企业内控与风险管理工作开展了这么多年，很多人在这一领域仍处于推什么、做什么、讲什么、吆喝什么的状态，根因在于缺乏体系规划。

缺乏规划不代表没有做规划，做了规划不意味着规划的适宜。看待风险管理这一课题，需要运用战略思维从企业运营框架上去思考，才能找到风险管理真实的生命意义。

01.理顺风险管理逻辑

企业是社会经济组织，追求可持续发展是企业存在的中心旋律，而不是风险管理。从事风险管理领域的人员很容易陷入一个误区，比如，如果没有控制好风险何谈发展的观点，看似很有道理吧。

我无意与这种观点争辩。但是，如果不从这种漫无边际的思维中跳出来，任你如何折腾，讲的再好，都别想找到风险管理的真正做法，而且还会陷入到“什么都有风险”的泥潭中胡乱扑腾。

在这种思维模式下开展的工作，除了增加企业的成本负担之外，毫无意义。

为什么呢？陷入到了辩证的陷阱，掉进了大小企业无分差异的思维黑洞。小企业有风险吗？风险很大，但是小企业不会刻意地、规范地去做内控、合规与风险管理工作，并不意味着他们漠视风险，而是生存优先于冒险原则。

看到这，千万别说出“生存不也是风险”的话，如果讲出来，那就又掉到辩证的坑里了。

辩证是什么，从一个事物的两端看。逻辑运筹是什么？运筹是一个矢量，是方向下的因果、轻重、选择、两端。看待一个课题，必须找到既定方向，然后才能找到措施，在措施的选择方面再区分程度。

比如，我们常听到的精细化管理，是一个相对的程度概念，到什么程度呢？比对手强就行了。理解了这一层，不用去听什么专门的精细化管理精妙方法，不过，当做启发也有必要，如果为了追求方法而吹毛求疵，不仅不会节约成本，反而会造成浪费。

对小企业来讲，他的逻辑应该是设想一个期望的状态找准方向，谋求站稳脚跟往前走，能往前走就有机会，有机会就能到达期望的状态。所以，小企业总会选择擦着合法底线去寻求机会。大企业是这样吗？

这就是合规管理做法中非常明显的缺陷问题，用小企业的思维去处理大企业的课题，出现了企业内部能力建设的“断档”问题。看看自己企业，中招了吗？

事务型做法与系统型做法存在根本的不同，都会通过行动表现出来。前者是一种执行、静态、直观思维，后者是一种整体、动态、抽象思维。只不过在企业中能够做到从全局、系统看问题、解决问题的人极少见罢了。

小企业为什么去做合规管理呢？是因目的而生的需求。大企业不同，不要简单地把合规管理当成跟小企业一样的合法课题，而是一个组织能力课题。

那么风险管理的逻辑是什么呢？在很多表述中，很多人、很多书把搜集信息、风险识别等表述为风险管理流程，它是做好风险管理的一种逻辑，但不是风险管理的逻辑。

以下观点是本人所提，今天抛出来给大家以思考，这个逻辑其实很简单，只不过很多人陷入到了“风险管理就是防控风险”的简单认知中而已：提升抗风险能力，做好风险预防；执行规则要求，勇于挑战风险，做好风险的化解与防控；及时总结防控风险的成功经验，回归组织能力建设。

这种逻辑是什么？是一种循环，只不过最后一步不是风险管理的内容，而是知识管理的范畴。前者匹配的是控制，控制是为了预防假设风险而产生，其中就包括合规风险；中间匹配的是合规条件下的创新、开拓、经营，是战略制定、实施过程中因项目、任务而带来的防控条件风险、预测风险的需求；后者匹配的是经验总结，再次与企业日常的管理工作统一起来。

在企业实践中，仅仅停留在“提供合理保证”的说辞，纯粹是正确的废话，必须要转化为实践行动，行动的结果才是发挥了保证作用。

什么是风险管理呢？它不是一项具体工作，而是一种理念指导下的方法论。方法论不代表具体工作，更不代表开展工作的方法，要用好方法论，需要还原到企业的运作过程中，通过内控、合规管理、风控等工作表现出来。

怎么平白无故地出了个“风控”的说辞呢？是为了与内控、合规实现匹配、耦合而产生。内控匹配规则、控制活动标准；合规匹配组织与员工的行为；风控匹配什么呢？与年度经营中的规划、项目、任务匹配。三者才能构成一个完整的“整体”，成为“管理体系”的不同功能结构。

企业总不能一直处于“公说公有理、婆说婆有理”的状态中，听着风险管理是否包括内控的话。企业中的实践没这么多废话，怎么定义就怎么来，但不能形成“交叉、重叠”。所以，这些内容不是一体化建设的问题，而是如何分工的问题，分工的实现代表了“风险管理工作的开展”。

