企业内部控制非常重要，但落实在内控管理，不少企业非常迷茫。迷茫的原因，是因为“内控”是一个泛化的整体概念。看到这，千万不要在脑海中，单纯浮现出一套流程化的内控手册，那不是全部，但这似乎已经成了惯性。

在概念未转化为员工可以理解的、与现实工作相结合的清晰认知之前，所有的内控建设工作，其成效都很难谈起，是内控管理部门产生“困惑”的症因。因为，我们并没有完整地认识内控。

什么是风险呢？风险是指未来偏离期望或目标，并带来一定损失的可能状态。其中，虽偏离期望或标准目标，但仍可接受的损失范围，称为风险容忍度；由于未采取风险解决方案，或采取的解决方案存在可感知的不足，可能发生的超出风险容忍度的损失，称为风险敞口。

超出风险容忍度的风险，需要建立并执行风险解决方案，目的是为了将预测的风险敞口，尽可能降低为0。所以，凡确认的风险，必有措施计划，必有关闭风险的活动，这个活动不应超过一年期。超过一年不能关闭的风险怎么办？那是发现的问题，也必须解决。年年都存在的风险怎么办？检查制度、流程。

目标是多维的，通过结构化关键绩效指标反映出来，通过分层、分级，最终落实在组织、团队、员工绩效上。企业目标的实现，通过每个员工从下向上现实绩效的聚集，最终呈现为企业绩效结果。

企业是追求发展的，绩效的多维、多层级性，绩效目标所遵从的SMART原则，意味着每个承担绩效的个体，都有为企业目标作贡献的机会，也意味着存在不能达成绩效的风险。每个组织、员工都有主动识别、评估、管控风险的责任和义务。

我们知道（泛指企业），影响绩效达成的因素有很多，有外部的无法影响的因素，如自然灾害，法律法规与监管政策，有政府部门与企业之间的工作互动，有客户的需求与期盼、有无法预知的供应商不确定性┈┈

我们也知道，每个个体的知识、专业、能力、经验与经历、掌握的信息空间不同，要达成绩效，有时候还受制于前端的决定条件、做事儿必须遵从的职业道德、来自于外部监管与内部管理的要求，还与企业提供的资源、工具、设备仪器、设施、环境、材料等有关┈┈

我们也知道，我们每个组织履行职能、达成绩效，一方面取决于组织自身内部能力的成长，一方面取决于对业务结构、逻辑、工作方法的认识，另一方面还与组织之间的协作、协同主动性、积极性有关┈┈

不错，这些因素都会构成对组织、员工达成高绩效的影响，即不确定性。我们会主动识别企业的安全风险，为大家创造一个稳定运营、创造高绩效的环境，包括文化风险、重大危机风险，并提出危机发生时的应急预案┈┈

效率是影响组织、员工实现高绩效的关键。每个组织都应在分析业务模式的基础上，提出业务策略，充分认识外部客观存在的法律法规与政策，分析各种因素可能带来的风险。对重复性业务，要充分认识可能存在的特例、个例，通过建立制度、流程等规则，共同构建企业的运营秩序、规范员工行为。

风险因素是影响效率的最大问题。在制度、流程建设中，对不可容忍的风险，要提出解决方案，纳入制度与流程、控制风险，实现效率与风险控制的统一。用系统、严密、有效的制度、流程、模板、表单作为内部控制，取代员工客观上不能完全掌握、但又不得不接受监管的外部控制。

因为我们知道，数以百计、千计的法律法规、政策，让少数人掌握能够变成现实，让所有员工掌握，那是很难实现的期望，否则，法务人员也就没有存在的必要性。识别与企业相关的法律法规、政策，一定是专业人员、管理人员做的事儿，不能构成强加于每个员工的责任。

我们可以得出结论：站在企业整体角度，内部控制指的是企业为了实现经营目标、防范各种风险，所采取的旨在将风险控制在可容忍范围内的各种内部措施，包括各种具有一定或完全控制功能的制度、流程，也包括流程中设置的发挥控制功能的节点。

制度、流程是分层级的，所以，制度与流程中的控制活动也形成了层级。很多企业以制度作为主要管理方式，但制度与流程又有所区别，制度无法照顾到一些过程控制活动，难以实现活动标准化，这件事儿只能由流程作为补充。

内控建设中的梳理流程，要尽可能体现流程管理所提倡的整体性、系统性、层级性。企业中的管理要学会谈钢琴。

不要担心，制度、流程、内控、合规、风控的职能分布，他们可能部分在一个部门，也有可能分布在不同部门，但绝不妨碍工作的部署。因为，企业中每个职能部门之间，都有合作、协同的关系。

