01.如何看待全面风险管理
全面风险管理不是一项工作,而是一个概念,一种追求。包括3个含义:一是要管理好各项风险;二是要覆盖到企业的各领域;三是要人人参与。这3点看起来很渺茫,在现实实践中,企业也很难做到,因为这是一个理想型追求目标。
那么,企业进行全面风险管理体系建设,就需要考虑一个问题、设想一个预期:如何通过逐年工作的积累,向这个目标靠近,而不是热闹两年,又恢复原状,这就是体系的持续性。
其次,企业导入全面风险管理理念和方法,需要做什么?很多时候,人们把注意力聚焦到了风险的分类。风险的多维性,很难清晰地、无交叉地通过结构类别体现出来。其实,风险就是每个部门最不愿意发生的问题,把这些问题整理、分析,就基本构成了企业的风险清单。
在我看来,全面风险管理不是单纯的理论问题,而是应用实践问题。风险管理不能虚化,更应务实。前几天,与一个长期从事咨询的朋友聊天,他认为风险管理可能就是一个“伪命题”。
我的回答是:如果把风险管理理想化,认为每个人都可以不结合现实、成功地预测到各种风险,那它就是伪命题,猜中了也是偶然;如果每个人都用单纯的风险语言,把风险描述的模模糊糊,那它就是虚幻的。但如果每个员工能够根据现实中发现的状态,从趋势角度去审视、推理、认识,或者能够运用经验对现实做出判断,风险管理就有非常重要的应用价值。
客观讲,这一观点曾受到过不少学者、专家的质疑和纠正,他们的依据无非是风险与问题的区别,无非来自于文件、标准的认识。从应用角度看,问题处于萌芽状态,如果不加遏制,就意味着风险;所谓的风险,等到不能接受时,他就是问题。我们每一个员工,能够发现问题的萌芽并及时反映,能够依靠自身的经验,感知或判断出可能存在的潜在隐患、缺陷(风险),已经非常不易了!这就是理论与应用实践的区别。
02.全面风险管理的本质是构建两层能力
为了更好地表述,我们不再用全面风险管理的说法,内控、合规、风险管理本身是针对不同层面风险采取的措施,体现的是一种化解与防范风险的能力,也是管理能力的一种象征,这种能力体现在两个方面。
第一层能力:具备预防风险的运营管理能力,是决定全面风险管理效能的基础。企业中每一个部门,无论是职能部门,还是业务管理部门,他们承担的主要职责有3类:
一是构建体系化管理机制,通过制度、流程建设反映出来。在华为和一些著名公司,每个部门承担的规则建设、维护与执行监管的绩效占比达到了20%-30%的权重。二是完成好自身承担的工作;三是为高级管理层提供决策支撑。
那么每个部门与全面风险管理是什么关系呢?是达成绩效的抓手或措施,每个部门对内控、合规、风险管理承担的是责任与义务,但不改变其职责。如何实现呢?那是内控管理、合规管理与风险管理机制设计的问题。
规则的建设与维护,反映在不同企业以不同的形式表现出来,华为注重流程、制度,国企央企更侧重于制度。制度与流程建设的最基本前提是合法合规,即承载外部有关规则赋予的“合规义务”。
任何企业的员工遵从法律、社会道德是员工承担的公民义务。企业对员工的管理与约束,依靠的是“纳入企业管理范围内的规则”(当然包括适应性的引入),恐怕极少有企业直接把法律作为企业的管理规则吧。
这里容易产生一个误区,企业提倡和要求员工守法守规,与企业用规则驱动业务,监管、约束员工不是一回事。跳过企业规则层的合规管理,直接把外部法律、政策合规要求分解为清单的方法,不是不对,而是存在很大的缺陷,从流程上就走不通,形不成持续性(走通流程与画一张图不一样)。不然,企业还建什么公务用车、公务招待、出口许可等管理规则,是一个具体化的过程管理反映。
企业构建管理规则,是合规管理的开端,是企业提高抗外部违法违规风险能力的措施,企业合规义务与风险清单对齐的是直接遵从型规则。那规则不健全怎么办?有两种方式:第一,完善规则管理,但并不意味着单纯的自建规则。第二,直接对齐外部规则,但违规的风险程度不会降低,从长期看,风险发生的可能性也很难发生大的变化。
