被随意解读的风险管理还有救吗？如何提高内控、合规、风控的可管理、可操作、可评价性

在企业管理中，风险管理往往呈现为一个独立的职能系统，在有利于提高风险管理规划系统性的同时，也容易导致风险管理与具体应用体的脱节。

其次，风险管理是一个概念，再加上主管部门相继推动“风险管理、内部控制、合规管理”工作，导致不少企业混淆了三者之间的界面关系，要么孤立认识、要么混淆为一体，造成风险管理的系统化运作出现混乱。

再次，在企业的经营、管理过程中，可以说风险无处不在，导致企业“风险用语”泛滥，而风险表达本身的模糊性，反而降低了对象的可管理、可操作、可评价性。

另外，企业为了提高对风险管理工作的指导性，往往会借鉴风险管理方法论中的描述，事先对风险进行分类、分级，形成一个多层级的风险框架。但在实际应用中，事务、风险、基础管理之间的关联性错综复杂，一厢情愿的风险框架，反而形成了对风险实施管理的障碍。

最后，在与企业就风险管理的实际沟通中，能够感受到主管人员对风险的认识是跳跃的，体现在一会儿假设、一会儿事项、一会儿环境，或者把正常的事务用风险的语言表达，反映出企业风险管理在整体规划、运作管理方面存在缺陷。

本文采用系统化思维，就以上问题提出解决方案。

01.把风险管理规划在目的边际基础上

风险管理是一套理论吗？在我看来，更像一项应用实践学，与之对应的更接近方法论。无论是COSO框架、风险管理指引、内部控制规范与指引、合规管理指引或办法，都是为企业开展工作提供支持，适用于各种企业的“指导性”规范。

其实，即便没有内部控制、合规管理的指引或要求，从风险管理整体规划的角度，也可以演化出内部控制、合规管理工作。因为，他们都是以管理风险为导向的“衍生物”。

这一共同特性，决定了企业对风险管理的整体规划，需要对以管理风险为导向的各项工作，做出合理界定与系统化的妥善安排。

从管理的角度，任何管理最终都会转化为行动表现出来，否则管理无效。

如果从风险管理实践的维度理解，风险管理泛指以化解、预防与降低风险为导向所开展的各种活动。对风险管理的整体规划，不是基于风险管理本身，而是从“应用角度”进行的设计。

只有从应用角度进行设计的风险管理，风险管理活动才具备可管理、可操作、可应用、可评价的功能及特性。所以，风险管理的系统构架不是基于风险的划分，而是从企业管理风险需求所带来的目的、功能、特性角度，对风险管理工作进行的“界定”。

很多企业在这方面都存在设计不足问题，所以，十几年过去了，风险管理真正的效能与持续性，究竟发挥了多少呢？前端规划失误，后端加倍反噬，是管理中的“长鞭效应”。

在企业中，我们常见风险框架、风险树的做法，甚至搞出来一套包囊各种风险描述的千页手册。风险管理不能这样做，可以直接说，看似颇丰的产出，毫无效能可言。

因为，从风险的维度，理不完、理不清，何况，管理导向不是风险，而是目标，风险管理只是保证手段。

如果从风险的维度划分，按属性划分为假设风险、条件风险；按来源又可划分为外部风险、内部风险；按方法论划分，又可划分为战略、市场、运营、财务、法律风险。

可以明确地说，上述的划分方式，无论企业怎么拆解、定义，都无法做到界面清晰、相对独立、可管理、可操作、可评价。那又何谈风险管理的有效性呢？

从目的、功能、特性角度如何界定呢？企业的风险管理可以划分为4类：面向战略规划的风险管理、面向绩效的经营风险管理、面向能力支持的风险管理、面向管理的风险管理。

面向的对象，即风险管理支持、服务的目标。凡通过风险管理识别的重要风险，必须有风险影响措施，即行动方案，落实的过程即开展的“工作”，还需要在风险管理终结之时，做出“关闭、继续保留、发生”的结果处置意见。

