企業(yè)導入任何一套新的管理理念或方法��,必然面對傳統(tǒng)思維�����、組織與工作慣性����、行為慣性的阻力�����。阻力����,反映為開始時的不習慣而表現(xiàn)出來的不理解或歧義。
如果沒有表現(xiàn)出阻力�,說明存在3點可能性:一是理念與方法沒有發(fā)揮實質(zhì)作用;二是只表現(xiàn)為宣傳性說法�����,沒有轉(zhuǎn)變?yōu)閷嵺`���;三是只是習慣的可視化翻版����,談不上新的管理理念與方法,不會產(chǎn)生期望的結(jié)果����。
為什么呢?無論是人還是企業(yè)����,只要沿著老路走,就不可能到達一個新地方���。這個新地方����,就是導入新理念�����、新方法所期望達成的結(jié)果����。
本文闡述企業(yè)在推行內(nèi)控�、合規(guī)與風控工作中�����,導致無效��、低效或形式化的常見問題及解決方法��。
01.風險管理體系無效與低效的問題根因
企業(yè)中的內(nèi)控�、合規(guī)與風控,本身不是什么新方法���,只是由于要提高其目的性、規(guī)范性�、有效性而從某一“維度”強調(diào)了體系化管理,這個維度被表達為內(nèi)控��、合規(guī)�、風控。
就好像初創(chuàng)企業(yè)進行產(chǎn)品開發(fā)卻沒有設(shè)置專門的質(zhì)量管理職能�����,但并不意味著沒有質(zhì)量管理一樣�。
內(nèi)控、合規(guī)與風控,只是一類行動的統(tǒng)稱��,并不代表具體行動�。企業(yè)開展內(nèi)控、合規(guī)與風控建設(shè)�,是把統(tǒng)稱轉(zhuǎn)化為“有目的具體行動”的設(shè)計過程,但仍不代表管理體系的建立����。
看到這里,一定會有人提出疑問:為什么你還沒有談內(nèi)控管理�、合規(guī)管理、風險管理呢���?因為����,置身于企業(yè)看待三個課題�����,有一個如何看���、如何做����、如何管、如何行動的問題���,即體系的目的��、邊界的界定�����、功能結(jié)構(gòu)劃分���、行動類型及方式與方法、治理機制問題�����。
毋庸置疑��,內(nèi)控��、合規(guī)與風控�,都是以“防風險”為目的的行動統(tǒng)稱����。對一個企業(yè)來講���,從實踐角度,企業(yè)不能出現(xiàn)“目的一致”的多個體系����,否則,企業(yè)的運營管理就會出現(xiàn)責任不清�、目的交叉的“亂局”。
為什么企業(yè)千辛萬苦建立的所謂內(nèi)控體系�、合規(guī)管理體系、風險管理體系或者“X位一體”體系�,甚至花重金聘請知名專業(yè)機構(gòu)產(chǎn)出的結(jié)果,總感覺沒有實際效果呢����?基本都出現(xiàn)了4個問題:
一是體系邊界沒有界定好,產(chǎn)出建立在“模糊”認知的邊緣���,三者之間你中有我�、我中有你����,出現(xiàn)了說做什么就做什么�、說是什么就是什么的問題����,缺乏條理性、系統(tǒng)性��。
問題原因:對內(nèi)控���、合規(guī)�、風控�����、風險管理認識不清帶來行動錯亂�。
二是沒有轉(zhuǎn)化為企業(yè)員工達成共識的認知標準,是決定一個體系有效性的根本基礎(chǔ)和最前端的規(guī)劃問題��。所謂“基礎(chǔ)不牢�����、地動山搖”��、“沙土地上建高樓”等等���,設(shè)計之初的模糊性��,決定了產(chǎn)出結(jié)果不達預期的必然性�����。
問題原因:缺乏管理一致性與行動差異性的認知基礎(chǔ)�����?�;A(chǔ)����,需要主管部門去夯實�,避免員工認知的不一致。
三是沒有把統(tǒng)稱轉(zhuǎn)化為“具體行動的指導”�����,缺了“中間層”����。其一��,企業(yè)中的行動是有條件的���;其二,行動是要明確“怎么做�、做什么、怎么評價”的��,否則也不需要管理�。譬如把“風險評估”拋給員工,就不可能轉(zhuǎn)化為具體行動�,即使行動了也是“各抒己見”的表現(xiàn);其三����,手冊、清單有必要���,但并不意味著產(chǎn)出的手冊��、清單是適宜的�����,更不代表轉(zhuǎn)化為實踐行動的可行性���。
