关规范进行内部运营规则的制定，充分发挥集团顶层设计、集团部门枢纽驱动和业务单元的基层首创功能。

最后确定基本守则。集团管控首先满足的是集团的价值导线，所以基于法理，要有集团决策层对集团各部门的分权，通过分权对二级机构、通过而额吉机构对三级机构进行合理的授权；监控权从上而下，报告制度和报表系统则由下而上进行逐级汇报。

由此形成了集团的角色定位架构。如中粮集团的集团管资本（自评为投资运营管理型集团，集团管资本、管投资、管重大风险和质量等）、二级机构（产业集团）管资产（过国有资产的保值增值、资本的溢价、产业经营和创新等）、三级业务管运营（研供产销服等的业务运营，控成本和风险，拓市场和绩效等）。

【2】业务评估进行管控模式的设计。集团管控是为集团获取价值最大化，实现多层次、多状态、多模式、多保障价值实现路径的工具体系，集团根据各业务单元的战略吻合度、财务贡献度、对集团发展驱动力等进行评估，确定集团对下属机构的管控模式，即集团对下属机构的控制模式、协同模式和资源配置模式。

【3】综合评价确定集团管控的深/浅度和强/弱度。集权和分权是集团意志的表达，是对管控模式的执行下延，评估准则主要如下：

【4】根据集团价值目标、战略与业务、职能与能力进行管控事项的枚举，和下属机构形成《分权界面表》。

【5】根据组织架构设置的八大基本原则进行集团组织架构再造集团组织架构设计的八大原则：

1) 秉承本源：将“国有资本保值增值”作为集团的立足之本，强调“控风险、降成本、提效率、显价值”

2) 战略规划：响应集团整体战略规划，保障战略有效落地

3) 业务发展：立足已有业务，整合资源，推动产业结构发展和完善

4) 发展驱动：寻找新的发展动力，促进集团持续发展

5) 管控需求：完善集团管控体系，保障权益落实

6) 风险合规：合理合规，规避风险

7) 流程规范：为流程高效运作提供组织基础

8) 对标学习：学习成熟模式和经验，优化自身组织结构

根据“上有指令、下有执行；下有业务、上有管理”的原则，在进行集团组织架构设计的同时，本着业务下沉、下属机构更要面向消费与市场的需要，进行更加开放式的下属机构的组织设计和改造。

下属机构改造的原则：

1) 行政后勤简约化，大部制、中心化

2) 面向生产和市场进行精细化、细分化，最好是形成业务管理和职能管理的矩阵式架构。如营销，部门可分区域、分品牌，甚至分产品类别，业务系统则可细分渠道，甚至分客户，进行营销组织机构的设计，确保末梢的精细化。

【6】根据部门职能分工，将管控事项形成部门间的《核决权限表》

不进行内部控制体系建设的机构会进行有关“管控”体系核心流程和制度体系的建设。在此需要说明的是：管控主要针对“三重一大”，而内控体系所要求的制度和流程系统更加精细化。

3.内控体系建设

在管控体系建设完毕后，通过价值链体系梳理出管理事项，就可以进行制度和流程体系的编制了。

【1】关注三个方面的需求

1) 企业层面的需求，内部控制是各类企业的基本需求，其关联到企业的战略目标实现、企业经营合规性要求、财务真实性和透明性（上市公司特别需要）、营销市场的拓展激励性，以及运营效率的提升。企业层面的要求包括两个方面，一是内控体系，一是内控环境体系。

