1.真理

真理讲多了，就是废话、套话、唠话。

2.原理

搜集信息，识别、分析、评价风险，制定解决方案、应对措施，有人说是风险管理流程，其实，它就是风险管理的潜在过程原理；梳理流程、识别关键风险点、建立内控措施，就是内控的产生原理；履行合规义务结果就是合规，不履行就可能构成不合规的可能或结果，是合规管理的基本原理。

对大多人来讲，在做一件新事情的时候，都会有一个潜在的思维选择过程。但在应用中，如果用原理进行设计或工作印证，那就真的进入了“罗刹海市”了。

企业中的大多员工，从事的就是工作，正如我们使用一部手机、工具一样，只关心其功能如何、怎么用、能不能帮助自己完成工作，而不关心其原理。

原理只适合于学者、专家、专门的风控人员使用，原理讲多了，就脱离了用户的需求。有时候，还会适得其反，用户本来做的挺好，听多了，反而不知道怎么做了。

最好的方法是，用原理做指导，结合实际，转化成能够付诸行动的节点标志或要求，本质又是一种“规则”，这也是一个原理型大循环。

3.机理

企业因目的而产生，组织因“事儿”而存在。任何的管理、设计，都会选择原则，提出目标，最终都要通过分类、分层、分级，最终落实到“事儿”上；对任何事儿的影响，最终都是从事儿的“前、中、后”进行思考、构思，从而找到潜在的问题；问题对应的无非就4个大类，包括“错误、缺陷、故障、危害”，从而分别提出措施；措施，对应的无非是“预防、干预与应对、完善”，固化下来并推行，就是规则，也是知识管理的构成。

管理，就是在这样的循环中，一次一次趋于完善、升级。对原则、目标的大幅变化及采取的措施，就是改革；结果一次次向好的方向演变，就是变革；变革过程中的一次次重复性结果，忽上忽下的不稳定，可能存在的问题，就是设计缺陷；对过程中发现的问题，违背了规则要求，就是合规风险；没有规则约束下发现的问题，就是管理漏洞；执行了管理要求和规则，对仍可能出现潜在问题的环节施加影响和干预，就是管理风险┈┈

企业离不开规则，规则离不开目的和事儿。原理讲再多，都摆脱不了这一“管理规律”。很多人一直在讨论“问题与风险”的区别，都可以从问题的角度思考，没有人会“没有问题而导入、推行一套方法、规则”。因为，这是机理。

4.方法

人们处理任何事儿的过程，都不会从复杂、细微处入手，总是从宏观、整体、结构┈┈，逐步细化，从而找到可落地的具体措施。

既然风控、内控、合规都属有“全面”风险管理涉及的内容，先把它看成一个整体，找“事前”。

前面讲了，管理最终都会凝聚、体现于“规则”。精干、完善、有效、易获取的规则，就是风控整体的“事前”。规则，是预防风险并确保结果成功的工具。

规则本身就有“控制功能”；规则本身就是“防风险”经验的总结和推广；规则本身就是“合规义务”的发源地。没有规则这一充分条件，风控、内控、合规管理就是“沙土地上建高楼”，说着美好的“管风险”愿望，结果必然是“问题”累现。

企业外部的法律、法规、政策、道德、伦理等等，也是一种规则，但不被企业管理的外部规则，默认的是与企业“没有太大关系”。

要做好“外规”遵从的合规管理，必须纳入企业内部的“规则管理”，这就是“外部链接”与“内部整合”的管理思维。企业中的法务，与规则管理是两码事儿，分散管理的规则，必然不易获取。

合规管理对接的是“要遵从的规则”；规则管理对接的是“与企业有关的所有规则”。

解决了事前，再看“事后”，这就叫“瞻前顾后”。“后”是相对的，风控不意味着“不发生风险”，风险发生了，是为“应对”，这是风控的“事后”，是流程的构成，不是“分割交接面”。

