任何一个企业，从成立到增长再到规模化成长，都无法摆脱外部环境的不确定性，也无法割裂与外部的关系。

企业能够做的，就是通过内部能力的建设与投入，不断夯实自己的抗风险能力，让企业保持一种有秩序的稳定运营状态；在一次次识别、获取机会中，客观评估风险，以决定取舍，让企业始终保持在高质量发展为条件的成长之路上。

01.全面风险管理是在做什么？

在从事风控工作的15年里，我从没有把“全面风险管理”视为一种工作，而是一种将工作向“全面”推进的追求；一种包括内控、合规与风险管控三大结构的系统构建；一种努力让更多其它业务领域实现管理规范、稳定应用，从而提高绩效达成、管理有效的支持型措施；一种能够支撑决策，让决策更趋于合理的程序化、机会与风险可选择性的保证措施；一种可以让员工积极主动发现风险、报告风险的机制塑造。

在我的公众文章里，你可能已经感知出与很多人不同的观点。譬如：从整体角度把内控、合规与风险管理实现结构化分工，构建两层防风险能力结构（决策层的风控是两层能力的综合）；认识内控、合规、风险管理的内涵与外延，企业需要自定义；孤立地谈内控、合规、风险管理没有意义，需要结合场景与关系；要让模糊的概念变得清晰、有形、具体，需要通过分类、分解、选择、整合实现。

你也会发现，我很少谈为很多人津津乐道的“几位一体”，谈的更多的是协同。因为我知道，拟制手册、构建体系治理机制、具体的应用不是一回事儿，不要为了体系中的一个“协同”概念，反而把“全面风险管理”忘得无影无踪。

前段时间，应一个央企上市公司邀约，与他们做了一次沟通。沟通，一定是遇到了困惑、阻力。他们阐述了他们的做法，几个年轻人对工作很负责、很认真，也很辛苦。最后，一个年轻人讲了一句话：原来我们一直是要求别人做，您讲的是帮助别人怎么做，让他们感觉到有益。我说：不然，为什么叫“提供合理保证”呢？

内控、合规与风险管理工作，本身有一种“控制”的意味，客观讲，这种意味没有人愿意接受，再加上其本身的笼统性、模糊性与直觉所形成的“第一认识”，会导致工作陷入半停滞、推一下动一动的状态，最后，能够体现主管部门工作的，只剩下“4个一”：一本手册、一次培训、一次评价、一份报告。

在我看来，风控主管部门的工作，本质是在影响企业、组织与员工的风险态度，他们讲的内控、合规与风险管理，更适用于职能序列，是一种显性化的存在；具体到建设与应用，应该是“化有形为无形”的过程，是以决策、经营、管理为主轴采取的不同措施。原因是，模糊化风险讲的越多，成效越低，遇到的“反弹力”越强。所以，我总提到：风控部门要提供必要的方法、辅助工具；风控人员要有多维的管理经历。

必须承认，企业风险管理、内部控制与合规管理中的一些内容，无论做与不做，无论企业规模的大小，从没有缺失过，他们以或显性、或隐性，或稳定、或不稳定，或无形、或可视，或系统、或零散的状态发挥着作用。

区别在于，不同企业之间、企业中的不同组织、员工之间，甚至于专门从事风控类业务的人员之间，对风险认识观点的差异、对风险态度的不同，从而以不同的行动表现出来。观点决定态度，态度决定行动，当下的行动决定未来的结果。

我们常常看到的是：同样的风险环境、同样的风险事件，不同企业的结果不同。即便是在同样的系统风险条件下，即便从事同样业务的企业，无一幸免地遭受风险环境的冲击，有的倒下了、有的苦苦坚持、有的经过短暂的阵痛，又慢慢地恢复到成长状态。

企业推行全面风险管理的本质，并非表现在华丽的说辞，更不在于整理出一本漂亮的手册，而在于风险态度的重新塑造，在于企业运营秩序的构建，在于经营过程中旨在化解与控制风险的应用，在于企业决策中机会与风险的平衡与选择。

手册，是开展这些工作的一种产出物，虽然不可缺失，但不要误当做工作的目标，当然，应用与手册是交叉的、互补的。企业中经常见到内控手册、合规行为准则或手册，无论质量如何，如果企业能够出台一份可以落地的风险管理手册，那才意味着吃透了全面风险管理。为什么？

