在与企业接洽中,能够深切体会到大多企业主管人员对风险管理、内部控制、合规管理的普遍困惑,最关心的话题是:如何落地且可持续,如何真正发挥作用。
01.如何看待普遍存在的困惑
我并非社会上纯粹的理论型讲师。在历经大型央企近20年业务计划、战略规划、组织管理、能力统筹建设规划、公司改革、制度与流程、风控、内控与合规管理等不同管理岗位之后,投身咨询服务业。
我也经常思考,这种习惯其实挺痛苦的,是规划出身人员的通病,这一生是摆脱不了了。对比之下,战略管理、风控类业务之间的工作方式、思维、管理者的态度截然不同,管理者的综合能力也不一样,主管人员所能够感受到的成就感天差地别。出现以上困惑并不意外,原因是陷入到了单维陷阱。怎么这样认为呢?
因为,这是我的切身体会。2009年被某集团从二级大型单位战略管理线紧急调入从事风控工作,就是为了解决部门+1个内部咨询机构+1个外部咨询机构研究一年多而不得其解、无法推动的问题,个中困惑,理解之凌乱,身不在其中就难得其解。我所在央企是非常优秀的企业,他有的痛,其它企业一般会有。
产生困惑的核心在于:没有打开思维,没有从全局思考与布局,被接收到的指引、办法束缚了,是人的经历、知识、经验、技能,以及人与其它部门管理者的关系决定的。如果工作停留在仅仅要求其它部门做风险评估,可以看看对方会提交出什么样的结果,千差万别,不会有效果。不是对方不做,是因为设计出了问题。
风管、内控、合规管理,都是以防风险为导向,从不同维度衍生出来的、侧重于从某方面管控风险的理念或方法,但转化到企业实务,则不能片面理解那些单维的指引、规范、标准和办法,更不要迷信通过这些规则的理解,人为刻制出来的所谓方法。这样讲的初衷,不是否定他们,而是为了找到切实可行的落实方法。不管怎么做,最后的结果满足办法要求即可,关键是效果。
经历、经验告诉我,抱持一套不变的方法或工具,先验性地认为能够解决千差万别企业中的问题,根本行不通,原因是既有方法问题,也有企业现实基础问题。华为经验和方法好吗?如果你拿出任何其中的一套方法用于企业,都很难谈成功,原因是每套方法的背后,都有其它因素在支撑,是系统的整体与结构的关系,需要全面理解、贯通、选择,解决条件与假设问题。
风险是客观的,并非只有用风险语言表达的,才体现为风险管理工作,用多了,有时候还会适得其反;内控是宽泛的,并非所有的控制都要纳入内控管理,有些控制功能,并非内控所能解决;合规是结果,合规风险的说法是口语表述,但并不恰当,合规管理要取得效果,也不是仅仅依靠目前流行的方式、方法就能实现。
企业中的风险管理、内控管理、合规管理,对主管部门来讲都属于管理课题,需要用管理的思维去系统思考、筹划、推动、促进、实现、落实。可以肯定地讲,不能切入到企业中的其他业务工作,谈不上成效,更别想有成就感。因为,他们都属于集中、分散、再集中的归口管理型工作。
关于可落地、可持续、有效果的困惑,如果我不分企业特征、场景、业务、问题而给出一个答案,或泛泛而谈,或引导大家形成一种固有的、希望达成产出结果的思维认识,那是不负责任的,也不是我本人坚守的原则。所以,我们必须搞清楚什么是“可落地、可持续、全面性”这一问题。
02.理解可落地、可持续、全面性的内涵
这个问题,平时讲的人很多,但真正“理解”的人不多。讨论之前,我们先建立一种观点,是后续分析、去除“迷、惑、卷”的前提。
首先,企业中的管理,很多通过制度、流程、监管表现出来,但并不意味着每个员工必须按照设定,一步一步地操作才算做执行。严格意义上,实际是“遵从”之意,监督、监管是通过最终结果、过程结果,对遵从性的检查、分析与印证,只有结果才是事实。
