01.风险管理与内控、合规的关系

在我看来，风险管理可以认为是一种理念、一项职能，也可以是一项以“防范与化解风险”为重心的工作方法，用这种“一词多意”的方式，在企业部署风险管理工作，结果可想而知。为什么先讨论合规与内控呢？

企业中的问题，首先是怎么看，然后是怎么做。从全面风险管理体系的维度分析，既然以解决“风险问题”为中心，自然离不了两个目标组成：一是抗风险能力建设；二是企业经营中的风险防范与化解。

企业中管理的重心在于“建制度、理流程”。在中篇，我就内控进行了定义，看似包括了制度、流程及相关措施，实质体现在制度、流程中的“管控标准、控制节点与控制活动、集体决策”。因为，内控的建设以制度与流程相对完善为条件，所以，我总讲，内控、合规管理建设，可以“促进”管理提升。

抛开当下显性的、狭义的“合规、内控”做法，建制度、理流程的过程，包括周而复始的“识机理、做运筹、评风险、建内控”的过程。其中，运筹发挥的是统筹所有资源的利用与平衡作用，以实现产出；内控与合规发挥的是保证运筹有效性的作用，最终以“制度、流程”的形式呈现出来。

内控、合规建设中，涉及到的制度建设与流程梳理，可以视为一个“补课”过程，至于其中的“风险内控矩阵、合规风险清单”这些说法，并非内控、合规建设的核心。风险内控矩阵，是流程作业说明的一种变形；合规风险清单，是合规要求与违规红线内容、抗风险能力的不确定性、风险解决方案计划的总成，最终会通过“合规控制标准与责任”来落实、衡量，风险才能关闭。

在未正式开展内控、合规建设之前，这些过程并非没有，只不过是“隐性、潜在”的思维存在。那么，这样做的目的是什么呢？

“预防、控制风险，风险管理与业务融合”这类说法，对工作没有任何指导意义。这样做的目的，是建立一套支撑企业运营的稳定、一致的“执行标准”。其意义在于，希望企业在执行标准的基础上，实现期望产出、达成绩效，压缩经营风险的空间。

所以，通过制度管理、流程管理、内控建设、合规建设形成的制度、流程、岗位合规职责、流程角色合规活动等产出，都属于组织能力的构成，从风险管理的角度，即现实的、确定的“抗风险能力”。唯有如此，企业才能在“捕获机会、挑战风险、承担风险”中，获得发展。

但是，企业的经营过程是动态的，不仅与行业、市场环境、竞争对手、内部能力、资源配置等有关，还与政治、军事、自然、政策的变动有关。

那么，如何解决企业“经营过程中的不确定”问题呢？这就是企业开展“风险管理”的意义所在，也就是我常讲的，风险管理是针对“制度、流程”之外风险的管控。

为了区分内控、合规与风险管理的差异，如果留心的话，在上篇、中篇中，我很少用“风险管理”的说法，更多使用的是“风险评估”。因为，内控是风险的解决方案、合规是一个规则遵从的结果性表述。

如果从“风险”的维度，内控管理、合规管理只有在“未发生风险，或发生了风险、完成问题整改且保证复发概率极低”的情况下，才代表一个完整的“风险管理过程”。体系评价，不是PDCA的“闭环”所在。所以，在内控、合规建设中，现有的抗风险能力是因，风险评估是方法，建设产出是果。

02.经营要素及企业级的4个风险管理点

如果说与企业正常发展的要素包括哪些？有很多说法，因为，从不同的维度看，会有不同视角的结论。我概括为6大要素：战略、创新、市场、管理、资本、风险。当然，这种结论也会有争议，原因是企业所处行业、生产方式、规模不同，关注要素的重点并不一样。

讨论问题，应建立在假设基础上，否则都是“道理”。三篇小作讨论的中心是“风险”，本文的假设是：企业通过内控、合规建设，形成了一套支持企业稳健运营的制度、流程。这样，我们就可以把“风险管理”的应用，着力于企业的经营管理过程。怎么理解经营管理呢？

