流程的核心内容有两部分：一部分是基于风险的管控，确保流程目标的达成；另一部分是业务最佳实践的固化，确保流程的效率。这个标准涉及两方面的内容：一是规则是否清晰的梳理出来，并不断的优化？二是是否识别关键风险并建立有效的管控措施。

你是否有这样的体会，流程设计完成之后，流程团队严格按照流程执行，但最终从流程运行结果来看，也许与之前没有太大的改变，效率没有明显的提升，该犯的错照样犯，还是不可控。

一位客户研发负责人管着几百人的研发团队，但他仍然在负责公司关键的研发项目，担任项目经理、技术专家，仍然承担了很多设计文档的审核工作。我问他为何不授权，把自己解放出来，让自己有更多的时间去关注研发平台能力建设、研发团队能力开发、基于未来的技术创新等。他告诉我，虽然大家都按IPD流程跑，但他不盯紧一点，各类问题不时爆发，后果不可控，他放心不下。

问题背后的本质很简单：该企业的经验未转化成规则，未识别关键控制点并建立有效的管控措施。

一个好的流程设计就要达成这样的目标：降低对人的依赖度，依靠人，但不依赖人。如果能够做到，公司发展就更加稳健、可持续。对于成熟业务，管理者可以放心交给团队，交给流程制度，可以放心睡大觉，而将精力用于面向未来、面向竞争、面向创新的战略布局与核心能力建设上。

麦当劳一再降低员工的薪资，依然还有很多人蜂拥而至。这中间有很多是打工赚零钱的学生，以及下岗人员。有人会说，麦当劳这样干，你也可以这样干，你也可以雇用大量赚零钱的学生，或者以承担社会责任的名义雇用大量的下岗工人，然而绝大多数管理者清楚地明白，过分降低薪资的后果就是没人做事，请思考麦当劳公司为什么能，而我们公司不能？

以我的经验，企业普遍流程设计缺乏规则，写得太空了，很多时候只解决了跨岗位流转的问题，对于如何流转的经验没有转化成规则，导致流程没有力量。

在伦敦上学的外国学生，对英国“方脑袋”最大的体会是：学校里从来没有人管你，但谁也不敢犯错，所有规定完备，必须按照既有规则办，除非你不想毕业，或者是聪明到超过规定的制定者。不过，后者基本很难做到，因为英国人最擅长制定规则。

管控到位的流程是可以摆脱对人的依赖的，是可以托住业务流程质量的底线的，执行人员虽然有差异，但最终的质量大差不差。好比体系与机制相对健全的美国，不论总统是什么出身、能力如何、经验如何，最终国家治理都不会太差，保证处在一个相对较高的水平。

我们要看流程设计是否识别了流程运行过程中的关键风险点，是否基于关键风险点确定了流程的KCP（关键控制点），并在KCP中建立了有效的控制措施。

典型的风险有财务内控风险、质量风险、信息安全风险、环境风险、数据风险等。基本集成了各类管理体系的管控要求。

关键风险的识别质量同样是需要时间迭代的，是需要企业有很强的复盘总结能力。业务一个周期一个周期地跑，就会积累很多的数据与经验，各类风险与问题就会充分地暴露出来，对于发生频率高、后果影响大、发现/识别难度大的风险，要不断地识别出来，这些风险是具象的、场景化的，背后都有具体的案例支撑。对这些典型案例深度复盘，就能够找到有效的管控措施。

大家都知道，波音公司基本能够做到同样的原因引起的空难事故不会再发生，他们是如何做到的？其实也不复杂。每次空难发生后，会尽可能地找到黑匣子，然后做深度的复盘与总结，问题发生的根因是什么？在流程的哪个环节发生的？下次如何才能有效地规避？形成相关的工作标准，比如设计标准、物料选型标准、测试标准、检验标准、工艺标准等，这些标准是后续流程执行人员必须遵从的。由于这是关键控制点，流程活动完成后，要设计评审/检查点，在对应的评审/检查checklist中，要增加对是否执行上述标准的检查。这样就完成了一个闭环，有标准规范保证你不重复入坑，有检查来防止你不执行标准，构建了双重保险，再犯同样错误的概率就低了。

对于风险识别与KCP识别，最好是基于端到端流程拉通进行。流程KCP的建立要做到少而精，不能够遍地开花。如果太多了，K（Key）就失去意义了，就不关键了。

对于风险的识别要具体、明确，最好是有数据与事实支撑，不能够描述得过于空泛、抽象，像正确的废话，没有行动导向。

对于KCP的风险控制措施要做到面向关键风险的控制，有明确的规定动作、标准与要求，标准与要求是管控措施的灵魂。

读者可以拿此标准去对公司流程文件做一个验证：

​ 流程中识别了关键控制点吗？

​ 流程活动说明中有对应防范或控制风险的管控标准或要求吗？

​ 管控标准或要求可执行吗？是否能够被大多数流程执行人员理解并掌握？