01.观点与问题的提出

在很多学术派的观点里，一直在探讨如何找到一条强化风控、内控与合规管理一体化的实现方法：有谈三位一体的，有谈与某项关联职能协同的。

观点，都可以有，但企业是一个价值创造实施体，重在实践，如果引导方向错了，即使讲的再有道理，即使做出各类美丽、整洁的文本产出，即使有着丰满的各种标注，恐怕最终也会成为“代表完成任务”的柜中之物，不具有执行性，自然也不存在持续的可能。

流程的本质是业务，企业员工的工作就是在做业务，不同业务域岗位人员的职责不同，他们作为角色参与到相关流程。让承担风控、内控责任，以及合规管理要求的员工，自觉地去落实风控、内控与合规管理的要求，这些保证类业务就必须纳入到流程，或纳入到流程作业说明书中，这是一个“分散化”的过程。所以，风控、内控、合规只能让流程去承载。这是一种可行的观点和做法，不会发生方向性的错误，但企业很难做到，为什么？

从流程管理角度，流程本身就有控制的作用，内控本身也是流程中的活动，流程成立的前提是合法合规，只要员工按照流程作业说明书执行了流程，意味着合规要求的落实，意味着内部控制执行的有效，如果各流程角色，能够在规定的时间内实现产出，意味着风控有效。内控、风控与合规管理因“防风险”而生，用流程承载三者，就是“用确定性去管理不确定性”。

现实中，不少企业的流程并没有达到系统的程度，即使开展了一些流程梳理，暂不论流程是否符合可执行标准，其结果呈现的也是离散的。可能在很多专家眼里，并不认同我的这一观点，或者把局部的作业流程（也就是常规讲的审批流，但这种说法是不准确的）视同为“广义的流程”，或者用18项指引以驳斥，我都无以辩驳，但这种结果一定是“残缺”的。

那有没有一种方法能够解决这一矛盾呢？对于流程成熟度不高的企业，必须找到一个折衷，借助制度、流程的系统性、重点作业级流程实现互补，提高其有效性。

本文以很多人认为“太虚”的战略管理为例，分享将内控、风控与合规管理与其实现集成的做法，看看战略管理是否还是不少人认为的“虚”？

02.方法概要与战略管理的风险分析

（1）方法概要

对大型的以制度为主要规则方式的企业，制度在管理范围内是相对完整的，但不能构成企业级端到端的E2E流程。制度，往往是以部门职责为导向进行的设计，如果不做系统性规划，呈现的制度要么“一刀切”，要么散而乱，这就是企业中的制度为什么“多、杂、低效”的原因。

这里的假设是：用制度架构做好制度规划并完成制度建设，包括3点：一是全面的，取决于与企业关联的外部规则搜集的全面和管理的重视度；二是系统的，能够从目的、范围、职能、职责、权限、治理程序、主要工作的作业、合规要求与奖惩措施等方面形成系统性的分类和层级结构；三是有效可遵从的。这是基础，然后才能谈流程。如果制度不完善，就可以通过流程梳理去反馈制度管理，所以，企业中的内控建设、合规管理建设，又是一个审视“管理规范性”的反思过程、弥补过程，但一定要站在管理的维度去看待。

其次，以内控为牵引的流程梳理，需要构建体现系统的“端到端”主干流程以反映整体性，提高各部门对业务整体的认识度，明确最高阶的控制节点，防范重大风险；其次借助主干流程中对“高级管理者”负责的一级作业流程，转化为“内控建设”需要重点梳理的流程片段，将内控活动标准化、规范化。

企业中的制度，承载着外部合规要求的使命，正如国资委下发一项制度之后，在企业完成思考、做好准备后，启动内建制度一样，自然会考虑、落实国资委要求的方法与控制标准，这是一个从结果转化、分解为过程管理的具体的自然过程。那么未启动“内建”之前，企业必然以国资委制度作为“监管、监督”的依据，这是“事实”而不是理论。所以，企业必须改变一个“外规”、“内规”的物理划分惯性，将合规管理统一到“企业执行的规则”上来。遵从或执行的规则，无论外规还是内规，都属于纳入企业管理范围的规则，这是合规管理与制度管理的“交界面”。

