所在位置:首页 > 文库 > 风控
风控、内控与合规管理的真理、原理、机理与推行方法
2023年08月15日

1.真理

“强化企业的风控、内控与合规管理能力,加强对重点风险的管控”,这样的说法,从不少见,从不落伍,将来也不会有任何问题,因为,这是真理。

真理讲多了,就是废话、套话、唠话。

2.原理

在充满不确定性的时代,管理风险就是对“不确定性”的管理,体现出风控、内控、合规管理的原理。其实,无论哪个时代,都会印有时代烙印的不确定性,请不要归咎于“这个时代”。

搜集信息,识别、分析、评价风险,制定解决方案、应对措施,有人说是风险管理流程,其实,它就是风险管理的潜在过程原理;梳理流程、识别关键风险点、建立内控措施,就是内控的产生原理;履行合规义务结果就是合规,不履行就可能构成不合规的可能或结果,是合规管理的基本原理。

对大多人来讲,在做一件新事情的时候,都会有一个潜在的思维选择过程。但在应用中,如果用原理进行设计或工作印证,那就真的进入了“罗刹海市”了。

企业中的大多员工,从事的就是工作,正如我们使用一部手机、工具一样,只关心其功能如何、怎么用、能不能帮助自己完成工作,而不关心其原理。

原理只适合于学者、专家、专门的风控人员使用,原理讲多了,就脱离了用户的需求。有时候,还会适得其反,用户本来做的挺好,听多了,反而不知道怎么做了。

最好的方法是,用原理做指导,结合实际,转化成能够付诸行动的节点标志或要求,本质又是一种“规则”,这也是一个原理型大循环。

3.机理

很多时候,人们推行、开展一项工作,或导入一套方法,似乎更想获得一种“诀窍”,很多人也“乐此不疲”。熟不知,真正搞清楚问题中的“机理”,才是诀窍中的诀窍。

企业因目的而产生,组织因“事儿”而存在。任何的管理、设计,都会选择原则,提出目标,最终都要通过分类、分层、分级,最终落实到“事儿”上;对任何事儿的影响,最终都是从事儿的“前、中、后”进行思考、构思,从而找到潜在的问题;问题对应的无非就4个大类,包括“错误、缺陷、故障、危害”,从而分别提出措施;措施,对应的无非是“预防、干预与应对、完善”,固化下来并推行,就是规则,也是知识管理的构成。

管理,就是在这样的循环中,一次一次趋于完善、升级。对原则、目标的大幅变化及采取的措施,就是改革;结果一次次向好的方向演变,就是变革;变革过程中的一次次重复性结果,忽上忽下的不稳定,可能存在的问题,就是设计缺陷;对过程中发现的问题,违背了规则要求,就是合规风险;没有规则约束下发现的问题,就是管理漏洞;执行了管理要求和规则,对仍可能出现潜在问题的环节施加影响和干预,就是管理风险┈┈

企业离不开规则,规则离不开目的和事儿。原理讲再多,都摆脱不了这一“管理规律”。很多人一直在讨论“问题与风险”的区别,都可以从问题的角度思考,没有人会“没有问题而导入、推行一套方法、规则”。因为,这是机理。

4.方法

理解了问题的机理,就找到了推行和实践“风控、内控、合规”的妙招,也就是实施方法(具体方法是细化)。

人们处理任何事儿的过程,都不会从复杂、细微处入手,总是从宏观、整体、结构┈┈,逐步细化,从而找到可落地的具体措施。

既然风控、内控、合规都属有“全面”风险管理涉及的内容,先把它看成一个整体,找“事前”。

前面讲了,管理最终都会凝聚、体现于“规则”。精干、完善、有效、易获取的规则,就是风控整体的“事前”。规则,是预防风险并确保结果成功的工具。

规则本身就有“控制功能”;规则本身就是“防风险”经验的总结和推广;规则本身就是“合规义务”的发源地。没有规则这一充分条件,风控、内控、合规管理就是“沙土地上建高楼”,说着美好的“管风险”愿望,结果必然是“问题”累现。

企业外部的法律、法规、政策、道德、伦理等等,也是一种规则,但不被企业管理的外部规则,默认的是与企业“没有太大关系”。

要做好“外规”遵从的合规管理,必须纳入企业内部的“规则管理”,这就是“外部链接”与“内部整合”的管理思维。企业中的法务,与规则管理是两码事儿,分散管理的规则,必然不易获取。