因为，内控与合规管理，企业中的管理可以覆盖、甚至可以替代他们发挥作用，而风险管理，则是真正体现“应用”之所在。

02.无人提及但与风控紧密相关的几个词汇

如果说风险管理最大的败笔，我觉得是把风险解释为“具有二维属性”的机会与损失，是“研究风险”的文人墨客，依靠想象做出的结论，居然冠冕堂皇地进入了“标准”。

企业是追求发展的，发展来源于机会的感知、捕获、正确认识与行动，而不是风险（除“保险类”非金融业务）。恰恰相反，应该是“机会蕴含着风险”，机会为主角，风险管理为配角。这个逻辑摆不正，风险管理就成了“为风险管理而风险管理”。

之所以冒天下“共识”之大不韪，提出这一质疑，缘起于本人长期的战略管理与风险管理真实的实践认知，无因哪有果？因，来自于“想做”、“想成功地做”、“想做的成功”，这一点，无关于决策、经营、还是管理的区分，都有这个逻辑。所以，企业中的管理者、员工，总是期望未来的结果“可预知”、“可判断”、“可实现”。

可预知、可判断、可实现，反映的是一种期望，其中，渗透着理性的分析、基于关系的评估与判断、采取的措施。从“风险”的维度，通过风险评估、内部控制、风险解决方案等表现出来。

那我们就应该搞清楚几件事儿：什么是风险？与风险对应的是什么？他们之间的逻辑是什么？

风险是基于期望的需要，由于感知、认识到的不确定因素的作用，可能导致期望不能实现的结果状态。不确定因素，我们可以认为是风险要素，只有风险要素是“客观的”、“可施加影响的”，而不是风险。

所以，风险管理是一类“工作”或职能的统称，而不是以“做事儿”为导向的具体工作。具体工作是风险评估与风险解决方案的计划管理；风险解决方案针对的是“风险要素”，而不是风险，是当下的、确定的、可落实的、可验证的行动，而不是模棱两可的描述。

那么与风险对应的是什么呢？需要与开展风险管理工作的期望结合起来思考。期望是什么？是风险评估结果的准确性。请注意，“准确性”是一种期望、追求，但很难实现，没有人能够准确地预测未来。那么影响准确性的关系因素是什么？

需要说明的是，这种认识，是笔者与曾于西门子长期工作的汪博士共同研究的成果，不能据为己有，即便从我的笔下表述出来。

影响准确性的因素包括：计数、计算、估算、判断。按照顺序，准确性依次“弱化”，但不妨碍风险评估对“准确”的追求，这就是几个与风险管理相关，但不可不考虑的词汇。

可预测，建立在计数、计算的基础上，依靠的是过往的数据、经验、或行业情况所做出的估算或估计。条件是数据越真实、经验越可靠、模型越合理，估算结果的可预测性越高。譬如，企业中的财务分析、经营分析等，是一种理性分析的反映，这类分析、风险评估需要“机制化”，让它稳定。

当然，这样的风险管理机制，还可应用于运营中的其它诸多方面，实现与资源配置的耦合，不再赘述。

那么，判断依靠的是什么？依靠的是“关系”，从“关注风险”的角度，确定“关系要素”，再运用可预测的方法进行评估，从而得出判断结论。譬如：建立内控的风险评估是一种“关系假设”，合规风险评估是一种“关系认识”，本质是相关的管理要素；大型专题风险评估，建立在与“期望项”相关的“关系要素”，把这些关系要素明确下来，就可以构成“确定性行动”，既可以构成机制，也可以“项目”视之。

虽然我们将可预测、判断分开来讲，但实践应用中，是交叉的。基于“判断”的风险评估，有必要，但一定会影响运营效率。所以，需要“采取内控”的方式，构建一套“可预测”的判别标准。标准上下，采取不同的态度和行动，从业务管理的维度，体现为“无压力但有约束”的内控机制，有利于妥善处理“控制与灵活”的背反效应，本质是管理规范化、一致化的“升级”。

其实，这种理念，并非风险评估所专用，也可应用于问题的处理上。所以，航天型号管理中，大量应用的有“单点问题”、“多点问题”、“重复发生问题”、“低级问题”等说法与自定义，每种问题都对应着不同的“处置措施与管理要求”；你也可以发现，在预设的控制标准基础上，型号风险评估、新技术风险评估、安全生产再评价与再评估、投资管理判别标准与风险评估┈┈，都对应着不同的态度与行动，这才是风险管理与内控的应用实践。当然，内控还有基于流程的存在，那又是下一个层级。

