企業導入任何一套新的管理理念或方法�����,必然面對傳統思維���、組織與工作慣性��、行為慣性的阻力�����。阻力,反映為開始時的不習慣而表現出來的不理解或歧義。
如果沒有表現出阻力�,說明存在3點可能性:一是理念與方法沒有發揮實質作用;二是只表現為宣傳性說法���,沒有轉變為實踐;三是只是習慣的可視化翻版����,談不上新的管理理念與方法�,不會產生期望的結果�����。
為什么呢����?無論是人還是企業�,只要沿著老路走,就不可能到達一個新地方����。這個新地方��,就是導入新理念、新方法所期望達成的結果�����。
本文闡述企業在推行內控�����、合規與風控工作中����,導致無效���、低效或形式化的常見問題及解決方法�。
01.風險管理體系無效與低效的問題根因
企業中的內控��、合規與風控�,本身不是什么新方法�����,只是由于要提高其目的性�、規范性�����、有效性而從某一“維度”強調了體系化管理���,這個維度被表達為內控�、合規����、風控。
就好像初創企業進行產品開發卻沒有設置專門的質量管理職能,但并不意味著沒有質量管理一樣。
內控���、合規與風控,只是一類行動的統稱,并不代表具體行動���。企業開展內控、合規與風控建設����,是把統稱轉化為“有目的具體行動”的設計過程����,但仍不代表管理體系的建立。
看到這里�����,一定會有人提出疑問:為什么你還沒有談內控管理�����、合規管理、風險管理呢?因為,置身于企業看待三個課題���,有一個如何看、如何做、如何管�����、如何行動的問題�����,即體系的目的�����、邊界的界定、功能結構劃分、行動類型及方式與方法��、治理機制問題���。
毋庸置疑��,內控�����、合規與風控�����,都是以“防風險”為目的的行動統稱����。對一個企業來講�����,從實踐角度�,企業不能出現“目的一致”的多個體系�����,否則����,企業的運營管理就會出現責任不清�、目的交叉的“亂局”。
為什么企業千辛萬苦建立的所謂內控體系�、合規管理體系�、風險管理體系或者“X位一體”體系�,甚至花重金聘請知名專業機構產出的結果,總感覺沒有實際效果呢���?基本都出現了4個問題:
一是體系邊界沒有界定好,產出建立在“模糊”認知的邊緣����,三者之間你中有我����、我中有你���,出現了說做什么就做什么�����、說是什么就是什么的問題�,缺乏條理性���、系統性��。
問題原因:對內控�����、合規、風控��、風險管理認識不清帶來行動錯亂���。
二是沒有轉化為企業員工達成共識的認知標準�,是決定一個體系有效性的根本基礎和最前端的規劃問題。所謂“基礎不牢�����、地動山搖”�、“沙土地上建高樓”等等,設計之初的模糊性�����,決定了產出結果不達預期的必然性����。
問題原因:缺乏管理一致性與行動差異性的認知基礎��?��;A�����,需要主管部門去夯實,避免員工認知的不一致。
三是沒有把統稱轉化為“具體行動的指導”�,缺了“中間層”��。其一,企業中的行動是有條件的;其二��,行動是要明確“怎么做�����、做什么����、怎么評價”的��,否則也不需要管理�����。譬如把“風險評估”拋給員工,就不可能轉化為具體行動,即使行動了也是“各抒己見”的表現����;其三�,手冊�����、清單有必要,但并不意味著產出的手冊�、清單是適宜的�����,更不代表轉化為實踐行動的可行性。
問題原因:推動工作建立在“理念��、概念”基礎上�����,內控����、合規、風險管理都是聽著有道理“一般性概念”。
四是把風險管理泛化了���,沒有界定風險、問題、故障��、事故之間的界面關系�����,導致風險管理“無事不可解釋”�����。譬如,建立風險應對預案是風險管理工作,但是需要建立在風險發生的假設基礎上,一旦轉變為事實���,就成了問題、故障或事故的處置與管理����,而不再是風險管理,意味著風險管理的失敗���,但后期預防問題重復發生的措施,屬于風險管理���。
