公司治理、风险管理和内部控制被认为是现代企业管理的三驾马车。公司治理的范畴最大,它是制度,是顶层设计,是一个企业是不是正的标准。而风险管理与内部控制为公司治理能够达到实现经济利益的目标而保驾护航,内部控制是针对企业内部可控风险的有效防范体系,但企业面临的所有风险并不都能靠内部控制减轻和管控,企业还面临很多外部风险,因此,风险管理的范畴大于内部控制,它还针对企业外部的各种风险开展风险应对管理。 总体而言,风控体系就是把大部分企业内部的经营风险都管住,管不住的外部风险则依靠预警、保险、转移、转换、分包等风险应对策略再控制它。
风险管理与内部控制的关系还有一个侧重点,风险管理是做正确的事,内部控制是正确的做事,风险管理是顶层,解决的不仅是流程问题,更是战略决策问题、应急处理问题;不仅是当前的问题,更是预测和应对将来可能发生的问题,风险管理更加偏向于前端,对影响目标实现的因素进行分析、评估与应对,防止重大决策失误和重大危机问题。内部控制更多的是流程问题,包括业务流程、管理流程中的风险控制,它更加重视实施,而且嵌入到企业各业务流程的具体业务活动中、融合在企业各项规章制度之中,使企业在正常运营过程中自发地防止错误,确保合规和真实,从而合理保证目标的实现。
具体而言,风险控制管理帮助企业解决的问题主要包括:
如何把握“走得快”和“走得稳”的平衡?
目前国内大多数公司在组织目标的首要位置上,主要关注专、强、大、精;在组织能力和制度建设上,重点仍然在生产能力、效率、竞争,但是在配套的系统安全和风险控制能力是缺失或不完善的。近年来上市公司频频爆出的违规事件和管理漏洞告诉我们,有时候走得太快,是有后遗症的,因此我们需要风险控制管理的手段为我们找到“快”和“稳”中的平衡。
什么是企业的“生命线”?
这一点要求企业在经营过程中加强对风险的认识及风险管理能力,不能过于把业绩提高依赖于高风险业务,同时对企业运营管理中存在的小问题不能听之任之,千里之堤毁于蚁穴,冰冻三尺非一日之寒。正如海因西里法则阐述的那样:在一件重大事件的背后,平均有29次轻度伤害和300次可能的发生的隐患,这个法则完全适用于企业的管理运营,对潜在事故毫无察觉或麻木不仁,往往会导致“局部事件发展为整体风险”。
怎么先知先觉? 如何亡羊补牢?
风险管理关键在于管理层通过积极的管理手段,根据内外因素的变化,提前预警,事前应对,抓住机遇,创造收益。主动的风险管理方式包括但不限于:对新业务、新领域进行风险预测,将风险分析嵌入决策流程,强调事前防范;建立KPI体系,并利用情景分析技术对内外部环境持续监控,风险预警;持续收集风险信息,建立风险事件库,并持续更新预案;定期编制风险报告,及时掌握风险变化。
怎样帮助企业消除“诱惑”,创造透明、合规文化?
问责和担责是企业正常的运营成本,为什么国家会发各种各样的监管规定,要求企业承担这部分运营成本,除了担心由于违规造成的社会乱象,更多的是为塑造一个良性市场秩序而考虑,正如王石在总结万科的发展历程时说:“市场是很公平的,万科曾经因为做贸易获得过暴利,但后来因盲目扩张又全部还给市场了。”由此万科在总结所经历的各种风险后,提出企业整体的风险应对策略,即“做简单而不做复杂、做透明而不做封闭、做公平而不做暴利、做规范而不做权谋。”
Part 3
企业建设风控体系的启示
下面我们通过一些案例提出企业在建设风控体系中值得思考的一些启示:
关注各个部门之间的协同
某上市公司授信体系薄弱导致了巨额应收账款的坏账。经检查发现其内控暴露出的问题包括:重复授信,该上市公司内部控制制度对多头授信无明确规定,实际执行中,下属分公司、总部销售部门等单位分别向同一客户授信;超额授信,该上市公司下属子公司内部控制制度规定对客户授信额度不大于客户注册资本,实际执行中,对部分客户超出其注册资本授信,也存在未经授信发货的情况。
好的风控体系中,财务部、信用部、销售部三者的关系应当是协调与沟通、平衡与制衡。销售部是第一道防线,冲在业务的最前线。信用部门是第二道防线,是定额度、定规则的部门。财务部门是最后一道防线,是踩刹车、是守后口的部门。良好的内控制度中,各部门职责的界定很重要。
内控制度不以数量取胜
某上市公司集团风控管理失效,其下属全资子公司发生重大信用风险事项,分析成因时发现其内部控制制度落实不够,例如:母公司没有重视也未能有效掌控子公司最高管理者的任免,没有每年对其进行定期考核;子公司在选择战略伙伴时,没有按规定进行资信调查以及对合作伙伴的运营情况进行日常监控。
实际上,很多企业都存在这样的通病:为内控制定了大大小小、方方面面的制度,制度多一定好吗?不一定。能把几百个制度浓缩成一个制度本身就是一种水平,内控制度没有必要写的冗长复杂,简单明了即可。否则一个部门发布一项自己的内控制度,套进体系,而各种体系之间没有关联,没有融合,实际操作时大家不知道应该向左走还是向右走,到最后就演变成什么都不要,按照惯性操作,久而久之,风控的文化、管理的文化全部突破。好的风控体系,要学会把复杂的问题简单化,简单的问题流程化,流程的问题制度化,制度的问题信息化。
让风控嵌入到业务发展的前中后
某上市公司风控管理失效,公司总会计师利用职务之便挪用公司银行承兑汇票、提供虚假证明,构成职务犯罪,分析内控缺陷时发现,该上市公司印章使用控制失效,印章管理员在未见用印审核审批程序的情况下也给予用印,部门之间的牵制失效。
为了风控而风控,这是许多企业风控水平弱的原因。风控是加出来的东西吗?不是。风险来源于业务,实际上,那些处于关键业务岗位的人员在做业务的同时就是在做风控,因此不能将风控仅仅看作是风控部的责任,事实上,风控部真的熟悉业务吗?不一定。好的风控一定是嵌入到业务发展的前中后,它具有多种形式。
风控的极致是精神层面的风控
柳传志在他的自传里写过一个故事,当时联想集团每次召开经营班子会议,总会有一些相关的领导要么缺席要么早退,于是他想到一个办法,下次新一轮领导班子开会前,上次迟到的领导,无论级别多高,进来之后先站到进门会议室门侧的角落里,上回迟到几分钟,就站几分钟,同时没有迟到的领导全部走上来,围在他旁边,所有人的目光盯着他几分钟。
能够在人的精神层面产生影响,能够帮助企业养成良好的企业文化,这或许就是风控的魅力。好的风控到最后是精神层面的风控,思想和习惯是最核心的东西,正如看到红灯的时候,你还要迈步吗?如果能够形成本能反应把腿收回去,这就是好的风控、好的文化,但它不是一朝一夕养成的,需要不断积累与沉淀。返回搜狐,查看更多