01.从不同立场理解企业内控、合规与风险管理

站在国家的立场，企业要合法合规经营，要履行社会责任，要遵从社会公德，此为国家之“理”，故纳入新公司法，为国家行“理”之法；为让企业履行各种“法”所赋之义务，推动企业内部控制，此为行“法”之“术”。企业合规管理、风险管理、法律事务、安全环保、保密管理等职能的确立，都有相同道理。

站在企业立场，国家的法治和期望，构成企业须顺之的运作规律，只能在合法的条件下谋求利益，此为企业生存之“道”；为让企业高效率、有秩序地运作，大型企业会在战略指导下构建运营管理体系，此为企业运营之“理”；由此产生的制度、流程、标准等，此为企业运营之“内法”；为让下属组织依“内法”执行，通过管理产生的组织、指挥、协调、控制、监管、监督等措施，为企业运营管理之“术”。术为法之补，法越有效，术越简单。

相对国家、社会推“法”有效之术，构成了企业内部之“事”。站在“事儿的主管部门”立场，“理”在于COSO内控整体框架、风险管理框架、全面风险管理指引、内控规范与指引、合规管理办法等内容，此为事之“理”。

理可致道，站在企业主管内部控制、合规管理、风险管理的部门立场，对“事理”的掌握，意味着对“物”的定义。没有这几件事儿，就不会有相关部门或机构存在的“道理”。故从内控、合规管理、风险管理维度提出的见解、方法，均为“道理之变形”，而非行“事理”之“术”。

这就是我对所谓“内控、合规、风险管理、法务、审计、监督”一体化建设的说法，很少谈起的原因。这种方法，建立在没有找到让“道理”发挥作用之“物、理、术”的基础上，所以，我总讲要找到“应用场景”，一体化是与应用场景的一体化，因场景的“理、术”而转变成他们“需要、必要”的要素，且不能改变“场景之物”的“道、理”。

站在应用场景之“物”的立场，事儿，当然要“做正确的事儿，正确地做事儿，还得把事儿做正确”。正确的事儿，不是内控、合规与风险管理本身，而是该物之“理”决定的“事儿”，即他们的职责。内控、合规、风险管理，是在遵重他们“事、理”条件下，为他们“正确地做事儿、把事儿做好”提供的保证，只有这样，内控、合规与风险管理，才能落地、有效。

02.找到行内控、合规、风控事理之“术”

道在不可见，用在不可知。但是，对一个“物”的定位，却可以从其术明其理、寻起道。就好比国家不会告诉企业、社会成员“我要统治你”一个道理，但其“法、术”都会展露出来，问题是很少有人去“倒溯、多站位思考”，却总会出现不少“以理包装”的人，大谈特谈道理。

各物有其理。对企业来讲，决策层、管理层各组织、运营层都有存在之“理”，很难接受来自于“他物”对其理的影响（事实与表象不一样），所以，企业内控、合规、主管部门希望让“应用场景之物”主动接受其道理，是非常困难的一件事情。问题出在哪里？没有找到让其接受之“术”。

推动内控、合规、风险管理之“术”，不在于让对方明白多少你的“道理”，而是要让其在不知“你的道理”情况下，感受到符合“其理”。就好比企业对员工年年开展“培训”一样，如果从“内控、合规、风险管理”的维度培训，除了增加一些知识的感性认识之外，不会有任何效果。

这就是我总讲内控、合规与风险管理，应从“企业运营管理框架”的维度去理解、去寻找方法的原因。这个难度体现在哪？缺乏对“运营管理体系”有比较系统理解的人，但不缺少粗知内控、合规、风险管理道理的人。

可能很多人并不认同我的观点，但是你让他回答一个问题：为什么COSO两个阶段都是先后推出“内控框架”、“风险管理框架”？如果把这个问题弄清楚了，恐怕谈“几位一体”的人就销声匿迹了。为什么出现这种情况呢？混淆了“控制活动”建立前的风险评估与风险管理的不同。同样，内部控制与控制活动的“内涵”也不一样。

