年度计划、绩效、风险评估、内控评价的贯通与方法

01.绩效、计划、风险评估与内控评价的关系

在当下时点，企业会组织开展本年度总结、问题分析、述职与绩效评价，以及确立下一年度经营目标、提出策略、制订年度工作计划等系列活动，是企业运营管理的常态化具体实践。

年度总结、绩效评价反映的是对本年度规划目标、工作计划完成程度的衡量，差距分析与改善措施，构成了下一年度计划制订的输入信息之一。年度计划制订的优劣，又会直接影响到下一年度的过程控制、绩效评价与管理支持的有效性。

企业中，对下一年度经营目标的确定、经营策划、年度工作规划，都可以认为是在未来的不确定性中寻求确定性的努力过程。凡是涉及面向未来的不确定性选择环节，风险评估都有合理存续的可行性。

在企业运营管理中，我们经常看到的是直观可见的行动，似乎通过行动就应该能够产生期望的结果。但是，行动来源于管理设计的逻辑性、系统性、合理性与可行性，行动结果的好坏，取决于管理支持所进行的过程设计规范性，以及执行人员的胜任力。

好的结果不一定有好的过程，但好的过程会大概率产生好的结果。贯穿过程的起始基准、过程及各管理要素的考虑与设计、期望结果可实现程度的思认、体认与设计完善，就是管理设计的过程。执行来源于设计，设计好了，企业运营中反映管理的各种行动成份自然就会降低。

任何因管理设计而转化为行动的有效性，一方面来自于基础管理能力建设，另一方面来自于行动产出的时间、质量、成本的稳定性结果。基础管理，反映的是面向中长期的能力；行动结果，反映的是人的胜任能力与管理执行力。

胜任力，由人力资源管理能力与水平决定。管理执行力，依赖于对企业基础管理要求的遵从与执行程度。基础管理，通过组织、制度、流程、标准、执行方法模型反映出来。对大型企业来讲，基础管理能力越优秀，行动结果的确定性程度越高。

企业所开展的包括制度、流程、标准、内控的规划、建设、执行与监控、评价与优化的过程，都是努力完善并提升基础管理支撑能力的实践表现，落实在企业各层级、各类年度工作计划中，其实就是运营管理体系建设与运行效果追求的反映。

企业运营管理，基本都遵从管理、执行与监督的三权分立原则。无论是制定计划、风险评估、控制或评价等活动，都属于“执行”，只要是执行，就应该有来自于管理设计并提供的“执行基准或不需再研究的操作模型”，区别在于“执行度设计”不同，构成了管理对执行过程的监管、监督对管理设计与执行有效性的评价条件。

内控评价，是企业运营管理中的行动之一，是对企业基础管理能力实施评价的一个专业分支。内控评价的结果应用，会落实于年度工作计划的制订与执行，反哺企业基础管理能力的提升。

企业是一个系统，管理是系统的，相信很多人都能说出这句话。但是，管理的系统性有两个方面的含义：一是以企业为整体考虑全要素的系统化设计，二是以专业为对象的符合性系统化设计。

管理的系统性，产自于前者，是管理设计者基于全方位理性认识的产出结果，往往呈现为稳定、可持续的成果；后者的系统性，是管理设计者基于专业角度感性、习惯性认识的产出结果，往往呈现为因需组织开展必要的活动、一次性成果。

在内控、合规、风控领域，后者常常表现为显性的活动、专业化描述或各种建设的一次性产出；前者表现为还原到企业运营管理过程中被持续应用的“功能”。最高境界的风险管理，专业化的语言成份会越变越少。

02.年度经营计划的制订与应用

一套先进的管理理念转化为实践，离不开组织清晰的定位，以及制度、流程与执行标准的建立。理念与实践，并非仅停留于企业层面，而应抽象于每个组织中，既有确定的一面，又有动态的一面。

建立一套好的年度经营计划，一方面可用以对工作计划执行过程、计划期执行结果的衡量与评价，另一方面，可以对执行过程进行问题分析、风险趋势判断，采取针对性的完善或风险管控措施。

