01.大家关心的问题

关于几位一体建设问题，不讲，但会讲业务管理中涉及到的内控、合规与风控，讲实现这些工作与日常工作结为一体的机理与实现方法。因为，我们力推的是促进管理提升、提高绩效达成保证能力的应用实践，而不是为了单纯地把他们“写”成一本手册。手册虽不能缺失，但不是这些工作的核心。

不要认为上述回答没有用“风险”语言表达，就意味着超脱了对风险的管理，真正做好的风险管理，“风险”这个词，并不多见。如果联想企业中推动工作的实际，你用风险语言去沟通，极少有人能够真正理解。

关于能否在线上公开的问题，不会，即使以后有机会线上沟通，也不会涉及具体内容。不要用一个侧面单独看内控、合规与风控，其实他们是企业运营管理体系中不能缺失的要素，没那么简单。

关于会议日期与费用问题。很歉意地说，日期兼顾不了所有人，之所以未占用周末时间，是对大家个人时间的尊重，所以不太好调整。至于费用问题，先不急于转账，可以先联系报名，我们也需要统计并确认人数后再定。风险管理讲究“容忍度”，培训也需要考虑，您说对吗？

02.为什么不讲“几位一体”的建设方法

从流程管理的维度，原理上是可以实现的，而且除内控、合规外，风控也可以反映到“节点要求”，但反映不出做法。

至于法务，本身承担了一些流程中的法律控制点职责，内控建设本来就包括这一环节，提不提有什么必要呢；至于审计与监督，是一个保持“独立性”特质的职能，是体系治理中的一个“协同”环节，打通就可以了，为什么非要谈“一体”呢？岂不有悖于监督职能“独立”属性的定位？

至于是一个机构承担法务、内控、合规、风控几项职责，还是几个机构分别承担几项职责，无关紧要。考虑问题，都需要基于“分工、整合”来考虑，而不是“囫囵吞枣”地来个“一锅烩”，而且，这些职责，本是分布于各组织的直接职责，主管机构只是承担“归口管理”职责。何况，很多控制，是因各企业的管理思想、方法而定，哪有什么“一致化”标准？

我总觉得，即使主管部门急于完成承担的内控、合规、风控的归口管理“任务”，也不要用一些并不准确的“新”说法，会给企业员工造成认知的错觉。但事实是，内控、合规、风控推行以来，又有多少人创造、且还在创造“新名词、新方法”呢？关键是真正起了什么作用？除了造成员工“认识”模糊之外，啥作用也没有。

最好的方式是：让员工认识到内控、合规与风险管理，是各组织本身“应该做好，但仍在某些方面存在缺憾的工作”，在不改变其管理模式的情况下，通过局部改进即可实现，难道事实不是如此吗？为什么偏要从“零”开始呢？

我觉得，真正可以融为一体的，是制度、流程、控制、合规、风控等等。通过手册有选择、有重点地整合在一起，把体系治理组织、治理流程确定下来，然后再去总结出“整合”的思想与方法论，岂不是更好，为什么先入为主，要用一个设想去“画地为牢”呢？

03.原理与符合现实的选择

将内控嵌入流程，用流程承载合规与风控要求，这些说法，随便翻阅哪本流程管理书籍，都可以发现，也为众多流程管理专家津津乐道，甚至被讲成“管理风险的，就是内控”，能够这样讲的，说明连流程管理的本质，都没有吃透。

其实，控制本就是流程中“保证运筹有效性”的活动，流程角色活动的作业说明中，本就应该包括“红线内容”，是“法无禁止即可为”的体现。这种做法，本是用流程工具承载“组织管理”中“具体活动职责”的做法，只不过很多企业“本该做好但没有做好”。看到这，是不是有一个冲动？用流程解决。

流程管理是一个长期的建设与投资过程，是企业实施运营管理体系整体建设的方式与方法，有一个从战略分解、主干流程结构规划、一级流程架构规划、流程全景逻辑展现、流程清单梳理、具体流程建设的实施过程，最终结果是，能够承载企业战略、支撑企业运营管理、绩效管理、以主干流程为主轴的流程网络。理论上，流程完整，内控就完整、合规基础就完整、风控工作就规范。

