应客户之约，希望就国资委在风控、内控、合规管理领域的系列要求、精神做一次系统性的交流。

早该如此。通常情况下，我们往往容易看到表象和要求，感受到来自于上级部门看似有所交叉的工作部署；然后，参加一次从单维度的培训，轻而易举地就造成工作重心的偏移。

每次看到客户拿出一厚本花费重金采购成果时的无奈，我都感觉到可惜；每次听到客户的“三位一体”、“四位一体”甚至还有提出“六位一体”的期望时，我都无言以对。我不喜欢造词，更不喜欢这类花式说法。

企业真正应该做的是，从系统的角度去认识相关工作之间的关系和变化，去找到最集约、最适合企业的“整体”方法，统筹各项相关联工作，在追求“落地、效能、持续”的同时，满足来自于不同维度的工作要求。

本文公开天锦咨询独家设计的基于系统观的两个分析模型，供大家思考。实务中，还会有一次次的解构，直到把“概念”变得有形、具体、可理解。毕竟，企业中开展的任何工作，都是要用的。不然，怎么能叫用确定性管理不确定性？不然，怎么去部署工作？

01.对国资委分头部署全面风险管理、内控、合规管理的理解

企业中，分以合为终，合以分为始，是一条管理设计必须考虑的普遍规律。组织的划分是分，通过绩效计划向上、向左向右拉齐是为合；流程中，角色划分是分，流程是为合；人力资源中，人岗匹配是分，团队建设是为合┈┈。没有清晰的分，哪来有效果的合？又哪来的一体化？

管理中的第二条规律是：总希望一名员工拥有更多的知识、经验、技能，胜任更复杂、更多的工作，但复合型员工却总喜欢发挥自己最为特长的技能。譬如：笔者曾于某集团主管风控、内控、合规、制度与流程管理，就非常倾心于流程管理，希望通过推行流程管理，去整合其他工作。所以，分工到什么程度，并没有什么标准，依靠的是高级领导者的期望、经验、分析、判断。流程也一样，总是追求流程参与角色尽可能少；组织建设也具有同样道理┈┈。

分工的目的，是为了让期望做好、但在原有模糊化整体领域、容易被淡忘、被忽视、被轻化的那部分“事儿”做的更好，就需要从原有整体中划分独立出来，让留下的那部分、分出来这部分都更为专注。分工不是目的，而是需要，但最终最求的是整体效果，即将原来的“1+1<2”的结果，转变为“1+1>2”的结果。

如果我们认真分析国资委2006年《中央企业全面风险管理指引》，其实，这个指引做的非常完整，风险管理、内部控制、合规管理全部囊括其中，而且表述也不存在多大问题。但受指引的标题影响，文件对内控、合规的着墨就少了许多。在当时认识的条件下，指引相对于COSO框架是领先的，但通过实践、复盘、再认识之后，我们就能发现，指引在内控、合规管理方面的指导性，存在一些不足。

人类普遍存在的惯性，最先接受的，一定是首先对视觉、思觉冲击的那件事儿。所以，很多央企、国企开展了显性风险管理工作，但却淡忘了内部控制、合规管理那部分内容。2012年、2018年，国资委分别推动了内控、合规管理工作，我们可以视同为二次分工，目的是把内控、合规管理划分出来，从专业角度把他们做的更好。

通过分工，原“指引”整体的外延已经发生了变化，可以理解为留下了“风险管理”专业部分。从企业实务工作来讲，意味着分化出风险管理、内部控制、合规管理“三项”并行的专业化工作。那是不是全面风险管理体系发生了变化呢？

企业中经常提管理体系，甚至于当下盛行的“X位一体”说法，也会冠以体系之说。但却极少有人真正理解体系？第一，体系是具有完整性的；第二、体系是结构化的。所以，一套真正的管理体系建设是一项系统化工程，而不是随口一讲就一个体系。那怎么定义呢？

对体系的定义有很多说法，我比较认同的一种观点是：由若干个彼此相关的系统，通过清晰衔接而形成的一个更大的系统。所以，体系、系统都是相对完整的存在。定义有了，实务中，我们在认知上很容易产生一种困惑：都在讲体系，凭什么你认为你做的是一个体系？所以，我们必须找到衡量标准。

体系最大的特点是完整性，衡量标准有两点：第一，体系内的各种工作、方法，很难通过其它体系表现出来；第二，体系内任何结构的工作、方法，都不足以影响体系整体。

如果按照这个标准，企业中的内控、合规、风险管理都不足以成为体系，能够构成体系的只有“全面风险管理体系”。所以，指引中的三道防线是合理的，即风险管理、内控、合规管理，都是涉及企业全部领域内的工作。按这种思路，“X位一体”的说法，还成立吗？

