本文以企业最顶层、最重要的“决策、审批”端为例，从本人承担并已完成的“某国有企业公司治理风控、内控、合规一体化建设项目”中提炼部分内容，阐述风控、内控、合规与应用场景“本为一体”的观点。

同时，与大家分享本人集多年管理与实践的体会、经验，总结独创的天锦十字九步工作法模型，如果能够理解，对工作必会有所助益。

01.观点提出

大型企业中，管理体系建设并不少见，但也有不少陷入“孤立式”建体系的陷阱；社会上也不乏专业服务机构，单维的方法论非常容易助推“孤立化”的体系建设。

从企业角度，风控、内控与合规管理都属于归口管理类职能，在具体落实和具体方法上涉及方方面面，这种特点，更容易导致体系间的“边缘割裂”。

不少专家一直在研究“风控内控合规的一体化”，看似解决了三个“孤立体系”的割裂问题，但只能说，仅“对了一半”。

原因在于，在企业实践中，大到价值链、小到管理支持使能，都是由横向的目标实现步骤，以及为横向提供“使能、保证”的纵向条件构成的。纵向，包括相关的方法、资源、风控、内控与合规等等。“横向与纵向”的结合，才构成一个相对完整的“实践型职能体系”。

对发展时间基本一致的大型企业来讲，各企业之间同样职能的“横向”，基本上没有太大的差异，差异的重点在于“纵向”。由于差异的存在，会导致企业间管理能力、水平的不同。“纵向”是管理改进的重点，横向是管理改进的环境基础。所以，严谨的说法应该是“风控、内控、合规与承载体的一体化建设”。承载体即“应用的业务场景”，没有应用场景的风控、内控、合规，怎么可能落地？

02.企业级决策、审批的划分

企业级决策、审批，是企业很多“管控流程”中的一项活动。由于决策、审批的重要性，这一“活动”可以进一步展开为“支流程”。流程的目的是获得批准的议案，满足决策、审批时的所有要求，或完成所有待办事项，具备实施并进入正常运作或应用的条件。

（1）分析准备决策、审批流程，自接收到申请决策、审批提案的表单为始，以完成决策批复、审批记录中所有明确的遗留事项、待办事项为终；划分为审查、审议与批准、备案与检查、实施评估4个阶段。由于决策、审批内涵的不同，流程划分为决策流程、审批流程两个类别。（2）定义

根据企业自身实际，对决策、审批、批准分别作出定义。其中，定义中的“范围与特征”就属于“内控标准”，意味着企业组织各部门申报“决策审批清单”时，需对照“范围与特征”进行类别划分，由“内控方”依据标准进行复核、确认，从而达到“内控执行方”与“被控制方”参照标准的一致性，提高内控效率。

定义完成后的“内容清单”，基本构成了企业的“三重一大”事项清单，而不同事项对应着不同的“决策、审批、角色”，您觉得，能否支持“三重一大事项”管理的落地呢？（3）建立管理规范、设计相关程序性表单

本项目对决策的定义，倾向于决策的“风险特质”。“待决策提案”需要具备“支持决策”的条件，通过建立对应“管理规范”的方式进行明确。

譬如：经营类的“重大投资决策”，投资管理部门需要订立制度：

①明确可实施投资的风险“基线”，本质是投资管理部门判别拟投资方“是否具备投资条件？”的内控标准；

②明确提案的“内容结构”，其中的风险评估部分，需要风险管理部门配合参与，可以明确要求拟投资方提出两个以上投资方案，并进行方案间的对比性风险评估，选择最优方案；或单一实施方案，需要与“理想”方案进行对比，以反映实施方案的可行性和风险程度。因为，“风险与机会的平衡”是大道理，行动上必须能够支持“度量与选择”，才具备“可平衡的基础”。

正是有了这个管理过程，拟投资方在可行性论证报告中，才可能做到“把风险具体化”，也才可能找到具体的解决方案。同时，还要回答“如果风险发生了，到什么程度时，需要采取什么样的措施”。这就是“方案可决策性”的具体反映。

③风控部门的参与，是为了满足国资委“重大决策项目风险评估”进行内控的要求，风控部门需要依据②进行“内控标准”设计，以“表单”的方式实施前置，告诉各单位投资部门，风险管理部门要“控什么？怎么控”。

以上内容，是“公司治理一体化建设项目”中，从决策流程向前端的“倒溯拉动”，也是在解决“决策流程输入”支撑质量的问题。这就是我总在文章中提到“企业间的管理都有关联，区别在于关联程度”，碎片化的流程“解决不了高阶内控问题”的原因。

因为，公司职能部门的主要职责由5部分构成：一是建体系化管理；二是检查监督体系的运行；三是完成工作项；四是支撑企业级决策；五是持续开展流程建设与优化。

03.接收决策、审批申请，启动流程

申请单是“提案方”申请决策、审批的产出状态，记录并反映了主管部门、流程中“实施内控”部门的审查意见，既反映提案的流程执行过程，也反映了各部门对“决策、审批”的支持。审查意见并不是企业中经常见到的“同意”、“无意见”、“进行了评估”等“无厘头辞藻”，而是依据标准的“结论依据陈述”，否则，你评什么同意？怎么支持决策呢？

