相對企業中業務管理、正統的大職能管理，內控、合規管理與風險管理是從“保證有效性”的維度，孵化出來的幾項細分職能。

何謂保證有效性？因管控不確定性產生的措施，可以產生迂路，但不能改變正向運籌路線。凡開展保證有效性工作，必離不開正向路線的梳理，所謂與業務融合的說法，就是正確的廢話。

就好比路上撿到的一根兒樹枝，可知其生于樹，卻很難判斷成于何樹、能生何物，如何打理才能讓枝上花果殷實。即便觀一眼而知其出自何樹，闡其打理之法，也屬憑經驗的判斷，代表不了全部。

由此，看似細分的內控、合規與風險管理，反而需要更寬闊的知識、技能、經驗、思維為條件基礎。我把企業中的內控、合規管理、風險管理當前面臨的處境歸納為5個字：迷、惑、難、浮、窘，是經年累月由想當然做法沉淀而成的結果。

內控、合規與風險管理之迷，來源于只觀其表而言它；惑，來源于不尋根問源而粗識；難，來源于從分枝需回歸于木、林的重識而求其法；浮，來源于求其形而不求其效；窘，來源于被理想化的方法束縛而不自知。

進入9月份以來，企業似乎進入培訓高峰期。掐指一算，已婉拒3個企業給出方法要求的培訓之邀，最后給合作伙伴定出一個標準：凡X位一體建設方法的風險管理培訓，一概謝拒之。

凡咨詢從業者，均為企業的商業合作伙伴，無非有四者：師者、知者、正者、利者。師者，常以理念之談而獲認可，其旨在啟發，至行動而無蹤影，可談但難以轉為行；知者，因深窺其質而有常人不可認知之理，腦中看似已無法，實已貫通消融于心，言事方談其法，法無定式，因病開藥，行動快捷，終讓客戶可行可為；正者，無論知多知少，必為客戶究理善事，傾力而為，結果如何不可測；利者，必因藥言病，一法代百法，低價制勝，萬變不離其宗，結果終表現為浮、窘之態。

01.勿被先驗性方法束縛

所謂先驗，即認定了一個不知從哪來、又不知到哪去的方法，即使歷盡千辛萬苦也必套用之，實質出現了“首末倒置”問題。

所謂X位一體的方法，因企業職能分布狀態而定，于是就產生了內控、合規與風險管理三位一體，如果再加上法務、監督構成了五位一體，把監督再細分為審計、紀檢，就構成了六位一體。

有什么樣的需求就一定會有什么樣的供應。仔細想一想：把事中保證有效性、事后發現問題的職能捆在一起的目的是什么，其價值何在？其次，監督之稱謂，并非專門的監督職能，還包括安全、質量、環保、保密、財務監督等職能，他們的監管職能又放在哪里？

在企業尋師問道的路上，確實出現了不少大師，他們講著用流程承載各種管理要求的原理而不厭其煩。原理、道理固然重要，看似也可以把流程撐成個無所不能的大胖子，但是，考慮沒考慮這種原理，是否違背了風險管理的原則呢？做事兒必須考慮原則。

風險之管控，必先考慮投入與產出的配比，只有產出大于投入的行動才有意義。企業還不至于為了追求內控、合規與風控的效果而興師動眾，先把需要巨大資金、跨若干年時間投資的流程管理搞起來吧？

經常遇到這樣的問題，內控主管人員認為內控建設需要梳理流程，所以認為這種方法可行，聽著似乎也有道理。問題是流程是什么？是一套做事兒的方案、是一套因場景而設的做事兒方法、是一套員工能夠找到角色履行職責的劇本，而不是劇情。

在不少企業中，主管人員拿著花重金而不被員工認同的手冊，希望能夠通過完善而提高其可行性，或者通過修改而一起解決內控、合規與風險管理問題。

不要有這樣的奢想，出現這種想法的實質是沒有真正搞明白內控、合規與風險管理，是一種不切實際的短期行為表現。

事實上，我在這里將內控、合規與風險管理并列講的方式，嚴格意義上，都是不太正確的表達方式，只是礙于大家的“習慣認識”罷了，否則文章會更長，真要做起來，根本不可行，因為他們都是概念。

企業應該怎么辦？先搞清楚自己做事兒的需求，不要先用一種不切實際的做法把自己束縛起來，也不要渴望通過簡單的溝通就能完全掌握方法，萬事兒都要下功夫，在頂端籌劃層，哪里有通過人人都能看明白的一紙文件就能解決問題的道理。

02.內控、合規與風險管理之間的邏輯

為什么在01中，我說將內控、合規與風險管理并列講的方式有不正確之處呢？內控、合規是基于風險管理機理而產生的職能，風險管理又是什么呢？是單獨的一項職能嗎？顯然不是，而是一套做事兒的機理。

什么是機理？做事兒應該遵從的事理邏輯，由此而形成做事兒的通用邏輯步驟，所以才有了搜集信息、風險識別、風險評估、提出風險解決策略、制定風險應對措施的邏輯說法。邏輯只是邏輯，不能說成是風險管理流程。