那这个“术”体现在哪呢？是一种“隐性”知识，更多反映为经验，很难表达出来。我举个例子：假如风控部门与业务管理部门沟通，你给对方讲要建立“风险容忍度”，对方能明白吗？客观讲，“风险容忍度”这个词，90%以上风控主管部门的人都没搞明白，更多讲的是“道理”。不信？你问问他企业的风险容忍度是什么就知道了。那应该怎么沟通呢？

必须明白一个道理，在管理先进的企业，“风险容忍度”的应用，并不是没有，而是非常广泛的应用与存在，问题是，应用者不自知，主管风控的人“认识不到”，还非要给对方讲“风险容忍度”的道理。

譬如：战略中规定的“不控股的不投、与主业无关的不投、与核心技术缺乏关联度的不投”就是战略管控风险容忍度的一种展现。再比如，金融投资领域会对投资项目设定上限、下限，又是另一种应用的表现。再比如，销售部门会设定“价格浮动空间”，从而决定是否接受订单，也是一种风险容忍度的体现。所以，风险容忍度，会因“应用场景、目的”不同，表现为不同的形式。

那既然风险容忍度已经广泛应用了，风控部门是不是就不需要做什么了呢？又错了。无论是内控、风控还是合规管理，都有建立“容忍度”的必要性，而这个容忍度是“确定的”。仔细想一想，风控部门经常提建立“定期、专题风险评估机制”，这种提法是一种话术，要落在实处，必须准备回答沟通方提出的一个问题：凭什么让我们开展“专题风险评估”？你总不能回答是上级主管部门的要求吧！但事实是，这种回答非常普遍。

举个我是如何沟通的实际例子。诚然，如果回看国资委的一些文件要求，确实要求各央企对“重大投资项目”进行专题风险评估。问题是，什么是“重大”？投资管理部门最担心什么问题发生？有什么管理要求？如果把担心的问题、重大的内涵、管理要求等“指标化、赋值化”，是不是就构成了一条“开展专题风险评估”的管控基线呢？如果没有这条基线，投资管理仅仅是“落实要求”，是不是构成了“一刀切”的管理误区呢？

这条基线，从风控角度，称为“风险容忍度”；从投资管理角度，称为“投资管控标准”；从内控角度，称为“管理控制标准”；从合规管理角度，如果不符合要求而擅自决策，是不是构成了一条“不合规衡量标准”？这就是我总讲，不要追求什么“美丽方法的话术”，要根据目的、需要组织“管理要素”，内控、合规、风控及其它要素，该有的什么也不能少，而这个目的，不是基于内控、合规与风控，而是基于“业务管理的价值追求”和管理方法。企业不需要做毫无意义的事情，更不需要为建手册而建手册，企业追求的是价值、效果。

理解了这一点，业务主管部门会不会愿意接受你的建议呢？因为，你在帮助业务主管部门解决问题，帮助他们提升管理水平，同时也达到了“内控、合规与风控”的目的。把这些方法、流程固化下来，客观讲，我也不知道是“几位一体”，我只知道是从业务管理角度集成了“各个管理要素”，是符合企业现实、业务管理现实、能够持续运作的产出。而我们平时听到的“几位一体”方法，却背其道而行之，建立在“风控主管部门之物”的道理之上，怎么可能落地？

用在不可知，就是让企业、业务管理部门能够感受到对自己工作的意义，能够感受到内控、合规与风险管理的真实作用。对内控、合规与风险管理部门来讲，达到了目的就是贡献，不需要刻意追求什么“风险语言”。当然，能够把语言用对、用好、用准确，那是又一次“升级”的体现。

03.道无形，行不知，但最终要回归本“物”之形

01，我们从深度上进行了阐释；02，我们致力于推广之术的介绍。术为推动“应用”之源，来自于内控、合规管理、风险管理主管之“物”，对“事理”的深度理解与把握，这是条件。再高居于应用之“他物”的“理”，通过交流、勾兑，让其“遵吾无形之道，行其不知的风控之理，成于合他理、吾理之法与术”，从而建立可应用、可持续的产出机制。所谓内控嵌入流程、合规写入职责、风控融入业务，自然生成，而不是“吆喝”。

