无论是企业中的业务运营布局还是管理，其实就是4大要素的综合运用：目的、期望、方法、结果。本文侧重于4大要素在实现内控、合规管理、风控耦合中的运用。

01.目的、期望、方法、结果之间的关系

目的是导向，决定了努力的方向；期望是预期，是用来准备衡量结果实现程度的参照基准，或用以预判拟采用方法、或结合结果反思已使用方法是否适用的标尺；方法是让期望变成结果所运用的过程手段，决定了实现预期的过程；结果是现实，用以度量期望的实现程度，从而改善过程方法。

在很多管理项目中，人们更容易偏颇地追求方法，却疏忽了目的；更喜欢用建设描述过程，却疏忽了内在的终极期望结果，错误地把建设过程的产出结果视为成果。

世间本无方法，只是人们借助于成功的案例，归纳出来的与实践较为接近的理论，称为方法论，从而节约人们再去摸索方法而花费不必要的时间。

当企业导入一套理念或方法论时，重要的不是方法论本身，而是被归纳为方法论之前、采用方法的应用背景与设想，以更好地理解方法论的真谛，并结合企业现实环境灵活运用，才能转变为员工可理解、可应用的实践。

实践，是以理论、方法论为指导转化出来的行动，而不是方法论的简单复制。

被灵活运用的方法论，将消失于过程活动中，而不再呈现方法论本身的显性特征。就好像方法论应产生于自身的实践，需要归纳才能重新形成方法论一样，这就是我们通常讲的“可落地”方法。

世间本无法，是因目的、期望结果通过设计、选择而产生。反过来我们看网络上某企业大佬“不屑于方法”的言谈，是否合适呢？

如果这个企业中没有制度、流程或规则，完全依靠员工群体、个体的努力达成了他谈的目的，要么这个企业是一个依靠人治的小企业，要么是由一群素质极高的人组成的卓越企业。

反过来，如果企业形成了制度、流程或规则，那么他的观点基本不证自破了。

制度、流程本身是规则工具，而其内在的那层界定好的东西，就是被采用的方法，只不过借助工具的应用，化方法于实践、行动而已。之所以他不认可方法而只追求目的，只是没有认识到这一层罢了。

习武之人讲究吸天地精华于己身，庸者用以套路，高手化精华于无形，脑中似无物，凡对垒必以静待动，一击必切要害，目的只有一个：击倒对手。武林中言：高手对决，以快致胜。高手之言教：最好的招数是无招拆有招。

无招，不等于不掌握方法，而是因掌握更多方法且融会贯通，故凡问题必有拆解之术，凡遇招，必有解答之法。

方法之所成，皆因目的而产生。故，所有方法，都可认为是目标管理之法。

方法之应用，必化解于导向、活动流或活动。内控使然、合规管理使然、风控使然。故，内部控制、合规管理、风险管理皆为理念或方法论。

方法因目的而产生，一旦确认方法正确，就会根据结果的实现程度去优化方法，目的只有一个：提高效率。

02.管理风险的首选措施：内部控制

何谓内部控制？为达成目的，而在容易产生不可容忍风险的环节所采取的措施。措施，反映于企业的制度、流程、标准中。控制，是因目的、期望结果产生的方法。

什么是风险？凡目的、期望结果达成过程中，可能存在影响期望结果的不确定因素，或不确定因素向不愿看到的趋势方向发展时，就意味着风险。

怎么管理风险呢？

风险之所成，不要被学术化定义束缚自己的认知，否则，永远找不到合适的方法。风险的学术定义，是学者为了进行理论研究而进行的定义，而不是基于具体实践进行的旨在统一认识的定义。

管理风险最高效、付出成本最低、效果最好的环节在哪里？在处于最前端、最容易产生隐患的环节，隐患不代表问题，而是风险潜在的可能，会在表现正常情况下进行风险流转；然后才是过程中的控制；最后是问题的紧急处置、控制问题损失扩大化、防范问题重复发生。

这是什么？是管理风险的逻辑。其中，紧急处置代表应建立的风险预案，即风险应对措施；防范问题重复发生，代表着规则、控制的优化。

首先，应该从内部控制开始，但并不是实质性意味着从“内控”的维度入手，而是从“确定性规则”入手，先用确定性管理风险。

企业实施内控的目的是什么？是为了让员工通过执行规则，能够稳定地产出基本符合预期的结果。

第一，先消除人的不确定因素，告诉员工“正确做事儿”的方法，建立引导员工愿意正确做事儿的机制，意味着不确定性在一定程度上得到了减少。先做确定性，能用规则解决的，绝不用“外部介入的控制”。

第二，如果员工能够正确地做事儿，但仍可能会发生影响目的的不确定呢？在环节之处，设置“控制”进行干预。

第三，环节在哪呢？在顶层业务布局下的执行系统中，布局决定于战略，运作决定于逻辑，逻辑反映于流程，环节产生于流程。流程是分级的，所以，控制会随着流程的层级，因不同控制角色的主体责任而存在。

