企业中的实践是要被验证的,被谁验证呢?职能的归口主管部门是其一,最重要的是对应的业务、职能管理部门、执行者。
比如,做内控建设、合规管理、制度管理,是归口管理部门验证吗?不完全是,归口主管部门验证的只是规范、结构、管理模型、环境、体系治理流程、政策要求符合性;真正起作用的,是那些知道并希望“管控什么”的部门,是那些需要按照设计要求进行操作的部门。因为,管理的落地,是执行层面的课题。
怎么验证呢?主管部门有定位、有目标、有职责、有经验,只要不是每天浑浑噩噩“做工作”、“混日子”的人,即使他不知道一些大道理,看一眼、分析一下、联系一下实际,就能知道你提供的结果是否可行,就能够找到需要进一步完善的问题所在。要追求落地,你就得走完这一“取得共识”的旅程。
这就是为什么很多咨询机构不敢碰触“执行层面”的原因。号称敢碰触的,如果你拿到的结果,总感觉“像那么回事儿”,但又觉得似乎“不是那么回事儿”。只要有后者的感觉,可以肯定地讲,落不了地。原因是,那是理念型指导化管理。
能落地的,只有认识一致的“确定性”设计结果,唯一可以确定的,就是“标准”。但不要认为我讲的标准,是那个“虽有标准之形,但很多人都读不懂的标准”,也别认为不可实现。
联系某委组织的“内控抽评”活动,为什么没提对内控体系建设“产出结果”进行评价呢?缺少明确的标准。有人说,通过评价体系的结构内容,可以反映内控体系建设的成效。
我想说的是,内控工作轰轰烈烈地建设了这么多年,不对产出结果进行评价,那还要什么“管理对标”呢?对标,不就是立标杆、达标、创标杆吗?通过评价,把“标杆”立起来,各央企才能通过“对标”,找到“达标”的方向。管理对标,不是也包括风险管理对标吗?管理,很多事儿都是相通的、系统的。
评价,首先得有形,然后才是质。否则,不又回到传统审计“用委托方制度”验证结果、追溯过程的模式了吗?但不要认为我讲的传统审计,就是以财务报表、账单为核心的审计,我讲的是“模式”。
怎么评价体系建设产出呢?你得知道体系的表达方式、要求、追求,如果这些东西没搞明白,再讲也没用,更别说评价。如果建设产出做的好,完全可以用产出做标准进行验证评价。开展内控建设,不就是要实现这种目标吗?
有人可能会质疑:你讲的太复杂了。写着复杂、讲着复杂,做起来很简单,这就是“实践”,用周全的、符合实际的设计,换取管理、执行的简单化。企业总不能一直徘徊在“模糊”的边缘,“自豪”地把每天召开、参加若干个协调会,把每天处理若干个内部问题,当做“反映管理者辛苦、忙碌的业绩”,当做日常工作吧!那根本就不是“管理”。
02.化有形于常态的风险管理实践五步法
说起风险管理,很多人都会纠结在“风险”二字上不能自拔,很多事儿落实在了对“风险”的遐想、描述中,最后得出“风险管理无用论”的认识。不是没用,而是很多人还没有学会“怎么用”。
古有姜子牙、管仲、乐毅、诸葛亮、曹操等“大”家,他们尚不能完全洞察风险,咱企业中的风险管理,还是踏踏实实地做点“管用”、“有价值”的实事儿。
别再捣鼓那些“多位一体”、“这个大、那个大”的概念了。试想一下,制度你建了、流程你梳理完了,控制、合规、风管那么多要素你也承载完了、监督也给你整合到一块儿了,那不就是企业的整体运营管理体系了吗!
天啊!战略管理部门、企管部门都没做成的事儿,咱一个主管风控的小部门,就别那样“刮大风”了。风刮完了,是不是除了“形似落叶般的一本手册、一套表格、几份文件”之外,就剩一片净土了?如果还不信,谁介绍这样的经验,你就应该到他那儿去“对对标”。
概念、模糊、臆测的说法,本来意味着不确定性。企业风险管理,不能在管理风险中再去创造“不确定性”,靠谱点,不是什么坏事儿。
如果哪个民营上市公司感兴趣,这个标杆,我可以帮你“立起来”,从制度到风控,从问题到标杆,甚至从战略到绩效,只要讲诚信,视效能结果、应用结果你来定价,就怕你会再也离不开。
这就好比曾在天津参加某企业竞标一样,选择一个只会把价格砸成白菜价,却一个问题回答不出来的供方一样,钱花了,交付的产品真的可用吗?不看都知道结果,没用的。在咨询领域,采购价格、交易价格、产品交付成本,最重要的不是采购价格,而是你要追求什么产出。
怎么策划可以实践的风险管理呢?
