有朋友留言，希望再谈谈内控、合规管理体系建设。咱们就基于实践与应用，实话实说。

其实，内控、合规管理并不是什么新的工具和方法，虽没有专家所言的那么复杂，但做起来也没那么简单，归根结底，它是要被应用的。

内控、合规管理，两者不是孤立关系，相对企业的管理基础、管控条件而言，二者发挥的是继承、完善、发扬、补充，进一步提升企业执行力、防范流程风险、合规风险的作用，从而体现它们的“应用价值”。

内控与合规管理，大可不必从“本身”的单维思考，把它们看成是企业为加强管控力、提升执行力，采用的一种方法论，反而更好理解，但不能忽略与制度、流程、风控、管理力、执行力的紧密关系，企业中，从没有靠单一方法论能够解决问题的可能。可以说，到现在为止，很多人对内控、合规管理并没有真正弄明白。

01.外部监管视角下的内控与合规管理

国内企业的内控体系建设，源起于五部委的内控规范；合规管理体系建设，源起于国资委的指引和办法。虽都来自于外部的“驱动”，但不能认为企业中没有“朴素”的控制和合规管理。

内控规范把内控定义为：由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。合规管理办法把合规定义为：企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则，以及公司章程、相关规章制度等要求。

做为承担内控体系、合规体系建设主体的企业，理解规范、办法要求当然重要，但更应该思考一个问题：为什么这些部委，相继提出企业要开展内控与合规管理体系建设呢？

第一，通过监督发现问题固然是他们的责任，但帮助企业不发生问题，更是他们的期望。期望不发生的问题是什么？不要发生违法违规、违反监管政策、违背公共道德的问题。这一期望，与企业追求符合伦理道德、获取合法合规利润的目标趋于一致，这是外部监管与企业本体之间、内控与合规管理之间的“共通”之处。

第二，期望不等于现实，并不意味着处于监管中的企业，不发生“违法违规违纪违章问题”。原因是什么？一是企业自身没有控制好风险，所以，从外部监管角度，认为企业要从内部加强管控能力。从内控定义可以看出，内控包括了企业方方面面的控制功能。二是企业在履行外规要求的能力方面存在不足，要么不知道监管规则，要么抱持侥幸心理，明知故犯，所以，企业要开展合规管理。从合规定义可以看出，意味着企业、员工必须拥有了解、掌握并满足、执行所有相关规则要求的能力。这两条原因，难道不也是企业年复一年、日复一日强调的内容吗？

由此，我们可以得出结论：从外部监管视角看，目的只有一个，希望企业合法合规经营。内控与合规，是基于不同维度，解决“相同或类似问题”的两个方法论，从外部监管角度看，没有任何问题。

02.企业本体视角下的内控管理

必须承认一个现实问题：宣贯上级精神、要求是一回事儿，转化为企业内部的行动是另一回事儿，看似脱节，但二者并不矛盾。精神是导向，落实要求，企业需要转化为自身的具体行动，行动目标需要遵从SMART原则。

从企业视角看内控，“内控”的定义其实已经不存在了，而是管理中的“控制”。内控，是从外部看企业，相对于“外部监管”控制而做出的定义，但并不妨碍企业仍然沿用“内控”的说法。

企业中具有控制功能的器官、方法、工具涉及方方面面。比如战略体现企业对发展方向的控制；组织结构体现制衡关系；纪委审计稽核巡查等体现责任结果的监督与控制；制度与流程体现对已被证明成功的经验与方法执行的控制；预算体现对附加价值商业化与资源投入之间的控制等等；制度、流程、表单中的会签、审核、评审、审议、审批、决策等，体现的是工作过程中的控制┉┉

不同控制功能由不同目的、方法决定。企业内控管理是否都要管？是否都能管？如果有人说“是”，我辩驳不了，因为他是从理论上解释，我是从企业实践上理解；他是基于外部监管的视角，我是从理解外部要求，然后转化到企业内控现实与应用的视角看待问题。不同视角会有不同的结论，问题是：管理有成本，管理是被应用的，而不是理论和“外部规则绑架”式说教。

如何看待企业内控管理问题？需要回归企业内部管理的责任，所谓的风险管理第一道防线，其实就是“管理直接责任”的体现；所谓的第二道防线，其实就是“归口管理责任”的体现。这种观点，你认同吗？

为什么我总说流程中的决策、审批等，虽具有控制功能，但不属于内控？这是从企业内部视角得出的结论。决策、审批、审议是流程中不可缺少的活动，由第一道防线按照“合规、治理方法、控制程度”进行设置与规则设计，虽然不属于内控，但不能视“内控原则”而不顾。提出并明确内控原则，是内控归口部门的重要职责之一，关键是，告诉没告诉第一道防线，需要遵循什么样的“内控原则”，去设计制度与流程，当然不能以“防风险、风险程度”简而代之，而是可衡量、可选择的度量尺。我定义的内控管理原则是：三条基本原则，“四追四不一优先”指导原则。