风险管理之所以构成“管理”，不是为了识别、表达出风险给大家看，而是“面对风险应该怎么办、结果如何”。

当然，作为风险管理，规划并非如此简单。比如，面向战略规划识别出来的风险，除构成工作的风险影响措施之外，还需要对“重大风险”提出应对措施，即风险发生后的应对预案。

比如，风险管理中包括风险评估，是谁都明白的逻辑构成，核心不是告诉员工要进行风险评估，而是告诉他们“评估的对象是什么，评估哪些要素，评估的结果怎么用”。

02.面向战略规划的风险管理

那什么是战略风险呢？凡是影响企业目标、资源、竞争力、效益的风险事项，都称为战略风险。其价值意义体现在哪呢？战略规划即战略制定的过程，该部分的风险管理，是战略分析的内容，通过机制建设，形成例行工作。

所谓风险管理与业务的融合，不是要讲这个道理，而是要“如何成为一体”。构成的一体，一定不是风险管理本身，而是基于目标需要开展的工作，风险管理是构成工作的手段，运用手段的产出，即风险识别、评估、解决方案、应对措施。

任何企业的战略制定都会做战略分析，至于分析到什么程度，每个企业并不一样。需要承认一点：单纯依靠战略管理部门，难以完成战略分析，即使做了所谓的战略分析，也做不到具有实质意义。

因为，战略风险大部分来自于外部对业务的影响，包括政策环境、行业市场环境、客户变化、竞争对手，以及因选择而带来的面向外部的经营风险。要完成类似风险评估，依赖于市场、销售、研发、采购部门。

正是大部分风险来自于外部，企业不是为了防控也不是单纯为了规避，而是与内部能力、期望匹配下做出选择，才能与企业中期战略、领导期望结合，规划出近期的年度经营目标、面向中期的战略投资取向，构建或发展企业的核心竞争力。

在战略分析与风险评估中，业务部门才能基本具备确立下年度初步绩效目标、准备承担并挑战的风险事项的条件，具备通过年度行动计划，与企业经营计划纵向对齐、横向与其他部门工作拉通、与企业主管领导进行绩效沟通的基础。

没有这个分析过程，各业务部门的下年度工作，非常可能停留在被动状态下的“消极计划”基础上，也不会产生有区别、有排序的年度工作重点，谈不上真正有意义的绩效追求。所谓收益与风险成正比，就是这个道理，目标的高低，意味着风险程度的不同。

比如，企业下年度准备开发一个新的国家市场，就需要收集目标国家的税收、海关、质量环保安全等政策，掌握安全环境、本币汇率、当地人工费用、生产资料当地价格与物流能力等信息，才能提出策略，否则连成行的可能性都不存在。策略或具体行动，需要落实在企业内部，即风险解决方案。

当风险管理真正被转化为实践的时候，风险语言的表达程度并不太高。我们总讲风险具有客观性，只要明确了需要收集的风险因素、明确了产出规范，就转化成了“确定性工作”，工作的开展过程，构成了风险管理的过程。

同样，对市场环境的分析，关注的是新技术、新产品、构成新商业模式的潜在对手等信息，也包括自身市占率、盈利能力与行业平均值对标的分析。

没有类似的评估，就难以通过选择形成产品排序，就难以形成针对性的产品组合，进而影响针对性的预算投入，即内部投资，企业的综合盈利能力也会受到影响。

当然，即使不开展这些工作，也并不意味着企业不能经营，只不过会因管理粗放牺牲些效率与效果罢了。比如，企业并不少见的不具回报性或回报很低的销售合同等。

既然战略分析、风险评估支持企业的战略规划，那么战略规划的目的是什么呢？包括4点：一是获取近期的经济收益而不是财务收益；二是通过战略投资，不断提升企业的核心竞争力；三是通过投资提升企业内部运营效能；四是提升与企业业务发展相匹配的管理保障，即管理提升。

为什么一些大型企业讲不出自身的核心竞争力是什么呢？一是没有有意识地构建，发展处于一种自然状态，当环境恶化时，企业很快会陷于被动；二是因为确立竞争力所在，企业每年进行的内部投资就失去了方向，只是根据中期、短期需要进行的自发行为。

