来源： 锐安科技 发表时间: 2014-12-17

  企业作为一个组织严密的经济系统，本身具有自组织、自调节、自适应、风险集中释放等特点，这些特点决定了企业组织自身具有免疫系统，具有和生物相似的免疫特性。企业组织在多变的环境中，会面临各种威胁，企业组织也存在类似的生物组织的免疫系统，而这一免疫系统功能的有效实施也是维持当前企业系统健康状态必不可少的条件。

     和人体一样，对一个生命型企业组织来说，企业是由多岗位人员（细胞）分工协作组成，各岗位人员（细胞）在履行职责过程中同时追求个体的利益价值。组织管理的根本任务，就是要使组织每一位岗位成员，都能自觉将岗位履责，追求个体利益价值的行为，置于保障组织基本价值的大前提之下。企业机体免疫系统（内部控制体系）就是对每一位岗位成员追求自身利益价值的行为进行有效规范，使之与组织价值的增长相一致。企业机体免疫系统（内部控制体系）绝不是要困住岗位人员（细胞）的手脚，而是要保证组成企业的每个细胞都处于健康的状态，为每一位成员充分全面的施展其才华提供制度保证，从而才能保证整个企业机体的健康运作。我们的身体有很强的修复力，但是又非常脆弱，千万不能让免疫系统“叛变”，只有体内不同部位相互平衡，互相合作时，机体才能正常运行，同理，企业免疫系统（内部控制体系）出了问题，那就不要说可持续发展，就连生存下去也将非常困难。

企业免疫系统模型

     企业组织是一个有机整体，如果说以企业信息系统平台为载体，董事会、经营管理层等组成“中枢神经系统；财务、会计、运营等职能组成了“循环与呼吸系统”；市场营销、解决方案、产品服务等组成了“运动系统”；工程、售后等组成了“消化系统”。剖析人体免疫系统的组成与功能，再从企业机体的角度看，内部控制体系在企业自组织中恰恰发挥着免疫系统的功效。企业组织免疫是由各类企业“病原”所触26发，与人体免疫特性相似，企业机体免疫系统（内部控制体系）也有非特异性免疫、特异性免疫两种机制和物理屏障、生理屏障、自适应免疫屏障三道防线以及防御、监视、自稳和学习四大功能。内部控制体系能够最早感受到抗原的侵蚀风险，更早更快地利用制度权限等各种措施将其在运行中暴露出来的缺陷逐一修复、逐步完善，以促使企业机体的可持续发展。

两种机制

     所谓企业“病原”的非特异性免疫机制是指企业针对“病原”侵害而进行的一般性控制行为，是伴随企业存在而自然形成的一种“病原” 防范机制；而企业“病原”的特异性免疫机制是指企业针对“病原”所采取的特定控制行为，是企业在发展过程中适应内外环境的变化而逐渐建立起来“病原”控制机制，包括“病原”的监控机制、专项审计机制和信息沟通机制等要素。人体免疫应答分为初次应答和再次应答。一般而言，初次免疫应答过程较长，再次免疫应答直接由记忆细胞接受刺激后产生抗体，要快一些。同样，对于企业的免疫应答机制来说，初次免疫由于对“病原”问题的判断、性质的确定都非常困难，特别是由于人的主观能动性，为应答策略的制定带入了更多不确定因素，比再次免疫应答的过程要长，过程更复杂。而随着企业免疫系统不断的学习和记忆，企业所积累的抗原和策略越来越多，因此再次应答过程也就容易得多了。

三道防线

     人体通过合成代谢，从外界吸收物质和能量，引进负熵，在此过程中，主要包括三道防线。皮肤角质层和与腔体黏膜构成了物理屏障，是抵挡“病原”的第一道防线，能够有效阻挡大部分“病原”侵入人体。体液中的杀菌物质和吞噬细胞构成第二道防线，杀菌物质的溶解酶能够溶解许多种病菌，分布在血液和组织器官中的吞噬细胞，可以将侵入人体的病原体吞噬消化。物理屏障，皮肤和黏膜已经竭尽全力抵抗感染，生理屏障，体液已经制造大量抗体保障间隙环境的安全，如果这些措施都抵挡不住，此时T细胞和B细胞出击，第三道防线自适应免疫启动。

      对企业机体组织来讲，其内控体系也有三道防线，防护层（物理防线）、检测层（生理防线）和响应层（自适应防线）。企业各种健全而有效的基本管理制度为企业机体构筑了第一道坚固的“防火墙”，使企业内外部异己无法滋生。完善的基本制度，至少包括组织架构、业务流程和日常风险控制三个维度，组织架构确定组织权限及岗位职责，合适的业务流程覆盖企业的主要业务，同时组织架构和业务流程设置始终要贯穿风险控制思想。企业免疫系统的第二道防线为检测层，主要指企业的风险和危机的“扫描”，及时发现企业的运作过程中存在的问题，将异己消灭在萌芽状态，在实际操作中，表现为企业的内部审计活动或内部控制活动。响应层为企业免疫系统的第三道防线，这一层是企业内部控制体系的核心层，主要指对企业突发事件、棘手事件及“癌变”组织细胞进行策略响应乃至“杀毒”。

