所在位置:首页 > 文库 > 风控
企业风控体系应该是什么样的,怎么建?
2023年08月15日

       对企业来讲,风控体系很容易停留在一种说法上,或错误地认为建立了治理制度、形成了定期的信息报送机制,或者形成了一套产出文本,就意味着体系建设工作的完成。

01.风控体系建设的导入口

       无论是风控、内控,还是合规管理,既不是法务课题,也不是专业课题,更不是监督课题,而是企业的“管理与应用课题”。任何“一体化建设”、“大概念”的说法,本质都是用“流程承载风控、内控、合规”要求的转化。

       具体到体系建设,风控、内控与合规管理,无论从哪个文件的论述,如果结合起来分析,都有彼此关联、互为交叉的模糊地带。相对来讲,由于合规管理具有很强的针对性,其定义更为合适,但落实在具体做法上,仍有很多可圈可点的“似是而非问题”。很多企业主管人员在落实三项工作时,总是感觉很困惑,问题就出在这里。

图片

       既然我把风控、内控与合规管理定位为“管理与应用问题”,就不妨碍我们去寻找一种切实可行的方法付诸于实践,而不是“停留于直观认识的表象”。首先,我们要说明两个“伪定义”问题:用不确定性定义风险,本身就是模糊的存在;用“防风险”说明风控、内控与合规的功能,本身就陷入了“不可解释”的陷阱。

       如果不同意以上观点,你能否认管理、制度、流程的“防风险”功能吗?如果不能否认,就证明了这种定义存在“可质疑”的空间。如果认为这种定义成立,唯一的做法,就是理顺管理、制度、流程、风控、内控、合规、法务、监督之间的关系与功能界面,从企业“管理与应用”的角度,作出“自定义”,这才是风控体系建设的导入口。

02.风控体系的特征是什么?

       在不少企业中,往往存在一种说法:我们完成了全面风险管理体系建设、内控体系建设、合规管理体系建设。这种说法本身是不准确的,问题出在“首先就把体系建设当成了一件任务”。所以,我们有必要认识一下成熟的体系,应该是什么样的?以内控管理体系为例说明,内控评价的目的是对体系的评价,而不是仅仅停留于“内控活动”,评价的目的,是对体系“有效性”的验证。

       在内控管理中,因为有明确的内控评价节点要求,在不少人的观点里,内控评价就是有效性评价,包括设计有效性、执行有效性。这种观点没有问题,但没有基于“管理与应用”的角度具体化,因为,这种观点,放之四海都正确,是体现结果目的的一种“直观描述”。

       对内控体系有效性的评价,置身于实践本身,包括三个方面:

       一是系统性评价,即对内控体系顶层(目标、原则、路径层)、中间执行层(体系运作层,即程序层)、底层(即内控管理基础规范层)相关结构、要素的逻辑性评价。比如:顶层定义是否包括体系整体定义与界定;中间层能否对顶层形成支撑;数据的规范性是否符合底层设定的管理规则。

       二是全面性评价,在很多企业中,对内控的定义往往非常宽泛,如果按照规范中的定义开展内控建设,根本不可能实现。原因是任何管理中都有“控制”,你能都显性化、规范化吗?事实上,大多企业的内控也仅仅停留在满足“外规要求”或“公司治理”涉及到的审批流程,既然如此,就应该准确定义。为什么内控建设只能停留在这个领域,而没有延伸到风险程度更高、更大的“核心价值流程”?原因是,体系没有持续运转,内控建设的产出停留在“最初静态的程序手册”,而成为一个“僵硬的标志物”。

       三是适应性评价,适应性包括管理的成分,而不是仅仅基于“控制活动”,比如:例行化工作是否充分授权,反映在流程的最终审批节点。授权的不同,造就了流程的长短,内控也并非“程度越高越好”,程度越高效率越低。其次,才是“内控”活动项所涉及的设计与执行。

图片

       为什么很多企业的内控评价标准成为笑谈呢?没有这么个标准,不能体现出评价的“科学性”;设计出一套定量化标准,又经不起推敲,所以,设计出的标准成为“鸡肋”!原因有两个:一是陷入了“监督思维”,监督“因事项”以“既定规则”为审计依据,属于“因事儿对应规则”,所以它可以对结果进行度量;二是混淆了体系评价与“内控活动”评价的划分,没有分类、细化,试想一下,不同领域、不同内控活动、不同的“控制对象”,怎么可能用“几条一致性标准”衡量?