风险管理在做什么呢？不要把风险管理完全视为假设基础上的主观猜测，没有人能够准确地预测未来。风险管理存在于企业的运营框架中，因目的需要而开展，除内控针对的“不确定性假设风险”之外，都是基于客观认识、分析下的判断，通过行动化解或降低风险影响。

03.面向绩效的经营风险管理

面向绩效的经营风险管理指的是什么？该类风险管理谈不上防范风险，而是建立在“承担、挑战风险”基础上。

绩效来自于哪？来自于行动。行动来自于哪？来自于“机会与风险平衡选择”的行动方案，包括行动计划、某专项的专题方案计划等等。在大多企业中，有行动计划必有检查、考核。

既然要行动，每个员工承担的工作是多样的，复杂度、挑战性也存在区别。如果从风险管理的视角，构成了确定性的、风险性的、不确定性的工作事项。所以，体现在年度经营计划的目标，经济目标往往是一个包括上、下限范围的目标集合，任务目标是一种定性的结果表达，防火墙指标是需严加控制的负向指标。

每个企业的年度经营目标虽然大致类同，但在结构上并不完全一样。战略管理规范的大型企业，会通过KPI、战略澄清、战略地图的方式，与各部门行动计划形成“对接”关系。规模较小的企业，会呈现为直接的结构。其中，支持目标实现的工作事项计划，是有排序的。

没有排序，就无以管理，就无以区分责任、挑战性的大小，就谈不上领导者、管理者的关注重点，更谈不上客观的绩效评价。不加区分、责任不清的规划，结果的不确定程度自然偏高。

什么是经营呢？从企业整体看，把行动方案变成结果的过程，即经营。所以，面向绩效的经营风险管理，随着构建行动方案而完成，构成了“企业运营过程中”承担、挑战风险的工作指引。

这个过程，也构成与企业年度风险评估的同步，完全可以评价出企业的年度重点风险。问题是重点风险如何脱颖而出呢？

企业级的年度风险评估是一个“组织开展工作”的行为，对行动方案进行分析、预测，并识别出重点风险事项的过程称为评估，而确定企业级年度重点风险的过程，不是评估出来的，而是分析、评价出来的。

分析，离不开汇总、综合、分类、筛选的过程。评价离不开判断基准。在不少企业中，往往非常直观地根据风险损失程度、可能性建立评价标准，是一种直观理解的产物。

评价基准是根据“评价执行的过程方法、结果状态”进行的设计，是把评价结果与基准直接匹对，形成“强制性”风险排序结果的依据。所以，评价基准是根据风险程度、可能性“组合”进行的人为“定量分布”的预先设定。

企业级的年度重点风险评价，关键不在于“评价基准”，而在于基于风险事项进行评价的“量度标准”。

在具体实践中，很多企业往往通过选择不同层级人员进行直接判断的方式，对风险事项打分完成。虽然都叫判断，但判断的方式、方法不一样。

根据风险管理部门提供的判断打分标准，直接对风险事项的程度、可能性进行打分的方式，也叫判断。受评价人的立场、对风险事项的熟悉程度、自我主观认识影响，无法形成相对客观的判断结果。

执行风险评价量度标准，不是“一次直接打分”完成，而是拆解成“每个评价人”都可形成“基本认识”的分类量度，而且无需评价人做出结果汇总的定量方法。无需评价人针对风险进行评价，而是从评价能认识的确定性角度进行的评价。

由于风险事项来自于行动方案，对企业重点风险可以形成风险清单。企业中所有的风险清单是用来用的，而不是推送给别人。企业风险管理主管部门可以据此进行跟踪、监视、审查等等，才能够评价风险管理效果。当然，清单是可以分级的，管理机制也需要明确。

其次，与企业经营有关的“常态关注的风险”，比如，应收款、发电量、收入确认、存货等，需要设定“先导指标”，对企业关心的影响高质量发展的风险指标数据进行动态监视，需要与企业日常经营分析机制结合起来。