合规管理对接的是“要遵从的规则”;规则管理对接的是“与企业有关的所有规则”。

解决了事前,再看“事后”,这就叫“瞻前顾后”。“后”是相对的,风控不意味着“不发生风险”,风险发生了,是为“应对”,这是风控的“事后”,是流程的构成,不是“分割交接面”。

讨论方法的前提,是“把全面风控作为整体”。事后,当然需要基于“整体”,同样适合“单标判断”,而不能构成“双标”。事后,自然是“监督与评价”。由此,可以推断:“事后”的监督与评价,针对的是“风控体系”从整体到细节。监督与评价关联性很强,但不是一回事儿。

三道防线的提法,并非“风控专有”,而是企业中所有“归口型”管理职能的“共性”,也可反映到任何管理体系。区别在于,它用的是“防线”,其它体系反映于“责任”,机理一样。

做完了前瞻后顾,意味着划出了“风控体系”的边界,“事中”,包括了体系的设计、实施、执行、监管、改进。这里的顶层,既涉及PDCA原则,又涉及下一层的“事前、事中、事后”方法。前者基于管理,后者基于实施和运维。

同样道理,由于“风控、内控、合规”管理,构成了全面风险管理的“结构系统”,需要对“功能、接口”进行定义,不被定义的“风控、内控、合规”管理,在企业中,必然是“一场乱戏”。

风控、内控、合规都因“管理风险”而产生。由于事前的“规则”是基础条件,同时,规则本身具有“控制功能”,这个控制功能的绩效,通过“时间、效果、成本、风险”表现出来。所以,规则是“企业的一种能力要素”。为保证规则绩效“预防风险能力”指标的达成,采取的措施,就是“内控”。内控,让规则更具有“控制局部风险向整体外溢”的能力。

规则的建立与管理,当然有目的性。目的是为了让“适用角色”遵从规则要求,即履行合规义务,反映的是企业执行力中的“管理执行力”。所以,合规管理是提升“规则遵从”执行力的措施,是企业“规则管理”职能“张力”反映出来的延长线。

有了保证规则预防风险外溢的“内控”,有了提高规则遵从力的“合规管理”,是不是意味着企业中的风险,能够全部化解呢?不是,企业是处于外部环境、内部运营要素中的“主体”,经营与管理过程中还会“遇到或做很多事儿”,因事儿结果状态的“多可能性”而采取的“干预措施”,才是“风控”,所以,风险管理的目标对象是“规则作用之外的剩余风险”,即风险事项。

以上,是对全面风险管理体系中,各结构系统功能定位的“定义”,是系统、结构思维的具体表现。剩下的就是“对各结构系统”机理的梳理。

对风控、内控、合规的“事儿”来讲,事前就是“识别风险”;事中就是通过干预,影响风险事项的结果状态向预期发展;事后则出现了“分支”:一是化解了风险,关闭风险,总结并推广经验,上升到规则,是为管理提升;二是发生或局部发生了风险,采取应对措施,控制风险外演,然后或举一反三、或补充措施、或对共性问题明确要求。

5.结语

从大的工作属性来看,风控、内控、合规都属于“保证”类工作,保证功能的发挥,都需要建立在“作用主体”的基础上,是为“场景”。质量管理、安全生产、保卫保密、职业健康等等,道理一致。

失去场景基础上的风控、内控、合规认识,不是基于实践,而是基于“原理”。这里有一个差异点,不少人认为“合规管理”是基于规则要求内容的“摘要复制”,这种行为清单没有任何意义,还不如“拿规则说事儿”,更有效果。

合规管理的要义,在于“正确理解规则的合规义务”,联系企业的商业、经营、管理、产品、角色等,转化为“企业实践的约束、限制行动”,从而提高执行者的“觉悟与认识力”,而不是“摘要、复制”。

至于完全的“约束、限制性规则”,需要认识到的是,都是“合规义务”,无需转化,照单全收。譬如:党员纪律处分条例、企业员工行为准则、公务接待、公务用车等等规则。

从经验角度,我们可以给出一个预估结论:企业中的风险,80%以上来源于合规风险、人性与能力风险,通过合规管理、内控管理发挥功效;而“风控”面对的风险,占比虽然少,但影响更大,与企业中心任务、不同层级的绩效紧密相关。

至于风控、内控、合规管理的具体方法,就是分类、分层的具体运用和体现,受篇幅所限,留待后续。

来源:风控新视野 ,版权归原作者所有,如涉侵权,请联系我们删除,谢谢!
分享到 :
63.2K