对企业实施风险管理、内控管理、合规管理、审计监督体系建设意义、途径与方法的讨论,并不少见。仔细品味诸多观点,很多都是基于专业角度的领会、理解或者具体行为思路。
企业是一个整体,企业的管理也是一个整体。企业中,哪怕一个机构、职位、工作分工的设置与变动,都会带来相关业务流程、组织层级的变动。一套工具、方法,或者称其为体系的管理理念的导入,更会对企业运营管理产生非常大的影响。
对企业来讲,为企业贡献价值是每一个机构、员工的追求,或者说是企业的诉求。秩序、治理、执行、绩效、完善是企业面对的主要问题,衡量一项工作、流程,或者一套体系产出意义的标准只有两条:一是对企业价值增长的贡献;二是对企业组织持续高质量运营的益处。
很多专业型专家,为反映风控、内控、合规管理、内部审计的必要性和意义,往往会赋以“创造价值”的说法。即便笔者从事该领域的咨询服务工作,也不认同这一观点。出现这一问题的原因,是基于专业视角的理解,而不是企业。
规模型企业,建立任何一个专业的管理体系,都是基于企业发展或运营的需要,而不是基于专业重要性的必须。即便企业考虑的是不得不履行来自于上级赋予的体系建设义务,也不应视体系产出的价值、作用而不顾。
对企业来讲,创造价值必须具有持续性、长期性,不能以通过某一体系发挥了挽回损失、避免损失进一步放大的“偶然性”作用,混淆企业创造价值的管道或链条结构。
对众多实体型企业来讲,风险管理创造价值、合规管理创造价值、审计监督创造价值等等的说法或观点,并不准确(不包括运营风险的保险类企业)。不准确的体系建设定位,不仅无益于员工对体系的理解、落地与执行,还可能会扰乱企业正常的运营秩序。
跳出企业看企业,只有当企业与外界发生交易或关系时,才具备了价值实现的可能;发生在企业内部的管理、体系的运作,都可以概括为成本构成或成本之源。风险管理、内控管理、合规管理、内部审计监督体系的建立,同样会构成企业的运营管理成本。
回归企业的本质,企业因利益而生存,话看似庸俗,但一点都不虚伪。即使号称“盈利不是主要目的”的部分央企、国企,盈利能力、盈利规模、盈利的增长性衡量指标,也从来没有缺失过。
成本控制,是企业提升盈利能力,获取更大收益的直接措施。站在企业角度,清晰风险管理、内控管理、合规管理、内部审计监督的专业定位、作用、目标要求,寻求最大效能条件下的建设途径和方法,是企业开展体系建设必须考虑的基点。企业内部管理体系的建设,基于企业而不是专业,专业提供的是理念、思路和方法。
成本控制的效果,也不是从专业角度、专业目标进行的衡量,需要从专业与企业其它业务之间的关系、协同、产出角度去度量。从企业内部来讲,降本增效并非孤立的“压缩费用”表象,重点在于效率的提升、品质的改善。可以简单理解为,同投入下的产出最大化,最大产出化的衡量,不是完成了什么具体工作,而是来自于对企业的贡献。风控、内控、合规、内部审计当然不能例外。
02.对风控、内控、合规、内部审计效能认识中的偏颇
当我在企业培训中,结合三种不同性质的技术创新、三种性质的生产模式、封闭还是开放式供应商管理模式选择等等,去探讨企业风控工作途径、开展方式时;当我从企业制度管理的制度范围、结构、性质、作用、制度的遵从与执行的不同点,去探讨制度与内控的关系、制度与合规的衔接时;当我讲解企业内部审计监督的定位、如何发挥监督作用时,每次都能看到不少员工的惊讶表情,他们平时接受的,大都是专业型、各说各有理的培训,而不是基于关联要素下的专业培训。
当与客户企业一起翻看其早已完成,但早已成为资料的内控手册、合规手册时,眼前浮现的总是非常熟悉的情景:专业人员的执着、偏执与眼睛内向化;只有延用上级文件说法才能不发生争议,而不能结合企业实际,提出创新型观点,甚至发生抄都抄出错误的问题;模糊的诸如“融合”、“执行”、“如果分析不合理、不到位”、“如果违反制度”等等“假、大、空”话,内心总是阵阵惆怅。
一是就事儿论事型。譬如:风控、内控、合规培训,完全基于理论或政策的讲解,与企业运营结构割裂,与企业其它相关存续工作断裂。或在实际工作中,忽略了专业存在的基础、条件和假设,片面追求专业的成果产出,追求于“形”而不求其“效”,于是,手册产生了;于是,在惊喜于产出成果之后,为不能落地的彷徨开始了;于是,无效试错周而复始了。
二是不准确的希望。偏执地认为,只有专家的意见是正确的,认为导入一套工具,采用一套专业方法,就可以解决问题。譬如:认为通过内控体系建设,可以全面构建企业的运营秩序,于是,把所有制度改称为“内控制度”的“以点盖面”的说法产生了,却忽略了制度的权威与作用;认为通过合规体系建设,可以化解企业监督中发现的所有问题,于是,不断加码的“合规监督”手段出现了,却忽略了监督与激情的关系;认为通过风控体系建设,可以解决所有风险隐患,于是“风险语言充斥于各种场合”,却忽略了机会、目的的把握,但具体到行动上,却踪迹全无。
三是用架构替代了工作。架构是企业管理中的一种结构化、逻辑化原理型工具,但不是具体体系的直接结果反映。在很多场合,都会接触到通过PPT反映的“美丽”理论架构,接触到专家们的架构话题,甚至会演化为盲目的架构标杆崇拜。譬如,我在制度管理中引用过“制度架构”,但在有些企业却出现“画架构图”的奇观,仔细分析架构指导下的工作结果,架构作用却无影无踪,问题在于没有配套的规则控制,“画架构”的本质,只是为了反映其管理“专业”的假象。
