在设计全面风险管理体系时,我们利用十步法。
第一步是现状调研和总体评估。这里就不多说了,诊断二字就可以了。
第二步,风险管理体系框架设计。首先风险管理体系与集团战略、集团管控之间的关系,集团战略决定集团管控,风险管理体系是集团管控的其中一个分支,这是我们大家要明白的,它们三者之间的关系是什么。风险管理在整个集团管控里面,是一个组成部分,那么集团管控,是战略的一个组成部门,所以他们二者之间的关系,就是这么一个母子孙的关系。
其次是风险管理建设的基本框架,就是一个文化,一个信息系统,所以风险管理的环境,尤其是风险文化的建设,风险信息系统的建设。风险信息系统不仅在ERP里有所表现,而且各种子公司的风险管理部,给母公司风险管理中心上哪些报告,母公司的风险管理中心给风险管理委员会上哪些报告,风险管理部门如何参与到各级会议里去,如何协助决策,都是这里面的一个组成部分。
最后,风险管理组织怎么设,风险管理组织怎么运作,作为一个组织和流程。这些设计完了以后,整个风险管理体系的基本框架就完成了。专门就是风险方面的一些认识、理念,一些行为等等。那么这是风险管理当中,各级组织,母公司下面有风险管理委员会,另外有风险管理部门,公司层面上有风险控制的部门,
在子公司里有风险控制的部门,就是子公司风险管理部或专员,在信息系统里面有风险管理的派驻机构,这样的话,风险管理部门才是完全的。另外呢,外部还有中介机构,外审等等。
第三步,风险信息系统的建设。首先是风险基础信息收集,整个所有其他公司发生过的风险,历史以来的风险的法律法规,风险管理方面的各种文件,做法全部收集在这里,另外整个公司的风险地图,就是公司面临哪些风险,所有罗列的风险全部画出来,另外风险数据库,把各种风险初始信息全部收集上来,甚至按照风险感觉宇宙,分门别类,你看成根目录就好了,一个目录,然后就不断地在这上面填空,发动各级员工,公司外部内部的,全部去收集,然后风险识别。
第四步,风险的识别和评估。首先是对内部风险、外部风险进行识别,具体识别手法可以有这么一些,比如头脑风暴,一些人坐在这里,我们法律上有哪些风险,大家一说,一个人记录,差不多就下来了,不是说这些记录下来就可以了,记录下来的都是原始记录,可能有些逻辑表述不清,还有些包容关系,母与子的关系,还有一些不搭介的等等,还要再识别。
其次是对风险进行评估,那么风险识别出来以后,对风险进行分析,这个风险它的成因是什么,类别是什么,这个风险可能发生的可能性高低,破坏性高低,对风险进行分析。
最后,把所有的风险根据它的影响度和可能性进行进一步的分析,最后对风险进行评价,这是刚才的风险分析。风险分析出来以后,比如说所有落在蓝的里面的都是重大风险,但是即使是重大风险,我们仍然要进一步打分,不能说重大风险都是等量齐观的,还有风险一,风险二,给权重评分,把重大风险找出来了。
第五步,风险管理策略。风险管理策略就是整个公司面对风险的基本的态度,为什么要制定最基本的态度呢,因为如果太害怕风险,对公司不敢向前,也有问题,太不害怕风险,傻大胆,基本上它的成功就是概率事件,我们认为首先要建立一个风险管理策略。
风险管理策略标准有三个,一是风险偏好,风险偏好在这里特指公司风险偏好,而不是个人风险偏好。有些大胆的领导,被分配到一个胆子很小的公司里去,行业很谨慎,千万不能出错。因此有些行业本身是低风险偏好的,不能冒险,有些行业是高风险偏好的,必须冒险。二是风险承受度,不同的公司风险承受度不同,不同的行业有不同的风险承受度,有些行业根本承受不了风险,风险太敏感了,放大杠杆倍数非常高,一下子就把你推垮了,而有些行业完全不所谓,有很强的风险抗击能力,比如说那种两元店,哪怕世界毁灭,两元店都干不掉,我在两元店里可以买到很多东西,甚至一元店里面可以买到非常好的指甲刀,像那种指甲刀,正常买的话要7、8块钱,甚至十几块钱,777牌的,我就可以在那里一元钱买到,而且一看,一剪就知道是正规牌子,它通过供应链,它的处理,总之把价格降到这么低了,有绝对的风险承受度。三是风险管理的有效性标准。要把风险管理到什么程度,有些有效性标准过高。
