孙永风 刘守德(中国石油西北销售公司， 甘肃 兰州 730070)

基于流程标准化和制度嵌入的体系融合研究

孙永风 刘守德(中国石油西北销售公司， 甘肃 兰州 730070)

针对目前国内企业四大体系同时运行导致的工作重复、相互冲突、效率低下和成本高企等问题，本文以流程标准化和制度嵌入为切入点，通过能力框架搭建、业务流程梳理和体系要素、内容的整合，开展体系融合研究，提出了管理体系融合的思路、方法和融合后管理体系的管控优化模式和保障机制。

业务流程;管理体系;体系融合

二十世纪70年代以来，在市场竞争压力越来越大的情况下，很多企业着力实施全面质量管理，建立以质量保证为核心的质量管理体系。随着经济发展和社会进步，来自内外部的压力使企业更加关注安全环保、职业健康、社会责任、风险防控等，企业普遍建立了适应不同要求的各种管理体系。这种管理方式可以称为体系管理，它的运用使企业相关业务管理的系统性、可靠性不断提升。

但这些体系分别关注各自的管理目标，对企业的生产经营过程提出了或相同或不同的管理要求。大部分企业中多种管理体系并存，相应的制度、标准、流程等管理规范文件与体系文件并存，“上面千条线、下面一根针”，基层单位在生产经营过程中不得不用两张皮、甚至是多张皮的办法来应对，基层员工经常面对来自不同管理文件的要求，需要填报不同的纸面报表、信息系统，基层负担很重，运行效率很低，管理效果很差。从企业发生的一些事故原因的分析来看，大多数都是因为基础管理出了问题，没有按照制度、标准、流程、规程做事。多体系运行增加了管理成本和管理风险，影响了管理效率和效益。因此，一些先进企业开始尝试将管理体系进行融合，将原来满足特定要求的管理要素、管理活动和管理过程逐步整合到统一架构的一套管理体系之中。

管理体系融合，就是要把管理的关键要素抽象出来，进行科学的描述、归纳，确定有效的方法，经过简化、优化和协同形成最佳管理标准，将各类管理方法形成统一实用的体系，并全面推广执行，持续提升和改进；就是要通过优化管理流程、归并管理要求，减轻员工特别是基层员工负担，把员工从繁杂的事务中解放出来，更加关注生产、关注技术革新和管理创新，保证工作质量，从而保证产品、服务和工程质量，提高工作效率。

1 四大管理体系简介

质量管理体系是组织内部建立的、为实现质量目标所必需的、系统的质量管理模式。针对质量管理体系的要求，国际标准化组织的质量管理和质量保证技术委员会制定了ISO9000族系列标准，以适用于不同类型、产品、规模与性质的组织，该类标准由若干相互关联或补充的单个标准组成。质量管理体系对与质量有关的活动进行系统控制，其核心内容是“使客户满意”。贯彻ISO9000族标准已被众多企业所看重，成为企业证明自己产品质量、工作质量的一种“护照”。

2002年美国因为安然事件出台了《萨班斯-奥克斯利法案》，而中国亦有五部委发布的《企业内部控制基本规范》及其配套指引。内部控制体系是指一个企业为了保护其经济资源的安全、完整，利用其内部分工而产生的相互制约、相互联系的关系，建立的一系列具有控制职能的方法、措施、程序，基本目标是确保运营有效性、报告可靠性和法律合规性。

HSE管理体系即健康、安全与环境管理体系，是国际上石油公司为减轻和消除石油工业生产中可能发生的健康、安全与环境方面的风险，保护人身安全和生态环境制定的一套系统的管理办法。1996年1月，国际标准化组织(ISO)负责石油天然气工业材料、设备和海上结构标准的技术委员会ISO／TC67分委会，发布了ISO／CD14690《石油天然气工业健康、安全与环境管理体系》(标准草案)。我国最早由原石油天然气工业总公司参考ISO／CD14690于1997年6月27日发布了SY／T6276-1997行业标准《石油天然气工业健康、安全与环境管理体系》，于1997年9月1日起实施。HSE管理体系要求组织进行风险分析(JHA)，确定其自身活动可能发生的危害和后果，从而采取有效的防范手段和控制措施防止其发生，以便减少可能引起的人员伤害、财产损失和环境污染。

