论文部分内容阅读
目前很多企业或咨询公司进行的风控管理都有些务虚而不务实,偏理论化,不能解决很多实际管理问题,出现很多做了风控管理但照样发生很多风险事件,把风控管理越做越复杂等问题。为此,笔者近几个月探索并实践出了一些改进型的风控建设方法,取得了不错效果。
目前很多企业或咨询公司进行的风控管理都有些务虚而不务实,偏理论化,不能解决很多实际管理问题,出现很多做了风控管理但照样发生很多风险事件,把风控管理越做越复杂等问题。为此,笔者近几个月探索并实践出了一些改进型的风控建设方法,取得了不错效果。
理念篇
不论你是咨询公司还是企业管理者,开展风控建设前一定要真正明确为什么而做?可能大家表面上都说得好听,但有的咨询公司是以盈利为导向的,有的企业是以应付上级任务为导向的。国内非常多这样的企业,这样的理念下所做的风控建设成果很难给企业带来真正价值。
现状篇
很多央企、国企、上市公司已完成了风险或内控体系的建设,主要成果为《全面风险管理手册》、《内部控制手册》或两者合本,大多都包含了流程文件。但是大部分企业推行困难(这两年本人走访了上百家这些企业,发现很多同类问题),很多的是锁在柜子里,需要报审时拿出来汇报,日常工作却跟以前没多大变化。
分析篇
一、部分企业错误地将全面风险管理与内控分头建设,分开推进。
由于早几年国资委推行风险管理,五部委推行内控,于是很多央企和上市公司设置两个部门对接,两个部门分开推进风险管理体系和内控体系建设,结果变成了有的企业做成两张皮,有的互相交叉重叠,有的一直在纠结两者关系,也有少数企业把两者合并(这才是正确的做法)。
二、很多企业的全面风险管理体系建设步骤不合理。
我总结了一下很多企业的全面风险管理体系建设步骤:
1.收集风险初始信息,进行风险识别,建立风险库;
2.建立风险发生可能性和影响程度标准,开展风险评估,绘制风险坐标图,找出重大风险;
3.针对重大风险,设计应对策略和主要控制措施(有的设计了主要预警指标);
4.设计风险管理组织体系,包括风险管理的三道防线,决策、执行、监督单位,分别明确职责,建立风险管理制度和专项流程;
5.根据上述内容汇总成《全面风险管理手册》;
6.发布,宣贯,执行,监督,(考核)。
上述步骤的问题如下:
1.上来就开始进行风险识别,前端缺了风险管理体系建设三年或五年规划。风险体系的建设和运营成熟,没三五年肯定不行:
2.没有先解读企业战略规划、管控模式、组织模式等顶层设计,直接做风险识别可能与战略偏离,或者遗漏战略性的重要风险。
3.风险识别往往是各部门自行梳理,报风控部汇总形成风险库。但各部门梳理风险是站在部门的角度,极少站在公司整体层面看风险。这个问题很难解决,需要风控部门人员既熟悉公司,又要具有较全面的管理知识,汇总各部门风险点后进行整合、梳理,拔高。
4.风险评估流于形式。虽然制定了风险评价标准(其实发生可能性和影响程度的评价标准大多比较粗),但各部门在填风险评估问卷的时候,往往并不看评价标准,纯凭感觉,甚至草草填完就交了。因此,风险评估的结果其实并不准确,当然这需要时间。
5.风险应对策略虚、不实用、未深入业务。对于评估出的重大风险,有的企业做专项改进,有的制定管理建议,有的制定应急预案等,但若不深入业务制度和流程,就没有多大的实用性。同时,若只是基于现状,未能从流程优化的角度去改进,也不能解决风险。
6.大部分企业建立和实施风险管理体系,却没有建立风险管理KPI考核指标。风险管理的KPI,应当至少包含该部门所涉及风险的管理情况、风险预警报告及预警后的情况、半年度/年度风险管理报告、与风控部门的配合情况、在制度流程中的应用及改进情况等。
三、很多企业的内控体系建设步骤不合理。
再来看很多企业的内部控制体系建设步骤,问题更严重。
1.70%时间是拿着基于《内部控制配套指引》设计的控制矩阵(非常复杂的excel表),对企业内控情况进行穿行测试,查找不符合项,认定为缺陷,提一堆整改建议。
2.做完内控穿行测试后就套用配套指引的18个方面内容,画18个方面的流程+企业特殊业务流程+控制活动说明(脱离企业实际情况,套用指引18个应用指引),然后汇编成《内部控制手册》。
这样操作的结果是,企业拿到手册后,除了满足证监会合规要求,就基本没法使用。这样做出来的《内控手册》,基本是脱离企业实际、没有多少实用价值的,这是对企业非常不负责任的行为,内控若不能跟业务实际结合,若不能以管理提升为目标,要内控何用?
