标杆案例
风险管理体系为什么落地难
开篇
这篇文章最早写于2016年11月,原本是承接《中央企业风险管理指引》十年记(上篇)的内容,后来因故迟迟未发。转眼间已是二年过去……思前想后还是修改后发出来,不针对任何组织、个人和观点,仅仅是对于过去风险管理体系建设工作的一点思考。
正文
自2006年《中央企业风险管理指引》正式颁布,距今已经历了整整十二年。与十二年前相比,风险管理这四个字已经逐步深入人心,至少在大大小小的会议中、报告中、讲话稿中,“不确定性”、“化解(防范)风险”这样的词汇已经越来越多,风险管理再不是教科书里的专业词汇,而是很多人挂在嘴边的习惯用语。建立适合自己企业的风险管理体系,应对越发复杂的不确定性,已经成为很多企业家持续思考的问题。
可另一方面,在市场环境严峻、改革步伐加快的今天,很多企业的风险管理人却更加困惑了:越来越多搞风险管理体系建设的人感慨这个工作“形式化”、“边缘化”;很多人提到“管理体系”这样的词就会觉得“虚”、“飘”,觉得管理体系“落地难”;甚至一些企业的风险管理部门,不得不面对人员调整的问题……这种情况到底是如何形成的?体系建设过程中究竟有哪些常见问题?笔者根据过去的工作经验,谈一点粗浅的体会。
一、企业到底为什么要建立风险管理体系?
由于风险管理体系涉及的范围广、内容杂、程度深、层级多,而且可能涉及很多不同利益群体,所以多年来都将风险管理体系建设称之为“一把手”工程,可是“一把手”们到底为什么要建立风险管理体系,其需求在企业内是否充分统一,这对于体系建设影响是最大的。
站在股东及监管机构角度,股东长期权益最大化、防止内部人控制、防止舞弊和信息虚假、防止大股东侵占小股东权益(反之亦然)是根本需求,基于此目标的风险管理体系,侧重公司治理层面的风险管理体系建设,体系的运行需要大量信息披露、内部牵制和外部检验。
站在企业经营层角度,企业家们为了发展,往往更看重风险中机遇的一面,提高经营效率、降低经营成本、抓住市场机会是风险管理的主要需求,同时也要减少不必要的损失和损耗,还要踩紧合规底线。因此体系运行,强调底线之上的灵活性和决策支持,人财物要跟得上经营思路的变化,体系不仅要揭示风险,在关键时候更要告诉企业怎么样干才“行”、怎样化解风险,而不是束缚企业家的手脚。
站在D和国家的角度,希望企业(特别是国有企业)能够充分理解并贯彻中央意图,在重大事项面前与中央保持一致,切实维护国有资产权益,切实遵循党纪国法,重视三重一大事项。同时还要充分履行社会责任,支持国家在不同时期的大政方针、将其转化为具体的经济行为。因此风险管理体系侧重于纪律化、规范化、标准化,有一定的ZZ性,也有很强的中国特色。
理论上说,这三种需求都是恰当、合理的,但在实践过程中,一个企业的风险管理体系,如要同时满足三种要求,短期来看又是不现实的。换个说法,目标和出发点不同,风险管理体系建设的方式方法和落脚点就不同,如在体系建设过程之初不想清楚这些问题,而是把每个重要管理需求都融入体系,那就是风险管理体系建设最大的风险。
一旦出现这样的情况,可能导致体系在建设初期意见不统一;过程中,又会有不同的问题难以调和、难以克服;形成了一些成果,各个方面都会觉得自己的目标没有实现。反映在实践上就是开篇“轰轰烈烈”,过程“劳民伤财”,成果“无疾而终”。形成了一大堆的手册、制度、流程、系统,哪一个也无法长期起作用。又不能推倒重来,于是就在那里搁置着,食之无味、弃之可惜。
二、到底什么是风险管理体系的问题
这个问题问的有点傻,为什么呢?因为自从SEC钦定了“COSO”风险管理体系框架之后,与此相关的国内外体系文件不知道出了多少,仅仅把文件和教科书摞起来也有一人多高。
然而问问从事体系建设和研究的人,究竟几人能把风险管理体系是什么、如何在企业发挥作用说清楚,恐怕还真是个未知数。因为无论专家学者如何定义,在企业实践中总会有这样的具体问题,例如:
1、风险管理体系和内控体系的关系——为什么风险管理报告中要嵌套内控体系的报告;而内控报告又要披露企业的重大风险?