在我的认知里，企业匆忙建立一套流程与控制手册，很有必要，至少它可以反映企业对上级要求的反应与落实。但如果缺失对“第一道防线”的指导原则，内控管理体系很难发挥效能，因为控制无处不在，只是反映方式、反映程度不同而已，核心在于，内控管理要做出清晰的“定义”。

企业中经常见到的“内控涉及全业务、全流程、全组织、全员工”的说法，都是无奈的、不负责任的表述，因为它不可衡量，本质是一种“不作为”的表现。千万不要忘记，内控管理部门是“归口管理”，最突出的特征是：管理要求要明确。

03.企业本体视角下的合规管理

从外部视角看合规管理，反映的是企业要遵从各项外部、内部规则的观点。从企业本体视角看合规管理，它绝不是一个简单的法务问题，而是一个管理问题。

如何从企业本体角度看合规管理？需要从“遵从规则”的角度去思考，找出实现合规经营管理的充分必要条件，体现在5个方面：

一是预防，意为“事前”，即企业内部制度，是否具备承载外部作用、监管规则中触发监管的条件，当然包括企业、企业中的组织、员工，这是制度建设问题，也是制度管理的“指导原则”。

二是执行，意为“事中”，即制度的主动执行力与过程行为监管问题，监管不可能拿着制度一条一条去稽查，需要找到规则不能容忍的重点内容，即合规底线、红线的行为表现，也就是合规管理中的“合规行为清单”。

三是稽核，意为事后，即通过责任结果发现“违规问题”，这是“专业监督”的责任，但违规问题有“隐蔽性”特点，需要通过“人人监督”的方式，提高及时发现“违规问题”的概率，所以才产生了“合规举报与调查”。

四是导向，意为文化，即正向的倡导。与合规对应的是“违法、违规、违纪、违章”，属于“负面”的表现。企业不能完全寄托于“严格的监督手段”来解决问题，更重要的是导向，而导向不是讲话、说教所代替，需要转化为“准则”。所以，建立合规行为准则，是合规管理体系不可缺失的构成。

五是机制，意为治理，解决了文化、事前、事中、事后的问题，需要通过制度建设固化下来，这是合规管理归口部门的职责；其次，可以从“满足员工需求”的角度，将合规指导原则，导入到“员工升职、荣誉、绩效奖励”等方面，作为PI防火墙条件，此谓贯彻“合规指导原则”采用的方法表现。

04.“贡献价值”视角下的内控与合规管理

我有一句俗语：即使内控、合规管理体系建设的产出落不了地，它们也上不了天，因为企业中天上还有一道线，那就是“制度与流程”。不落地的内控与合规，无非相当于“没建”，也没有发挥防范风险的作用，但必然带来企业管理成本的增长。

无论是内控，还是合规，他们的基础都是企业的制度、流程，妥善处理好外部监管规则与内部制度、流程，以及与内控、合规之间的关系，是内控与合规管理的基础，也才能找到“内控与合规管理本应具备的价值”。

在我看来，内控与合规，无论是控制措施，还是行为清单，建立在“模糊认识”上的产出，一文不值；从制度中复制来的“言辞”，有一定“突出重点”的作用，但不会产生任何“价值”。原因是：企业制度具有“内部法定权威性”，而内控手册、合规清单是“指导做事儿”的参照标准，具有“相同内容”的手册、清单，相对制度、流程的作用，不会带来任何增量价值，何况它还“内容丰富”，阅读、理解困难，如果再增加了“模糊化描述”，充其量，就是一条“美丽的飞毯”！

如何产生增量价值？在于对制度、流程中渗透的管理机理、方法等深层次内容的深刻理解，在于对控制活动、行为底线的“规范化、标准化”，解决的是制度、流程难以覆盖、反映出来的问题。在制度完善的假设条件下，内控、合规发挥的是“补充、具体化”的作用，这才是它们的“价值增量所在”。

企业的管理中有一个禁忌，不要动不动引入一些“术语”和“难以理解的新概念”，如果必须为之，就需要“统一语言”。现实中，企业经常出现这些问题，譬如“大质量”、“大监督”、“大风控”、“大合规”等等，这些都属于“不能解释的鼓噪语言”，难道来自于“正统”的全面质量管理、全面风险管理、全面监督等等，这些能够体现“人人参与”的说法，还不够吗？

抛弃不切实际的幻想，回归现实与应用，内控与合规管理，方得始终。