2023年12月29日,我国颁布了新修订的《中华人民共和国公司法》,其中第177条明确:国家出资公司应当依法建立健全内部监督管理和风险控制制度,加强内部合规管理。
2006年,国资委发布《中央企业全面风险管理指引》之后,又相继推动了央企内控、合规管理工作。沿着时间的脉络回顾,三者之间并非割裂,而是有着紧密的关联关系。前者构成了系统框架,后者是在系统框架下的具体落地构成,但不是全部。
曲指算来,国资系统正式推广全面风险管理体系建设,至今已有18年的历程。如何认识这些工作的成效呢?每个企业、每个从事该领域工作的专家、员工只能自己评价。
本文遵循实践应用,按照分析逻辑层层展开,是否会一改对全面风险管理、风险管理、内部控制、合规管理的看法呢?
01.先纠偏:听着很有道理的几点困惑
很多时候,看着一些盛行的“郎朗爽口”的观点,总有一种莫名的感觉,这样传播、演绎下去,会把企业弄得不知所措,甚至对原有的体系造成影响。
(1)不知道什么时候出了个“内控制度”的称谓!究竟是泛指企业中所有的制度呢?还是内控管理的专门制度族?是特指具有约束、控制特性的制度群?还是专指涉及几个指引方面的制度?连我这个曾在企业长期负责过制度、内控、合规、风控的人,都快被弄糊涂了。
能不能回归常态?规范化管理的企业,称谓是很严谨的,制度就是制度,或者哪位大师点拨一下迷途。如果说不清,建议“模模糊糊的新词”就别创造了,企业都开始追求精细化管理了。
可能有人说,国资委文件中也出现过“内控制度”这个词,公司法也用了“风险控制制度”。人家这些部委呀、国家呀,他们的法规、政策是面向不同类型的各种企业,或者某一领域内的企业群体,是系统性的制度,人家可以泛称。打个比方,国家还有一个名词“系统性金融风险”,咱一个企业,就别跟着套用凑热闹了,得学会转化。
(2)合规管理中的“合规审查”,在标准中确实涉及这个词汇,但在企业中,合规审查就是一道“纯纯正正”的内控节点。既然都追求公约化一体了,能不能称谓也统一一下呢?为什么还要“一个节点活动”两种说法呢?总不能一边讲“一体”,一边“分别讲”,那还叫什么一体化呢?其实,企业蛮好沟通的,真诚地有一说一,一讲就明白。
企业的管理,讲究的是“整体性”,这种不同维度的不同叫法,企业中一定要统一,又不是做学术论文。怎么统一呢?合规审查就是合规性内控,但内控不一定是合规审查,难道做内控建设,不对内控进行分类?那不成了“泛建”了,企业中的内部控制多了去了,就是泛建,也建不完,仅凭感性认识做事儿,那确实落不了地。
(3)企业中只要称为体系的,必须具有持续的运作性。持续运作,需要员工掌握操作技能,不可替代。风控、内控、合规都涉及风险评估,特别是合规管理,针对的是规则带来的属性单一的不合规风险,需要让每个员工掌握并执行一致化的评估标准,才具备可持续的条件。绝不是看看法规、制度中是行政处罚、追究刑事责任,还是经济罚款,然后就可以主观确认是重大、重要、一般风险?做工作,不能停留在告诉员工“要进行风险评估”,完成了手册就完事儿了吧,得告诉人家以后怎么做,体系才能持续。
奇闻异事儿、奇葩观点太多,不说了┉┉。我们一点点剖析“如何建立全面风险管理体系”的思路,其实,本文是一套系统思维、解构方法的运用。
02.再解构:确定全面风险管理解构关系与实现路径
到过一些企业,也跟很多企业中的老朋友们经常沟通,常听到一个说法:我们全面风险管理体系已经建完了,正在推动合规管理或内部控制建设。
其实,从这句话就能了解到,这个企业的风险管理一定没戏,为什么?没有真正理解全面风险管理。
国资委发布的《中央企业全面风险管理指引》,且不讲其中具体内容是否准确,因为,这个指引是基于2004-2006年筹备时的认识,如果现在去回看,有一些需要进一步完善的内容。但是,指引好就好在这个“全面”,一定意义上,超越了COSO当时的风险管理框架。
很多专家一直在研究风险管理与内控、合规的关系,作为学术研究可以做一做,但放在企业的应用实践中,真没必要,企业要做的,就是如何酝酿、如果建体系、如何实施、如何运作、如何评估、如何治理、如何评价。那么怎么看待全面风险管理呢?我把整个工作的分析思路层层地呈现出来。
首先,必须理解 “全面”的含义。有两个维度:一个是空间,即企业全范围的风险管理应用;二是角色,企业中所有员工参与风险管理。当然,这是一种期望目标,但并不妨碍我们一点点接近它。然后再看全面风险管理,代表的是一种“基于风险管理”的理念、模式,可以通过管理体系的方式表现出来。