2) 法规层面的需求，上市类公司及国资委企业出于法规的要求对风险管理有较高要求；金融类公司出于国际、国内法规要求对违规防范（合规管理）有更高要求。

3) 操作层面的需求，将内部控制嵌入管理流程，实现管理和业务过程的内部控制。则是内部控制的基础性载体。

【2】认识三大障碍

基于内部控制的效能性障碍，许多企业会在如下的方面表现不足：1）首先是缺乏良好的控制环境——内控环境是内控是否有效的基础保障

l -法人治理结构不健全，内部控制的外部约束较弱；

l -公司治理结构中责任不到位；

l -缺乏绩效考核对内部控制与风险管理的引导机制

l -高管层缺乏自主控制意识

l -没有形成重视风险的控制氛围

2） 缺乏内部控制方法理论——内控方法论应在行为管理学理论基础上创新发展

l  -缺乏理论指导，以最佳实践为参考，注重对事件本身的控制，忽视对责任人的行为尤其是高管层行为的控制；

l -没有完善的行权、职责、反馈、改进规范；

l -把内控看成一套制度，而不是过程，缺乏动态理念。

3） 崇尚经验式管理——就内部控制建设而言，目前国企最缺乏的是制度化的风险评估以及科学的风险应对策略。

l -对管理的有效性和制度的适当性缺乏评价标准

l -制度拟定部门从自身利益考虑，造成跨部门流程断裂或交叉

l -对重要的职责与权限划分有较大的随意性，重权力划分，轻责任归属

l -缺乏系统的风险评估方法和工具

l -缺乏定期反馈和修正机制

【3】制度分类和流程分级

制度和流程的分类分级，能够帮助企业从决策到运营的效率，给重要性，分类分级如下：

n 制度分类：

-基本制度类，为国家法律法规和政策体系在企业中的执行反应，如根据《公司法》进行的《公司章程》和《三会议事规则》，根据劳动法进行的《请休假制度》等，这些制度具有强制执行性，其不仅接受利益相关者的执行和监督，也收到国家相关机关的督导和检核。

-管理规定类，企业为职能发挥，基于企业个性化特征而会进行相关的运营管理规范制定，如《报销管理规定》等。管理规定类制度一般会以“规定”、“规范”表达，是企业经营制度的约定，额具有一定程度的约束性。

-操作指导类，为具体的作业规范，对具体的业务事项进行指导，更多表现在《设备操作手册》、《**工作指引》方面，具有对具体业务的指导性。

n 流程分级： 以下图为例：

-一级流程，人力资源管理流程，反应了企业价值链，关联到企业人力资源管理的整体流程，流程对象关联到人力资源供应商和国家行政管理机构，以及内部员工，价值关联到企业对主价值链的全面支撑，包括规划、招聘、培训、聘用、升降等员工关系、员工关系、解聘与离退等。一级流程基本对应于基本制度。一级流程需要公司批准。

-二级流程，以及流程下的二级管理流程，如培训管理流程，刘晨搞对象关联到培训业务的全面预算管理，需要多部门协同和上级的审批，所以为二级流程。该级刘恒的主要特点为多部门协同和公司审批。

-三级流程，如培训中的培训会流程，对象关联到培训会的会前召集、会中实施、会后评估，为具体业务的操作指引。

-四级流程，具体的作业指导类流程，约定和规范了动作标准，如一、二、三…..步骤进行。

-五级流程，历程输入和输出的信息表单。

【4】制度表达

制度体系的表达一般分为瑞几个部分：

1) 总述，会讲解制度编制的目的、目标、使用对象，制度运营的基本原则等；

2) 组织保障，制度关联的决策者、使用者、监控和奖罚者等的组织和关键岗位人员的职能职责、权限等。

3) 制度部分，制度的核心内容，反应了制度执行的核心流程。

4) 机制部分，更多是对制度执行的保障和激励，奖罚条款是重点。

5) 其他部分，主要讲述制度的颁布、解释、更正、废止，以及落款等。

【5】流程表达

制度体系的表达一般分为瑞几个部分：

1) 流程背景，主要包括流程编号、流程层级、主责部门，编制/更正/审批部门、人员和日期；

2) 流程图，会关联到流程对象（可具化到具体岗位）、输入输出表单名、关键动作、前后链接等。路程的职能域会正常分为制度/规定的制定和审批、计划控制、实施控制、结果检验/应用/存记录四大部分。

