01.做好风险管理要从清晰逻辑开始
在近期若干次央企、国企的年度内控、合规、风控培训中,我极力向他们阐明要用系统观,从整体去看待内控、合规与风控的逻辑,导入分工的理念,结合制度、流程基础边界条件,联系企业中大家能够看得到的日常工作,努力让大家理解他们之间的关系,找到切实可行且对企业富有借鉴价值的行动路线。
所以,我在培训中一个个地推出结合自己长期实践与系统思考,总结、归纳出的基于风险管理的“管理模型”,目的是让主管部门少走弯路,少沉迷于理想化的理念和方法,毕竟,主管部门进行的体系策划、系统设计、工作方法、手册等,是为了让别人理解、认识、执行,从而构建富有实效的持续运作机制,让风险管理产生价值。
对风险管理主管部门来讲,掌握风险管理的理论、理念与机理,是开展工作的必要条件,但并不意味着其它部门也能达到这一程度。所以,推动内控、合规与风险管理,不能用文件的表述方法、常识去培训、去开展工作,而应该站在“执行者”需求的角度,转化为“确定性的活动”,这就是风险管理与实践的结合。
比如:谁都知道风险管理是对“不确定”的管理,但是,你用这种表述开展工作、培训,无异于毫无意义的废话。不确定的另一面是什么?是确定。所以,风控实践要区分开确定的、不确定的,回答造成不确定的原因、准备怎么做,不就转化成可理解、可落实的行动了吗?
至于风险的机会与损失特征,完全属于从“风险单维度”认识而形成的一种“学术性”见解,还原到企业实践,绝不能这样认识与传播。企业的发展、扩张与增长,来源于机会的认识与获取,而不是风险。所以,企业中风险只有“负向”而没有正向,毕竟,企业不是搞理论研究的地方,实践不能模棱两可。
再比如:企业部门让下属员工进行风险评估,风险评估的结果是用来做什么的,是要规避、承担,还是要辅以更多资源?不同环节风险评估结果的利用,其目的并不一样,需要有匹配的管理措施。
所以,风险管理是“管理”而不是监督,随着目的、场景、事项性质的不同,表现为内控、合规、风控等管理活动。不然,不成了为风险评估而风险评估了吗?
大多企业有一个习惯,有一项任务部署一项工作,缺少整体看问题、整体进行布局的思维和做法,或者由于出现多头相关工作的部署问题,于是,希望通过一种方法解决几个问题。
为什么要强调逻辑?在我看来,内控、合规、风控都是风险管理这一“学术词语”的实践分支和表现,是基于不同目的为导向,从不同维度所形成的管理理念与实践方法论。
企业中的任何管理,都需要先有逻辑认识,然后结合实践推演、设计、布局,再形成做事儿的指导、约束与方法,才能转化为行动与应用,才能做到系统地、有条理的工作,才能形成可持续的工作机制。
怎么理解呢?其实很简单,对企业来讲,无论强调与不强调内控、合规、风控的必要性、重要性都不重要,也不过分。
管理风险之于企业,本身就是不可缺少的必要工作,即使你不去组织开展风险管理,都不能否认潜在的控制、习惯性的合规与风控的存在。
潜在、习惯性做法,往往表现为不系统、不稳定、不规范、不显性,或缺乏可重复操作性,所以,需要通过推行风险管理弥补这一缺口。
风险管理是一种管理,有别于现场中基于经验的风险判断。基于经验的风险判断,只是风险管理中的一个活动表现,但不要误认为风险判断、措施弥补就是风险管理。
为什么同样的来自于外部的风险事件,对不同企业的影响结果并不一样?是因为不同企业之间的抗风险能力不同。抗风险能力来源于各业务域“管理体系”的健全与有效,而不是风险管理。
风险管理之成,一方面在于对风险的不断识别、控制、化解与防范,另一方面在于对管理风险并证实成功的经验进行总结,从而转化为确定性的制度、流程或知识,即所谓的用确定性管理不确定性,用确定性管理执行的不确定性。
所以,企业中的制度、流程、标准、表单、模版等能力表现,既是企业达成绩效的保证,也是风险管理效果固化的导出,构成了企业风险管理的前端边界条件,形成了一个企业级的“能力建设”大闭环。
02.原则指导风险管理系统,管理决定行动
在培训中,虽然我极力引导用系统观看待内控、合规与风控,但是,如果我们把风险管理看做一个体系或系统,还有一个更高的层面问题需要回答,即企业风险管理体系建设的指导原则。