随着我的文字思考。先抽象一下,清空那些深刻于你脑中的什么内控、合规、风险管理概念、框架、文件、希望,让风险管理转化为“企业不想有风险”,你要怎么办?
这时候的风险管理算什么?一种理念、一种概念、一种思维、一种追求,但是没有任何的工作形式、方法、措施,只是领导出了一个题。也就意味着“让企业没有风险”,是所有的与管理风险有关的,包括任何活动都需要回归的“中心线”。你想怎么办的措施,就是“风险管理工作或活动”。
记住有两点:首先,企业中所有的管理,都是从宏观打开,然后收缩、打开、收缩,直到可执行的确定性结果,这种忽大忽小的打开、切割、收缩、发散、再收缩的思维方式,适用于企业、部门、岗位;其次,部门之间怎么办?把部门看做一个公司,把所有周围的其它部门、组织看做你面对的外部环境,按照“客户”思维分析、构思。
第一步,找到确定性的方法
怎么让企业没有风险?只有企业要做的每件事儿,处于确定的做事儿过程状态,参与做事儿的每个员工按照确定的标准去操作,用过程标准,保证产出符合期望的结果状态标准,意味着没有风险。那么有没有提高确定性的工具呢?流程、制度,都可以选择。
怎么看待制度与流程呢?都是可以承载企业战略的载体,都是可以将企业内部的做事儿、管人进行规范、标准的工具。怎么选择呢?企业自己定,但必须掌握制度工具、流程工具各自的优缺点。
无论最终选择的是制度,还是流程工具,我们都可以认为,他们是提高管理规范化、标准化程度的“规则工具”。是不是依靠制度、流程这种显性化的规则形式,就能够保证所有事项、人的行为标准化呢?不行的。所以,规则还要有外延的补充,从而降低制度、流程泛滥带来的成本高启。
制度、流程规则工具的外延包括什么?简单的定量、定性的规则标准,这种标准,可用于结果标准,过程关键环节、关键要素的结果标准;其次,还包括表单、模板等。所以,企业的规则,呈现为“以制度、流程”为主要形式,以技术标准、行为基准、结果标准、表单、模板为补充的“网络化结构”状态。
找到了工具,定义了核心与外延,这些工具怎么使用呢?制度管理到哪个层级、功能怎么界定、规范怎么设计、谁承担审批责任,一一定义下来,即制度管理中的共性层级架构,这些概念的定义,构成了“法定工具的使用标准”,流程管理具有一样的道理。
是不是用企业内部的“法定工具”就可以完全解决确定性问题呢?不可能。那就发挥“补充规则”的作用,用“非法定但有效的规则”去定义结果标准、过程的关键事项、关键环节、关键要素的执行标准,明确达标的保障措施,这是什么呢?标杆管理。
有人说不会用,那就实践去呀,还要怎么写呢。中国企业最大的悲哀,就在于缺少这些标准的沉淀,导致企业年复一年地在“同一个管理水平”上耗来耗去,最终发生权力失控、私欲膨胀问题,耗到那么多有才干的高级管理者,前赴后继地被请去喝粥,多么可惜,多么悲哀。其实,标杆管理应该是一个非常“平常”的事儿。
解决了怎么使用问题,应用工具时有什么要求呢?合法合规是第一项;描述要清晰、可理解、具体化、标准化,是第二项;必须把管控内容标准化,是第三项。所以,制度、流程、标准、模板,是保障企业合法合规经营的必要组织能力。
怎么保证清晰、可理解、具体化、标准化呢?从对象的整体到分类、分层,无出其二,用制度、流程去表达。企业中的制度,本身没有什么基本制度、管理型制度、作业型制度、标准控制型制度、规范型制度之分,只是为了实现制度清晰、可理解、具体化、标准化,解决由于业务复杂度造成制度“冗长”问题的一种管理方法。制度类型的划分定义,就是一套执行“标准”。
怎么实现管控内容标准化呢?首先,制度的划分,是基于域、模块、环节、标准、要素、指标不断挖掘的体现,一般情况下,不同类型的制度,描述的颗粒度不一样,环节、标准,一般表现为控制节点,那怎么办呢?
