影响内控、合规、风控有效性的原因，企业是不是出现了这些问题？怎么做（之一）

企业导入任何一套新的管理理念或方法，必然面对传统思维、组织与工作惯性、行为惯性的阻力。阻力，反映为开始时的不习惯而表现出来的不理解或歧义。

如果没有表现出阻力，说明存在3点可能性：一是理念与方法没有发挥实质作用；二是只表现为宣传性说法，没有转变为实践；三是只是习惯的可视化翻版，谈不上新的管理理念与方法，不会产生期望的结果。

为什么呢？无论是人还是企业，只要沿着老路走，就不可能到达一个新地方。这个新地方，就是导入新理念、新方法所期望达成的结果。

本文阐述企业在推行内控、合规与风控工作中，导致无效、低效或形式化的常见问题及解决方法。

01.风险管理体系无效与低效的问题根因

企业中的内控、合规与风控，本身不是什么新方法，只是由于要提高其目的性、规范性、有效性而从某一“维度”强调了体系化管理，这个维度被表达为内控、合规、风控。

就好像初创企业进行产品开发却没有设置专门的质量管理职能，但并不意味着没有质量管理一样。

内控、合规与风控，只是一类行动的统称，并不代表具体行动。企业开展内控、合规与风控建设，是把统称转化为“有目的具体行动”的设计过程，但仍不代表管理体系的建立。

看到这里，一定会有人提出疑问：为什么你还没有谈内控管理、合规管理、风险管理呢？因为，置身于企业看待三个课题，有一个如何看、如何做、如何管、如何行动的问题，即体系的目的、边界的界定、功能结构划分、行动类型及方式与方法、治理机制问题。

毋庸置疑，内控、合规与风控，都是以“防风险”为目的的行动统称。对一个企业来讲，从实践角度，企业不能出现“目的一致”的多个体系，否则，企业的运营管理就会出现责任不清、目的交叉的“乱局”。

为什么企业千辛万苦建立的所谓内控体系、合规管理体系、风险管理体系或者“X位一体”体系，甚至花重金聘请知名专业机构产出的结果，总感觉没有实际效果呢？基本都出现了4个问题：

一是体系边界没有界定好，产出建立在“模糊”认知的边缘，三者之间你中有我、我中有你，出现了说做什么就做什么、说是什么就是什么的问题，缺乏条理性、系统性。

问题原因：对内控、合规、风控、风险管理认识不清带来行动错乱。

二是没有转化为企业员工达成共识的认知标准，是决定一个体系有效性的根本基础和最前端的规划问题。所谓“基础不牢、地动山摇”、“沙土地上建高楼”等等，设计之初的模糊性，决定了产出结果不达预期的必然性。

问题原因：缺乏管理一致性与行动差异性的认知基础。基础，需要主管部门去夯实，避免员工认知的不一致。

三是没有把统称转化为“具体行动的指导”，缺了“中间层”。其一，企业中的行动是有条件的；其二，行动是要明确“怎么做、做什么、怎么评价”的，否则也不需要管理。譬如把“风险评估”抛给员工，就不可能转化为具体行动，即使行动了也是“各抒己见”的表现；其三，手册、清单有必要，但并不意味着产出的手册、清单是适宜的，更不代表转化为实践行动的可行性。

问题原因：推动工作建立在“理念、概念”基础上，内控、合规、风险管理都是听着有道理“一般性概念”。

四是把风险管理泛化了，没有界定风险、问题、故障、事故之间的界面关系，导致风险管理“无事不可解释”。譬如，建立风险应对预案是风险管理工作，但是需要建立在风险发生的假设基础上，一旦转变为事实，就成了问题、故障或事故的处置与管理，而不再是风险管理，意味着风险管理的失败，但后期预防问题重复发生的措施，属于风险管理。

问题原因：其一，风险、问题、故障、事故是同维度的不同表现，风险管理不能打乱原有的良好习惯。其二，风险管理与企业中的质量管理、安全管理、保密管理等等职能，有预防风险的相通性，也有差异性，涉及布局与方法问题，后者属于风险管理理念的应用范畴。

02.怎么界定防风险类的管理体系

风险管理永远是超前的管理，而不是现实结果的应对、处置与认定。带有约束特征的超前管理，至少都要有结果的处罚标准，否则就失去了控制、约束的防风险意义。

比如，所谓风险应对，是从风险管理维度的后瞻性说法，指的是问题、故障、事故发生后的应对与处置。转化为实践，需要做出“归一化”处理。

如果从管理的角度再扩大一下外延，包括正向引导、过程控制、约束基线、问题处理、追责处罚，这是管控的规律。说到管控，也是有规律可言的，在于环节、指标因素、标准、保障机制，会与内控走到一起，不再赘述。

无论是内控、合规、风控，只要没有清晰化地界定，企业做的工作就很难有预期产出，因为他们都是“永远都对的理念”。

那么，企业中以“防风险”为目的的体系怎么界定呢？首先，内部控制很难体系化，其体系性通过“管控”反映出来，反映在“管控”下不同层级的节点；其次，合规管理可以构建一套“单视角”的体系，有内控的成分，但涵盖不了内控的全部，既有交叉又各自具有相对独立的特性，二者之间不是完全独立的关系。

