在企业内控、合规与风险管理的推进过程中，很多企业的主管人员都曾感受过困惑、无奈与迷茫，以及对其应有价值的怀疑，但也没缺失过在推进这些工作中的努力、渴望与期待┈┈。因为，企业中只要是一个尚有追求的员工，都有为企业发展做贡献、展现并实现自身价值的良好愿望。

01.本文的初衷

曾有过不少与企业沟通、到企业培训的机会，他们或希望从合规管理，或希望从内控管理，或希望从风险管理维度进行交流，我都跟他们讲：单维交流可以，但三者之间有很多交叉、共通、单独或互补的关系，与企业存量工作也有紧密相关的特性与功能，所以，最好还是从多维进行分析、理解，从而找出关系、界面及应用的方法。其实，这种做法，已经给自己过多增加了交流的难度。为什么还要这样做呢？

因为，我经历了企业从规划、启动这些工作到现在的全程，能够深切地理解主管人员的困惑与痛楚。选择这样做，完全出自于责任，我始终觉得，不被应用的内控、合规、风险管理，本质就是画饼充饥。

那这些工作究竟有没有价值？可以直截了当地告诉您：不仅有，而且在企业经营管理中不可缺失。推动这些工作“落地”难不难？也可以清晰地告诉您：有难度，但并没有那么复杂，更没有那么多“花里胡哨”的说法，难的是要放开被传统观点、浮于内控、合规、风险管理表面认识的束缚。

内控、合规、风险管理的应用与实践，需要的不是把方法复杂化的聪明人，而是明白人。只有真正理解了企业的战略管理、经营与管理逻辑，理解了企业的生产方式，就能找到“应用、实践”的方法。

基于这种考虑，本文结合笔者多年的思考、工作、应用与真实实践，试图从“落地、应用、价值”的角度揭开这层薄纱。但请做好准备，文章会很长、内容也可能很发散，时间也不允许我刻意追求文笔的流畅。本文也许能让您找到一点灵感，也许会颠覆对一些“被大众所认同”说法的认识。

02.摒弃一些不利于应用、实践的观点

我随机整理出以下10个有待于商榷的认识：

（1）不要认为内控、合规与风险管理是一项新工作，恰恰相反，这些工作、思维，在每个企业都没有缺失过。企业存续时间越长，拥有的底蕴越丰厚，要通过内控、合规与风控，用好这些底蕴，促进他们更规范、机制更透明。

（2）不要因为企业出现了困境与问题，就轻易怀疑内控、合规与风险管理的作用。很多问题是管理基础、历史环境遗留、积累下来的结果，只是在当下环境下被揭开了。

问题的发生，恰恰说明开展内控、合规与风险管理工作的必要性。因为，无论是问题、成本、质量、安全、风险的解决，感知或发现越早，越靠近源头和前端，付出的成本越小、工作越简单、效果越好。针对问题进行复盘，不让问题重复发生，既是整改，也是风控。

（3）不要认为狭义的内控（流程与内控）、合规（三张清单）、风险管理能够解决一切，缺乏必要管控能力基础上的合规与风险管理，只能是漏洞百出、盛不满水的破水盆。也不要把风控神秘化，搞得没有“风险”二字，都不算风险管理。

（4）不要试图通过主管部门之力包打一切，也不要认为拥有了一本转化来的“常识”手册、完成一份评价报告、开展几次培训，就意味着内控、合规与风险管理工作的完成。

只要没有拉动其它工作的改善，只要没被其它部门接受并应用，都说明不了什么。管理对应的是责任，主管部门也有自身的工作重点和对应的责任，请不要把本不该属于自己的风险管控责任，出于善意而强加于自身。

（5）管理是分层的，风险也是分层的，您可能已经规划出一套分类、分层、分级的风险框架，但请不要作为部署工作的依据，他们仅仅是推动工作、启发其他部门理解的无奈措施。企业中任何风险本无层级，对应的永远是责任。

（6）不要认为通过管理要求，每个部门都必须进行风险评估并报送风险信息，很多风险都可以通过宏观的内控能力解决；也不要把识别了几百条风险作为成绩，恰恰相反的是，他们反映的不是成绩，很可能是风控体系的混乱。