改进篇
前面是这几年发现的企业建设全面风险管理体系、内部控制体系的通病,我从很多很多客户那里了解到,他们觉得做这个真没什么用。作为一个风控从业者,我无比汗颜。经过几年的探索和近几个月的实践,我提出了改进型的风险与内控体系建设方法。
1.开始建设风控体系前,企业领导人应在启动会上明确表态,项目目的不是应付检查,而是发现并改进管理问题,实现管理提升(咨询顾问要提前沟通),并且将项目成果质量与各部门绩效挂钩,考核三个要点:是否发现问题、是否解决问题、解决问题效果。
2.风控建设不是风控部的事,而是整个公司的事情,因此要建立联合项目组,公司领导担任项目组领导,指定某副总担任项目主任,风控部经理担任副主任,其他各部门经理为项目组成员。这样一来,风控部经理在此事中比其他部门高半级,工作就好推进。
3.如果需要咨询公司辅导,就一定要选好项目经理。项目经理一定要知识面广,除了风控之外,要懂一些战略、集团管控、组织与权责、制度与流程优化。如果项目经理只是风控专长,不懂其他,那么他很难在项目中深入结合企业业务,进行真正的管理优化提升。 4.开始建设前,先制定风控建设与运行五年(或三年)规划。可以参考如下五年规划思想:体系搭建(总部及试点子公司)、分步推进(其他子公司推进)、高效运作(总部与子公司联动运作)、能力提升(综合风控能力提升)、行业标杆(成为风控行业标杆)。
5.以管理问题解决(或管理提升)为导向设计风控体系建设方案,让每个部门都参与这项工作,(做好沟通,不是给其他部门增加负担,而是帮各部门解决问题,提高绩效)特别强调风险管理与内控的融合,切不可分开推进,不要分散在两个不同的部门进行管理。
6.具体步骤如下:
(1)召开启动会,公司领导要强调以问题解决或管理提升为目标,强调此事纳入各部门绩效,但不是给大家压力,而是帮助提升绩效。然后风控专家进行培训,普及风险与内控基础知识,强调风控给企业带来的价值,多讲案例,少讲理论。
(2)召集公司副总、各部门经理开碰头会,讨论并梳理各职能存在的主要管理问题,初步梳理出至少50个关注问题点,作为接下来调研访谈的重点。例如战略规划不清晰、战略执行不力、权责不清、采购问题、关键人才流失、合同管理、应收账款等等。
(3)以挖掘问题为目标开展访谈(若无咨询公司,风控部可主导访谈)。对高层、各部门经理、各部门骨干进行调研访谈(必要时查看现场),全面了解工作现状,深入挖掘分析问题表现及原因(突出之前梳理的50个以上问题点),梳理出《管理问题汇总表》。
(4)分析企业战略规划,集团管控模式,当前管理基础。解读战略,分析实现战略的重点风险有哪些;解读管控模式,分析风控组织应如何设计;结合管理基础,总结风控体系建设的战略要点有哪些,形成《风险视角的战略与管控解读报告》,作为风控体系建设总纲领。
(5)站在公司层面视角,系统梳理当前流程框架(三级或四级流程体系,强调跨部门流程),再对标之前完成的《管理问题汇总表》及现有管理制度,形成“问题-流程-制度”的对应关系,再补上缺失流程及制度,得到《管理问题、流程及制度体系框架表》。
(6)根据《管理问题、流程及制度体系框架表》,让相关部门绘制现状流程图,还原流程操作现状。然后组织相关部门开展“流程优化研讨会”,以解决问题、控制风险为导向优化流程(可能包括权责调整、步骤增减、步骤调整等),直到优化后流程得到大家认可签字。
