企业制度、流程、对标、内控、合规、风控与问题之间的逻辑及系统关系

又是一个大话题。很多人都在谈制度、流程、管理对标、风险、问题之间的关系，甚至推出一体化建设实务方法，我不得不改个词：实践。

01.怎么认识实践

企业中的实践是要被验证的，被谁验证呢？职能的归口主管部门是其一，最重要的是对应的业务、职能管理部门、执行者。

比如，做内控建设、合规管理、制度管理，是归口管理部门验证吗？不完全是，归口主管部门验证的只是规范、结构、管理模型、环境、体系治理流程、政策要求符合性；真正起作用的，是那些知道并希望“管控什么”的部门，是那些需要按照设计要求进行操作的部门。因为，管理的落地，是执行层面的课题。

怎么验证呢？主管部门有定位、有目标、有职责、有经验，只要不是每天浑浑噩噩“做工作”、“混日子”的人，即使他不知道一些大道理，看一眼、分析一下、联系一下实际，就能知道你提供的结果是否可行，就能够找到需要进一步完善的问题所在。要追求落地，你就得走完这一“取得共识”的旅程。

这就是为什么很多咨询机构不敢碰触“执行层面”的原因。号称敢碰触的，如果你拿到的结果，总感觉“像那么回事儿”，但又觉得似乎“不是那么回事儿”。只要有后者的感觉，可以肯定地讲，落不了地。原因是，那是理念型指导化管理。

能落地的，只有认识一致的“确定性”设计结果，唯一可以确定的，就是“标准”。但不要认为我讲的标准，是那个“虽有标准之形，但很多人都读不懂的标准”，也别认为不可实现。

联系某委组织的“内控抽评”活动，为什么没提对内控体系建设“产出结果”进行评价呢？缺少明确的标准。有人说，通过评价体系的结构内容，可以反映内控体系建设的成效。

我想说的是，内控工作轰轰烈烈地建设了这么多年，不对产出结果进行评价，那还要什么“管理对标”呢？对标，不就是立标杆、达标、创标杆吗？通过评价，把“标杆”立起来，各央企才能通过“对标”，找到“达标”的方向。管理对标，不是也包括风险管理对标吗？管理，很多事儿都是相通的、系统的。

评价，首先得有形，然后才是质。否则，不又回到传统审计“用委托方制度”验证结果、追溯过程的模式了吗？但不要认为我讲的传统审计，就是以财务报表、账单为核心的审计，我讲的是“模式”。

怎么评价体系建设产出呢？你得知道体系的表达方式、要求、追求，如果这些东西没搞明白，再讲也没用，更别说评价。如果建设产出做的好，完全可以用产出做标准进行验证评价。开展内控建设，不就是要实现这种目标吗？

有人可能会质疑：你讲的太复杂了。写着复杂、讲着复杂，做起来很简单，这就是“实践”，用周全的、符合实际的设计，换取管理、执行的简单化。企业总不能一直徘徊在“模糊”的边缘，“自豪”地把每天召开、参加若干个协调会，把每天处理若干个内部问题，当做“反映管理者辛苦、忙碌的业绩”，当做日常工作吧！那根本就不是“管理”。

02.化有形于常态的风险管理实践五步法

说起风险管理，很多人都会纠结在“风险”二字上不能自拔，很多事儿落实在了对“风险”的遐想、描述中，最后得出“风险管理无用论”的认识。不是没用，而是很多人还没有学会“怎么用”。

古有姜子牙、管仲、乐毅、诸葛亮、曹操等“大”家，他们尚不能完全洞察风险，咱企业中的风险管理，还是踏踏实实地做点“管用”、“有价值”的实事儿。

别再捣鼓那些“多位一体”、“这个大、那个大”的概念了。试想一下，制度你建了、流程你梳理完了，控制、合规、风管那么多要素你也承载完了、监督也给你整合到一块儿了，那不就是企业的整体运营管理体系了吗！

天啊！战略管理部门、企管部门都没做成的事儿，咱一个主管风控的小部门，就别那样“刮大风”了。风刮完了，是不是除了“形似落叶般的一本手册、一套表格、几份文件”之外，就剩一片净土了？如果还不信，谁介绍这样的经验，你就应该到他那儿去“对对标”。