以上这三点是企业的最基本的出发点,这三点和企业所在的行业、战略、领导人、管理风格、文化,甚至宏观环境有绝对的关系。有了这三个以后,才谈得上企业的风险策略,风险策略就这几个东西,一是不设防或有计划地风险承担或者有计划地承担。二是少冒险或低风险。三是对冲。如果同时承担多个风险的话,风险与风险之间可能本身会互相抵消,我们进行风险组合,举一个最基本的例子,比如说摩根史丹利从华容手上买了30亿元的资产包,它就是典型的一个对冲,因为有些资产肯定是死资产,盘不活,但是毕竟会有些资产盘活,一旦盘活,那我就赚了。四是风险补偿,就是用风险补偿机制进行创新,风险补偿讲得很简单,如果要让承受高风险,必须高回报,如果让我低回报,必须低风险。最后风险控制,控制风险因素或发生的频度和程度。因为风险控制不住,所以只好控制风险因素,就风险的造成因素进行控制。具体就风险策略来讲的话,只能说这几大类是最具代表性的,不是说整个风险就这六大策略。
第六步,设计风险控制计划体系。简言之,就是整个公司所有的风险全部找出来以后,辩证性地分析,固定的风险我们就把它内控化了,就不管了,哪些风险设置到哪些部门,财务部、人力资源部,各自涉及到哪些风险,所涉及到的风险,从部门层面编制控制计划,当然这里的部门,也是指子公司,它的风险,只不过子公司的风险,需要单独再做一套。
部门层面设计风险控制计划,最后汇合成为公司风险控制计划,这很简单,当然不是简单加总,沿用我们刚开始讲的思路,总体层面,总部层面还有一些风险控制,各个部门层面有些风险控制。具体的风险控制计划,所有的风险控制计划,由两个部分构成,一个是内控方案。这里只需内部执行方案就好了,否则会引起歧义,先内部执行,因为有些是可以内控化,有些没法内控化,只能说内部执行,还有些风险要外包掉,风险的检查、管理。另一个是建立一个预警体系,预警体系在执行过程当中,最简单的预警就是,根据财务报表,根据数据,连续两三个月没达成目标,偏离目标的,我们就进行行动,但是广泛地来说,预警一直可以预警到先兆、因素。
第七步,导入全面风险管理体系。体系设计完后、方案写好后,并不意味着企业按这个操作了,其实企业里面导入一个体系是非常麻烦的,要把体系切换进制度,各种工作和岗位挂起钩来,原先的考核流程发生改变,动员等等。
体系导入以后,整个企业就建立了三道防线,第一道防线就是日常,由风险管理部门、内审部门和业务部门共同完成的,事前、事中的风险管理。第二道防线就是风险发生了以后,风险管理部门报告给风险管理委员会,这个事已经提到议事日程上,最后一道防线就是审计委员会和审计。
现在有一种做法是错误的,就是把风险部门和审计合并到一起,好就好在很直接,坏就坏在,如果这两个部门合并到一起,等于是一次性地通过两个人,相当于后卫当守门员,如果绕过后卫,基本上这个球就必进了,理论上这个防火墙应单独设。
第八步,各种风险处置方案的实施。企业里面一般会把前20大,或者前30大风险,每一个建立一个预案,这个风险用哪些数据来衡量,一旦出现了以后怎么管理,或者事前、事中怎么管理,领导人是谁,每一个领导人管理两三个风险,等于风险有分管领导。除了前30大风险会分别建立风险管理手册以外,后面的大类风险,用类来管理,这一类的怎么管理,而不会说具体的后面的31到50,51到80,那基本上就垮掉了,完全管不过来。每季度,至少每半年重新对风险排个队,罗列一下,排一下权重,看风险的高低。风险管理处置方案的实施,就看实施得是不是到位,是不是有效,在实施过程里面再检讨,主要就是PDCA。
第九步,持续进行监测与评估。整个风险体系导入了,但是执行体系的有效性如何,对它的有效性进行持续的监测与评估,提高执行的有效性。
监督和改进就是执行自我检测和自我评估,风险管理实施的有效性,发现并传递重大风险管理缺陷,根据变化加以改进,持续提升风险管理水平。我们要注意的是,它是个长期工作,不是短期内能完成的,它要求所有人管理素质相当高,基本上不是基础性管理可以想象的,要求素质也相当高,要监督,要动态修正,风险事项和业务流程。
第十步,优化风险管理体系。进行风险管理体系特别是风险管理能力的提升,因为我们特别强调,风险它是有主观性,风险在企业面前并不平等,什么意思呢?风险本身并不具备绝对性,不同的企业,面对风险会给它打上不同的分数。
尽管我们没法改变风险,但我们可以改变风险管理能力、分析能力、识别能力、处理能力、控制能力,我们没法控制风险,提升风险管理能力。其实一个企业风险管理系统的建设的成功标志,就是风险管理能力的高低,越高,我对风险越有办法,持续优化。
从根本上来说,风险管理是个内控的升级版本,它是个战略管理的升级版本。另外它追求的是一种混合式的经营,将固化的风险内控化,将动态的风险进行动态的风险经营,就是有些可以处理的就处理,有些可以利用的就利用,这是总体思维。一个企业建立风险管理体系的过程,是由低到高,爬坡的一个过程,在这个过程中企业通过风险管理体系的完善、风险管理能力的提升,来提高管控风险的水平,而不是对风险怎么样简单地去加以管理和控制。