至于内控的建设,原理上可以延伸到组织管理。组织建设需要考虑三大要素:分工要求、协作要求、制衡要求。组织与职责划分的合理,本身就具有控制的作用。
每个部门建立规则,首先考虑合理性、可靠性。其中,可靠性体现在4个方面:可预见性、可控性、稳定性、风险应对性。预见、稳定、风险应对性,就是潜在的风险管理过程的结果。企业中,风险管理理念应用无处不在,但不等同于风险管理工作。规则具有天然的预防风险能力,内控也是这样产生的。流程梳理与内控建设,是为了让内控透明化、规范化、具体化。
部门监管规则的遵从、执行,本身就是合规管理、内控执行的过程,合规审核也是内部控制。企业规则管理的好,风险管理的压力就会大幅降低。客观讲,一个管理规范的企业,治理、合规、内控管理的好,不低于80%的风险基本都可控。
第二层能力:企业面对的内外部环境是动态的,风险管理就有了特定的含义,取决于企业的追求,这就是风险管理工作的体现。我们通过一个具体实例反映:一个真正“以客户为中心”的企业,其产品研发必然是以满足需求为导向的,所以,企业才有了需求管理。
需求管理,对大家来讲都不陌生,但了解运作机理的恐怕不多,其中不乏“内控”的存在。需求管理也有两层构成:一是内部能力与目标追求的关系,对齐的是企业战略,解决的是要构建什么“产品组合”;二是单品的客户需求管理,必须有来自于市场、销售人员的第一手需求信息、信息流转渠道、需求筛选与规划、多方协同参加的产品定义,对齐的是市场,通过“流程、表单”驱动。
那么,如果销售人员突然发现价值客户流失的现象,了解到一项新技术产品出现,对企业就构成了“竞争风险”,这种“问题苗头”的风险来自于外部,对客观、竞争对手现实的感知、察觉与发现,就是风险管理的作用,不可能靠“规则”实现控制。所以,企业的风险管理,管理的是规则之外的风险,化解的措施只能“内向化”。当然,市场竞争度不高的企业,这两项认识,也不会从风险角度提前表现出来,最终会成为问题。
但是,常规情况下销售人员承担的职责有哪些呢?销售产品获取订单、预测订单传递给计划、获取大客户需求并及时反馈给研发机构。他们本身不承担“发现新技术替代风险及防控的职责”,怎么办?风险管理的压实,反映在“责任的明确、绩效的评价”,又回到了管理,所以,风险管理本身也是管理。
风险管理不是仅仅停留在“要加强风险管理、提交风险管理报告”的说教或要求,也不是依靠的“风险分类”,而是管理与责任,体现在具体的、透明的机制与措施。
03.结语
客观讲,在不少人眼里,经常把风险管理看的没有什么作用,把内控与合规管理建设做成了一项完成上级要求的任务。其实,不是没用,而是没有找到合适的,能够让员工接受的方法,另外,这种“棘手、分散化”的工作,确实有它的难度,不亚于规划管理,但做好了,员工都会用,没有人会抵制能够帮助自己达成绩效的方法。
无论是内控、合规还是风险管理,从表面上都是化解与防范风险的作用,但现实中,最好不要过度彰显“风险语言”,有一说一、尊重现实,最好用行业常规的说法,让员工能够简单理解才是正道。
不用风险语言陈述的事项,并不意味着就不是风险管理,这一点在中国核电、中国航天表现的特别突出:中国核电用的是“状态发现与经验反馈”,旨在让每个员工把感知到的、发现的缺陷、问题苗头及时报告并迅速解决;中国航天针对新技术用的是“第三方独立评估”、针对安全生产用的是“安全隐患再评估”、针对新型号确定必须评估的要素项,用的是以“九新管理、问题解决”为导向的型号专项评估,旨在切断风险传播链,提高产品可靠性。
他们的共同之处在于,实现的方式都不是“纸面表述的文章”,而是规则,而且,都转变成了业务运作中的构成部分。