（7）不要偏听偏信，所有基于风险管理、内部控制、合规管理三项业务整体层面上的论述都是观点，因为，三者都是概念，建立在概念基础上的方法论，员工不可理解，就不可能落地，你大可认为是想象了一个“美好的故事”。

（8）不要简单地认为内控就是不相容岗位分离的体现，这仅仅是其中因“风险认识”、“管控预期”采取的措施之一，内控有多种形式与方法。

（9）无论听起来多么好的方法论，只要前提没有界定三者的分工，只要不能呈现出期望达到、被员工认为可行、可理解的视觉化最终整体，都是“局部认知”，而不是真正的体系。

因为，企业中所有推动工作的部署，都是自上到下的“以终为始”。终，就是要给出一个对全貌的刻画；始，起于每件事儿都具备能力，然后才能谈处理好几件事儿。也就是说，要站在未来看今天的行动，给人以方向和期待，而不是妄想一口吃成个胖子。就好比一个人，一件事儿都还没做好，却偏要嚷嚷着把3件事儿一起做，可行吗？

（10）内控、合规、风控主管机构，不应总把“第二道防线”作为护身符，把自己定位为“营造环境、传播理念与方法”的当事者，而应找到贯穿于经营管理中的环节，打造可持续的风控机制，让风控穿插到经营管理过程中。因为，主管部门承担着规划、组织实施、评价职责。

03.三者本无意，全在战略与经营管理中

如果单从内控、合规、风险管理的维度，他们是一种职能、一种正确的不容质疑的理念，也有工作的意味。不用过多宣传，都知道开展这些工作的意义和必要性。那如何从应用的角度去理解他们呢？

我们大可不必重复论述他们的“防风险”作用，因为，风险本身也是一个模糊的概念，只要你有追求，只要你去做事儿，都意味着有一种期望，也意味着不能达成预期的风险。所以，内控、合规与风险管理，没有最好，只有更好。

既然我们经常讲“管理服务于经营”，如果我们把内控、合规与风险管理，都理解成为“防风险”而实施的管理，那就围绕经营管理这条主线，去理解企业的营运逻辑。只要有利于提高企业运营效率、质量，实现高绩效，只要有利于各部门、员工达成绩效目标，只要针对的是“不确定性、可能性”，就是可行的风控好方法。

事实上，当年我从二级单位战略规划部门调入某集团风控部门，同期调任的部门主要管理者，也是曾经负责过科研生产、产业项目、财务管理的某二级单位总会计师，该集团领导明确，我们二人的主要职责及工作重点就是风控。为什么选择“拥有并能够理解企业经营管理经历”的人呢？就是要突破对全面风险管理的狭隘理解，突破专业人员固有的认识局限。

事实上，加上集团主管领导的支持，我们是一个实质性推动风控工作的团队，极力把风控落实到制度，落实到价值链中。如果没有成效，该集团也不会在后期把制度管理、流程管理划入一个风控机构，也就不会出现把800多份制度，优化成300多份的结果。做什么工作，不在于量的多少，而在于实效，做再多无价值的工作，都没有意义。

我也曾轻易地影响领导审议取向，让两个投资项目失去提交董事会决策的机会，让投资主体主动选择放弃，让另一个项目加严过程审查。别以为很正常，否决一个项目，是很罕见的事情。

回顾一下，也许当时对其中一个投资项目的否决，至少规避了再增加3个领导干部被请去喝茶的可能。不要讲情操、品格与不可能，风险管理的悲哀在于，有效了反而没有成绩，发生了就暴露出无效。

做风控，首先要保持一个“大公”之心，敢于“承责”之态，不能满足于在“做没做风险评估”的门槛儿上徘徊。

所以，在探讨、寻找可行的内控、合规与风险管理实施方法之前，我们有必要理顺企业的经营管理机理。

从企业来讲，其实就有两大体系，一套是战略管理体系，一套是经营管理体系。怎么理解战略管理呢？

在不少文章中，我提到过自己有长达几年的战略管理与企业变革经历，但为什么很少写一些战略方面的认识呢？因为他们已经被很多粗浅的认识混淆视听了，以至于很多人提到战略，很快会给出“太虚”的结论。

