您当前的位置 > 首页 > 学习培训 > 业务培训

真正的内控、合规与风险管理,不会纠缠于理论束缚,而是基于期望的应用实效

详细内容:

真正的内控、合规与风险管理,不会纠缠于理论束缚,而是基于期望的应用实效

原创 研实者 天锦咨询
 2024年04月29日 21:15 北京
图片

任何一个企业,从成立到增长再到规模化成长,都无法摆脱外部环境的不确定性,也无法割裂与外部的关系。

企业能够做的,就是通过内部能力的建设与投入,不断夯实自己的抗风险能力,让企业保持一种有秩序的稳定运营状态;在一次次识别、获取机会中,客观评估风险,以决定取舍,让企业始终保持在高质量发展为条件的成长之路上

01.全面风险管理是在做什么?

在从事风控工作的15年里,我从没有把“全面风险管理”视为一种工作,而是一种将工作向“全面”推进的追求;一种包括内控、合规与风险管控三大结构的系统构建;一种努力让更多其它业务领域实现管理规范、稳定应用,从而提高绩效达成、管理有效的支持型措施;一种能够支撑决策,让决策更趋于合理的程序化、机会与风险可选择性的保证措施;一种可以让员工积极主动发现风险、报告风险的机制塑造。

在我的公众文章里,你可能已经感知出与很多人不同的观点譬如:从整体角度把内控、合规与风险管理实现结构化分工,构建两层防风险能力结构(决策层的风控是两层能力的综合);认识内控、合规、风险管理的内涵与外延,企业需要自定义;孤立地谈内控、合规、风险管理没有意义,需要结合场景与关系;要让模糊的概念变得清晰、有形、具体,需要通过分类、分解、选择、整合实现。

你也会发现,我很少谈为很多人津津乐道的“几位一体”,谈的更多的是协同。因为我知道,拟制手册、构建体系治理机制、具体的应用不是一回事儿,不要为了体系中的一个“协同”概念,反而把“全面风险管理”忘得无影无踪。

前段时间,应一个央企上市公司邀约,与他们做了一次沟通。沟通,一定是遇到了困惑、阻力。他们阐述了他们的做法,几个年轻人对工作很负责、很认真,也很辛苦。最后,一个年轻人讲了一句话:原来我们一直是要求别人做,您讲的是帮助别人怎么做,让他们感觉到有益。我说:不然,为什么叫“提供合理保证”呢?

内控、合规与风险管理工作,本身有一种“控制”的意味,客观讲,这种意味没有人愿意接受,再加上其本身的笼统性、模糊性与直觉所形成的“第一认识”,会导致工作陷入半停滞、推一下动一动的状态,最后,能够体现主管部门工作的,只剩下“4个一”:一本手册、一次培训、一次评价、一份报告。

在我看来,风控主管部门的工作,本质是在影响企业、组织与员工的风险态度,他们讲的内控、合规与风险管理,更适用于职能序列,是一种显性化的存在;具体到建设与应用,应该是“化有形为无形”的过程,是以决策、经营、管理为主轴采取的不同措施。原因是,模糊化风险讲的越多,成效越低,遇到的“反弹力”越强。所以,我总提到:风控部门要提供必要的方法、辅助工具;风控人员要有多维的管理经历。

必须承认,企业风险管理、内部控制与合规管理中的一些内容,无论做与不做,无论企业规模的大小,从没有缺失过,他们以或显性、或隐性,或稳定、或不稳定,或无形、或可视,或系统、或零散的状态发挥着作用。

区别在于,不同企业之间、企业中的不同组织、员工之间,甚至于专门从事风控类业务的人员之间,对风险认识观点的差异、对风险态度的不同,从而以不同的行动表现出来。观点决定态度,态度决定行动,当下的行动决定未来的结果。

我们常常看到的是:同样的风险环境、同样的风险事件,不同企业的结果不同。即便是在同样的系统风险条件下,即便从事同样业务的企业,无一幸免地遭受风险环境的冲击,有的倒下了、有的苦苦坚持、有的经过短暂的阵痛,又慢慢地恢复到成长状态。

企业推行全面风险管理的本质,并非表现在华丽的说辞,更不在于整理出一本漂亮的手册,而在于风险态度的重新塑造,在于企业运营秩序的构建,在于经营过程中旨在化解与控制风险的应用,在于企业决策中机会与风险的平衡与选择。

手册,是开展这些工作的一种产出物,虽然不可缺失,但不要误当做工作的目标,当然,应用与手册是交叉的、互补的。企业中经常见到内控手册、合规行为准则或手册,无论质量如何,如果企业能够出台一份可以落地的风险管理手册,那才意味着吃透了全面风险管理。为什么?