道无形、行不知，并非内控、合规与风控最终追求的结果，终要“合起理、成其法、显其形”，实现的手段，即“全面风险管理体系”手册、制度。

内控、合规、风控，是完全的基于“风险”而产生的泛化的、应用型的专业。法务、审计，虽然也有“防风险”的意味，但他们是“特定目标下的具体措施”，或者是在特定目标下的“专业”，这一点，与内控、合规与风险管理有本质的不同，不能混淆。

设想一下，如果法务、审计、纪检监察等业务，能够与内控、合规与风险管理拉齐，能够“一体化”建设，那是不是意味着“质量、保密、安全生产、环保”都可以一体化建设呢？因为，他们都有“防控风险”的功能，甚至，管理的风险重要性，往往还非常重大。

千万别认为，企业的法律风险就是法务部门的事情，那就大错特错了。仔细思考一下，劳动法、安全生产法、环保法、保密法、会计法，哪个职能部门更熟悉呢？只不过他们通过更严格、具体、有效的“内部控制”，替代了外部控制，反而看不出其本应具有的“法务”特征，也就是说，他们在“行不知”。理解了这一点，也就可以理解“合规管理”的道理，还认为是现在大多人的做法吗？还认为是那种无视企业的管理基础，把合规管理变成另一种“普法”形态的做法吗？没用的。

法务、审计虽然在一些来自于上级部门的制度、文件中多次出现，甚至审计与审计委员会还要承担“第三道防线”的职责，但他们都不是“全面风险管理体系”的构成，而是体系“治理、运作、支撑”中的关联、协同要素，应该处于哪个流程，设计好、自然体现即可，没必要搞些“毫无厘头”的说法。

手册，是一个连高中生都知道的词汇，但不同人的脑子里、认识、产出的手册并不一样。基于体系的手册并非“一本文件”，而是基于不同需要的结构化产出，手册是需要规划的。譬如：常见的内控手册是什么？划分为内控管理手册，不同业务域管理分册的结构。内控管理手册解决的是“内控”部门之“物”的理、法、术问题，而不同业务的管理手册解决的是“他物”的“内控环境、流程与作业说明、表单与模板”问题。严格意义上，只有基于业务管理，才能表达出集“内控、合规与风控”的应用整体。

流程也一样，大家都在谈流程、画流程，但并非所有人都明白流程。流程是让复杂化转变为“简单化、具体化、确定化”的工具，虽然很多人都在讲流程管理的“优点”，讲制度管理的“繁多”，但真正的结果是什么？流程管理成熟度非常高的企业，流程文件的数量、单体文件的内容，要比制度管理方式更多、更复杂，但他解决了整体、系统、具体、可操作、可检查、可评价问题。为什么？制度管理到节点，而流程管理到活动。

04.结  语

企业中经常有一种现象，很多员工认为“制度不能执行，没用”、“厚厚的内控手册没人看，没用”，问题是，企业中也有很多“分散的流程片段”，是不是有人经常看呢？也不一定。与之相反的是，为什么很多人认为“强制执行的表单”，反而更有用呢？

因为，表单更好理解，可操作性强，更容易被接受，而且还可以是实现管理、执行的一致化。所以，并不是制度、流程、手册没用，而是设计本身就存在问题。仔细翻看一下手册，仔细品味一下其中的流程，能否让不同员工形成统一的认识，能否转化为统一的行动，能否体现为统一的做法，就能找到问题产生的根本原因。

很多时候，人们更习惯于从某一个维度、某一个局部去看待问题，就如有些企业做合规管理，就要做出若干领域的“某某业务的合规管理手册”；做内部控制，就要做出若干领域的“某某业务的内部控制手册”。这种做法，都是“内控、合规、风险管理”主管部门没有摆脱自己“立场”的表现，与其一次次不厌其烦地折腾，还不如做出若干“某某业务管理手册”更为直接，将该业务之“理、法、术”，内控、合规、风险管理全部集成其中，更为有效。