四大功能

     与生物体免疫功能相似，企业内部控制体系的功能主要有四个：防御、监视、自稳和学习。免疫防御，指机体排斥外源性抗原异物的能力，对于企业内控体系，要识别内外部异己因素，充分发挥抵御功能，从体制机制层，如企业文化体系、企业的质量管理体系、风险管理体系等，深入分析调动积极因素，防止消极因素入侵企业机体运营系统，促进健全体制、完善机制，增强企业运营的免疫力。免疫监视，指机体杀伤和消除异常突变细胞并抑制肿瘤在体内生长的能力，对于企业内控体系，要有力应对内部出现的异常和突变因素，构建相应的管理机制和部门，如内部审计、内部控制、时刻发挥警惕和监视功能，在违法违规、损失浪费、奢侈铺张、损坏资源、损害职工群众利益等各种行为恶变之前防范于未然。免疫自稳，指机体识别和清除自身衰老残损的组织细胞能力，是机体维持稳定的重要机制，对于企业内控体系，表现为能够识别并清除企业内部安于现状、失去危机感，骄傲自大，抵触变革，丧失创新精神的组织与岗位人员，维持组织内部的活力、协调和均衡。学习记忆，当病原第一次入侵生物体时，免疫系统通过学习产生抗体消灭病原，对于企业内控体系，应该具备一定的学习和记忆功能，同类事件的再次发生，能够迅速从策略库中调用方案，有效解决问题。

企业实践：如何打造组织的免疫系统

     R公司秉承“向生命系统学机制、向人类大脑学智慧”的理念，致力于借鉴有机体的理念，来打造“企业有机体理论”（简称“企业有机论”）。并以此来指导企业内部的实践，优化组织系统。接下来，将以R公司实践为例，阐述其以OA与SAP相集成的信息化平台系统为载体，有机整合信息与权力行使系统，实现企业内部控制体系两种机制、三道防线和四大功能的搭建实现。

     首先，建立内部控制体系，R公司从解决信息系统的正确性、真实性、完整性入手，分阶段分步骤持续进行信息系统建设。信息是真实，全面的，即使信息是不对称的，一旦公开对组织岗位人员也会产生强大的约束力。随着内部控制信息的内容越全面，披露的越充分，信息系统的威信越高，R公司内部控制的效果越好。

     其次，建立内部控制体系，R公司搭建健全内控体系的第一道防线。通过R公司自身的发展经历、将那些经验、知识、技术等显性化成为管理规则制度、工作流程、甚至企业文化，形成企业机体免疫系统最外围的第一道防线。为增强企业抵御风险、适应外部环境、自我纠错的能力，R公司设立企业有机体建设中心专门机构和企业运营机制委员会跨部门组织，将企业日常运行的信息通过层层汇总提交给企业决策部门，一般是定期汇报，决策部门根据这些信息发现企业异己，并采取相应的措施持续调整优化制度流程与经营策略。

     再次，建立内部控制体系，R公司的内控第二道防线表现在内部控制节点和内部审计监视活动上。企业中几乎每个部门的关键岗位人员都同时承担免疫监视职能，他们具有较强的风险和危机意识、熟练的专业技能、敏锐的问题洞察力、时刻关心和维护企业利益的优秀员工。目前R公司在人事、财务、业务和资源四大权限类别上，在主管、经理、总监和总经理等不同层次上共设有*个控制点，每个控制点均有明确的权责描述和执行规范。同时，R公司成立专职免疫部门，比如审计部、质量检测部等，审计部门人员的工作精力不仅仅是放在财务领域的差错纠偏上，而是深入到了内部控制和整个经营活动领域，借助公司信息化平台的信息分析和评估系统、异己预测系统、异己警报系统，及时检测发现和处理功能紊乱甚至功能丧失的企业细胞（岗位人员）以及各种风险事件，实现了从传统审计向风险导向审计的转变。

最后，建立内部控制体系，R公司借助信息化大数据平台重点打造免疫第三道防线-企业自适应免疫。R公司的基本管理制度体系和内部审计控制活动两道防线采取的是零容忍策略，遇到异己实时“杀毒”，而自适应免疫防线则不同，适应性是通过不断的学习机制来实现的。在R公司，企业免疫系统对所遇到内外部异己所做出反应的相关信息和决策是形成公司异己和策略库的主要来源。将事件处理应答过程中的隐形策略的形式，借助信息化平台显性化，以便后来者直接学习使用，这些“套路”会体现在惯例、规则、文档和以计算机为主的信息系统中。企业的策略学习是一个循环往复，螺旋上升累积的过程。另外，R 公司定义应急预案是企业内控控制体系的“疫苗”，未雨绸缪，提前会对可能入侵企业的“病原”预先制定的有关计划或方案。