(7)流程优化完成后,对相关制度进行修订。包括:将制度与《企业内部控制配套指引对标》,与优秀企业同类制度对标(可能借鉴优秀企业先进的管理经验和模式),与优化后流程进行对标,综合以上三者对制度进行一一修订,然后讨论,上会,发布执行。
(8)根据优化后制度和流程,编制《权限指引表》。这个设计的权限表要精确到每个流程的每个表单,精确到每个岗位的,一目了然,非常实用和清晰,且容易IT化。如图1所示
(9)根据优化后流程图,一一进行风险识别,在流程图中标出风险点和控制点,对每个风险点和控制点操作方法进行描述,对应到岗位,形成《流程风控矩阵》(比事务所的矩阵精简,强调实用性,主要保留控制目标、风险点描述、控制点描述,输出文档,对应岗位)。
注意,以前大家描写风险点、控制点总是一大堆文字,使用者一看就头疼,执行不力,因此要求描述要精炼,文字量要越少越好,但主要意思要表达出来。例如报销流程中的几个风险描述:报销内容与实际不符,发票金额与报销金额不符,超过预算,超出报销权限,等等。
再说控制点的写法。业内控制点的写法五花八门,但还是文字量太大,使用者没耐心阅读和执行。笔者分析了多种控制点写法,总结了最精简实用的方法,主要是描述每个审核、审批、研讨、会议、监督、核对等控制步骤的关注点。
具体写法见图2。读者可以仔细对比三个控制点,是不是觉得比以前的写法精简多了?这样使用者就愿意看,愿意执行。此外,三个人审同一个报销单,但关注点是不同的,这是跟他们的职责相匹配的。不同人关注不同的要点,这个风险就得到了控制,这样的风控就深入了流程和业务,并且结合了职责和制度要求。
为了风控更加实用,融入业务,还需要将每个控制点的关注点嵌入IT审批流:例如管理者在系统中审批报销单,页面自动显示“风险提示”,里面是”风险点描述”,还有个“控制要求”,里面是”请关注1、2、3”,然后对关注点一一打钩,审批按钮才会出来。这样一来,风控就更加实用了,每个管理者在每个审核审批点,系统都会提示他关注不同的内容,从而控制了风险,而不是几本手册,难以推行。这样的系统功能开发,在OA或ERP中嵌入是很容易的,开发成本低、效果好。
(10)根据上述成果,建立风控组织,包括横向的三道防线,纵向的集团管理条线,交错行程风控组织网络,明确每条防线,每个部门的风控职责,考核指标,关键预警指标,建立风控专项流程,建立各部门风险管理报告模板,综上编写成风控专项管理制度。
(11)将前述成果汇编成《风险管理与内控手册》(也可以分开编,比较灵活),主要包括风控五年规划、风控体系整体框架、风控组织体系、各部门风控职责、风险库、考核指标、关键预警指标、权限指引表、全部流程图及与之一一对应的风控矩阵,然后发布实施。
注意:风控手册完成后往往是厚厚一本,使用者一看这么厚就不想翻阅,因此可以把手册按部门汇编,例如与财务部有关的流程,单独汇编一本,与人力资源部有关的,单独汇编一本,以此类推。将这些内容按前文所述的方法融入OA或ERP审批流程,实用性和执行力会大大加强。
目前很多企业或咨询公司进行的风控管理都有些务虚而不务实,偏理论化,不能解决很多实际管理问题,出现很多做了风控管理但照样发生很多风险事件,把风控管理越做越复杂等问题。为此,笔者近几个月探索并实践出了一些改进型的风控建设方法,取得了不错效果。
理念篇
不论你是咨询公司还是企业管理者,开展风控建设前一定要真正明确为什么而做?可能大家表面上都说得好听,但有的咨询公司是以盈利为导向的,有的企业是以应付上级任务为导向的。国内非常多这样的企业,这样的理念下所做的风控建设成果很难给企业带来真正价值。
现状篇