因为,内控与合规管理,企业中的管理可以覆盖、甚至可以替代他们发挥作用,而风险管理,则是真正体现“应用”之所在。

02.无人提及但与风控紧密相关的几个词汇

如果说风险管理最大的败笔,我觉得是把风险解释为“具有二维属性”的机会与损失,是“研究风险”的文人墨客,依靠想象做出的结论,居然冠冕堂皇地进入了“标准”。

企业是追求发展的,发展来源于机会的感知、捕获、正确认识与行动,而不是风险(除“保险类”非金融业务)。恰恰相反,应该是“机会蕴含着风险”,机会为主角,风险管理为配角。这个逻辑摆不正,风险管理就成了“为风险管理而风险管理”。

之所以冒天下“共识”之大不韪,提出这一质疑,缘起于本人长期的战略管理与风险管理真实的实践认知,无因哪有果?因,来自于“想做”、“想成功地做”、“想做的成功”,这一点,无关于决策、经营、还是管理的区分,都有这个逻辑。所以,企业中的管理者、员工,总是期望未来的结果“可预知”、“可判断”、“可实现”。

可预知、可判断、可实现,反映的是一种期望,其中,渗透着理性的分析、基于关系的评估与判断、采取的措施。从“风险”的维度,通过风险评估、内部控制、风险解决方案等表现出来。

那我们就应该搞清楚几件事儿:什么是风险?与风险对应的是什么?他们之间的逻辑是什么?

风险是基于期望的需要,由于感知、认识到的不确定因素的作用,可能导致期望不能实现的结果状态。不确定因素,我们可以认为是风险要素,只有风险要素是“客观的”、“可施加影响的”,而不是风险。

所以,风险管理是一类“工作”或职能的统称,而不是以“做事儿”为导向的具体工作。具体工作是风险评估与风险解决方案的计划管理;风险解决方案针对的是“风险要素”,而不是风险,是当下的、确定的、可落实的、可验证的行动,而不是模棱两可的描述。

那么与风险对应的是什么呢?需要与开展风险管理工作的期望结合起来思考。期望是什么?是风险评估结果的准确性。请注意,“准确性”是一种期望、追求,但很难实现,没有人能够准确地预测未来。那么影响准确性的关系因素是什么?

需要说明的是,这种认识,是笔者与曾于西门子长期工作的汪博士共同研究的成果,不能据为己有,即便从我的笔下表述出来。

影响准确性的因素包括:计数、计算、估算、判断。按照顺序,准确性依次“弱化”,但不妨碍风险评估对“准确”的追求,这就是几个与风险管理相关,但不可不考虑的词汇

可预测,建立在计数、计算的基础上,依靠的是过往的数据、经验、或行业情况所做出的估算或估计。条件是数据越真实、经验越可靠、模型越合理,估算结果的可预测性越高。譬如,企业中的财务分析、经营分析等,是一种理性分析的反映,这类分析、风险评估需要“机制化”,让它稳定。

当然,这样的风险管理机制,还可应用于运营中的其它诸多方面,实现与资源配置的耦合,不再赘述。

那么,判断依靠的是什么?依靠的是“关系”,从“关注风险”的角度,确定“关系要素”,再运用可预测的方法进行评估,从而得出判断结论。譬如:建立内控的风险评估是一种“关系假设”,合规风险评估是一种“关系认识”,本质是相关的管理要素;大型专题风险评估,建立在与“期望项”相关的“关系要素”,把这些关系要素明确下来,就可以构成“确定性行动”,既可以构成机制,也可以“项目”视之。

虽然我们将可预测、判断分开来讲,但实践应用中,是交叉的。基于“判断”的风险评估,有必要,但一定会影响运营效率。所以,需要“采取内控”的方式,构建一套“可预测”的判别标准。标准上下,采取不同的态度和行动,从业务管理的维度,体现为“无压力但有约束”的内控机制,有利于妥善处理“控制与灵活”的背反效应,本质是管理规范化、一致化的“升级”。

其实,这种理念,并非风险评估所专用,也可应用于问题的处理上。所以,航天型号管理中,大量应用的有“单点问题”、“多点问题”、“重复发生问题”、“低级问题”等说法与自定义,每种问题都对应着不同的“处置措施与管理要求”;你也可以发现,在预设的控制标准基础上,型号风险评估、新技术风险评估、安全生产再评价与再评估、投资管理判别标准与风险评估┈┈,都对应着不同的态度与行动,这才是风险管理与内控的应用实践。当然,内控还有基于流程的存在,那又是下一个层级。

恰恰可惜的是,主管风险管理的一些人员,有时候反而认为这些不是风险管理!问题出在哪?由于长期受专业限制,知识、实践经历太狭隘了,只懂得用直觉、表象的认识去看待课题。记着当年我汇报全面风险管理实施方案时,一个集团级领导问我有一句话:能告诉我风险管理做到什么程度才算成功?我的回答是:做到大家感受不到风险管理,但仍在做着风险管理的事儿。

现实中,有些风险管理专家经常讨论“问题”与“风险”的区别,纯属缺乏实践经验的理论研究,难道预防问题发生、严控问题重复发生,不属于风险管理、内部控制的范畴吗?