問題原因:其一,風險���、問題、故障��、事故是同維度的不同表現��,風險管理不能打亂原有的良好習慣�。其二����,風險管理與企業中的質量管理、安全管理�����、保密管理等等職能��,有預防風險的相通性�����,也有差異性,涉及布局與方法問題�����,后者屬于風險管理理念的應用范疇����。
02.怎么界定防風險類的管理體系
風險管理永遠是超前的管理��,而不是現實結果的應對�����、處置與認定。帶有約束特征的超前管理���,至少都要有結果的處罰標準,否則就失去了控制��、約束的防風險意義��。
比如����,所謂風險應對,是從風險管理維度的后瞻性說法�,指的是問題�����、故障、事故發生后的應對與處置�。轉化為實踐��,需要做出“歸一化”處理。
如果從管理的角度再擴大一下外延���,包括正向引導、過程控制���、約束基線、問題處理�����、追責處罰����,這是管控的規律��。說到管控���,也是有規律可言的��,在于環節、指標因素、標準、保障機制����,會與內控走到一起�,不再贅述��。
無論是內控�����、合規、風控,只要沒有清晰化地界定��,企業做的工作就很難有預期產出��,因為他們都是“永遠都對的理念”��。
那么,企業中以“防風險”為目的的體系怎么界定呢?首先����,內部控制很難體系化�����,其體系性通過“管控”反映出來�����,反映在“管控”下不同層級的節點�����;其次,合規管理可以構建一套“單視角”的體系�����,有內控的成分��,但涵蓋不了內控的全部�,既有交叉又各自具有相對獨立的特性��,二者之間不是完全獨立的關系����。
為什么合規管理出現了“合規控制流程清單”呢��?這部分內容是合規管理難以解釋的部分����,是由事兒反映出的合規風險控制,內控的目標包括合法合規���,是首末關系。說明什么?如果企業并行推動內控與合規,二者均不能獨成體系�����。
會有人說合規管理辦法中提出要建立合規管理體系��。沒錯,辦法是從合規單維的角度進行的描述�����,所以�����,才出現了流程與內控清單�����,才出現了處理好內控與風險管理關系的說法,否則����,是不完整的���。但置身于企業���,內部管理���、風險管理是存在的���,當然要統籌考慮��。
再次,風險管理是什么�����?是一個正確的����、有目的性的“泛稱”���。
企業中的內控���、合規管理��,都具有廣義的防風險功能�,又在目的�����、對象����、表達方式方面各具狹義特征�����。從企業整體的角度�����,以“防風險”為目的的體系只能有一個:風險管理體系。
怎么看內控、合規呢?是風險管理體系內針對不同對象的確定性“功能結構”�����,是一個子系統,而每一個體系內的多個子系統之間是有依賴與接口關系的��。企業中界定管理體系要考慮兩個方面:一是從企業整體認識的目的一致性�����,二是從體系完整性的角度,體系內的方法、要求只能外推,不能來自于其它體系同樣的方法與要求����。
是不是內控�、合規兩大結構代表了風險管理的全部呢�����?你認為是����,它就是����!管理的成效,在于認知程度;認知程度����,決定了設計產出�����;設計產出的有效性,決定了能不能“被應用”,即實踐。
不要認為是某種方法決定了結果����,而應該是根據結果的追求尋求合適的方法����,但堅持的理念不能變���,是指導方法的根基�,過度糾纏于方法的做法����,完全是作繭自縛。
最高境界的管理是“無法勝有法”���,管理追求的是效果而不是方法,只要能夠實現預期目標���,什么方法都可以選擇。無法�����,并不代表沒有方法�����,指的是不要被方法拘束住手腳�����。
比如,企業講究 三位一體��、四位一體甚至八位一體�����,他只是一種思路�,但刻意追求��,就會把自己困死在一張無形的“網”上��。
為什么不思考一下,都是大型企業�,不同企業卻存在三位�、四位乃至八位一體的不同呢��?有時候����,磚家講的是設想�,那種你想做什么他都能實現的亂態,本身就是“不可信”的����。如果哪家企業認為做成了�,還取得了不錯的效果�����,本人可以義務評價其真實有效性��。