年度经营计划是对未来一年期工作的具体规划，企业都希望制定的计划是确定的、经营结果是可控的。但现实是，保守计划结果的可控度更高，而富有进取心、挑战风险型计划的可控度更低。

计划的制订需要从中寻求平衡，以保证“计划执行的不可变”、“计划管理的约束与相对灵活的协调”，从而实现企业级经营计划结果的可控。所以，工作计划应该在不同分类中表现出确定的、不确定的、有风险的分布状态，依靠的是与计划预测相匹配的风险评估与选择的结果，这个过程，会反映在企业级、各组织级年度计划制订中。

一套好的年度计划，会成为企业合理分配资源的指引，会成为调动各级组织、员工年度运营活动的中枢，也会成为企业做好风险管理的基线，具体表现为4类：防范问题趋势进一步恶化的风险监视与预警；完成计划任务并达成绩效的风险防范；因内外环境变化引起计划变更、调整的风险评估与选择；以隔断风险传播路线为导向的风险报告与应急活动。

怎么产出一套好的年度计划呢？很多人会谈年度经营目标的确定、分解，达成目标的经营策略确定，以及建立支撑目标实现的工作计划等，是计划制订过程中的行动表象。如果没有良好的事先管理设计，事实上，这个过程只能是一个习惯性的从不缺少的行动形式。

计划目标在解决什么？与企业的战略管理认识程度紧密相关，很多人会直接表达为支撑战略目标的分解，太一般化概念了。

年度计划一定是攻守兼备型的进取型规划。年度经营目标的确定，目的是在解决商业目标、成长目标、基于成本的控制目标、面向未来的成长力培育目标、约束目标等问题，因具体企业战略重点而表现为不同的结构。

目标不是企业级的“泛谈”，或简单化、笼统化的数字表现，而是通过产品组合、产品开发、技术开发、成本结构、前瞻性探索、员工能力及防火墙指标具体呈现出来，依靠的是“战略理解下的规划与事前定义”。

只有明确了清晰的目标结构及构成内容，才具备通过纵向历史数据、外部环境、行业、竞争者分析，结合中短期规划目标等确定年度经营目标的条件；才具备在各组织的目标分解、与企业目标要求对齐的条件；才具备立足分解目标进行分析、预测、可控、可实现的挑战性条件；才具备称得上是“经营计划”的条件；才具备能够立足经营结果可控、旨在实现高质量发展所进行的过程分析、问题改善的执行条件。

年度计划的制订，遵从外部导入原则，外部体现的是客户思维。企业年度财务指标的导入，推动销售部门的年度预测，必然落实在商业化经营项目，通过产品、客户、目标、时间、责任等表现出来，反映的是销售部门的工作计划。

销售计划的导入，会带来在研项目、制造计划的预测。在研项目体现的是项目可实现性、计划的可完成性、资金成本的可控性、交付的及时性，由此做出计划安排。

生产计划会以销售计划为导向，平衡库存、销售需要制定生产计划，将成本控制目标分解落实在具体工作中。依次类推，实现企业级计划目标的分解、支撑目标事项的具体化，转化为各级组织的工作计划，通过部门间、与战略部门的多轮平衡，呈现出稳定的年度经营计划状态。

企业级战略管理部门、各组织会结合目标的挑战性、工作计划的策划等，制定不同层级组织的年度经营管理策略，各职能管理部门根据企业的年度经营管理策略，制定承担的年度工作计划与策略。年度工作计划分解到什么程度？直到基层管理组织，通过确认实现绩效承诺。

一套有效的、高质量的年度经营管理计划，绝不会被束之高阁。束之高阁的，一定是模糊化、笼统化、宏观化的可有、可无的形式计划。

03.大权重绩效评价依靠的是过程客观性

企业的绩效管理，同样会从企业抽象到各个组织，乃至于关键员工。绩效评价的目的，一是为了改善与提高，二是为了承兑正、反激励政策，三是为了激发员工的工作激情。

在企业中，绩效评价经常表述为对组织的评价、对员工的评价，其根本实质就是对人的评价，遵循公开、公平、相对客观原则。决定绩效评价有效性的，一是绩效管理原则，二是评价内容与方法。