理论与现实总是有差距的，大多企业采用的主要管理方式是制度，而不是流程，您认为“用一个缺乏系统、规范流程基础的设想，去实施一体化建设”，现实吗？哦，有人说，内控建设包括了流程梳理。

前面说过，控制是流程中的一个活动，用局部建设牵动的“流程梳理”，与战略导向的流程管理，不是一回事儿。前者的产出，无论流程质量如何，非常可能是“支离破碎”的流程片段；后者的产出，则是一套基于整体的结构化、系统化流程网络。既然短期内实现不了，那就不如正视“现实”，去寻找一种可行的方法。

如果仔细思考一下，梳理流程、进行控制活动建设，虽然是基于内控维度的说法，但事实上，这种做法，其本质就是“具体流程梳理”的过程，只不过对流程活动说明的描述，侧重于“风险、控制活动”而已。

04.全面风险管理究竟有没有意义

其实，COSO组织从来没有提出过“全面风险管理”的概念。讨论全面风险管理，我们必须把17年前国资委发布的《全面风险管理指引》归零，占据文件制高点的讨论，没有丝毫意义。

做一个假设，如果制度、流程全面、系统、适宜（对“风险”发挥控制作用的，是其中的控制活动），是不是代表组织运作能力基础的健全？如果企业、员工行为得到规范，是不是代表合规管理能力的提升？如果战略管理中的风险得到化解（前提是必须弄明白战略管理是什么，必须弄明白战略管理与组织运作能力的关系，本文不讲），如果动态发现的风险隐患、苗头，能够得到及时报告与处置，企业还有风险吗？基本就没有了，当然，这是一种理想状态。

理想状态，不代表肯定能实现，但却是工作的努力方向，就好像企业战略中的“愿景”一样。

所以，包括内控、合规、风控、人人参与的风险报告及反应机制，就是一个类似“全面质量管理”的“全面风险管理”。从这一点看，国资委当年推出的“全面风险管理”，一点问题没有（说明：全面风险管理、风险管理、内控不是一回事儿，但内控与合规、与制度、与流程却有紧密关系，这是局限于当年认识下的遗憾，混在一起了）。

那就带来另一个问题需要回答：当下流行的“几位一体”建设，是要建成什么呢？我回答不了，哪位老师能回答，可以公开见解和可实现方法，一起探讨。

05.可行的符合现实的全面风险管理体系建设

什么是可行的现实方法呢？需要系统地去说。

（1）先全面认识下内控吧

内部控制是一个“企业内部的、广义化的控制统称”，包括制度、流程及措施等，但可不存在“内控制度、内控流程、合规制度”之说，这些说法，是基于某维度、某侧面的文件，为了从该维度、侧面描述管理逻辑的“概括”。

内控建设指的是“狭义内控”，是基于运筹与保证运筹逻辑有效“控制活动”的具体化建设，所以，才有了梳理流程、对控制活动进行作业规范化建设之说。内部控制与控制活动，根本不是一回事儿。

狭义内控是对制度、流程的补充与细化，是广义内控的构成。问题是，你要对控制活动进行“具体化建设”，就必须知道“管理要求”吧，否则你“控制什么”，怎么具体化呢？

所以，我总说内控建设，是一个“倒溯”的过程，这个倒溯，就是“充分理解控制活动之上的管理思想、方法”，否则，内控建设就成了“无的放矢”。为了说明这一点，我拿出一个真实的企业对流程活动的描述实例（流程就别放了，根本就不是流程），看一下在没有搞明白“内控”的情况下，是一种什么结果？采用这种做法的企业，常困惑于“落不了地”，一点都不冤枉，但这样的做法，真的少见吗？

有时候我很纳闷！为什么那些喊“一体化建设”的人，总不提与“制度、流程”一体化呢？现在有些明白了，是不是企业中层层的职能关系，还有点儿没搞明白呢。其实，认真学习下指引、规范、合规管理办法，哪个都没有离开“制度、流程”。

置身于企业，制度有制度管理职能，不能造成“新、旧的认知冲突”。我们知道内控有广义与狭义之分，可不代表员工知道，也不代表培训几次，员工就能够全面掌握，但长期性的管理改进、控制设计、控制执行等，依靠的仍然是员工，而不是内控主管部门。主管风控的，这些不确定因素，应该能认识到吧，所以，不要创造“新词”，尽可能用“习惯”。