事實上,企業運營是動態的���,隨外部環境的變化而變化,通過計劃內���、計劃外的事項表現出來,這部分風險怎么辦�����?應該承認外部風險很難改變���,客觀對待的結果只有“內化”�,所以,才產生了“風控”行動��。
風控設計的關鍵���,要找到企業運營的“龍頭”拉動線����,才能找到風險評估的“指標”���,才能轉化為“確定性的風險評估行動模型”�。比如,拉動業務運轉的是營銷���;拉動交付的是計劃;拉動研發的是需求與標準;拉動協作的是項目���;拉動預算的是投資組合┈┈
再比如:合規管理中的外部合規,在導入外部規則時,為什么會形成“漏斗”效應呢�?就是通過模型進行的篩選��,由此形成的風險清單,在同行業同屬性的大、中�����、小企業中���,結果是不一樣的�����,也不是不分良莠地風險漫灌����,其結果一定是被部門認同的���,因為���,它是風險事實���,風險清單的目的是為了關閉風險�����,而不是掛著給大家看的���,備看����、備查的靜態清單�,永遠形不成“抗風險能力”。
“用確定性管理不確定性”,出自于華為的說法�����。確定性��,指的是規則��,來源于不同的抽象理解,風險評估模型,本身也是一套規則。只有這樣,才能轉化為可持續的循環實踐���,而不是搞出一個大、中����、小企業通行的“風險大字典”�。
那些寄希望通過“風險字典”解決問題的做法���,都屬于能掐會算���、可以預測未來的“仙游”�??上У氖牵褪巧裣梢沧霾煌暾?��,何況也不可能像字典那樣穩定。說明了什么�?國資委提出個清單����,就僵化地理解成建立一套風險表格��,為什么不能理解成“高風險度”的“風控清單”呢��?
事實上,企業中的任何管理���,只要是管理,就一定是“目標��、結果導向”�,內控、合規與風控也不例外��,但不能用這樣的理論概念去解釋����。
內控、合規很好理解�,“風控”指的是什么���?指的是對尚未建立“確定性解決方案”的風險的管控���、監視與預警����。風險是什么�?我只能從“實踐”角度回答���,所以“理論派”不要太較真�����,是管理需要的因素�,不需要的“不要管”�,別忘了管理成本,這一點與“全面”并不矛盾,否則�����,就會陷入“死循環”的泥潭。
哪些需要管呢���?當然是績效了。績效指的是什么���?企業級、組織級��、關鍵員工級�����。所以�����,企業通過風控施加影響的風險因素,構成了“三級”風險責任制�,形成了與績效的對應關系�����。其余的呢��?依靠確定性規則�,從風險管理的維度看��,即內控����、合規��。
怎么理解呢�?是實踐問題��,是一種經驗�����、思維的抽象化沉淀。比如:應收款風險,如果沒有確定性的“規則措施”,那它就屬于風控;如果建立了合理����、有效的規則措施�,那就是管理機制與內控問題����;如果突破了明確的底線,那就是行為合規問題�����。所以����,沒有哪家企業不重視應收款風險�����,但風險表現并不一樣�,原因是風險容忍度�����、抗風險能力不同���。
那種停留在理念層次上的所謂方法�����,又怎么能落地呢?實踐型的風險管理��,不是人人都能做,一定意義上��,比單純的管理更有挑戰性���、更有價值意義��。因為��,前提是要理解管理及各種關系,然后才能談得上風險管理,是正向�����、逆向思維的交合����,是多要素的兼容并蓄�。畢竟,管理的成熟度不同����,風險表現程度就不一樣����,方法與措施就會不同���。
內控����、合規、風控是企業實施風險管理的“不同形態”���,是構成風險管理的三大功能結構。結構又構成了一個子系統����,當然還需要分解�,所以����,企業的風險管理一般體現為“一致性理念、三級管理模態”�,四級體現為“具體行動”�,從而形成一種風險信息溝通與管控模式���,反映為現場層����、管控層、歸口管理層���。