答案是：真正成立的，只有分工后的协同，与“X位”的说法，没有任何关系。国资委的正式提法是：中央企业应当结合实际，建立健全合规管理与法务管理、内部控制、风险管理等协同运作机制，加强统筹协调，避免交叉重复，提高管理效能。

为什么会出现“X位一体”的说法呢？靠字面简单理解后的呼应式的“叫法”，有需求，就一定有大师。

现在，能改变一些被单维灌输形成的即成看法了吗？能理解国资委分别部署工作的原因了吗？做事儿，一定要追求有理有据，才能找到可行方法，结果才具备落地、效能、可持续的可能。

02.如何将模糊工作做到清晰、有形？

现在，我来回答客户为什么存在“困惑、无奈”这一普遍性问题。

第一，如果单从文件来理解，风险、风险管理、内部控制、合规管理、全面风险管理虽然给出了定义，但他们都是面向众多企业的、普适化的、模糊化的“泛称”。对企业来讲，用“泛称”部署工作，容易产生歧义，很难操作，需要通过“分类选择明确”。

第二，来自于外部的、上级部委的工作要求、文件，往往出自于“发文主体”对“执行客体”的视角，体现的是希望“企业”做什么，有什么要求，但很难回答“怎么做”，譬如，合规风险的说法，如果从国家部委来讲，他们期望央企国企“合规经营”，希望也意味着担心，所以，对他们来讲，合规风险的说法是对的。

至于企业“怎么做”，是企业需要思考、安排、部署、落实的，所以，企业落实合规管理办法，从自身的视角，应该用的是“违规风险”、“不合规行为”的说法，再用“合规风险”，显然不太恰当。角度存在差异，这就是我文中经常讲的“简单复制化”不可行的原因。这不是吹毛求疵，企业中的观点、要求、工作是严肃的，一个不合适的说法，一经提出，就意味着一直传承下去了。

第三，由于内部控制、合规管理做的是“专业化”部署，相对来讲比较清晰，但原来整体“留下来”的那部分已经发生了变化，需要企业“自定义”。而要做好定义，就需要以“系统化”思维去看待分工，否则，很难达到整体效果。从实务可以理解，内控、合规是深度交叉的，那么风险管理就需要与二者做出界面切割，清晰的工作思路就会打开。别忘了一句话：结果首先是设计出来的，然后才是执行出来的。

第四，上级部署工作，为了提高企业执行力，往往通过明确的“结果”形式表达，譬如：合规管理中的风险清单、岗位合规责任清单、流程管控清单的所法。对企业来讲，满足结果要求是必须的，但需要告诉员工具体怎么做、怎么坚持下来，而不是给一个结果型的表格模板，却对怎么做不加指导。

对员工来讲，风险管理、内控、合规管理等，在意识、认识上都是“模糊”的，企业中的内控太多了！你要员工建哪些？合规涉及的“规”有外规、有内规，哪个都不能违背！你让部门、员工怎么选择？怎么做？做到什么程度？

让“模糊”变得清晰、有形、具体，是需要分析、确认的，方法就是“认识、理解、分类、穷尽、定义、排除”，让确定开展的“工作对象”浮现出来，然后再明确具体的实现方法。

比如：每个企业都面对外规的法规、监管政策、社会公德等，但所有干部员工也面对企业内部更严格、更详尽的制度约束，能告诉员工“外规、内制”全包括吗？但合规管理就是这样定义的，做的全吗？做的完吗？可行吗？所以，企业要具体化。

面对外部合规，对企业来讲，最好的方法是什么？要求遵从当然是对的，但实务是这样做的吗？一定是用更严厉、更具体的“内部控制”来做的，目的就是提高“确定性”，这不是我说的，是管理大师德鲁克讲的，其实，我也是这样认为并付诸行动的。那内部控制又包括哪些呢？都得讲到不能遗失，找到内控建设的重点是哪些，属于其他职能负责的怎么办，这就是工作思路，就看大家的系统性、经验、认识、技能了。做工作，得详实、踏实，一步步分析，才能可行，可行才能落地。

03.支持落地、效能、持续的条件：具体

这个话题非常不好讲，但却是企业管理者必不可少的能力，问题是，这类人太少了。于是，就产生了一个怪像，大家在模糊的认识中，去接受“模糊”的结果，现实中，这种现象有很多。