对大多企业来讲,决策层、运营管理层、运营执行层、支撑层是基本的共性结构,反映于不同层级的风险管理方式、方法、作用、目的是不同的。由于内控、合规的导入,企业风险管理需要作出定义,避免混淆不同职能、工作之间的目的和作用,至于三者之间的范围、边界等理论内涵的解释,并不重要,没必要往复讨论浪费时间。对企业来讲,清晰的定义之后,就是它存在的必然。
对决策层来讲,常规的活动场景包括:决策、审批、审议、讨论、决定。5者之间存在很大的不同,但在很多企业中,并没有具体划分,反映其中的风险管理机制、方式和方法,必然是模糊的。
对运营管理层来讲,管理模式、方法、程序、重要活动,决定着风险管理的具体行为体现。对风险结构、要素的识别,是管控与监视风险、促进风险管理落地的本源。譬如:航天领域的“九新”管理,“九新”是影响产品品质的风险要素,执行层按照“九新管理制度”执行,对各风险要素进行评估,与风险阈值进行对比,以反映偏差,支持评估结论,其产出就是“风险管理”的结果体现。但反观该制度,并没有“风险语言”的直接体现,但发挥的就是对品质风险的评估与管控作用。
风险管理最容易陷入的误区,在于不切实际地猜度或“模糊风险”的无限遐想,却找不到落实的“工具和方法”,能把认识到的风险事项,通过必要的机制、手段、规范,描述具体化、措施有效化、反应及时化;能够在关键节点,让活动角色主动开展必要的风险评估,及时反映“不确定事项”,已经是非常显著的成就。好高骛远、不切实际、不加区分地强调全面,或把本质风险当做“风险事项”,是风险管理最大的“忌讳”。
内部控制是管理的一项职能。内控管理涉及企业的管理规则,即制度和流程。在企业中,对同一事项、业务的管理规则要具有唯一性,决定了企业开展内控建设的前提,需要明确企业管理规则的主要形式是什么?控制是影响效率的要素,需要明确控制节点的最长处理时间。
内控建设不是规则的翻版,而是规则程序具体化、控制活动规范化的过程,否则,内控建设、或者复制转化的流程与内控没有任何价值。内控建设的产出,需要符合唯一的规则方式和具体内容,当二者发生冲突时,最终的裁量权在于定义的主要形式“规则”。所以,内控产出只有程序化、具体化、规范化、可执行化,只有置身于规则之下的创新,才具有建设和应用价值。当然,在规则缺失的情况下,合理的内控(流程+控制)是成立的,需要企业在内控手册中具体说明。
从完整的内控建设逻辑分析,常规内控建设的前提包括“控制制度化”的过程,只有控制制度化,才能满足国资委“制度流程化、流程控制化”的假设条件,这就是企业内控工作,与制度、流程工作的相关性。
通过内控建设梳理的流程,不仅要反映常规程序,还要反映具有周期性、或发生概率较大的非常规程序(本质是特殊的常规项),但不包括特殊的偶发事项。
从理论逻辑上分析,合规管理包括合规义务、要求的识别,提出必要活动的最低行为标准,明确对应的行为责任主体,从而提升企业、员工的合规执行力。
合规风险评估的本源,仍来源于“制度”(包括外规、内部制度等),制度中限制性的条款、要求等事项,构成了“义务”,可以说,企业在不清晰相关“制度”规则的条件下,合规风险评估很难完成,合规管理不可能完整、有效,或没有存在的理由。对企业、员工来讲,法无禁止即可为(不包括道德层面的合规),红线不可碰,底线不可破。
开展合规管理体系建设的前提,是梳理企业管理的“制度”,企业中制度管理的对象,并非只有企业自身的内部制度,包括来源于不同方面的“上位制度”。一个制度管理范围、结构不清晰的企业,何谈“合规管理体系”的有效?
在很多企业中,把“揭示问题”作为内部审计的定位和目标,是不恰当的,本质反映的是平庸与懒惰。
分析国家审计署的会议精神,多次提出“从传统审计向管理审计转变”,何谓“管理审计”?我把管理审计划分为两个方面的内容:一是从企业运营管理程序、规则建设、执行角度进行的审计活动,包括但不限于财务审计,本质就是内控、合规审计的过程;二是审计问题的分析、运用及结果,取决于企业内部审计机构的定位、工作模式,以及如何为企业做贡献的想法和努力。
审计问题如何衡量?对企业来讲,发生一次不能容忍的新问题是偶然,通过整改加以规范、纠正;发生两次重复问题是过程适应的概率,可以采取必要的措施加以整改、警示或处理;发生三次重复性问题,除主管机构要承担主要责任之外,审计机构也有难以推脱的连带责任。但,很多企业缺失对问题的衡量标准,只是忙于问题的处理和救火。
监督的目的,从表象看是发现问题、揭示问题,但从本质上,是通过监督震慑,降低人为的可控问题风险发生的概率。企业的内部审计是一项监督职能,不同于外部公共审计或会计机构,不能简单套用外部审计的定位。从企业角度,对内部审计的绩效过程指标包括3个:外部审计问题降低率;内部审计未发现但被外部监督发现的问题数;内部审计发现但仍重复发生的问题数。
所以,我把企业内部审计定位为:揭示问题,举一反三,降低问题重复发生的概率。如何实现,是仁者见仁、智者见智的问题,解决这一问题的方法很简单,核心在于它承担什么“绩效指标”和责任。