指导原则并非封闭于风险管理体系内,而是来源于企业的战略指导与约束,决定了企业风险管理体系的特性,以及风险管理的范围、模式、重点、方法的演变。
为什么不少企业的风险管理徒有其“形”而无其“神”,把风险管理变成了根据日常认识、资料而转化出的“文章表达”?把内部控制变成了理念流程、原理流程下的常识化描述?把合规风险评估变成了一套法规遵从下的静态表格?问题全出在实质性指导原则的缺失或不清晰,出在了对管理的认识局限。
事实上,企业只要有追求、只要有追求绩效的做事儿意愿,就存在不确定性,企业不能完全寄托风险管理去解决一切问题,风险管理的效能,永远建立在业务管理有效性的基础上。所以,企业中的制度、流程、标准,是企业内控、合规与风控的前置边界条件,规则越完善、越合理、越有效,管理风险的难度越小。
企业风险管理的迷惑,还来自于对“全面”的僵化理解,全面,是一种理想化追求,也是一种“相对性”的表现。相对性,来源于以战略为导向的指导原则。
指导原则应该确定风险管理的导向,比如,以“绩效、安全、质量”为导向,然后通过定义,确定三者的内涵,界定“全面”的边界。企业总不能一直靠“覆盖全组织、全流程、全员工”的口号来开展工作,这样的口号喊再响,能有什么意义呢?只能是越来越模糊的一团乱麻。
就好像人们所迷信的内控、合规、风险管理一体化建设方法一样,其成立的条件,建立在“成熟度非常高的从整体到分支、从顶层到末端的流程管理体系”基础上,是一个长期的锲而不舍的过程,而不是大家日常看到的“片段”化流程。流程管理的难度与复杂度,要远高于风险管理体系的建设。
既然条件都很难成立,这种美好的方法,又有什么实现的可能?何况,把内控、合规、风险管理放在一起看待,恐怕本身连三者之间的功能逻辑都还没搞明白,那又怎么让其他部门、员工执行呢?管理职能部门的价值,在于自己的产出,能够被别人接受与应用,而不是只能留置于自己手中。
为什么我说管理决定行动呢?管理的目的在于转化为行动与应用,既产生于基于事理、风险认识的制度、流程、标准建设,又产生于管理界面希望目的的达成。对内控、合规、风控而言,企业主管部门应该用“管理”的思维去构建体系,而不是用“问题思维”、“事项思维”去开展工作。
目的的达成,并非提出“管理要求”就能够被其他部门、员工所理解,更不是用“专业术语、学术用语”去推广就能被接受,需要从“执行者需求”角度,辅以必要的工具、表单与模版,尽最大可能让执行者的产出符合要求,即标准反映结果,让评估结果的应用与管控符合逻辑,从而实现“一致性”管理。
管你所管,放你应放,同样适用于风险管理。构建好企业级对风险的管理逻辑、设定好风险信息的处置流程、确定好各部门产出风险信息的标准、绩效考核标准,是“管理支持”的表现。
在满足产出标准之下,释放各业务管理的灵活空间。配合各业务部门做好内控、合规、风控运作的模式与方法,是风险管理主管部门“管理服务”的表现,问题是要具备理解业务、掌握风险管理机理、拥有必要的沟通能力为条件。
为什么我说内控、合规与风控是风险管理的分支?他们虽然有不同的目的导向,但具有共同的机理与规律:都需要找到“确定的要素”、分辨“事项的例行性与偶然性”,风险解决措施总是从“措施的确定性优先,逐步趋向不确定”。
对内控来讲,确定性要素来源于“管理要求”;对合规来讲,确定性来源于“规则要求标准”、“监管与查处标准”;对风控来讲,确定性来源于“影响目标稳定的风险要素”。
无论是管理还是风控,首要的是要区分事项是否属于“例行”,例行的用规则管,必涉及内控,目的是预防、防范、发现并控制风险;偶然的用“措施”管,因为,偶然的必然是感知、发现到了问题苗头,当然需要进行风险的趋势跟踪与监视、预警与干预,以遏制风险趋势;还有一项基于决策型选择的风险管理类型,是管理与风控合成的表现。
比如,合规风险评估结果就属于这一类型,其结果表现为关闭、承担,选择承担的,需要有“对应管理措施”,以保证风险的关闭;直接选择关闭的,意味着风险可能性极低。合规风险评估,既不是刻意地为了“汇总出一份合规风险表格”,也不是为了提醒执行人“风险”,而是要“想办法关闭掉风险”。不然,怎么叫合规风险管理呢?
