法务合规内控风险一体化管理的四梁八柱

法务、合规、内控、风险一体化是必然趋势，但如何一体化却不是一件容易的事。一体化涉及风险学、管理控制学、体系整合、PDCA等基础理论。本文提出一体化管理的“四梁八柱”模型。让当前大型企业，不管是开展合规管理，还是内控管理，或风险管理工作，都会遇到如何处理与管理活动的关系的问题。

经过多年的实践和摸索，大家对如何处理这几个方面的关系，也逐渐有所认识。

目前达成的共识，便是法务管理、合规管理、内部控制、风险管理等可进行一体化管理，或称协同运作。

共识是清楚了，但如何一体化，却仍是盲人摸象，各说各的。造成这种现象，个人认为，主要是因这几项管理活动，是来自于不同的时期、不同的主推机构、不同的背景知识要求。当然，也是企业发展不同阶段的不同需求的反映。因此，法务、合规、内控、风险进行一体化，是一件非常综合的事。

它首先要求熟悉这几项管理活动的内容、工作价值、操作模式等。然后，在进行一体化设计时，还需要理解这几项管理活动的各自历史来源、标准框架、价值理念等。

综合这些不同的内容、价值、框架与理念，方能设计一套可用的一体化管理模式。

本文综合作者团队多个一体化管理咨询项目经验，总结一体化管理的精髓，提炼出法务合规内控风险一体化管理的“四梁八柱”。01底层方法论：求同存异

法务管理、合规管理、内部控制、风险管理这四项管理活动，都有其各自的渊源。在不同的时期，都受到来自不同监管部门的重视。当前在大型企业内部，这几项管理活动或职能，存在于一个或多个部门之内，其工作也由不同背景知识的人在从事。
    例如，法务职能，由法律背景的人执行；合规职能，也多数是法律背景人员；内控和风险管理职能，则比较多样化，可能是审计专业、财务专业、经济学专业等。

可以看出，这也是为什么一体化管理是一件不容易事情的原因。他们在底层，是不一样的。同时，也提示我们，要一体化，必须从“底层”开始。

  界定和找到法务管理、合规管理、内部控制、风险管理的底层——共同属性，然后在认识共同属性基础上，进行一体化或协同，是更“站得住脚”的管理方式。
  为什么专门说一点？是因为目前大多数所谓合规内控风险一体化的研究或实践者，其提出的“一体化方案”，根本不能叫“一体化管理”。他们所谓的“一体化管理”就是把法务管理、合规管理、内部控制、风险管理的工作，都分别再说一遍，描述一下他们的关系。例如，以法务（合同）管理为抓手，以合规管理为底线，以内部控制为手段，以风险管理为根本等等。

这种说法其实是非常浅层的，其只是在说重述几项管理活动体现的一些特点，甚至消除了管理体系的概念，把具体的管理活动特点当作整个管理体系本身。
   法务（合同）管理本身是一个体系，它不仅仅是可以作为某种管理活动的抓手，它自身就由多个要素组成，是一项完整的管理循环。

同样的，内部控制也不会仅是某个管理的手段，它自身就是一套体系。

我们说内控是手段，应当是在说某项内控措施是手段，例如不相容职责相分离。这个才是某种工作手段。整个内控管理体系，是不能说成是谁的手段的。

因此，要搭建法务、合规、内控、风险一体化管理框架，从“底层”开始，就必须以该几项管理的共同属性来作支撑。

这个共同属性是什么呢？当然就是“基于风险的风险管控”。合规管理是管控合规风险，内部控制是管控内控风险，风险管理是管控全面（外生）风险，即便法务管理，大部分时间也是在管控法律风险。

“管控风险”，便是其共同的属性，也是法务、合规、内控、风险一体化管理的“底层”。也就是，法务、合规、内控、风险一体化管理要基于“管控风险”来设计。

这个“管控风险”，是一个具有辩证色彩的归纳。即虽然法务管理、合规管理、内部控制、风险管理，都是“管控风险”，但是它们所管理的风险性质是不同的，所采取的具体管控措施也是有区别的。这是“底层认知”必须包含的内容。

强调其共同的属性——管控风险，同时又突出各自侧重的内容——不同风险性质和管控措施，将这两者同时结合起来，以“求同存异”方式，才既能真正实现这四项管理活动的本来价值，又能实现这四项管理活动的整合价值。