对企业来讲，风控体系很容易停留在一种说法上，或错误地认为建立了治理制度、形成了定期的信息报送机制，或者形成了一套产出文本，就意味着体系建设工作的完成。

01.风控体系建设的导入口

       无论是风控、内控，还是合规管理，既不是法务课题，也不是专业课题，更不是监督课题，而是企业的“管理与应用课题”。任何“一体化建设”、“大概念”的说法，本质都是用“流程承载风控、内控、合规”要求的转化。

       具体到体系建设，风控、内控与合规管理，无论从哪个文件的论述，如果结合起来分析，都有彼此关联、互为交叉的模糊地带。相对来讲，由于合规管理具有很强的针对性，其定义更为合适，但落实在具体做法上，仍有很多可圈可点的“似是而非问题”。很多企业主管人员在落实三项工作时，总是感觉很困惑，问题就出在这里。

       既然我把风控、内控与合规管理定位为“管理与应用问题”，就不妨碍我们去寻找一种切实可行的方法付诸于实践，而不是“停留于直观认识的表象”。首先，我们要说明两个“伪定义”问题：用不确定性定义风险，本身就是模糊的存在；用“防风险”说明风控、内控与合规的功能，本身就陷入了“不可解释”的陷阱。

       如果不同意以上观点，你能否认管理、制度、流程的“防风险”功能吗？如果不能否认，就证明了这种定义存在“可质疑”的空间。如果认为这种定义成立，唯一的做法，就是理顺管理、制度、流程、风控、内控、合规、法务、监督之间的关系与功能界面，从企业“管理与应用”的角度，作出“自定义”，这才是风控体系建设的导入口。

02.风控体系的特征是什么？

       在不少企业中，往往存在一种说法：我们完成了全面风险管理体系建设、内控体系建设、合规管理体系建设。这种说法本身是不准确的，问题出在“首先就把体系建设当成了一件任务”。所以，我们有必要认识一下成熟的体系，应该是什么样的？以内控管理体系为例说明，内控评价的目的是对体系的评价，而不是仅仅停留于“内控活动”，评价的目的，是对体系“有效性”的验证。

       在内控管理中，因为有明确的内控评价节点要求，在不少人的观点里，内控评价就是有效性评价，包括设计有效性、执行有效性。这种观点没有问题，但没有基于“管理与应用”的角度具体化，因为，这种观点，放之四海都正确，是体现结果目的的一种“直观描述”。

       对内控体系有效性的评价，置身于实践本身，包括三个方面：

       一是系统性评价，即对内控体系顶层（目标、原则、路径层）、中间执行层（体系运作层，即程序层）、底层（即内控管理基础规范层）相关结构、要素的逻辑性评价。比如：顶层定义是否包括体系整体定义与界定；中间层能否对顶层形成支撑；数据的规范性是否符合底层设定的管理规则。

       二是全面性评价，在很多企业中，对内控的定义往往非常宽泛，如果按照规范中的定义开展内控建设，根本不可能实现。原因是任何管理中都有“控制”，你能都显性化、规范化吗？事实上，大多企业的内控也仅仅停留在满足“外规要求”或“公司治理”涉及到的审批流程，既然如此，就应该准确定义。为什么内控建设只能停留在这个领域，而没有延伸到风险程度更高、更大的“核心价值流程”？原因是，体系没有持续运转，内控建设的产出停留在“最初静态的程序手册”，而成为一个“僵硬的标志物”。

       三是适应性评价，适应性包括管理的成分，而不是仅仅基于“控制活动”，比如：例行化工作是否充分授权，反映在流程的最终审批节点。授权的不同，造就了流程的长短，内控也并非“程度越高越好”，程度越高效率越低。其次，才是“内控”活动项所涉及的设计与执行。

       为什么很多企业的内控评价标准成为笑谈呢？没有这么个标准，不能体现出评价的“科学性”；设计出一套定量化标准，又经不起推敲，所以，设计出的标准成为“鸡肋”！原因有两个：一是陷入了“监督思维”，监督“因事项”以“既定规则”为审计依据，属于“因事儿对应规则”，所以它可以对结果进行度量；二是混淆了体系评价与“内控活动”评价的划分，没有分类、细化，试想一下，不同领域、不同内控活动、不同的“控制对象”，怎么可能用“几条一致性标准”衡量？

       那么，内控评价的标准怎么确立呢？既然是体系评价，当然应该基于体系，如果换个角度，从管理的维度就可以确定下来，因为，内控就是管理的一项职能。

       首先，要验证的是体系的完整性。即顶层、中层、底层之间的关系，不再赘述。

       其次，要验证的是体系运转的持续性。持续性表现在“流程梳理与内控建设”的广度、深度的变化。如果内控建设产出是一成不变的，意味着体系没有运转。当然，做出结论的依据是“程序手册的管理与维护痕迹”。

