企业是一个创造价值的运营体，在企业运营管理体系中，涉及战略制定与实施、运营秩序两大结构。

01.企业运营管理与内控、合规、风控的关系

战略制定与战略实施，是战略管理的一体两面。

战略制定从时间、空间维度，将企业的规划从较大的不确定性，转变为短期的、具有较大确定性的目标与任务，是一个周期化、重复化的活动过程，呈现为将战略规划解码为计划的循环，本身是一种运作秩序。需要认识到的是，较大的确定性，是相对性的体现，并不意味着消除了不确定性。

企业的运营，呈现为一个结构化、可重复的动态运作状态，本质是各责任机构、责任者按照绩效承诺，完成计划任务的过程。将计划转变为结果的战略实施过程 —— 即经营。

为了提高运营效率，实现合规经营，企业会充分考虑各管理要素，构建运营管理秩序，通过流程、制度实现显性化、透明化、规范化，通过监管保证秩序化运作的稳定。秩序的建立与监管，是一个持续的规划、建立、运作、监管、评价、优化的动态过程 —— 即管理体系。

企业中任何管理体系的顶层，遵循的是PDCA原则，支撑体系运转的是流程；保证流程得到遵从的是制度；支持流程、制度有效性的基础是知识、经验、技能、智慧、诚信与道德。

企业还是一个社会经济组织，其主旨在于创造经济价值、贡献社会价值，限制条件是遵纪守法、履行社会责任，并主动接受监管方、社会的监督。

构建运营管理秩序的目的有三：一是为了找到产出最大化的最优路径，即我经常讲的运筹布局；二是为了保证外部监管要求的全面落实，即合法合规；三是为了让最优路径保持稳定，会根据流程内的角色、分工、流程产出、流程层级等涉及到的各种管理要素，根据经验、要求等，判断可能的各种问题、风险因素，设置必要的、最少化控制措施 —— 即内部控制。

所以，内部控制的目标之一是保证合法合规，目标之二是控制流程不稳定风险；再通过制度保证流程执行的有效性。所以，涉及流程的管理制度、标准控制型制度等，本身具有内控功能，特别是后者，是典型的旨在强化自控制的措施。流程、制度的塑造过程，是企业对内部能力的投资体现，是企业的核心资产构成。

内部控制，是企业防范外部法律法规风险、政策监管风险的有力措施。合规风险通过组织与员工的动机、行为表现出来，让员工充分了解对应的合规要求与限制红线，辅以必要的控制、监督措施，是为控。

单纯的控，是一种压力，对员工来讲，却未必是一种良好的状态，建立良好的“引导”机制，让员工在“无压力但又有约束”的环境下工作 —— 即合规管理。

企业运营建立在秩序化运作基础上，会面对来自于市场环境、产业结构、竞争对手、客户需求变化的挑战；接受来自于监管部门的合规监督；承受因外部环境、内部计划变动对绩效目标的影响。为了达成绩效目标，企业会通过风险评估、沟通等，对重要风险事项采取必要措施，尽最大努力，化解、控制风险因素 —— 即风险管控。

从广义的风险管理维度，我们可以认识到什么？包括3个方面：

其一，内部控制是预防流程稳定风险、合规风险的解决方案；合规管理中所有的合规审查，均是内部控制；流程中的内部控制，是可重复的活动，具有很大程度的稳定性；具有约束、控制功能的制度，是验证流程、角色执行有效性的依据。

其二，应用于运营中的狭义风险管控，只有通过必要的活动、工作表现出来，包括设定的“规定活动项”、运营过程中的“动态活动项”。前者服务于企业目标，具有重复性特征；后者服务于战略实施体的绩效目标，风险评估结果，因环境、任务不同而不同，具有非重复性特征。

其三，内控、合规管理、风险管理，都因防范风险而产生，但面对的风险属性不同，表现的形式也有差异。三者有一个共同点，其有效性功能的发挥，都离不开“应用情景”，离开应用情景的内控、合规、风险管理是理论，也就失去了“有效性”的意义。