其次,全面风险管理的核心是“风险管理”。风险管理是一项职能,履行职能有两件事儿必须做:一是体系与制度建设,二是确定开展的工作。工作必然通过“活动”表现出来,要考虑包括哪些活动,从而进行设计。
最后,要考虑企业中只要有工作、有管理痕迹,必然存在风险,否则也无需管理,风险处处有。这种认识或状态,是一种清零化的思考方法。所以,企业风险管理的期望目标是“最低程度地管好不期望出现的风险”,最好是“没有风险可管”,只有这样,员工才能更好地、专心地创造价值,也就意味着风险管理发挥了最大效能。
很多时候,企业思考问题,不敢设想最终的“极致目标”,自然就找不到方向。正是这种思考,在很多企业中,就出现了“突出重点”的说法,这种说法有道理,但等于什么也没有说。
(1)找到了努力实现的期望目标,就要考虑:如何最大程度地让风险消失?风险是不确定性带来的预期结果状态,风险管理要管的是不确定性,而不是未来可能的风险状态,风险状态是预测的结果,是不可管理的,只有不确定性是现实的、当下的、可管可控的。那怎么管呢?
(2)风险管理最大的困惑,管理的是“不确定性”,当然需要用“确定性”进行管,总不能用不确定的方式去管理不确定性。那什么是确定性?
(3)规则,只有规则是稳定的、确定的、覆盖企业全面的。规则包括什么?企业用什么工具做规则载体,就是什么:有制度、流程、标准等。所以,完善的规则(后统称制度与流程)是风险管理目标实现的第一个假设条件。那么,如何让制度与流程发挥“管风险”的作用呢?
(4)制度与流程是基于实现期望目标而建的,有效的前提是符合外规,目标实现过程中也存在不确定性,管理这些不确定性的“确定性”是什么呢?内部控制。所以,内部控制是“控制风险”的解决方案。如何让内控具有确定性?
(5)让内控具有确定性的3个条件:一是执行内控的角色必须有“法理依据”,否则落实不了责任;二是要实施控制,必须知道“控制对象是什么”;三是必须掌握“控制标准”。3个条件构成了“内控建设的内容和可执行程度”。所以,内控是制度、流程中的“节点”,对应的是“确定的、具体化的控制规范”。内控是制度、流程中内含的“风险措施活动”,所以,不能给制度冠以“内控制度”的称谓。这就是我一直讲内控建设要具体化的原因,模糊化的描述不具有“确定性”。由此,构成了全面风险管理的第二个假设条件。
既然制度与流程中内含了控制,而制度覆盖企业整个范围,说明只要遵从制度与流程,就可以“消灭大量的风险,极大降低风险管理工作的负荷程度”,所以,完善的制度与流程,具备预防风险的能力。
但是,制度与流程是给人遵从的,人是最大的不确定因素,保证人遵从制度与流程的“确定性”是什么?合规管理。合规管理怎么做?
(6)让流程中的角色(岗位人员)知道必须做什么?底线与红线是什么?通过拆解制度与流程活动,找到对应的“合规行为清单”,让员工掌握与之关联度最高的信息。如果员工不遵从怎么办?日常监管、事后监督、过程接受举报,这不又回到“常规管理”了吗?这是全面风险管理的第三个假设条件。所以,企业中所有职能都有关联性,否则也不构成企业中的一个分枝,合以分为始,分以合为终。
这就是我曾经讲过的企业全面风险管理第一道能力的认识与来源(注:两道能力,属于天锦咨询独有研究成果,知识来之不易,大家可以用,但敬请尊重知识来源),归纳以下,实现风险管理工作最小化的假设条件包括:制度与流程建设、内控建设、合规管理。所以,我们可以得出两个结论:
一是严格意义上,内控、合规不足以成为“一个独立体系”,而是全面风险管理体系的结构构成,我们称为系统,二者都是风险管理的基础。
二是从制度与流程角度,内控、合规是可以紧密集成的,但这里的风险仅局限于“内控针对的风险”。有一部分重要性风险,无论如何,也“集成不了”,需要在必要的环节,增加“风险评估节点”,是“建立风险管理长效机制”的来源。
正是基于这种思路,你可以看到在航天科技集团公司:新型号、重大型号任务出场前必须进行“专题风险评估”,必须有出场评审会实施“控制”;重大新技术应用,必须有“独立第三方风险评估”。而每个专题评估,都明确设定了“必须评估的若干要素”,都是提高“确定性”聚焦化的表现。不然呢?总不能只告诉对方“必须进行风险评估吧”,那不就成了“用不确定性去管理不确定性了吗?”。
既然内控、合规管理预防了大部分风险,那风险管理还做什么呢?