很多央企、国企、上市公司已完成了风险或内控体系的建设,主要成果为《全面风险管理手册》、《内部控制手册》或两者合本,大多都包含了流程文件。但是大部分企业推行困难(这两年本人走访了上百家这些企业,发现很多同类问题),很多的是锁在柜子里,需要报审时拿出来汇报,日常工作却跟以前没多大变化。
分析篇
一、部分企业错误地将全面风险管理与内控分头建设,分开推进。
由于早几年国资委推行风险管理,五部委推行内控,于是很多央企和上市公司设置两个部门对接,两个部门分开推进风险管理体系和内控体系建设,结果变成了有的企业做成两张皮,有的互相交叉重叠,有的一直在纠结两者关系,也有少数企业把两者合并(这才是正确的做法)。
二、很多企业的全面风险管理体系建设步骤不合理。
我总结了一下很多企业的全面风险管理体系建设步骤:
1.收集风险初始信息,进行风险识别,建立风险库;
2.建立风险发生可能性和影响程度标准,开展风险评估,绘制风险坐标图,找出重大风险;
3.针对重大风险,设计应对策略和主要控制措施(有的设计了主要预警指标);
4.设计风险管理组织体系,包括风险管理的三道防线,决策、执行、监督单位,分别明确职责,建立风险管理制度和专项流程;
5.根据上述内容汇总成《全面风险管理手册》;
6.发布,宣贯,执行,监督,(考核)。
上述步骤的问题如下:
1.上来就开始进行风险识别,前端缺了风险管理体系建设三年或五年规划。风险体系的建设和运营成熟,没三五年肯定不行:
2.没有先解读企业战略规划、管控模式、组织模式等顶层设计,直接做风险识别可能与战略偏离,或者遗漏战略性的重要风险。
3.风险识别往往是各部门自行梳理,报风控部汇总形成风险库。但各部门梳理风险是站在部门的角度,极少站在公司整体层面看风险。这个问题很难解决,需要风控部门人员既熟悉公司,又要具有较全面的管理知识,汇总各部门风险点后进行整合、梳理,拔高。
4.风险评估流于形式。虽然制定了风险评价标准(其实发生可能性和影响程度的评价标准大多比较粗),但各部门在填风险评估问卷的时候,往往并不看评价标准,纯凭感觉,甚至草草填完就交了。因此,风险评估的结果其实并不准确,当然这需要时间。
5.风险应对策略虚、不实用、未深入业务。对于评估出的重大风险,有的企业做专项改进,有的制定管理建议,有的制定应急预案等,但若不深入业务制度和流程,就没有多大的实用性。同时,若只是基于现状,未能从流程优化的角度去改进,也不能解决风险。
6.大部分企业建立和实施风险管理体系,却没有建立风险管理KPI考核指标。风险管理的KPI,应当至少包含该部门所涉及风险的管理情况、风险预警报告及预警后的情况、半年度/年度风险管理报告、与风控部门的配合情况、在制度流程中的应用及改进情况等。
三、很多企业的内控体系建设步骤不合理。
再来看很多企业的内部控制体系建设步骤,问题更严重。
1.70%时间是拿着基于《内部控制配套指引》设计的控制矩阵(非常复杂的excel表),对企业内控情况进行穿行测试,查找不符合项,认定为缺陷,提一堆整改建议。
2.做完内控穿行测试后就套用配套指引的18个方面内容,画18个方面的流程+企业特殊业务流程+控制活动说明(脱离企业实际情况,套用指引18个应用指引),然后汇编成《内部控制手册》。
这样操作的结果是,企业拿到手册后,除了满足证监会合规要求,就基本没法使用。这样做出来的《内控手册》,基本是脱离企业实际、没有多少实用价值的,这是对企业非常不负责任的行为,内控若不能跟业务实际结合,若不能以管理提升为目标,要内控何用?
