被先验性方法束缚的内控、合规与风险管理是否还有现实的应用意义

相对企业中业务管理、正统的大职能管理，内控、合规管理与风险管理是从“保证有效性”的维度，孵化出来的几项细分职能。

何谓保证有效性？因管控不确定性产生的措施，可以产生迂路，但不能改变正向运筹路线。凡开展保证有效性工作，必离不开正向路线的梳理，所谓与业务融合的说法，就是正确的废话。

就好比路上捡到的一根儿树枝，可知其生于树，却很难判断成于何树、能生何物，如何打理才能让枝上花果殷实。即便观一眼而知其出自何树，阐其打理之法，也属凭经验的判断，代表不了全部。

由此，看似细分的内控、合规与风险管理，反而需要更宽阔的知识、技能、经验、思维为条件基础。我把企业中的内控、合规管理、风险管理当前面临的处境归纳为5个字：迷、惑、难、浮、窘，是经年累月由想当然做法沉淀而成的结果。

内控、合规与风险管理之迷，来源于只观其表而言它；惑，来源于不寻根问源而粗识；难，来源于从分枝需回归于木、林的重识而求其法；浮，来源于求其形而不求其效；窘，来源于被理想化的方法束缚而不自知。

进入9月份以来，企业似乎进入培训高峰期。掐指一算，已婉拒3个企业给出方法要求的培训之邀，最后给合作伙伴定出一个标准：凡X位一体建设方法的风险管理培训，一概谢拒之。

凡咨询从业者，均为企业的商业合作伙伴，无非有四者：师者、知者、正者、利者。师者，常以理念之谈而获认可，其旨在启发，至行动而无踪影，可谈但难以转为行；知者，因深窥其质而有常人不可认知之理，脑中看似已无法，实已贯通消融于心，言事方谈其法，法无定式，因病开药，行动快捷，终让客户可行可为；正者，无论知多知少，必为客户究理善事，倾力而为，结果如何不可测；利者，必因药言病，一法代百法，低价制胜，万变不离其宗，结果终表现为浮、窘之态。

01.勿被先验性方法束缚

所谓先验，即认定了一个不知从哪来、又不知到哪去的方法，即使历尽千辛万苦也必套用之，实质出现了“首末倒置”问题。

所谓X位一体的方法，因企业职能分布状态而定，于是就产生了内控、合规与风险管理三位一体，如果再加上法务、监督构成了五位一体，把监督再细分为审计、纪检，就构成了六位一体。

有什么样的需求就一定会有什么样的供应。仔细想一想：把事中保证有效性、事后发现问题的职能捆在一起的目的是什么，其价值何在？其次，监督之称谓，并非专门的监督职能，还包括安全、质量、环保、保密、财务监督等职能，他们的监管职能又放在哪里？

在企业寻师问道的路上，确实出现了不少大师，他们讲着用流程承载各种管理要求的原理而不厌其烦。原理、道理固然重要，看似也可以把流程撑成个无所不能的大胖子，但是，考虑没考虑这种原理，是否违背了风险管理的原则呢？做事儿必须考虑原则。

风险之管控，必先考虑投入与产出的配比，只有产出大于投入的行动才有意义。企业还不至于为了追求内控、合规与风控的效果而兴师动众，先把需要巨大资金、跨若干年时间投资的流程管理搞起来吧？

经常遇到这样的问题，内控主管人员认为内控建设需要梳理流程，所以认为这种方法可行，听着似乎也有道理。问题是流程是什么？是一套做事儿的方案、是一套因场景而设的做事儿方法、是一套员工能够找到角色履行职责的剧本，而不是剧情。

在不少企业中，主管人员拿着花重金而不被员工认同的手册，希望能够通过完善而提高其可行性，或者通过修改而一起解决内控、合规与风险管理问题。

不要有这样的奢想，出现这种想法的实质是没有真正搞明白内控、合规与风险管理，是一种不切实际的短期行为表现。

事实上，我在这里将内控、合规与风险管理并列讲的方式，严格意义上，都是不太正确的表达方式，只是碍于大家的“习惯认识”罢了，否则文章会更长，真要做起来，根本不可行，因为他们都是概念。

企业应该怎么办？先搞清楚自己做事儿的需求，不要先用一种不切实际的做法把自己束缚起来，也不要渴望通过简单的沟通就能完全掌握方法，万事儿都要下功夫，在顶端筹划层，哪里有通过人人都能看明白的一纸文件就能解决问题的道理。

02.内控、合规与风险管理之间的逻辑

为什么在01中，我说将内控、合规与风险管理并列讲的方式有不正确之处呢？内控、合规是基于风险管理机理而产生的职能，风险管理又是什么呢？是单独的一项职能吗？显然不是，而是一套做事儿的机理。

什么是机理？做事儿应该遵从的事理逻辑，由此而形成做事儿的通用逻辑步骤，所以才有了搜集信息、风险识别、风险评估、提出风险解决策略、制定风险应对措施的逻辑说法。逻辑只是逻辑，不能说成是风险管理流程。