每个管理部门必须掌握自己的“管控内容、管控环节”,由部门职责、价值定位、管理目标追求决定。定位错了,会导致原则、方法出现问题,导致控制不稳定,是企业经常见到的常态表现。
同样道理,解决了企业的管理层面问题,也不能遗漏企业的治理层。问题是,你能做到什么程度?因人而异。
解决了这些,意味着企业建立了必要的制度、流程、重要节点的标准、结果标准,涉及到的工具和方法有哪些呢?制度、流程、标杆及管理。
第二步,运用标准思维,保证法定制度与流程的稳定
如何保证制度、流程的执行稳定呢?需要区分企业选用的“法定规则工具”,大型央国企一般用的是制度管理,那就用流程、标准型控制制度去保证制度执行的稳定,取决于关键环节、关键要素的执行、产出结果标准的稳定性,即控制的标准化建设。
所谓的狭义内部控制建设,即控制的标准化建设,实质是标准控制型制度、制度导向下的流程梳理过程。当然,如果是把流程做为主要管理方式的企业,就是一个控制标准程度立标、达标评价、创标的过程。
要做到这一点,需要经验,决定这方面成效的是“管理的系统性与管理运筹逻辑”,这就是为什么我总讲内控建设是一个“从点到面逆向追溯”的过程。根本不是拿套模板进行复制的做法。
内控建设的节点,最少要到“环节、要素级”,否则,就会出现“科学、合理、严格”等描述,是正确理念指导下的“废话”,谈不上具体、标准,无落地可能。当然,内控建设中的流程梳理,是需要有参照标准的,不是想怎么画就怎么画,想怎么写就怎么写。
第三步,提高确定性的抗外部违规风险能力
第一步、第二步在做什么?在做从战略到实施、从外规到内部规则的“标准化”固化。
其一,从战略到实施,是以“事儿”为导向进行的分类、分级、事理、控制、标准的分解,当然包括对“关键要素”不确定性的评估及设定的控制措施。事儿,分解到什么程度?问:你在做什么?答:我正在做哪件事儿。也就是说,要分解到你能回答上来,能够让问的人明白你指的是那件具有清晰、明确结束标志的“事儿”。
其二,从外规到内部规则,为什么我这里用了“内部规则”,而不是制度呢?外规,无论用与不用,都必须识别出“合规要求”、“限制性合规红线”,是合规风险评估的“目标”。好了,那就转入了第三步。
第三步,解决的是如何用确定性化解“外部违规风险”问题,即合规管理的开始。
在合规管理中,发生了3件“非常滑稽”的事儿,都属于“书生搞管理、理论坑死人”的体现。当然,我也是书生,但我有二十多年企业的多种管理岗位从业经验为背景,而且都是实打实干出来的。
第一个滑稽,先识别企业风险,还要划出个一、二、三层级,然后找对应的外部规则、内部制度。纯粹是“被风险这个词搞乱了心智”,忘掉了“中心线”。
相对合规管理来讲,中心线是“不违规”,至于是否发生其它风险,是“管理”要解决的事儿,全搞反了,还在那儿大谈合规风险清单呢。合规要求对控制风险是有作用,但控制风险是单纯靠“合规要求”吗?别忘了,还有一套“责任体系”。
第二个滑稽,僵化地认为把各种“合规要求”套用到制度、套用到合规义务与风险清单,才算“具有防范风险功能”。你见过企业做制度是这样做的吗?难不成企业发展几十年,都没搞明白怎么才能保证合规?即使内建制度,也是通过模板、制度匹配进行的,而不是把各种要求,一股脑灌输到制度中。
有人会问,那每个企业安全生产制度不可谓不全,但为什么还发生安全生产事故呢?有4个原因:要么是制度设计有问题,要么是执行标准缺失或者不清晰,要么是作业现场的监管责任落实不到位,最坏的是故意为之。你查去吧,无出其右。但是,如果没出现安全生产事故,他们的作业并没有构成违法,但一定违反了“内部规则”。
既然用模板可以规避掉违规因素,为什么还要识别外部规则的“要求与限制”呢?设想一下,你看文件,不掌握重点吗?你在看文件的时候,脑海中不去衡量内部制度是否满足这些“要求与限制”吗?当你认为有些不可控因素时,你会怎么做?