这就是我总讲“单纯的风险管理、内控、合规管理毫无意义”，“把法务、内控、合规、风险管理、监督”放一起，都不是一个盘子中的菜”的原因。其次，用不着总提“风险管理融入业务、内控嵌入流程”的说辞，他们本身就是一体的，这种说法，意味着已经把他们孤立出来的结果。

02.为什么说内控是设计出来的

我去过很多企业，一起看一下大多企业的做法。内控手册中的内控环境，比如，画出一个组织架构图，照搬一套企业的组织职责，或者按照规范、指引中的说法，换一种语言进行描述，这种做法没有意义。

内控建设中的组织架构，是要从中理解、读出支撑内控的“组织间的职责关系”，然后才能出现流程中的控制；治理结构是要说明上、下之间授权、分权的责任基础，确定决策、审批成立与不成立的量化边界条件；其次，还要包括企业共同遵从的准则，即公共控制条件，合规准则就是其中的一个构成部分。

这些内容，企业并不一定有现成的资料，需要通过具体设计呈现出来，不是董事会、党委、经理层何种定位，或者再把职责重复一次的描述。

人力资源、内部监督指的是什么？要通过归纳告诉员工引导、制约、考核、奖惩的政策与方法。

这两个领域并不那么容易，不少企业的人力资源政策都是事务，没有合理的用人衡量标准。我也曾问过一个企业的内审人员：能给我介绍一下审计包括什么吗？他们给我列出了很多审计的事儿，但就是归纳不出来。为什么呢？没有管理澄清，需要做什么就去做什么，这就是“做事儿”思维的表现。

其实，内部审计就4件事儿：面向财务的审计、面向责任的管理审计、面向项目的审计、面向重要违规线索进行的审计取证。什么投资审计、固定资产项目审计、创新项目审计，不都是针对项目开展的审计事项吗？澄清了，大家就知道你究竟在做什么了，才能起到震慑作用。

企业的内控，只有在非常明确的环境下，才能有效运行，然后才是所谓内控建设中的“流程梳理与控制活动设计”课题。控制是设计出来的，不是描述出来的，什么“合理、科学、全面、到位”这些形容词一概都不能使用，其本质是一种标准。

这里很容易出现一个伪概念：内控有效吗？有效啊，都是按照内控建设梳理的流程做的。其实不是这样，即使不梳理流程，企业也是按照制度规定这样做。

内控建设是在做什么？放在流程中的控制是在“规范控制活动”，有5个维度：需不需要控制，控制合理不合理，控制应该放在哪个环节，控制什么内容，谁来承担控制责任。所谓的风险评估，是管理认识基础上的分析，而不是描述出来，控制内容就是风险因素。

那么这个标准来源于什么呢？来源于企业中的“基础管理”。为什么很多企业中的制度数量不少、执行却一般，只能用于问题发生后的处理依据呢？基础管理缺乏“管理澄清”，导致管理处于一种“模糊”状态，虽然有了制度，但是员工对制度中的“自我认知”空间太大。

这种结果带来的是什么呢？就是企业经常见到的“每天协调解决问题”，是管理人员最能找到“感觉”的体现吧，但从另一方面也反映出管理者组织能力需要提高。

为什么很多民企老板不屑于“企业中的管理”呢？变成了规则，管理人员也是在按规则做事儿，而不是企业中常见的“热热闹闹讨论问题，最后领导来个一、二、三、四总结或要求”的那种景象，早把规则忘脑后了。

所谓组织能力，不是管理者每年部署一次、两次，组织大家开个会，提提要求，然后大家分头去落实，组织的本质是“规则”。

这里我举一个最难的内控建设实例，看看如何才能让内控建设变得有意义，看看内控是不是就是体现在“审批流”中。

科技型企业经常出现“质量评审、技术评审”这一活动吧？评审是在做什么呢？当然是进度、质量、技术可靠性评审，管理规范的企业，还会对成本控制目标实施评价，取决于怎么定义这个环节。

有人说，成本控制怎么算是质量呢，质量的本质是满足要求，成本控制没有达到目标，那还不是质量问题吗？所以，管理才要进行定义。

如果不做澄清，按照常见的风险管理方法，企业就一定会搞出一个质量风险、技术认识不到位风险，纯粹是毫无意义的表述，而且还会与风控混淆在一起。为什么呢？基础管理能力薄弱。

问题是，虽然我们经常见到技术评审，评审组的专家成员知道评审什么吗？知道，但基本是建立在模糊的认识上，客观上没错吧。所以，我们经常见到，被评审者汇报，专家们翻看一番资料你一言我一语，或者看看所谓的评审参考标准提问几个问题，最后给出个结论，这种评审是在“走程序”。