经营管理也是一个“各抒己见”的词汇。有人统称“经营管理”，泛指企业中的所有活动，有人把经营理解为“对外”的活动，把管理理解为“对内”的、旨在为战略执行提供支持、保障的活动。为了更好理解，我们这样认识：

战略是基于不同时空下的规划结果，由于经营一般反映在一个年度，所以，这里的战略，指的是“企业级三年滚动规划”：以三年为一个滚动期，其中第一年的规划，即企业级的年度综合计划。

不同生产方式的企业，年度计划的结构、内容是不一样的，以“科技产品”为代表的“规模化定制型生产方式”企业的计划最为复杂，以“单一产品”为代表的流程型生产方式企业的计划最为简单，我们以前者为例说明。

年度综合计划根据企业五年规划、领导期望、上年度任务承继与差距改善、外部环境分析、本年度经营预测而形成。内容上包括：企业级上年度问题、本年度绩效目标、关键活动及里程碑节点、各职能部门承担的年度主要工作。有一个问题需要注意，预测，意味着确定或不确定，是第1个风险管理点。

同时，企业经营计划部门会以产品生产、产品创新、预先研究、技术开发、质量保证为重点，在年度综合计划关键活动及里程碑节点的基础上，进一步分解并发布年度经营计划。同样，其中的关键节点，也意味着确定或不确定，是经营计划部门的风险监管点，是第2个风险管理点。两者共同构成了企业级的一级计划，是企业资源分配、绩效评价的依据。

在大型的科技产品型企业，年度经营计划最少为3级，甚至到5级。那怎么理解经营呢？

把客户价值、企业战略期望，通过计划传递并转变成结果的过程，即经营。所以，经营是横、纵向动态的活动构成，包括：决策层经营决策、价值链、供应链运营等活动。我们可以将经营概述为：选择并做正确的事儿。其中，经营决策是企业级的第3个风险管理点，所以，企业经营要“得当”。那怎么理解“管理”呢？

规划并选择了正确的事儿，就要通过“正确地做事儿”，使计划转变为结果，依靠的是流程、制度，以及实现过程中管理部门的支持与服务。所以，管理的核心是“建制度、理流程”，本质是建立“把事儿做好”的支撑能力。管理服务经营，并非很多人理解的“管理不重要”，恰恰相反，管理能力与水平，是让企业保持并发展核心竞争力的手段之一。

怎么看待管理中反映出来的“指挥、协调、组织、控制”等活动呢？不同企业反映的频度、程度并不一样，最直接的原因是，与企业制度、流程为代表的“执行标准”有关。

存在大量协调活动的企业，原因是执行标准不完善，造成企业运营不稳定、效率低下、成本上升、风险频出等问题。正如丰田、华为这些世界一流企业，他们视不必要的“协调会议”为成本，提倡职能部门发挥“资源管理、支持与服务”而不是管控功能。因为，他们都拥有非常完善的流程、制度、作业执行标准，但是，不会缺少财务、运营部门的定期“财务、经营分析”，所以，管理要“得法”。

需要说明的是，财务、经营分析是对上期的分析，旨在找出影响经营计划、财务预算计划执行的问题。同时，还要预测下一期的计划执行情况，找到上期造成问题的主要成因，本质是趋势判断，构成了企业的第4个风险管理点。

综合起来，企业的年度工作，从战略管理的角度看，就是战略制定、战略执行、战略评价、差距分析的完整过程循环。风险管理的实质，就是企业战略管理的保证措施。严格意义上，风险管理职能与战略管理职能更为相关，所以，才看到企业董事会“定展略、做决策、控风险”之说，董事会的目的，就是促发展、防风险。