       那么,内控评价的标准怎么确立呢?既然是体系评价,当然应该基于体系,如果换个角度,从管理的维度就可以确定下来,因为,内控就是管理的一项职能。

       首先,要验证的是体系的完整性。即顶层、中层、底层之间的关系,不再赘述。

       其次,要验证的是体系运转的持续性。持续性表现在“流程梳理与内控建设”的广度、深度的变化。如果内控建设产出是一成不变的,意味着体系没有运转。当然,做出结论的依据是“程序手册的管理与维护痕迹”。

       再次,要验证的是体系运转产出的一致性。一致性并非数据本身,而是数据结构、活动的一致性,包括“流程梳理规则一致性”,保证一致性的是“底层”。底层是由“内控管理”是否到位产生的。

       最后,要验证的是适宜性。适宜性包括管理流程与控制活动,对管理流程的评价,只能基于“缺陷建议”,而不能认定为“缺陷”,缺陷的认定,只能局限于“KCP”。从三个角度反映:依据、活动标准、管理痕迹。

       评价维度及具体事项标准的内容,构成了“内控体系”的特征。如果放大视野,从全面风险管理的视角去审视,就构成了“风控体系”的特征,而全面风险管理体系是由三个基本结构构成的,即:内控、合规、风险管理,这样,全面风险管理中的“全面”,才能够得到准确的解释。

       如果我们把内控、合规、风险管理作为“全面风险管理体系”的结构,“事前”是什么?是规则,即企业中的制度与流程。作为一个企业,无论大小、处于什么时期,都应该有“与当期追求目标相匹配的完整规则构架”,需要说明的是:完整规则构架,并不等同于“数量”的多少。

图片

03.企业建立风控体系需要做什么?

       首先,就要做好导入工作,这决定着风控体系的目标、范围、指导原则界定。也就意味着必须处理好“企业存量职能”与“风控体系”增量的关系。存量构成了增量的“条件”。

       比如,在很多人的认识里,把制度理解成了“狭义”的制度。其实,制度是一个大概念,从国家层面,法律法规是制度,从党的管理角度,党组织、党员条例等构成了制度,从管理层面,具有长效性的约束性“政策文件”,只要有性,也构成了制度,更不要说“狭义的制度本身”。

       大家可以思考两个问题:企业制度管理职能行使的空间包括什么?企业合规管理是法务工作的构成吗?即便法务工作的依据是“法律法规”,也不能构成“法律法规管理”的职能。做管理,不能混淆“归口管理”职能和“职能发挥”的责任关系。

       认识的宽度,决定了不同的结论。这就是我与很多专家认识“结果”的不同点:合规管理是制度管理的延长线,而不是仅仅停留在“外部监管”需求的原因。停留在外部监管的“合规管理”,有3个必然结果:一是形成的大部分数据来源于复制,因为外部规则具有“共同性”;二是与制度做了物理切割,从“零”开始,所以,才有了搜集“外规”的起点;三是不能构成可持续性的“合规管理体系”,因为把管理职能“搞乱”了。

       也正是基于这种认识,我觉得合规管理启动之前的“几家央企试点”,应该以“招商集团”最为成功。因为,招商集团没有忽视与“制度管理”的关系,而是妥善地进行了“条件衔接”,把制度管理作为“事前”条件,做了大量工作。这一点,从国资委合规管理办法中可窥一斑,其中包括大量“制度”的说法,合规管理怎么可能离开“制度管理”呢?那为什么很多机构回避“制度管理”呢?一是没有做过制度管理,二是在大型企业中,制度管理非常复杂。

       任何管理,都脱离不开三个阶段:“事前、事中、事后”,如果大家感兴趣,可以结合企业管理实际进行反思,就会形成截然不同的结论。事前,并非“风险管理”专用,别忘了,管理的功能之一就是“管风险”。难道,你能否认企业不开展风控工作,就没有朴素的“风控”吗?

图片

       确定了事前条件,“风控体系”就构成了“事中”。“事中”是基于风控定义确定的过程,包括风控、内控、合规三大结构。这里要说明的是:不能混淆流程承载风控、内控、合规要素与“风控、内控、合规”产出的关系,流程承载要素,指的是“运作与执行”,风控、内控、合规的产出是“各维度的体系管理手册”,是基于“单维”的产出。即便华为、丰田,也是这样做的,比如质量管理体系,当然有“质量管理手册”,而且华为、丰田的手册非常之多,但都是通过“流程”来落实。

       至于“事后”,我并不赞成把所谓的“第三道防线”纳入体系中。所谓的“第三道防线”,并非“风控体系”所专享,无论是流程管理体系、质量管理体系、职业健康管理体系,都有“体系评价、体系审计”的存在。既然第三道防线发挥的是“审计、评价”作用,就不应该与体系混为一体,否则,客观性不复存在。

       会有人说,不对,内控框架、风险管理框架都包括第三道防线,别忘了3点:一是别忘了管理是基于“正向运筹逻辑”+“人本恶的逆向反推”进行的设计,其中,逆向反推成就了“必要的控制节点”,当然,执行是基于“人本善”为初衷,正如内控设计一样,并非一定存在“风险”,设立内控点是基于“评估”下的假设;二是别忘了内控框架、风险管理框架是基于“单维”的完整性,如果没有第三道防线的存在,就会出现“结构缺失”;三是别忘了“理论性的方法论”,并不等同于“应用实践”。应用实践,一切为了“好用”、“管用”、“有效”、“可持续”。

来源:风控新视野 ,版权归原作者所有,如涉侵权,请联系我们删除,谢谢!
分享到 :
63.2K