其次,监管并不等于人盯人。在我看来,监督、监管是最低效、无奈但又不可或缺的措施与表现,最好的方法是,用“确定性”去引导员工主动遵从。譬如:标准化规则是确定的,表单是确定性的结构,仪表是确定性的工具┈┈。确定性,指的是用达成共识的规则,减少个体主观上的判断,在确定的基础上,最大程度释放灵活。
再次,不能认为有了确定性的规则,就一定有期望的理想结果,但至少意味着,只要遵从了规则,产出就能够基本满足要求。所以,执行力首先是设计出来的。
(1)理解可落地
基于以上的观点,“可落地”取决于3个方面:一是设计,二是执行,三是结果衡量。企业中的管理,都离不开这三点。我把可落地性归纳为以下衡量标准:
第一,设计要接地气,要符合现实以让员工理解。所以,设计之后,管理中会产生管理手册,手册不是告诉员工怎么做,而是告诉怎么理解;第二,要用最大的诚意,引导并尊重员工人性。每个人都有追求、向公、谋私的一面,公、私是在一定空间内相对而言的,有追求不意味着高尚,有谋私也不意味着阴暗,追求也是因私而起,大公无私之人有,我也见过,但极少。第三,要清晰地明确能做什么、怎么做、不能做什么。所以,体系建设才有程序手册、表单等工具,不要轻易责怪员工执行力,执行力是设计出来的,员工也是管理者选择的“人岗匹配”结果。同样道理,人岗匹配有没有设计出“确定性”选择标准,否则,你怎么认为匹配呢?靠领导感知与观察!太不靠谱了吧。
理解了对可落地性的衡量标准,怎么理解可落地、可操作呢?可落地、可操作相对执行者而言,从大的环境理解,体系也是一套规则。企业推行规则,是让当事者在适用范围内理解、掌握、记忆,从而形成习惯,在习惯中形成“事实”,意味着你的设计成果,已经转化为“事实规则”。管理如此,合规管理如此,内控管理如此,风险管理略有差异。
企业中的体系管理手册、程序手册、表单、模板等等,不是给自己建的,而是给别人看的、用的。员工不会拿着手册、流程、制度做事儿,能够偶尔被员工浏览、研学、理解,取得预期结果,能够拿出来作为证实过程、结果的依据,就意味着可落地、可操作。
(2)理解可持续
企业是价值创造的主体,所以,企业都有一个动态的、连续的、可重复的业务运作架构,年复一年地创造着价值。管理也一样,联系目标、把设想的体系进行解析、解构、组合,明确触发条件,用确定性的“控制”拉动体系分支运作,从而构成整体,即为可持续。二者之间的区别是运作节奏差异,放在更长的时间段内,道理一样。
问题是,设想的不等同于事实。要转变为事实,需要通过显性的、经过斟酌的、能够被大家所共识的方式描述出来。描述需要语言,流程无疑是最好的描述动态的语言工具。所以,制度与流程是解决问题的系统方案,流程是预设的做事儿路径,告诉大多人如何走、如何做、如何协作、产出是什么。流程本身并不神秘,神秘的是对超越于流程之上事理、逻辑、定式的理解与洞察。
流程对大多人发挥作用,当然也预留了对“能人”的灵活,能力强的人往往不愿意走寻常路,可以另辟捷径,但必须透明。既然设定好的路径不走,又不愿意透明,那就别出现摔下来的结果,如果仔细总结一下,企业中已经构成“摔倒”事实的,很多都是“能人”。如果必须让能人也走流程怎么办?设置“关键点”,让你绕不开、躲不过。所以,不管是风险管理,还是内控管理、合规管理,意在“关键”的把握,重在设计。
决定可持续的是流程、触发条件、关键点产出物、控制。你大可联系企业实际,分析一下是不是这么回事儿。需要说明的是,流程只是降低对能人的依赖,并不意味着企业对能人、优秀人才的追求。
(3)理解全面性
风险管理、内控、合规、安全、保密、质量管理中经常出现“全面”二字,怎么理解呢?会不会存在矛盾?
