从企业战略管理域转向制度与流程、全面风险管理域已经十几年了。在不断的学习、实践、思考中，发现一个规律：单纯从内控、合规、风险管理维度开展的体系建设，很难取得预期效果，主管部门的人员也很难体验到成就感。

究其因，虽然全面风险管理（包含内控、合规与风控）从原理上阐述了三道防线的角色与责任，但终究是“单维”视角下的原理性方法论，从实践角度，缺少了一个环节：基于“事前”的基础和条件。

基础和条件，决定着全面风险管理的“实效”：完备的基础和条件，有利于降低全面风险管理的压力；相反，全面风险管理就如一个没有根基的“高楼”，结果必然是问题、隐患频出，直接反映的是建设的体系难以发挥作用。

从企业的管理视角，我们也可以总结出一条规律：一项完善的管理举措，必然包括基于“事前、事中、事后”的策划、设计、实施、监控与优化，从而构成一个整体，这个整体才可以称其具有“系统性”。

国资委2006年发布的《中央企业全面风险管理指引》，有别于COSO风险管理框架的独特之处，在于“全面”二字的引入，从指引内容可以分析出：全面风险管理包括了内控、合规与风险管理。毕竟，COSO组织是将风险管理、内部控制按照两个框架进行的分别论述。

“全面”包括两层含义：一是兼具了风险管理与内部控制，而内部控制的目标之一，包括了合法合规，即合规管理；二是“人人参与”，与全面质量管理具有相同的内涵。

三道防线的论述，是从组织角色、职责角度进行的划分。从内控、合规、风险管理效能的维度，体现的是企业“防控风险”的能力。

能力，通过功能的实现反映出来，进一步延伸为企业的“执行力”。遗憾的是，指引缺少从“相对目标、功能”的视角，对内控、合规与风险管理进行特定功能划分。当内控、合规、风险管理分别在企业推进的时候，非常容易陷入工作的“混乱或困惑”。

企业中经常提到的“集成”，对大多人来讲并不陌生，但知道具体实现方法的并非大多人：集成的前提，首先要进行“专业化分工划分”，然后才能实现“集成”，这就是原理与实践的区别，讲和做是两码事儿。

内控、合规、风险管理具有大概一致的道理，如果没有清晰界定三者的关系、功能、针对的作用对象，没有对三者进行功能的界定与划分，就会出现“认识、说法、方法、举措”的混淆，何谈集成或一体？结论只能是原理。

企业中的各部门，都是防控风险的第一道防线，而企业中各管理部门的主要工作，可以归纳为4类：建体系化管理机制、管理好规则、完成承担的工作、为企业领导层提供决策支撑。毕竟，企业各部门实施管理的目的，最终体现的是绩效、成就，而不是单纯的“防控风险”。

那是不是“防控风险”的工作变得没有意义？在企业中，无须过多地讲解“原理”，原理性论述叫“传道”。因为：“有系统的地方应有控制”以纠偏；“有监管的地方应有合规”以执行；“有事项存在不确定状态的地方应有措施”。企业推行内控、合规、风险管理的真谛：是要把“应”转变为“必”和“有效”，这是追求的目标。

谈到防控风险，我们在落实“内控、合规、风险管理”工作的同时，不能只盯着它们本身，而应该放大视角范围，去全面、系统、合理地运筹布局。

企业中，具有防控风险功能的能力，并非只有“内控、合规、风险管理”本身，还有“规则”。从风控的维度，规则是预防风险并确保成功的方法和工具。规则，包括企业中“需要遵从”的所有制度、流程、具有权威性的限制性公文、管理标准，以及直接沿用并纳入企业规则管理范畴的外规等等。

规则的权威性、集成功经验于一体的有效性特点，决定了规则大多具有“控制功能”、“预防风险功能”。规则的全面性、系统性、适应性，决定了“预防风险”的范围、程度，是企业开展“内控、合规、风险管理”工作的事前，是决定“内控、合规、风险管理”有效性的前提、条件和基础。

规则在企业中“成立的条件”，首先必须“合法合规”，否则不成立。规则的管理过程，既包括“外规转内规”，也包括“具有并发挥效能”的审批成立、直接沿用外规、推广执行、监管与处置的过程。所以，外规转内规，不是合规管理的“职责”，而是合规管理的“原理”。真正的职责，在于“管理规则的各主责部门”，通过规则管理职能体现出来。

之所以按照“内控、合规、风险管理”进行排序，就是要体现“在以规则为基础条件”的前提下，按照功能与作用对象的“事理”逻辑，形成“不断升级”的梯次型防控风险能力。

内控排首，原因是：管理包括预测、计划、执行、协调、控制，控制是管理的一项职能。管理通过规则体现出来，控制是规则中针对“人性本恶”、“专业能力不足”、“数据源不准确”等假设风险可能，所采取的措施，其中也映射了“人性带来的合规风险”，从而让“规则产出”趋于稳定，实现成功的产出预期。

合规管理居中，是基于规则整体的视角得出的结论。合规管理的功能，是让规则“适用者”遵从规则，行为结果符合规则要求，是规则管理旨在提升“管理执行力”的延长线，包括知道“必须做什么，不能做什么”两个方面。

风险管理居后，是基于当规则合理、功能完善，当规则适用者具备了“管理执行力”的时候，在为达成绩效开展工作的过程中，还会遇到“若干事项要素”。这些客观存在的事项，由于各种原因，可能导致工作的结果，发生不愿意看到的“结果状态”，这个事项即“风险事项”，需要通过干预以化解或降低影响。风险管理的功能和作用，体现为“规则预防风险”之外的剩余风险。

规则、内控、合规、风险管理，构成了企业“防控风险”的梯次能力布局，可以反映到决策、运营的各个环节。所以，内控、合规、风险管理不存在与任何一项职能的“一体化”之说，它们只是“用规则”可以承载的管理要求或要素，而风险管理更体现于规则的“扩张与外延”。

只有在清晰地界定与划分的前提下，方得集成。没有界定与划分，何来“一体化”？

原因很简单：内控、合规、风险管理都对齐“目标”而发挥“保证”作用，都是以风险为导向建立并加以落实的“对应措施”。落实于企业的实践，唯有绩效，是衡量结果是否达成目标的“度量尺”。所以，内控、合规、风险管理，我们都可以概括为“是组织和员工达成绩效的抓手”。

最后，我把我的认识归纳为三句话，与大家分享：

1.内控、合规、风险管理，可以构建一个独立的“全面风险管理体系”，但不能摆脱规则，最好的方式是：与其他管理体系共同实施。

2. 内控、合规、风险管理，都是具有“保证属性”的工作，保证离不开施加的载体。孤立地看待它们，只能是原理。

3.任何工作的策划与落实，都有一个正向逻辑与逆向防控风险逻辑彼此交织的相向过程，但最终会走向正向，形成下一个层面的循环 —— 规则。