怎么让技术评审变得有效呢？我只从质量角度进行阐述，要评审的条件是什么？产品项目组织必须提供质量评估报告。为什么是质量评估报告而不是质量总结或分析报告呢？评估必须有明确的判断结论，分析只需要有结果。

这个报告包括哪些内容呢？五个点：

一是质量计划、活动的落实情况，必须用定量的方式表达出偏离程度，需要统计分析形成结果。有人说怎么量化呢？是需要质量管理明确的内容，得有过程控制，没有过程怎么来的数据呢？

二是设计过程的规范性，与过程规范性对应的是规定动作执行的偏离值，要统计与规定动作存在偏离的结果。

要实现评价的针对性，必须有基础管理而不是控制，即在项目计划之初对设定的关键控制节点应形成“调整计划”。这个权是要分给项目管理责任者的，人家才能承担责任，没有这个基础就没办法完成统计，没人会主动坦白哪里没有落实质量管理要求的措施，意味着过程失控，基础管理解决的是事前必须有“规约”，这就是组织能力。

这就好像企业中监督经常讲的“全覆盖”，鬼才相信真能做到，要么就是形式上溜达遍了。类似总结，都属于管理之顽疾，是最无奈的表现。

三是产品是由不同结构、模块、中间件构成的，每个过程通过规定的技术评审而受控，是一段一段的存在。需要回答这些过程中的评审结论、问题、风险等是如何改善的，必须要列出“新技术、新产品”的评审清单，形成分析结论。评审不会对每一个分枝节点进行审查，但一定会从统计结果中找到“偏离项”。当然，前提必须压实责任。

四是隐患、可靠性问题，这些问题怎么评审呢？他们来源于测试，只有在测试中才能呈现出不稳定、为测试抗干扰性而表现出来的风险状态，所以，要统计新功能组件、新产品的“测试覆盖率”，并进行统计，找出偏离项。

五是发生质量问题的改善情况，很好理解，不做阐述。最后，项目组织作为负责人，必须做出非常清晰的“自评估结论”，高风险项目的质量是通过责任落实的，而不是完全依靠控制，控制仅仅是为了预防风险而采取的措施。

以上五个方面，代表的是经营项目按计划实施中的“过程质量”，但不足以支持评审给出结论。其实，很多企业的评审，在此处基本就结束了。

客观讲，即使经验非常丰富的技术专家，对一个庞大的系统工程产品的技术可行性都很难给出准确的结论，我讲的是客观，现实中能不能给出来是另一回事儿。那么怎么评呢？从风险角度认识，产品用的新技术越多，风险程度越高、发生风险的可能性越大，没错吧。那么这组数据来源于哪呢？

来源于应用物料、应用技术、应用产品的成熟度记录，是一个从产品末端向高端不断聚集的过程。所以，项目需要统计分析每个层级不同成熟度的技术、模块、单机产品在系统产品中的应用比例，风险隐患点就会浮现出来，构成了专家重点审议的关注项。问题是，成熟度有管理吗？要管就要有澄清，不然是不可评的。

企业中常见专家们现场评议、给出结论，真正规范的企业，评审组的成员是有责任的，要对评审结论负责，而且还可以倒溯追责，谁告诉一个评审组长就一辈子能做组长的？但是没有责任就变成了一种“自然工作”，没有责任能有什么压力和风险呢？

所以，在管理中要给出每个专家的预审时间，提出自己的预审质疑点，在会议上进行针对性质询，每个专家对质询项给出结论，经统计后就基本具备了给出整体结论、明确待办事项的条件。

在企业中是否经常出现一种景象呢？重大技术评审，评审组专家按时到会，会议现场发材料、汇报、审议呢？这种评审是没意义的。

这样的控制属于什么呢？关键节点的“关键控制活动”，但是，从内控的维度，内控建设不在于“评审活动”，而在于评审组背后的那个“组织评审的职能管理部门”。技术评审的重点、标准，是由主导部门通过“规则设计”实现的，通过制度、流程表达出来，这就是内控建设与基础管理之间的关系。

为什么我总说内控建设需要倒溯基础管理，而不是按照内控规范、指引复制呢？就是这个原因。你还认为内部控制没有意义，或者几个人到处复制一套“通用逻辑流程”吗？不是内控没用，是设计的没用。