概念、模糊、臆测的说法，本来意味着不确定性。企业风险管理，不能在管理风险中再去创造“不确定性”，靠谱点，不是什么坏事儿。

有些朋友希望我举一些实例，其实我举的例子够多了，有流程、有分析、有模型、有标准、有不同业务的控制项……，这些实质性东西，您除了看到过一些理念性的观点文章之外，还见过几个真家伙？真正理解了，转化为产出形式，不应该有多难，有些东西，是写不出来的。

如果哪个民营上市公司感兴趣，这个标杆，我可以帮你“立起来”，从制度到风控，从问题到标杆，甚至从战略到绩效，只要讲诚信，视效能结果、应用结果你来定价，就怕你会再也离不开。

这就好比曾在天津参加某企业竞标一样，选择一个只会把价格砸成白菜价，却一个问题回答不出来的供方一样，钱花了，交付的产品真的可用吗？不看都知道结果，没用的。在咨询领域，采购价格、交易价格、产品交付成本，最重要的不是采购价格，而是你要追求什么产出。

怎么策划可以实践的风险管理呢？

随着我的文字思考。先抽象一下，清空那些深刻于你脑中的什么内控、合规、风险管理概念、框架、文件、希望，让风险管理转化为“企业不想有风险”，你要怎么办？

这时候的风险管理算什么？一种理念、一种概念、一种思维、一种追求，但是没有任何的工作形式、方法、措施，只是领导出了一个题。也就意味着“让企业没有风险”，是所有的与管理风险有关的，包括任何活动都需要回归的“中心线”。你想怎么办的措施，就是“风险管理工作或活动”。

记住有两点：首先，企业中所有的管理，都是从宏观打开，然后收缩、打开、收缩，直到可执行的确定性结果，这种忽大忽小的打开、切割、收缩、发散、再收缩的思维方式，适用于企业、部门、岗位；其次，部门之间怎么办？把部门看做一个公司，把所有周围的其它部门、组织看做你面对的外部环境，按照“客户”思维分析、构思。

第一步，找到确定性的方法

怎么让企业没有风险？只有企业要做的每件事儿，处于确定的做事儿过程状态，参与做事儿的每个员工按照确定的标准去操作，用过程标准，保证产出符合期望的结果状态标准，意味着没有风险。那么有没有提高确定性的工具呢？流程、制度，都可以选择。

怎么看待制度与流程呢？都是可以承载企业战略的载体，都是可以将企业内部的做事儿、管人进行规范、标准的工具。怎么选择呢？企业自己定，但必须掌握制度工具、流程工具各自的优缺点。

无论最终选择的是制度，还是流程工具，我们都可以认为，他们是提高管理规范化、标准化程度的“规则工具”。是不是依靠制度、流程这种显性化的规则形式，就能够保证所有事项、人的行为标准化呢？不行的。所以，规则还要有外延的补充，从而降低制度、流程泛滥带来的成本高启。

制度、流程规则工具的外延包括什么？简单的定量、定性的规则标准，这种标准，可用于结果标准，过程关键环节、关键要素的结果标准；其次，还包括表单、模板等。所以，企业的规则，呈现为“以制度、流程”为主要形式，以技术标准、行为基准、结果标准、表单、模板为补充的“网络化结构”状态。

找到了工具，定义了核心与外延，这些工具怎么使用呢？制度管理到哪个层级、功能怎么界定、规范怎么设计、谁承担审批责任，一一定义下来，即制度管理中的共性层级架构，这些概念的定义，构成了“法定工具的使用标准”，流程管理具有一样的道理。

是不是用企业内部的“法定工具”就可以完全解决确定性问题呢？不可能。那就发挥“补充规则”的作用，用“非法定但有效的规则”去定义结果标准、过程的关键事项、关键环节、关键要素的执行标准，明确达标的保障措施，这是什么呢？标杆管理。

有人说不会用，那就实践去呀，还要怎么写呢。中国企业最大的悲哀，就在于缺少这些标准的沉淀，导致企业年复一年地在“同一个管理水平”上耗来耗去，最终发生权力失控、私欲膨胀问题，耗到那么多有才干的高级管理者，前赴后继地被请去喝粥，多么可惜，多么悲哀。其实，标杆管理应该是一个非常“平常”的事儿。