恰恰可惜的是，主管风险管理的一些人员，有时候反而认为这些不是风险管理！问题出在哪？由于长期受专业限制，知识、实践经历太狭隘了，只懂得用直觉、表象的认识去看待课题。记着当年我汇报全面风险管理实施方案时，一个集团级领导问我有一句话：能告诉我风险管理做到什么程度才算成功？我的回答是：做到大家感受不到风险管理，但仍在做着风险管理的事儿。

现实中，有些风险管理专家经常讨论“问题”与“风险”的区别，纯属缺乏实践经验的理论研究，难道预防问题发生、严控问题重复发生，不属于风险管理、内部控制的范畴吗？

以上我们探讨了“风险评估”问题，那么怎么判断“风险程度”呢？

风险程度并非评估后，依靠个体的认识给出一个重大、重要、一般所能说明，需要找出与“损失程度”对应的是什么？他们是问题、缺陷、故障、事故，是与内控、合规与风险管理紧密相关的另一种词汇，依次代表损失程度的变化。把他们结合风险管理、内部控制、合规管理的不同需求，从“关系”角度进行具体设计，就可以转化为“风险程度判别的基线标准”。不再赘述。

这就是我为什么总讲：没有合规风险级别判定标准、没有对应处罚措施的合规管理，是不完整的。这种判定标准，不是基于风险程度的评价，而是对风险发生后“结果”程度的确认标准，对应的就是处罚等级的标准。巧合的是，4月26日，国务院召开常务委员会，审议通过了《国有企业管理人员处分条例（草案）》，正式公开征求意见，更说明企业合规管理建立违规处罚标准的必要性。

仔细思考一下，所谓“违规追责”管理，如果不能判定违规级别，企业怎么实施“追责”呢？依规治企，需要落实到行动，而且要让员工可以预知、预判，从而影响动机，这就是“势”。所以，一个有效的管理体系，实质是一种可持续运作的稳定状态，需要考虑到闭环的每一个环节。

同样道理，内部控制缺陷的判定标准，绝非一个“通用”标准所能解决，而是结合评价中发现的缺陷、设计中流程风险压力程度指标进行的综合判断。因“不同管控”目标产生的内控，仔细想想，同样的缺陷，影响是不一样的，怎么可能采用“统一的标准”？

03.做好内控、合规与风险管理，重在对经营与管理的认知

回答这个问题非常困难，也非常抽象，我用战略管理的思维试着描述。因为，只有理解了企业中的决策、经营与管理，才能找到内控、合规与风险管理的落地途径。

从企业整体角度，企业的使命是由外部赋予的，企业为了履行使命，会构建业务线，反映为企业级的关键活动。业务线分为两类：一类是直接贡献企业使命、目标的，有直接成果产出的企业级关键业务活动，这类业务一般反映为与“产品与服务”直接相关的业务；另一类是不直接贡献成果，但与直接成果的实现紧密相关的企业级关键业务活动。前者属于价值链，我们称为业务域；后者属于价值链的延展部分，即业务支持域。

业务线是企业生存、发展最核心的核心，也是企业战略分析、战略管理、经营管理最根本的根本。企业的系统改革必源于此，当然，也是内控、管理有效性合规、风险管理大量应用的所在。

企业中所有的管理活动，都以业务线为主轴，划分为4类：一是直接作用于业务领域的管理，我们称为业务管理域；二是工作的重心，直接服务于业务管理的职能管理，我们称为管理支持域，包括战略管理、资金管理、人力资源管理、投资管理、能力建设、风险管理等，这些职能与资源管理、企业发展紧密相关；三是与业务、业务管理没有直接关系，但与企业安全、特殊要求有关，我们称为管理与服务域，包括了安全、保密、监督等职能；四是为各类业务提供服务与保障类职能，我们称为行政管理与服务域。

那这里为什么没有提到内控、合规呢？需要区分内控管理、合规管理与内控、合规运作的关系。企业中不少职能属于归口管理，往往反映在管理与服务类。归口管理的典型特征是集中、分散、再集中的特性。

集中，指的是理念、管理要求与方法推广的一致性，重点反映在做什么、怎么做，必然涉及一些凝聚方法、要求、规范的工具；分散，指的是各部门落实要求的行动，一方面满足归口管理部门的要求，另一方面会成为本身管理的构成；再集中，指的是分散行动的集中监管，以及产生数据的集中管理。

