风控类工作，作为一套理念、方法，或者称之为一套安全性保证措施被引入到企业中，并逐步分化为内控、合规与风险管理。

内控、合规与风险管理，在活动特征、产出结果的表现形式上存在一定差异，从边界上也很难、或者说就不可能准确界定它们之间的关系（无论哪种观点，都能找到推翻观点成立的例据）。

原因在于，他们均非孤立存在，而是以目标为导向，以防风险为原则，为保证活动结果符合客户（内部与外部）需求、或符合监管者要求所采取的措施。活动，构成了目标实现的路径节点，活动依据、活动角色、活动内容赋予了风控、内控与合规灵魂，孤立的风控、内控与合规，是无灵魂的空壳。

规模化企业，更注重规范管理，但也容易出现一个问题，孤岛式“建体系”的现象并不少见，原因是专业化的指导理论，长期的职能化管理、单视角下的思维、方法论与具体实践的脱节造成的结果。风控、内控、合规作为防风险的举措，面向的是企业的整体，属于典型的归口管理类职能，更容易出现以上问题。

归口管理，职能发挥的典型工作项特征是：建顶层原则、明确支持责任机构执行的管理重点及操作规则、建基础规范与管理标准、建信息流转渠道、建信息数据处理与数据管理机制、工具设计与方法推广、建治理与评价机制、建问题处理规则；配合责任机构解决落实中的问题。通过管理手册的形式，帮助并支持责任机构领会工作要求、理解落实执行的方式、方法、信息表达规格，掌握问题责任处置标准，了解特殊问题的处理方法。

其实，企业推进风控、内控、合规管理工作，还是具有一定的难度，越是模糊的工作越富有对分析、设计、组织管理能力的挑战，体现在4个方面：

一是3类工作本身都不是新生事物，而是企业运作中必不可少的考虑要素，当它以一种新的姿态展现时，反而容易造成认识上的模糊与困惑。

二是混淆了体系与治理的概念，过度泛滥的“体系化”演绎，把问题变得越来越复杂。

三是对3类工作过度从“单维”角度进行的理论化解读，进一步肢解了横向产出与纵向保证之间的关系。

四是3类工作在不同的应用场景中，体现的方法、行为形式很多存在差异，甚至是“隐性”的，问题是不少人根本认识不到，甚至认为“只有风险管理语言”体现的活动，才是风控工作。

解决以上问题的方法，需要对企业发展的原则、环境有一个基本全面的了解，根据企业实际需要，进行“创新性”的具体策划与设计。否则，只能在模糊的认识中模糊地推进，最终成为“浮于表面”的任务。

其中，最大的阻力，来源于各级人员“对上级部门发布的指引、办法、规范”等的不同理解。其实，这些指引、办法、规范本身没有问题，但它面对的是不同行业中形形色色的企业。而3类工作，与企业环境、具体应用流程有关，在符合这些规则“治理”要求的前提下，如何落地，是企业自身选择的方法问题。

具体化工作内容繁多，不能一一叙述，我们以风险分类为例进行说明。在太多企业中，沿用了风险管理指引的风险分类，这是“规避认识不一致”的表现和结果，但本身就出现了方法论与应用实践的混淆问题。

分类不代表“一级”风险，而是进行“风险信息数据”治理设定的类别路径，是为了方便归口管理部门进行数据分析，预先设计的“分类基准”。但这种理论化分类，会在企业具体执行中陷入“迷惑”，很多人应该会有体会。

在风险管理指引中，企业风险划分为战略风险、市场风险、运营风险、财务风险和法律风险，属于理论性、可理解性阐述，但不能构成具体企业的风险分类，更不可理解为“一级风险”。

其次，从当前实际情况看，特别是合规风险管理、风险管理已经形成了彼此交叉、矛盾的问题，譬如：合规管理在合同管理中的解读，在供应链业务中的解读等等，似乎合规管理大有覆盖风险管理的态势。原因是，从不同维度会得出不同的结论。但，二者在“目的性”方面是有差异的。

这种情况，需要企业进行划分与定义，避免3类工作的错乱，避免给执行员工造成理解上的混乱。合规的第一维度首先要基于“规则”而不是业务，业务应该居于规则之下的“信息补充”（如何方便对应部门查阅清单，是手段，但不能成为工作导向）；风险管理要定义为“认识或发现的不确定事项”，其第一维度首先是“业务环境”或“业务”，在业务中，与违反规则相关的事项需要“划归合规管理”。

假设企业风控、内控、合规管理一起推动，企业的风险如何分类，如何说明呢？在我看来，需要从整体进行处理和具体定义。以下为分类参考表（因原创颇花费时间，只能用于体现分类思路），实际工作中，需要根据企业情况进行设定。

结语：企业中，每一级风险都应该是具体、可定义的。分类越简单越好，而各级次的内容越明确越好。

譬如：业务执行风险，必然涉及计划风险、及时配套风险、操作风险、技术风险等等，在具体风险评估表单中，业务部门要形成“业务报告”的“内容模式”，而不能“僵化地用分类分级”表中的“简单名称”，且首先要尊重业务管理流程，而不能因为风险管理机制打乱秩序，体现的是责任与绩效的关系。因为，风控、内控、合规管理的目的，在于帮助风险责任主体达成绩效，而不是“为风控而风控”。

风控，要向“例行化”方向转变。风险与管理的关系，二者是互相嵌套、互为输入的关系，对于重复性风险，在确认措施有效情况下，应该通过制度、流程等规则形式予以固化，从而上升到管理；管理的提升，将管理水平带到了一个新的台阶，又将面对新的、更高的追求，风控在新的管理基础上进一步深化，所以，风控、管理是一个循环迭代的过程，风险的数据清单也是一个不断识别、关闭、更新的迭代过程。