解决了怎么使用问题，应用工具时有什么要求呢？合法合规是第一项；描述要清晰、可理解、具体化、标准化，是第二项；必须把管控内容标准化，是第三项。所以，制度、流程、标准、模板，是保障企业合法合规经营的必要组织能力。

怎么保证清晰、可理解、具体化、标准化呢？从对象的整体到分类、分层，无出其二，用制度、流程去表达。企业中的制度，本身没有什么基本制度、管理型制度、作业型制度、标准控制型制度、规范型制度之分，只是为了实现制度清晰、可理解、具体化、标准化，解决由于业务复杂度造成制度“冗长”问题的一种管理方法。制度类型的划分定义，就是一套执行“标准”。

怎么实现管控内容标准化呢？首先，制度的划分，是基于域、模块、环节、标准、要素、指标不断挖掘的体现，一般情况下，不同类型的制度，描述的颗粒度不一样，环节、标准，一般表现为控制节点，那怎么办呢？

每个管理部门必须掌握自己的“管控内容、管控环节”，由部门职责、价值定位、管理目标追求决定。定位错了，会导致原则、方法出现问题，导致控制不稳定，是企业经常见到的常态表现。

同样道理，解决了企业的管理层面问题，也不能遗漏企业的治理层。问题是，你能做到什么程度？因人而异。

解决了这些，意味着企业建立了必要的制度、流程、重要节点的标准、结果标准，涉及到的工具和方法有哪些呢？制度、流程、标杆及管理。

第二步，运用标准思维，保证法定制度与流程的稳定

这一步指的是什么？以法定制度、流程建设已趋于成熟为假设条件。需要说明的是，制度并非只有企业自建的制度才算制度。制度管理部门的职责，不是只管自建制度，也包括与企业相关的外部法规、规章与监管政策。当然，这些外部规则，也分散于有关管理部门。

如何保证制度、流程的执行稳定呢？需要区分企业选用的“法定规则工具”，大型央国企一般用的是制度管理，那就用流程、标准型控制制度去保证制度执行的稳定，取决于关键环节、关键要素的执行、产出结果标准的稳定性，即控制的标准化建设。

所谓的狭义内部控制建设，即控制的标准化建设，实质是标准控制型制度、制度导向下的流程梳理过程。当然，如果是把流程做为主要管理方式的企业，就是一个控制标准程度立标、达标评价、创标的过程。

要做到这一点，需要经验，决定这方面成效的是“管理的系统性与管理运筹逻辑”，这就是为什么我总讲内控建设是一个“从点到面逆向追溯”的过程。根本不是拿套模板进行复制的做法。

内控建设的节点，最少要到“环节、要素级”，否则，就会出现“科学、合理、严格”等描述，是正确理念指导下的“废话”，谈不上具体、标准，无落地可能。当然，内控建设中的流程梳理，是需要有参照标准的，不是想怎么画就怎么画，想怎么写就怎么写。

第三步，提高确定性的抗外部违规风险能力

第一步、第二步在做什么？在做从战略到实施、从外规到内部规则的“标准化”固化。

其一，从战略到实施，是以“事儿”为导向进行的分类、分级、事理、控制、标准的分解，当然包括对“关键要素”不确定性的评估及设定的控制措施。事儿，分解到什么程度？问：你在做什么？答：我正在做哪件事儿。也就是说，要分解到你能回答上来，能够让问的人明白你指的是那件具有清晰、明确结束标志的“事儿”。

其二，从外规到内部规则，为什么我这里用了“内部规则”，而不是制度呢？外规，无论用与不用，都必须识别出“合规要求”、“限制性合规红线”，是合规风险评估的“目标”。好了，那就转入了第三步。

第三步，解决的是如何用确定性化解“外部违规风险”问题，即合规管理的开始。

在合规管理中，发生了3件“非常滑稽”的事儿，都属于“书生搞管理、理论坑死人”的体现。当然，我也是书生，但我有二十多年企业的多种管理岗位从业经验为背景，而且都是实打实干出来的。