既然狭义内控建设具体到了控制活动，企业中控制活动太多了，建的完吗？先别急于说“梳理流程”、“建设内控”，谁都知道，做事儿就可能有风险，但先别管风险，先把要建“哪些控制活动”确定下来，想明白怎么运转也不迟。所以，才要确定好“内控原则”、“重点建设对象”，这些都是内控手册中的内容，不能丢啊，哪个体系的顶层没有指导原则呢？不然写管理手册做什么呢。

（2）既然涉及制度，那就认识下制度吧

在一些流程管理专家眼里，经常举例子说：西方国家的企业，几乎全是流程，没有制度。这种观点根本就不对，只不过是没有中国式象征权力的以“大红印章”证明生效的制度格式而已，就好比西方企业没有中国认可的“发票”一样。你不认可人家的“签字”生效方式，也许，人家也觉得你“又签字、又盖章”多此一举呢。

如果感兴趣，查一查特斯拉，马斯克够奔放吧，看看是否有“制度、守则”；华为、丰田的流程管理够卓越吧，看看他们有没有制度，就明白了。什么“制度管人、流程管事”的说法，看看企业的制度，你还认为是“制度就是管人”？流程如果就是管事儿，也不存在流程角色了吧。

习惯上，好像中国企业特别重视“制度”一样，实际上，西方企业的制度更严格、更清晰、更讲规矩、更可度量、更具契约性，然后才是规则下的自由。不信，如果你是特斯拉员工，无故旷工一次你可以解释，再来第二次，看看你还有没有“解释”的机会。制度不单是要有，关键还的要管用、要执行。

那么怎么管理好制度呢？企业中任何长期的事儿，不可能没有规划。中国企业的制度质量，关键问题在于缺乏整体、系统、结合实际的规划。制度的规划，并不在于制度本身，而在于对“业务、管理逻辑”的理解，在于凝练出的管理思想、原则、方法，然后通过制度表达出来。当然，前提是要提供完善的“规划工具与方法”，是制度归口管理部门的责任。

我曾举过一个例子，某集团董事长要了解该集团的科研生产领域的制度分布情况，为什么我并不太认同某部门给出的“制度架构”呢？缺乏对科研生产的理解，那怎么理解呢？

下图是我用近30分钟对该企业科研生产逻辑进行的“可视化”勾勒，别小看这张逻辑关系图，你看到后觉得简单，仔细分析一下，这张图不是“某一个部门”能够做出来的，也不是某综合部门的人能做出来的，必须站在企业“全局”的角度，而且要深知其中各业务域之间的逻辑关系，从而构建各种业务链条。

我还可以说，就这么一张很多人认为简单的图，恐怕该企业到现在都不存在，即便看到该图后转化出来，里面大量的含义、目的、接口、产出也很难解释。为什么我能很快做出来呢？曾承担该单位整体变革规划思想的设计，里面渗透着业务发展战略思路，然后再一块儿一块儿地调整实现，历时6年。

掌握了科研生产的顶层关系逻辑，就可以进行科研生产制度架构的规划。各业务域之间的界面、接口会“飘然而出”。每个业务域，会通过潜在的风险评估或判断，从而确定“管控”重点，找到“控制对象”，通过制度设计，找到“因事儿”而起的流程与管控方法，固化下来，就是“制度中涉及的流程与控制节点”，只不过是文字“描述”的流程而已。

制度有什么本质缺陷呢？可以对程序进行描述，但往往只能设计到控制节点，那么控制怎么执行呢？制度回答不了“具体内容”，久而久之，因人的更迭，不同人的认识而形成“长鞭效应”，流程就会处于“基于习惯化”认知的不稳定状态。所以，可通过流程梳理、控制建设作为补充，这就是我说的制度、流程与控制的互补关系。

其实，如果你是一个部门管理者，看到这篇文章，上可以把握制度架构规划与顶层流程结构化思维的结合，有助于克服“管理部门建制度”的立场局限性问题，下可以利用“具体流程”细化“控制活动”，从设计上具备提高制度执行力的可行性条件。