中石油2008年建立法律风险防控体系，将法律风险、法律风险防控措施落实到业务流程中，实现法律风险防控的程序化。2011年，按照“风险防控关键是岗位和个人”的思想开始建立岗位防控指引，按照岗位梳理和分析法律风险、制定风险防控措施。法律风险岗位防范体系是通过识别企业各岗位和业务活动中涉及的法律风险，分析风险成因和大小，制定防范性措施，最大限度地降低企业的经营风险和法律风险。

从体系产生的背景、侧重点和目的来看，质量管理体系是从维护客户的利益角度出发，侧重于产品生产的过程和质量，最终目标是达到客户满意。内控体系是从维护股东的利益出发，侧重于企业资金流、资产流、信息流中的关键风险点，最终目标是达到股东满意。HSE管理体系是从员工和社会环境出发，侧重于通过经常和规范化的管理活动实现健康、安全与友好的工作环境，最终目标是达到员工和社会满意。法律风险岗位防控体系是从企业面临的法律风险出发，侧重于企业日常经营中能够产生法律关系、并可能招致法律责任的领域，最终目标是避免企业内外部的法律风险。

2 体系融合的必要性和可行性

通过对四大管理体系的比较，虽然各有侧重，但同时存在、同时运行带来的管理混乱和效率低下的现状以及体系间的相似性和管理目标的一致性带来的整合可行性，为进一步的融合管理提供了依据。

2.1 必要性分析

由于四个体系产生背景、运行侧重点和目的存在差异，因此在中国石油集团公司及下属各企事业单位内都归口不同部门管理。多个体系在企业中同时运行，会带来一些问题：一是在进行同一项工作流程时，需同时遵循四个体系的要求，面对多个归口部门，可能会导致重复性工作或推诿扯皮，导致工作

效率下降。二是对于员工个人而言，需要同时学习并达到四个体系的要求，容易造成概念混淆和执行力下降，体系运行的实际效果可能被削弱。三是各种管理体系标准的重复认证检查，给企业增加了很多不应有的负担，各级管理人员整天忙于迎接各类检查，占用了管理人员和基层员工的大量时间和企业资源。四是当企业组织结构和工作内容发生改变时，需要同时对四个体系进行修改，灵活性较差，并且容易产生不同体系修改的不同步性、不协同性，不能适应快速变化的市场，造成企业资源和精力浪费，也容易带来各体系间的冲突和矛盾。

因此，进行体系融合研究是企业自我发展、自我完善的需要，也是企业优化运行、降费增效的关键措施。用一套体系对企业运营进行统一控制，使所有的活动和过程都达到规范化、制度化，企业可以用较少的投入、较少的时间，达到多个目标，从而达到畅通部门间合作、减轻基层负担和提高企业经济效益的目的。

2.2 可行性分析

虽然三个体系构建的目的、时间和管理部门不同，但从机制和出发点来看，仍然有很多相同和相通的地方：一是三大体系的原理相似，均以“风险管理”为导向，识别、评价流程中的风险因素并进行风险评估，制定相应的控制措施；均重视作业流程的梳理和分析，采用过程分析方法，通过对完成企业战略目标的业务活动和活动中涉及的管理性要求的定义和设定，确保目标的实现；均遵循PDCA管理原则，通过计划、执行、检查、改进这四个阶段的循环往复，不断解决新问题，持续完善体系。它们都是企业业务运行和内部管理内容的流程化、系统化体系。二是三大体系对应的业务流程相同，业务流程对企业来说是一种客观存在，企业无论是否建立管理体系，建立什么类型的管理体系，其业务流程都不会发生大的变动，管理体系就是通过建立在这些客观存在的业务流程上并通过流程承载管理规范和规范流程执行而体现其价值。三是三大体系的文件架构相近，都是一组为实现特定方针和目标而进行的相互关联的活动，一般都分为三个层次：第一层次是企业体系管理的纲领性文件，描述体系的宗旨、目标、环境、资源、适用的要素及具体解释、执行持续改进的具体方式等内容；第二层次重点描述企业各职能部门的管理活动，是第一层次的支持文件和具体化，一般包括目的、角色职责、流程图、步骤描述等内容，确保一套业务流程规范实施；第三层次一般为补充文件，主要包括体系文件涉及的法律法规、规章制度以及表单记录等。可以看出，三个体系存在着多处交叉重叠，属于相互补充、相互验证、相互支撑的关系，都强调对业务运行和管理活动的全过程控制，并涉及风险的全方位管理，进行整合是可行的。

