很多时候，人们喜欢依靠直观的理论化理解，去提出一个理想的或颇具诱惑力的想法。譬如风控、内控、合规的“三位一体”建设，看似颇有道理，其实根本站不住脚。原因是，只看到了三者都具有防风险的功能“相通性”，却没有看到各自的本质。

我们举一个例子，就可以戳破这一华而不实的谬论：很多人在谈论风控功能时，都喜欢用“车”来打比方，好吧，今天我们就顺应这一比喻，去系统地理解风控、内控、合规的关系和本质。

01.从系统角度理解风控、内控与合规的本质

假如你去买一部车，会考虑口碑、外观、动力、能耗、品质等因素，因为你是在购买一个产品。产品本身包括了具有控制功能的整机、单机配套产品，一台好车，还会包括从技术功能上支持的防侧滑、防爆胎等风险紧急处置功能，以及若干预防车辆发生问题的风险预警“看板”。这些都可以构成“买车”行为的考虑因素，其中的若干“防风险、控制”功能的优劣，由“车辆整体技术要求”、“对应技术设计水平”决定。

从这一点看，一台好车，会尽可能地通过技术设计手段，提高车辆本身的可靠性与风险管控力，剩下的就交给驾驶人员了。好比企业中管理体系设计，需要尽可能地考虑其完善性，但考验管理体系有效性的测量，最终体现在“应用结果”。

当你买回一部车辆，就进入到应用阶段，这时候的“系统”就发生了变化，包括：交通规则、要到达目的地的路线、驾驶中可能出现的问题（风险），发生违规、事故风险的承受度等等，这些都是应用车辆中需要考虑的问题，体现出来的是应用者的能力，车辆本身已经转变成其中的一个要素。

对控制来讲，不论这台车到了哪个驾驶员手里，控制功能是确定的，区别在于应用程度的差异。所以，企业内控可以通过设计做到“规范、标准的固化”，随着技术升级而不断“优化”。好的内控，通过“能力角色”的有效应用，可以降低风险发生的概率和影响程度。

对车辆来讲，“风控”只能做到通过技术手段实现“尽力”，需要在实际场景中采取相应措施，考验的是“应用角色”的风控能力，好比驾驶人员要进行一次长途自驾旅行，需要提前考虑车辆可靠性、路线环境的危险度、驾驶人员的能力，以及做好发生问题后的处置准备等一个道理。所以，风控是由“场景、角色能力”决定的，风险管理解决的是：通过设计必要的节点，让应用者远离“侥幸”，“预测不确定事项并提前做好准备”的问题，剩下的就是过程中灵活的应对问题了。

合规，依靠车辆是不可能实现的，考验的是“应用角色的知规、行规能力”，以及通过规则设定的违规处置结果的预知，对应用者实施“震慑”。规则，解决的是“告诉你怎么做才对，告诉你哪些事儿不能做，告诉你不让做你偏做，就会极大提高带来已经明确处罚的风险概率”，所以，合规管理解决的是“规则与角色的对应问题”，特别是“不准做的事儿”，本质是管理执行力问题。

通过分析，我们可以得出结论：风控、内控、合规各有不同的目的导向，要实现一体化建设的路径，唯一的可能是“场景”，而不是“风控、内控、合规”本身所谓的“三位一体”，不可能的。

02.如何找到“场景”？这样分析

企业中，场景是由“事儿、角色、权限”构成的，角色指的是选中一个组织，或者某个人做某件事儿，不做事儿的人只是静态的“岗位人员”。比如说，选中一个人担任“部门长”，就必须做部门长该做的事儿，才能称其为“角色”；角色做事儿，做到什么程度、范围，则是由“权限”决定的。

这是道理，企业不可能做到每件事儿都这么做，需要找到一个共同的方法体现出来，这个方法就是“机构组织职能”、“岗位职责”，其中岗位职责渗透的就是“事儿、责、权、限”，这里的“限”，就是合规行为清单的内容，这部分内容是由“组织管理”职能完成的。

无论是组织职能，还是岗位职责，都不可能做到“事儿尽”，也不能告诉你怎么做，所以企业才会梳理“流程”，通过流程把“事儿”规范下来。企业中有大事儿，大事儿由若干角色配合完成；也有小事儿，小事儿可能由一个或少数角色完成，所以，流程才有了从整体到末端的划分，这部分内容是由“流程管理”职能完成的。

流程管理与组织管理有着紧密的关系，需要建立清晰的“匹配”，让角色在流程中“表演”，完成承担的“角色工作”，通过各角色的表演和协作，成就“一场戏”。这场戏就是“流程产出”，通过绩效进行测量。所以，绩效是反映和测量结果的指标。

从企业整体来讲，是以战略为导向的。战略通过不断解码，反映到年度计划，年度计划与“事儿”联系起来，所以，企业中才有“战略为引，流程为纲”的提法。

严格意义上，战略管理的中心是“让企业按预期实现变革发展”。所以，企业中的改革与战略规划往往反映为一体。而变革需要在“行动、执行”中实现，所以，战略与企业运营环环相扣，战略管理不属于“管理支持层”而属于运营层，只是为了更好管理，把战略管理划分成了一个单独的“层级”结构。