改进篇
前面是这几年发现的企业建设全面风险管理体系、内部控制体系的通病,我从很多很多客户那里了解到,他们觉得做这个真没什么用。作为一个风控从业者,我无比汗颜。经过几年的探索和近几个月的实践,我提出了改进型的风险与内控体系建设方法。
1.开始建设风控体系前,企业领导人应在启动会上明确表态,项目目的不是应付检查,而是发现并改进管理问题,实现管理提升(咨询顾问要提前沟通),并且将项目成果质量与各部门绩效挂钩,考核三个要点:是否发现问题、是否解决问题、解决问题效果。
2.风控建设不是风控部的事,而是整个公司的事情,因此要建立联合项目组,公司领导担任项目组领导,指定某副总担任项目主任,风控部经理担任副主任,其他各部门经理为项目组成员。这样一来,风控部经理在此事中比其他部门高半级,工作就好推进。
3.如果需要咨询公司辅导,就一定要选好项目经理。项目经理一定要知识面广,除了风控之外,要懂一些战略、集团管控、组织与权责、制度与流程优化。如果项目经理只是风控专长,不懂其他,那么他很难在项目中深入结合企业业务,进行真正的管理优化提升。 4.开始建设前,先制定风控建设与运行五年(或三年)规划。可以参考如下五年规划思想:体系搭建(总部及试点子公司)、分步推进(其他子公司推进)、高效运作(总部与子公司联动运作)、能力提升(综合风控能力提升)、行业标杆(成为风控行业标杆)。
5.以管理问题解决(或管理提升)为导向设计风控体系建设方案,让每个部门都参与这项工作,(做好沟通,不是给其他部门增加负担,而是帮各部门解决问题,提高绩效)特别强调风险管理与内控的融合,切不可分开推进,不要分散在两个不同的部门进行管理。
6.具体步骤如下:
(1)召开启动会,公司领导要强调以问题解决或管理提升为目标,强调此事纳入各部门绩效,但不是给大家压力,而是帮助提升绩效。然后风控专家进行培训,普及风险与内控基础知识,强调风控给企业带来的价值,多讲案例,少讲理论。
(2)召集公司副总、各部门经理开碰头会,讨论并梳理各职能存在的主要管理问题,初步梳理出至少50个关注问题点,作为接下来调研访谈的重点。例如战略规划不清晰、战略执行不力、权责不清、采购问题、关键人才流失、合同管理、应收账款等等。
(3)以挖掘问题为目标开展访谈(若无咨询公司,风控部可主导访谈)。对高层、各部门经理、各部门骨干进行调研访谈(必要时查看现场),全面了解工作现状,深入挖掘分析问题表现及原因(突出之前梳理的50个以上问题点),梳理出《管理问题汇总表》。
(4)分析企业战略规划,集团管控模式,当前管理基础。解读战略,分析实现战略的重点风险有哪些;解读管控模式,分析风控组织应如何设计;结合管理基础,总结风控体系建设的战略要点有哪些,形成《风险视角的战略与管控解读报告》,作为风控体系建设总纲领。
(5)站在公司层面视角,系统梳理当前流程框架(三级或四级流程体系,强调跨部门流程),再对标之前完成的《管理问题汇总表》及现有管理制度,形成“问题-流程-制度”的对应关系,再补上缺失流程及制度,得到《管理问题、流程及制度体系框架表》。
