我们在对风险管理工作的进行定位时，有两个常见的方式：

监督式or赋能式

我们曾经结合三道防线的模型对这两种方式进行过剖析，认为处在二道防线的风控职能的主要职责是赋能，而不是监督。

最近看到国资委2024年国有资产综合监督专项课题项目绩效目标设置了两个：

1、通过对中央企业开展综合监督检查，发现并揭示有关中央企业经营管理中存在的重大风险和突出问题，指导并督促企业及时堵塞政策漏洞，补齐经营管理短板；加强监督信息共享，强化综合监督工作成果运用，持续推动完善国资监管工作。

2、通过对中央企业内部监督体系有效性开展测评，发现并揭示有关中央企业内控体系重大缺陷及内部监督缺位不到位问题，指导督促中央企业持续加强内部监督体系建设，激发企业内生动力，切实提升中央企业内部监督体系有效性。

从2019年国资委组建综合监督局并发布《关于加强中央企业内部控制体系建设与监督工作的实施意见》（简称101号文）起，以“强内控、防风险、促合规”为管控目标，将之前企业改革局牵头的中央企业风险管理工作、考评局牵头的中央企业内部控制工作以及政策法规局牵头的中央企业合规管理工作，从监督的角度进行了整合，目的是结束长达十年的各体系各自为政的纷争，开启了风控融合“以督促建”的新阶段，落脚点放在了内部控制体系的建设上。

以督促建的方法没问题，但企业不能以督代建、只督不建，因为从督的角度出发着力点只能放在政策有没有、执行到不到位等这些内部控制的内容，如果企业认为做到了督的内容的合规就没问题了，那就把最精髓的东西扔掉了。

督的内容基本是属于组织边界内部的工作，因为这些内容都是确定性或相对确定性的工作，不能代替企业自身急迫需要加强的把控风险和不确定性的工作，就是交互边界和组织外部的部分，所以就会出现所有的上级政策、要求都做到了，最后还是爆发了各自风险事件，企业遍布风险隐患。

企业真正想做好风险管理，仅仅通过满足上级监督要求做到合规是远远不足够的！

我曾经说过，真正的风险管理是没有办法审计的，因为风险管理的工作对象是不确定性，而审计监督的工作对象是确定性，确定性是没有办法评价不确定性的，它俩不在一个层面上，所以最后就只能落在一些程序性检查上。

有人说监督放在内部控制上没有问题，内部控制中包含了风险评估、风险点/控制点的设置等等。

确实，监督也许只能放在内部控制上，因为风险管理这个抓手运行起来比较困难，或者操作不当如果很容易沦为形式。

但是通过内部控制来覆盖的风险问题都是确定性的问题，或者是不确定性较低的问题。

虽然都叫风险，但内涵大不同。

大家可能还记得我分享的曾经给外国专家画过一个用东方文化解释风险和机会的辩证关系图。今天我再分享一个我珍藏的图，把它变形一下更好的理解确定性和不确定性。

我们说的内部控制解决的问题，基本属于黑色区域的内容，内部控制中的风险管理，基本属于“确定性中的不确定性”这个部分，也可以叫“相对不确定性”，它虽然是白色，也属于不确定性的大范畴，但是和真正的不确定性那部分内容还是不同的。

而风险管理内容是白色区域的部分，这里面要重点强调的是“不确定性中的确定性”，也可以叫“相对确定性”，这是打造一个企业最核心的竞争力部分。

所谓的在不确定性中寻找确定性，就是指这部分！

从左到右依次是从内部控制过渡到风险管理的过程。

从监督出发的风险管理只能从左边着手，对于右边真正的风险管理是没有办法用监督强加上去的，而这部分才是企业风险管理的精髓！