另外，企业应该合理分析，准确掌握董事心理，及高级管理人员关键岗位的风险偏好，采取适当的控制措施，避免因个人风险偏好，给企业经营带来重大的损失。所以对管理者个人的风险偏好还要进行管理，这是风险应对。

内外部风险识别，这个就一句话，刚才我们不是已经建立了目标和细化目标吗，那就根据目标和细化目标去找，哪些是内部风险，哪些是外部风险，所有的选项进行识别。比如说一个老企业家死掉，找不到接班人就是风险，脑筋僵化是个风险等等，就这么多健康风险、继承风险就是风险。在团队里面还有很多风险，要识别。评估就很简单了，概率、影响度，根据概率和影响度，把事物分成三六九等，加以解决，最后建立风险应对的基本策略。

规避，就是老子不干，这类事情我碰到以后，绕着弯走，明明有可能被欺骗，比如说经常短信告诉我，我中奖了，我到福建去领奖八万元，那你说我去不去呢，正确的选择就是把短信删掉，有些人去了，回不来，这个就属于大傻瓜了，要规避。还有人多处我们就不去，这都属于规避的做法，甚至有些人干脆路上碰到陌生人搭路都不说话，比如说现在有很多人会问，比如你从飞机场出来，你是不是这班飞机，他问你第一句话，第二句话是我钱丢了你给我赞助点钱，我很早之前去北京的时候，发现北京人很热情，大哥，你是不是哪一班，因为广播里已经说了，我说是的，然后你看，我把来北京的钱丢了，我就想，哥们穿得这么好，肯定也不会骗，又过两步，又叫大哥，也丢了，我说北京贼很多，丢了就丢了，又碰到第三个就知道了，这是一种风气了，以后再到北京，叫大爷我都不理了，规避。

转嫁呢，发现这个风险我一个人背不起，我找个合资公司，我建立一个分品牌，或是建立什么，总之要把这个风险转嫁出去，不能成为我一个人的风险。比如说有很多人在恋爱时期，采取AA制，这是转嫁风险，如果恋爱不成，也没什么重大风险。当然最中国的一种方式，还要同时和好几个人恋爱，时间也不耽误，当然我估计AA制差不多对方是不干的。还有一种流派是今天第一次见面，很豪华请一顿，能够一次性达成关系就行，否则我们第二次就不要见面了，我钱花不起，也属于一种转嫁或规避的做法。还有一种人是承担，出了事再说，那么容易出事吗？出事再说，这种人胆子很大，往往也很容易把这个事做成，属于那种不怕，因为世上毕竟很费事搞一个事的人很少，所以你们有时候会看到，有些骗局，能维持很长时间不破，像PPG，被骂了这么长时间才倒闭，PPG真的很厉害，我看网上把PPG骂得要死，但是并不妨碍他每天有这么大的销售额进来，实在太可怕了，他就完全不去设防，比如说他进行一些质量控制，提高产品品质，事实上是能活下来的，但是他的老总想短期里面卷走最多的钱，这是他的目标，比如说他与其给你邮购来成本是20块的衬衫，倒不如邮购来8块钱的衬衫，反正你已经骂了，是吧，他再扭转风气，扭转认识的话很困难，名气已经臭了，那么这就是一般意义上的风险应对。

好，你们看，走到这里呢，我们对整个内部环境进行了分析，然后对风险进行了评估，企业里面要实现财务目标，要实现战略目标，要实现合规目标，要实现信息对称的目标，要实现资产安全的目标，甚至有些目标还可以细化。与这些目标相对应的，是企业面临法律风险、战略风险、管理风险、环境风险，国有企业还有国资委的抑制风险，民营企业的话，还有用工风险，还有当地发展的风险，太多太多风险。比如说在浙江，这两年因为产业升级，凡是做污染产业的，全部搞到盐城去了，盐城有一个著名的化学园区，全中国最大，号称利用黄海的自净能力，据说污染物到黄海里去，会和沙结合，沙沉淀的过程就是去污的过程，这不知道是哪个伟大的教授发明的说法，实在太可怕，当初我就认为这个有问题，结果青岛搞奥帆的时候，连续五次红潮，海藻都杀不完，利用军队连续奋战了30多天，刚搞完，早上欢送，晚上红潮又来。当时7、8月的暖流，讲简单，就是从黄海直接运动，就是从盐城直接去青岛的，都知道从浙江过去的。这次盐城又整个城市水污染，就是由此而来的，谁都看到，这一类的风险，整个越来越普遍了，也因此成思危等人认为，21世纪整个进入了风险时代，必须对风险进行严格的控制，所以风险的控制就很重要。