（2）战略管理概要与风险分析

认为战略管理“太虚”的观点，本质是没有理解战略管理的实质。战略管理是一项职能，但具体业务的内容结构包括战略规划、战略规划执行两项大的结构。企业的运营，本身就是战略规划实施的过程。

战略规划管理的过程包括战略的制定、战略解码、战略展开、战略执行、绩效评价、差距分析的过程。其中，渗透着风险管理的必然性。如果不能建立“整体”的概念，战略管理、风险管理、内控、合规都无从谈起。

从战略管理角度，划分为不同阶段，从部门落实职责角度，就存在“不放心的问题”，这就是管理风险类型，需要通过战略管理制度落实到不同的阶段和内容中。与显性风险管理不同的是，在制度制定过程中，对风险的思考是一个“潜在”、“隐性”的过程，反映在制度中，就是基于战略管理部门履行职责设计的“治理机制”。正是隐含着这一潜在过程，制度、流程本身具有预防风险的功能。

首先，从制度作为企业规则主要方式的角度分析，制度中并非单纯管人，包括了文字描述的流程及内部控制，其中的程序、权限、责任设置，即合规管理的重点。由此，合规管理与领导者、管理者之间，具备建立合规责任关联的条件。

其次，治理机制中包括了很多的控制功能，譬如：战略规划框架发布，对下一级战略规划制定权单位的细化指导，下级单位规划上报的条件设置与控制标准等内容，都具备控制功能。但内部控制建设不可能把所有的控制功能展现出来，需要结合风险找到重点，而风险来源于战略规划部门的担心与假设，所以，内控的责任角色是战略规划管理部门，取决于“基于风险的管理要求或诉求”。

规划管理部门的管理要求，很难在制度中达到细化的程度，很可能反映为对管理对象的“审议、审批”要求。对下级单位来讲，执行的审议、审批，面向的是规划的“全面”，是控制功能，但不是内控建设重点，而是流程不可取消的活动。把规划部门的管理要求细化，细化的具体内容即“规范的内控标准”。所以，内控的可标准化度，往往取决于“管理意图”与“管理精细度”。从战略规划整体来讲，最大的风险是战略实施中的投资项目，是否符合战略的主价值领域，是一个重点控制项，而不是规划的审批。

认为战略规划管理“太虚”，本质是把战略规划孤立化了，缺乏“全局观、系统观”。企业为了提高管理的有效性和专业化度，往往会从流程阶段角度，划分为不同的职能组织。所以，企业的组织管理与流程管理是一个彼此并列、印证的过程。比如：组织的绩效评价一般由战略规划部门承担，而员工的绩效考核，往往由人力资源部门承担，所以，流程管理才讲“协同”，重点体现在部门间，分工本以“合”为始。

在企业中，战略规划管理经常出现一个“错律”问题，譬如，企业年度预算是10月份启动，而年度经营计划往往在“年底”或下一个年度的首月发布。由于计划的滞后性，导致企业预算很难与任务项实现“精准匹配”。存在这种现象的企业，如果强调效能，就意味一项“风险”，对企业来讲，风险与目标追求是相对的。

主要原因是：由于“三年滚动规划制定流程”的时间触发机制造成的，错误地把计划与规划割裂为“两件事儿”。其面临两个风险：一是规划成为“文稿”，计划与规划脱节，导致战略执行大打折扣；二是不能形成管理秩序。所以，流程的梳理必须有“触发条件”设置。

那么如何化解这个风险呢？企业运营，在每个年度的“年中”，一般都会有经营分析会，本质是在掌控年度计划执行情况、差距与问题、预算执行与绩效达成的匹配度、后期计划如何执行、下年度预期等情况，既然有了分析，基本就具备“启动下一年度滚动规划”的条件。所以，企业不能把战略规划作为“静态”，战略规划是一个动态的过程。三年滚动规划的起草与完善，完全可以在7、8月份开始，是一个时间触发流程。

