对企业来讲，重要的有两件事儿，一个是战略管理，一个是运营秩序。战略管理包括战略制定与战略实施，从行动维度，反映为年度经营计划与年度计划执行，即事儿的筹划与行动。

运营秩序，本质是企业构建的运营与管理体系，是企业开展经营活动的载体。企业的战略实施建立在秩序基础上，通过企业中的制度、流程反映出来，即做事儿的套路。

从企业风险管理、内部控制与合规管理的维度看，制度、流程、不同阶次流程中关键节点的控制活动，都属于企业的内控能力范畴；合规管理是保证外部法律法规、监管政策、社会责任，以及保证企业内部管理有效性的重要措施。

合规管理是一个功能性描述的名词概念，本身具有模糊性，很难做到行动落地，也绝非沿用一种方法所能解决。

合规管理要转化为工作，需要通过系统分析、解构，对不同合规风险进行属性划分，我把合规风险划分为7类，其中既包括企业、员工对既定外规、内制的遵从，也包括由于科技进步，所带来的对原有规则调整的可能。

毕竟，科技的飞速发展，企业既有承担社会责任的义务，也可能由于技术创新和应用，促进原有法律法规、政策的改进与变通，从而促进社会文明不断走向进步。我国电子支付、网络发展、智能应用，无一不经历过这一过程。

合规风险划分，是为了让模糊的概念清晰化，从而找到与企业具体业务工作的结合点，降低管理复杂度，与企业的健康发展契合，从而体现合规管理的价值。企业首先是一个经济实体，合法合规是企业开展经营活动的必要条件。

合规管理的外延很大。人们思考一个问题，很容易受限于认识问题第一感的“脑回路”影响，僵化地把合规管理视同为外部法律法规、政策监管问题的解决方案。直感，也并非完全没有道理。

一般讲，外部法律法规、政策监管是一种普适性的外部控制，适用于所有、或某一行业、某类性质的企业。每个企业由于行业、产品、发展策略的不同，内部管理方式、方法表现各异。

企业规模的增长，会导致企业法人主体、组织层级的增多、业务结构的多元、员工之间素质与能力的差异、管理的难度。

企业构建运营秩序的目的：一是提高运营效率；二是降低不确定性的影响；三是实现最大产出。当然，合法、合规、合制、合德，是构建运营秩序必须坚持的基本原则。

于是，我们就可以找到一条将合规管理与企业构建运营秩序相统一的路径，这就是合规管理工作对企业发展的贡献。企业中，不能贡献于企业目标的工作，都是浪费、是成本。

企业防范法律法规、监管政策等外部控制风险最好的方式，就是用更系统、更严厉、更具体的内部控制。但不要误认为内部控制就是层层加码的监督，以及为证实活动合规，而进行的无休止的补充、说明、验证，这种方式，只能让优秀员工无所适从而磨灭激情。

在我看来，一套好的内部控制机制，一套好的运营管理体系，既是约束，也是为了释放灵活。衡量标准是：监督随便来，你监督你的，我工作我的，你需要什么我配合，你验证你的，我继续工作。

构建企业运营管理体系的原则是：盯外而实内。盯外，即全面掌握与企业经营相关的外部控制要求；实内，就是构建扎实、有效的运营管理体系，从外部看，即企业内部控制建设。

所以，广义的内控包括企业中的制度、流程，以及不同程度的从宏观到微观的活动标准。

制度，明确组织与角色任务、权限与责任；流程，明确组织与角色具体活动的标准、协同完成任务的程序；狭义的内控，既包括组织间的制衡，也包括嵌入流程的内控活动。通过价值观引导、规则订立、自控制、他控制、监督而浑然天成。

如果放大来看，制度、流程也是一种管理标准，标准程度的高低，离不开风险评估，离不开从理念、思想、制度、方法、活动的细化与固化。从合规管理的维度，合规风险评估，是“实内”必须经过的行动之一。

合规风险评估的产出，即合规管理中提到的第一张表单：合规风险清单。不能关闭的风险不是风险，而是亟待解决的长期问题。所以，合规风险清单的管理是动态的，而不是静态的表格。

当合规风险得到有效控制而化解时，合规风险清单就转化为风险关闭后的记录，但不影响其中反映的合规要求、合规限制继续发挥作用。

在我看来，合规要求也不能笼统地讲，其中包括必须开展的“有条件活动”，也包括不得、严禁开展的限制活动。所以，我们可以将其定义为：合规要求是开展工作必须坚守的条件，即底线；合规限制是不能碰触的约束，即红线。