绩效评价的原则包括：一是对组织绩效评价的结果，代表的就是组织管理团队的绩效，这一原则会抽象到企业中有形的组织、由人组成的无形组织；二是员工绩效依托于组织绩效；三是特殊贡献的绩效单独奖励。组织的划分，与企业组织的功能定位、各功能实现的组织模式有关。

绩效评价包括客观绩效、主观绩效、防火墙绩效3部分。大权重客观绩效、防火墙绩效来源于数据及重要事项的结果记录等，不过多依赖人的判断。譬如：财务数据、计划完成率、重要事项的客户满足度记录、安全或违规记录等；小权重主观绩效包括两部分，一是上级对下级员工的态度、行为表现、能力满意度等评价，占绝对大权重；二是同事间的互相评价，占较小权重。

在很多企业中，为什么大权重客观绩效评价反映并不明显呢？问题出在绩效管理机制的设计、战略管理机制设计与年度计划的松垮，这样的结果，很难支持末位淘汰等负向激励制度。

企业的战略执行力，会通过计划完成率、管理执行力表现出来。计划的执行也有规则明确，譬如：生产部门不得自行开展超脱于计划的制造，当然离不开生产计划管理部门在一定时期内的“不变计划”；计划完成率要体现及时性，企业里从没有用“年度”反映计划完成率的计算方法，而是用“月度”计划完成率反映的年度计划平均完成率，不然怎么强化过程管理，怎么实现客观的绩效评价呢。

为什么在不少企业的年度述职中经常出现一种现象呢？每个部门管理者的述职，都表达出全面完成年度计划。一是用年度计划的整体结果，掩盖了过程中的执行力问题；二是年度计划的制订处于保守状态，掩盖了高绩效与低绩效者之间的能力差距问题。这类企业，一定是独享优势资源的“臂弯型”舒坦企业。

为什么很多企业在年度运营中有很多会议呢？一是年度计划的严肃性不足；二是过程风险管理能力不足；三是运营管理体系的基础管理存在问题；四是管理者自身存在缺陷，只能通过会议等形式弥补不足，造成运营效率低下。这样的企业，也很难做到客观的绩效评价。

04.与计划贯通的年度风险评估

在企业风险管理领域，流行着一句“风险管理要与业务融合”的话，看似非常有道理，其实没有一点意义。因为，这句话成立的背景，代表的是“风险管理专业化”视角的观点，意味着企业建立的风险管理体系，并没有实质性转化为风险管理实践。

可能有企业说，我们每年都开展风险评估活动，也可能仍有专家在讲着“风险是事项影响目标实现的可能性”这样的话，在我看来，都是没有找到发力点的表现。

企业中的目标在哪？反映在方方面面，但最具代表性的是年度经营计划的策划与制定过程。企业中的风险评估，是一个被应用的过程活动，风险评估的结果，只有3个用途：一是用以选择；二是采取稳定的控制措施以关闭风险；三是影响风险变化的趋势。

年度计划制定中的目标确定、目标分解、经营策略确定、工作计划建立等工作内容，就是经过潜在风险评估后进行选择的结果表现。

年度经营目标的确立，反映的是企业对下一年度经营结果的期望追求，体现为期望实现的不确定性。低目标下工作计划的确定性，远高于高目标下的风险程度，所以，一个企业的风险管理有两个内涵：一是有追求、有目的地挑战风险，二是对风险的防范与管控，以保证实现期望结果。

所以，企业年度经营目标不应该是唯一的，而是代表“确定性”的最低目标标准，代表企业追求的“不确定性”绩效标准目标，代表鼓励挑战风险的贡献目标标准。

目标型风险评估的结果，反映为目标确立过程中的“分析”，同样，只有计划管理的有序性设计，才能转化为风险评估中识别的“不确定事项”，由时间轴上的增长率、来自于外部导入的支撑目标实现的工作事项反映出来。