企业办公室依据“申请单”，对过程控制情况、提案内容进行简单核校后，才能接收提案，正式启动“决策、审批流程”。需要完成4项工作：一是提交“合规官”进行审查；二是协调安排“决策日程”；三是根据事先设计的流程，协调相关组织进行“前置审议”；四是提前将提案报送“审议者”。

合规官审查，无需“法务部门提出法律审核意见”，因为法务部门的内控意见“已经反映在申请单中”，他履行的是“提案内容”与“法务部门意见”的复核功能，按流程完成“前置审查”。需要说明的是，企业可以根据提案内容，有选择地实施“前置、决策”的合并，但不同级次的审议内容记录，需要有“前后、角色”之分，做到程序合规。至此，具备进入“审议与批准”阶段的条件。

04.审议与批准

为便于表述，我们以“投资决策”为例进行说明。

决策的本质是一种基于判断基础上的选择。由于前期“基于管理、流程”的准备工作，提案已经具备了“可选择条件”，本质是促进了“拟投资方”、主管方落实“风险评估”要求的一项工作。也可以认为，是风险管理部门推广“风险管理应用”的反映。至此，前端的风险管理、程序的内控、法务内控与合规内控全部完成，而推动这一落实的过程，全部是在“投资管理”、“决策管理”的场景中实现的。

决策，是“决策流程”中的一项“核心任务”，要把这项任务完成好，必须建立两个假设前提：一是程序合规不等于“决策”合规；二是决策结果好不等于“决策过程好”，这本身又是一个风险评估的内容。要管理好这一风险，如果像很多企业内控建设中，用简单的“审议、决策、审批”来替代，是不可能有效的，需要进一步做基于决策审议的“任务规程”设计。

一是会议现场的可视化，可以提前准备决策事项背景的简要说明，缩短提案汇报方的背景介绍时间。

二是规定“决策召集人”审议前的陈述内容，目的是说明“待决策内容与决策步骤”，但不允许做“倾向性意见的引导”（属于合规PI）。

三是提案汇报方只讲多方案的内容与比较，介绍不同方面的风险结构及解决方案，满足决策者们的信息输入和深刻理解需求。

四是决策组织成员逐一发表意见，顺序是“明确陈述个人主张、发现问题与不足、提出措施建议”，召集人最后陈述自己的意见（属于合规PI）。

五是决策组织进行审议讨论，容许不同声音的存在（属于合规PI），好的决策就是在不同声音中做出来的。

六是召集人归纳审议意见，做出审议结果陈述，明确表明决策结果。由于决策本身的风险性，召集人需要明确以下内容：提案实施责任者、重要里程碑节点与绩效结果，审议中如果发现剩余风险，需要明确要求，确定“待办事项监督检查的责任方”。至此，审议与决策过程结束。相关部门会后必须完成决策人员、过程、成员意见、审议结论及后期明确事项的记录，形成纪要（属于合规PI），以备后期追溯。

把相关制度、流程、规程中具有刚性的“规定”，用合规管理的语言、格式整理出来，即“合规行为标准”，也可以理解为防火墙PI，与相关规则形成映射关系，即该流程的合规行为清单。

决策过程以会议形式完成，但并没有完成批准。拟投资方根据决策审议情况，落实短期待办事项，形成最终“提案”；投资管理部门起草“批复”，并反映项目实施中的决策要求、阶段绩效目标、重点风险事项、责任者、过程监督责任机构等信息。提交决策会议召集人审查批准、发布。这是决策流程的“事中”。

决策流程中包括“事后”，不再陈述。但有一点，当项目实施过程中发生与决策提案较大偏差、重大风险时，过程监管责任机构需要采取对应的措施，或提出解决建议，提交主管领导组织复议。至完成决策项目评估后，流程结束。

05.结语

很多时候，企业风控、内控、合规主管部门容易出现两个误区：一是从模糊认知中表述，如风险管理融入业务、内控嵌入流程、合规落实到角色活动等等，但找不到路径都是空话；二是希望把所有的风险都识别出来，导致风险清单越来越多，但单维的风险识别结果，可能忽略了“管理能力与现实水平”的预防作用，也可能是与实际不符的流水账，而失去应用和实践意义。

风险管理的核心在于：用方法或机制激发第一道防线的动机，主动、动态地识别风险事项，并采取措施，使风险管理成为他们达成绩效的“抓手”。毕竟，风险本身的属性，还具有“难识别性”。

内控因流程风险的度量而构成需求，企业采取的管理方法不同，会形成不同的内控形式，内控是由管理、内外规则要求决定的“措施”，绝不是“原理流程”上的“形式反映”，内控必须落实到“规范、标准”，才会有效，从而“促进管理提升”，因为内控是管理的一项职能。

合规管理是最基本的红线、底线问题，反映的是“最低”程度的PI内容。合规的理念是“战略与管理把持的基准”，与战略地位无关。无论风控、内控、还是合规，都需要建立在具体的应用场景之下，与场景结合、与应用实践结合、与管理结合，才能做到有的放矢，因为，它们本来就是不可分割的一体。来源：综合互联网，仅代表作者个人观点