企业中常见的因“问题苗头”而形成的风险管理机制，遵从风险管理逻辑，但属于风险信息管理与处理范畴，纳入日常的责任管理体系中。

04.面向能力支持的风险管理

什么是能力呢？包括组织、人才结构、技术、产品、财务、供应链、安全、保密等等，都是支持企业经营的能力反映。

能力有两类：一是支持企业短期经营的能力投资；二是支持企业长远发展的战略能力投资。所以，面向能力支持的风险管理，构成了企业全面预算的“内部投资指引”。

支持短期经营的能力投资无需进行风险管理，会放大管理成本，依托日常管理即可完成。风险管理重点应用于战略能力投资，而战略能力投资往往呈现为“专项”，是企业构建和提升核心竞争力的行动表现。

所以，企业必须理清战略能力投资的构成。比如，反映为组织能力的组织变革、人才结构建设规划；反映为提升竞争力的并购重组专项；反映为企业打造市场竞争优势的综合成本控制、关键技术开发、新产品功能、性能与品质、重要的固定资产能力保障投资建设等等。

企业任何战略能力投资，都属于较大的投资行为而富有风险性，风险管理的出发点是“防范投资损失风险进一步扩大”，所以，是风险评估、战略阶段决策控制的结合。

既然是战略能力投资行为，必然伴随着阶段的评审、决策。评审、决策依据，来源于确定性进展与数据、风险评估、评审控制，这里的内控，就是企业最高阶的、领导人参加的、专家集体评审的战略控制点。

比如，笔者以往在集团与二级单位主管共同推动的型号专题风险评估，是在满足预设基准条件下，产品出场前必须进行的专项风险管理。要成功，就不能存在质量隐患，要评估，就要找到评估要素，从人、机、料、法、环、新工艺、新技术、新问题的变化角度进行评估。其中，预设的基准，也是基于“风险”判断而进行的设定。

要素的变化程度，在设定基线范围内且没有出现质量问题的，无风险；出现质量问题的，需说明归零情况，与过往同类产品的数据进行对比，得出风险评估结论。变化程度超出基线且没有出现质量问题的，需与过往同类产品质量数据对比，得出风险评估结论；出现新问题的，必须在形成确定性归零及结论的前提下，在做出风险评估结论的基础上重点审查，任务责任单位需做出明确的结论。

这样的风险评估，实现了与企业价值链运作追求目标的归一，提高了评审的“可评性、有效性”，同时，兼顾了管理成本，只有超出设定基准的项目，才开展专项风险管理，减轻了一线人员的负担，能够被各单位主动接受，所以，形成了长效机制而得到持续。

任何的风险评估，都需要建立在“确定性”基础上。即使从“风险管理系统”的维度，也离不开“面向管理的风险管理产出”这一确定性基础，即内部控制、合规管理。相对战略、绩效、能力的风险管理而言，内控、合规系统的建立，就是“建立管理确定性”的过程。

风险管理是一个范围很大的概念，为了避免前3项风险管理与面向管理的风险管理之间产生混淆，我们把前三项风险管理，统称为“风控”，取代风险管理这一概念，使风险管理成为反映“能力”的概念表达。

企业中的内控、合规管理、风控、风险报告与处理，共同构成了企业的风险管理能力。

05.面向管理的风险管理

何谓面向管理的风险管理呢？首先，必须理解，内控仅仅是一个外来“词汇”而已，转化到企业的实践，呈现出来的就是“控制”。

其次，应该理解到企业内控所指的“控制”，是管理的一项职能。通过线下的标准控制、线上的过程控制与决策控制活动、线下的监管与监督控制活动构成。

企业的合规管理，本质上与内控管理趋于一致。合规管理办法中所指的“合规监管”，即线下的监管与监督，是一类“控制活动”。

类似法务或合同管理人员、首席合规官进行的合规审查、其它部门进行的管理符合性审查等，是线上的“过程控制”，是内控的建设重点，但不是唯一。

违规举报，是监管与监督采用的“控制方法”，只不过从合规管理角度，反映出来的是一种及时发现违规线索的功能，目的一致。

企业的合规管理与内部控制基本是“统一”的，但也存在两点不同：一是合规管理面向“行为违规风险”，需要构建违规程度认定标准、违规追责执行标准；二是用内控替代外控的风险评估过程，既然评估出了合规风险，需要通过风险清单这一载体，提高“化解合规风险”的责任落实度，是“风控”的表现，必有行动方案对应。