3) 流程说明，对相关动作进行说明，一般需要具化到5W2H。

4) 风险评估，对关键流程节点进行风险性预测。

5) 风险预防，对关键流程节点的执行到位提供策略和保障。

4.风控体系建设

内控体系建设完毕后，风控体系的建设主要是在内控框架基础上进行风险识别、风险评估、风险预防等部门的补充和强化。

【1】风险体系

首先根据历史经验和企业发展规律进行风险体系的识别。

【2】风险识别方法

u 风险识别的基本方法：风险清单

• 潜在损失一览表：通过预先设计的表格进行分析识别。

• 保单检视表：将保险公司现行出售的保险单所列出的风险与风险分析调查表的项目综合而成的问卷式表格。

• 资产—暴露分析表：表内的内容分为资产和损失暴露两大类，不仅局限于可保风险，也包含不可保的纯风险。

u 风险识别的辅助方法：

• 财务报表分析法：从损失暴露入手，找出可能对这些损失暴露有影响的风险源。

• 流程图法：根据业务或管理流程来识别风险。

• 事故树法：遵循逻辑学演绎分析原则，从结果分析原因。

• 调查问卷法：通过向被调查人员询问分析可能引起事项的内部和外部因素。

• 小组讨论或访谈法：通过一对一的访谈或小组会议了解分析存在的风险。

• 增量或临界触发器法：将当前交易或事件与预定标准进行比较，提醒管理者对这些事件的关注。

• 过往损失事件数据法：对过往损失或失败事件建立数据库进行统计分析，帮助趋势分析和识别损失或失败的缘由。

• 实地检查法：通过实地调查查明损失或失败可能的原因。

【3】风险评估

风险评估主要是频率和程度的评估。

u 损失频率的评估

• 损失频率：某风险单位因为某种损失原因而受损的概率。

• 定性分析：风险管理者根据自己对风险的观念，将风险事件按照发生的可能性大小分级；

• 概率测算：根据统计资料，应用概率统计方法进行计算。

u 损失程度的评估

• 损失程度：每次损失可能的规模，即损失金额大小。

• 理查德·普台堤提出的概念：最大可能损失、最大可信损失、年度预期损失

• 阿兰·弗雷德兰提出的概念：正常损失预期、可能最大损失、最大可预期损失、最大可能损失。

• 戴维·柯米斯等人提出的概念：年度最大可信总损失。

【4】 风险评估方法

a) 风险评估法——先将风险进行成因分析，后将关键成因量化，确定其度量，分析确定导致风险事件发生（或极有可能发生）时该成因的具体数值。当超过某数值时建立预警机制，此确定风险发生可能性、预估危害性。

b) 压力测试法——压力测试是指在极端情景下，分析评估风险管理模型或内控流程的有效性，发现问题，制定改进措施的方法，目的是防止出现重大损失事件。

c) 行业标杆法——是将个案企业各项活动与从事该项活动最佳者进行比较，从而提出行动方法，以弥补自身的不足的方法、将外部企业的持久业绩作为自身企业内部发展目标并将外界的最佳做法移植到本企业的经营环节中去的一种方法。

d) 情景分析法——情景分析是一种自上而下“如果-什么”的分析方法，可以计量某事件或事件组合对企业将会产生的影响。

主要程序：

1. 确定分析的主题、明确分析的范围；

2. 建立风险数据库，并将风险按其对主题的影响进行分类。

3. 构思风险各种可能的未业图景；

4. 设想一些突发事件，看其对未来情景可能的影响；

5. 描述到未来各种状态的发展演变途径。在适用情景分析的过程中应明确以下三点：

1. 因变量：所关注的目标是什么；

2. 自变量：影响该目标的风险因素是什么；

3. 变量间的关系：该风险是如何影响目标的实现的，其变动对目标变动方向与程度如何。

e) 敏感度法——敏感度分析是指在合理范围内，通过改变输入参数的数值来观察并分析相应输出结果的分析模式。

敏感性分析常用来评价潜在事项的正常或日常变影响。

1. 因变量：所关注的目标是什么；

2. 自变量：影响该目标的风险因素是什么；

3. 变量间的关系：该风险是如何影响目标的实现的，其变动对目标变动方向与程度如何。

f) 风险价值法——所谓风险价值是指在市场正常波动下，在一定的概率水平下，某一投资组合在未来特定期间内在给定的置信水平下，市场最坏时投资组合最大的可能损失。所谓风险值则是指在既定容忍水平下，市场最坏时投资组合最大的不可预期损失。它是综合市场风险、信用风险、利率风险与外汇风险等财务风险于一体的统一的标尺。

