咨询电话
151 0105 1188
151 0105 1188
某次国际风险管理标准研讨会上,我提出把内部控制的相关描述加入到风险管理体系中,有几个国家的专家提出挑战,认为内部控制只是风险应对手段之一,而且还是非主流,是否需要明确标明,最终还是没有把内部写进去。
回忆这段故事让我明白,不同国家对于风险管理这套体系包含的内容有着不同的理解,或者更准确的说是有不同的优先级。
之前我们谈到过历史上风险管理发展的两大源头:
一个是侧重在货币资产安全为目标作为出发点设计出来的内部牵制到内部控制;
另一个是侧重实体资产安全为目标作为出发点由实体资产的防灾防损演变而来的安全管理。
货币资产安全又从财务视角促进了金融领域风险管理发展、实体资产的防灾防损又催生了保险行业。
国际上有几个比较有代表性的组织,COSO(反财务欺诈委员会)是从第一个分支发展起来的,最主要的代表作是企业风险管理ERM框架和内部控制Internal Control框架,而RIMS(风险管理专业协会)是从第二个分支发展而来的,对保险业有非常大的影响力。
到今天,这两个分支都汇集到了企业全面风险管理的这套体系框架中,而今天的风险管理,虽然发源于两端,但已经有了更高层面的使命。
一、中国企业风险管理职能演变
2006年,国务院国资委发布《中央企业全面风险管理指引》,这套文件的内容是对企业风险管理工作的重新定位,超越了财务领域的内控和保险业的资产安全,从企业经营管理的全盘视角对风险进行识别和管理,将风险与经营目标及不确定性关联,而不是舞弊、缺陷、损失和可能性。
这是一个非常大的突破,很多企业在这个阶段成立了风险管理部,专门负责企业的风险管理相关工作。
但中国企业界由于缺乏在两条传统的风险管理发展分支领域的经验积累和沉淀,一步到位显然有点不适应,很多企业经过探索实践数年后认为这套东西太务虚了,不能满足我们实用主义的要求,很难融入业务流,搞着搞着搞成了两张皮。
我们认为,你最好告诉我怎么操作和落地,如果不好操作和落地,就不实用,就没有价值。
2008年,财政部等五部委推出《企业内部控制基本规范》;2012年,财政部和国资委发文要求所有中央企业全面建立内部控制体系。企业发现,内部控制聚焦制度流程,又有风险点、又有控制点,很实用,所以对内部控制的印象要好于全面风险管理。
这些实施后的感受直接导致了后面政策的转向。2019年,国务院国资委发布的101号文《关于加强中央企业内部控制体系建设与监督工作的实施意见》,不再单独提企业全面风险管理体系,而把其放入企业内部控制体系的相关要求中,我们业内人都知道内部控制这个盖完全盖不住风险管理这个缸,但政策这么定了,还是很多企业开始进行整合。
二、目前的企业职能整合
把内部控制和风险管理放在一起相提并论,是中国企业管理发展的特殊阶段决定的,我们用了两年时间(2006-2008)走完了西方12年的路(1992-2004),而且我们还是颠倒发展,其中的混沌和错乱可想而知。但在很多国家,这两条线是相对独立的,这也是为什么出现最开头说的一些国家的专家对我提出把内部控制放入风险管理的质疑原因。
101号文之后,很多企业开始探索融合体系,提出X位一体的概念,将风控、内控、合规、法务、审计等职能的一体化,我前期也花费了大量的时间来解释这种工作机制,详情参见风控一体化,关键要弄清楚这20个关系【汇总收藏版】。
风控一体化体系建设过程中,风控职能并归入了法务部、法务合规部、法务内控部、甚至是审计法务部、审计部......,但是,落入风控一体化中的风控职能并不是风险管理职能的全部,甚至是掐掉了风险管理职能的精华部分。
这些职能大部分都面向企业的运营层面,有一些会涉及经营层面,在这个层面的风控职能都会容易变成运营风险控制的定位。
我们之前解释过,风险管理侧重不确定性管理,而不确定性越高的地方,越需要风险管理,而运营层面的风险已经是过滤了几轮不确定性传递过来的任务,更多表现的是对确定性问题的处理,这并不是风险管理职能的主战场。
三、风险管理与战略的结合,是价值体系的最优方式
2017年,COSO发布新版企业风险管理整合框架,副标题定位
—与战略和绩效的整合(Integrated with Strategy and Performace)
对战略的支持是风险管理的首要目标,因为从企业面临的不确定性来看,有典型的头部特征,我用了一个水母图来表示,越靠近头部,不确定性越大,越靠近尾部,确定性越大。
头部,就是我们所说的战略和决策,所以,这个阶段的不确定性也是最大的,风险也是最大的。或者说在组织战略制定和决策过程中进行风险管理是风险管理职能发挥价值最大的地方。
如果这个阶段没有把不确定性认识好、把握好,不确定性随时间向后传递到执行和实施阶段,将会引起不可逆效应。
这也是为什么有些在定战略和做决策阶段没有评估出来的风险,到实施阶段一旦出现,无论如何应对都很被动和乏力的原因。
所以,抓住了头部,也就抓住了主要矛盾。
谁在定战略和做决策?
企业的关键领导人,所以,他们应该是最大的风险管理者。
但是,能够真正支持定战略和做决策的风险管理人才和前面谈到那些聚焦运营层面风险控制的人才能力结构是完全不同的,我们也看到越来越多的高校把风险管理课程从财务、保险等专业搬到商学院,也有很多世界知名高校在管理学及MBA专业设立风险管理课程,就是在朝着这样的履职目标在努力。
就像我在企业风险管理应该为谁服务中提到的那样,风险管理职能的顶级目标是以专业的风险管理能力释放决策者对不确定性事件思考的宝贵时间和精力,在企业制定战略和做出明智决策过程中贡献力量。
来源:互联网