企业开展内控、合规与风险管理工作，流程、制度、内控、合规的支撑能力，与风险管理的压力程度之间是反比关系。

流程与制度越系统、越规范，内控建设就越具备完整、系统、具体、标准的条件；企业的流程文化、制度文化越卓越，合规管理的压力就越小；当系统、完善的流程与制度，被各角色合规地遵从时，企业风险管理的重点，自然会凝聚到三个方向。

01.风管部门的主要职责是协助建立风控机制

企业推广风险管理，有时容易被领导、其他部门想当然地认为：管理风险应该是风险管理主管部门的职责。甚至于当部门领导更迭之后，也可能会武断地认为，其他部门开展的风险管理工作，与风险管理主管人员的绩效无关，而把主要精力置于撰写企业级的风险管理报告上。所以，企业中的风险管理人员，经常处于“夹心饼”的中间层而颇显无奈。

其实，风险管理部门的核心职责是：配合并协助各业务主管部门构建风险管理机制，承担企业级风险的综合分析，能动型比较好的部门会管理风险数据，主动监视风险趋势。特别是第一项职责是跨部门的，企业中所有人都明白，推动跨部门工作是最困难的事情，需要风险管理人员拥有以下4个基本条件：

一是对其它业务域管理思想、方法有所了解，理解越深越有利于沟通；二是具有一定沟通能力，能够配合业务部门将风险管理转化为确定性的流程、制度、表单、模板等；三是要深刻领悟全面风险管理的本质及内控、合规与风控的关系，形成风险管控的能力梯次；四是要富有创新意识。

很多人会说，企业中哪有人能够满足这个条件？哎，企业中的任职资格是做什么用的呢。风险管理是一项综合性非常强的工作，岗位人员属于一种经验型、创新型角色。所以，不少企业的风险管理人员，很多来自于规划、计划管理等岗位，可惜的是，很多企业将风险管理职能划归到专业型部门，综合型管理与专业型管理的思维、路子有很大不同，职业发展通道也不一样。

如果留心一下央国企，风险管理做的比较好的企业，要么风险管理在综合型职能部门，要么在比较强势的部门，要么有一个经验丰富且富有责任心的主管人员，三者必有其一或其二，而且可以把风险管理做到消化于业务过程而浑然一体。否则，这个企业的风险管理，很容易转变成“布置工作、写风险管理报告”为主的状态。

那么，风险管理的重点究竟面向哪三个方向？为什么？

一是由外部的不可控因素带来的内导型突发风险事项，比如政策变动对企业经营计划的冲击，供应商突发风险对企业采购与供应计划的影响，竞品的突然加入造成企业产品销售额下滑等。原因是，这类风险带有偶然性，很难通过制度、流程预防，且具有较大的传导性。所以，对风险的描述只能是两层多维，通过因果反映，不能多层扩展。而不是面对法律就称法律风险，面对市场就称市场风险，面对企业内部就称运营风险，泛称与风险描述不一样，企业需要对泛称作出自定义。

二是计划制定、计划实施、阶段经营分析中对不确定事项、风险事项的关注，比如，领导者不会过多关注确定事项，而是把精力分配于计划确定但结果存在较大不确定性的事项，如新产品开发、重大预研项目技术开发等，依责任层级展开；另外，还会对不确定程度较高的风险事项，比如，新产品或新技术可靠性、投资项目等进行节点专题风险评估，从而审慎地做出工作部署与策略选择。原因是，我们传统的工作方法，都是正向思维，就如计划一样，通过时间、事项、里程碑、责任反映出来，却很容易忽略哪些事项是确定的、哪些事项是不确定的、哪些事项具有不可克服的条件限制、或呈现较大的风险特征，而不能做到防患于未然。

三是重大决策事项，包括4个环节：程序要合规、提案要可选、建议选择的提案要呈现风险、风险应对预案要完善。原因是，企业级决策有特定的含义，任何决策都属于影响未来的当下行动，没有人可以准确地预测未来。风险管理能够做的，一是让当下的决策过程规范以追求科学决策，二是通过提案的风险评估为决策提供可选择性支撑，三是决策事项实施过程的风险管理，可以通过一、二两个方向的工作方式反映出来。