第一个滑稽，先识别企业风险，还要划出个一、二、三层级，然后找对应的外部规则、内部制度。纯粹是“被风险这个词搞乱了心智”，忘掉了“中心线”。

相对合规管理来讲，中心线是“不违规”，至于是否发生其它风险，是“管理”要解决的事儿，全搞反了，还在那儿大谈合规风险清单呢。合规要求对控制风险是有作用，但控制风险是单纯靠“合规要求”吗？别忘了，还有一套“责任体系”。

清单解决的是什么问题？是风险的评估结果，有风险，就要有解决方案计划及实施，你见过长年累月“把风险清单”挂在脑袋上的做法吗？有那时间，你告诉员工应该怎么做的标准，并采用必要的监管以保证，多好！

第二个滑稽，僵化地认为把各种“合规要求”套用到制度、套用到合规义务与风险清单，才算“具有防范风险功能”。你见过企业做制度是这样做的吗？难不成企业发展几十年，都没搞明白怎么才能保证合规？即使内建制度，也是通过模板、制度匹配进行的，而不是把各种要求，一股脑灌输到制度中。

第三个滑稽，把合规义务与风险清单的“义务来源”，套用合规管理定义中的“法律、法规、规章、制度、政策”的说法，写出一套“罗列万方”的流水账。真不知道是企业的管理水平就那么低？还是这样做的人不了解企业？那合规管理办法，为什么还要求各部门建具体合规制度呢？拿着这样的清单去做管理不就完了。你得结合起来考虑，不能“一根筋”地为合规管理而合规管理，归根结底，在标准。

有人会问，那每个企业安全生产制度不可谓不全，但为什么还发生安全生产事故呢？有4个原因：要么是制度设计有问题，要么是执行标准缺失或者不清晰，要么是作业现场的监管责任落实不到位，最坏的是故意为之。你查去吧，无出其右。但是，如果没出现安全生产事故，他们的作业并没有构成违法，但一定违反了“内部规则”。

那怎么做呢？所有的风险问题，首先考虑的都是用“确定性”剥离“违规因素”，所以，才有“经营性合同模板、劳务合同模板、军工产品出口申请表单、管理制度……”，你选用了“标准”，意味着与之相关的“违规因素”被屏蔽了。那么这个模板从哪“确定”呢？产生于“管理制度、作业制度”的说法，你仔细想。

既然用模板可以规避掉违规因素，为什么还要识别外部规则的“要求与限制”呢？设想一下，你看文件，不掌握重点吗？你在看文件的时候，脑海中不去衡量内部制度是否满足这些“要求与限制”吗？当你认为有些不可控因素时，你会怎么做？

理顺了这个过程，把它固化并稳定下来，就是“合规风险评估”的过程，其产出就是“合规义务与风险清单”。合规风险评估模型，是为了化解由于人的因素造成的认知、责任落实不稳定的问题。

这个过程是一个重复的过程，不仅适用于外规内化，同样适用于内部规则的分解细化，一步步向越来越“确定”的执行标准方向进化。企业执行的是“哪份规则”，对应的合规义务，即产自于该规则的“合规要求”，直到执行标准的产生。当然，这里有一个“重要性与管理成本”的平衡过程。

这才是“合规管理”重点要解决的环节，让各种“合规要求”，拥有落实、执行的确定性基础。

第四步，让“人”及由人构成的组织行为具有“确定性”

企业中的人，是最富创造性也是最富不确定性的因素，有了牢固的规则条件，并不意味着“执行的确定性”，怎么办？

构建清晰的责任结构体系，包括领导责任、管理监管责任、控制责任、现场监管责任、直接执行责任、内部第三方监督责任，问题是，在关键环节，必须不折不扣地“压实责任”。大可结合企业实际，不断轮换大、小场景，进行责任结构的验证。

有了规则、有了责任，是不是“人”这个不确定因素就有了确定性？不是。人有“趋利避害”的固有本性，人的本性很难改变，但可以改变人的动机、行为，怎么办？

良好的价值观与企业文化、高绩效文化，是引导员工行为向好的牵引力；构建不合规、违规等级标准，建立与等级标准对应的违规结果认定标准、处罚标准，制造让人的行为向确定性转变的“势”。

