企业中,单纯从风控专业维度,开展的显性工作包括:风险管理、内控管理和合规管理。但在我的认知里,企业存量的制度、大量非成文的表单,包括企业治理,各业务、职能管理程序、活动中,都隐含着防范风险的功能,只不过属于隐性的。
譬如:企业中的财务管理、审计都属于天然的具有“监督”功能的职能;纪检机构的定位,则侧重于“保健医生”;质量管理也并非完全的质量事故发生后的处置,更多的是通过对质量方针、原则与标准的管理,延伸到项目或任务中,采取的管理模式既包括预防性措施,也包括过程中的检验、验收及不同阶段的评审等控制措施,诸如此类的工作,还有很多┉┉
企业开展的风控类业务,不仅仅是把传统的风控活动系统化、具体化、显性化、规则化,还包括规范化、标准化、程序化、责任化、可监视化、采取措施并掌控结果的过程。需要区别具体的风控活动、风险管理程序的不同。
01.偏颇的认识,容易把事情搅的越来越混
风险管理程序,不能简单理解为“标准”中所讲的搜集信息、风险识别、分析、评价、方案、应对的过程,这是风险管理时序逻辑的理论表述。所以,执行“风险管理流程”的说法并不准确,本质上混淆了“逻辑”与“活动程序”的关系,把问题复杂化了。管理需要逻辑作为输入条件,但管理的成效并不在于逻辑,而在于结果,这是偏颇之一。
现实中,做事儿的逻辑必然存在,但往往沉积于认识中。风险管理之所以强调“知识、认识与经验”,原因是,很多高能力的员工掌握的知识、信息是隐性的。这就是我们日常中所见到的:同样的事情,不同人分析、操作,会有不同的结果;一件没有头绪的事情,被某位专家“有意无意”的一句点拨,可能会让人豁然开朗,并非标准化后的风险管理活动、程序所能取代。
把希望完全寄托于导入一套工具、方法就万事大吉,是不现实的。再完好的设计,如果没有“人岗匹配”为基础,也不容易产生预期结果。这是认识偏颇之二。也是我当年为什么不在全集团推广某获奖风险管理成果的原因,过于书本管理知识的风险化。
很多企业开展风险管理、内控管理、合规管理,总感觉有心无力,或者“漂亮”的产出结果不能落地,或者没有成就感!根本的原因在于,不少人都“夸大了专业的作用”,或者把风控类业务视同为一次“活动任务”。忽略了三者与管理的关系、与制度的关系、与流程的关系、与角色“人”的关系、与绩效的关系、与责任的关系、与产出结果的关系。
企业中,即使很多时候都在谈“融合”、谈栩栩如生的PPT“漂亮的理论框架”,听起来道理满满,但没有具体的符合事理、人性的措施,都是徒然。这是偏颇之三。
02.认识底层机理,找到实施途径
就风控而言,在不同层级会有不同的方法表现形式、功能、作用、结果。譬如战略管理、决策、运营管理、监督等等,讨论风控,必须在限定范围的统一认识基础上,才能找到一条相对一致的讨论基线。我们重点讨论运营中的风控。
企业运营不是一次性的,譬如项目管理、市场开发、新产品开发、职能管理等等,都有一个重复的周期,风控机制需要与日常业务管理程序“溶合”,转变成业务运营程序中的一个构成、规则、习惯,才具备成为长效机制的可能。因此,风险管理程序,也可以说是管理程序中的“一个活动”。
具体到风险管理“程序活动”,需要有个规范化、标准化的过程,这是推广风险管理的措施。“程序活动”中则包括“风险识别、评估,提出应对措施”逻辑的子活动,反映到具体现实中,是程序活动的“规范化”。
规范化并不意味着完全靠“风险清单、风险矩阵”所能解决,而是一个节点的“产出增值”行为标准,风险清单只是指导现实的“启示”。活动的产出,构成了“传统流程产出+风险管理产出”,即管理程序中的“过程结果信息流”,随着流程的流转和角色责任的落实,达到管控风险的目的。