为什么合规管理出现了“合规控制流程清单”呢？这部分内容是合规管理难以解释的部分，是由事儿反映出的合规风险控制，内控的目标包括合法合规，是首末关系。说明什么？如果企业并行推动内控与合规，二者均不能独成体系。

会有人说合规管理办法中提出要建立合规管理体系。没错，办法是从合规单维的角度进行的描述，所以，才出现了流程与内控清单，才出现了处理好内控与风险管理关系的说法，否则，是不完整的。但置身于企业，内部管理、风险管理是存在的，当然要统筹考虑。

再次，风险管理是什么？是一个正确的、有目的性的“泛称”。

企业中的内控、合规管理，都具有广义的防风险功能，又在目的、对象、表达方式方面各具狭义特征。从企业整体的角度，以“防风险”为目的的体系只能有一个：风险管理体系。

怎么看内控、合规呢？是风险管理体系内针对不同对象的确定性“功能结构”，是一个子系统，而每一个体系内的多个子系统之间是有依赖与接口关系的。企业中界定管理体系要考虑两个方面：一是从企业整体认识的目的一致性，二是从体系完整性的角度，体系内的方法、要求只能外推，不能来自于其它体系同样的方法与要求。

是不是内控、合规两大结构代表了风险管理的全部呢？你认为是，它就是！管理的成效，在于认知程度；认知程度，决定了设计产出；设计产出的有效性，决定了能不能“被应用”，即实践。

不要认为是某种方法决定了结果，而应该是根据结果的追求寻求合适的方法，但坚持的理念不能变，是指导方法的根基，过度纠缠于方法的做法，完全是作茧自缚。

最高境界的管理是“无法胜有法”，管理追求的是效果而不是方法，只要能够实现预期目标，什么方法都可以选择。无法，并不代表没有方法，指的是不要被方法拘束住手脚。

比如，企业讲究 三位一体、四位一体甚至八位一体，他只是一种思路，但刻意追求，就会把自己困死在一张无形的“网”上。

为什么不思考一下，都是大型企业，不同企业却存在三位、四位乃至八位一体的不同呢？有时候，砖家讲的是设想，那种你想做什么他都能实现的乱态，本身就是“不可信”的。如果哪家企业认为做成了，还取得了不错的效果，本人可以义务评价其真实有效性。

事实上，企业运营是动态的，随外部环境的变化而变化，通过计划内、计划外的事项表现出来，这部分风险怎么办？应该承认外部风险很难改变，客观对待的结果只有“内化”，所以，才产生了“风控”行动。

风控设计的关键，要找到企业运营的“龙头”拉动线，才能找到风险评估的“指标”，才能转化为“确定性的风险评估行动模型”。比如，拉动业务运转的是营销；拉动交付的是计划；拉动研发的是需求与标准；拉动协作的是项目；拉动预算的是投资组合┈┈

再比如：合规管理中的外部合规，在导入外部规则时，为什么会形成“漏斗”效应呢？就是通过模型进行的筛选，由此形成的风险清单，在同行业同属性的大、中、小企业中，结果是不一样的，也不是不分良莠地风险漫灌，其结果一定是被部门认同的，因为，它是风险事实，风险清单的目的是为了关闭风险，而不是挂着给大家看的，备看、备查的静态清单，永远形不成“抗风险能力”。

“用确定性管理不确定性”，出自于华为的说法。确定性，指的是规则，来源于不同的抽象理解，风险评估模型，本身也是一套规则。只有这样，才能转化为可持续的循环实践，而不是搞出一个大、中、小企业通行的“风险大字典”。

那些寄希望通过“风险字典”解决问题的做法，都属于能掐会算、可以预测未来的“仙游”。可惜的是，就是神仙也做不完整，何况也不可能像字典那样稳定。说明了什么？国资委提出个清单，就僵化地理解成建立一套风险表格，为什么不能理解成“高风险度”的“风控清单”呢？

事实上，企业中的任何管理，只要是管理，就一定是“目标、结果导向”，内控、合规与风控也不例外，但不能用这样的理论概念去解释。

内控、合规很好理解，“风控”指的是什么？指的是对尚未建立“确定性解决方案”的风险的管控、监视与预警。风险是什么？我只能从“实践”角度回答，所以“理论派”不要太较真，是管理需要的因素，不需要的“不要管”，别忘了管理成本，这一点与“全面”并不矛盾，否则，就会陷入“死循环”的泥潭。

哪些需要管呢？当然是绩效了。绩效指的是什么？企业级、组织级、关键员工级。所以，企业通过风控施加影响的风险因素，构成了“三级”风险责任制，形成了与绩效的对应关系。其余的呢？依靠确定性规则，从风险管理的维度看，即内控、合规。