3 体系融合的指导思想

根据ISO、COSO以及其他权威组织对管理体系的定义，管理体系就是一组为实现特定方针和目标、包含规范性管理要求和业务协同的相互关联的活动，因此，本文就按照流程+制度的模式去分析和理清将四个体系进行融合的思路和方法，通过流程标准化和制度嵌入，使融合后管理体系既满足原各大体系的要求又简化操作、利于执行。

3.1 制度与流程的关系

流程是企业业务活动最基本的载体，强调如何将输入有效地转化为输出。流程包含六个要素：输入、按一定秩序执行的工作事项、工作事项之间的关联、输出、客户和价值。流程的发起从特定的输入开始，通过对流程涉及活动的先后顺序、并行还是串行、逻辑关系、职责范围等进行界定和描述，最终产生流程的输出，对其他人(流程的客户)产生了什么影响，就是流程的价值所在。

制度是为了维护正常的工作秩序，确保企业各种政策、指令、规范、准则的顺利执行和各项工作的正常开展所制订的具有指导性与约束力的条文的总称，其包含的关键点有：①维护工作秩序；②确保政令执行和工作正常开展；③具有指导和约束作用的条文。

流程强调的是整体思考，强调业务活动间的系统性管理，通过活动的系统整合对客户(或下一个流程)产生价值，如果流程的价值无法体现，那么这个流程就是无效的。制度强调的是局部性管理，某个问题产生了，管理者希望有个制度去约束，制度因此便出现了，明确地指出针对某个局部问题需要采取什么措施。流程关注“点”和“线”，制度更关注“面”。制度一般不会针对某具体部门或某个岗位，而是需要所有人都遵守的，通用性较强。制度通常会从问题所涉及的方方面面展开，进行明确的要求或约束。而流程体系中，不同层级的流程则非常具体，明确各环节的部门或岗位职责、权限、具体的工作方法以及注意事项。管理者往往会把精力放在如何将流程设计得更加合理、更为优化上。

然而，流程和制度又可以说是同一个事物的两个侧面，彼此之间具有密切的联系。梳理业务流程与现行制度的对应关系，根据制度去规范流程，根据流程去完善制度，既可避免流程漏洞，又能解决制度零散、相互冲突等问题，保障流程和制度都被严格地执行。制度是对流程关键控制点的规定，包括程序、时间、质量、人员等等。流程是价值链的体现，而制度是价值链体现的保证。如果只有流程，没有管理制度，公司各项职能无法高效运行；而若只有管理制度，没有流程，公司的运作则不能形成链式管理，不能形成有机整体。

3.2 体系融合的指导思想

通过上述对三大管理体系的比较和制度、流程关系的探讨，根据系统论和控制论的基本原理，采用过程管理的方法，本文提出了“嵌制入流、制流一体，规范标准、系统控制”的指导思想，以业务流程为主线，以风险管控为导向，以规章制度为依据，以业务表单为承载，在基于建立标准化管理和作业流程的基础上，通过识别各流程环节中的风险点，设置控制措施，将现有的法律法规和企业规章制度嵌入流程运行中，实现质量管理体系、HSE管理体系、内控体系、法律风险防控体系的整合，实现标准化作业流程与各项规章制度的一体化运行，最终应形成一套拥有“清晰顺畅的工作流程、完整有效的管理制度、符合实际的岗位规范”的综合管控系统。做到“制度落实，流程走通；制度不落实，流程走不通”，确保“制度得到落实、风险得到控制”。体系整合后,企业构建统一的平台对业务流程进行管理,运用统一的语言对业务流程进行描述,成立统一的部门对业务流程进行管理,量化对员工流程执行和管理规范落实的量化评价，实现基层员工在执行流程过程中自动实现所有管理体系的

要求。

4 体系融合的方法和步骤

4.1 明确体系建设目标和体系管理架构

体系建设的目标是建立一套覆盖企业全部业务和管理活动的系统化、结构化、内容界限清晰、有机联动的管理文件和有效落实的管控机制，对于一项业务活动形成口径一致且包含不同角度管理要求的制度规范。融合后的体系既要保留各体系的个性化要求，满足外部评审的需要；又要尽量合并同类项，精简文件和架构，做到文件精简、体系有效。

通过比较ISO体系框架和COSO体系框架以及中石油部分企业已经开始的体系融合探索实践，本文建议采用ISO典型文件架构：管理手册(包括了对管理体系的介绍、适用的要素及具体解释、执行持续改进的具体方式等内容)、程序文件(规定开展某项活动的目的和范围，明确做什么，谁来做，何时、何地及如何做，包括应使用什么材料和文件，以及如何对活动进行控制和记录等)、作业文件(针对某个部门内或某个岗位的具体作业活动文件，侧重描述如何进行操作，是对程序文件的补充或具体化)、表单记录。