可落地的风险管理、内控、合规,都需要落实在程序中的活动,活动由角色完成,通过执行活动规范,实现符合设计预期的产出。
(1)对应到风控工作,就是程序活动节点要求明确化、结构规范化、产出具体化。活动的执行结果,包括了业务产出,也包括了风险评估产出,即风险管理报告,是风控显性化、标准化的具体体现,“报告”并不一定必须是文本,可能就是节点表单,或者叫工单。这是风控机制落地的最现实途径。
(2)对应到内控工作,通过对程序活动的规范化,保证产出质量,满足控制角色 “控制要素”的要求,本质是控制前置。实施控制前置的最好方法,就是预制一个“标准”,指导角色保证产出的质量。所谓的控制点,就是结合“标准”对产出质量的二次“检验、纠正、返工”。
(3)对应到合规管理工作,结合相关的外规、内制,识别合规义务,把影响履行义务质量的最低行为标准,落实到程序活动的规范中。通过角色主动实施满足最低标准的行为,保证产出能够满足合规要求。所以,合规管理不能脱离“外规内制”、不能脱离“活动规范或最低标准”,必要的时候,可以通过内控进行“检验、纠正、返工”。由此,合规既有主动行为,重要活动会有必要的控制活动作为保证,而内控是双重角色完成的。
03.改变视角,简化风控类工作要素
企业是一个以获利为目的的组织,企业中包括了由人构成的具有不同定位、职能的各个组织,大型企业拥有比较完善的规章制度或流程。企业中所有管理的目的是相同的,即通过当下的行动,使预期成为可能,预期即目标。所以,风控类业务同样是“管理”的一种表现形式。
管理的主体是管理者,管理的对象是人们从事的工作。管理要素可以概述为“事儿”、“人”。“事儿”又有多维要素,包括“时间、状态、数量、品质、功能或性能”等等;“人”则是最复杂的不确定性,会根据“个人的好、恶、结果预期的自我评估”,做出行为选择。
管理是多维的,需要通过事理、人性去引导人“把事儿做好”。由此,产生了“程序、规范、标准、绩效、权责、控制”,可以通过制度或流程体现出来。所以,制度与流程,本身就具有防风险的作用。但这是假设,现实中,企业的制度可能没有完全承载这些要素,流程的成熟度也可能不高,或者尚没有显性化。
企业要使风险管理类显性工作落地,必须建立在“增值”的视野下去思考、设计,增值体现在6个方面:
一是“让人”克服惰性,主动思考和认识不确定性;
二是主动管好“可控的不确定性”;
三是“把不可控的不确定性”向高阶传递,从而调动更多的资源,“把低阶岗位不可控的不确定性”,转变为“高阶支持下的可控不确定性”;
四是把确认的不可控的不确定性,通过采取必要的措施,化解或降低影响;
五是对影响巨大的不可控的不确定性,做出最坏的计划,即危机预案;
六是对具有较大概率、难以接受的结果趋势实施动态监视,或通过其它途径或方法,尽早让隐患暴露出来,把问题处理在“苗头”阶段,即风险监视与预警、问题或违规举报等。
通过分析,能够看出风险管理的导入,并非仅仅依靠“风险管理流程”所能解决,而是与日常管理、制度与流程、角色执行的活动规范、节点产出、信息流、角色的责任有关,风险管理要产生增值,需要在“特定的场景、活动、产出、程序”中落实。
无论风险管理、内控管理、合规管理,都有一致的底层逻辑。底层逻辑,就是对规律的认识和把握,从而采取必要的行动。
04.企业风控工作实例
实例1:技术型企业新产品开发的风控实例
技术创新是技术型企业的典型特征。大型新产品开发,一般采用的是项目管理模式。新产品开发是确定的必须完成的任务,计划是达成产品开发绩效的核心。项目经理是项目一级计划制定的责任者,项目管理部负责对一级计划的评审,是一级计划、二级计划关键节点执行的监督、风险预警者。明确责任,是做好风控类工作的前提,并非三道防线所能解决。