由于战略的解码，形成了不同时期段的目标。企业的运营管理就是要“把目标变为结果”，衡量结果的是“绩效”，所以，我经常讲“风险管理是达成绩效的抓手”。风险管理一直用“目标”作为解释，是理论，因为，这种说法，没有转变为“企业的真实实践”。

通过分析，我们可以得出结论：流程承载了包括事儿、角色、权限、时间、反映流程结果产出的“结果绩效”、反映过程活动产出的“过程绩效”等诸多“管理要素”。所以，流程构成了“场景”，也就是说，风控、内控、合规建设，都是流程建设的附加内容，所谓的一体化，是通过“流程设计”实现的。这就是我讲的 “只有流程管理达到一定成熟度，才可能构成一体化”的原因。

所以，决定企业全面风险管理体系建设的，是流程，而不是所谓的风控、内控、合规“三位一体”建设，这种观点，纯属“忽悠”。

03.体系建设要向“可视化”转变

企业中的管理体系，往往是从“某一个维度”进行的建设，比如：质量管理体系、全面风险管理体系、监督体系等等，这些体系呈现的是“一种能力”。由于体系的“单维”性和系统性，结果必然是“你中有我，我中有你”，很多工作是重复、交叉的，解决这一问题的途径也是流程管理。

但不管怎么讲，企业中体系是客观存在的，问题是“这个体系是什么样的”、“是如何运转的？”，所以，企业中对体系的理解，不同人往往有不同的观点和说法，于是体系管理手册出现了，解决的就是认识一致性问题，通过相对完整的一套“系统性流程”表现出来，就是“体系可视化”，当然，也是一个管理建模的过程。

我们拿大多企业开展的“内控体系”、“全面风险管理体系”为例，内控手册绝不是“集各种职能流程合集装订”的体现，那是程序文件集，体系手册解决的是“管理实现”的问题。何况，在不少企业中，通过内控建设梳理的流程，只是有了“流程的形”，所谓风险控制矩阵，也只是一种“模糊描述部分活动的流程文件”，或者是把“内控指引”的内容导入的做法。流程不切合现实就不可能有吸引力，流程文件不具体，就不可能被执行。所以，才有很多内控管理人员纠结于“内控手册使用率”的落地问题。

正是基于这种认识，天锦咨询才认为风控、内控、合规建设是方向，但需要从“体系可视化”、流程管理角度去实现。所以，我们才把内控管理、合规管理纳入到全面风险管理体系，成为其中不同目的导向的功能结构。所以，我们才倾心于全面风险管理体系的可视化、战略管理体系的可视化、治理结构的授权与限制的清单化，因为，这些是实施风控、内控、合规建设的“基础篱笆墙”。可以说，到目前为止，能够做到这一点的，恐怕很少见到吧，因为，涉及的跨度比较大，涉及的知识结构和实践应用也比较多，如果不信，可以试试看。

04.结 语

客观讲，风控、内控、合规建设有其必要性，但应该思考一个问题：只重视监督、风控却忽略正向管理，结果必然是解决一个问题，又会出现另一个问题。你不能说中石油的内控、合规建设缺失，但为什么出现了大大方方、招摇过市的“牵手门”事件？而且还是那么高级的领导，竟然犯下了如此简单、如此缺乏水平的“低级错误”，是当事者的“风险意识和认识水平问题”。为什么网络热度一直不减？低级的太不可思议了，所以可笑、可叹。

同样，风险管理、内控管理、合规管理确实很重要，即使笔者也从事这类工作，但我们应该承认3个事实，不能闭着眼忽悠：

第一个事实，风控、内控、合规管理绝不像“专业人员”从“风控角度”讲的那样有那么大能量，更不会像宣传的那样“无所不能”。再高级的领导、管理者也预测不准未来，能够预测趋势就非常不易了！再高明的风控、内控、合规设计，如果管理基础一塌糊涂，风险必然是一个接一个。所以，三者的工作，就是结合“中枢事项”，尽最大努力让员工在必要的节点“知道要做什么，该怎么做，不要做什么”。别忘了，风控、内控、合规发挥的是“保证”作用，给谁提供保证？保证的是“中枢事项”，辐射到相关角色，流程梳理不准确，还提什么保证呢？

第二个事实，企业如果能把规划、计划做到很严密、很细致，管理很规范，把不能做的事情结合场景“清单化”，企业运营中的不确定事件就会大幅减少。所以，你会发现，当流程梳理到一定程度，每个活动都渗透着“风险认识机理上的自控制”。所以，所谓的“不相容岗位分离”，并不像有些专家不断推出的“标准化的不相容清单”，而是企业基于风险认识所采取的一种针对性管理措施。至于所谓的“风险控制矩阵”，如果你把流程幅度加宽，控制自然会出现，如果你把流程幅度收窄，聚焦到事儿上，控制就是一个“节点”。

第三个事实，合规管理不能建立在“企业不懂法”的基础上，对法律的认识，是企业、员工最低程度、最基本的要求，对外部法规要求的承载，是企业中的“规则”，而不是角色的“行为清单”。企业中对法律法规的违反，一定是出现在侥幸基础上的“法律漠视”，而不是真的不知。恰恰不断出现的违规风险，是企业规则中设定的“不能做”，对照一下“牵手门”事件，是不是这个道理？这才是合规管理的真正“重点”。