管理模態界定不清楚�,不管企業的風險管理是什么知名機構做出來的,也不管企業用什么方式進行宣傳,都很難轉化為“實踐”行動�。實踐���,指的是設計的結果被別人應用�,且結果是可評價的����。
至于那種希望通過建立風險清單方式解決一切的想法,是最幼稚的表現,沒有任何人能夠一勞永逸地把風險全部識別出來,依靠的只能是滿足“期望目標”程度的管理,以及重復滾動、可持續運作的“確定性”行動�,這才是“落地”的實踐�����。
一套體系的有效性,衡量標準只有結果與期望的初衷;管理的有效性���,衡量標準只有可持續的重復行動及行動結果的可衡量、可評價性;行動的有效性��,衡量標準只有結果對目標的貢獻����,以及行動的可行性與確定性;行動的必要性,衡量標準只有成本投入與產出結果的平衡與選擇。
03.小 結
本文只是基于體系建立的最基本實踐體會���,如時間允許�����,會從內控、合規�、風控的不同角度�����,結合制度����、流程管理,做進一步論述。風險管理看似很窄�,但涉及的專業領域���、知識與技能結構�、經驗要求非常寬泛��。
對企業來講�����,內控、合規與風控的多維推動�,容易造成工作“重復”的錯覺���,主管部門總是希望找到一條“多維并蓄”的方法�����,原因在于,存在體系基礎沒有做好的缺陷,并沒有真正理解風險管理的內涵。
事實上���,內控、合規與風控建設的有效性,不僅有助于提高企業的運營質量與效率的改善�,還會帶來越來越頻繁的“監督”簡化�。監督簡化����,并非指的是“弱化監督”,而是在不影響監督質量、效果的同等情況下�,降低監督對企業正常運營的沖擊�����。
比如����,央企中每年組織進行的自上而下的分組巡查,為什么每次巡查前���,被巡查企業都要求員工不外出而備查呢?這不是正常對待監督的表現�,而是管理落后的反映�����。
監督過程中,為什么拿著測量儀去逐個查高級管理者的辦公面積��,去查公務車的排量�����、采購價格是否符合控制標準呢���?這不是監督認真負責的表現�����,而是沒有找到監督方法的反映?����?刂茦藴适侵鞴懿块T根據上級規則要求設計、落實的�����,標準是什么�?有結果衡量標準����,也有很多反映的是合規準則。
巡查應該查什么����?查控制標準設計部門手中掌握的臺賬清單����,通過抽查進行驗證�,對發現超出標準的現象,追究誰的責任呢���?不僅包括坐在超標辦公室中的領導者、管理者�����,還要加重追究控制標準部門的“落實”責任�����。同樣道理����,對違反“八項規定”的超標準支出�����,監督從哪入手���?從財務。追究誰的責任?不僅包括直接責任者����,還要加重追究財務部門的“核算控制”責任���。
為什么這樣做��?標準你定的,執行控制與監管責任承擔者也是標準制定部門�����,違規問題是由于控制執行不到位帶來的后果���,當然要加重追責�。
合規管理、監督的目的是什么?當然包括對外部法則的遵從�,當然包括對違規問題的及時發現與責任追究�����,是最基本、最樸素的認知。企業的合規監管與監督不是為了追責而行動�,最終的目的是為了提高管理執行力��,而決定管理執行力的是管理設計的合理性與可行性。
看待內控、合規與風控�����,不能單純從他們本身看�,而要從高出的一個層級,從管理的維度去看待。因為��,無論是內控�����、合規管理,還是風險管控�,都是企業管理的構成因素����,否則就不存在第一道防線之說。
內控、合規�、風控的有效性����,并不是單純來源于內控指引����、合規管理辦法、全面風險管理指引或制度,而是源起于管理目的邏輯布局的合理性、科學性���。很多時候,指引中的“常識”性控制機理,并非專家口中的內控建設依據或轉化,而是對應職能管理域下的內控環境���。
內控環境不是泛泛而談,一定是與企業實際管理、內部合規緊密相關的控制原則或合規準則��,然后才是流程與控制��。企業內控���、合規與風控建設��,是需要轉化為實踐的過程,而不是來自于指引��、辦法中理念化說法的簡單復制與翻版�。
理解了這一層,對照企業已經形成的建設產出�,會不會發現存在很多先天的設計不足呢����?
返回列表