2、风险管理体系和业务风控的关系——已经有了预算管理体系、质量与安健环体系、廉政与道德体系、法律风险防范体系、信息安全体系、投资风险控制体系、业务流程监控体系……为什么还要再在上面搞一套体系?公司的办公室、审计部、监察部、法务部、财务部、合规部、安监部、质检部、企管部、人力资源部、纪委……还各其他类专业委员会,似乎都在控制风险,公司的风险管理部应该落在哪个部门?还是单独成立?
3、我已经提交了很多的文件,换着法的写了好多报告——每个监管机构、每个职能部门都要我写报告,可是写完了就完了,什么改变也没有,难道风险管理体系就是让我们写各种报告?
4、原本没有这些东西的时候,工作还比较简单,业务还好开展,但是自从有了XX体系,流程变得繁琐了,检查变得更多了,业务也没有改善,自己还整得挺累,这个体系到底是用来干什么的?
5、某某国际化公司搞的很好,全球知名,用他们产品和服务用户越来越多了——他们的领导人每天都在为风险思索,为不确定性而担忧,他们的员工在全世界各地拼命,但他们也没有夸过自己建立了多么好的风险管理体系啊?他们难道就没有全面风险管理体系吗?
所以,尽管这是个有点傻的问题,但又确实是企业人现实的问题。这个问题不解决,很多工作难以真正推进。对此,理论界提出了很多好的理念——例如ISO31000强调,要将风险管理流程“嵌入”企业的各项经营管理活动,这个概念非常好——但是如何落地呢?不同企业在不同时期的风险管理重点不同,真的有一套理想化的体系可以驾驭不同时期的各种风险吗?这个问题真的能够绕的过去吗?
三、企业的“风险观”问题
企业里谈风险的人很多,但大家的“风险观”往往又差异很大。所谓“风险观”,就是看待风险、认识风险的观念总成。依笔者浅见,风险管理在企业落地难,重要原因之一是“风险观”出了问题。
受大环境影响,在当前企业的认知习惯里,一提到“风险”往往就是与“坏事”联系起来,比如违规违纪风险、资产流失风险、安全事故风险、信用欺诈风险、自然灾害风险……所以就要“防范”、“杜绝”、“根除”、“回避”。
这种理念本身并没有问题,特别是当领导的考核与这些要素紧密相关时,各级必然格外重视这些“纯风险”。然而风险本身就是一个中性词,企业要真正做强,除了只能带来损害的“纯风险”,还有太多复杂的风险需要考虑。
市场经济本质上是风险经济。例如有限责任公司的设立,就是为了化解公司破产后给个人带来的衍生风险;保险契约的设立,也是为了分散出海的商人和冒险家的风险。而现代社会,由于充满了高度复杂的不确定性,从某种意义上说就是风险社会。所以任何企业的发展都是在机遇和威胁中维持动态平衡的过程——要发展就要承担风险,高回报背后必然潜藏着高风险,确定性的模式背后一定没有很高的超额利润……
所谓优秀企业,一定是在某个阶段能够充分利用好风险中一项或多项有利的因素(政策机遇、并购机会、技术方向、友商昏招等等),同时尽量化解负面影响(如政策窗口期、价格波动、信用风险、以及负面舆情等等),才能在残酷的市场竞争中拼杀而出。
那些经历过市场洗礼的企业家们,他们的风险观一定是平衡的,绝不会只侧重于对“纯风险”的控制,而是更加全面系统的去思考那些未来可能影响企业生死存亡的重大风险。当年华为在考虑战略风险时,首先思考的是关乎企业长期发展的技术风险:“现在的时代,科技进步太快,不确定性越来越多。华为已感到前途茫茫,找不到方向。”华为的风险应对并非要进一步加强内控、也不是转行去干房地产或者搞金融,而是加大研发投入,依靠创新在技术和商业模式上寻求突破,在不确定性中找到新的机遇。同时,对于能够创新、敢于承担风险的人,要给予其足够的支持、自由度和经济回报,使得这些人大胆去面对风险,而不是裹足不前。另一方面,华为在ZZ风险方面,表现了较高的成熟度,企业的战略方向、实施路径和国家产业升级战略合拍,也给与了其相对安全的保障。
本文绝非反对强化企业对“纯风险”的控制——那些关系国资安全、关乎人命的风险是任何时候都不能怠慢的红线。只是希望从风险观的角度提出三点:
第一,风险真的不是一个负面词汇。
如果在企业核心管理者的风险观中,始终把风险当洪水猛兽看待,那么这个企业永远不可能建立起真正意义上的风险管理体系;只有企业从本质上认同风险和发展的关系,风险管理才可能展现出它应有的价值。