【5】 建立风险图谱

根据风险发生频率和危害程度，建立风险图谱，以助于确定后续的风险预防策略。

上述从左下角到右上角，展现着企业需要对风险的重视程度需要逐步加强！

【6】风险预防

首先建立风险可接受度矩阵

其中：

u 不可接受的无法忍受的，必须消除或转移的；

u 不希望有的必须采取合理的行动，详细的调查和判断，必要的监测；

u 可接受的假如风险可以管理的话，可以接受；

u 可以忽略的不需要进一步的考虑。

其次建立风险预防策略——风险应对策略，指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度，选择风险承担、风险避免、风险转移、风险减少等适合的风险应对措施的总体策略

五.“三控”实施如何高效进行？

“三控”体系设计完善后，能够高效运作，并取得较高的效能，有赖于环境成熟度。下面主讲组织保障体系和运作机制的保障。

备注：本文所讲的不是传统意义的组织架构和组织结构，而是和“三控”相关的组织系统。

1.组织保障体系的建设

公司治理，狭义的公司治理是指一组联结并规范公司股东、董事会、经理人之间责、权、利关系的制度安排。广义上，公司治理还包括公司与其他利益相关者（Stakeholder，如员工、客户、供应商、债权人和社区等）之间的关系，以及有关的法律、法规和上市规则等。公司治理提供了对“三控”由上而下的监控与管理。

如对风控，治理架构如下：

2.“三控”高效需要的运营创新

“三控”体系的运作需要运营保障之保障，在此我说几个例子，大家会有更加深刻的理解。

1、以前，我任职一家企业总裁。刚到企业时，发现企业有非常有意思的文化规则：为体现工作很忙，很多高管将非常简单的事情都会拖上三两天，始终是“最近好忙，报告还没有来得及批”，实际呢，许多审批内容就是走个流程，是非常常规的事情。对此，我做了如下的改变：1）将办公系统进行重新设置，每天早上员工上班为8:30，高管的为9:00，要求在此期间必须将上一天的报告审批完毕，要么发起会议审批，否则进入不了正常工作界面，那么就是迟到或旷工；2）将流程审批作为KPI 项，占比全面绩效的25%；3）考勤数据直接进入系统，直接生成工资系统，不再需要考勤人员的手工和审核，避免人为迁就高管而更改数据。后该企业在“三控”系统的实施过程中达到了“日清日洁”的程度。

2、某企业的费用报销，总有一些人员经常整一些不合规的发票提交给财务人员，结果导致财务人员工作量大增，完全剔除出去，还需要多加解释。后感觉差不多就过去了，但后来进行上市前的审计时发现了该问题很严重，严重到严重影响到上市计划，必须全面进行整改。怎么改？我建议其建立“信用机制”，具体操作为：根据票据报销的真实性、时效性评估报销人员的信用，100%的，给与全额报销；有差异的，则酌情扣减补贴标准，并给与审计后再报销。在岗位晋升考核中，100%诚信的，优先；多次发现有故事的，严格禁用，并提前纳入退降免的考察范围。可想而知，该套机制为企业建立“诚信”文化起到了很好的作用。

3、某企业有许多的混合所有制机构，派出的干部许多被策反成为合资方的利益代表者，导致集团的利益被逐步侵蚀，隐在组织和系统风险。怎么办呢？强抓“派出干部管理”，具体做法包括：