需要说明的是，风险管理机制的构建，同类风险需要通过确定性规则来实现，确定性规则都有确定的评估要素结构，从而实现可持续的评估一致性，而不是简单地要求对方进行风险评估，规则执行的产出，即风险评估结果及措施建议。只要是长效机制，十有八九如此。至于企业级风险的分析、综合与排序，由风险管理部门承担，可以设计权重模型，也可以通过关键成功要素矩阵解决，并不复杂。

02.怎么做合规？合规建设是一个规则化的过程

研究合规管理很长时间了，但总有一种莫名的惆怅。其实，到现在为止，很多人对企业合规管理的认知，仍然停留在单维化直观理解的程度上。很容易理想化地认为只要把所有的外部、内部规则收集完整，把其中的合规要求，转化为覆盖全面的相关岗位、流程角色的清单，就可以发挥防范违规风险的作用。

诚然，这是一种可行的基本原理，要让对方不发生违规行为，前提是让责任者知道规则。很多时候，人们容易陷入一种状态，以为整备出一套详尽的手册、清单，员工就会遵从这些规则。试想一下，仅仅一个公司法、仅仅一个劳动法、仅仅一个会计法，乃至会计准则，或者国资委一个中央企业参股管理办法，或者上市公司面对的各种规则，其中会有多少赋予企业的合规义务呢？

如何理解规则化呢？既有标准化的方式，如制度、流程、管理标准、执行标准等，是公认的规则工具。规则中对特定岗位、角色活动进行的规定，是微观意义上的规则。那规则化与我们常说的合规义务、合规要求、合规清单有什么区别呢？

其实，不用纠结怎么称呼，合规义务、合规要求，不都是规则中的条款内容吗？如，某法律、制度的条款规定等。所谓合规清单，不就是把条款规定拿出来，与责任者对应上的结果吗？目的不就是告诉责任者这就是适用规则吗？这些说辞，都是学者研究的说法。所以，合规建设的本质是一个规则化的过程，其中，清单是立规的过程，合规审查是依规实施审查控制的过程，合规监管是依规对行为结果的判定过程。既然是一个规则化的过程，合规管理自然离不开企业内部的规则管理。

我总在思考两个问题，为什么央企、国企建立了合规、内控、风控，却仍时不时地发生高级领导者被一串串地请去喝茶的问题？为什么还有领导者敢于光天化日下不合规地牵手，游走于繁华市井大街的现象？为什么还有那么多上市公司出现明显的违规问题？难道他们不知道这是违规吗？所以，有了规则不一定被执行。

我也不知道，为什么很多外部专家，热衷于把外部法规直接拆解为限制性条款，直接灌输到企业中的相关岗位，也许是基于上述两部分的理解吧。这种方式，看似很合理，但结果必然是落实在最底层的“执行岗位”，美其名曰：从源头抓起。但客观讲，真正出现重大违规问题的，还真不一定是执行岗位的人员。

以上两个问题，其实忽略、或者说跨越了企业中一个现实的管理阶段，分析如下：

一是企业是有管理的，管理的核心在于“基于事理的关联人”。管理的重要措施和方法，包括建规则、促执行与监管的过程。流程、制度、模型、体系等等，都是管理采用的工具或方法，但工具只能是工具，只有辅以正确的理念、正确的管理，工具、方法才能转变成可延续的一致性规则标准。

能够得到执行的规则标准，本身就是合规管理工作产出的反映，其权威性及发挥作用的权重，要远高于“直接拆解的清单”，所以，合规管理不要把制度、流程、表单、模板的建立，排斥在职责范围之外。其实，不少专家也不是不明白，所以才有“外规转内规”之说，可惜的是，具体行动时，却转变成僵化地把“外规中的相关条款”，简单移植到企业内部，相当于“没转”。

二是正确的理念、管理体现在哪？范围很宽，我们以一个特别难解决的问题为例，很多时候，一个高级领导者因贪腐而落马，他的行为肯定违法违纪了，这种情况往往直接归因于“权力失控”。为什么会失控呢？因为规则存在缺失或缺陷问题；为什么会有缺陷呢？因为规则中的方法存在问题；为什么方法存在问题呢？因为不好监督与衡量；为什么不好衡量呢？因为缺乏衡量标准。如何整改呢？