第二,区别的看待不同风险。
对于那些只能引发损失的纯风险,固然是要强调从本质上规避、从源头上控制,永不放松;但对于那些充满商业机会的市场化风险,首先要认同它的存在,利用通过多样化的手段(包括战略选择、股权激励、创新研发、商业模式、合同条款、衍生工具、信息系统、服务外包、应急方案、保险条款等)来进行化解,这或许是对待风险更为现实的态度。这也是2006年就出台的风险管理指引的精神。
第三,建立以承受能力为核心的风险观。
很多风险是难以消除的,总有一些风险是我们难以想象、难以控制的,就像流感病毒永远都在进化,打喷嚏流鼻涕在所难免——关键不是查处有多少病毒,而是努力提高免疫力。免疫力强的人,得病几率小,即使得病也可以较快自愈。我们重视自律、锻炼身体、注意饮食、遵医嘱用药,积极休息,就是增强和释放免疫力;毕竟谁也不能天天蹲着家里研究各种病毒,不出去学习、工作、不过日子。这个道理人人都懂,并不复杂。同理,所谓企业全面风险管理系统,并非是说要用一个体系察觉所有风险、让所有风险都不发生,而是应该用全面化的手段,努力降低风险的影响,同时增强风险承受能力,避免出现颠覆性后果。
优秀的企业,不见得是某个阶段最聪明、最赚钱、最有规模、口号震天响的企业,而是能够扛得住各类风险冲击,在寒冬中坚韧的活下来,并继续向前走的企业。就像有的人看起来身强力壮,挨了一记流感竟一病不起;有的人平时默默无闻,却没有哪个病毒能够击倒他,时间长了才发现他默默收获了很多优质资源,而且积累了极好的信誉。
四、建立风险管理体系过程中的若干具体问题
为什么要建立风险管理体系的出发点不统一;到底什么是风险管理体系不清晰;企业的风险观过于单一。由于以上三个主要问题的存在,势必导致体系建设的过程中问题多多。
个别企业将上级的风险管理文件稍微改改,就算是建立了体系;有的企业将过去的各种检查、报告、总结、系统攒一攒,或者拿兄弟单位的材料改一改,形成一套文件,也算是体系建立成功;还有的企业过分依靠外部机构,形成了一大堆的PPT报告和手册,只要评审会一过就都算是风险管理体系建成了;更有的企业拿着一些机构的框架当宝贝,像搞学术一样的去研究,就是不结合实际。时间一长,企业花了钱、费了事、但发现没什么效果,也就对这个体系越来越冷淡了。
还有的企业走得远些,设立了风险管理组织机构,开展了一系列研究、评估过企业面临的内外部风险、提出过一系列重大风险的管理措施、能够参与到一些决策过程中,取得了一定的成效。但由于风险管理的业务始终和主业不能有效结合,也没有人财物方面的抓手,再加上很多团队对业务不够了解(有的是独立性不够强),逐渐就变成了一个内部咨询部门。价值无法被上级和其他部门所认可,团队的积极性就受到影响,长而久之位置也就很尴尬。
另外一个情况,就是来自上级和行业的风险管理指导文件实在太多了,今天是一个指引、明天是一个通知、后天是一个会议、再之后是一个制度,时不时的要紧急提供各种风险管理总结。哪一个机构的意见都要听取,哪个文件的精神都要贯彻,哪个体系都要有监督、评价和总结……基层人员疲于应付各类文件和报告,是否还能有精力关注业务、关注到哪些大家忽视的重大风险、还能帮助领导和各级组织提升风险管理能力,这确实要打个问号。
最大的问题其实是老生常谈了,就是搞了这么多形形色色的体系,出了这么多关于风险的规定和要求,但是企业中仍然有很多组织或岗位,其风险、责任、权力、利益,严重失衡。有的部门顶风冒雪,承担最大的风险,但长期得不到相应的回报;有的岗位权力过大,但没有人敢于监督、能够监督;有团队平时兢兢业业、察觉了风险,也提了一堆建议,但是根本没有人注意到,出了风险却要率先扛雷;还有的团队平时忙于逐利,一旦有风险发生,不积极想办法解决,而是在互相甩锅、互相推诿;敢于冒犯红线的人没有得到相应的惩戒,而一些人却因为小风险没管理好被无限放大……这样的问题并非哪类企业独有,也不是现在才有。我们四十年前就能听到的声音,如今依然不绝于耳。
一个体系叫什么并不重要,理论界有哪些新提法也不重要,风险管理本质上不是什么新命题。体系建设过程中不注重解决这些具体问题,不能平衡好责权利与风险,再好听的体系也无法落地。