(7)确实,我们用制度与流程、内部控制、合规管理,可以管理好企业中不低于“85%甚至90%”的风险,但企业面对的外部、内部环境是变化的,企业的运营也是动态的,怎么办?用风险管理去“管理不期望看到的风险”。这就是我经常讲到的“显性风险管理”,是企业全面风险管理体系的第二道能力。那么,既然是全面风险管理,如何实现“人人参与呢”?
(8)建立风险报告与经验反馈机制。让每个员工动态感知、发现的风险,能够在有效的时间、空间内,将风险信息快速与主管机构、风险管理机构 “实现沟通”,根据紧急程度,快速做出反应。是不是企业中经常出现的“报告”制呢?这也是一项机制。
至于体系的治理机制建设,由于篇幅所限,就不再写了。
03.结语:让风控、内控与合规可持续
很多时候,人们接受一项新任务,解决一个问题,视角往往着落于“问题本身”,自然就限制了当事者分析问题、找出根因、解决问题的空间。构建一个体系,需要建立在“企业整体”的视角上,而不是“问题”的视角,设想的目标,可以是“极致追求”。
企业风控、内控、合规管理,普遍存在一个奇怪的现象,很难保持持续。持续,并非每年一次的“内控评价、合规评价”,或者按要求进行的“季度报送”,这些只是体系中的一项“例行工作”,代表不了体系。持续,指的是“自动运作的机制”,就如前面讲的“型号出场前的风险评估、审查”一样,那就是机制。
应该思考的是,很多时候,企业听到一个“话术式的道理满满的培训”,接受了一个“新”的观点,就容易产生不切实际的期望,但观点不等于事实。譬如:“风控、内控、合规”三位一体建设,如果看到这篇一步一步的分析,你还会认为这种观点成立吗?有什么不切实际的期望,就一定会有奔着期望而来的不靠谱儿大师。但企业的工作,是要落实的,落不了地,自然每天无事儿可做,久而久之,领导就会有看法了。
即使我写了近5千字,也仅仅是全面风险管理体系的解构过程,实际运作中,还有很多措施,比如:哪些方面必须进行评估,呈现评估的风险结果。哪些分析,必须划分出“确定性、不确定性、风险清单”等等,不要认为不确定性就是风险,那是诱因,确定的与不确定性清单,管理责任、追求重点是不一样的。可持续,一定体现在“企业的运营、决策、信息沟通”上。
其次,我们必须认识到一个现实,不敢直面现实,工作就没法布局。是否敢于客观认识“年度内控评价”的效果呢?有两个原因:一是有限时间内,很难做到评价全面;二是不理解管理逻辑与流程,评价就会流于形式。所以,我总讲,流程梳理要做到基本能够支持IT需求的程度,绝不是逻辑与原理流程,这种流程必然无人问津、参照。
当年我还在央企工作时,曾与五矿集团主管领导一起与国资委沟通,国资委主管人员非常支持企业的做法,不要听那些“都是国资委规定、要求的”一面之词。风控、内控、合规管理,永远是企业自身的“主动行为”。是否考虑过把每年一次的内控评价拆解到一个年度呢?用时间换质量,用局部换整体,用交叉互评练队伍能力。机制化的内控,并非绝对以时点为标志,前后做的工作,都是年度工作。有时候,动动脑筋就能找到解决问题的方法。
让体系持续运转起来,取决于3个条件:一是前端的规划要可行;二是要有分类、确定性的方向与要素聚焦,以及明确的活动机制,让参与者明白怎么做;三是稳定的治理机制作为保障。你构建的体系就会持续运作起来,那才是真正的业绩与成就。