其实，企业中的战略管理一点都不虚，虚的是人们的认识，被经常看到的有形组织架构、计划、绩效考核工作掩盖了，以至于很多人把战略管理视同为制定一份“五年规划”，或者按照领导要求开展一些“无法确定责任部门的工作”而已。

战略管理包括战略制定、战略解码、战略执行、绩效评价、战略评估等环节，实质是从时空角度，由中长期向短期可预测、可落地、可执行、可评价的转化过程。是一个以目标为导向，将战略举措转化为关键任务、细分为具体的、与责任关联的重要工作年度计划的过程；是一个依据年度计划，通过适配资源，由组织、员工承担并达成绩效的执行过程；是一个对现实绩效进行评价，衡量企业规划目标实现程度、员工贡献大小，并分析差距的循环过程。

我们可以归纳出，截止到企业完成年度工作计划、年度预算计划，是一个基于一年期的时间，建立在期望增长、可预期的唯心、唯物相结合的规划过程。而计划的执行，建立在组织能力、流程能力为保障，绩效管理为牵引的基础上。

所以，经营就是把目标变成结果，把计划变成绩效的过程；管理通过计划、指挥、协调、组织、控制等活动反映出来，目的是为了服务经营，建立在组织能力保障的基础上。当然，战略管理成熟度高的企业，也不乏对产品组合、投资优先度的分析与排序，否则，不具备战略选择条件。

组织能力包括组织架构、组织内部职位结构、作业流程、营运管理、效能评估与评价，以及为营运管理所建立的制度、表单、模板、工具、组织与员工绩效管理等内容。那么，如何看待经营管理与战略呢？

其实很简单，对企业来讲，追求的是长期高质量发展，建立在三个环节平衡的基础上：

一是短期重在经营，即可预期的规划，是否具有追求高绩效的愿望，并且有可实现的可能，但必须付出发自于身心的努力。所以，风险也是被经营追求创造出来的。

二是中期取决于能力，能力的形成，依靠的是投资与服务经营的管理思想、方法与行动结果。包括产品组合、战略投资组合、流程组合、客户组合、组织结构等等。

三是长期贵在格局，体现在企业的核心竞争力、行业地位、文化环境、成长能力等。

所以，保持企业正常经营管理可以概述为三个环节、六大要素：战略管理、组织能力、绩效管理，包括机会、增长、投入、效率、回报、风险六大要素。

联系企业的经营管理，又可以划分为两个层次：一是决策层；二是运营层。提高决策有效的措施，只能从两个维度考虑：一是业务管理有效性；二是业务决策的程序合规、决策本身的正确性。运营层从三个维度考虑：一是计划可预期的准确性、增长性追求；二是组织能力的承载力及管理有效性；三是绩效管理的有效性。

如果联系我们之前的内控、合规与风险管理的二层能力结构，可以得出结论：风险管控适用于短期的经营；内部控制适用于组织能力建设，也包括公司治理能力；合规管理既存在于组织能力，又存在于短期经营。

04.建立制度、流程为载体的内控、合规能力

如果我们回顾全面风险管理中对内部控制的定义：本指引所称内部控制系统，指围绕风险管理策略目标，针对战略、规划等各项业务管理及其重要流程，通过执行风险管理流程，制定并执行的制度、程序。对比分析，要比内控规范的定义更清晰。如何理解呢？

不难看出，这个定义把风险管理与内部控制交叉在了一起，原因是风险管理有三重含义，为了更好理解和区分，我们可以简化为：内部控制是指企业为防范经营风险，实现经营目标所建立的制度、流程与程序。程序可以理解为流程中角色控制活动的作业步骤和内容，所以，内部控制是组织能力建设的重要构成，具体内容包括：建制度、理流程、建立具体化、规范化、可操作的控制活动。

企业建立制度的目标，并不一定完全是为了控制，而控制风险的主要内控活动表现为三种方法：管控标准、不相容职权下的控制、集体决策。这就是企业在制度、流程下浓缩出来的狭义“内控建设工作”，当然，每一种内控的形式与方法，都有其自身建设的指导原则。

