内控管理、合规管理、风险管理，这几年一直被国家部门、监管机构所推崇，企业也在积极地落实。

截至目前，并没有完全公认的方法，即便从各个角度出台了若干参照标准，也是一种从单维角度指导性的存在。甚至，在不同领域进行研究的所谓专业人员，认识也并不一致。

同样，我也不能说我的认识完全正确，即便拥有15年研究员资格，在风控领域，也只能说，是结合自己在企业中直接从事过的IT设计、人力资源、经营计划、战略与规划、6年大型企业全方位系统变革、制度与流程、风险管理、内控与合规管理，参与过的大型型号工程项目管理、质量管理等工作，结合从事咨询后的学习、思考、项目服务与体会，谈谈看法。

所以，昨天在成都的讲座，面对来自于众多企业的内控、合规、风险管理主管领导，面对他们希望找到有效方法的期望，我没有传导一种“自我观点”，也没有对政策解读，而是围绕规范、101号文、办法、指引中的一些政策说法，从目的、绩效、逻辑、活动关系分析开始，引导大家对照自己单位的实际，一起谈论、思考。不过，这样的做法，讲的确实很累。

因为，政策中的一些说法，转换到企业，很多与企业现实中的工作都有关系。分析，是为了启发大家去主动思考：如何利用与规范企业中已有的工作，如何发现开展三项工作所形成的“新内容”，如何做到“协同、系统”，如何“落地和可持续”，如何满足上级要求，如何选择开展工作的路径。

至于三种工作所形成的手册，只是发挥体系管理、维护、运作指导的工具，而不是落实各项政策的具体工作内容和可持续机制。手册做的好，用的员工多，意味着有效、有价值；做的不好，只能是柜中物，其实就是废纸。这就是评价标准。

01.从实践维度理解三项工作

站在企业角度，从管理的维度看，三者之间，既有因、果、先后的逻辑，也有其内在“防风险”的共通性。从三个不同“专业”维度，内涵目的都是为了“防风险”，但每一项工作的外延都很大，是造成各种观点差异的根因。

三项工作，企业运用的好，会有助于建立稳定的运营管理秩序，极大促进企业管理的规范性，也会有助于提高经营质量、绩效目标的实现，促进企业运营效率的提升。

企业，归根结底是一个“经营实体”，是一个整体，开展的任何工作，都应服务于整体目标，而不是单独的存在。

问题的关键，在于找到三者之间的关系、交叉部分，进行清晰的分工化界面切割，从而对齐责任、绩效，确立不同责任体的任务。

谈分工的前提，不是从合规、内控、风险管理任何一个“单维”去理解政策，而是基于“全面风险管理”整体去认识。然后，结合实务，再延伸到与各项职能之间的关系，找到与法务、各种业务、管理职能、监督等的关联界面。

协同，绝不是改变“原有”分工，而是找到各种分工的契合点，目的仍是“整体”。整体与“几位一体”不一样，因为，三项工作都是覆盖“全面”、“人人”参与的工作，而不是针对性选择的“几位”存在。

就好比我们看到一个产品，先看到的是整体，然后分解打开，看到的是机械、线路、模块等一个道理。而产品设计的具体实现，既有各构成模块的设计，又有通过关系进行整合的过程，包括各结构功能、关系界面构建、具体模块实现，也有通过软件形成秩序的必要，从而形成期望的整体产出 —— 产品。

解决这一问题的核心，必须有基于整体的“认知能力”，必须有整体目标设想、整体结构设计、结构化分工、具体结构设计、结构整合的认知、机制设计能力。

放在管理的维度，整合，意味着实现分工之间的关系、界面协同，本质是打造一种机制。而这种协同，不是“口语”表述，必须转化为有形、具体的存在，否则，就变成了“话术”。没有分工，就谈不上整体，我们下一段再说。

站在“企业管理风险”的高度，如何看待企业的“防、控风险”功能？从企业外围的角度，是监管部门的期望，但从企业眼睛向内的角度，应该怎么理解呢？

我觉得，应该是坚持的工作导向“理念”，从内控、合规、风控的维度，去寻找有利于构建“稳健运营秩序”、去寻找有利于构建“达成绩效目标”的超前方法。只要结果符合外围的期望，即结果合规、结果实现资产保值增值、结果达成了规划的绩效目标，即化解与控制了风险。

从这一点看，化解与控制风险，是潜在方法所发挥的功能结果作用，而不是吆喝“风险”的调子越高，就能代表什么。风险是未来的，事实上，极少有人能够“准确”地预测风险，更别谈“精确”。人们能够做的，只有从已经发生的、当下能够看到的、当下感知到的不确定因素，对面向未来结果的可能性，做出经验性判断。