风险评估，可以看成是一个活动的名称，也可以认为是一个动词，用做动词时就转变为一项工作活动。由不同组织、不同人所执行的具有统一属性的活动，只有当面向同一类型具体对象的时候，就带来了“一致性”需求，实现一致性，依靠的也是规则，对风险评估来讲，我们称为“风险评估模型”。

模型，听起来很神秘，很多时候，被人们直观理解为只有运用“数据”进行计算的，才能称其为模型。其实，当管理体现出了理念、方式、方法，转化为规则时，就是“管理建模”的体现。

构建管理模型，本质是找到工作的相关要素，通过建立一套规则，使各个要素得到充分、合理地分配与利用，从而保证让不同组织、不同人能够运用相同的规则模型，化解由于人的“认知”差异而带来的结果不确定。

企业中的每一个人，受限于能力、经验、信息、视距等因素，“认知结构”可能存在不同。所以，对一件事儿的认识，结果非常可能不一样，而且还很容易固执己见，唯一的解决方式，只有“统一语言或行动”。

管理模型的本质，就是统一语言、行动，以期达到不同人执行，但产出结果相近或相同的反映。合规风险评估，面向的是同属性评估对象中的规则要求风险，所以，可以实现管理模型化。

合规管理是企业内部的工作，企业员工无法撼动外部规则的规则要求，只能眼睛向内，转变为“期望目标与内部能力”之间的差距判断问题，这个差距，就是合规风险中的“一类”。

对能力差距的判断，即合规风险评估，解决的是外部、内部的各类、各种规则风险，与企业内部不断接近执行的抗风险能力匹配问题。

没有人可以预测未来，靠经验感知判断出的风险，是不稳定、不靠谱的。人们能够做的，就是通过看到已经发生过的事实，判断可能发生的“未来”趋势。

合规风险评估模型中确定的评估要素，即为基于事实基础上的判断，从而度量满足合规要求与内部能力之间的差距。弥补差距所提出的措施，即该合规风险的控制措施。

合规要求、合规限制、合规风险、控制风险的措施计划，都是合规风险清单中的内容。计划是可监控的，构成了“合规风险预警”的内容之一。

合规风险评估模型，不能被认为是工作的复杂化，而是提供的一种能够弥补评估人能力、经验差距的工具。否则，怎么保证合规风险管理落地？

当合规风险控制措施得以落实，并被证实有效之后，评估出的合规风险即可关闭，从而让合规风险清单转变为“过去式”的记录。周而复始，随新规的产生、更迭、搜集，合规风险评估与风险控制得以循环，实现抗违规风险能力持续的匹配提升。是为机制，否则，又何以可持续？

只有当模糊的概念，变得清晰、具体、有形时，工作才能称其为工作。这时候，合规风险预警、不合规报告等，都可以找到可落地的方式与方法。同理，其它类型的合规风险，一样可以实现，否则，就只能是轰轰烈烈地走过场、喊口号，或者，写出一本“洋洋傻傻”的萌化手册。

当合规管理变成具体，呈现出与“日常业务工作”同步的活动组合时，意味着工作落地、可持续。同时，我们还应考虑企业员工的“人性”，既有希望拥有“秩序”的一面，也有渴望“自由”的一面，更有希望获取“成就”并得到认可的良好愿望一面。

合规管理准则，不要认为它就是纯粹的“约束、控制”，我觉得，它更应该是一份倡导，是从价值理念角度对人性的一种高级净化，追求什么、反对什么、在什么领域不碰红线、遇到问题如何解决、提供什么解决问题的通道等，企业都应予以明确。

同时，通过准则的公开发布，将企业价值追求的理念，向外部利益相关方传播，向社会、市场传播，本身又是企业履行社会责任的具体反映。

很多人说，审计、监督是合规管理的闭环，错了，闭环的不是这些职能活动，而是问题整改。这一点，恰恰与3月29日中央政治局提出建立巡视整改三个“清单”的要求一致。

问题整改的三个清单，指的是问题清单、责任清单、任务清单。有所区别的是，我建立的模板是问题清单、问题分析与控制策略清单、违规责任追究清单、任务计划与责任清单、效果评价与不重复发生评估清单。

在我国依法治国的路上，强化监督固然必要，也不可或缺。但更重要的是通过良好的价值观引导、踏实的合规管理过程工作，通过既有价值追求的自控制机制，又有能力互补型、及时发现型的他控制与协同，辅以有效的结果监督与有震慑力的“法治”，共同构筑一条企业追求合规经营、追求价值创造与增长、追求健康可持续高质量发展的阳光之路。

通过合规管理，实现知规、守规、行规的能力提升，释放动力、激活活力才是最终目的，依靠的不一定是条条紧箍咒，而是能够保证合法合规、符合人性的高效管理机制，考验的是规则设计者、制定者、推行规则执行者、监管者的能力与智慧。