其中，管控标准，反映在制度中，反映在每项业务管理内控手册的文字说明中，与组织制衡关系，共同构成了该业务的内控环境；不相容职权下的控制，反映为制度中的节点，反映在流程中，指的是控制活动的作业说明，体现为具体化；集体决策具有控制功能，但有的不构成控制节点，构成控制节点的只有“常设组织”，是由具体场景决定的建设内容。

那么，流程中由管理关系决定的具有控制功能的活动，是否属于内控建设范围呢？不属于，内控只针对“局部目标”发挥作用。这些活动，属于由责任关系决定的流程中不可缺少的活动，对业务的准确性、全面性、合规性负责，其有效性由制度、流程、审计、监察保证。企业进行的内控建设，与外部控制期望的“内控”，有很大不同。那么决策层如何构建内控呢？

决策层的内控，只能通过公司治理建设完成。其中的“三重一大事项”清单，可以根据清单建立审批流程，而这些流程是异步的、可以被各项业务管理调用，不需要在每个业务管理程序中重复建设。其次，必须通过制度建立规则，这里的规则，指的是制度中的一些“约束高层领导、决策机构的权限条款”。

不要认为公司治理就是几个组织、几个议事规则，真正的公司治理，非常细致。其中，每个组织、决策会议，都有非常规范的原则、严密的“前、中、后”规定，只是很多公司没有做好而已。正是决策层的细致规定，才能保证程序、决策的有效性，才能防范事关企业生存的重大战略性风险，也构成了合规管理的重点。

不要单纯地把决策层的合规管理，认为是对领导的约束，恰恰相反，是对领导层的保护。曾亲见一个公司，董事会更像一个法律责任主体，而不具备真正的决策能力。那么，怎么理解合规管理呢？

单从定义看，包括了外部法规、政策，也包括内部制度、承诺与道德。那么违反外规的风险诱因有哪些？一是不了解外规的存在；二是不掌握外规的合规要求与违规红线。怎么解决呢？

一是搜集并筛选外部规则，有一个风险评估并做出适用性选择的过程，选择接受的外规，怎么提高遵从性？有三种方式：一是要么直接导入，转变成企业直接执行的内部制度；二是屏蔽、规避违规红线，满足合规要求，通过模板、表单缩小执行空间，不给违规的机会，视为更严厉的规则；三是结合企业内部制度建设，把更严格的合规要求，外部违规红线载入内部顶层制度。是外部规则与内部制度之间的衔接与处理关系。

这些措施，是提高合规自控力的反映，突出了“规”的主线，全部反映为“用内部控制取代外部控制”的理念，是企业组织能力建设的表现。合规管理，绝不是从合规管理角度开展的变相普法教育，是合规管理的工作构成，但不是企业合规管理的“枢机”。

二是用层级化的内部制度，不断压缩违规可能的空间，采取的措施是不断过程化，用确定性的规则管理不确定性，视风险程度，可以延伸到具体的合规制度，即企业中常见的标准型控制制度。其中，制度层级细化的必要性，仍然建立在违规风险评估基础上。

所以，规则层面的违规风险评估，是一个重复的过程，合规风险清单因评估而产生，是其一；其二，根据日常监管而产生，但最终都要关闭，转化为记录，风险关闭的标志，仍然是规则，是一个因新规则产生而循环的过程。

三是采取防范违法违规风险、违反内部管理要求风险的内控措施。违法违规风险的控制，体现在法务审核部门，而企业内部管理要求的合规审查，则体现在提出管理要求的部门。所以，合规审查是内部控制的一个构成部分。那么，如何处理合规管理办法中明确的、由合规管理部门承担的合规审查职责呢？

合规管理办法中的一些提法，建立在合规管理与法务部门合署的假设条件上，现实中，不少企业的合规管理职能不一定设立在法务机构。很简单，在企业自建的合规管理办法中，把对应的职责分解掉，分解到责任职能的传统渠道中，有些职能并非合规部门所能胜任。如何处理合规官牵头处理法律纠纷案件呢？根据实际情况，也落实到企业的合规管理办法中。但自建的合规管理制度，绝不是国资委办法的简单移植。