很多人纠结于风险策略、应对措施的差别，甚至出现了很多错误的解读。何谓应对？只有当风险发生后才谈得上“应对”，应对的对象是什么？当然是问题、故障、事故了。所以，来自于学术性的说法，究竟会产生多少不同的认识呢？置身于管理，不能这样。

那么内控、合规、风险管理之间是什么样的逻辑呢？管理风险之精要，在于针对风险之后的策略与措施，措施之成在于：首选确定性措施，其次是临时性影响措施，再次是风险容忍度标准之上的确定性管理升级措施，最后是风险发生后的应对预案。

确定性措施是什么？首先是标准、其次是表单或模版、再次是流程、最后是制度。所以，内控建设、合规管理的建设部分，最终导向的是制度、流程、标准、表单、模版。为什么呈现相反的状态呢？

无论制度、流程，都遵从“事第一、人第二”的原则，目的在于用确定性规则提高结果正确性的概率，这就是企业制度与法律法规文件的不同之处，也就是说在合规管理中，用整理法律法规等外部规则合规要求的方法，在企业制度中很难行得通，所以才导致建立的合规义务与风险清单，呈现为“似不像”的混合结果，是典型的表面化、模糊化理解的产物。

那么内控是什么？内控有其两意性：一是基于确定性规则预设的路径，针对不确定性实施影响而设定的控制节点；二是控制节点下角色实施控制的标准措施，如果放在现场的场景中，即SOP。控制是为保证预设路径稳定、有效、可重复的风险解决措施。

只不过企业中有两个问题：一是制度、流程并不一定系统、完整；二是制度中有控制节点，但缺少控制的标准措施。所以，企业内控建设是基于以上两个问题下的建设活动，本质是“精细化管理”的实施过程。精细化体现在哪？做事儿的标准化套路、具体的关键活动标准。所以，才出现了梳理流程、对关键控制节点进行控制标准化建设的需要。

问题是如何实现控制标准化呢？来源于对“管理思想、原则、方法”的理解，在不理解控制机理、方法的前提下，别谈“内控建设”。为什么当下不少企业的内控建设产出不被员工认同呢？拿着原理流程、内控指引中的常识性说法，或者说用职责、模糊化描述进行了“偷梁换柱”，这种流程覆盖不了现实中的业务事项而没有意义。

可以看出，内部控制建设与企业的制度管理、流程管理具有非常紧密的直接关系，而不一定是什么合规管理、风险管理、监督。

厘清了内部控制的逻辑，合规管理是在做什么？同样，合规管理也是基于风险管理机理产生的管理职能，只不过它的核心在于规则中的“关键控制要求”。

怎么理解关键控制要求呢？从外部规则角度，即包括“有条件的做事儿要求”，也包括“严禁、不得的限制性要求”，所以才出现了“识别合规义务”之说。

那么合规风险评估是在做什么？有两个来源：一是在判定企业内部是否有“与满足外规要求相匹配的确定性措施”的分析过程；二是根据企业现实的运营管理过程，判断是否存在可能导致违法违规违纪的失控行为。

二者的导向，全部在于“建立确定性措施”，即制度、流程、标准、表单、模版。构成了与内部控制“基本一致”的重叠部分，而内控建设的风险要素包括“违法违规违纪”要素，所以，合规管理要进行向内控倾斜的“职能让渡”，把合规管理转变成“规则的遵从、满足控制标准、执行标准”的执行问题，从而形成了规则与合规管理的前后交接界面，合规管理是规则管理的延长线。

为什么会出现一体化建设的说法？是因为没有厘清职能之间的逻辑关系，把本可以通过分工做好的协同问题，囫囵吞枣地揉合在一起，这种方式的结果，没有产生“整体效能”的可能。

是不是有了完善的制度、流程、内控、合规管理，就意味着“正确的结果”？不是。会在企业战略制定、战略实施过程中，仍存在或暴露很多不能通过确定性规则解决的“不确定性”，只能求其次，寻求“临时性影响措施”，即常讲的风险管理。

问题是我们把风险管理认同为“机理”，因为，没有这个机理，产生不了内控、合规管理，所以，要体现战略管理中的“风险管理活动”，即“风险管控”，取而代之模糊的风险管理，形成内控、合规管理、风险管控三大并行结构形态，也可以统称为“风险管理”，是企业的自定义问题。

如果把风险管控放在“年度经营的完整过程”，同样遵从以下原则：

首选确定性措施，其次是临时性影响措施，再次是风险容忍度标准之上的确定性管理升级措施，最后是风险发生后的应对预案。只不过，这里的确定性，与企业年度中“确定的活动”紧密关联在一起。

什么是风险管理与经营管理的融合？既是话术与口号，也是风险管控的原则。既然要开展风险管控，设计好了机制，不就实现了“融合”吗？关键是得找到“方法”，而不是闭着眼睛搞出一份“一体化”资料。