是不是有了这四步，就不会出现违规问题了？不是，但剩下的，就是由于“个人动机”出现的违规问题，那就按照标准处理好了。谁告诉你，进行了制度管理、内控建设、合规管理，就不会发生违规风险了？

第五步，企业还剩下什么风险，怎么办？

如果把企业作为一个拥有100%风险容量的整体，假设前4步的基础管理工作做好了，通过各种控制，基本可以让不低于85%的风险处于受控状态，但还有风险容量存在，是什么？

这部分风险来源于企业的战略制定、战略实施过程中的规划，是一个相对的概念。如果说风险是由于某些事项的存在，导致结果可能偏离目标的可能性，怎么理解呢？

首先要解决好目标的科学性、合理性问题，目标平庸，计划完成率都处于100%的状态，也就是说，所有组织、员工都蜷缩在一个“可接受的空间”内，高的、矮的都放一起，就低不就高，那么企业既没有什么挑战，也就没有什么风险压力可言。

这种企业，优秀者永远展露不出来，而那些号称优秀的人，不一定是真的什么优秀者，一切全在“领导的喜好”，本质是一种官僚化的、平庸化的权力游戏而已。这种企业，你查吧，一定腐败多多，因为，腐败最先来源于“领导用人、属下贴人”。

如果企业追求发展，目标既有挑战性又不失实现的可能性，风险环境就出现了，这是根源。也就是说，风险与战略发展的意图有紧密的关系，其结果是“优秀者与落后者的分化”，选人用人也会向“业绩”转变，而那些“忠于…热爱…觉悟”等说法，就会变成“约束条件”，而不再是“领导说行你就行，不行也行”的权力游戏状态，决定条件一定是“绩效”，必要条件才是那些“约束条件”。

在这种状态下，风险管理自然就有了保障绩效达成的“空间与环境需求”，怎么做呢？以前的文章都交代过了，不再过多描述。

抓住战略管理中的关键环节，让风险管理与计划的产生、执行耦合起来，风险管理保障绩效达成的价值就可以凸显，而且很容易被企业员工接受。其次，要构建一个人人参与的风险信息传递机制，实现与责任体系、绩效体系的对接。最后，要提倡团队文化、知识管理，在学习中实践，在实践中学习，不断沉淀为企业的内部控制，这种方式，岂是那些“单维”知识培训所能比拟。

经过五个步骤，你去思考，企业的风险容量已经化整为零，但并不意味着就不存在风险了。但是，按照五个步骤去开展工作，一定会提升企业管理风险、挑战风险的能力，这就是企业实施全面风险管理的“实施路径”，剩下的就是处理好存量、增量的关系，组织实施呗。

03.结语

在02中，我们基于企业风险管理实践，梳理了实施路径。五个步骤，从逻辑上是“前后”关系，但实践中，并非完全的“串行”关系，而是“并行、交叉、互补、迭代”关系，是一个系统化的推进工程。

但不管是哪类以管理风险为导向的工作，遵循的共同规律是：先向确定性要措施，再向计划措施要效果，最后用人去化解。

本文强调了风险管理实践，其中还有一个多重定义问题，既然开始我们把风险管理视同为一种理念、一种概念，转化到实践，就要做好自定义，再转化为工作去策划、部署、推广、实施，是归口管理部门的责任。

自定义既包括内控、合规、制度、流程、标准的定义，也包括每项功能下的分类、分级，目的是让这些模糊的概念变得清晰、具体，让他们变得与“职责”紧密的关联起来，让每一个部门认识到：内控、合规、制度、流程、标准，不是什么新鲜事物，而是每个部门、每个组织、每个员工本应做好，但仍有欠缺的责任。

做好这些工作的实现路径包括：制度管理、流程管理、内控管理、合规管理、标杆管理、风险管理、问题管理。整合、切割，最终形成包括内控、合规、风控三大系统，制度、标杆、问题、监督为支撑的全面风险管理体系。用管理手册、程序手册表达出来，无形但客观存在的管理体系，跃然而出。


来源：天锦咨询
本文仅作分享，作品版权归原作者及机构所有，如有侵权请联系，我们立即更正/删除