五、对于建立风险管理体系的思考
客观的说,现在并没有哪个企业的“最佳实践”能够直接被其他企业所复制,也没有哪个文件真正放之四海而皆准。因为每个企业所处的发展阶段不同、所处的行业不同、管理者的风格不同,不可能简单照搬。上面的很多问题,不可能短期得到解决。也没有哪个体系,能够一步到位的落地。
但就如文章开篇所说,在这样一个纷繁复杂,变化巨大的年代,哪个企业敢不重视风险管理呢?所以通过梳理这些问题,至少可以找到一些经验。
第一,统一思路、不要盲从。在重要观点、思路、目标未统一,缺乏实践的情况下,不应建立大规模的、大范围、标准化的风险管理体系。可以有针对性的,结合当前最需要控制的风险,制定具体的风险管理机制。在实践中不断思考、探索、磨合,形成合适自己企业的风险管理体系框架,再不断延伸。这个过程中,一定要独立思考、结合实际,不要盲从某个文件、某个外部机构。
第二,列出一份实实在在的风险清单。管理层、股东之间需要尽早形成一份共同的风险清单(或者称之为风险地图)。这个清单中应该能够系统的揭示企业所面临的重要风险。其中对颠覆性的风险,要有人专门研究、客观研究,此类风险的对策至少要在管理层统一,要有级别足够高的管理者为颠覆性的风险负责,而且不是短期负责,有长期责任机制。
第三,股东的态度。股东要关注公司治理层面的风险,一方面要通过内控实现有效的制衡,另一方面也要保证董事、监事们有足够的履职能力。对于经营层的风险,要有一定的包容度,底线不能突破、但也一定要给予经营层敢于承受风险的信心。
第四,完善风险与“责权利”机制。责权利与风险之间的不平衡,是风险管理的深层次问题。风险管理体系的作用不是解决“事”的问题,而是改变“人”和“组织”的问题——建立责权利和风险相互匹配的机制,监督并支持这些机制的运转,加强人的风险意识,丰富人的风险管理手段,提高人的风险管理能力——具体的风险管理措施,应该由专业的人来制定和实施。从这个角度上说,负责绩效考核、负责人才发展、负责企业文化建设的部门,在风险管理工作中要承担足够的责任。
第五,塑造风险观念。风险是不断变化的,积极的“风险观念”,比风险控制措施更重要。核心领导们需要率先明确本企业的风险观,多用通俗易懂的、接地气的语言说风险,让大家都能理解公司关注哪些风险,应该怎样去做;同时榜样的力量是无穷的,树立风险管理的先进典型,给予其相应的激励;否定不愿意承担任何风险,或者不重视风险的组织和个人,这是改变人观念的必经之路。此外,要舍得花钱提升风险管理能力、细化风险管理的手段。不管理风险带来损失,往往远高于管理风险的投入。
第六,从小事做起。风险管理部门莫以“事小”而不为,坚持做好“小”事,坚持行胜于言——只要有助于提高风险意识、增强风险管理能力、完善风险管理手段的事儿,都不是小事。为了做好这些小事,风险管理部的人员构成应该多样化,可从各业务一线抽调人员,而不仅仅是由职能部门组成。要给做风险管理工作的人稳定的预期,而非朝令夕改。
第七,重视经验积累。要重视总结风险管理中的经验,将过去的教训,转化为化解风险的知识投资。不仅仅要重视本企业的风险,还要研究行业风险趋势,以及其他企业在对抗风险方面的经验;不仅仅要重视传统风险,更要重视“想不到”的风险及其应对措施。
第八,不要太过于重形式。莫以文件和形式来衡量体系,而是以人和绩效来衡量。风险管理的目的最终是形成一种良好的风险文化,让企业各级自觉的管理好风险,千万别用问题。所以,尽量减少不必要的会议、检查、报告,减少过多仪式感无用功,让企业人把精力真正放在化解风险上。
结语
写到这里,仍然感觉很多东西没有说到、说透,但总算对自己二年前写的文章收了尾,也算是对自己有个交代。关于风险管理体系的观点很多,笔者一介布衣,所说也只是一己之言。但放眼未来,对于风险管理的思考和实践将更加重要,哪个企业能够尽早形成适合自己的风险观,建立属于自己的风险管理体系,谁就有可能驾驭风险,把握未来。
来源:风险观
小编微信:Crocso 如欲就法务与合规管理进行交流、培训、咨询等,可与我联系,将为您推荐大咖老师、资深专家和律师。