如果哪位大师还坚持几位一体、坚持流程承载的观点，如果认同这种逻辑，大可试一试所谓的“一体化”是否具备可变现的条件。当然，我相信你能够实现，但一定是拿有限的投入去做华为300亿的事情，咱们就打个大大的折扣，做几百万投入的事情，你会做吗？能做到吗？流程管理的实现，需要最高领导者的决心与毅力为条件。

03.结语：如何实现产出有效

无论是合规管理、制度管理还是监管、监督，经常出现的一句话是“责任追究”，讲的人很多，那么，这句话成立的条件是什么呢？

一是厘清流程中重要节点的管控责任、流程决策责任，二是澄清相关的工作标准。失去这两个条件，企业中的追责都是“空谈”。很多看似复杂的事儿并不难，难的是人们难以改变的观念与看问题的格局。

讲流程的人很多，但所做的流程应该是什么？看似具有流程的形式，是否能够覆盖实操业务的范围呢？如果把流程与业务分割开，自然就会出现产出结果“不被认同”的问题。

是不是意味着内控建设无法进行呢？当然不是，需要从整体管理的角度，结合规范甄别制度的有效性，结合制度、管理思想与方法识别重要的管控事项，找到决定成功的关键要素，判断其中的风险要素，针对性厘清措施，不就形成了标准。但是，18项指引中，也不是都必须以“流程”的形式表达。

问题是流程事项的切割，如何向剧本方向转变？是一个经验问题，也是一个流程管理问题，当流程中的责任者转变成角色的时候，就构成了事项、标准、责任的对应关系，当流程到了这种程度，即使没有风险控制矩阵，员工也知道“你在控什么”。

同样道理，合规义务的识别必然与内部制度有关，只有当内部制度不足以控制风险的时候，才呈现为“违规风险”，产生风险的合规义务，就构成了相关角色的“临时执行标准”，但不是结束。合规风险的存在，自然带来“建立与完善制度”的需要。这是什么？三张表单的产生机理。

为什么很多企业的合规管理带来的是一套“静态的合规义务与风险列表”？为什么风险措施中出现很多“贯彻执行”的无用说法？没有厘清外部规则、内部制度、合规风险、执行标准、监管之间关系带来的不太恰当的结果。

其实，做任何一件事情，要追求实效，并不是拿着一套方法舞来舞去，关键要做好以下几件事儿：

一是要树立流程思维，要按照业务流的机理去思考问题。

二是要坚持整体观，站在要开展工作的上一层位置俯瞰，做出框架的逻辑、格局划分。就好比内控规范、合规管理办法一样，是不同维度的两份儿文件，二者之间的重叠、交叉部分反映不出来，需要通过布局去梳理，而不是依靠文件各做各的，或者干脆混为一谈。

三是要处理好直接相关、间接相关的不同职能之间的关系，实现的方法是“协同”。协同又划分为浅层次协同、深层次协同。浅层次协同，体现于共同认可的界面“接口标准”，深层次协同，则体现于“后置前移”的团队，团队因协同需要由不同职能人员组成，而不是一个常设组织。

四是要坚持执行、标准、监管的匹配思维，要追求落地，离不开标准，但机制、标准又会产生管理成本，所以，做事儿都需要有度，度之所在，关键之所需，竞者之平衡，也就是我总提到的内控、合规与效率的“背反效应”问题。

五是要重视前端的统筹与规划，前端如果不稳，势必头小尾大，一个阶段内表现并不明显，随着工作的深入，各种不同认识就会出现，必然遭受后端的加倍反噬。

为什么我在体系建设中，总会出现大量的“自定义标准与衡量标准”？目的是统一认识、统一语言，避免认知分歧。事实是，控制有很多方式，当梳理到一定程度，厘清不同控制在各种工具中的位置，内控建设的“针对性”才会浮现出来，而不是泛泛而谈的内控建设之说。

制度、合规管理、风险管控都一样，不能用来自于外部的常识做企业的内部管理。

六是要善用体系管理手册、程序与作业说明书、制度等工具。体系管理手册、程序作业说明书，是对体系管理的表达，前者常用于前端的统筹与规划、体系管理的重点说明，后者是体系运作的预设方案与路径。体系建设，主管人员不能总把认识、想法装在自己脑子里，依靠培训解决，而是要用手册与大家分享、共享。

制度是什么？用权威性进行布局，通过做事儿、关键环节要素的控制，让各项功能正常实现，通过设定机制提高体系运作的效率。同样，制度管理也需要前端的统筹标准定义，而主管部门提供的制度建设规划与布局工具，是促进制度进一步贴近业务管理现实的方法。

管理是什么？当人们认识、理解、实践、思考达到一定程度，管理的技术特征会表现的越来越明显，贯穿其中的并非某一个方法，而是集各种思维、方法、工具设计之合成，正如内控、合规与风险管理一样，表面看他们既有建设、运作的一面，同时，还有在经营管理中“灵活掌握，按需应用”的另一面。

返回列表