正是目标型的风险评估应用，企业、各级组织才能建立针对性的年度经营策略，即指导型计划措施和目标风险型的管控措施。

有风险的目标追求，必然伴随着支撑目标实现的“风险型工作事项计划”，直接反映为年度工作计划中对确定、不确定、风险性的划分，是风险评估、选择与规划的直接体现。

我上面讲的仅仅是风险管理转变为实践的机理，而风险评估是需要被员工应用的方法。应用，意味着执行，执行，有直观的判断成分，也有基于客观评估的产出，才能体现为合理性，所以，与计划贯通的年度风险评估，主管部门需要提供“评估方法的应用模型或模版”，才能支持计划管理者根据风险评估结果进行“选择”的条件。

贯通年度计划的风险评估应用，计划结果可以构成企业“资源配置”的直接参考与依据，可以构成企业领导者识别年度工作重点、做好年度时间分配的输入依据。

同样，渗透风险管理运用的一套计划，也构成了企业各职能管理部门计划执行分析，及时发现偏差并采取必要措施的风险监视、风险预警基线，建立根据“风险度”强化针对性管控措施的机制。这就是我总讲风险管控是企业、组织、员工达成绩效必要保证措施的原因。

至于计划执行过程中，以防范风险为导向的具体活动，是业务主管部门主导的纵向风险管理机制，企业风险管理主管部门发挥的是配合建立方法、风险信息传递与责任分解的“支持与服务”作用，但贯通于计划主轴的风控机制，是风险管理部门应尽的管理责任。

05.年度内控评价是在做什么

企业中的管理工作，并非只有内控系统需要进行评价，与之具有相通性的还有安全生产、保密、质量管理、制度管理、合规管理系统有效性评价，建立了系统化流程管理的企业，还要进行流程稽核与流程管理的有效性评价等等。谈内控评价，需要从体系设计谈起。

可以这样讲，只要建立了以明确目标为导向的专业型体系化管理方式，都离不开有效性评价。

体系管理与管理体系不同，评价是体系管理中不可缺失的一项活动，但不能认为评价是管理体系的构成。

这里引出了专业型体系化管理的概念，企业中的任何管理体系，都以“专业目标”为导向，但体系建立的方法有区分，一种是“管理系统化”视角，一种是“专业系统化”视角。

管理系统化，指的是立足专业目标，把专业方法还原到企业中的相关职能中，更多体现的是“被应用”；专业系统化，指的是立足专业目标，根据专业的逻辑及要求进行策划与部署，以满足体系要求。

相对来讲，管理系统化会涉及更多职能的认识与关系界定，对专业要求还原的抽象理解更全面，对管理设计人员的知识结构、能力要求更高，反映更多的是“用管理思维解决问题”，而专业系统化要直白、简单的多。

举个例子，与内部控制有直接关系的是合规，那么合规管理体系建设的两种做法有什么区别呢？我们用其中的一点进行说明。

譬如：合规管理中有合规风险清单之说，专业系统化的做法，无论是侧重外规，还是外规与内规兼顾，都会整理出一份风险语言化的“风险清单”，用结果表现“满足了合规管理办法的要求”，这样的清单是“大而全”的体现，但不具有功能性与持续性。

管理系统化的做法，会结合合规管理、内部控制、风险管理的机理，把合规风险评估作为手段，将外部规则划分为“新获取规则、已掌握规则”区别对待。

已掌握规则，会与企业制度关联起来，评估合规风险并基于风险度进行选择，转化为内部合规。新获取规则，会明确新规则获取流程与责任，先夯实基础管理，解决搜集外规的责任问题，是内部控制的应用。然后，再采用提供的“合规风险评估方法”，通过“风险度”做出选择。

选择承担的风险，构成了“需重点管控的风险清单”，转变成“落实风险控制责任的任务单”，实质仍是外部合规，直到建立控制措施并确认风险可关闭，从而构成了一个完整的风险管理过程，再回归常态管理，是一个不断循环的外部合规、内部合规的管理过程，本质转化成了企业的管理，是管理提升的表现。

