长期以来,很多企业对风险管理、内部控制的认识,仍然停留在公知的认识阶段,人们更喜欢纠结于对风险管理理论、观点、文字报告的阐述,或者做出一套原理型通用流程,用并不具体、明确的比组织职责还“粗放”的模糊化、假设语言阐述着风险、控制的内容。
本文以企业价值链运作为例,分享一些贯穿于价值链运作中的表单、方法,旨在探讨风险管理应用、内部控制具体落地的应用方法。当然,这些表单、评估标准的设定,不是通用的,因企业、场景需要具体设计。
01.风险管理与内控因场景需要不同而不同
“机制”这个词,很多人都在讲、都在用,指的是运作方式、工作项、路线与责任的合成,目的是“让业务有秩序地跑起来”,任何机制都有一个从宏观到微观操作层的分解。本文讲的机制,指的是业务运作机制,风险管理、内部控制的应用,需要嵌入其中,成为业务运作机制的构成内容。
方法渗透于机制,很多东西并不能用文字表达,体现于人对某种场景的第一认识或者经验的发挥,这就是我在以前小文中提到过的风险管理、内部控制需要的是“╦或╥”型复合人才,“┃”专业型人才,在分散化的风险管理、内部控制领域存在局限性,沟通起来都非常困难。
为什么风险管理、内部控制在企业中很难统一认识?有3方面的原因:一是没有形成统一的语言,即企业基于自身需要的自定义;二是风险管理、内部控制在不同场景下有不同的方法、内容,而不是泛泛而谈;三是风控、内控部门人员,是否能够帮助第一道防线找到方法,引导业务线应用风险管理与内部控制。
风险管理、内部控制究竟有没有价值?相信没有人说他们没有价值,但如果找不到具体的方法,不能被很好地应用,它就只能是“话事”而变得没有价值,甚至还会增加一线人员负担,影响工作效率。核心在于风险管理、内部控制的方法,本身由场景决定,而不是他们自身。
譬如:决策有风险吗?没有人否认他是企业中最大的风险,风控部门能让领导层进行风险评估吗?肯定不行,除非你不想做了。那怎么办?只能预设决策规则,只能在决策提案上找方法,其中就会有很多的“控制”、“合规”。企业中很多合规,并不是完全来源于法律法规,很大部分来源于“责任、权限”,更为现实。
那么业务运营怎么应用呢?风险管理部门经常有一句话,发挥第一道防线作用。有道理但不合理,作为主管部门,不能置身事外。所以,我以前在某集团主管风险管理、内控与合规时,顶着巨大压力,坚决不同意将“业务谁主管,风险谁负责”这句话写入制度。
为什么?这句话是有条件的,只有把所有的路径、措施设置好,员工能够按照规则完成工作,它才成立,本质是“如果不按照设定的规则执行,谁违反规则谁承担后果责任”,是合规管理的一种“控制表现”。风险管理是“分散化主动型”工作,保密、安全是“分散化严控型”工作,所以,他们可以用,但风险管理不行。
再说内部控制,我一直认为,18项指引是基于外部监管的视角,对企业管理的一种期望,可以参考但没必要照搬,内控是企业因“合规、管理”需要而进行的具体设计。外部监管不会为企业具体方法操心,他们关注的是结果。
在很多企业内控程序手册中,大量标注着“KCP”符号,颜色非常漂亮,但经得起推敲的不多。什么是“K”?都知道是“关键”点,那关键点的作用是什么?