問題原因:推動工作建立在“理念、概念”基礎(chǔ)上����,內(nèi)控、合規(guī)����、風險管理都是聽著有道理“一般性概念”。
四是把風險管理泛化了���,沒有界定風險�����、問題��、故障�、事故之間的界面關(guān)系�����,導致風險管理“無事不可解釋”。譬如�����,建立風險應(yīng)對預案是風險管理工作��,但是需要建立在風險發(fā)生的假設(shè)基礎(chǔ)上���,一旦轉(zhuǎn)變?yōu)槭聦?���,就成了問題��、故障或事故的處置與管理��,而不再是風險管理����,意味著風險管理的失敗,但后期預防問題重復發(fā)生的措施��,屬于風險管理�����。
問題原因:其一,風險��、問題�、故障�����、事故是同維度的不同表現(xiàn)���,風險管理不能打亂原有的良好習慣��。其二��,風險管理與企業(yè)中的質(zhì)量管理���、安全管理、保密管理等等職能���,有預防風險的相通性����,也有差異性����,涉及布局與方法問題�,后者屬于風險管理理念的應(yīng)用范疇����。
02.怎么界定防風險類的管理體系
風險管理永遠是超前的管理,而不是現(xiàn)實結(jié)果的應(yīng)對���、處置與認定����。帶有約束特征的超前管理��,至少都要有結(jié)果的處罰標準��,否則就失去了控制�、約束的防風險意義。
比如���,所謂風險應(yīng)對�,是從風險管理維度的后瞻性說法����,指的是問題�、故障�、事故發(fā)生后的應(yīng)對與處置。轉(zhuǎn)化為實踐���,需要做出“歸一化”處理�����。
如果從管理的角度再擴大一下外延,包括正向引導��、過程控制���、約束基線����、問題處理��、追責處罰��,這是管控的規(guī)律��。說到管控�����,也是有規(guī)律可言的,在于環(huán)節(jié)�、指標因素、標準����、保障機制,會與內(nèi)控走到一起����,不再贅述。
無論是內(nèi)控����、合規(guī)、風控���,只要沒有清晰化地界定�,企業(yè)做的工作就很難有預期產(chǎn)出�,因為他們都是“永遠都對的理念”。
那么���,企業(yè)中以“防風險”為目的的體系怎么界定呢�?首先,內(nèi)部控制很難體系化����,其體系性通過“管控”反映出來,反映在“管控”下不同層級的節(jié)點�����;其次�,合規(guī)管理可以構(gòu)建一套“單視角”的體系,有內(nèi)控的成分�,但涵蓋不了內(nèi)控的全部�����,既有交叉又各自具有相對獨立的特性�,二者之間不是完全獨立的關(guān)系。
為什么合規(guī)管理出現(xiàn)了“合規(guī)控制流程清單”呢����?這部分內(nèi)容是合規(guī)管理難以解釋的部分,是由事兒反映出的合規(guī)風險控制��,內(nèi)控的目標包括合法合規(guī)����,是首末關(guān)系��。說明什么�?如果企業(yè)并行推動內(nèi)控與合規(guī)����,二者均不能獨成體系。
會有人說合規(guī)管理辦法中提出要建立合規(guī)管理體系�����。沒錯����,辦法是從合規(guī)單維的角度進行的描述,所以����,才出現(xiàn)了流程與內(nèi)控清單,才出現(xiàn)了處理好內(nèi)控與風險管理關(guān)系的說法���,否則���,是不完整的���。但置身于企業(yè),內(nèi)部管理��、風險管理是存在的����,當然要統(tǒng)籌考慮。
再次��,風險管理是什么�?是一個正確的、有目的性的“泛稱”����。
企業(yè)中的內(nèi)控�����、合規(guī)管理�,都具有廣義的防風險功能,又在目的�、對象、表達方式方面各具狹義特征����。從企業(yè)整體的角度�,以“防風險”為目的的體系只能有一個:風險管理體系��。
