由领导审核一定额度以上的付款属于哪种风险应对方式？

从内部控制体系的角度考虑，分级授权是一种典型的风险控制手段，目的是通过领导的审核评估，起到降低付款风险的作用。

当讨论这个问题答案时，有学生提出来，有些风险就是因为领导审核才产生的，认为领导审核反而增加了风险，很多人听到后笑了起来。

权力的链条，没有哪一节真正防锈！

一、权力分配的背后逻辑

在企业中，不同层级、不同岗位划分了不同的权力与责任，这种权责划分背后的逻辑是什么？

从经典管理学的传统理论分析，这是在工业革命期间产生的科层制度，是组织发展到一定规模，管理分工越来越细，效率要求越来越高的一种专业化的表现方式。

从风险的视角来看，权力的分配还有另外一种解释，就是需要用权力来应对工作中的各种不确定性。

我曾经绘制过一张企业不同层级需要关注的管理问题类型的图。

企业中，不同层级和岗位面临工作中面临的不确定性内容是不同的，一般来讲，级别越高、越靠近市场一侧的岗位和职责中包含的不确定性内容比重越高，权力也越大，和企业价值创造活动顺序一致。

所以权力的分配给这个岗位，是因为这个岗位需要处理的不确定事项更多。但这样的权力所带来的可以自由掌控的本应该为组织创造更大价值的空间，也夹杂着可以满足私欲的灰色地带。

所以，在组织实现目标的过程中，被赋予最大权力的领导者，既是组织控制制度的制定者，也是最有能力突破控制的破坏者。

这也是为什么我们说企业风险管理工作是自上而下的，而不是从底层向上推动的，因为管理风险、管理不确定性的最大部分在管理层。如果管理层不能带头管控风险、不能带头执行控制，那这个企业的风险管理不可能做得好。

因为—风险跟着目标走，目标跟着决策走，决策跟着权力走。

二、不确定性与确定性管理的不同

上面我们谈到了企业不同层级的权力分配逻辑，不确定性是主要考虑内容。那么，基层或运营层面确定性高的工作如何防控风险？

首先，权力有限的基层和运营层面确定性高的工作领域出现的风险事件更多是来自于制度空白或钻制度漏洞。

这个层面的风险防范主要是完善制度、规范流程，防止被钻空子。

而权力较高的领导层的风险事件主要来自于可以主导决策和整个控制程序。

完善的制度流程并要求严格执行并不能保证一定不会出风险，而高质量的徇私舞弊往往都是在合规合法的外衣下进行的。

这个时候，除了硬性的要求，软性的控制环境很重要。领导层之所以可以突破控制，公司的控制环境一定有问题。

新版的COSO企业风险管理框架，管理风险的最高级输入是企业的使命、愿景和核心价值观。

组织的上层或监管机构是否可以真正在企业建立良好的控制环境、设定高层基调、践行核心价值观，对领导者在有能力突破控制时而选择不这么做至关重要。

面对诱惑时，真正的权力不是能够做成，而是有能力去做时而选择不做！

宁高宁在总结了几十年中国企业管理经验之后，把最后的关键要素归结到“人”上，认为人是其中最大的张力，是同样的道理。

三、防止过度“制度化”

如果用管理确定性的思维去管理不确定性，会出现什么问题？其实高不确定性的工作能不能通过完善制度来避免风险？

可以在一定程度起到作用，但肯定不是理想状态。

如果所有需要应对不确定性的问题都用制度约束，最后就会丧失活力与自由度，导致的就是“过度制度化”，就是如果我们设定了各种制度规则、划定了各种红线，最后的作用可能适得其反。过度制度化会催生风险厌恶反应，最后就干脆没人承担责任、没人愿意冒险。

过度制度化是一种代价，是企业家精神的天敌，如果在鼓励冒险和创新的领域推行高度制度化，那将会是一场灾难！

这好像是一场无休止的矛盾运动：

赋予权力—>发挥领导的主观能动性—>权力滥用—>制度约束—>权力限制—>风险厌恶能动性降低—>价值创造减缓—>赋予权力...

这其中，最关键的还要看能动性的驱动力到底是什么？也许东西方给出了不同的答案。

四、绝对权力与绝对自由

我们的领导层总认为可以随心所欲、为所欲为是绝对权力的体现，也代表着绝对自由，其实并没有绝对自由，绝对自由只要在一定约束下才可能得到，没有约束的自由就像是毒药，短暂的放纵总会付出代价。

走过这么多企业，看过这么多案例，如果哪个领导说公司我说了算，没有人可以限制我，我听着就很害怕。

制度可以约束行为，但最难约束的是人心。

欲望的列车一旦开动，公与私的天平一旦倾斜，出问题只是早晚的事！