合规管理与内控、风险管理的差异点，在于风险承担主体更偏重于“人”，将人性“向私”引导到“向公”，是合规管理不可缺失的、解决人的“动机不可控性”的构成内容。

02.整体、结构、模式与原则，指的是什么

若干年前，笔者从事企业战略规划管理期间，该央企主要负责人（后升至副省部级）问过我一个问题：谈一谈对全局、局部、大局的认识。

这个问题，对我影响至今。可以说，没有这个领导顶住重重阻力，带领我们推动企业的系统化变革，这个企业，恐怕很难在几年内突破重大的发展瓶颈，也很难有现在的新企业布局。

一般人看来，这个问题就是官场语言，甚至很多人会不以为然，但事实上，企业级的任何重大决策，都离不开全局、局部、大局的分析与平衡。如果从系统工程管理的维度，可以认为是整体、结构、模式与原则的另一种表述。为什么我总讲“整体”呢？

随着科技的进步，企业面对的外部、内部环境的不确定性已经成为常态。面对如此复杂的问题，中大型企业不得不采用“整体、系统”的方法，去解构、去分析、去应对，去解决这些复杂问题。

譬如：内控、合规管理、风险管理这3个课题，我们先不要谈几位一体的做法，即使拿出三者中的任何一个，能不能找到可执行、可持续的有效运作方法呢？如果这个问题不能解决，无非就是集几项职能，按照一些文件的表述，写出一份手册，起个好听点儿的名字而已。

这个命题很好剖析：如果把三者各自看成一个整体，他们就没有一体化的可能，因为，整体之间就是综合。何况，内控与合规管理有深度的“重叠与交叉”，三个完全孤立的整体是不存在的；如果不把三者看成一个整体，那么他们就变成了整体下的结构或部件，属于找到关系以确定协同交界面的问题，而协同又必须体现在具体任务、或局部衔接之间的关系。

我们可以直截了当地说：所谓的几位一体，就是写出一本手册的概念，如果没有过高的追求，本身不是什么难事儿。其实，还是应该从应用的角度思考一个问题：为什么要几位一体，怎么运作，覆盖的范围有多大？为什么要思考这个问题呢？

从整体来讲，无论怎么表述，阐述的如何富有诱惑力，任何整体都是模糊的、不可预测的，也是不可知的。

我们拿一个企业风控领域的“几位一体”建设成果来讲，充其量是治理机制的归一，或者在部分活动中增加“一些管理要素”，而这种方法看似有道理，但很难有多大的覆盖范围，因为它是基于认识上的产出，不仅缺乏了结构化分工，而且还丢掉了大量的“具体应用情景”。那怎么认识整体呢？

整体是基于目标需求，对功能、范围的界定，从可实现的角度，对结构与关系、功能模式的划分，是一个由设想到解构、再组合到整体的过程。其中，结构呈现以“形态”，模式呈现以“功能”，关系呈现以“结构间的耦合与衔接”。那怎么理解“解构”呢？

解构建立在整体设想基础上。整体，不存在所谓的“几位”概念，这个整体，就是国资委提出的“全面风险管理体系”，与企业中所有组织、流程、员工之间，是紧密关联的关系，当然，也包括与法务、审计与监督，甚至还可以增加保密、安全、质量等等。

其中一些职能，相对体系来讲，或在某个“特定领域、特定活动”发挥作用，或在体系、结构中发挥作用，是体系中关联性较强的存在，这就是“几位一体”的来源，但代表不了整体。

为了实现基于“预期功能”可持续运作的整体产出，需要从内控、合规、风控结构进行分析，而不能从其它职能进行分解。其它职能，仅仅是因为追求整体实现的需要，参与到整体中的“个别活动”，是由不同职能在企业中的分工决定的，这个分工不可打破。分解到什么程度呢？