那么，讨论风险管理，为什么讲这么多战略、经营与管理的内容呢？管理服务于经营，风险管理也是一种“管理”，只有找到发力点，才能发挥其应有价值。

03.企业风险管理工作结构及方法

“03”中提到的4个风险点，都需要企业风险管理部门找到合适的、确定的方法和保障措施，是风险管理部门应该承担的“组织”型工作；其次，面向计划的风险管理，体现为企业级“确定性”的定期风险评估与管控工作，但仍要考虑过程中临时认识到的“风险事项”，这些事项体现为动态的“风险报告”。

构建企业级风险信息沟通与传递渠道，风险信息的归集，需要建立报送标准，并不是所有风险信息都要报送，也不代表风险管理部门要“参与风险管控”，但需要对风险进行分析，用好风险分析的产出，是风险管理部门的“承担”型工作。譬如，年度风险管理报告，不一定必须组织专门的年度风险评估工作，而应成为年度计划的附属产出。

很多时候，专职风险管理人员的思维，容易被“风险”二字迷惑，却忘记了“管理”的职能属性，导致善谈“融合、嵌入、一体化”的说辞，导致善做培训之事儿。企业中所有的保证类工作，都有这种特性，说不说、谈不谈，毫无意义，关键在于“如何管、如何做”，在于如何与“要做的事儿”一起考虑、认识、分析、评估，这时候，风险、诱因才具备反映为“客观描述”的条件，才变得有意义、有价值。

譬如：假如将年度计划事项，划分为“确定的、不确定的、有风险的”三种程度的事项分类，而这种划分，本身就隐含着“风险评估”的过程，那就需要分别做出定义说明。怎么定义呢？

确定的，是指计划事项责任部门能够掌控的计划事项，不需要对口管理部门、企业主管领导花费精力、浪费时间给予过多的关注。但是，其中仍有一个风险点：为了追求超预期绩效而刻意隐藏“确定事项”，或由于预测不准确而造成“过大的偏差结果”。类似事情，见多了。

比如：计划之初，可以隐藏“确定的绩效事项”，然后报喜不报忧，领导还会大加赞赏，认为“超预期”完成任务，但是，如果跟外部同行对比，绩效结果差远了。企业中有很多“把纠正错误的努力当业绩、把应对问题的临时做法视为魄力与担当”的事情，找时间我们揭开这种“真实之谜”，其实，这种做法，都间接构成了对那些坚守“正确做事儿”原则的人的惩罚。

所以，企业应该建立管理者的“内部信用”记录制度，评价其“预测靠谱度”，与管理者能力评价、选人用人制度相关联。预测都不靠谱，何谈能力？又凭啥晋升呢？

不确定的，指的是要完成计划事项，需要建立在一定的条件上，常见于“跨部门”事项的关系问题。解决“不确定事项”，依靠的是“主责部门”的管理者，即部门间的协调与协同。如果仔细观察企业中的部门管理者，不少企业并不乏责任的“混乱”，常见于只听下属汇报，只给下属做绩效评价，但从不帮助下属协调解决跨部门问题，导致所有责任下移，原因是，责任关系混淆带来的“官僚化大企业病风险”。

有风险的，指的是受制于“外部不可克服的客观情况”，或企业内部开展的“重要”高风险事项，具有“较大的不确定性”，这时候，就需要企业级主管领导出面关注并参与。事实上，如果看小米、华为、比亚迪等公司，就可以看到雷军、余承东等一众大佬，经常出现于“新品营销会”、“参与到重大新项目研发、新市场开拓、新品验证”等现场，都是这类计划的具体反映。

年度计划中“有风险的”重要事项，就是企业需要加强“管控”的年度重点风险的类项，但是，年度计划中不可能构成对风险的分析，怎么办呢？风险管理部门的职责就出来了。

风险管理部门形成的风险管理报告，不能完全局限于“以满足上级单位要求”为目的，而应该为公司的高质量发展做出贡献。风险的分析、解决方案与措施，本质构成了“防范与化解风险”的目标与计划清单。