一个权力者违法违纪行为的先导指标，往往通过选人用人、对资源应用的干预反映出来，虽然每个企业都有干部管理办法，都有纪委，都有集体表决，从文件上也明确要接受纪委的监督等，但客观上一把手的权威性很难挑战，这一点大家能承认吗？所以，企业高层领导的违法违纪问题或线索，基本都是或由企业本体之外的监督发现，或由举报者、网络信息所发现，这就是现实。

但是，如果针对发现违法违纪问题的性质查找对应的制度，将高级领导者纳入限制范围的规则并不缺少，只不过这些规则是通用的，很难分解到高层管理者的岗位，比如，党员纪律处分条例等等，虽然能够找到限制条款，却缺少具体的针对性，而且这种条例，本身不可拆分。

当然，企业的一把手发现“千里马”而力荐，是合情合理、完全可以的，问题在于要有节制。试想一下，有多少企业通过规则，给一把手“年干部直接提名人数不得超过两人”的限制呢？有多少企业在规则中明确，选人表决遵从“从众不从贤”原则呢？但华为的创始人任老总可有啊！人家还经常不用这种特权。明智的领导者到达最高岗位时，会主动要求制定一些约束性规则，预防因个人权力膨胀、主观认识而发生决策风险的可能性。

在企业中，员工本没有好人、坏人之分，规则让你做好人，那他做坏人的概率就会很低，除非他就想做坏人，核心是规则要讲究方法、效果，要有势能，讲究既有权力空间又不失控制的平衡，才能牵引出“自控力或向好发展”的动机。这类对高层领导者的“权控”型规则，主要还是取决于领导者的意愿，而意愿就是“价值观”理念的直接反映。这就是我在以前文章中，经常说到“合规与创新性是一对背反效应”的原因。

再比如，在劳动合同法中，对企业劳动合同期、试用期进行了详尽的规定。如果让专家讲这个合规话题，恐怕他能滔滔不绝地讲半天，如果进行清单化拆解，自然会拆解成多个长篇幅的清单标准，还得对应到层层的岗位。有没有更好的处理方法呢？

为什么不做一个“劳动合同模板”呢？按照法律规定把合同期、试用期一一对应起来，试用期选择对应的最长期限，不就解决了吗？而这个模板，不就是签订劳动合同的执行标准吗，既高效又简单，还可重复处理大量人员的聘用问题。所以，管理风险的首选方式，就是转化成确定性，清单形式的规则化次之。

无论是风险管理、合规管理，优先考虑的是“管理导向的确定性规则型标准”，从而“降低清单数量”，简化管理。类似上述的劳动合同固定模板，是不是已经转变成人力资源部门聘用人员的工作内容了？如何复核以保证准确或正确性呢，最好的方法，就是建立标准控制型的检查清单，这才是真正的“源头”，也就是我经常讲的“内控前置”的说法。

三是不要忘了在企业中对员工的尊重。尊重不是与员工嘻嘻**、一团和气地搞好关系，而是尊重员工的“智慧与技能”。怎么理解呢？譬如，会计准则，是国家制定的适用于各种企业的执行规则，需要拆解吗？

事实上，很多企业要么就是直接采用会计准则，要么就是根据内部管理需要，通过内部制度进行局部细化，但不会也不能违背准则的原则。为什么这样呢？掌握会计准则，是会计人员上岗的必备技能，就好像法律人员掌握某一领域法律条款一样熟悉，不至于把各种法律法规的规定条款，一一拆解到法务岗位职责中去吧。何况，会计账务记录与处理，还有一到两层的控制。如果人岗匹配，根本就不需要拆解到岗位，或者只需要拆解内部管理的细化内容即可。

那出现了不合规或违规问题怎么办？属于岗位必备技能和条件的，出了问题没有任何申辩理由，该怎么处理就依规处理好了，否则也就不需要监管、监督了。这种思路，恰恰反映出一个原则：处理好合规与灵活性的平衡，尽可能不要把员工管理成各项层层叠叠规则的奴隶。为什么会有这样的思路呢？拆分为合规清单的原理虽然没有问题，但企业是一个实践体，而不是培养知识分子研究理论的地方，做事儿，是由标准、条件、范围决定的，不能用原理来衡量工作程度。