那么紧接着呢，风险评估完了以后，就针对外部风险要建立一些控制活动，和内部的风险进行控制活动，把风险要控制活动化。这里你们一定要记住一个基本事实，不管是内部风险还是外部风险，企业里面第一，都多多少少有些制度流程的基础，第二，这些原有的制度和流程的基础，都不全面，不系统。第三，不仅要建立一些流程和制度，并且配套的还有一些措施要上去，否则的话这个风险是控制不住的。那么外部风险的应对，社会上各种搭建的法律风险，等等，每一项风险都制定一个相应的计划，当然请注意，是大风险。小风险制定一个总体的监控计划就好了，每季度或者每半年把这些风险重新评估一下，看哪些风险卷土重来了，哪些风险影响度降低了，根据风险权重高低的变化，加以管理注意力的变化。而内部风险呢，相应的主要是根据我们刚才进行风险评估的结果，尤其是战略、财务、人力资源、投资、合作、并购、研发、品牌、供应链、营销等方面的风险加以控制，大的风险，这类风险往往是对我们实现我们的财务，各种目标，一般来讲有严重影响，其次是近期问题暴露较多的，中央认为必须控制住的，这22个子系统，就不说了。以及其他在诊断过程当中揭示的子系统，我们在诊断过程当中，发现这里，从风险链来说，是个风险评估的过程，从我们的角度来讲，就是诊断的过程，我们整个就是综合诊断，过程里面发现问题。

那么所有发现的问题，我们就通过这四个动作加以解决。比如说你们看，我们要对资金进行控制，我们首先要进行这四个动作，第一，资金业务循环的模型要建立，不仅要建立一个流程，把整个流程与流程之间的关联性，就是把所有这一块的流程画成一个团块，就是业务模型，简单地讲是流程，复杂地讲是业务模型，画出来。再次模型一画出来以后，通过访谈法，各种方法，找出这个上面相应的弊端，弊端是什么。再次呢，针对弊端，每一个弊端至少要对应一个控制点，甚至有时候还不止，而每一个控制点对应的都是一个具体的控制流程。最后所有的控制流程汇编在一起，就是一个内控手册，对不对，这个我们很容易理解。

我们首先来看看，这是一般意义上整个公司的资金流动的一个模型，整个公司资金怎么进，怎么出，怎么来的，怎么走的，这个其实远远无所谓，任何一个东西我们都可以划成这个东西，只是大家请注意，这个业务模型，尽量不要按它书面上的，除非企业里所有的流程都得到了执行，如果都按企业里做过的咨询来实施的话，我们就做不下去了，我们的客户很少按照他们咨询过的来进行，一般都是按照常理，按照习俗来进行，都不会按流程走。所以我们画这个业务模型的时候，请注意，是按它的时态画，而不是按所做过的咨询。然后资金管理过程当中，常见的弊端就这么多，截留、挪用、虚冒、出借、现金超额存放、白条、非法违规出借，所以你们经常听说，银行那些小出纳，甚至柜台人员，可以携款几百万元逃掉，就证明我们银行水平实在是太差了，柜台都可以携款几百万跑掉。如果是行长携款几百万的话，倒有情可源，但行长也不屑于携带区区几百万跑掉，资金管理过程当中，这是大的不顺，我们公司的资金管理都会出错，所以实在是太可笑了，全世界范畴里面，资金管理，侵占、贪污，这些问题实在是不胜枚举。弊端一一找出来以后，不是在这里找出来，而是在这里找出来，哪些点上容易冒占，那些点上容易挪用，是这样，找出来以后，再一一找控制点。比如说资金的控制点里面，如果这些控制控制住了，基本上就已经完全没问题了，当然这只是把结果告诉大家，一般要用之前介绍过的事件识别法，一一去识别，那么最后识别的，我们把结果告诉大家，就这么多东西，只要做到这些东西的话，资金一般都不会出问题，我们公司资金前不久出问题，讲简单一点，是王会计没有严格执行会计制度，我们出问题的话，那大笔使用资金的单位出问题，简直是小儿科了。之前介绍过，就不多说了。