理顺了这个过程,把它固化并稳定下来,就是“合规风险评估”的过程,其产出就是“合规义务与风险清单”。合规风险评估模型,是为了化解由于人的因素造成的认知、责任落实不稳定的问题。
这个过程是一个重复的过程,不仅适用于外规内化,同样适用于内部规则的分解细化,一步步向越来越“确定”的执行标准方向进化。企业执行的是“哪份规则”,对应的合规义务,即产自于该规则的“合规要求”,直到执行标准的产生。当然,这里有一个“重要性与管理成本”的平衡过程。
这才是“合规管理”重点要解决的环节,让各种“合规要求”,拥有落实、执行的确定性基础。
第四步,让“人”及由人构成的组织行为具有“确定性”
企业中的人,是最富创造性也是最富不确定性的因素,有了牢固的规则条件,并不意味着“执行的确定性”,怎么办?
构建清晰的责任结构体系,包括领导责任、管理监管责任、控制责任、现场监管责任、直接执行责任、内部第三方监督责任,问题是,在关键环节,必须不折不扣地“压实责任”。大可结合企业实际,不断轮换大、小场景,进行责任结构的验证。
有了规则、有了责任,是不是“人”这个不确定因素就有了确定性?不是。人有“趋利避害”的固有本性,人的本性很难改变,但可以改变人的动机、行为,怎么办?
良好的价值观与企业文化、高绩效文化,是引导员工行为向好的牵引力;构建不合规、违规等级标准,建立与等级标准对应的违规结果认定标准、处罚标准,制造让人的行为向确定性转变的“势”。
是不是有了这四步,就不会出现违规问题了?不是,但剩下的,就是由于“个人动机”出现的违规问题,那就按照标准处理好了。谁告诉你,进行了制度管理、内控建设、合规管理,就不会发生违规风险了?
第五步,企业还剩下什么风险,怎么办?
如果把企业作为一个拥有100%风险容量的整体,假设前4步的基础管理工作做好了,通过各种控制,基本可以让不低于85%的风险处于受控状态,但还有风险容量存在,是什么?
首先要解决好目标的科学性、合理性问题,目标平庸,计划完成率都处于100%的状态,也就是说,所有组织、员工都蜷缩在一个“可接受的空间”内,高的、矮的都放一起,就低不就高,那么企业既没有什么挑战,也就没有什么风险压力可言。
如果企业追求发展,目标既有挑战性又不失实现的可能性,风险环境就出现了,这是根源。也就是说,风险与战略发展的意图有紧密的关系,其结果是“优秀者与落后者的分化”,选人用人也会向“业绩”转变,而那些“忠于…热爱…觉悟”等说法,就会变成“约束条件”,而不再是“领导说行你就行,不行也行”的权力游戏状态,决定条件一定是“绩效”,必要条件才是那些“约束条件”。
抓住战略管理中的关键环节,让风险管理与计划的产生、执行耦合起来,风险管理保障绩效达成的价值就可以凸显,而且很容易被企业员工接受。其次,要构建一个人人参与的风险信息传递机制,实现与责任体系、绩效体系的对接。最后,要提倡团队文化、知识管理,在学习中实践,在实践中学习,不断沉淀为企业的内部控制,这种方式,岂是那些“单维”知识培训所能比拟。
经过五个步骤,你去思考,企业的风险容量已经化整为零,但并不意味着就不存在风险了。但是,按照五个步骤去开展工作,一定会提升企业管理风险、挑战风险的能力,这就是企业实施全面风险管理的“实施路径”,剩下的就是处理好存量、增量的关系,组织实施呗。
03.结语
在02中,我们基于企业风险管理实践,梳理了实施路径。五个步骤,从逻辑上是“前后”关系,但实践中,并非完全的“串行”关系,而是“并行、交叉、互补、迭代”关系,是一个系统化的推进工程。
但不管是哪类以管理风险为导向的工作,遵循的共同规律是:先向确定性要措施,再向计划措施要效果,最后用人去化解。
本文强调了风险管理实践,其中还有一个多重定义问题,既然开始我们把风险管理视同为一种理念、一种概念,转化到实践,就要做好自定义,再转化为工作去策划、部署、推广、实施,是归口管理部门的责任。
自定义既包括内控、合规、制度、流程、标准的定义,也包括每项功能下的分类、分级,目的是让这些模糊的概念变得清晰、具体,让他们变得与“职责”紧密的关联起来,让每一个部门认识到:内控、合规、制度、流程、标准,不是什么新鲜事物,而是每个部门、每个组织、每个员工本应做好,但仍有欠缺的责任。
做好这些工作的实现路径包括:制度管理、流程管理、内控管理、合规管理、标杆管理、风险管理、问题管理。整合、切割,最终形成包括内控、合规、风控三大系统,制度、标杆、问题、监督为支撑的全面风险管理体系。用管理手册、程序手册表达出来,无形但客观存在的管理体系,跃然而出。