以上我们探讨了“风险评估”问题,那么怎么判断“风险程度”呢?

风险程度并非评估后,依靠个体的认识给出一个重大、重要、一般所能说明,需要找出与“损失程度”对应的是什么?他们是问题、缺陷、故障、事故,是与内控、合规与风险管理紧密相关的另一种词汇,依次代表损失程度的变化。把他们结合风险管理、内部控制、合规管理的不同需求,从“关系”角度进行具体设计,就可以转化为“风险程度判别的基线标准”。不再赘述。

这就是我为什么总讲:没有合规风险级别判定标准、没有对应处罚措施的合规管理,是不完整的。这种判定标准,不是基于风险程度的评价,而是对风险发生后“结果”程度的确认标准,对应的就是处罚等级的标准。巧合的是,4月26日,国务院召开常务委员会,审议通过了《国有企业管理人员处分条例(草案)》,正式公开征求意见,更说明企业合规管理建立违规处罚标准的必要性。

仔细思考一下,所谓“违规追责”管理,如果不能判定违规级别,企业怎么实施“追责”呢?依规治企,需要落实到行动,而且要让员工可以预知、预判,从而影响动机,这就是“势”。所以,一个有效的管理体系,实质是一种可持续运作的稳定状态,需要考虑到闭环的每一个环节。

同样道理,内部控制缺陷的判定标准,绝非一个“通用”标准所能解决,而是结合评价中发现的缺陷、设计中流程风险压力程度指标进行的综合判断。因“不同管控”目标产生的内控,仔细想想,同样的缺陷,影响是不一样的,怎么可能采用“统一的标准”?

03.做好内控、合规与风险管理,重在对经营与管理的认知

回答这个问题非常困难,也非常抽象,我用战略管理的思维试着描述。因为,只有理解了企业中的决策、经营与管理,才能找到内控、合规与风险管理的落地途径。

从企业整体角度,企业的使命是由外部赋予的,企业为了履行使命,会构建业务线,反映为企业级的关键活动。业务线分为两类:一类是直接贡献企业使命、目标的,有直接成果产出的企业级关键业务活动,这类业务一般反映为与“产品与服务”直接相关的业务;另一类是不直接贡献成果,但与直接成果的实现紧密相关的企业级关键业务活动。前者属于价值链,我们称为业务域;后者属于价值链的延展部分,即业务支持域。

业务线是企业生存、发展最核心的核心,也是企业战略分析、战略管理、经营管理最根本的根本。企业的系统改革必源于此,当然,也是内控、管理有效性合规、风险管理大量应用的所在。

企业中所有的管理活动,都以业务线为主轴,划分为4类:一是直接作用于业务领域的管理,我们称为业务管理域;二是工作的重心,直接服务于业务管理的职能管理,我们称为管理支持域,包括战略管理、资金管理、人力资源管理、投资管理、能力建设、风险管理等,这些职能与资源管理、企业发展紧密相关;三是与业务、业务管理没有直接关系,但与企业安全、特殊要求有关,我们称为管理与服务域,包括了安全、保密、监督等职能;四是为各类业务提供服务与保障类职能,我们称为行政管理与服务域。

那这里为什么没有提到内控、合规呢?需要区分内控管理、合规管理与内控、合规运作的关系。企业中不少职能属于归口管理,往往反映在管理与服务类。归口管理的典型特征是集中、分散、再集中的特性。

集中,指的是理念、管理要求与方法推广的一致性,重点反映在做什么、怎么做,必然涉及一些凝聚方法、要求、规范的工具;分散,指的是各部门落实要求的行动,一方面满足归口管理部门的要求,另一方面会成为本身管理的构成;再集中,指的是分散行动的集中监管,以及产生数据的集中管理。

所以,制度管理会有制度库;安全管理部门会有安全隐患与安全风险库;内控部门会有程序与内控手册;合规管理部门会有合规风险清单与合规风险治理记录┈┈。这种模式,是不是与风险管理三道防线很像?只要是归口管理,都是一个原理模式,也包括保密管理、安全生产管理。

那么这种划分依据的是什么?是以企业为整体进行的划分。整体是相对的,是以追求的目标、人的认识决定的范畴,只要有整体,就有结构,就有模式。所以,我们谈端到端流程,就会出现结构化分布;我们谈价值链,就会出现产品开发、制造、营销、服务。那么什么是结构呢?