很多人糾結于風險策略、應對措施的差別，甚至出現了很多錯誤的解讀。何謂應對？只有當風險發生后才談得上“應對”，應對的對象是什么？當然是問題、故障、事故了。所以，來自于學術性的說法，究竟會產生多少不同的認識呢？置身于管理，不能這樣。

那么內控、合規、風險管理之間是什么樣的邏輯呢？管理風險之精要，在于針對風險之后的策略與措施，措施之成在于：首選確定性措施，其次是臨時性影響措施，再次是風險容忍度標準之上的確定性管理升級措施，最后是風險發生后的應對預案。

確定性措施是什么？首先是標準、其次是表單或模版、再次是流程、最后是制度。所以，內控建設、合規管理的建設部分，最終導向的是制度、流程、標準、表單、模版。為什么呈現相反的狀態呢？

無論制度、流程，都遵從“事第一、人第二”的原則，目的在于用確定性規則提高結果正確性的概率，這就是企業制度與法律法規文件的不同之處，也就是說在合規管理中，用整理法律法規等外部規則合規要求的方法，在企業制度中很難行得通，所以才導致建立的合規義務與風險清單，呈現為“似不像”的混合結果，是典型的表面化、模糊化理解的產物。

那么內控是什么？內控有其兩意性：一是基于確定性規則預設的路徑，針對不確定性實施影響而設定的控制節點；二是控制節點下角色實施控制的標準措施，如果放在現場的場景中，即SOP。控制是為保證預設路徑穩定、有效、可重復的風險解決措施。

只不過企業中有兩個問題：一是制度、流程并不一定系統、完整；二是制度中有控制節點，但缺少控制的標準措施。所以，企業內控建設是基于以上兩個問題下的建設活動，本質是“精細化管理”的實施過程。精細化體現在哪？做事兒的標準化套路、具體的關鍵活動標準。所以，才出現了梳理流程、對關鍵控制節點進行控制標準化建設的需要。

問題是如何實現控制標準化呢？來源于對“管理思想、原則、方法”的理解，在不理解控制機理、方法的前提下，別談“內控建設”。為什么當下不少企業的內控建設產出不被員工認同呢？拿著原理流程、內控指引中的常識性說法，或者說用職責、模糊化描述進行了“偷梁換柱”，這種流程覆蓋不了現實中的業務事項而沒有意義。

可以看出，內部控制建設與企業的制度管理、流程管理具有非常緊密的直接關系，而不一定是什么合規管理、風險管理、監督。

厘清了內部控制的邏輯，合規管理是在做什么？同樣，合規管理也是基于風險管理機理產生的管理職能，只不過它的核心在于規則中的“關鍵控制要求”。

怎么理解關鍵控制要求呢？從外部規則角度，即包括“有條件的做事兒要求”，也包括“嚴禁、不得的限制性要求”，所以才出現了“識別合規義務”之說。

那么合規風險評估是在做什么？有兩個來源：一是在判定企業內部是否有“與滿足外規要求相匹配的確定性措施”的分析過程；二是根據企業現實的運營管理過程，判斷是否存在可能導致違法違規違紀的失控行為。

二者的導向，全部在于“建立確定性措施”，即制度、流程、標準、表單、模版。構成了與內部控制“基本一致”的重疊部分，而內控建設的風險要素包括“違法違規違紀”要素，所以，合規管理要進行向內控傾斜的“職能讓渡”，把合規管理轉變成“規則的遵從、滿足控制標準、執行標準”的執行問題，從而形成了規則與合規管理的前后交接界面，合規管理是規則管理的延長線。

為什么會出現一體化建設的說法？是因為沒有厘清職能之間的邏輯關系，把本可以通過分工做好的協同問題，囫圇吞棗地揉合在一起，這種方式的結果，沒有產生“整體效能”的可能。

是不是有了完善的制度、流程、內控、合規管理，就意味著“正確的結果”？不是。會在企業戰略制定、戰略實施過程中，仍存在或暴露很多不能通過確定性規則解決的“不確定性”，只能求其次，尋求“臨時性影響措施”，即常講的風險管理。

問題是我們把風險管理認同為“機理”，因為，沒有這個機理，產生不了內控、合規管理，所以，要體現戰略管理中的“風險管理活動”，即“風險管控”，取而代之模糊的風險管理，形成內控、合規管理、風險管控三大并行結構形態，也可以統稱為“風險管理”，是企業的自定義問題。

如果把風險管控放在“年度經營的完整過程”，同樣遵從以下原則：

首選確定性措施，其次是臨時性影響措施，再次是風險容忍度標準之上的確定性管理升級措施，最后是風險發生后的應對預案。只不過，這里的確定性，與企業年度中“確定的活動”緊密關聯在一起。

什么是風險管理與經營管理的融合？既是話術與口號，也是風險管控的原則。既然要開展風險管控，設計好了機制，不就實現了“融合”嗎？關鍵是得找到“方法”，而不是閉著眼睛搞出一份“一體化”資料。