需要说明的是,无论哪一种模式或类型,基本都可以转化为不同程度的“例行”,企业的风险管理,绝不是每年“雷声隆隆,过后下点毛毛雨”,而应是润物细无声。
无论是管理还是合规管理,都需要首先解决好“对人的行为管理”,虽然合规管理涉及组织行为、员工行为,但最终都会表现为人的行为。
对人的行为管理,并非通过单项工作就能解决,需要通过诚信与行为准则、岗位职责、处罚标准、激励标准等规则的形式实现。合规管理也并非只有“追责、处罚”,需要建立良好的导向制度,形成激励中有约束,约束中有激励的互动机制,才能取得成效。
03.结语:监控、监督与查处
在风险管理实践中,出现了太多的“奇葩观点”,有人提出几位一体的建设方法,也有人提出几位协同的建设方法,客观讲,对风险管理而言,只要符合体系原则,只要你认识到的职能,你大可无限延伸到“X位”也不过分,但协同的说法,是有条件的。
很多时候,看似大家都用一个“相似语言”表达,但其中的内涵、程度、产出、质量,根本完全不一样。
协同建立在不同职能之间的“稳定协作”上,前提是不同职能必须具备流程能力,流程必须基于整体设计。协同关系,反映在不同职能主干逻辑流程间的阶段,通过流程中具体事项流程中稳定的、标准的接口设计实现,当然需要达成满足一定程度的共识,而深度协同,还需要实现角色间的“稳定协作”。
协同,说起来简单,但却是企业“打通流程”的最难所在,需要有强烈的“全局观、系统观和大局意识”,需要经过不同立场者的博弈才能达成平衡。
为什么出现了这么多的“高效”方法?原因是,人们总希望找到一套“包治百病”或“一劳永逸”的方法,但是,真正有效的是对事理、逻辑的深度理解,对所用方法成立条件的健全与完善。
我们谈管理,首先在于设计的正确性,才有被接受的条件;其次在于设计的可行性,才有被落实的可能。
有了正确、可行的设计,是否意味着执行、结果呢?离不开责任的确立、必要的监控、监督与查处。
监控、监督与查处的用法,对企业来讲并不陌生,但真正搞明白的并不多,很多都是依靠自我认知的习惯在运作。
监控包括监管与控制,责任体现于业务管理,监管基于业务,控制基于流程,由职能与责任决定。企业中的管理者必须承担绩效、监管责任,缺一不可。监管的主要目的并不是单纯为了发现问题,而是为了让业务做得更好、更高效。所以,合规管理中的合规审查包括监管,但监管不等同于合规审查。
控制体现于过程,具有控制功能的活动一定是内控,但内控建设不一定包括所有具有控制功能的活动。有些控制活动,由责任管理关系决定,是流程不可缺少的流程活动。
内控建设并非像通常的做法那样,在一个逻辑、原理或通用流程中划定几个控制点,进行“形”似的模糊描述,而是一个责任角色、控制依据、管理要求决定的风险要素、对应措施的匹配过程,是非常明确的“不需再研究的可执行标准”。所以,我总讲内控建设是一个“管理倒溯”的变现过程,哪里是通用流程的复制做法。
监督指的是专门监督机构进行的事后检查、倒溯、验证并获取结论证据的过程。监督的特点,结论必须建立在“事实”基础上,不能演绎、不能评估、更不能判断,反映的是客观性。所以,不能简单地认为监督是风险管理者,但是,监督所开展的旨在防范问题重复发生的案例分析、警示教育等活动,属于风险管理范畴。
查处也包括两层含义:一是查,通过监管、监督检查发现违规问题;二是处,即对违规人员的处理。关键并不在于查处的含义,而在于查、处责任的分离,监管、监督只具有处理建议权,而不具有对人员处理的决定权,决定权在于企业中的特定组织或行政管理组织。
管理是系统的,风险管理也是管理,所以,风险管理的布局也是系统的,体现在内控、合规、风控进一步分工、内化后的逻辑与结构布局,当合理界定各结构的边界与关系之后,企业会发现制度、流程、内控、合规、风控、监管与监督之间,既有了清晰的基于不同目的的功能,又有着不可分割、互为利用的逻辑关系。逻辑,产生于有目的、有方向的推理,但实际运作起来,不一定是前后关系,而是交叉、迭代关系。
那么,合规管理中的法务职能处于什么位置呢?是企业为了解决法律风险而设置的专业职能,但是法务职能不等于法律法规等外部规则数据的管理职能,也不等于承担企业中所有的法律遵从职责,守法责任仍在于各业务部门,法务发挥的是在重大环节的“专业保证”作用,常见于专业能力控制,以及法律维权的组织职责。
对企业来讲,同样的管理职责,由不同职能组织承担,可能会表现出不同的结果,由立场、视角不同而造成。就好比合规管理一样,从法务的视角,大概率会将合规管理导向“守法”,因为,法务追求的是“合法结果”,所以,会形成基于外部法规的义务清单和看似一致的运作机制。
如果从管理的视角,大概率会把合规管理导向“外规的导入、内规的匹配”,形成外部合规、内部合规相结合的机制,会反映为用内部的管理、规则取代外部法规的努力,但又不会损伤外部法规政策的作用,并在执行层面与责任紧密结合,因为,管理追求的是“用过程保证结果、用确定性保证过程执行的正确性”。
“致信金融资讯”致力于尊重版权,部分信息来源于网络,由于一些原因未能找到原作者,转载是出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。如有涉及版权请及时与我们联系,我们会尽快与您协商解决!投稿邮箱:779898565@qq.com 微 信:13933885213。