结构是一种基于共同目的为导向,以一定关系为链接的现实的秩序状态。秩序不是天然形成的,而是基于目标、期望而形成的布局,只要整体、期望发生了变化,结构就需要进行适应性的调整。

反映在企业,表现为一种组织、流程、功能的重塑,本质是打破旧秩序、建立新秩序的过程,通过改革实现;反映在全面风险管理,表现为内控、合规、风险管理结构的划分,划分不是目的,而是避免交叉、重叠,让每一个结构对应到“功能”,让整体从模糊走向清晰的方法,整合,才是划分的真正目的,是为了实现整体。所以,我总讲:分以合为终,合以分为始。

以全面风险管理为整体,结构化的内控、合规、风险管理,赋予了新的功能,体现为模式。从每一个维度,又可以视为一个整体,那么他的结构如何划分呢?这时候的整体,已经转化为期望发挥的“功能”,功能作用于不同的对象,通过风险分类实现┈┈

分类,可以使内控、合规、风控从“模糊的整体概念”变得越来越清晰,变得可以让员工理解。因为,越往下分,越表现为员工的职能工作;越往下分,越表现为管理中应做、但可能仍存在不完善的具体方面。这种方式,称为解构

解构、分解,是让员工明白工作意图、找到落实措施的方法。就好比泰勒的科学管理法一样,把活动分解到每一个动作,把对技能要求的影响降到最低,这时候,人就转化成了一种不依赖于技能的“机器”,从而实现“确定性产出”。

现实中,不会分解到这样的程度,但是,绝不意味着不掌握这样的思维与方法,所以,分解依靠的是经验与深刻认知。那么,如果没有这样的解构、分解过程,会发生什么问题呢?

我们仍以内控、合规、风险管理为例。如果拿内控、合规、风险管理分别作为一个整体,去给企业开展培训,估计摆脱不了来自于指引、规范、办法中形成的认识。

大家听到的仍然是“直观的常规认识”,即便主管人员明白了其中的道理,但很难传达给每一个员工,仍然很难形成共识。因为,整体是模糊的、不可预测的,这就是我讲到的,体系手册要划分为管理手册、程序作业手册两部分的原因。也就是说,培训坚持5年,都比不了一份清晰的体系管理手册。当然,前提是必须做好。

从整体到结构,是一个相对概念,目的是为了从下到上进行整合,让整体规划得以实现。那么,整合遵从什么原则呢?

很简单,就两条:一是技能操作型的作业,需要进行判断的成分越多,操作的步骤越少;二是需要知识型、创新型判断的成分越高,赋予的操作越多,自主性越高。这就是企业中,规划人员的权限很大,涉及的幅度非常宽,而服务型、操作型人员,往往都是在限定范围内,对特定的要素进行重复作业的原因。

那么,反映在内部控制、合规管理中,又是一种什么情形呢?内控要告诉控制角色控制什么,当然不能以“风险”而淡化,而是与控制角色行之职能相关的具体内容;合规要告诉对应角色规则要求是什么,现有内部控制措施,是否还存在满足,需要做什么。有时候,没有风险语言描述的风险,反而更踏实、更实在。

如果仔细看本篇文章,会发现其中渗透着这样的思路:主管部门提出的风险评估要求,只要追求实效,需要在确定的领域,明确风险评估的“关系要素”,而且是确定的,目的就是为了缩小风险评估人员的“判断空间”;其次,在业务管理域设定控制基线,同样是为了划分为不同风险程度的两大结构,从而形成不同的“关系要素”,让基于管理的判断变得简单,让风险评估有的放矢。

内控、合规、风险管理要达到这种程度,不是从他们本身的维度,而是从期望、管理的维度,运用内控、合规、风险管理的理念、思维、方法进行的设计。因为,他们都是为企业决策、经营、管理提供合理保证的支持性工作。重要的,不是他们本身多么美丽,而是让他们提供保证的对象更加美丽。


访问次数:124  日期:2024-09-12   [打印]  [关闭]
上一条:高新技术企业常见的23个涉税风险点
下一条:新《公司法》实施在即,国有企业公司治理,哪3大方面需把握?

地址:石家庄裕华西路与时光街交叉口世纪公馆1709室 联系电话:031187750308
COPYRIGHT©2018-2023 河北满好会计师事务所(普通合伙) ALL RIGHTS RESERVED Email:hbmh2021@126.com ICP备案:冀ICP备2023039116号-1
冀公网安备13010402002721号