那么找出业务控制点以后，就把业务控制起来了，所以最后根据以上设计出若干控制流程。首先控制流程的设计，再次强调，控制目标是该流程的目的，每一个控制点，找出一个缺陷点，对应一个控制点，那么这个控制点有控制目标，这个点就是防止滥用，这个点就是防止贪污，这个点就是防止挪用。所以为什么你看，过去中国有个买鞋的公司，叫百信，百信鞋业，你们可能都见到过，都是号称本城最低的，百信鞋业的一个子公司的老总就可以厉害到什么程度呢，他就可以每月挪用50万拿出来炒股，可见公司管理水平太差了，因为他们公司资金流量很大，所以截留一个月小意思。那时候情况又特别好，截留一个月，拿出来50万炒炒股小意思，他日子就过得很好，后来出事了以后，百信鞋业才开始管理，这个问题实在太多了。所以每一个控制点，都应该有它明确的目标，然后控制流程要结合各种现有的程序，控制流程请注意，控制流程不是平地起高楼，现有已经有一些流程，而且这些流程，都有法律法规做支撑，一般不会错到哪里去，或者有历史经验做支撑。我们控制流程一般去，等于派一个党代表，把这些山大王给收了，是这个概念。当然有些地方完全没有基础流程，那就重新来，我们停下来还可以加收钱，路上故意车坏了，要求多给钱的概念。

好，最后，把流程不仅设计出来，而且把它措施化，配上一些措施，比如说审批、审核、复核、记帐、核对、清点清查等等，最后，把它控制流程，控制制度，配套控制流程，流程有控制点，再予以监督措施，一句话，控制制度化，制度流程化，流程岗位化，把内控和风险控制嵌入流程，使得它具有可操作性。讲是这么讲，其实我们操作的时候，我讲操作流程比较简单，企业里面去，给你诊断，不给你控制目标，因为控制目标主要是为了股东利益最大化，都是符合控制目标的，根据诊断找出来20个风险，找出来，然后每一个风险对应若干流程，具体变成流程优化了，就一般意义上，变成流程优化了。那么传统我们做流程的做法是，基本要求，过去的惯例基础之上制定一个流程，等于把现有流程画出来而已，规范化，但是现在我们做流程的话，我们认为基于基本业务要求和过去的惯例，首先对这个现有的事实进行业务风险识别，这个里面的风险到底在哪里，然后对风险给予评估，找出风险，对风险进行评估，看这个风险是高级风险、低级风险、中级风险，风险应对，我们怎么控住，然后形成一个控制措施，才能制定业务流程，你看这个循环就很有意思，惟有这样，这时候制定的流程就是聪明的流程，已经包含了风险控制的流程。所以我们希望做流程，不是做死流程，是做聪明流程，以及监督和评估，管理改进，再进入到下一个循环，每年这个风险这么大量一遍的话，这个流程就是与时俱进的，聪明的流程。

最后，一句话，把风险文本化的一般原则是，将内控子系统分解为主流程和模块，就找出若干子系统，除了国家规定的22项子系统以外，我们还能找出多少子系统，将模块分解为子流程，将子流程明确为控制点和活动点，并进一步描述，子流程上面找出很多控制点，控制点上找出若干活动点，找出工序里面的问题，事实上我们用不着这么麻烦，但是体系上，思想就必须这么完备，操作上我们不会这么麻烦而已。最后把它管控手册化，然后让内控手册化，内控持续进行优化和监督执行。

    关于内控的总结，一个企业里最低境界是无内控，完全放任自流，出资人的利益充分被漠视，内部人控制大行其道，出资人既得不到可信的报告，资产又经常被偷卖掉，以及利益被侵害，还有合法合规没人重视，老是违规经营，出错了以后是出资人的，没出错，经理人可以大额拿奖金，以及管理效益不高，以及战略得不到实施，到这个最低境界，就起步点，就属于无内控。但是无内控，很少有企业无内控，无内控，原则上有这个层次，事实上不会有这个层次，只不过是内控不够好而已，所以第一层次和第二层次之间有一个非常大的无级变速空间，完全无内控不可能，充其量是内控不好。再到厉害一点，就合规性内控。刚才我们讲的那22项子系统，全部把它内控化了，我们就说你合规性内控，或者你就是之前请过德勤，请过什么公司，管理环境、程序控制、会计控制你做过，那个也是合规性内控，只不过古代一点，版本旧一点而已，还是可以的。但是第三层面就是管理型内控，内控能够协助企业高效运作。内控不光是应该促使企业合规，还应该使管理者取得更好的战果。甚至更厉害一点，战略型内控，动态风险的管理被纳入到内控体系当中，内控具有发展性，对公司扩张具有支撑作用，内控是个聪明内控，见招拆招，兵来将挡，他是整个企业管理不断提升的一个基石，它就像一个内在基因一样，每年或者每季，对风险审视一遍，对制度自动调整一遍，就像一个基因一样，一种生命，一种节奏一样，这个就境界很高。