谁的孩子谁抱走，谁的职责谁承担，谁提出谁决策，谁执行谁负责的原则，应该是企业管理中的普遍共识。但如果不做统筹部署，不把课题讲清楚，不把责任界定好，仅仅把视角压缩到一个自己可以影响的局部空间，那就是管理失职。

我们既要通过构建内部控制梳理流程，也要考虑未来企业流程管理的需要；既要认识到流程因做事儿而存在，又要认识到建立流程的目的，是为了通过做事，产出标准化结果，所以，对控制活动的描述，要尽可能规范、标准，用活动的标准化，保证做事儿结果的标准化；既要通过内控建设促进制度、流程的系统与规范，又要认识到，他们也是合规管理不可缺失的核心内容。

我们不能寄希望于通过一次活动，就能把内部控制建好、建全，需要构建一个持续完善的机制，因为，企业是发展的，企业也会为了提高效率，优化商业模式、运营模式，必然会带来各业务策略、制度、流程的调整。

同时，我们还应该认识到，企业开展内部控制、合规管理，“防范风险”仅仅是一个方面，他们也会促进企业的管理规范化、精细化，实现管理提升、效率提高，因为，他们都服务于企业、组织、员工的绩效，这才是他们存在的价值。

为了让内控、合规有效，我们还需要通过动态与定期的评价，促进他们的优化与执行，既然要评价，就需要建立一个评价的管理标准，但管理标准不是评价标准：

评价与评估不同。评估是一种面向未来的预测或判断；评价是面向现实的客观认定，与已出现的损失有关，与设计的合规性及执行行为有关。内控评价的结果，不单是发现并评价出缺陷，还包括发现问题。

未采取控制措施，或制定了控制措施但未严格执行，或执行了不满足合规要求的控制措施，所发生的不可容忍的损失，称为问题，需要追溯责任。

制定并执行了控制措施但结果仍出现了损失，或未采取控制措施，或制定了控制措施但未严格执行，在没有发生不可容忍损失的情况下，称为内控缺陷，需要整改完善或改进。

每一个管理体系都需要评价，内控管理、合规管理、风险管理也不例外，但不要割裂他们的关系，管理需要成本，没必要做重复性工作。内控评价是合规评价不可缺少的构成，但不是全部，合规评价还需要对相关组织责任、治理机制、制度要求的落实情况进行评价。

按照以上逻辑，风险管理已经转化为工作事项，不需要进行评价，只需要通过对风险管控效果进行总结、分析、改进，确定风险是否可以关闭，总结其中的经验，绩效说明其效能。这就是面向全面风险管理整体，对内控、合规、风控进行分工的作用。

还有一点需要注意，之所以称为内控管理、合规管理、风险管理，有内控活动、合规活动、风险活动的成分，也有管理的存在。他们有两个共同体现：

其一是风险清单。风险清单要产生，但不是静态的，目的是为了化解、控制、关闭风险，所以风险清单有一个“产生、关闭为记录、再产生”的过程，否则，不能称之为管理。其二，如果把内控、合规、风控分别作为一个整体，都有两个流程：一个是系统本身的管理流程；另一个是执行流程，否则，不称为归口管理。

我们还应该认识到，构建企业内部控制与合规管理，是为了减少企业运营中各种风险发生的数量与概率。但不能不承认，无论我们在内控、合规管理中付出多大努力，我们面临的外部环境、内部环境是动态的，必须客观面对一些难以影响的风险要素，所以，强化日常的风险管理非常必要，是追求高绩效的保证措施。

风险管理体现在战略管理、战略实施及过程中的运营监控中，体现在每个组织、员工的工作中。无论是领导者、管理者，还是员工，每个人的工作活动可以分为五类：组织、直接承担、参与、监控、评价与监督，所以，每个人都有主动发现风险、影响风险、报告风险的义务。

风险管理是常态的、定期的、动态的，我们可以通过机制实现一致性管理风险，也可以与计划中的活动结合起来，目的是让管理者、决策者做出选择，聚焦关注点，投入必要资源，提高对风险的管控效能。

加强风险管理、化解与控制风险不是唯一目的，每个组织、员工都有积累风险管控经验，把成熟的、得到验证并证实成功的防控风险的经验，通过制度、流程固化下来，转化为企业的内部控制，实现成功经验的推广。

通过循环这一过程，不断压缩风险管理的空间，提高运营效率，让员工、团队、组织实现高绩效，让企业在不断达成绩效目标的情况下，实现高质量发展。

本文来源：综合互联网