风险既然不能被控制，有关风险管理的理念和方法就应该放弃控制的虚妄，回到直面不确定性本身。

在国务院国资委2019年101号文《关于加强中央企业内部控制体系建设与监督工作的实施意见》的倡导下，“强内控、防风险、促合规”的目标已被国资系统的风控人所接受；以及2020年39号文《对标世界一流管理提升行动》提出的“加强风险管理，提升合规经营能力”，加上后来关于合规管理的一系列动作和强制要求，风险管理不仅要以内部控制为基础，关键要从合规体系开始。于是关于风险管理、内部控制、合规管理的关系问题，开始变得既清晰又模糊。

从财务人的背景出发，内部控制是企业运行的关键，失控是绝对不被允许的。财务人是这么认为的，老板也是这么重视的。将合规作为内部控制的一个方面，不违规也被视为可控的一个重要组成部分。至于风险，那是一个关于外部市场波动的问题，内部实力有限遇上外部环境不佳，就只能只认倒霉。

从法务人的背景出发，合规管理是企业生存的基础，违规就是红线，合规即是底线。法务人是这么认为的，老板也是这么强调的。在国字号中不被各种巡视巡查审计监察指出重大问题，在原则范围内的小问题能够及时完成整改，即是管理水平的一种体现。至于风险管理、内部控制这类不好直接衡量的管理活动，都应该用来给合规经营锦上添花。

从咨询人的背景出发，甲方的需求重要，甲方的认知更重要，甲方的付费能力和意愿最重要。是什么不重要，怎么说才是关键，关键的关键是将甲方既有信息转换为咨询成果，能够支撑乙方理直气壮的向甲方要钱。所以咨询人，在乎老板的感受，在乎劳动回报的性价比，也许有先进的理念和方法，至于导不导入，怎么导入，导入多少，求不求一个持续性的影响，差别一定会很大。

回到解决问题的思路，问题导向的提法比风险导向更普遍。提出问题，定义问题，分析问题，提出解决思路，形成解决方案，落到实际操作，完成问题整改，就可称之为闭环；如果过程顺利，就可以使用“高效”二字作为修饰；如果还感觉到有什么原本没做过又顺手的操作，就可以把“创新”二字进行文字创新。关于实践和理论的问题，以及“从实践到理论再到实践”的认知论断，绝大多数读书人的处境应该都没有达到孔夫子教导的“行有余力而学文”，基本上都是遵循了“闭门造车出门合辙”路径。

人这种集矛盾于一体的动物，显然没有纯粹的视角，也就很难有纯粹的动机和看法。看待一个事物，既能从过往的经验看到心安处，也能从未知的恐惧中感受无力感，于是从心安处加强控制，在控制中强化心安，成了一种合理的自觉。就如读书一样，读懂能读懂的是一种收获，搞清楚没读懂什么是一种更大的收获。事实上，很难分清，心安是源自于盲目的自信，还是源自于对工具的功能的信赖，也可能是源自于他人的肯定或安慰。

理想的控制，是一个灵敏度极高的杠杆，在杠杆的一端施加一个力，杠杆的另一端都会发生变化。工业时代普遍存在的机器杠杆，数字时代普遍存在弱点强电杠杆，控制的根本要求就是行为之后有一个确定的变化。

从一个确定实现另一个确定，确定的来源应该是以一个更稳定的确定性驯化一个有涨落规律的不确定性。所有传统的风险管理要求不确定性可以被计算，传统的内部控制是以规则的确定性驯化人的行为的不确定，合规成为传统风控抹不掉的底色。

如果不能被计算的不确定性之间也能涌现，应该才是风险管理的真正目的。有关风险管理、内部控制、合规管理的关系，以及既有的识别、评估、应对方法，需要重新定义。