这就出来一个问题，比如，企业面对的反垄断法、反洗钱法、反腐败法、反不正当竞争法等极少触发，但又不得不给予重视的外部法规，合规管理如何处理呢？企业运营结构分为两层，简单讲就是计划层、执行层，计划中产生的各种“事儿”，在企业运营基础上完成，这个基础即流程。有了流程并不意味着执行，触发流程需要辅以必要的管理来促成，所以，除两层结构外，企业还有一套内在的责任体系在发挥作用。

外部的法规，不会渗透到企业的管理，更不会渗透到某个岗位，其适用对象是“企业”。企业又划分为领导层、管理层，管理层是某个业务域的职权授权代表，违反外规的责任追究，一般会着落于领导层、管理层、直接当事者，所以，外部规则的责任清单，最多拆解到部门管理者，或流程中的“A”角色，不可再追根溯源地向下无限着落于“执行岗位人员”，否则，就变成了“最底层大范围人员承载所有责任”的结果。

会有人提出疑问：如果执行人员在操作中，违反外规的规定怎么办？我只能这样回答，如果执行人员具有一定频率的业务活动，具有发生违规问题的可能概率，那就意味着企业需要加强过程管理，而不是用外规“合规要求条款”去管理员工，这是部门管理者的管理责任，那就循环“外规转内规”的流程吧。同理，这也是《企业合规管理准则》产生的机理。企业的合规管理，不能想当然地包打一切。

这就是我一直提倡的：企业外部规则有分解为合规行为清单的理由，但合规管理对齐的一定是企业纳入管理范围并直接遵从的规则，这部分规则，除内规之外，也包括企业选择适用并直接遵从的“外规”。

合规管理只有与企业的内部管理对齐，才能将清单落实于执行、管理、领导岗位，也才能将合规管理转变成促进管理规范，提升企业管理执行力的措施。因为，它承载了企业的“管理要素”，形成了与岗位、流程角色职责对应的合规责任标准。当然，普适性的控制型规则，本身就是执行标准，不需要拆解为清单，也不可拆解。

03.内控怎么做？关键在于具体化、标准化

企业中的内控建设，既要有定义，也要有分类，才能做到有的放矢的建设。我们拿一个基础建设项目审批为例，对其中环评内控进行描述。

基建项目审批流程非常复杂，既有企业内部的规划、论证、立项、可研、评审与审批流程，也包括向地方政府申请规划许可与施工许可的过程。企业内部的审批，自然包括是否符合战略、是否能促成规划目标的达成、是否满足地方政府的审批条件等等，这是决策点，虽然是控制，但在企业内部，并不是内控建设内容。为什么？

企业一级部门的4项主要职能结构之一，是“为领导决策提供支撑”，决策关注的主要内容，具有重复风险的环节，都需要对应职能部门进行审核，即内部控制。所以，企业中绝大部分内控，都可以实施不同程度的“标准化”。

那么内控建设点在哪？是否履行了环境评审，也属于合规审查，控制主体是承担环保职责的管理部门，所以内控建设的内容包括：一是是否有环评结论；二是环评结论是否支持项目获得许可；三是委托的是不是专业的环境评价机构；四是环评评审组是否签字完备，从而构成内控的具体内容。当然，环保部门还可以做适应性扩张审查并提出建议，与人的能力与知识结构有关。

至于主管投资部门的内控，自然包括是否委托专业设计机构、规划设计是否满足目标要求、工艺布局是否满足技术要求、土地规划许可等等。同理，对应的安全管理部门实施的内控，针对的是“安评”结果，而不是如何评，也是可以标准化的。企业内控手册中经常见到的“不科学”、“不合理”、“不到位”等描述，那不是标准化，而是模糊性表述，是不可能落地的。

所以，从企业内部控制建设来讲，关键是要找到或确定必要的内控点，控制的内容既有风险的认识与度量，也有管理的符合性设置，只有深刻了解了管理的思维、方法、风险可能，内控就可以做到具体化、标准化。也只有具体化的内控，才能不因人员的更迭而造成执行失效、无效问题，内控才能稳定的落地而持续发挥效能。

来源：互联网