所以，合规管理、内部控制、风险管理不是什么所谓的“一体化建设”，而是根据需要“进行应用”的反映。

那么年度内控评价指的是什么？指的不只是直观的以年度为时点进行的一次性评价活动，而是以年度为周期，由于内控的管理设计而开展的旨在“评价内控有效”的年度活动。所以，一次性执行评价、分解于年度不同时段的选择性评价，都是可以的。

内控评价包括什么？包括两部分，一是体系的有效性，针对的是内控管理，反映的是持续性、全面性；二是设计与执行，针对的是设计是否具备可行性，是否能够控制风险，再通过抽样，验证控制活动是否按照设计执行作业步骤，反映的是适宜性。

内控缺陷指的是什么？指的是在设计方面，对流程目标产出标准的稳定度不能发挥保证作用，即执行标准有不足之处；在执行方面，没有按照设计执行，或者不满足设计规定的执行标准要求。

怎么确认内控缺陷程度？内控缺陷程度是相对的表达方式，由两层内涵决定，一是流程的重要度决定，由流程目标与企业经营管理要求的紧密度决定，二是缺陷本身的程度，由缺陷对流程产出的影响度决定。

流程目标反映什么？时间、质量、数量、合规、风险，缺陷程度是根据控制对流程的倾向性目标产生影响的相对判断，这个影响程度标准完全可以定义。

怎么建立内控缺陷认定标准？内控缺陷认定标准不同于审计的问题认定标准。从流程角度包括三个方面：一是确认重要度，二是确认应用频率，三是判断急迫性。然后结合控制对流程影响程度，设立计算模型，通过强制标准反映为重大、重要、一般缺陷。

那种试图建立“对比、可能性”标准的做法，就是基于专业化认知下的毫无意义、只代表有标准的做法。譬如：设定经济损失标准的做法，如果评价者能判断出损失程度、可能性的结论，那他要么是“算命的大仙”，要么是基于自我认识的毫无依据的胡乱判断。

为什么一些评价不依据内控程序手册而用制度做内控评价依据呢？是最可叹的一种由内控建设造成的结果，辛苦搞出来的内控建设产出，居然不能做“评价依据”，岂不是悲哀？不也已经证明了内控建设的无效吗？事实上，流程是最直观的规则依据，当然分什么样的流程。

问题出在哪里？在建设过程中，专业化内控规范、内控指引的理解，没有做抽象化的应用处理，没有对控制所在领域的管理原则、控制原则做出清晰的判断与界定，没有导入流程管理思维、客户思维、价值思维，没有掌握流程工具的应用技能。

虽然说基于内部控制建设的流程梳理，具体流程是碎片化的片段，但不代表无视流程的可执行性，具体控制反映在“工作事项”中，片段化流程必须基于管理中的具体事项，而不是大跨度的逻辑流程。

流程反映什么？做事儿的步骤及活动关系，反映到控制活动，体现的是控制活动程序化的作业标准，而控制成立的条件，是基于管理域的管控重点与要求，控制的对象不能简单地以“风险”概之。

内控建设中的风险描述，指的是基于控制所在流程的目标风险描述，源起于管理要求，而不是风险控制矩阵中的泛泛而谈，衡量的标准是：让别人知道风险指的是什么内容，控制能够转化为执行行动。

内控评价怎么做？客观讲，对于一个具有一定规模的企业，怎么做都可以，没有制度，套用指引、运用经验可以评价；手册做不好，借用国家主管部门的行政规章、企业内的制度也可以做，但失去了内控建设的意义。

有意义的内控评价，是结合内控管理的专项制度掌握体系运作的机理，进行体系的系统有效性评价；结合内控指引、待评价职能域上级行政规章、企业制度，评价企业内控建设的全面性、适宜性；以内控建设的流程控制手册为依据，结合企业目标、经营管理要求进行价值判断，确定重点评价领域，分析控制设计的可行性、可执行性；通过抽样，验证内控设计的执行程度，从而作出控制执行的有效性评价。

内控的有效性，不是评价出来的，而是设计出来、执行出来的。内控评价，仅仅是一种手段，反映的是对企业管理的系统性、基础管理能力、运营抗风险能力的评价。