别说是为了“防风险”,这种答案没有任何意义。K点的作用有4个:一是多部门取得一致;二是实质推进流程进度;三是流程内容质量的迭代升级;四是做出流程决策。实际应用中,“风险”这个词是最模糊的,不能过度使用。
风险管理的最高境界,是不过度谈风险,只说风险性的“事儿”;内部控制的最高境界,不在于描述什么“不科学”、“不合理”、“不到位”、“不全面”的风险模糊描述,而在于“可依赖的控制依据,可操作的控制重点与措施”的规范化、具体化。
02.科研生产过程中的风险管理应用
很多时候,人们把风险放大了,这句话并不意味着企业就没有“重大风险”,指的是要实事求是,尊重客观。企业真正的“重大风险”,往往很难认识到,能够认识到的,不一定是真正的“重大风险”。
业务运营层风险管理包括3个方面内容:一是以预防风险为导向的管理机制建设,是风控的第一层能力;二是动态型的风险管理;三是关键控制节点的风险管理。其中,“二、三”是显性风险管理的第二层能力表现(具体内容见以前小文),“一”侧重的是隐性的防风险导向下的机制设计,是基础条件。
我们先谈“二”,科研生产过程中“动态风险管理”实践。
从原理上,风险是可以一层一层升级的,最终可以上升到企业决策层。现实中,哪一个企业也不可能这样做,是由“责任”决定的,知是行之始,原理绝不等同于“实践”。
动态风险管理的过程,也有一个责任结构,正常的责任结构体现于“业务层”的管理机制。从业务执行者来讲,如何认识风险?有两个标准:一是影响到自己承担的绩效;二是如果客观存在的风险事项一旦发生,会影响到上一级绩效,且具有较大可能性,必须进行风险报告,并升级风险监视、管控责任,这种风险升级制最多“三级”,而不是逐级实施,具体层级,取决于企业管理层级及风险态度。
这种运筹策略,一方面要体现于“规则”,另一方面要建立简单易行的“工具”,统一科研生产中所有员工的行动。以下是我为某个企业设计的风险评估单,风险评估固然重要,但不能复杂化,不能过度增加一线人员的负担。
很多风险管理者喜欢讲一些高深莫测的模型方法,譬如蒙特卡洛、傅里叶、样本抽样、头脑风暴等,没有任何必要,企业中大多员工从事的不是数字模型设计,很多风险事项依靠日常工作的感知、认识就可以做到。其次,至于管理者是否进行头脑风暴,还是组织协调、讨论,是管理者的工作方法和管理习惯,风险管理不需进行规范和说明。
03.科研生产重大控制节点的风险管理应用
人们经常讨论内控、风控与合规怎么“一体化”建设,应认识到,三者的结合是“因需”而产生,绝对不是“因建”而产生。如果从内控的维度认识,上面提到的“三”就是一道“内控节点”,其中风险管理“提交物”,是 “受控对象”,如果这个节点需要进行“评审”、“集体审查”,这些活动是“控制措施”而不是内控主体,真正的内控主体是背后“建立控制节点的主管部门”,内控体预先发布的“管理要求或制定的规则”是控制依据,控制因管理需求而产生。如果在控制依据中,有明确的合规要求,那么“合规”建设内容就出现了。
这就是我从来不讲“几位一体”建设的原因,当然也包括有些企业提出的“一体化建设”期望,笔者只是说明如果有必要或可能的话,当然可以兼顾反映出来,但绝对不是大包大揽地承诺。期望项目合作,也不能不尊重事实,这是“利、义”的平衡,不谋“不义之利”,是我们的原则。
对流程中的“K”点内容,我们在02中已做说明。企业科研生产过程中,特别是项目科研型企业,都会存在阶段的划分,阶段设置控制节点,有三个好处:一是对上阶段的产出、发生的问题处理进行度量,确保该阶段产出符合要求;二是确保整体拉齐,先进的等一等,后进的赶一赶,从而实现整体推进;三是对下阶段工作进行策划,通过风险评估找出关注项,作为风险管控重点。
需要说明的是,即使在该控制节点对下阶段进行风险评估,也不意味着与上阶段的完全割裂。在很多人的认识里,风险是未来的,但上阶段遗留问题的渗透,也意味着风险链的传播。实践中,风险管理不能理论化、更不能僵化。
开展风险评估,也需要找到评估范围内的“关键要素”,阶段风险评估属于大型工作,需要聚焦。理论上风险管理全覆盖,但行为不一致的风险评估,会造成大量资源浪费、聚焦度不够、成本失控的问题。既然是评估,就需要设定范围、评估基线,否则,让员工如何评估风险呢?管理能不能落地,机制能不能被执行,在于细节,而不是原理。
以下是基于不同关注度的参照标准建立过程,标准并不意味着完全的定量,很多量化的本质也是建立在定性基础上,通过设定反映为量化,目的是为了方法、标准一致。不同关注度,可以认为是确定的指标结构,不同企业有不同的关注点,当然由主管部门明确。
04.结语
风险的模糊性,对风险评估造成很大困难,不仅仅体现于显性风险管理中的风险评估,也会反映在合规管理中对“规则的合规风险评估”。
围绕规则进行的合规风险评估,并非完全由规则违规代价大小决定,更不是依靠几个人的认识而决定,还需要结合历史数据进行可能性评估,以及企业本身对该规则的抗风险能力评估。在管理规范的大型国企中,为什么会出现对齐劳动法的合规义务与风险清单?原因是无视了企业本身现实管理能力的结果——把管理归零了。建立统一的适用于所有部门的合规风险评估模型非常重要,是保持评估一致性不可缺失的举措,不然,合规管理怎么开展,又怎么保持持续呢?