       再次，要验证的是体系运转产出的一致性。一致性并非数据本身，而是数据结构、活动的一致性，包括“流程梳理规则一致性”，保证一致性的是“底层”。底层是由“内控管理”是否到位产生的。

       最后，要验证的是适宜性。适宜性包括管理流程与控制活动，对管理流程的评价，只能基于“缺陷建议”，而不能认定为“缺陷”，缺陷的认定，只能局限于“KCP”。从三个角度反映：依据、活动标准、管理痕迹。

       评价维度及具体事项标准的内容，构成了“内控体系”的特征。如果放大视野，从全面风险管理的视角去审视，就构成了“风控体系”的特征，而全面风险管理体系是由三个基本结构构成的，即：内控、合规、风险管理，这样，全面风险管理中的“全面”，才能够得到准确的解释。

       如果我们把内控、合规、风险管理作为“全面风险管理体系”的结构，“事前”是什么？是规则，即企业中的制度与流程。作为一个企业，无论大小、处于什么时期，都应该有“与当期追求目标相匹配的完整规则构架”，需要说明的是：完整规则构架，并不等同于“数量”的多少。

03.企业建立风控体系需要做什么？

       首先，就要做好导入工作，这决定着风控体系的目标、范围、指导原则界定。也就意味着必须处理好“企业存量职能”与“风控体系”增量的关系。存量构成了增量的“条件”。

       比如，在很多人的认识里，把制度理解成了“狭义”的制度。其实，制度是一个大概念，从国家层面，法律法规是制度，从党的管理角度，党组织、党员条例等构成了制度，从管理层面，具有长效性的约束性“政策文件”，只要有性，也构成了制度，更不要说“狭义的制度本身”。

       大家可以思考两个问题：企业制度管理职能行使的空间包括什么？企业合规管理是法务工作的构成吗？即便法务工作的依据是“法律法规”，也不能构成“法律法规管理”的职能。做管理，不能混淆“归口管理”职能和“职能发挥”的责任关系。

       认识的宽度，决定了不同的结论。这就是我与很多专家认识“结果”的不同点：合规管理是制度管理的延长线，而不是仅仅停留在“外部监管”需求的原因。停留在外部监管的“合规管理”，有3个必然结果：一是形成的大部分数据来源于复制，因为外部规则具有“共同性”；二是与制度做了物理切割，从“零”开始，所以，才有了搜集“外规”的起点；三是不能构成可持续性的“合规管理体系”，因为把管理职能“搞乱”了。

       也正是基于这种认识，我觉得合规管理启动之前的“几家央企试点”，应该以“招商集团”最为成功。因为，招商集团没有忽视与“制度管理”的关系，而是妥善地进行了“条件衔接”，把制度管理作为“事前”条件，做了大量工作。这一点，从国资委合规管理办法中可窥一斑，其中包括大量“制度”的说法，合规管理怎么可能离开“制度管理”呢？那为什么很多机构回避“制度管理”呢？一是没有做过制度管理，二是在大型企业中，制度管理非常复杂。

       任何管理，都脱离不开三个阶段：“事前、事中、事后”，如果大家感兴趣，可以结合企业管理实际进行反思，就会形成截然不同的结论。事前，并非“风险管理”专用，别忘了，管理的功能之一就是“管风险”。难道，你能否认企业不开展风控工作，就没有朴素的“风控”吗？

       确定了事前条件，“风控体系”就构成了“事中”。“事中”是基于风控定义确定的过程，包括风控、内控、合规三大结构。这里要说明的是：不能混淆流程承载风控、内控、合规要素与“风控、内控、合规”产出的关系，流程承载要素，指的是“运作与执行”，风控、内控、合规的产出是“各维度的体系管理手册”，是基于“单维”的产出。即便华为、丰田，也是这样做的，比如质量管理体系，当然有“质量管理手册”，而且华为、丰田的手册非常之多，但都是通过“流程”来落实。

       至于“事后”，我并不赞成把所谓的“第三道防线”纳入体系中。所谓的“第三道防线”，并非“风控体系”所专享，无论是流程管理体系、质量管理体系、职业健康管理体系，都有“体系评价、体系审计”的存在。既然第三道防线发挥的是“审计、评价”作用，就不应该与体系混为一体，否则，客观性不复存在。

       会有人说，不对，内控框架、风险管理框架都包括第三道防线，别忘了3点：一是别忘了管理是基于“正向运筹逻辑”+“人本恶的逆向反推”进行的设计，其中，逆向反推成就了“必要的控制节点”，当然，执行是基于“人本善”为初衷，正如内控设计一样，并非一定存在“风险”，设立内控点是基于“评估”下的假设；二是别忘了内控框架、风险管理框架是基于“单维”的完整性，如果没有第三道防线的存在，就会出现“结构缺失”；三是别忘了“理论性的方法论”，并不等同于“应用实践”。应用实践，一切为了“好用”、“管用”、“有效”、“可持续”。