这就是当年我还在某集团工作时，一致坚持的“红头文件部署、红头文件反馈结果、结果必附具体事项与责任清单”的原因。不然，怎么监视，怎么预警，怎么评价呢？

那么，怎么对待“经营决策风险”呢？经营决策是决策层的职责，总不能让决策层做“风险评估”吧。实际上，很多人对风险管理的认识存在太多误区！譬如：专家经常讲，风险管理要放在战略的高度去对待。

这话对吗？挺有道理，但没有现实意义，原因是没有找到“加强风险管理的具体方法”，被“不准确”的风险二维属性绑架了。化解或降低决策风险的方法，只能依靠预设规则，提高决策提案的可选择性，从决策程序、决策方式、提案质量的角度，保证决策的相对“正确性程度”，本质属于公司治理、内控、合规建设范围，也涉及提案方发挥风险管控责任的范畴。

如果仔细思考，以上的思路，与企业领导者、管理者、作业管理者的定位、责任一一对应，管理不仅依靠的是方法，关键在于“责任”。不要认为风险管理职能就是“识别风险、评估与管控风险”，相反的是，风险管理部门的主要职责是“管理”，而不是“管控风险”。那么战略管理过程中有哪些风险环节呢？

一是经营决策风险，是事关企业安全发展的重要环节。运营风险管控再好，经营决策一旦失误，风险损失无法度量。譬如，航天科技每年度的党组一号文件，都会明确年度“风险管控方向”。

二是计划执行风险，是企业实现价值创造的重要环节，也是支撑企业战略目标实现的重要路径。包括：产品创新风险、产品质量风险、以核心技术为代表的竞争力风险；价值客户流失风险；经济质量风险；面向长期发展的战略投资风险；产业投资风险。航天科技集团建立的型号风险评估、新技术应用第三方独立风险评估机制等等，很多都源起于此。

三是长期发展风险，是宏观环境变化但无法改变的风险。包括行业政策与市场环境变化风险；竞争对手新品替代风险；行业出现颠覆性新技术风险。与企业的经营决策紧密相关，涉及战略研讨、战略投资、战略控制、经营模式调整等等。

四是资源保障风险，包括现金流风险；核心、关键人才流失风险；供应链安全风险；组织能力与效率风险。与财务、人力资源、采购管理，内控建设等职能紧密相关，都离不开“管控标准”、“绩效责任”的明确。

五是合规风险，包括与社会责任相关的产品质量、生产安全、环保、保卫保密风险；企业、员工行为相关的职业道德与廉洁从业；企业经营法律风险等等。与风险报告、违规举报、内部监督、合法合规审查等紧密相关。原因是质量、安全、保密、环保、法律、廉洁从业等业务，本身是具有“防风险”属性的工作，重在风险评估的应用、合规建设与合规监管。

上述的风险环节，仅仅代表风险管理部门，通过对企业运营管理进行分析、理解所做出的风险环节判断，因企业不同而不同，目的在于找到落实风险管理的重点。所以，企业开展风险管理，纵向至少需要三个层级结构：

一是判断并确定风险管理的突破环节，属于风险管理部门进行规划、持之以恒推动工作的内容。

二是发挥第一道防线的作用，结合部门定位、管理或追求目标，判断职责范围内需要加强管控的环节，明确加严管控的标准，一方面释放灵活，另一方面运用风险思维确定风险评估的指标要素，对超出管控标准的重大事项，组织开展专题风险评估。是企业风险管理落地的“第5个风险管理点”，是保证各部门绩效达成的措施。

管控标准的设置，本质是一道触发风险管理的“内部控制”基线，与制度建设紧密相关。属于风险管理部门沟通、协调、引导、推广风险管理的“协作”范畴。

三是落实年度计划，分解到重点岗位人员，形成向下两级计划执行的风险监视与管控机制。不满足风险管理部门设置的风险报告条件，属于责任范围内的内部风险管控；满足风险报告条件，意味着可能触发企业级绩效计划阈值标准，风险信息需抄报风险管理部门。属于风险管理部门建立“风险信息报送与应用机制”的范畴，涉及保证落地的工具设计。