怎么看內(nèi)控���、合規(guī)呢�����?是風險管理體系內(nèi)針對不同對象的確定性“功能結(jié)構(gòu)”�����,是一個子系統(tǒng)�,而每一個體系內(nèi)的多個子系統(tǒng)之間是有依賴與接口關(guān)系的��。企業(yè)中界定管理體系要考慮兩個方面:一是從企業(yè)整體認識的目的一致性���,二是從體系完整性的角度�,體系內(nèi)的方法�、要求只能外推,不能來自于其它體系同樣的方法與要求。
是不是內(nèi)控����、合規(guī)兩大結(jié)構(gòu)代表了風險管理的全部呢?你認為是�,它就是!管理的成效��,在于認知程度���;認知程度�����,決定了設(shè)計產(chǎn)出�����;設(shè)計產(chǎn)出的有效性��,決定了能不能“被應(yīng)用”,即實踐���。
不要認為是某種方法決定了結(jié)果��,而應(yīng)該是根據(jù)結(jié)果的追求尋求合適的方法��,但堅持的理念不能變���,是指導方法的根基�,過度糾纏于方法的做法����,完全是作繭自縛。
最高境界的管理是“無法勝有法”�,管理追求的是效果而不是方法,只要能夠?qū)崿F(xiàn)預期目標����,什么方法都可以選擇。無法���,并不代表沒有方法�,指的是不要被方法拘束住手腳��。
比如�����,企業(yè)講究 三位一體、四位一體甚至八位一體�,他只是一種思路,但刻意追求�,就會把自己困死在一張無形的“網(wǎng)”上。
為什么不思考一下�,都是大型企業(yè),不同企業(yè)卻存在三位��、四位乃至八位一體的不同呢���?有時候��,磚家講的是設(shè)想�,那種你想做什么他都能實現(xiàn)的亂態(tài)��,本身就是“不可信”的����。如果哪家企業(yè)認為做成了,還取得了不錯的效果�,本人可以義務(wù)評價其真實有效性。
事實上��,企業(yè)運營是動態(tài)的���,隨外部環(huán)境的變化而變化���,通過計劃內(nèi)、計劃外的事項表現(xiàn)出來���,這部分風險怎么辦�����?應(yīng)該承認外部風險很難改變���,客觀對待的結(jié)果只有“內(nèi)化”,所以�,才產(chǎn)生了“風控”行動。
風控設(shè)計的關(guān)鍵�����,要找到企業(yè)運營的“龍頭”拉動線�����,才能找到風險評估的“指標”��,才能轉(zhuǎn)化為“確定性的風險評估行動模型”。比如��,拉動業(yè)務(wù)運轉(zhuǎn)的是營銷�;拉動交付的是計劃;拉動研發(fā)的是需求與標準�����;拉動協(xié)作的是項目���;拉動預算的是投資組合┈┈
再比如:合規(guī)管理中的外部合規(guī)���,在導入外部規(guī)則時,為什么會形成“漏斗”效應(yīng)呢���?就是通過模型進行的篩選��,由此形成的風險清單�,在同行業(yè)同屬性的大��、中����、小企業(yè)中��,結(jié)果是不一樣的����,也不是不分良莠地風險漫灌��,其結(jié)果一定是被部門認同的���,因為,它是風險事實�����,風險清單的目的是為了關(guān)閉風險��,而不是掛著給大家看的����,備看、備查的靜態(tài)清單��,永遠形不成“抗風險能力”�。
“用確定性管理不確定性”,出自于華為的說法����。確定性�,指的是規(guī)則���,來源于不同的抽象理解��,風險評估模型��,本身也是一套規(guī)則��。只有這樣�,才能轉(zhuǎn)化為可持續(xù)的循環(huán)實踐�,而不是搞出一個大、中�、小企業(yè)通行的“風險大字典”。
那些寄希望通過“風險字典”解決問題的做法���,都屬于能掐會算��、可以預測未來的“仙游”��?�?上У氖?���,就是神仙也做不完整,何況也不可能像字典那樣穩(wěn)定��。說明了什么�?國資委提出個清單,就僵化地理解成建立一套風險表格���,為什么不能理解成“高風險度”的“風控清單”呢?