所以，制度管理会有制度库；安全管理部门会有安全隐患与安全风险库；内控部门会有程序与内控手册；合规管理部门会有合规风险清单与合规风险治理记录┈┈。这种模式，是不是与风险管理三道防线很像？只要是归口管理，都是一个原理模式，也包括保密管理、安全生产管理。

那么这种划分依据的是什么？是以企业为整体进行的划分。整体是相对的，是以追求的目标、人的认识决定的范畴，只要有整体，就有结构，就有模式。所以，我们谈端到端流程，就会出现结构化分布；我们谈价值链，就会出现产品开发、制造、营销、服务。那么什么是结构呢？

结构是一种基于共同目的为导向，以一定关系为链接的现实的秩序状态。秩序不是天然形成的，而是基于目标、期望而形成的布局，只要整体、期望发生了变化，结构就需要进行适应性的调整。

反映在企业，表现为一种组织、流程、功能的重塑，本质是打破旧秩序、建立新秩序的过程，通过改革实现；反映在全面风险管理，表现为内控、合规、风险管理结构的划分，划分不是目的，而是避免交叉、重叠，让每一个结构对应到“功能”，让整体从模糊走向清晰的方法，整合，才是划分的真正目的，是为了实现整体。所以，我总讲：分以合为终，合以分为始。

以全面风险管理为整体，结构化的内控、合规、风险管理，赋予了新的功能，体现为模式。从每一个维度，又可以视为一个整体，那么他的结构如何划分呢？这时候的整体，已经转化为期望发挥的“功能”，功能作用于不同的对象，通过风险分类实现┈┈

分类，可以使内控、合规、风控从“模糊的整体概念”变得越来越清晰，变得可以让员工理解。因为，越往下分，越表现为员工的职能工作；越往下分，越表现为管理中应做、但可能仍存在不完善的具体方面。这种方式，称为解构。

解构、分解，是让员工明白工作意图、找到落实措施的方法。就好比泰勒的科学管理法一样，把活动分解到每一个动作，把对技能要求的影响降到最低，这时候，人就转化成了一种不依赖于技能的“机器”，从而实现“确定性产出”。

现实中，不会分解到这样的程度，但是，绝不意味着不掌握这样的思维与方法，所以，分解依靠的是经验与深刻认知。那么，如果没有这样的解构、分解过程，会发生什么问题呢？

我们仍以内控、合规、风险管理为例。如果拿内控、合规、风险管理分别作为一个整体，去给企业开展培训，估计摆脱不了来自于指引、规范、办法中形成的认识。

大家听到的仍然是“直观的常规认识”，即便主管人员明白了其中的道理，但很难传达给每一个员工，仍然很难形成共识。因为，整体是模糊的、不可预测的，这就是我讲到的，体系手册要划分为管理手册、程序作业手册两部分的原因。也就是说，培训坚持5年，都比不了一份清晰的体系管理手册。当然，前提是必须做好。

从整体到结构，是一个相对概念，目的是为了从下到上进行整合，让整体规划得以实现。那么，整合遵从什么原则呢？

很简单，就两条：一是技能操作型的作业，需要进行判断的成分越多，操作的步骤越少；二是需要知识型、创新型判断的成分越高，赋予的操作越多，自主性越高。这就是企业中，规划人员的权限很大，涉及的幅度非常宽，而服务型、操作型人员，往往都是在限定范围内，对特定的要素进行重复作业的原因。

那么，反映在内部控制、合规管理中，又是一种什么情形呢？内控要告诉控制角色控制什么，当然不能以“风险”而淡化，而是与控制角色行之职能相关的具体内容；合规要告诉对应角色规则要求是什么，现有内部控制措施，是否还存在满足，需要做什么。有时候，没有风险语言描述的风险，反而更踏实、更实在。

如果仔细看本篇文章，会发现其中渗透着这样的思路：主管部门提出的风险评估要求，只要追求实效，需要在确定的领域，明确风险评估的“关系要素”，而且是确定的，目的就是为了缩小风险评估人员的“判断空间”；其次，在业务管理域设定控制基线，同样是为了划分为不同风险程度的两大结构，从而形成不同的“关系要素”，让基于管理的判断变得简单，让风险评估有的放矢。

内控、合规、风险管理要达到这种程度，不是从他们本身的维度，而是从期望、管理的维度，运用内控、合规、风险管理的理念、思维、方法进行的设计。因为，他们都是为企业决策、经营、管理提供合理保证的支持性工作。重要的，不是他们本身多么美丽，而是让他们提供保证的对象更加美丽。