(6)根据《管理问题、流程及制度体系框架表》,让相关部门绘制现状流程图,还原流程操作现状。然后组织相关部门开展“流程优化研讨会”,以解决问题、控制风险为导向优化流程(可能包括权责调整、步骤增减、步骤调整等),直到优化后流程得到大家认可签字。
(7)流程优化完成后,对相关制度进行修订。包括:将制度与《企业内部控制配套指引对标》,与优秀企业同类制度对标(可能借鉴优秀企业先进的管理经验和模式),与优化后流程进行对标,综合以上三者对制度进行一一修订,然后讨论,上会,发布执行。
(8)根据优化后制度和流程,编制《权限指引表》。这个设计的权限表要精确到每个流程的每个表单,精确到每个岗位的,一目了然,非常实用和清晰,且容易IT化。如图1所示
(9)根据优化后流程图,一一进行风险识别,在流程图中标出风险点和控制点,对每个风险点和控制点操作方法进行描述,对应到岗位,形成《流程风控矩阵》(比事务所的矩阵精简,强调实用性,主要保留控制目标、风险点描述、控制点描述,输出文档,对应岗位)。
注意,以前大家描写风险点、控制点总是一大堆文字,使用者一看就头疼,执行不力,因此要求描述要精炼,文字量要越少越好,但主要意思要表达出来。例如报销流程中的几个风险描述:报销内容与实际不符,发票金额与报销金额不符,超过预算,超出报销权限,等等。
再说控制点的写法。业内控制点的写法五花八门,但还是文字量太大,使用者没耐心阅读和执行。笔者分析了多种控制点写法,总结了最精简实用的方法,主要是描述每个审核、审批、研讨、会议、监督、核对等控制步骤的关注点。
具体写法见图2。读者可以仔细对比三个控制点,是不是觉得比以前的写法精简多了?这样使用者就愿意看,愿意执行。此外,三个人审同一个报销单,但关注点是不同的,这是跟他们的职责相匹配的。不同人关注不同的要点,这个风险就得到了控制,这样的风控就深入了流程和业务,并且结合了职责和制度要求。
为了风控更加实用,融入业务,还需要将每个控制点的关注点嵌入IT审批流:例如管理者在系统中审批报销单,页面自动显示“风险提示”,里面是”风险点描述”,还有个“控制要求”,里面是”请关注1、2、3”,然后对关注点一一打钩,审批按钮才会出来。这样一来,风控就更加实用了,每个管理者在每个审核审批点,系统都会提示他关注不同的内容,从而控制了风险,而不是几本手册,难以推行。这样的系统功能开发,在OA或ERP中嵌入是很容易的,开发成本低、效果好。
(10)根据上述成果,建立风控组织,包括横向的三道防线,纵向的集团管理条线,交错行程风控组织网络,明确每条防线,每个部门的风控职责,考核指标,关键预警指标,建立风控专项流程,建立各部门风险管理报告模板,综上编写成风控专项管理制度。
(11)将前述成果汇编成《风险管理与内控手册》(也可以分开编,比较灵活),主要包括风控五年规划、风控体系整体框架、风控组织体系、各部门风控职责、风险库、考核指标、关键预警指标、权限指引表、全部流程图及与之一一对应的风控矩阵,然后发布实施。
注意:风控手册完成后往往是厚厚一本,使用者一看这么厚就不想翻阅,因此可以把手册按部门汇编,例如与财务部有关的流程,单独汇编一本,与人力资源部有关的,单独汇编一本,以此类推。将这些内容按前文所述的方法融入OA或ERP审批流程,实用性和执行力会大大加强。