其中，会涉及到各部门重要岗位人员绩效风险的识别与报告，用表单解决，避免造成“写风险管理报告”的局面，降低一线工作压力，本质是“超前管理”。

04.结语：风险管理的常见陷阱

为了区分风险管理与内部控制、合规管理工作，我们把风险管理作为一项职能，作为一项工作的统称。为了将风险管理转变成“为实现经营绩效目标”提供保证的活动，可以定义为“风险管控”，特指针对重要环节进行的风险评估、制定的措施及落实行动。

企业实施风险管控，常见的误区包括以下6个方面：

一是混淆了固有风险与风险事项的关系。什么是固有风险呢？并购重组必然有风险、从事易燃易爆行业必然有安全风险、从事竞争性产品行业必然有市场风险、进行产业投资必然有投资风险┈┈。固有风险的预防，依靠的是“业务管理”，体现于制度、流程中，是第一道预防风险的能力体现；风险管控针对的不是固有风险，而是经营过程中的风险事项。

二是把假设的常识风险管理，视同为风险管控。常识风险管理放之四海而皆准，企业不需要浪费时间成本，做毫无意义的事情。风险管控，与企业、组织、员工绩效紧密相关，且具有一定的时效性，无论发生与否，都需要有风险管控的明确结果。

三是把风险管控当成写报告。之所以把风险管理更改为“风险管控”，就是要体现其“活动”属性，风险管理不同，由于管理的需要，会涉及前期工作成效、下一步工作目标、指导思想与设想、重要风险等内容。

风险管控不需要如此繁琐，最好的方式是，建立针对性的“风险报告与管控表单”。区分二者的原则是：风险管理属于风险管理职能部门的职责，反映在管理责任的落实；风险管控属于其它部门落实风险管理要求的“活动”，反映在“效能”。

四是风险漫无边际化。风险指的是与目标或绩效紧密相关事项的可能结果状态，而不是泛化的陈述。怎么理解呢？

第一，风险不是杜撰出来的，风险评估者必须知道自己的职责与肩负的绩效；第二，风险评估者必须知道风险的诱因，诱因，必须是客观存在的、可施加影响的因素。

风险管控指的是用当下的确定行动，影响未来的结果，而不是“假设”。所以，我们经常看到风险管理部门建立的面面俱到的、长长的“风险清单”，其实是一种臆想，很难有应用价值。

五是僵化地理解风险管理的五个步骤。风险管理的信息收集、风险识别、风险评估、风险策略、解决方案，是为了帮助人们加深对“风险管理”的理解，而做的理论化的指导性阐述，不一定必须作为风险管控的操作步骤。

六是不要过度地演绎和阐释风险管控，否则就会陷入“无可自拔、怎么讲都有道理”的境地。譬如：监督部门经常自诩为“天然的风险管理者”，或者总结中经常出现“防范风险”的词汇，是不准确的说法。

内部审计人员遵从的是客观性、独立性原则，监督的属性，要求建立在确定性结果认定的基础上，内部监督的结论，应该是“一就是一”、“二就是二”，不能演绎成“风险判断”。所以，华为不允许监督人员参与到“管理”中，是对企业运营效率和内部监督作用平衡的考虑；五部委企业内部控制规范中，也不允许同一家事务所既承担企业内控建设，又承担该企业的内控评价，考虑的也是“监督客观性原则”。

很多人解释全面风险管理，称之为“覆盖所有部门、单位、员工、制度、流程”，纯属“因词释意”。我理解的全面风险管理，包括3层含义：一是从范围角度，有风险的地方，就应考虑建立控制措施的必要性并做出选择；二是人人参与，体现在风险报告机制；三是通过持续的风险管控，总结、提炼被验证成功的经验，固化为内控措施，不断提升企业挑战风险、承担风险的抗风险能力，不断压缩经营风险的空间。