判断，意味着“可能或不可能”，而决定确定性的，既有时间的长短，也有措施的具体性。时间越短，确定性越高；措施越具体，对风险可能的控制作用越强、越有效。所以，无论是内控、合规，还是风险管理，识别的任何风险，必须具备“客观性、可关闭性”的特点，而不能模模糊糊，或者什么时候讲都对，这一点，无论风险发生与否。

由此，我们可以归纳出：内控是管理的一项职能，内控的设计与建设，是在构建一种建立于假设条件上的“稳定运营秩序”，按照秩序执行，风险就可降低。因为，假设条件包括了依靠经验认识到的“潜在风险”，而内控是潜在风险的解决方案，经验不能认为是科学，所以，即使同类型的不同企业，管理也可能不一样。

我们还可以归纳出：合规是基于自控制、内部控制为条件的一种结果，自控制越强，发生违规风险的可能性越低；内控越有效，合规结果越确定。合规的主体是企业、组织、员工，合规还是违规，通过行为、结果表现出来，行为因人的动机而产生。

所以，合规管理要让人知规、敬规、行规、守规，但这仍然模糊，所以，要具体为“合法、合制、守约、合德”，把外规、内制、契约精神、社会公德、职业道德统筹起来，然后再去找对应的具体方法。

内控是在构建秩序，前提是，秩序设计不能存在“合规漏洞”；秩序需要遵从，遵从由人的动机决定，合规管理重在消除“人的动机不确定性”，而动机取决于规则之“势”，所以，缺乏合规风险等级、违规处罚等级的合规管理，是不完整的。归根结底，内控管理、合规管理可以归纳为“构建运营秩序，让秩序稳定、有效”，放在企业管理角度，即“管理规范化”、“管理有效性”。

秩序是静态的，只有在执行任务中，静态的秩序开始呈现为“动态”的运作状态。执行任务，即“战略实施”的过程。

战略实施中，企业、员工面对的外部、内部环境是动态的、不确定的，由此产生很多不确定因素，可能会影响“绩效目标”，及时识别、及时施以措施、及时化解不确定因素对绩效目标的影响，即风险管理。

所以，风险管理虽然也管理“风险”，但面对的“风险属性”，与内控、合规管理面对的“风险属性”不同。这就是两层风控能力的分工界面。

虽然很多人讲风险管理，都能说出“定期风险评估、专项风险评估、专题风险评估、动态风险评估”等说辞，道理都对，但如何实现呢？

风险，因业务场景表现出来，当然需要依赖于场景而进行设计，脱离场景的风险管理，是纯粹的理论。

企业并不需要理论，而是清晰、明确的实践。所以，运用于各个场景的风险评估，需要通过明确的、确定的“风险评估项”实现，我们可以认为是设定的“变量”，去规范员工的风险评估行为，去鼓励员工发现其他变量，这才是“实务型风险管理”，直接对齐的就是“绩效目标”。

02.基于整体的体系有效性实现方法

习惯上，人们总认为体系的后评价，是为了保证体系有效性而采取的必要措施。不错，但更重要的是体系设计的“有效性”，有效性不是评价出来的，而是设计、执行出来的。

“01”部分，我们把基于企业整体的“防控风险”功能，划分为内控管理、合规管理、风险管理三大结构。但这三大结构，仍然是外延化“概念”，如果在概念基础上去研究三项工作，永远找不到具体方法，也就是找不到落地的途径，因为，他们更倾向于理论。

企业从整体角度，需要分别收缩三者的外延，把三大概念转变为能够找到责任的“清晰、有形、具体”，这个责任，不限于单纯的“内控、合规、风控”部门，而是企业中各项管理职能，是为整合进行的“基础”准备。

能够让概念转变为清晰的，是分类；能够让类别转变为有形的，是逻辑；能够让逻辑转变为具体的，是任务及关系。找到了任务，就找到了责任；找到了责任，任务就可以分解为活动；理顺了活动关系，就可以设想程序。所以，我总讲：企业要开展内控、合规、风险管理，必须做出结合自己实际的“自定义”，没有自定义，就很难具体设计。

实现这一目的的“器”，就是分类、关系、任务、模板、表单，是保证工作“落地、可持续”的工具，也是产出的载体或结果。所以，讲座中，我展现了若干与企业实际运营、与当下“强监管”环境紧密相关的若干“表单”。

这些表单，也给他们演示了“活动分解为作业的步骤”，其实就是泰勒的“科学管理法”，只不过结合了德鲁克的“目标管理法”，再把作业步骤还原为固定的“表单内容”，以确保任务落地的规范性。目的在于引导大家思考，找到让工作变成现实产出的方法。所以，我总讲：合规风险清单是动态形成的，而不是静态表格。