需要分别分解到能够被其它业务认识、运作的程度，然后才能找到规律进行组合、分割，这时候，表现出来的就是能够被大多员工接受的、不存在交叉的“类别结构”。如果从结构的具体内容分析，内控、合规、风险管理都赋予了新的内容，不一定能够与规范、指引形成“一对一”的关系，实质是“单项模块”。

根据分析的结果，从整体设计的角度，立足整体运作的期望，提出体系运作的基本原则，以及各结构运作的指导原则。是一个从上到下、从下到上反复认知、修缮的过程。

由于在解构中，分解到了可运作的活动，在具体设计时，就可以根据“应用情景”进行标准化规范。当这些规范向上汇集成类别、功能结构模块时，一个“可持续运作”的体系化整体就产生了。

结合体系运作的设想，构建体系治理机制，统一企业内部体系的沟通语言，确定体系及结构的原则，说明体系的内容构成、运作规则、维护方法、监管方法等，同时，兼顾单项体系的需要，通过体系管理手册反映出来 —— 即体系管理说明文件。

将体系中涉及的运作程序、作业说明、表单、模板、对应制度、运作证据、风险及压力程度等加以整理，即体系的程序手册。这里的风险压力程度，是为体系评价进行认定的“预设标准”之一。

03. 构建支持体系的制度与方法，让体系运转

讨论这一问题，需要划分为两个部分：一是体系程序手册做到什么程度；二是制度的设计怎么规划。严格讲，体系手册不属于制度，但手册的可理解、可参考、可借鉴、可评价的价值，应远优于制度。

企业中任何体系的建立，都是为了应用。不被应用的体系，不仅发挥不了作用，而且还会构成成本，对运营秩序造成影响，降低企业的运营效率。要满足应用要求，手册的设计，必须做到可理解、可落地、可操作的规范化程度，活动的描述必须标准。设计者应拥有两个条件：

一是，设计者应拥有丰富的实践体会，对具体应用情景的“深度认知”能力，这里的认知，不是“常识化认知”，更不是模糊化表述，而是实践磨练的隐性知识变现。因为，内控是管理理念、方法的体现，建内控的前提，需要快速理解“具体情景”的管理。

譬如，我们在内控手册中经常见到的“不科学、不合理、不到位”，或者“深化论证、提高可行性、严格审查”等等，属于连常识都不具备的模糊化表述，这种结果，决定了手册的结局：无人观看。那什么是常识呢？

譬如：内控指引2号——发展战略第三条（一）的风险描述：缺乏明确的发展战略或战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇或动力。这类描述，就属于适用于所有企业的普适性常识。

置身于企业，应该结合实际，转化为现实的“战略评估活动、战略决策选择、计划管理”等方面的具体描述，而这种描述，必须有具体的、现实的工作活动相对应，能够依靠隐性知识，感知并描述其中潜藏的风险可能。

二是，需要掌握必要的理论和方法，用理论去指导实践，是设计者应该具备并掌握的显性知识。

因为，内控建设，是对制度、或原有流程控制活动的规范化过程，是提供给控制责任角色，按照职能、管理要求，执行的具体控制措施设计。其中，即包括对“习惯性、经验性、非稳定性”日常控制活动的规范，也可能包括对“无效控制”的新控制标准设计，甚至，还会就下一步应该补充、完善的工作提出计划。衡量标准是，换个满足岗位任职资格要求的新人，基本也能做。

那对应的制度怎么设计呢？

无论冠以多么好听的名称，作为一个整体体系的构建，都有一个制度规划的过程，必须符合企业“制度管理”的管理要求与规范。企业中的各个体系，彼此之间都存在或多或少的关联或嵌套，但局限于运作。