企业的内控是一套执行系统，目的是让流程稳定地产出符合期望的结果。控制的有效性，取决于控制方法的合理性、可行性。把控制方法规范下来，变成流程中的角色活动，即控制标准，其中再无“控制”语言，是因流程目的而产生的方法。

一套完善的企业内控系统，随着业务运营布局、管控方法而产生，存在于现场层管控、运营层管控、决策控制。

如果企业的业务能力布局、运营架构、管控方法存在严重缺陷，内部控制建的再完善，都意味着内控存在不合理的局限性。

即使在尊重企业现实运营、管控方法状态下去规范内部控制，如果不能理解现实的运营逻辑、管控方法，很难把控制活动做到规范化、标准化。

理解不了运营逻辑与方法，就失去了对目的、期望结果的认知，而迷失于风险管理原理性阐述的荒原中不可自拔，一定会出现“内控建设”中常见的、风险描述泛滥的、模糊化泛泛而谈，失去执行的可能。执行控制与走程序完全不同。

内控是管理风险的措施，在内控建设中“再次出现更多的模糊化描述”，本身就是一个“错误”。

为了指导企业开展内控建设，才出现了内部控制指引。指引，是企业内控建设的最基本指导，而不是内控建设的“执行标准”。

指引是对各种企业的通用、常识化原理描述，依靠指引做出的内部控制，除了法则明确的、通用的基本控制具备可行性之外，不要谈“落地实践”。

03.管理风险的第二项措施：合规管理

一套完善的内部控制系统，本身提高了“合规”的期望结果。为什么还要做合规管理呢？

企业处于一个动态的社会环境中，是一个与社会、市场、客户交互的生态系统。无论企业经营、扩张，都不能无视所在国家、监管部门、区域、行业的法则、政策。因为，他们是影响企业经营的风险因素，企业无可选择，只能不折不扣地遵从或执行。

本部分仅对合规风险清单生成的机理、过程进行说明，以利于大家明白合规风险清单的作用。

第一，对外部法则、政策的遵从与执行，有一个导入、选择的过程，依托的是风险评估。对企业来讲，这个导入与评估的过程就是“风控”的前半段。

通过评估、选择，放弃那些被确定的“不存在发生无法容忍的违法违规风险”的外部法则、政策。承受那些“存在发生无法容忍的外部违法违规风险可能的规则”，将这些外部法则、政策导入企业。

判断是否存在风险的依据是什么？是风险度。对合规风险来讲，不存在一级、二级、三级风险的层级划分，任何无法容忍的违法违规行为，都属于被禁止的范畴。

与风险度对应的是什么？是必须采取的措施，依靠的是“预设的控制风险措施的执行标准”。所以，与风险度对应的，是“建立确定性控制措施”的工作计划。任何合规风险，都属于可控风险。

什么是合规风险清单呢？本质是针对违法、违规风险的“工作计划”，目的是为了“通过建立确定性措施关闭这项风险”，是不是与风险管理的程序匹配了呢？

所以，我总讲“合规风险清单是动态的”，而不是“泛风险化的静态表格”，那只是被人为冠以“风险清单”名称的堆积，本质都没有“完整的原始法则、制度”更有意义。

第二，怎么管理这些外部违法违规风险呢？在确立企业内部的“确定性”风险控制措施之前，这个外部法则、政策，就视同为企业内部的制度遵从、执行。这个管理逻辑，很多人转不过来，是因为企业在制度管理设计上存在缺陷。

所以，要择“重要的但必须做的、明确禁止的但有可能触发的合规要求”，形成合规义务、风险度、风险控制计划相结合的清单，向相关员工进行贯标、检查重要环节是否发生过尚未察觉的违法、违规行为。

宣贯后做什么呢？依靠人治，即上下责任关系的“合规监管”。但是，这不是终结，而是要明确责任，落实合规风险清单中的工作计划。是不是回归到日常工作了呢？

既然识别出了外部违法、违规风险，却不去思考控制的方法，而是堆砌成一个表格，既不符合风险管理的逻辑，也等同于把问题转手送给了员工。

工作计划包括什么呢？制定或完善内部制度，把外部合法合规风险，转化为“内部合规风险”，用过程建立一个“防范外部违规的缓冲区”，本质上触发了企业内部制度建设流程。

合规风险评估不是某一个人执行，而是涉及各职能部门的相关人员，需要建立同一目标下的“统一群体行为的评估方法”，以保持适应动态变动的可持续性。又是目的导向，让大家掌握一个“统一的评估方法与选择标准”。

同理，在企业风控中，类似“统一评估方法”的做法也会存在。

第三，当确认外部、内部合规风险可控的情况下，关闭合规风险清单。由于合规义务、风险度、合规风险控制工作计划在同一个表单，关闭后的风险清单，转变成了记录单。记录反映的是什么？对应法则、政策、制度的“关键内容摘要”，以及制度间的依据、落实衔接关系。