理解一件事儿,特别是管理,不能僵化,所有的事儿、所有的人,都有一个标准化与个性化的关系。标准化我们可以理解为确定的法规、制度、流程,也包括流程活动中的活动规范。
标准化之外的个性化,往往是风险管理、内控管理、合规管理的重点,这时候的个性化,也意味着“全面”。管理中一些说法,一定要用“相对化”来理解。试想一下,没有标准化的“确定性”,仅仅依靠风险管理、内控、合规管理,会是什么结果?效能一定建立在能力的基础上。
所以,我一直讲,全面风险管理体系建设的本质是构建两层能力结构,第一层即标准化过程形成的能力,第二层才是显性的风险管理工作。不要直观地认为风险管理、内控管理、合规管理能够包打天下,更不要因导入一套新体系、新方法,而把企业几十年的经验、管理积累“归零化”。
03.迷、惑、卷表现在哪些方面
光阴似箭,曲指算来,央企推行风险管理已17年有余,内控管理15年,合规管理也5年了。作为贯穿全程当事者谈谈体会,且不说企业是否真正弄明白三者与管理、三者之间的关系与逻辑,也不谈他们的实际效能,到目前为止,笔者所处的包括近百位的风险管理专家群里,到现在都没有完全一致的认识,甚至还在讨论谁包括谁的问题,令人唏嘘不止。
(1)风险管理之迷的表现
企业推行风险管理之难,不在工作的难度,而在于管理者、主管者、员工之间的不同理解,建立在“模糊认知”基础上的工作,取得成效非常困难。
“风险”是一个名词,虽然COSO对它进行了“文绉绉”的定义,但我更喜欢用“找出你最担心出现或发生的问题,想办法不让他们发生”、“如果发现出现了问题,分析一下问题程度和变化趋势”来表述。想办法让员工理解你的想法,而不是简单地把定义推送给他们,也不要再去讨论风险与问题的区别,有成效才是你的追求。
人们更喜欢从风险的维度去思考“如何防范与化解风险的方法”,美其名曰,要提高可落实性,结果忘掉了“怎么管”。所以造成一种结果:主管部门要么建风险清单、要么要求其它部门做风险评估。
从原理上理解,这种做法似乎合情合理。但我们应该思考一个问题:对一个大型企业来讲,风险清单建的完吗?凭什么认为是风险?建到什么程度,才算清单?风险评估怎么实现?所以,这是一个无解之谜。至于按照书本目录,把功能冠以风险名称的做法,不谈也罢。
为什么出现这种现象?一是思维的单维性,就风险谈风险,忘掉了管理规则对“风险”的标准型控制基础。二是对风险管理的理论化理解占主导地位,没有向结合企业现实的具体化转化。三是没有找到让第一道防线发挥作用的具体方法,造成风险管理缺乏“管理”。
(2)内控管理之惑的表现
第一,造成内控之“惑”的根源,在于对内控的定义。内控的定义是基于外部监管推行工作的认识,本质不是“内控”本身的定义。从推动企业实施内控管理的主管机构来讲,没有问题,但放在企业内部用以指导工作,这种定义显然存在很大不足。前端出现问题,后端就会出现一系列失误,这就是一些企业为什么总感觉“不能落地、不可持续”的主要原因。
那怎么定义呢?在我看来,企业内控指的是为了控制经营风险、合规风险、实现经营目标所建立的各项政策、程序与规则。如果结合企业现实思考,是不是如此呢?针对特定事项发布的控制型、约束型文件是控制,企业建立的制度、流程是控制,流程中关键活动作业说明,是活动层次的规范化标准,也是控制。内控在宏观、微观角度,有不同的形式表现。如果您不认同这一观点,那为什么还拿着规则去监管、监督呢?