事實上����,企業(yè)中的任何管理,只要是管理�,就一定是“目標、結(jié)果導向”���,內(nèi)控�����、合規(guī)與風控也不例外�,但不能用這樣的理論概念去解釋。
內(nèi)控����、合規(guī)很好理解,“風控”指的是什么�����?指的是對尚未建立“確定性解決方案”的風險的管控�、監(jiān)視與預警。風險是什么�?我只能從“實踐”角度回答,所以“理論派”不要太較真��,是管理需要的因素�����,不需要的“不要管”���,別忘了管理成本��,這一點與“全面”并不矛盾�����,否則�,就會陷入“死循環(huán)”的泥潭。
哪些需要管呢�����?當然是績效了�����。績效指的是什么�����?企業(yè)級����、組織級�����、關(guān)鍵員工級��。所以����,企業(yè)通過風控施加影響的風險因素�,構(gòu)成了“三級”風險責任制����,形成了與績效的對應(yīng)關(guān)系。其余的呢����?依靠確定性規(guī)則,從風險管理的維度看�,即內(nèi)控、合規(guī)��。
怎么理解呢�����?是實踐問題�,是一種經(jīng)驗、思維的抽象化沉淀��。比如:應(yīng)收款風險���,如果沒有確定性的“規(guī)則措施”�,那它就屬于風控;如果建立了合理�����、有效的規(guī)則措施�,那就是管理機制與內(nèi)控問題;如果突破了明確的底線�,那就是行為合規(guī)問題。所以�,沒有哪家企業(yè)不重視應(yīng)收款風險,但風險表現(xiàn)并不一樣�,原因是風險容忍度、抗風險能力不同�����。
那種停留在理念層次上的所謂方法����,又怎么能落地呢�?實踐型的風險管理,不是人人都能做���,一定意義上���,比單純的管理更有挑戰(zhàn)性��、更有價值意義����。因為���,前提是要理解管理及各種關(guān)系���,然后才能談得上風險管理,是正向�、逆向思維的交合,是多要素的兼容并蓄��。畢竟�,管理的成熟度不同,風險表現(xiàn)程度就不一樣���,方法與措施就會不同���。
內(nèi)控、合規(guī)��、風控是企業(yè)實施風險管理的“不同形態(tài)”,是構(gòu)成風險管理的三大功能結(jié)構(gòu)�����。結(jié)構(gòu)又構(gòu)成了一個子系統(tǒng)����,當然還需要分解,所以�����,企業(yè)的風險管理一般體現(xiàn)為“一致性理念�、三級管理模態(tài)”,四級體現(xiàn)為“具體行動”���,從而形成一種風險信息溝通與管控模式�,反映為現(xiàn)場層����、管控層��、歸口管理層���。
管理模態(tài)界定不清楚�����,不管企業(yè)的風險管理是什么知名機構(gòu)做出來的��,也不管企業(yè)用什么方式進行宣傳�,都很難轉(zhuǎn)化為“實踐”行動。實踐���,指的是設(shè)計的結(jié)果被別人應(yīng)用�,且結(jié)果是可評價的�����。
至于那種希望通過建立風險清單方式解決一切的想法����,是最幼稚的表現(xiàn),沒有任何人能夠一勞永逸地把風險全部識別出來����,依靠的只能是滿足“期望目標”程度的管理,以及重復滾動�����、可持續(xù)運作的“確定性”行動,這才是“落地”的實踐�����。
一套體系的有效性�����,衡量標準只有結(jié)果與期望的初衷����;管理的有效性,衡量標準只有可持續(xù)的重復行動及行動結(jié)果的可衡量���、可評價性����;行動的有效性����,衡量標準只有結(jié)果對目標的貢獻,以及行動的可行性與確定性;行動的必要性��,衡量標準只有成本投入與產(chǎn)出結(jié)果的平衡與選擇��。
03.小 結(jié)
本文只是基于體系建立的最基本實踐體會�����,如時間允許���,會從內(nèi)控、合規(guī)�、風控的不同角度,結(jié)合制度�����、流程管理��,做進一步論述����。風險管理看似很窄,但涉及的專業(yè)領(lǐng)域���、知識與技能結(jié)構(gòu)��、經(jīng)驗要求非常寬泛�����。