讨论方法的前提，是“把全面风控作为整体”。事后，当然需要基于“整体”，同样适合“单标判断”，而不能构成“双标”。事后，自然是“监督与评价”。由此，可以推断：“事后”的监督与评价，针对的是“风控体系”从整体到细节。监督与评价关联性很强，但不是一回事儿。

三道防线的提法，并非“风控专有”，而是企业中所有“归口型”管理职能的“共性”，也可反映到任何管理体系。区别在于，它用的是“防线”，其它体系反映于“责任”，机理一样。

做完了前瞻后顾，意味着划出了“风控体系”的边界，“事中”，包括了体系的设计、实施、执行、监管、改进。这里的顶层，既涉及PDCA原则，又涉及下一层的“事前、事中、事后”方法。前者基于管理，后者基于实施和运维。

同样道理，由于“风控、内控、合规”管理，构成了全面风险管理的“结构系统”，需要对“功能、接口”进行定义，不被定义的“风控、内控、合规”管理，在企业中，必然是“一场乱戏”。

风控、内控、合规都因“管理风险”而产生。由于事前的“规则”是基础条件，同时，规则本身具有“控制功能”，这个控制功能的绩效，通过“时间、效果、成本、风险”表现出来。所以，规则是“企业的一种能力要素”。为保证规则绩效“预防风险能力”指标的达成，采取的措施，就是“内控”。内控，让规则更具有“控制局部风险向整体外溢”的能力。

规则的建立与管理，当然有目的性。目的是为了让“适用角色”遵从规则要求，即履行合规义务，反映的是企业执行力中的“管理执行力”。所以，合规管理是提升“规则遵从”执行力的措施，是企业“规则管理”职能“张力”反映出来的延长线。

有了保证规则预防风险外溢的“内控”，有了提高规则遵从力的“合规管理”，是不是意味着企业中的风险，能够全部化解呢？不是，企业是处于外部环境、内部运营要素中的“主体”，经营与管理过程中还会“遇到或做很多事儿”，因事儿结果状态的“多可能性”而采取的“干预措施”，才是“风控”，所以，风险管理的目标对象是“规则作用之外的剩余风险”，即风险事项。

以上，是对全面风险管理体系中，各结构系统功能定位的“定义”，是系统、结构思维的具体表现。剩下的就是“对各结构系统”机理的梳理。

对风控、内控、合规的“事儿”来讲，事前就是“识别风险”；事中就是通过干预，影响风险事项的结果状态向预期发展；事后则出现了“分支”：一是化解了风险，关闭风险，总结并推广经验，上升到规则，是为管理提升；二是发生或局部发生了风险，采取应对措施，控制风险外演，然后或举一反三、或补充措施、或对共性问题明确要求。

5.结语

从大的工作属性来看，风控、内控、合规都属于“保证”类工作，保证功能的发挥，都需要建立在“作用主体”的基础上，是为“场景”。质量管理、安全生产、保卫保密、职业健康等等，道理一致。

失去场景基础上的风控、内控、合规认识，不是基于实践，而是基于“原理”。这里有一个差异点，不少人认为“合规管理”是基于规则要求内容的“摘要复制”，这种行为清单没有任何意义，还不如“拿规则说事儿”，更有效果。

合规管理的要义，在于“正确理解规则的合规义务”，联系企业的商业、经营、管理、产品、角色等，转化为“企业实践的约束、限制行动”，从而提高执行者的“觉悟与认识力”，而不是“摘要、复制”。

至于完全的“约束、限制性规则”，需要认识到的是，都是“合规义务”，无需转化，照单全收。譬如：党员纪律处分条例、企业员工行为准则、公务接待、公务用车等等规则。

从经验角度，我们可以给出一个预估结论：企业中的风险，80%以上来源于合规风险、人性与能力风险，通过合规管理、内控管理发挥功效；而“风控”面对的风险，占比虽然少，但影响更大，与企业中心任务、不同层级的绩效紧密相关。

至于风控、内控、合规管理的具体方法，就是分类、分层的具体运用和体现，受篇幅所限，留待后续。