当内控建设完成后，发挥的作用是什么？机制化风险控制，不包括在“风控”领域。这就是我总讲所谓的一体化建设，必须建立在系统流程、制度基础上的原因。

03.怎么让风控有意义、有价值

如果说到风控，并不是大多人理解的那样，包括搜集、识别、评估┈┈。管理如果这样做，那恭喜你高中学术见解之标了。

我总讲内控、合规、风控，这种排序是有逻辑关系的，放在企业的运营管理框架下才能看到。三者有不同的目的、对象、执行方式的匹配性，每个模块下又有不同的分解。

那么，风控究竟怎么做呢？其实，很多企业被“全面”、“风险”迷惑了，导致很多正常的事儿偏要加上“风险”二字的描述。事儿就是事儿，不是挂上风险二字才算“风险管理”。很多时候，同样的课题，只是换了一种“风险语言”的表达，有意义吗？

什么是全面呢？只要在每个结构中都有工作的运作，就反映了全面，至于覆盖到什么范围，那是全面的程度问题。如果有人说你的工作不全面，你大可请他讲一讲如何衡量“全面”。因为，它是一个持续深化的迭代过程，不是靠一次工作就代表了完成，做到关键、重点足矣。

怎么理解风险呢？一定有人讲风险怎么定义，风险就是不确定性。但是，在企业实践中，风险只有两类：一个是假设、一个是条件。当然，条件类的风险还可以分出3种，否则，员工都不知道风险管理主管部门讲的风险管理、内控、合规是做什么的，谈什么四位、六位一体建设呀。

谈风控，必须从全面风险管理体系的角度认识，是风险管理的一个工作分枝，分枝有一个就有两个、三个，构成了支撑体系运作的同层级功能结构。体系一定是由结构构成的，不少人谈的几位一体，他的结构是什么呢？

这样的认识，当然需要自定义了，不然员工怎么会知道呢？员工只会被一会儿内控、一会儿合规、一会儿风险评估、一会儿写报告、一会儿几位一体搞得晕头转向。

所谓风控，需要贯彻落实于企业战略管理中，不要认为一说战略管理，就是战略管理部门的事儿、就是至少五年的规划，企业的年度经营计划，就是战略管理的解码结果。

风控的机理，在于参考风险进行规划，在规划中采用情景规划进行风险预测，随着年度规划实现循环、迭代，构成一套长效机制。第一年推行工作会有一定困难，第二年大家感受到了方法效果，不用推都会主动去做。因为，他们会突然感受到年度工作的条理性、责任明确性，如果不去做，领导都会去找他的。

经营计划、年度计划重点体现在业务层面，风控，当然聚焦在与经营相关的“关键事项”上，而不是泛风险描述，从而实现聚焦。

企业做风险管理，不能搞的到处都是风险，更不是列出一套莫名其妙的清单、风险树就能代表什么，那不是风险管理，纯粹是换了一种语言的表达而已，这样做的副作用反而会掩盖问题，混淆内控、合规、风控的功能。

企业中的年度计划是分层的，风险自然呈现为分层的分布与责任状态，但是，这只是年度统一策划、评估体现风险识别的一个方面。

对于企业有目的性的、需要在营销、外规导入等过程中进行分析的风险评估，主旨在于提高企业价值创造效率，有针对性地进行资源匹配，从而提高投入产出比，或者是为了强化企业的组织能力建设。这类需要群体执行的风险管控，需要建立标准化的风险评估模型，不然谁也不知道怎么做，不能保持一致性就不可能落地、不可持续。

对于企业常态的与企业经营质量紧密相关的“有关指标”，本质属于机制化的风险监视，有监视就有基准、就有预警线，从而找到改善重点，只要明确了时间、责任、任务，就构成了“内控”。如果不明确只有要求，那就是“风控”。风控是动态的，是活的管理；内控是相对稳定的，强调标准性。

虽然我们总讲全面风险管理，但是，风控必须保持目的性和可实践性，否则就变成了企业无必要的成本。目的性不是基于事儿的“目的”，而是采用这种做法的目的。

风险评估的结果一定是要被利用的，但是不要渴望群体都能按照要求进行分析，风险分析模型是一套先验性的预设条件，填填具体数据、勾勾划划做出选择，才能按照预设的规则形成结论。

有结论，就必然存在一个有待利用的“控制点”，不要认为控制点就必须有“高层领导参加”，常态机制，只需要通过授权、明确流程即可实现，因为它已经变成了例行工作。

很多人说，风控强调了经营风险，那些管理过程中的风险怎么办呢，比如安全风险、合规风险、保密风险、财务风险、法律风险等。这些风险都属于“假设风险”，旨在“预防”，怎么做呢？确定性规则、内部控制、合规监管。

企业中的风险管理为什么很难取得成效呢？问题出在没有对企业面对的风险进行澄清，没有对内控、合规、风控进行定义，整个体系处于一种“各自认识、各自定义”，或者干脆搞个几位一体打包的状态基础上。放心吧，这种做法再怎么努力，也不会取得实效，但不妨碍企业按照要求“写出”一份报告材料。

来源：互联网