1）派出人员非特殊原因全部实行轮岗制，特别是董事长、总经理和财总，每年至少轮岗一人，三年为任期，最多两任必须轮岗；

2）参加董事会或重大决议前，实行报批制，来得及的书面报批，紧急的也要电话直接领导，后补批，集团对派出干部由长期未拍照转型为事项委托制；

3）实行述职会制度，述职会内容由原先报成绩转变为“尽职尽责”述职，并对决策事宜进行风险评价，并以此作为考核依据；

4）薪酬发放，由集团根据考核进行；

5）审计常态化，由原来只进行工程设计和项目审计，扩展到任期经营审计、离任审计，全面强化派出干部的全程管理。结果呢？

经过了三年坚持，渎职、违法、犯罪现象大大减少，刑期由原来的平均年度 10 年*人，降低到了“0”。

最近三十年发展起来的信息化给人类社会带来翻天覆地的变化，这次疫情期间，大家为战“疫”胜利，信息化在人们的生产、生活、生态上给与了重大的贡献：在家办公、线上采购和销售、抖音和快手等现代沟通工具成为了人们手中的必需要……具体到企业信息化，网络化有了LAAS、PAAS、SAAS 的细分，简单的ERP 和物联网、区块链连接，大数据和BI、AI关联。在“三控”体系实践中，信息化更是必不可少！

“三控”的实施，都需要反应在管理流程上，所以本章不再进行信息化的普及，而是讲流程信息化如何进行。

1.流程信息化如何进行？

笔者在参加工作的第二个月（1997年）即应用FORTRAN语言进行食品配方的设计，一年后参与MSⅡ系统的软件编制，到2003 年在一家企业任职战略总监时引进金蝶K3 系统，在2005 年任职企业副总经理（分管市场部，兼生产供应部总经理，兼北京销售子公司总经理引进了速达3000系统，在2011-2012 年，又在金蝶软件任职管理咨询总监，基于甲方和乙方多年和信息化深度接触的基于，发现企业信息化项目的成功、流程审批的应用实效，必须做好“四化”，即管理制度化、制度流程化、流程表单化、表单信息化。

【1】 管理制度化

企业管理，全面实行制度化。根据制度三层次体系，将企业从战略到执行、管理到绩效实现全面的制度体系对应，管控、内控和风控更是需要制度化，重点包括：

管控中：

l 公司三会《议事规则》，含下属机构的，通过此厘构三会的权责，以及董事与经理人的权责，预埋规则，帮助企业实现分层价值。

l 派出干部管理，确保充分行使出资人意志。

l 三重一大事项管控，特别是关联到股东利益的四权（投资权、重大事项决策权、利益分配权、监控权）的三重一大。发展战略、资金池与信用、投资与资产处置、EVA与绩效、关键岗位人员、企业文化、技术研发、集中采购、安全质量、PMPs 等。

l 管控之治理，主要是文件体系的建议、决策、执行、监控组织环境。内控中：

l 各项制度手册，更加关注于战略、财务、法务、营销与运营五大核心的各项制度体系。

l 内控环境建设，主要包括环境、沟通与信息交流。

风控中：

l 风险识别、风险评估、风险预防的技能和知识。

l 基于安全和风险的运营管理体系，如安全的三预体系（预报、预警、预防）和三网信息系统建设等。

上述内容都必须形成制度权，全公司无条件遵从。

【2】制度流程化

为强化制度体系的易立即和可执行，需要制度流程化。

制度流程化是指从制度文件中抽离出一组或多组有时序关系的过程性要素，并运用流程化的方法进行梳理，形成一个或多个业务流程的过程。

制度流程化的对象：管理制度（MC）、制度实施细则（MR）、工作程序（JC）。

如下：

【3】流程表单化

流程表单化，就是将流程中的组织定义、动作定义和信息数据进行表单化，主要目的是为了信息化时的定义对应起来，帮助信息化的架构层级清晰，流程的流向保持和运营管理系统的一致性。

流程信息化概表

组织和动作定义表示例

【4】表单信息化

在“强规则”、“短流程”、“高授权”、“大监督”的流程系统编制、优化、再造完成后，形成分模块的流程表单目录。

2. 匹配IT 的单据。

关键是数据项设置，一定确保组织定义、岗位定义、权责定义、动作定义、表单定义保持高度的一致。所以组织层级、制度层级、流程层级一定要和常见的IT架构保持高度的一致。

流程表单还包括流程使用的操作手册、检查单、作业指引、报告模板等。

3. 构建企业ERP 和OA 统一的门户架构

随着业务的发展、规模不断扩大，企业信息化提出了更高的要求。原有各系统的流程和功能被统一到BPM 平台上，消灭信息孤岛，通过Portal 用户不需登录多个系统就能处理日常事务，通过业务的全流程驱动实现事找人，全面提高员工工作效率和领导管理效能。