融合后的管理体系覆盖企业所有业务流程，结构化的体系用于以最有效的方式控制、指引组织的流程，确保业务活动受控。管理体系的文件清晰、易懂并广泛执行，管理控制要求是通过业务流程来实现的。体系由子体系构成、子体系由流程构成、流程由任务构成；程序是做事的方式。管理体系遵循PDCA的管理机制，促进体系持续改进。

4.2 构建能力框架，确定业务活动，梳理业务流程

从公司核心目标出发，分别确定各二级、三级管理领域的业务目标，实现与上一级业务目标的承接，充分识别支撑业务目标实现的各级能力要素，理清承接目标的能力要求，形成能力框架(如下图，财务能力框架)。以业务能力框架为基础，建立健全企业管理体系程序文件、作业文件目录，梳理原制度、标准、流程和各体系文件清单，针对同项业务活动，整合同类文件、弥补缺失文件，形成一套业务全覆盖、要求全包含的体系文件。

从公司的业务框架出发，确定企业在成品油供应链中的价值链，识别核心活动和支撑活动，确立活动间的逻辑关系，并逐级定义流程和子流程，最终形成流程图和流程描述。在流程梳理平台上可以看到企业流程全景图，点击流程导向符号，可以下钻到低阶流程，也可以向上聚合到高阶流程。(见图1)

5 从体系包含的管理要求出发，将其匹配至能力模块及流程步骤，消除交叉矛盾

5.1 要素融合

体系要素框架是将管理要求或利益相关者预期按照一定逻辑结构进行归集，不同管理体系的管理要素构成相似度高，为要素融合提供了基础。在实际融合时，需要合并相同要求、保留个性化要素，满足现有体系外审的要求，因此融合后的管理体系要素包含4个体系的所有要素，体系框架基本一致。(见图2)

5.2 内容融合

质量和HSE管理体系中的管理手册、程序文件分别融入基础管理体系中的管理手册和程序文件，管理规范、工作标准按层级分别融入程序文件和作业文件，操作规程、两书一表、技术标准、应急预案融入作业文件，“记录文件”作为附件融入相应程序文件和作业文件。

图1

图2

内控体系中的控制环境、信息与沟通、监督与改进融入基础管理体系中的管理手册，风险评估和控制活动按照层级分别融入程序文件和作业文件(增加章节“流程及风险”，用以描述流程编号及名称；在“附录”中体现风险控制文档。)。沿用内控体系的做法，将法律风险防控指引中的风险及其措施融入相应的程序(作业)文件(部分与内控体系中的风险重合)。在程序(作业)文件业务流程图中，标识法律风险点和控制措施，具体风险内容和控制措施体现在风险控制文档之中。

企业在用规章制度全部融入程序(程序)文件中。

基于融合后的要素框架和梳理出的业务流程，针对每个流程识别风险点和控制举措，最后将融合了所有管理要求、风险控制举措的流程说明编制形成程序文件和作业文件。程序文件、作业文件一般包括工作流程描述、职责分工、管理要求、考核点、承载表单、参考性文件、版本及修订信息等，表现形式为文字或图表。(见图3)

图3

6 明确管理体系归口部门和体系文件优化管理机制

融合后的管理体系有统一的归口管理部门，负责体系的统一协调、制定规范和总体架构的运维；职能管理的规范性文件由职能部门主导制定，业务部门/分公司负责制定业务运营方面的规范性文件、本地业务流程及操作规范。

归口管理部门负责制定关于如何编制、颁布和管理规范文件的要求，并监督要求落实；负责文件总体架构及模板的设计；负责管理文件的衔接及内容的协同；负责体系文件的发布。职能管理部门负责制定职能管理的规范性文件，并监督其执行情况。业务管理部门负责制定业务运营方面的规范性文件及业务流程，推进并监督相关文件和流程的执行。

管理文件的制定需要有业务部门、职能部门、相关分公司的共同参与、联合评审。管理文件的发布都需要经过严格的审批程序，并查询与其他管理文件的关联性，以避免重复、实现协同。HSE、质量、内控和法律职能部门持续识别业务运营当中的风险，并监督风险控制点在流程中的落实和持续改进；归口管理部门统一组织对管理规范文件落实情况的一体化监督检查，以保障管理规范要求的落实。