这就是我一直提倡的：全面风险管理是一个概念而不是工作，其中包括了内控、合规与风险管理的原因。显性的风险管理，离不开隐性的以预防风险为导向的“第一道风险预防能力的建设过程”，是显性风险管理的基础，也是构建内控的开始。

无论是五年规划、三年滚动规划，还是年度经营计划，都是对未来的筹划，与风险管理的机理具有不同维度的一致性，二者的结合，可以提高规划、计划的合理性、执行性。所以，战略规划、三年滚动规划、年度经营计划，都需要包括“不确定事项预测的结果与发生后的措施预案”，这就是第二道风险管理的显性表现，在企业现实中，往往表现为“重点关注事项”、“不确定事项”等。当然，也可以延伸至计划执行过程中的风险监控，统称为运营风险，合规风险也是其中的构成。

03.结语：风控、内控、合规管理的再认识

实践，并不过于追求理论上的至臻至美，重在对员工达成绩效过程中的指导与实践应用。何况，管理本身并非一项精确的技术，追求的是结果与预期的符合性。所以，在同行业、同业务的不同企业，很多管理的方式与方法是有差异的。

如果员工在履行职责期间，既不发生不合规问题，也能按照规范化的内控标准履行控制作用，能够在规定的“时空”内达成绩效，如果员工的行为，都能够与风控、内控与合规管理的设计相符合，就不能否认内控、合规管理与风险管理的作用与贡献？

衡量一个员工的绩效，首先是对上一级目标要求的贡献，而不是员工做了多少工作，低效率或能力不足的人，可能每天加班也难以取得效果。同样，作为具有保证功能的风险管理、内部控制与合规管理，不要理想化地认为可以“通过评估预测未来”，关键在于以下三点：

（1）显性的风险管理，解决的是现实中最担心会发生的问题，也包括偶发的不希望看到的事件。包括3项工作：一是每个部门都应该拥有一份“不希望出现的问题清单”，即该部门履职的风险清单。二是风险管理部门要进行具体的设计，把企业运营中偶然发现、感知的风险事项进行信息传递的表单，明确风险报告单的运作机制。三是对每个主管部门来讲，对确定的系统性的共有风险，必须明确风险要素项，让执行者“聚焦化进行风险评估”，即专题风险评估，而不能仅仅是风险管理要求；其次，在计划阶段、重大工作阶段节点，可以根据风险关切，建立风险评估机制，是必须执行项，将风险管理转变为流程中的一个控制节点。

（2）对内部控制来讲，必须结合企业的制度，关注企业的规模与发展期，小型企业、成长期企业绝不能参照大企业的做法，会作茧自缚。需要做好三件事儿：一是建内控但重点不能孤立地放在内控上，重点在于流程，流程不是示意图，也不是原理或逻辑图，而是业务，不能反映业务的流程，内控失去了存在的意义。二是在流程梳理完成后，对内控本身的建设，制度中设置的内控点，无论合理与否，都应该反映出来，然后去协调优化；三是对确定的“内控点”，无所谓“风险语言”，重点在于“控制依据的明确，控制内容的标准化”。

比如，以下问题，我是这样回答的，而没有过多使用风险语言，没必要，内控必须针对具体场景，才能具体化，取决于建设者对企业的管理理解和业务掌控程度，任何模糊性“不合理”、“科学论证”、“进行质量检查”等语言，都属于废话。

那么内控建设中，发现制度中的“内控缺失”，或没有制度怎么办？按现实的业务进行流程梳理，把内控做到“最少、明确，换个人都可执行”。只有这样，才能形成与制度的“相向而行”，才能对企业的管理做出贡献。

（3）对合规管理来讲，核心在于“规”。规则取自于外部还是内部？企业的合规管理，一定不能变成对外的法律问题，企业中所有的管理都是对内的，对齐的只能是纳入企业制度管理范围的“执行的内部规则”，体现的是“向上管理”。对企业来讲，内部规则并不完全意味着是“单纯的自建制度或标准”，所以，合规管理与规则管理不能分离。

规则管理解决“全”的问题，合规管理，解决的是“责任”的具体化问题，至于合规审查，那是内部控制范畴，从合规管理维度演化出的“同样内容但不同的说法”而已。