4. 流程绩效管理

流程绩效管理的过程也是“三控”运营效能的评审管理过程。企业应该形成周期性的评审机制。

特别声明，因具体的信息化是另外的专业领域，在此不进行赘述！

2.“三控”EBC 能力建设

EBC，即企业业务能力（Enterprise Business Capacity）。数字经济时代，企业管理已从ERP（企业资源计划）时代进入EBC（企业业务能力）时代。ERP不再只侧重“资源”或“计划”，正在慢慢从“企业”转移焦点，正在逐渐发展成为一种更加广泛的东西—EBC。

EBC时代，已经演变成了数据驱动，端到端，把过去的数据孤岛连成一片，变成一个数据湖。过去ERP倡导的是战略导向、IT控制，IT更多的是一种控制手段，保证战略、业务朝着计划的方向走。在EBC时代，强调以客户为中心、业务驱动。过去ERP的管理转型很大程度上束缚了自己的手脚，而在EBC时代，应该倡导的是协同共生。

对“三控”EBC能力打造，如何进行呢？笔者根据多年经验，形成如下的方法论：

【1】升级“三控”体系，战略引领发展

引领企业的发展，需要管理体系的升级，根据企业的由小到大，如单一公司、产业化集团、多元化集团，再到超级集团，所需要的运营管理体系是逐步升级的。举个很简单的例子，如某集团，本来是做早餐的，很简单的，刚开始是做炸油条的，开始时自己一个人买材料、炸油条、卖油条，可能不需要组织和什么管理体系，只要能够算清账，不亏损即可；后来随着生意的见好，规模扩大了，需要人专业购买原材料，有人专职炸油条，有人专职卖油条和收款，也就形成了一个大单体运营公司，这个时候就会有了团队或者组织，其需要的管理就是供产销服，甚至市场营销和财务管理。在后来其为了连锁化经营，经营场所遍布全国，就会有完整的营销传播、店面选址和装修装潢、集中采购、单店运营、财务管理、人力资源和培训系统，基于战略绩效的实现，所以需要基于多店广区域经营的集团管控，为上市有了完善的内部控制体系和风险管控体系。在后来，其进行了多元化发展，进行了房地产、商业地产、前向延伸至粮食种植和收储加工等，此时则需要集团化人力资源平台体系和财务管理平台体系，此时的“三控”更加倾向于法人治理体系和协同运作。

【2】升级IT体系，匹配管理运作

还是上述的案例，其信息化呢，在公司化运作的时候，其就采用了最基本的POS收银系统；连锁经营的同时，其用的信息化是金蝶的K3系统，后进行的是联机版，基于管理需要，增加了业务分析模块，那时候就是模板化的分析系统；至集团进行产业链延伸和所圆滑发展阶段，其采用了金蝶的EAS系统，能够对各业务系统既实现内部的研供产销服的管理，同时可统筹集团的财务、人力、集约采购、投资、资产管理等。之前的客户关系管理，只是客户系统，现在用了大数据，能够针对消费者的习惯进行生活习惯的分析，及时调整终端服务战略。

【3】升级“三控”人资，驱动协同进步

在运营管理逐步升级，IT信息化系统逐步升级的过程中，人员的素质能力也是逐步的升级。最初的人员基本上是4050，公司化时要求财务人员必须本科及以上；连锁经营时，其要求每个部门的负责人必须硕士研究生了，或者MBA；到多元化发展时，集团有了自己的商学院。通过此，集团的整体运营能力得以群面的支撑。

“三控”体系的建设是非常专业的事情，许多时候企业自己难以完成，最主要的原因在于老板自己难以完成，难以在所需求的知识上全面理解透彻。交给职业经理人呢，是更加不可能的，以为许多的规则是给老板做的，职业经理人给老板做规则，下对上做规则，执行者给投资者做整体的规则？！屁股决定脑袋，怎么可能？所以更多情况下，企业会聘请第三方机构进行。