持续对外部国际公约、国家法律法规、地方性法规和要求、国家标准、行业标准、集团公司企业标准、集团总部和专业公司发布的行政指导性要求(如规章制度)和内部公司战略规划、文件执行反馈、文件评估优化结果、管理评审、内外部事故分析、评审和检查待整改问题等进行关注和查新，开展管理体系和内部文件评价，确保符合内外部环境的要求。体系文件评价的内容包括法律合规性审查、流程效率评价、风险控制评价、业务覆盖面评价、重复矛盾点识别、文件精细度评价、上下衔接关系评价等。

7 开发信息平台系统，确保融合后的管理体系有效落实

在流程电子化或对流程管理系统进行优化更新过程中，针对融入风险管控信息的业务流程，以不同字段将节点风险管控信息直接关联到流程节点上去，建立流程节点与其风险管控信息的自动映射关系。跨部门流程执行人员在进行事务处理时，可得到相应的风险提示和预警、以及按照现有制度规章对风险进行管控的要求和措施。

对于基层操作员工，则通过操作卡和作业传板提供工作的方法、工具、标准和步骤，确保管理规范执行和工作效率提升。基层员工按照流程(及要求)来完成任务，出台新的法律、法规或者制度需要修订时，只需要根据新法律、法规和制度对流程(及要求)和操作卡进行修改，尽量减少基层压力。

8 体系融合的保障机制

融合后的管理体系和管理机制需要通过企业组织机构、岗位职责和工作模式进行相应的改变，以确保管理体系的顺畅运行。

一是优化公司组织结构：组织结构按照流程设计，在不超出个人能力范围和实现分权控制的情况下，尽量不打破完整业务流程。同时，企业的资源使用权跟随流程走，而不能将资源的使用权固定在特定的单位或部门，按流程需要投入资源。二是完善员工岗位设置：严格按照流程执行和管理要求落实的需要来设置岗位，岗位的职责描述就是流程的输出、流程涉及的活动和关键控制点的规范性要求。三是遵循高位势流程统帅原则：低位势流程(辅助类或间接影响客户价值满足的流程)必须服从和服务于高位势流程(对客户价值的满足影响大、直接接触客户的流程)。四是决策权适当下放：发生频率较高、单次投入较小的工作着眼于高效，下放决策权，让一线人员有解决问题的自主权；发生频率较低、单次投入较大的工作，应着眼于控制风险，决策权上收。同时，决策权应向个人能力强的岗位倾斜，授权前对授权对象进行考核。五是加强体系考核：将管理体系的执行情况作为员工考核的依据，通过考核业务流程各环节完成的效率和质量，确保制度被执行、风险受控制、工作协同化。六是开发“体系管控平台”，提供体系文件的查询(包括全文检索、多维度查询)、统计分析、宣贯与培训，以及制修订(包括评价识别，制修订计划，在线编写、审核发布等)流程及工作方法和要求、检查监督流程及工作方法和要求；将“体系管控平台”和企业现有业务信息系统对接，将业务活动与体系文件建立关联，工作流程按照体系文件的要求进行设计，在执行操作步骤中加入体系文件的管控要求和工具、表单。通过设定约束限制条件，确保每个活动步骤的管理要求得到落实、风险有效管控；通过严格限定流程顺序，确保任何一个管理步骤没有完成就没法进入下一个步骤。

9 结语

整合后的一体化管控体系，是企业唯一有效的管理体系和管理规范，是管理部门提出管理要求的唯一载体，是干部员工工作的唯一依据；企业统一组织体系的策划、建设、审核、改进，以及体系文件的制修订、审查审批、发布和废止。体系通过覆盖企业全部业务和管理活动的一套系统化、结构化、内容界限清晰、有机联动的管理文件，对于一项业务活动形成口径一致且包含不同角度的管理要求。通过设计便于员工掌握和操作的操作流程和指导文件，明确人、机、料等各种资源配备的要求，明确工艺路线、工艺方法的要求，明确现场操作的要求，这些要求要简洁明了、不重不漏，只要员工按照岗位要求操作，就能够满足各种管理体系文件的要求。

融合后的一体化管理体系有利于企业集中精力和资源，实现制度、标准和流程间的联动，节约企业内审和外部审核的费用和时间，同时还能够帮助企业优化组织结构、明确岗位职责、实现充分授权，真正实现在体系运行过程中以最少的体系文件对各个管理和作业过程的有效控制，并达到最佳管理效果。