(1)一级计划的制定,需要对齐企业的合同节点、企业级内部计划里程碑节点、项目级实施关键路径节点。
计划的正向分解,是一个项目总体计划拆分的过程,其结果建立在某些“假设条件”基础上,假设即有不确定性,需要项目负责人组织,提出假设成立的必要条件,并进行风险评估,评估的结果是事项。包括:关键计划事项、资源配置、财务预算计划、成本、及时齐套、人员、设备设施、功能、质量计划等条件。对不确定的环节,需要通过风险管理报告,或计划构成中的风险评估内容体现出来,对风险程度、可控度、必要的措施、风险管理结果预期等,需要形成明确的结果。从风险管理导入角度,需要形成一个活动产出的模板,作为依据。
(2)一级计划评审,是一个控制活动,需要明确控制要素
项目管理部承担一级计划的评审主体责任,需要找到评审要点,即控制要素,从而提高效率,包括:
项目总周期是否存在风险;项目各阶段周期分配是否合理;项目资源需求是否存在风险;关键路径是否存在风险;关键路径上是否存在资源配置风险;团队成员的配置是否具有胜任力等等。
(3)项目实施风险监视与预警
项目管理部门对一级计划执行情况进行监控,且一般情况下一级计划不得调整,这是管理的基础前提。风险监视的重点是:一级计划节点的完成情况及产出质量;二级计划关键路径执行情况是影响一级计划的风险要素,必须纳入监视内容。由于有了明确的监视基线,对未按照计划完成事项,或者对节点存在隐忧的事项,项目管理部可以实施风险预警,由项目负责人制定必要措施以防范。在具体执行中,可以结合时间周期开展定期、动态的检查、监视与预警。
风险管理机制设计,并非简单地提出风险评估要求,而是转化为支撑目标实现的具体措施,无论是项目管理、还是风险管理活动、还是责任控制,他们的目标都是支持并服务于产品开发按计划完成。
实例2:风险思维缺失的绩效评价
企业中的管理者,承担对下级管理者及员工绩效及工作态度进行评价的责任。绩效评价是一把双刃剑,好的绩效是价值分配的依据,是激发员工激情的工具,是提倡绩效文化、促进员工价值增长的方法。坏的绩效评价,可以让组织陷入“内卷”,让员工失去承担风险的动力和激情。
在一次企业项目中,恰巧遇到该企业某部门对员工发布绩效评价结果,正如该部门下设的某机构负责人预期一样,不出意外地处于平均绩效水平。但同样的绩效评价,在上任管理者期间,该机构负责人基本保持了优秀状态,问题出在哪里?
管理者没有对下属机构之间职能定位、职责结构、工作的难易度,承担职责的人员数量进行评估,重复性承担低风险人员会获得好的评价结果。而承担几项职能、缺编2/3、被所有部门领导、2个企业级管理者分别管理不同职能、每项职能工作产出都需要经过董事会审议的机构负责人,无一年不是绩效一般。
原因在于,该部门的绩效评价,缺乏合理的评价基础,缺乏鼓励员工主动承担风险的环境,风险难度高、负荷重、人力资源严重不足,很难不暴露一些问题,譬如忙于计划的工作事项,而未按照管理者意图,办理非重要的相对紧急事项等等。从绩效评价导向看,该部门只是处于管理者个人的感性、好恶、导向的判断,或出于反映清晰的、简单的、容易体现成绩的业务绩效,没有风险思维导向下的评价标准,这种结果可想而知。
05.结语
无论是风险管理、内控管理,还是合规管理,本质都是在存量管理基础上的管理提升活动。对大型企业来讲,管理提升的根本在于“精细化”管理。
导入风险管理、内控管理、合规管理方法,需要认识其根本底层逻辑,找到具体的实施途径。但无论哪种方法,都应该建立在唯一规则的条件之下,避免出现“双标规则”现象。都应该成为支撑组织战略绩效、任务绩效、防火墙绩效指标、项目绩效、关键岗位绩效的具体措施。
来源:天锦咨询