至于不同人可能产生不同评估结果的风险，我也呈现了“一致性模型”。模型，不是必须的计算过程，但至少能“让没有经验的人也能做”，且结果基本趋于一致。至于具体到企业，根据具体情况，把模型参数转化一下，就能解决。我觉得，培训，得让听课者理解最基本的逻辑，而不是灌输观点，但确实需要一定的工作经验为基础。

分类，是消除“歧义”的方法。譬如：内控究竟包括什么？现实中有哪些职能在履行这一职责，内控管理部门要做什么？从而形成不同职能之间的互相弥补、协作。这些，都需要内控管理部门理清、推动，通过手册固化下来。

譬如：合规究竟包括什么？为什么有人突出“合法”、有人突出“制度”、有人又认为重在整理“合规要求”？貌似都有道理，但总觉得有些难以诠释的成份。那就通过分类，让员工知道“每一个类型”指的是什么，从而形成“认识的一致性”，不再喋喋不休的去做那些“无谓”讨论。

譬如：风险管理又包括什么？风险评估与内控、合规有什么关系？虽然很多说法的道理都对，但如何让员工“评估风险”？从字面理解，风险管理既是一种职能，又是一种包含程序的工作逻辑过程，还体现着识别风险的方法，这种存在“多维”认识的可能结果，会造成不同员工的理解混乱，都需要通过手册明确下来。否则，工作就成了“你布置、我应付”的虚幻。

模板，是截断触及“风险要素”可能的确定性工具。譬如，合同管理，要通过标准化合同模板，预防“法律纠纷风险”；人力资源，要通过劳动关系合同模板，预防“劳务纠纷风险”；领导干部权限约束，要通过“年度提名权最多次数”进行限制等等，都是切实可行的具有“内控”功能的方法，都是具有保证“结果合规”的具体措施。

这些方法，可以消除那些喋喋不休地讨论合同法律风险、劳动法劳务纠纷风险、选人用人风险的“模糊”，企业不是讨论“理论”的地方，而是创造价值的地方，那么，他们又与合规管理有什么关系呢？其实，就是化解对应违法违规风险的具体措施。

表单，是体现“确定性”活动、实现规范化的最好工具，是打造长效机制重要过程节点的体现。内控、合规、风险管理机制怎么建？怎么运作？总不能一直给员工讲大道理吧，员工关心的是“你让我做什么，怎么做”。把相关角色需要进行的活动，按照逻辑分析“串”起来，就是流程。

机制是设计者“脑子里”的构思。流程动态地运作，反映的就是机制。对员工来讲，只关心做事儿，不关心机制；机制，是主管部门根据管理需要设计出来的。机制有效，意味着职责的履行，意味着管理有效。

所有这些，都是把工作做实、做细、做规范的实质内容，加以整合，通过手册反映出来，手册才可能具有“生命活力”，才可能实现落地、发挥作用。

03.有效性责任，不在于员工而在于管理者

企业中，没有任何一个管理者，希望自己的管理无效或低效。问题在于：受认知的局限，所采取的行动，如果不能支持内控、合规与风险管理的有效性和可持续性，就很难获得成就感，从而逐步失去对这些工作的信心。当然，不包括企业中客观存在的一些不想承担责任，多一事不如少一事，或者只追求有一个工作落实证明的管理者。

为什么会存在认知的局限性？比如：内部控制规范把内控定义为，是由企业董事会、监事会、经理层和全体员工实施的、旨在控制目标的过程。如果从五部委外部监管的角度，定义是正确的，指的是企业内部所有的控制。

但是，如果企业进行内部控制建设，用这样的定义去阐述内部控制，去部署工作，企业中每个部门、员工的认识是千差万别的，这时候的工作，很难找到责任者，很难满足内控规范中的定义要求。所以，企业的管理，最需要“创新思维与勇气”。

这种情形下，不少企业的内控部门，为了完成任务，只能根据直观理解，按照18项指引，梳理流程、写出流程作业说明书。且不说流程描述是否标准，这种做法，意味着确定性的结果，企业内控建设成果绝无有效的可能性。因为，这样的产出，远远满足不了内控规范中对内控的定义，也没有构成与企业已有管理工作的协同。

其次，对内控指引的理解，本身可能出现了认知上的偏差。譬如：内控指引第7号——采购业务。如果要做采购内控设计，恐怕不仅仅是梳理几条流程的问题，而应结合企业现实，说明采购管理与采购实施的职能分布情况，是采购业务的内控环境。