對企業(yè)來講����,內(nèi)控、合規(guī)與風控的多維推動�����,容易造成工作“重復”的錯覺��,主管部門總是希望找到一條“多維并蓄”的方法���,原因在于�����,存在體系基礎(chǔ)沒有做好的缺陷�����,并沒有真正理解風險管理的內(nèi)涵�����。
事實上�����,內(nèi)控�����、合規(guī)與風控建設(shè)的有效性��,不僅有助于提高企業(yè)的運營質(zhì)量與效率的改善����,還會帶來越來越頻繁的“監(jiān)督”簡化����。監(jiān)督簡化,并非指的是“弱化監(jiān)督”�,而是在不影響監(jiān)督質(zhì)量、效果的同等情況下���,降低監(jiān)督對企業(yè)正常運營的沖擊���。
比如��,央企中每年組織進行的自上而下的分組巡查��,為什么每次巡查前���,被巡查企業(yè)都要求員工不外出而備查呢?這不是正常對待監(jiān)督的表現(xiàn)����,而是管理落后的反映。
監(jiān)督過程中��,為什么拿著測量儀去逐個查高級管理者的辦公面積�,去查公務(wù)車的排量、采購價格是否符合控制標準呢��?這不是監(jiān)督認真負責的表現(xiàn)����,而是沒有找到監(jiān)督方法的反映?����?刂茦藴适侵鞴懿块T根據(jù)上級規(guī)則要求設(shè)計、落實的�����,標準是什么��?有結(jié)果衡量標準���,也有很多反映的是合規(guī)準則。
巡查應(yīng)該查什么�?查控制標準設(shè)計部門手中掌握的臺賬清單,通過抽查進行驗證��,對發(fā)現(xiàn)超出標準的現(xiàn)象�,追究誰的責任呢?不僅包括坐在超標辦公室中的領(lǐng)導者����、管理者,還要加重追究控制標準部門的“落實”責任����。同樣道理��,對違反“八項規(guī)定”的超標準支出�,監(jiān)督從哪入手����?從財務(wù)。追究誰的責任�?不僅包括直接責任者,還要加重追究財務(wù)部門的“核算控制”責任�。
為什么這樣做?標準你定的���,執(zhí)行控制與監(jiān)管責任承擔者也是標準制定部門���,違規(guī)問題是由于控制執(zhí)行不到位帶來的后果,當然要加重追責���。
合規(guī)管理����、監(jiān)督的目的是什么�?當然包括對外部法則的遵從,當然包括對違規(guī)問題的及時發(fā)現(xiàn)與責任追究�,是最基本����、最樸素的認知����。企業(yè)的合規(guī)監(jiān)管與監(jiān)督不是為了追責而行動,最終的目的是為了提高管理執(zhí)行力���,而決定管理執(zhí)行力的是管理設(shè)計的合理性與可行性�����。
看待內(nèi)控�、合規(guī)與風控����,不能單純從他們本身看�����,而要從高出的一個層級����,從管理的維度去看待�。因為����,無論是內(nèi)控、合規(guī)管理����,還是風險管控,都是企業(yè)管理的構(gòu)成因素�,否則就不存在第一道防線之說。
內(nèi)控���、合規(guī)���、風控的有效性,并不是單純來源于內(nèi)控指引��、合規(guī)管理辦法����、全面風險管理指引或制度,而是源起于管理目的邏輯布局的合理性����、科學性����。很多時候����,指引中的“常識”性控制機理,并非專家口中的內(nèi)控建設(shè)依據(jù)或轉(zhuǎn)化�,而是對應(yīng)職能管理域下的內(nèi)控環(huán)境。
內(nèi)控環(huán)境不是泛泛而談��,一定是與企業(yè)實際管理�����、內(nèi)部合規(guī)緊密相關(guān)的控制原則或合規(guī)準則����,然后才是流程與控制。企業(yè)內(nèi)控���、合規(guī)與風控建設(shè),是需要轉(zhuǎn)化為實踐的過程���,而不是來自于指引����、辦法中理念化說法的簡單復制與翻版。
理解了這一層�,對照企業(yè)已經(jīng)形成的建設(shè)產(chǎn)出,會不會發(fā)現(xiàn)存在很多先天的設(shè)計不足呢���?
返回列表