那么，合规管理委员会怎么建？不要认为企业的委员会，全部是董事会下设的那种对董事会负责的委员会，这些委员会没有处理重大事项的权限。也很简单，组建主管领导负责的、有关部门领导参加的合规管理工作委员会或管理组，作为日常合规管理工作的协调、重大事项集体决策组织，是经营层的职责。

至于违规举报与调查，审计、纪检等监督机构，不用改变这些部门的职责，合规管理部门与监督机构的协同关系，指的是信息传递的接口规范化，设计一个达成共识的“违规举报信息表单”，理顺监督部门违规案件处理结果，向合规管理部门流转的渠道即可，是有效性评价不可缺少的需要。监督部门的职责，他们都知道。

综上，为了提高员工的可理解性，也为了提高各项工作的针对性，可以考虑将合规分类为“合法、合制、守约、合德”。合法，对应外规风险评估、法务的法律符合性、社会责任内控，包括制度、合同、重大决策事项的法律符合性审查等；合制，对应的是企业内部执行制度的要求，提倡的是制度文化；守约，对应的是合同、订单、社会承诺的履约等，他们都是一种面向对象的承诺；合德，对应的是领导干部、员工作为社会公民，需要遵守社会公德，作为员工，需要遵从的企业价值观、职业道德与廉洁从业，统称为“合规”，本质就是分工与整合的概念。

至于合规管理中其它的要求，显性的都没有什么困难，不再赘述。

05.将风控与合规贯穿在战略与经营管理中

前面我们讲过，为清晰风险管理的认识，可以更名为风险管控，是与战略、经营、管理监管相伴的“防控风险”措施。包括几个方面：

一是风控主管部门要找到自己的责任，构建公司级风控机制。反映在规划、计划中；反映在月度或季度的财务分析、经营分析中；反映在与企业生存紧密相关的重大决策事项中；反映在年度经营复盘中；反映在重大违规问题的分析、整改与验收中，问题在于，要找到具体的“确定性”表达方法，找到确定的活动。

二是各部门要构建职责范围内的风控机制，体现在计划执行、质量保证、成本控制、客户关系、新技术与新品替代、采购供应、外部相关业务中。在这些领域，风控主管部门的作用是参与，共同讨论确定适用的风险信息报送表单，把工作简单化、实用化，转变成员工达成绩效、获取资源的保证措施。

三是要结合企业的战略投资项目，建立是否进行风险管控的判别标准，在重大阶段建立内控节点，明确专题风险评估的确定性要素。向后看问题、找差距，向前判风险，一般体现在过程“质量”控制。这一过程，是一个风险管理的循环过程，即业务主管部门本身有一个“共性风险”的识别过程，风险评估的要求是风险解决方案，也可以说是一个风险管控的规划，通过制度反映出来，而执行组织按制度要求进行的落实活动，构成了“专题风险评估”。

四是在战略决策层，应该结合竞争战略，建立识别战略机会、构建战略控制点、核心竞争力的机制。这些机制，从表象上不会体现为“风控”机制，但具体内容上，充分反映了发展与风险的平衡与战略选择思维。有时候，不用风险管理语言表述的机制，往往有更大的作用，但属于战略管理部门“风险思维”的运用，风控主管部门很难渗入。

需要说明的是，风险管控既然融入到企业的经营与管理，公司的本级职能管理部门，不再从管理能力角度进行风险评估，属于内部控制范畴。职能部门风险评估，只需沿着绩效脉络，针对承担的具体任务、纵向的业务序列进行评估，形成与下属单位风险评估的耦合，不需刻意而为。

其次，要沿着企业计划层级设定风险管控的信息报送标准，只有影响公司一级计划执行的风险，才称为公司级风险，才具备抄报风险管理主管部门的条件。企业的业务管理属于管理，同样，风险管理也属于一项管理职能，只有找到了主线，才具备构建公司级风险的判别标准。对企业来讲，风险主管部门的责任，并不是各种风险信息都需要接收。

风险管理的应用与实践，写了很多，但并不意味着全部落实，也不意味着没有其它的路径，因企业实际需