最基本的、首先我们必须明确的是:风控是企业管理的重要抓手。正因为企业运行中会遇到各种风险,所以我们要采取措施控制风险,但不可忽略的是,企业控制风险是有代价的、是需要付出成本的,而且风险是不可能完全被消灭的,那么控制的目的究竟在何处?我们认为,风险控制并不是要将风险完全消灭,而是为企业提供一个抓手。在企业逐渐发展的过程中,无论是外部的变化、内部的变化、模式的变化、层级的变化、业务的变化,良好的风控体系建设始终是帮助企业动态管理、控制、减轻风险的一种手段。当前,企业业态向多元化方向发展,越来越多的企业开启了转型之路,而随着企业不断扩张,企业管理层级逐渐增多,管控难度增加,在转型过程中,企业也会面临各项新的问题,特别是综合性的大型企业集团,成员单位众多、组织庞大、管理层级复杂,再加上走出去战略及海外业务的实施,容易出现管理上的漏洞和不足。同时,大型企业集团往往容易出现先做大、后做强、风险管理薄弱的情况。为什么?因为运营思想首先聚焦的是生存、是发展、是壮大,然而在粗放式发展、规模增长的背后,就容易导致集团“集而不团,大而不强”,并给企业带来生存危机。因此,企业在不断发展壮大的同时,风控能力水平和关注度也要跟着走。也许有些时候我们会疑惑风险管理是不是能够给企业带来实质真金白银的价值。事实上,好的风控体系建起来,或许不能让企业收入增长多少,利润提高多少,但一定能让企业损失减少多少,风险降低多少,也就是一种机会成本,只是它不一定真正体现在财务报告和经营业绩上。同时,完善的风控体系是实现企业战略目标的前提和保障。企业战略决定了企业前进的方向,战略的制定和决策依靠什么?创新能力、品牌客户、人才管理、领导力、公司治理等内部的核心竞争力。持续的核心竞争力依靠什么?我们知道,一家企业要成为百年老店是很不容易的,需要积累底蕴、文化、能力、人才、客户、供应商,其中肯定会遇到各种各样的风险,如何支撑企业往正确的轨道前进?答案就是风险管理与内部控制,它是支撑企业不断成为百年老店的驱动体系。Part 2风控体系解决什么问题?何谓风险?风险的定义是不确定性,是可能与不可能,而不是非黑即白的好与不好,很多企业就是在风险中发展成长的。风控体系的作用是什么?让我们想象这样一个场景:地震来临的时候,提前知道、提前预防与事后知道、事后预防有区别吗?由于提前知道地震的发生,我们就会有相应的提前准备措施、补给、疏散、撤离、预防,尽管地震最后还是八级登陆,但其造成的影响和损失是不一样的。地震来临可称之为固有风险,提前预防部署就是风险控制,最后的伤亡损失为剩余风险,固有风险不变时,风险控制的力度越大,剩余风险会下降,而决策者心中的风险一定是考虑了现有管控措施后的剩余风险。因此,风控需要的做的,就是将风险控制在决策者心中的红线之下,注意是控制,而不是消灭,即风险提高时需要预警,需要加大管控力度,风险降低时需要检验管控是否一贯有效。公司治理、风险管理和内部控制被认为是现代企业管理的三驾马车。公司治理的范畴最大,它是制度,是顶层设计,是一个企业是不是正的标准。而风险管理与内部控制为公司治理能够达到实现经济利益的目标而保驾护航,内部控制是针对企业内部可控风险的有效防范体系,但企业面临的所有风险并不都能靠内部控制减轻和管控,企业还面临很多外部风险,因此,风险管理的范畴大于内部控制,它还针对企业外部的各种风险开展风险应对管理。总体而言,风控体系就是把大部分企业内部的经营风险都管住,管不住的外部风险则依靠预警、保险、转移、转换、分包等风险应对策略再控制它。风险管理与内部控制的关系还有一个侧重点,风险管理是做正确的事,内部控制是正确的做事,风险管理是顶层,解决的不仅是流程问题,更是战略决策问题、应急处理问题;不仅是当前的问题,更是预测和应对将来可能发生的问题,风险管理更加偏向于前端,对影响目标实现的因素进行分析、评估与应对,防止重大决策失误和重大危机问题。内部控制更多的是流程问题,包括业务流程、管理流程中的风险控制,它更加重视实施,而且嵌入到企业各业务流程的具体业务活动中、融合在企业各项规章制度之中,使企业在正常运营过程中自发地防止错误,确保合规和真实,从而合理保证目标的实现。具体而言,风险控制管理帮助企业解决的问题主要包括:
目前国内大多数公司在组织目标的首要位置上,主要关注专、强、大、精;在组织能力和制度建设上,重点仍然在生产能力、效率、竞争,但是在配套的系统安全和风险控制能力是缺失或不完善的。近年来上市公司频频爆出的违规事件和管理漏洞告诉我们,有时候走得太快,是有后遗症的,因此我们需要风险控制管理的手段为我们找到“快”和“稳”中的平衡。