1.“三控”的咨询成果应该包括哪些？

在这里，我们先算个数学题，1的八次方是1。1.2的八次方呢？4.2998。0.8的八次方呢？0.167772。那么1.2的八次方和0.8的八次方，相差多少呢？25.6289倍！所以许多经营不怎么好的企业，总是八九不离十，只解决有没有的问题，而不是精益求精的事情。

那么咨询作业和成果，都包括哪些呢？笔者既做过甲方职业经理人，同时也进行过创业，还做过乙方智业服务者，基于职业道德和专业研究，给出如下的建议，期望能为企业家们提供一定的借鉴！

1.◆，必备；◇，可选。

2. 成果文件可互相嵌入。

正常情况下，“三控”体系的建设选择以咨询为主要构成的智业服务。但经过权威统计，有70%的企业感觉咨询没有价值，15%的企业感觉价值不太明显，10%的企业感觉有一定价值，而只有5%的企业感觉咨询价值非常高，并表示愿意与咨询机构保持长期的战略性合作。为什么咨询价值无法得到认可呢？诚然这与咨询机构的能力有关，但另外一个方面在于企业的选择咨询服务的不当是一个前提。如何确保选择成功呢？笔者根据多年应用咨询服务的企业经历、专业的咨询服务经验和对多达2000位企业家们的调研，给出如下建议。希望藉此给予有意向选择咨询服务的企业家们以一定的指导：明确需求，用对咨询。

【1】明确自己需要什么？

企业发展的不同阶段，企业遇到的课题是不一样的：企业创始期，我们需要学习行业的标杆经验，需要顶层构建；在成长期，需要拓展，需要激发积极性；而在成熟期，我们需要的是内部创新、精益化管理和风险控制；到了企业再兴阶段，需要协同、需要管控、需要大平台。既然“三控”是企业永续发展的保障阀，那么，每个阶段的“三控”导向是不一样的，那么需求的内涵就有不同的侧重点。前面EBC能力建设部分，有阐述，在此不再赘述。

【2】清晰项目成功的要因

明确项目需求的导向、目标，甚至内涵后，就明晰了“三控”体系成熟度的要求了，还需要根据前述的“三控”环境成熟度升级企业变革项目管理的成熟度。本身，“三控”项目的成功运作就是“三控”体系运营的最直接实践。企业就需要在咨询机构的帮助下，创新和固化“三控”项目实施的运作模式，将项目的提案、决策、执行、审计等的角色分配好,建立项目的绩效管理。

【3】选择合适的咨询机构

通过上述我们知道“三控”咨询，必须要求管理咨询不但要给出符合质量要求的“三控”成果，还要能够帮助企业落地实施，带来项目变革的实践价值。选择咨询机构就有了明晰的要求：

1） 专业能力：许多企业喜欢用对行业内企业的相同作业板块服务经验的咨询机构，这样可能大错特错，因为可能你用的东西是别人几年前就用过的东西，会沦落到邯郸学步的结局。那专业能力是什么呢？是有无该专业的服务经验，有无具体的工作方法论和理论基础，这些方法论和理论基础有无实践性的案例。有了这些就能够确定该咨询机构有能力服务自己的企业。

2） 后台智库：国内有些咨询机构，做的业绩规模很大，但实际呢？有着许多“挂山头”的合伙人，团队能力表现为个人，那服务能力呢？可能“收到首款即为项目结束”，这可能也是一些企业的悲哀，招投标要求规模、业绩、资质等的，地这些资讯公司来说没问题，但实际作业，一个人，或者搭建的草台班子，根本没有后台智库做支撑，能做好才怪？

3） 实践经验：笔者在甲方时，多年对接管理咨询项目，经常发现一些咨询机构派驻的人员调研完之后就走，提交报告也是短期暂留，跟踪发现，他们同时进行着多个项目，不专心怎么专业呢？另外人员多是学生毕业就进行管理咨询，就那几个工具可用，怎么指导实践呢、怎能了解行业内在规则，和企业运营需要处理的内在关系和环境呢？后来我就要求必须有过甲方相关高级职位经历的人负责帮助导入变革，结果效果非常好！