（3）既然涉及到了流程，那就认识下流程、制度管理与合规风险清单吧

上述（1）、（2）的内容，恐怕很少见过类似的说法吧。需要结合战略管理、企业运营架构、制度管理、流程管理，以及内控、合规管理、风险管理的认知，才能归纳出方法论。

曾在某大型央企的管理岗位历经20年艰苦锤炼，以上的每一个领域，都曾对过去方式进行过大幅度地“调整、改革”（流程管理除外，真的没时间、精力与耐心陪太子读书了），绝大部分内容到现在都在使用。当然，每一次调整、改革，都离不开企业所有高级领导者们的直接指导。

至于（3）的内容，放心，你一定是第一次看到，是本人独创。如果你能够读懂流程，就可以明白，为什么我总说“合规义务与风险清单”，根本就不是一个静态“表格”的产出，而是一个动态过程的原因。

只有动态，才谈得上合规管理的可持续，而不是搞一堆静态表格。难道各种规则不再变化了吗？千万别讲动态搜集外规，持续优化表单的道理，没有责任、没有机制，就是空话、套话、废话。

这就是为什么这次3天培训，一人全讲的原因，是一整套前后衔接、彼此耦合的系统，而不是对某一维度的局部认知。所以，才安排两次任意选题的现场研讨、交流，共同寻找最优方法的机会，挑战肯定有，但可以面对。

制度管理与合规管理的集成，不仅满足了《中央企业合规管理办法》中的所有要求，同时还满足了增强企业制度建设系统性、制度遵从客体对制度内容的快速、正确把握的需求，让合规管理成为提升企业“管理执行力”的保障措施。

整体端到端流程、合规风险评估模型、合规风险清单样式、违规处罚标准，就不再文中呈现了。只需要说明一点，不要把“清单”总理解成“一行一行”的EXCEL表格，你见过企业中的风险信息是那样呈现吗？

应该度量一下，按照合规管理定义中的“法律、法规、政策、监管规定、行业准则、规章制度”排列的表格，用这种僵化理解、套用定义的方式设计清单，是否有员工愿意看？能解决什么问题？员工更在意制度，还是这种密密麻麻的清单？你认为控制合规风险，整理出个表格就能解决？胡闹。

我把三个环节的具体作业流程推给大家，基本可以解决制度管理中的主要操作问题，背后的逻辑、怎么做，就不一一说明了。流程不附作业说明，一个简短的流程，应该可以直接读懂，写出来的作业说明，也会非常直接、可理解、可操作，如果稍加思考，完全可以理解出“如何与合规管理协同”的机理。

（4）既然提到了风控，那就认识下战略管理下的风控机制吧

如果说制度、流程、内控、合规建设，夯实了企业运营的支撑能力基础，那么企业战略管理的过程，就是风控发挥效能的过程。不过，受篇幅限制，就不能全讲清楚了。

企业风险管理的年度风险评估，根本无需专门组织实施，把握好企业每年必须开展的一些工作，结合企业领导层、管理层、承担任务员工的关注点与绩效责任取向，按照风险的基本原理就可以实现。风险评估的结果，恰恰满足了不同层级的“责任、关注事项”需求。

不过，你看不到显性的风险语言，因为转变成了实际工作，需要通过风险管理报告解决，风险事项的内容有了，整理出一份报告，还不是手到擒来的事情吗。

这种方式，反映为公司管理能力的提升，没有增加企业各部门开展正常工作的任何负担，却可以间接“鞭策”各部门，主动向纵向推广，因为，他们自己会感受都这样做的“效率、把握重点的益处”，风险管理的应用范围，会逐步自然延伸。

同样，找到切入点，企业层级的风险管理全部形成“确定性”的工作机制，且能够长期得以运作，而且能够解决企业“平时困惑但又说不出来”的隐痛。隐痛，一般反映为企业中常见的“汇报会上领导不太满意的间接批评”。不满意，是因为只听到了表象、皮毛；间接批评，是因为听汇报“不解渴”，但又说不出哪里有问题。

找到几项风险特征比较明显的业务域，建立风险容忍基线，沟通并推动专题风险评估机制，本质是帮助管理部门实现管理水平的升级，只要被业务主管部门理解了，很少有不愿意接受的。

设计并提供支持员工“动态评估风险、风险报告”的表单，设定风险报告机制与方法，贯通“业务线”的管理渠道，当然是达成“绩效”的保证措施了。为员工圆满完成工作任务提供了帮助，你说他们愿意接受吗？

来源：互联网