如果哪位大師還堅持幾位一體、堅持流程承載的觀點，如果認同這種邏輯，大可試一試所謂的“一體化”是否具備可變現的條件。當然，我相信你能夠實現，但一定是拿有限的投入去做華為300億的事情，咱們就打個大大的折扣，做幾百萬投入的事情，你會做嗎？能做到嗎？流程管理的實現，需要最高領導者的決心與毅力為條件。

03.結語：如何實現產出有效

無論是合規管理、制度管理還是監管、監督，經常出現的一句話是“責任追究”，講的人很多，那么，這句話成立的條件是什么呢？

一是厘清流程中重要節點的管控責任、流程決策責任，二是澄清相關的工作標準。失去這兩個條件，企業中的追責都是“空談”。很多看似復雜的事兒并不難，難的是人們難以改變的觀念與看問題的格局。

講流程的人很多，但所做的流程應該是什么？看似具有流程的形式，是否能夠覆蓋實操業務的范圍呢？如果把流程與業務分割開，自然就會出現產出結果“不被認同”的問題。

是不是意味著內控建設無法進行呢？當然不是，需要從整體管理的角度，結合規范甄別制度的有效性，結合制度、管理思想與方法識別重要的管控事項，找到決定成功的關鍵要素，判斷其中的風險要素，針對性厘清措施，不就形成了標準。但是，18項指引中，也不是都必須以“流程”的形式表達。

問題是流程事項的切割，如何向劇本方向轉變？是一個經驗問題，也是一個流程管理問題，當流程中的責任者轉變成角色的時候，就構成了事項、標準、責任的對應關系，當流程到了這種程度，即使沒有風險控制矩陣，員工也知道“你在控什么”。

同樣道理，合規義務的識別必然與內部制度有關，只有當內部制度不足以控制風險的時候，才呈現為“違規風險”，產生風險的合規義務，就構成了相關角色的“臨時執行標準”，但不是結束。合規風險的存在，自然帶來“建立與完善制度”的需要。這是什么？三張表單的產生機理。

為什么很多企業的合規管理帶來的是一套“靜態的合規義務與風險列表”？為什么風險措施中出現很多“貫徹執行”的無用說法？沒有厘清外部規則、內部制度、合規風險、執行標準、監管之間關系帶來的不太恰當的結果。

其實，做任何一件事情，要追求實效，并不是拿著一套方法舞來舞去，關鍵要做好以下幾件事兒：

一是要樹立流程思維，要按照業務流的機理去思考問題。

二是要堅持整體觀，站在要開展工作的上一層位置俯瞰，做出框架的邏輯、格局劃分。就好比內控規范、合規管理辦法一樣，是不同維度的兩份兒文件，二者之間的重疊、交叉部分反映不出來，需要通過布局去梳理，而不是依靠文件各做各的，或者干脆混為一談。

三是要處理好直接相關、間接相關的不同職能之間的關系，實現的方法是“協同”。協同又劃分為淺層次協同、深層次協同。淺層次協同，體現于共同認可的界面“接口標準”，深層次協同，則體現于“后置前移”的團隊，團隊因協同需要由不同職能人員組成，而不是一個常設組織。

四是要堅持執行、標準、監管的匹配思維，要追求落地，離不開標準，但機制、標準又會產生管理成本，所以，做事兒都需要有度，度之所在，關鍵之所需，競者之平衡，也就是我總提到的內控、合規與效率的“背反效應”問題。

五是要重視前端的統籌與規劃，前端如果不穩，勢必頭小尾大，一個階段內表現并不明顯，隨著工作的深入，各種不同認識就會出現，必然遭受后端的加倍反噬。

為什么我在體系建設中，總會出現大量的“自定義標準與衡量標準”？目的是統一認識、統一語言，避免認知分歧。事實是，控制有很多方式，當梳理到一定程度，厘清不同控制在各種工具中的位置，內控建設的“針對性”才會浮現出來，而不是泛泛而談的內控建設之說。

制度、合規管理、風險管控都一樣，不能用來自于外部的常識做企業的內部管理。

六是要善用體系管理手冊、程序與作業說明書、制度等工具。體系管理手冊、程序作業說明書，是對體系管理的表達，前者常用于前端的統籌與規劃、體系管理的重點說明，后者是體系運作的預設方案與路徑。體系建設，主管人員不能總把認識、想法裝在自己腦子里，依靠培訓解決，而是要用手冊與大家分享、共享。

制度是什么？用權威性進行布局，通過做事兒、關鍵環節要素的控制，讓各項功能正常實現，通過設定機制提高體系運作的效率。同樣，制度管理也需要前端的統籌標準定義，而主管部門提供的制度建設規劃與布局工具，是促進制度進一步貼近業務管理現實的方法。

管理是什么？當人們認識、理解、實踐、思考達到一定程度，管理的技術特征會表現的越來越明顯，貫穿其中的并非某一個方法，而是集各種思維、方法、工具設計之合成，正如內控、合規與風險管理一樣，表面看他們既有建設、運作的一面，同時，還有在經營管理中“靈活掌握，按需應用”的另一面。

返回列表