上一篇文章，我把制度管理中的4类制度进行了定义。定义，是为了适应“制度建设”的规划要求，这种结果就有了现实的应用意义。

譬如：结合整体，企业可以建立基于整体的“基本制度”，比如：企业全面风险管理基本制度，与体系构建的目的、范围、基本原则、功能结构、组织与责任、企业级决策治理机制、主要工作构成、体系评价等深度关联，并且，给向下建立功能结构的管理制度留下了空间，是对各结构运作与管理秩序的约束、指导与统领。

基于全面风险管理整体的功能机构，划分为内控、合规与风险管控三个非交叉的部分。在制度拟制中，必然会涉及到制度间的交叉与衔接。特别是内控管理制度与合规管理制度，不必追求“单维”下的“专业化说法”，比如：合规管理办法中提到的“合规审查”、“合规具体制度”等等，因为这些概念已经在管理手册中进行过说明。制度中的说法，只能是“唯一”解，不能出现彼此间的冲突。

至于合规管理、内部控制、风险管理评价制度，属于具体作业制度，三者之间有相互“借用”的共享内容，譬如，合规管理评价，离不开对制度、内控的合法合规评价，离不开制度有效性评价，离不开对风险清单是否“有效关闭”的评价，一一在制度中说明即可。

至于评价标准，是评价作业制度中的构成内容，比如：内控评价标准，由两部分构成：一是确认的“缺陷”情况，是其一；二是对发现缺陷进行的延伸评价，这里的评价对应的是“现实情况”，即内控设计中预设的风险压力程度，是其二。

比如，已经造成的“应收款大比例增长”现实，这个增长值是确定的、可评价的，而不是所谓的“风险臆测”；或者缺陷是否构成被外部监督认定为发现的问题，即存在违规可能；或者缺陷的存在，有不合规行为，虽没有造成损失，但造成被控对象长期处于“失控”状态，且与资产安全、安全生产、合规要求有直接关系等等，都需要预先设置。合规管理具有同样的道理，而风险管理则与绩效紧密挂钩。

为什么我很反对那种看着“合理”，但毫无道理的“风险臆测”型通用评价标准？评价永远对应的是“现实”，而不是“判断”，判断只能基于评估，不能拿判断的结果，做为下达结论的依据。

需要说明的是：保证让体系运转的是“工具”，作为主管部门，只完成手册的编撰，却不提供给执行机构、执行者必要工具的做法，谈不上有效性。因为，体系设计本身就存在严重缺陷。这些工具反映在哪？反映于管理类制度的附件中，反映于体系程序手册中。

04.结语：做实与情景结合的内控、合规与风控

立足当下，回顾过往。国资委推动全面风险管理已近18个春秋，内控管理也走完了12个年度，合规管理也快速经历了6个年份。这些工作，在企业中已经成为高级管理层例行审批决策的构成，也成为了每次巡视、巡查，必然索取的线索资料。

为什么还有不少企业在接到年度报送通知的时候，陷入被动的“赶报告”状态呢？归根接地，体系的运维与治理机制仍处于低效状态，需要认真审视体系设计的缺陷或问题。

不要认为内控、合规、风控建与不建，企业都在运作，事实上，体系手册的有效性，一方面体现在短期主管部门的成就感；另一方面也是支撑体系长期运作、体系维护的依据。

不要认为风险是虚无缥缈的，虚幻的风险认识，是因为仍处于“表面化理解”的结果。事实上，内控、合规、风险管理，是企业运营管理中不可缺失的“重要措施”，做得好，他们就是促进管理提升、实现管理规范化、保证企业绩效达成的有力措施。

不要认为内控、合规、风险管理就是写本手册，那是“打酱油”的做法，事实上，越是模糊的工作，越需要具体化，越具有价值，因为，无论是问题，还是风险，都有一个共同特点：认识的越早、行动的越快，取得的成效越明显，投入的成本越低，企业的运营效率就越高。

我们不仅致力于内控、合规与风险管理，还帮助企业用管理的思维，解决各种问题的整改，抛开人为的“冒险”动机，可以让问题不再复发。因为，问题不再复发，既是内部监督的责任，也是风险管理的构成。