第四，处理完外部法则、政策合规风险问题，还需要审视企业内部的经营活动，是否存在违反已知的外部与内部法则、制度的违规隐患，又是一个风险评估的过程。合规风险清单的模版同样适用，形成“对两种合规风险来源的围剿与控制”。

任何一项工作都有其目的性，体现于“规则”方面的目的，会转化为组织能力提升。所以，合规管理的目的是什么？不发生不合规行为，提高企业的管理执行力。

至于合规审查、合规符合性控制、违规举报、合规准则等，不再赘述。

04.管理风险的第三项措施：监管

通过内控，完善了企业中的制度、流程，对关键节点的控制活动进行了规范、标准化完善，形成了企业中的“做事儿、管事儿”的组织能力。

通过合规管理，同样从“规则遵从、执行”的角度，不断完善了企业的制度系统、流程系统。

内控、合规管理，有殊途同归的“交叉重叠空间”。内控的目的，包括了对合规的追求。

组织能力的完善，意味着“做事儿方法”得到了确定性的明确，员工行为在合规范畴内得到了确定性规则的约束。保障员工按照正确方法做事儿的措施是什么？是监管。

不同企业中会出现一个区别：在确定性规则比较完善的情况下，监管的方式与方法会变得简单、明了，有的放矢；监管对经营、运营活动的影响会得到降低，你监管你的，我做我的事儿，各负其责罢了，而不再是接到监管通知，领导要求员工不许外出的做法。

为什么有些企业会呈现这样的情景呢？不是对监管的重视，而是缺少衡量标准。监管查到的可疑线索，由于缺少标准，不能很快做出判断，只能让员工解释原因，是不是一种常见现象呢？

企业监管的有效性，不是过度依赖于监管者的能力与水平，而是制度与流程、规则标准、内控、合规管理的基础，决定了监管的效率。

监管，是企业中再简单不过的事情，只是由于缺少了可行的、可衡量的规则基础，依赖于监管者能力的程度提高了而已。

05.管理风险的第四项措施：补漏型风控

对风控的理解，常有两大怪像，也可以说是风险管理领域的奇葩：

一是风控专家只是从风险管理的角度阐述原理。放心吧，这种做法，怎么讲都对。

为什么呢？丢弃了正向逻辑的确定性方法，当然什么都是风险了。风控，针对的一定是在确定性规则能够发挥作用之外、超出风险容忍度的风险，而不是从“零”开始讲故事。

确定性规则的建立，本身就包括了“风险思维”的运用，从超越于规则之上的视角看，确定性规则体现的是正向逻辑。

二是企业内部的认识，把风险管理当做“做不好工作”的原因，出了问题，就指导风险管理人员“风险管理贵在预防”，听着挺有道理，但毫无意义。

指导，一定是针对问题说明解决的思路或方法，而不是把一个新的问题抛给别人。

从风险管理的原理讲，风险确实贵在预防，而预防风险的措施是什么？凡预防风险的做法，均建立在“假设风险”的基础上，是建立策略、方法的必要条件，呈现在规则。

风控是什么？我把它加上了三个字“补漏型”风控。

何谓补漏？在建立并拥有了预防风险的规则能力基础上，对客观存在的“待办的不确定事项、出现问题苗头且保持恶化趋势的重要事项”进行识别、标注、跟踪、分析、预警，并采取必要影响措施的活动。

风险，不应是“想象”中的各种可能，谁也不是能掐会算的大仙，能把感知到的问题苗头扼杀住，就是极大的成绩。

这些事项体现在哪？体现于年度工作策划、计划制定与执行过程中，体现于影响年度经营目标的重要关注事项，体现在与企业改善经营质量紧密相关的群体性活动等，是随着年度计划、经营活动而进行的旨在管理风险的“确定性”活动设计。

其次，体现于突发“新事项”的选择，体现于问题苗头趋势开始恶化的事项中，即企业中常讲的动态风控，是业务领域内沿着责任体系进行的风控流转活动，只有在满足预设的企业级风险容忍度条件下，风控主管部门才开始介入。

一套成熟的风险管理机制，动态风控有其必要性，但首选仍然是“确定性活动”，只不过，这个确定性不再是“规则”，而是规则中的“活动方法”。

有效的企业全面风险管理体系，不是把内控、合规、风险管理一体化建设的课题，恰恰相反，是以“圆满完成年度合规经营目标”为目的导向，从风险管理角度进行的功能切割与设计，让内控、合规管理、风控各有所指、各有所用，用确定性的方法，让内控、合规管理、风控成为围绕“预防、减少、降低风险”这一中心线的措施，让员工明白“应该做什么、应该怎么做”。

从超越于内控、合规管理、风控之上的风险管理角度，如何去认识目的、期望、方法、结果呢？目的是“为企业实现战略目标提供保证”；期望是“预防、减少、降低风险”；方法是控制、合规管理、监管、风控的功能与责任系统；结果是圆满完成年度经营目标、不发生违法事件、防火墙指标成立。