第二,不准确的理解,造成僵化的产出。如果对企业的组织管理比较熟悉的话,就能够理解企业组织架构设计的原则,包括4个方面:流程阶段与组织设置的平衡、安全与效率平衡、分工与协作平衡、协作与制衡的平衡。在组织与职责明确之后,企业、各部门会进行具体的制度、流程设计。
18项指引的组织管理内控指引,本质并非组织的管理流程。我曾在央企三个层级单位工作,也负责过6年的组织管理与变革,组织的变化与调整,属于“三重一大”决策事项,根本没有建立流程的必要性。该指引的作用,在于说明组织之间的分工、协作与制衡关系,即内控环境结构之一。内控也并非一定要用“流程形式”来表现。企业治理结构也是一样。看看自己的内控手册,如果存在这种现象,表明在认识上,就存在先天缺陷。
第三,风险内控矩阵。内控的建立,本质建立在对风险的认识与假设基础上,既然要建内控活动,认识的风险必然要具体、可控,基于流程活动的内控项,必须规范、具体且有针对性。如果建立在模糊的文字论述上,这样的内控不如不建,不仅不会落地,一旦落地还会造成管理混乱。流程中的活动型内控,针对的是整体产出的某个方面,而不是整体,针对整体的是管控,不在内控管理范围内,也解决不了,除非内控设立在规划、综合管理部门。
第四,有点儿不靠谱的流程观点。这一点与合规管理中涉及的流程管控清单异曲同工。现实中,我认识不少流程管理专家,他们很少敢讲用2-3年时间完成企业的流程建设,结果呢?流程管理机构不敢说的话,内控、合规管理机构全敢讲。如果做不到,就应该把重点放在“因事儿打磨”上,放在特定事项的任务型作业流程上更为现实。
第五,基于认识观点的做法,真能行吗?不知道从哪天开始,搞出了个“风险管理、内控、合规”一体化建设的方法。原理上,确实有“用流程承载各项管理要求”的做法,华为也是这么做的,但华为用了近30年,花了大概300亿资金才实现,关键还在于这样的流程,必须是“系统性的”,即便如此,很多风控类工作,也反映于显性的活动和结果。
其实,仔细思考一下,就会找到答案。这种观点不能说错误,但必须有系统化的成熟度比较高的流程管理为基础才能成立,如果拿内控梳理的流程,你认为流程管理是那样吗?客观讲,国资委提倡的是,利用风险管理、内控已有成果,实现治理机制、资源的共享和利用。企业能做的是,尽可能在已有流程中统筹兼顾。
(3)合规管理之卷的体现
有时候,在与客户谈项目时,特别害怕他们基于模糊认识、通过培训了解而事先设定一种要求的结果。为什么呢?
解决问题之道,首先在于对问题的认识必须正确,其次要清晰追求的目标,目标不是结果的表现形式。一旦画好框框,等于限制了寻求方法的空间,然后客户还期望实效。所以,必须搞清楚你需要的是结果形式,还是期望的效果目标。
第一,合规风险,这种说法准确吗?恐怕发起思考性的质疑,也许就笔者一人,管理就需要坚持“质疑”观。合规,是一种笼统的结果反映,从外部看企业,外方的观点是企业的“合规风险”。对企业来讲,包括两类:一是法规、政策风险;二是管理风险。前者对外,后者对内。企业理解来自于国家部委的管理办法,不应该是照搬照抄,而是要转化为企业的认识,能够做到这一点的,与职务、级别的高低没有关系,而在于“用心、用脑、体感”。
第二,合规管理就是理清单、建体系吗?体系、清单是ISO37301中的基本内容,但如果企业合规管理仅仅满足这些内容,这个体系一定是静态的,能够反映合规管理还存在的唯二活动,就是年度合规管理评价、培训。这就是很多企业合规管理部门完成了建设,不知道后边再做什么的原因。