怎么理解呢？是实践问题，是一种经验、思维的抽象化沉淀。比如：应收款风险，如果没有确定性的“规则措施”，那它就属于风控；如果建立了合理、有效的规则措施，那就是管理机制与内控问题；如果突破了明确的底线，那就是行为合规问题。所以，没有哪家企业不重视应收款风险，但风险表现并不一样，原因是风险容忍度、抗风险能力不同。

那种停留在理念层次上的所谓方法，又怎么能落地呢？实践型的风险管理，不是人人都能做，一定意义上，比单纯的管理更有挑战性、更有价值意义。因为，前提是要理解管理及各种关系，然后才能谈得上风险管理，是正向、逆向思维的交合，是多要素的兼容并蓄。毕竟，管理的成熟度不同，风险表现程度就不一样，方法与措施就会不同。

内控、合规、风控是企业实施风险管理的“不同形态”，是构成风险管理的三大功能结构。结构又构成了一个子系统，当然还需要分解，所以，企业的风险管理一般体现为“一致性理念、三级管理模态”，四级体现为“具体行动”，从而形成一种风险信息沟通与管控模式，反映为现场层、管控层、归口管理层。

管理模态界定不清楚，不管企业的风险管理是什么知名机构做出来的，也不管企业用什么方式进行宣传，都很难转化为“实践”行动。实践，指的是设计的结果被别人应用，且结果是可评价的。

至于那种希望通过建立风险清单方式解决一切的想法，是最幼稚的表现，没有任何人能够一劳永逸地把风险全部识别出来，依靠的只能是满足“期望目标”程度的管理，以及重复滚动、可持续运作的“确定性”行动，这才是“落地”的实践。

一套体系的有效性，衡量标准只有结果与期望的初衷；管理的有效性，衡量标准只有可持续的重复行动及行动结果的可衡量、可评价性；行动的有效性，衡量标准只有结果对目标的贡献，以及行动的可行性与确定性；行动的必要性，衡量标准只有成本投入与产出结果的平衡与选择。

03.小 结

本文只是基于体系建立的最基本实践体会，如时间允许，会从内控、合规、风控的不同角度，结合制度、流程管理，做进一步论述。风险管理看似很窄，但涉及的专业领域、知识与技能结构、经验要求非常宽泛。

对企业来讲，内控、合规与风控的多维推动，容易造成工作“重复”的错觉，主管部门总是希望找到一条“多维并蓄”的方法，原因在于，存在体系基础没有做好的缺陷，并没有真正理解风险管理的内涵。

事实上，内控、合规与风控建设的有效性，不仅有助于提高企业的运营质量与效率的改善，还会带来越来越频繁的“监督”简化。监督简化，并非指的是“弱化监督”，而是在不影响监督质量、效果的同等情况下，降低监督对企业正常运营的冲击。

比如，央企中每年组织进行的自上而下的分组巡查，为什么每次巡查前，被巡查企业都要求员工不外出而备查呢？这不是正常对待监督的表现，而是管理落后的反映。

监督过程中，为什么拿着测量仪去逐个查高级管理者的办公面积，去查公务车的排量、采购价格是否符合控制标准呢？这不是监督认真负责的表现，而是没有找到监督方法的反映。控制标准是主管部门根据上级规则要求设计、落实的，标准是什么？有结果衡量标准，也有很多反映的是合规准则。

巡查应该查什么？查控制标准设计部门手中掌握的台账清单，通过抽查进行验证，对发现超出标准的现象，追究谁的责任呢？不仅包括坐在超标办公室中的领导者、管理者，还要加重追究控制标准部门的“落实”责任。同样道理，对违反“八项规定”的超标准支出，监督从哪入手？从财务。追究谁的责任？不仅包括直接责任者，还要加重追究财务部门的“核算控制”责任。

为什么这样做？标准你定的，执行控制与监管责任承担者也是标准制定部门，违规问题是由于控制执行不到位带来的后果，当然要加重追责。

合规管理、监督的目的是什么？当然包括对外部法则的遵从，当然包括对违规问题的及时发现与责任追究，是最基本、最朴素的认知。企业的合规监管与监督不是为了追责而行动，最终的目的是为了提高管理执行力，而决定管理执行力的是管理设计的合理性与可行性。

看待内控、合规与风控，不能单纯从他们本身看，而要从高出的一个层级，从管理的维度去看待。因为，无论是内控、合规管理，还是风险管控，都是企业管理的构成因素，否则就不存在第一道防线之说。

内控、合规、风控的有效性，并不是单纯来源于内控指引、合规管理办法、全面风险管理指引或制度，而是源起于管理目的逻辑布局的合理性、科学性。很多时候，指引中的“常识”性控制机理，并非专家口中的内控建设依据或转化，而是对应职能管理域下的内控环境。

内控环境不是泛泛而谈，一定是与企业实际管理、内部合规紧密相关的控制原则或合规准则，然后才是流程与控制。企业内控、合规与风控建设，是需要转化为实践的过程，而不是来自于指引、办法中理念化说法的简单复制与翻版。

理解了这一层，对照企业已经形成的建设产出，会不会发现存在很多先天的设计不足呢？

返回列表