现实中，两大职能，有些企业共同存在于统一的采购组织中；有些企业，则分属于不同的组织中，比如：采购管理可能与经营计划紧密结合，可能与质量管理紧密结合，而采购实施以独立组织的形态存在，从而构成不同的职责分工，缺失了这一前提，写几条流程，仅仅解决的是多角色活动程序，却丢掉了关键的组织制衡关系。

因为，不同的分工，决定了不同的流程。所以，这样的内控，很难具有指导性，谈不上有效；这样的内控程序手册，员工很难参照执行。即使内控部门承担的内控评价，评价的依据，恐怕都不是自己产生的内控手册，怎么能怪员工不执行呢？是设计之初，就埋下了先天不足。

再比如，我们讨论合规管理，很多人都在讲着“璀璨夺目”的方法！但是，想没想到怎么转变成员工的统一认识？这个认识，不是怎么解释定义所能完成，而是要转化为“确定性表述与唯一性理解”。

合规，是一个很宽泛的结果性概念，其中蕴含着法律合规、监管政策合规、制度合规、社会公德合规、职业道德合规等，在如此多内涵理解的情况下谈“合规”，能够发挥的作用，又有几何！那怎么办呢？

为什么不进行分类呢？合法、合制、守约、合德，每一个词汇对应着单一的理解，对应着责任明确的组织，对应着外部法律政策风险、内部管理风险、道德风险等等，每一项风险，都可以找到对应的责任组织和具体任务，从而融入到企业的“相关管理”中。

在目的、绩效、责任明确的情况下，从合规管理办法角度，建立决策层、运作层、支撑层，把思维中设计的机制，通过制度明确下来，每个节点产生对应的、动态的、确定的“表单”产出，合规识别风险清单自然形成，这才是“可持续运作机制”。

所以，我展示的合规体系评价标准是“三维”的，每一维的评价是确定的，这种结果，是由设计决定的，而且，经得住监督考验。

再比如，风险管理。内控、合规管理均把风险评估作为识别风险的方法，其实，任何类型的带有防风险属性的工作，都有一个或潜在、或隐性、或显性的风险评估过程，这是“相通性”。

其次，如果把建设成熟的内控、合规管理工作作为假设条件，那风险管理是否意味着“新的功能”意义呢？针对的就是“影响绩效目标的不确定事项”。绩效，依靠“做事儿”而达成，所以，风险管理是企业员工达成绩效的“抓手”。

风险评估又怎么做呢？对于定期或者重要节点的风险管理，主管部门总不能告诉员工就是要进行“风险评估”吧！员工需要的是“你告诉我评估哪几项，才能满足你的风险管理要求”，这才是确定性做法。所以，从管理角度确定的风险管理工作，需要明确“清晰的、确定的风险评估要素”。

那动态的风险评估怎么做呢？动态风险评估，是计划执行过程中的不确定结果感知，那就应该划分出与计划有关的风险类型，建立确定的表单，形成“基于业务管理”的风险信息传递、管控、报告与预警机制。

如果从这几个方面来讲，内控、合规管理、风险管理，都构成了与企业管理紧密相关的“工作内容”，如果能够找到日常存量管理中，不能达到管理规范化程度的固有不足和短板，内部控制、合规管理、风险管理就可以转化为“弥补不足”、“提升效能”的工具，从而具有现实的推广、应用价值。所以，我总讲：内控、合规管理、风险管理是企业中的应用实践学。

04.结语

无论是内部控制、合规管理，还是风险管理，我们都不能认为：在推动这些工作之前，企业中没有内控、没有合规、没有风控，只是我们没有认识到、没有认识准。

我们也不能认为，内部控制、合规管理，还是风险管理，都需要从“零”开始构建，更不要把他们认为是“单纯的监督工作”，三项工作，都需要以目的为导向，从管理的维度，去统筹、去组织、去设计、去实施。

我们也不能认为，审计与监督，只针对三项工作发挥第三道防线作用。事实上，任何体系都存在“体系有效性评价”，无论是质量、职业健康、IT，还是保密、安全生产管理体系，都需要进行评价。评价的方法就3点：一是满足不满足体系框架要求；二是明确的内容及新任务，是否能够对体系运作形成支撑；三是是否真实地按照设计进行运作。哪有那么多“花里胡哨”令人听的晕头转向，不知道怎么做的所谓方法。

客观讲，很多时候，人们总简单地把不能有效执行归咎于员工，但真实的原因是：首先，要先从管理开始，审视一下管理的目的及意义，是否明确、客观、可行，但绝不是理想化、模糊化表述；其次，应该审视一下自己的管理，审视一下管理设计，是否能够满足员工执行的条件；最后，应该审视一下手册，自己能否看明白，自己能否可以按照手册操作。也就是说：每一个管理者，都应该成为管理设计与实施的“先验者”，然后才是“指导者”与“监管者”。