第三,作为企业的合规管理部门,应该思考的是风险清单、合规义务岗位清单,无论是分开还是反映于整体,在保证必要性的条件下,是越多越好,还是越少越好?我曾见过一个企业,清单厚厚一大本,A3纸横着打印,字体小到看不清,放大字体,A3纸不够用。这样的清单放在哪?也只能存在于计算机中了。但有一个结果是确定的,无论放在哪,除了证明合规管理部门做了些工作、应对上级检查之外,很少会有人看。
严格意义上,合规清单应该越少越好,越管用、好用越好。但为什么企业合规清单那么多呢?而且还很难发挥管控内规风险的作用。只有两种可能:一是对合规管理的理解存在局限性,也没有细分,仅仅停留在对合规标准、办法的认识、直观判断的基础上,这种认识是不稳定的;二是企业内部的管理太弱了,弱到连制度都不完善。
问题出在哪?在于没有理解外规、内制、规则与合规清单的关系。清单只用于“内建制度”需要的成本高、收效低、应用少,但风险高、可能性又很低的领域。你见过企业“用制度、流程强化外规遵从”的实例,见过多少用“清单”做管理的企业呢?所以,外部法规、内部制度、合规清单之间,有一个指导、约束、统领、落实、转化、补充的关系。
不要认为清单数量少,就意味着合规管理工作粗放。恰恰相反,企业追求的不应该是为建清单而建清单,而应该是坚持必要性原则,以通过管理不断减少、消灭清单为追求目标。就好比人人都仰慕丰田的可视化看板制度,但却不明白丰田追求的是消灭看板;就好比人人都认为组织扁平化更有利于管理,但事实上,组织层级越多,管理越简单;组织越扁平化,对管理技巧的要求越高,之所以追求扁平化,是为了追求效率。有时候,直观看到的,大多人都认为是对的,不一定是正确的。
04.匆忙的结语
很想与大家探讨如何解决风险管理、内控管理、合规管理中的一些常见问题,但篇幅太长了。风险管理要把握住面向未来的规划、计划、过程分析、重要阶段关键点做文章;内控管理要把握住“具体化、规范化、可操作”的度,不再赘述。重点讨论合规管理的清单问题。
要把握好清单的度,首先要理顺“公、私”的相对关系,把握好企业中特别是管理者的一个履职原则:只要企业没有明确权限、没有明确限制的内容,在职责范围内,管理者都有采取行动的权力和义务。所以,才有了合规清单进岗位之说,因为,通常情况下,企业的组织职责、岗位职责、流程活动描述,缺少这些内容。
第二个原则:能用企业内部制度、表单、模板解决的,绝不用清单解决。制度、表单、模板是确定性的标准化体现,是管理能力的体现。清单发挥的作用是:解决用确定性解决不了的问题。因为,一个法规,用拆分清单的做法,反而会导致问题复杂化,何况企业面对着多少法规呢?管理追求的是取巧、有效、简化、明确。解决违规风险的制度、表单、模板、权限、流程活动规范等,就是企业控制违规风险的措施。
第三个原则:合规管理对齐的,永远是直接遵从的规则,不可跳跃管理层级。这是从外看管理的问题。只有通过内部管理能力不足以化解外部法规、政策、制度风险的情况下,才可以直接对齐外规,但不影响作为员工的学习、掌握资料。本质是处理好合规管理与企业职能管理之间的关系,这就是我总讲的要结合企业的现实。
第四个原则:把握好合规管理中的风险清单与对应风险控制措施的关系。风险不是取一个“模糊”的名称,比如安全生产风险,而是要以规则为导引的具体化。具体化的风险反映为对应法规、制度中的“底线、红线”,底线是有条件地做事儿要求,红线是“不得、严禁”的反映。对应到岗位,就构成了岗位的“微观限制性规则”。需要区分好风险与处罚的关系,风险因规则约束而生,处罚因造“势”而存在,二者不同。这样做最大的好处是:最大程度降低了“没有意义的风险描述”漫天飞奇观,员工更容易理解、接受,效果更好。
对应的风险控制措施怎么陈述呢?要告诉员工怎么做,有表单控制的,就是表单;有模板控制的就是模板;有操作规程的,就是操作规程;有作业流程的,就是流程。目的是把员工的行为,永远导向到确定性规则。