这一点要求企业在经营过程中加强对风险的认识及风险管理能力,不能过于把业绩提高依赖于高风险业务,同时对企业运营管理中存在的小问题不能听之任之,千里之堤毁于蚁穴,冰冻三尺非一日之寒。正如海因西里法则阐述的那样:在一件重大事件的背后,平均有29次轻度伤害和300次可能的发生的隐患,这个法则完全适用于企业的管理运营,对潜在事故毫无察觉或麻木不仁,往往会导致“局部事件发展为整体风险”。
风险管理关键在于管理层通过积极的管理手段,根据内外因素的变化,提前预警,事前应对,抓住机遇,创造收益。主动的风险管理方式包括但不限于:对新业务、新领域进行风险预测,将风险分析嵌入决策流程,强调事前防范;建立KPI体系,并利用情景分析技术对内外部环境持续监控,风险预警;持续收集风险信息,建立风险事件库,并持续更新预案;定期编制风险报告,及时掌握风险变化。
问责和担责是企业正常的运营成本,为什么国家会发各种各样的监管规定,要求企业承担这部分运营成本,除了担心由于违规造成的社会乱象,更多的是为塑造一个良性市场秩序而考虑,正如王石在总结万科的发展历程时说:“市场是很公平的,万科曾经因为做贸易获得过暴利,但后来因盲目扩张又全部还给市场了。”由此万科在总结所经历的各种风险后,提出企业整体的风险应对策略,即“做简单而不做复杂、做透明而不做封闭、做公平而不做暴利、做规范而不做权谋。”Part 3企业建设风控体系的启示下面我们通过一些案例提出企业在建设风控体系中值得思考的一些启示:
某上市公司授信体系薄弱导致了巨额应收账款的坏账。经检查发现其内控暴露出的问题包括:重复授信,该上市公司内部控制制度对多头授信无明确规定,实际执行中,下属分公司、总部销售部门等单位分别向同一客户授信;超额授信,该上市公司下属子公司内部控制制度规定对客户授信额度不大于客户注册资本,实际执行中,对部分客户超出其注册资本授信,也存在未经授信发货的情况。好的风控体系中,财务部、信用部、销售部三者的关系应当是协调与沟通、平衡与制衡。销售部是第一道防线,冲在业务的最前线。信用部门是第二道防线,是定额度、定规则的部门。财务部门是最后一道防线,是踩刹车、是守后口的部门。良好的内控制度中,各部门职责的界定很重要。
某上市公司集团风控管理失效,其下属全资子公司发生重大信用风险事项,分析成因时发现其内部控制制度落实不够,例如:母公司没有重视也未能有效掌控子公司最高管理者的任免,没有每年对其进行定期考核;子公司在选择战略伙伴时,没有按规定进行资信调查以及对合作伙伴的运营情况进行日常监控。实际上,很多企业都存在这样的通病:为内控制定了大大小小、方方面面的制度,制度多一定好吗?不一定。能把几百个制度浓缩成一个制度本身就是一种水平,内控制度没有必要写的冗长复杂,简单明了即可。否则一个部门发布一项自己的内控制度,套进体系,而各种体系之间没有关联,没有融合,实际操作时大家不知道应该向左走还是向右走,到最后就演变成什么都不要,按照惯性操作,久而久之,风控的文化、管理的文化全部突破。好的风控体系,要学会把复杂的问题简单化,简单的问题流程化,流程的问题制度化,制度的问题信息化。
某上市公司风控管理失效,公司总会计师利用职务之便挪用公司银行承兑汇票、提供虚假证明,构成职务犯罪,分析内控缺陷时发现,该上市公司印章使用控制失效,印章管理员在未见用印审核审批程序的情况下也给予用印,部门之间的牵制失效。为了风控而风控,这是许多企业风控水平弱的原因。风控是加出来的东西吗?不是。风险来源于业务,实际上,那些处于关键业务岗位的人员在做业务的同时就是在做风控,因此不能将风控仅仅看作是风控部的责任,事实上,风控部真的熟悉业务吗?不一定。好的风控一定是嵌入到业务发展的前中后,它具有多种形式。
柳传志在他的自传里写过一个故事,当时联想集团每次召开经营班子会议,总会有一些相关的领导要么缺席要么早退,于是他想到一个办法,下次新一轮领导班子开会前,上次迟到的领导,无论级别多高,进来之后先站到进门会议室门侧的角落里,上回迟到几分钟,就站几分钟,同时没有迟到的领导全部走上来,围在他旁边,所有人的目光盯着他几分钟。能够在人的精神层面产生影响,能够帮助企业养成良好的企业文化,这或许就是风控的魅力。好的风控到最后是精神层面的风控,思想和习惯是最核心的东西,正如看到红灯的时候,你还要迈步吗?如果能够形成本能反应把腿收回去,这就是好的风控、好的文化,但它不是一朝一夕养成的,需要不断积累与沉淀。企业在建立风控体系的过程中,可以说,战略思维决定内部控制的高度,品牌经营决定内部控制的气度,实质而非形式决定内部控制的态度,质量上决定内部控制的深度,企业文化决定内部控制的力度。风控不是死板的,它是为实现企业战略目标的一种科学设置;风控也不是枯燥的,它是灵活调节的手段,是需要智慧的;风控更不是封闭的,好的风控是开放的、融合的,更是需要不断扩充和进化的。