近些年来,由于企业经营环境的剧烈变化,企业界对风险话题的关注度越来越高,企业管理领域对风险的认识也越来越深入,掀起了一场以风险为视角、重新定义现有各管理活动的热潮:
以风险为导向的质量管理体系;
以风险为导向的审计管理体系;
以风险为导向的合规管理体系;
以风险为导向的内部控制体系;
......
也许,只有风险有这个担当,可以构建这样的底层逻辑,让各类管理体系可以以此出发来生长发展,就像德鲁克说的那句话:
什么是风险导向?
因为企业的风险和收益是对应关系,所以,风险导向,其实也是变向的收益导向,就像之前我们分享的三道防线就是一场足球赛文章中观点,想要在球赛中取得胜利,到底是努力进攻让自己一方多进球?还是努力防守让对方少进球?
其实是一样的,都对胜负起着关键作用。
有人说风险有纯粹风险和投机风险,纯粹风险只有损失可能,没有收益可能,需要分开讨论。
如果单纯从微观风险导致的结果来看,可以这么来讲,但是我们之前说过:
从整体来看,每一个风险(即便是纯粹风险),都应该对应着一份收益,所谓纯粹风险只不过是将风险和收益拉开了一定距离,模糊了和收益的对应关系而已。
如果以更高的视角来看,没有纯粹风险这一说,所谓纯粹风险都是为了获取收益而必须要承担的。
只不过,有时候这种承担会以一种成本的方式体现,其实,它不仅是成本,而是直接影响净利润的可变要素。
言归正传,内部控制体系中的风险和风险管理中的风险
到底有什么异同?
首先,内部控制是企业风险管理的一部分,建立内控的目标是什么?
当然是控制风险。
要想搞清楚两者面对的风险对象,我们需要先明确一下两项工作的站位和视角。
举一个例子,前些年,中央企业每年都要起草一年一度的风险管理报告和内部控制评价报告。
一般都要在每年的5月底之前完成,2020年由于新的内控文件101号文的风控整合要求,两个报告合二为一了。
我们就以2019年为例,2019年4月30号,某企业内部控制完成的是《2018年XX集团内部控制评价报告》,而风险管理完成的则是《2019年XX集团风险管理年度报告》。
你能从这两份报告看出,内部控制评价是面向过去的,而风险管理是面向未来的。
风险是什么?
风险的本质是不确定性。
而不确定性在哪里?
不确定性在未来,是一个和时间 T 紧密关联在一起的一组变量,随着时间的推移,不确定性会慢慢降低,变得确定。
图:时间视角下不确定性与确定性的演变
风险管理关注真正的不确定性把握,关注决策,是面向未来的,这里的风险是不确定性程度最高的。
而内部控制关注的是确定或相对确定的问题,用确定性的控制,关注实施和执行,是面向当下和过去的,所以控制措施又可以分为预防性控制和发现性控制。
内部控制所谓的风险导向,其实是在企业管理未来不确定性带来的风险的时候,通过各种风险管理的手段处理后,将可以通过风险控制解决的部分留给内部控制,而内部控制工作的前提和目标就是管理这些“剩余风险”。
此时,这些剩余风险已经去除了一大块不确定性,变得相对确定了,但它仍旧是风险,因为只要还有一丝不确定的成分在,它就还是在风险的范畴(可以参考风险评估的七层不确定性)。
所以,内部控制做的好,并不能代表风险管理做得一定好,也不能保证一定不出风险,只能说明分给内部控制的这部分剩余风险管理的好。
而在内部控制之前的那些风险处理过程,才是真正体现水平的。
但是,对于有些风险来说,前期的风险处理并不好把握。
所以,内部控制是我们能把握的部分,是用来提高组织确定性的,应该做到最好才对。
这就是用自身的确定性来应对外部的不确定性。
那每个内控流程中,还有基于内控环节和关键控制点的风险矩阵,那个罗列的风险是什么?
那个是操作环节中的风险,可被确定的程度较高,一般判断这类风险的标准比较明确,主要是依照标准来设计和执行即可。
那一旦所有的不确定性都消失,变为确定之后,还有风险吗?
没有了,如果变为确定性之后,就变成了问题,问题需要行动计划来解决,不需要管理和控制。
但是,问题如果不解决,它可能又会追上时间,衍生出新的风险在前面等着我们!
这正像我们在风险评估的现状和问题一文中提到的关于风险连锁反应的对联:
上联:因果因果因因果;
下联:果因果因果果因;
横批:亦因亦果