如果熟悉企业，仔细观察，就会发现太多的“存在差距、科学决策、论证不合理不到位、存在风险、重大缺陷”等说法。如何证伪呢？问他差距是什么？怎么做才算科学决策？怎么做才能论证的合理、到位？怎么才算违规风险？你认为存在缺陷，我承认，但凭什么你认为会发生千万损失的风险可能，而判定为重大风险呢？回答不出来，就是“模糊化”，是飞着的表现，不可能落地。

我接触过企业主管风险管理、合规管理、内部控制的很多人员，他们最头疼的是“不能落地，没人看”，那怎么办呢？

主管部门的设计与工作要求，是给其他部门理解，给其他员工参照执行的，甚至是需要做事儿的。员工最期望的是，究竟让我做什么，怎么做，是确定的理解。知道了，极少有不做的员工，不要轻易置疑员工的执行力，很多时候，给他们出的题都是“无解的”，怎么可能落实？

比如：可以看一看，内控程序手册中，究竟有多少是原理流程，究竟有多少模糊的说法。为什么我在文中总讲“规范、具体”？其实，内控建设是一个“标准化”的过程，这个标准是一道“坎儿”，处于坎里面，一切正常；坎外面，那就变成了“特事儿”、“例外事儿”，后者当然需要加严控制。否则，内控的“效率与效果平衡”，岂不成了空话。而这个规范的控制标准，不仅仅体现于流程控制活动，很多还会体现在制度中。

内控只有做到了具体，才能释放灵活空间，才能够被“控制方”正确地执行，才能发挥效能，才能发现“风险事项”，都超出控制标准了，但企业又坚持做，才有必要启动第二层显性专题风险评估，才能实现风险预警。达不到这种程度，别说效能，也别说预警，都是话术。说到这，可以理解内控、合规、风险管理实现协同的交界面了吗？

分工之所以存在，从哪来的什么“一体化”？如果是这样，那分工还有什么意义？有的只有清晰的“交界面”。实务中，可以实现的，只有在程序手册中“具体说明”，把三者统一到一起，但绝不是“一体化”的概念，而是综合在一起的做法。还认为有那么简单吗？不要把清单，简单认识成张表。

那怎么做到“具体”呢？我们拿内控中的“缺陷”举例。首先要搞明白什么是缺陷？缺陷的存在，不意味着发生了损失结果，所以，那种在企业中拿着“通用内控评价标准”的，无论多么量化，都没有用。因为，当事者看不到风险可能，评价者更不能“凭空揣测”，你说是难道就是了？所以，还可以推导出一个结论：既然这种标准没有用，那评价出的一般、重要、重大缺陷，难道没有“拍脑袋”的意味？

内控存在于各业务的关键节点上，上线的业务管理，即使有一个线上审核控制点，也不意味着是“IT内控”，仍属于“人工内控”。IT内控是由系统中“内置规则”自动进行判别，并能够给出“判别提醒”，这一点必须搞明白。IT内控只需要分析其内置规则是否适应、是否必要，所以，我们指的是人工内控。

比如：人工内控评价发现：有形式、没作用，即控制责任者不知道控制的目的、控制的内容是什么，基本都是“同意”放行。这时候，需要看的是设计，有没有告诉他控制的内容，告诉了，视为操作缺陷，是要从人的角度进行整改；没告诉，那就要延伸评价，验证是否造成了损失，如果没有明显损失，可以确认属于设计缺陷，是要补充、完善的；如果已经构成了损失，那就需要承担内控责任，不仅需要整改，严重的，就构成了问题，还需要追责（深刻理解了内控规范，就可以了解这方面的要求）。

另外，有的内控是需要“清单”作为依据的。比如，投资项目审批前的主业符合性审核，不要认为控制责任者“不执行控制”，都会做的，问题是这道控制的依据是“投资领域清单”，即真实有效能地实施内控的“参照依据”，否则，凭什么认为“符合或不符合”？如果有，没缺陷；如果没有，那就是“内控无效缺陷”，缺陷程度，一样看现实的结果。

为什么很多企业的内控评价，必须搞出个看似合理、但没什么意义的“通用评价标准”呢？一是迷失于“风险”认识“怪圈”中了；二是没有深刻理解“评价”。“评价”只对当下结果认定，不能像“评估”一样进行判断。那怎么解决呢？

内控的评价标准，是内控建设的内容之一，对应的是具体的“控制节点”。不同业务领域、流程环节的控制，目的性、风险程度存在不同，不可能用“统一评价标准解决”，需要同步于内控建设，只有预设，才能具体，才能让控制责任者做出责任的预判；只有预设，才可评价。