这里我用了“内控替代外控”的用语，其产出物或制度、或流程、或标准、或规范，但企业在管理中不能出现“内控制度”、“内控流程”的泛化说法。

因为，从企业内部看，控制会体现为标准、审核、审查、决策、监管、监督等活动形式，遵从的逻辑是：由于设立制度、流程，需要对执行过程中的“不确定性假设风险”实施影响，实现产出稳定，影响措施即“控制”。

其中，决策活动因公司治理、分权与授权，通过制度、流程等确定性规则明确，是流程中必不可少的活动，不属于内控建设范畴。

由企业内控建设引发的梳理流程，是因为企业不存在显性的“流程”而不得不为之，要提高流程品质，需要嵌入“控制”，所以，内控建设的产出，通过“制度、流程、标准、控制活动”的形式反映出来，但不能“逆逻辑表达”，会造成员工认识混乱。

由于内控管理、合规管理需要而建立的管理制度，就同质量管理、安全管理、财务管理建立的制度一样，是什么制度就是什么制度。管理追求的是清晰化、条理化，企业不能随意“导入新词汇”，打破员工已经形成的并非不良的习惯认识。

因为，制度、流程的本质，本身就是要培养一种“习惯”，使制度、流程，从形式遵从转变成事实制度、事实流程。

至于合规行为准则，也是企业内控环境中的一个构成反映。如果没有就加以补充，如果已经建立，对比办法、目的、管理需要审视一下，可以加以完善，仅此而已。

结合本文的论述，从风险管理整体看，内控、合规、风控，哪怕再把法务、监管、监督考虑在内，他们都不是“一体化建设”的表达，而是基于不同功能结构相互作用、集成的系统化运作构架。

那么，如何控制企业中的风险语言呢？企业风险管理的风险表达，建立在企业“已有管理、技术的极限”之处。凡已经处于管理、技术影响范围内的事项，不得再使用风险语言表达，是风险管理系统运作的“执行标准”。

正是设置了风险管理执行标准，超出现有管理、技术范围的风险表达，说明现有管理、技术，已经出现了“不能支持正常运营的问题”，需要提出“对应的工作计划”，即持续完善。

结合“面向管理的风险管理”内涵，通过导入内部控制、合规管理形成的管理体系、监管体系，在未发现明显的管理问题时，不再用风险语言描述，而是做什么说什么。

比如，法务人员或合同管理人员对合同的日常审核，不能再用“风险语言”陈述审查重点，因为，控制、合规等已经建立了“确定性的审查”活动，该怎么审查就怎么审查，该审查什么就审查什么。

比如，企业内控建设中最难实现“规范、标准化设计”的法务审核，指的是法务人员运用“法律知识”，从预防法律风险的维度进行的控制，是“技术”层面的技能发挥，不需要再用“风险”语言陈述，管理不会涉及到“技术”层面，是一个发挥技能的灵活空间。只需要明确一条：经法务人员审核的事项，因出现法律责任问题造成损失的，法务人员需要承担部分法律控制责任。

那么，在管理中什么时候使用风险语言呢？除非发现了“新的不足、新的变化”，才轮回到“风控”，必然涉及风险语言表达。由此而识别的风险，预防或发现风险的措施，即对应“流程与控制”的增减、优化或完善。否则，企业的风险管理不仅不会产生价值意义，还会造成管理混乱、低效。

比如，在国资委《合规管理办法》中提出，企业需要结合经营情况进行合规风险评估，在实践中转变成了面向合规风险的“风控”。为什么出现这种情况呢？是由于风险管理系统化规划，把交叉、叠加部分进行了切割而形成的结果。

系统化管理的最大优势，在于通过划分，提升了相对独立性而又不失各部分的关系，构建了运作秩序，进而提高了可管理、可操作、可评价性。由于化解了交叉、重复甚至矛盾的客观存在，提升了整体效率与效能，降低了综合管理成本。

企业的内部控制管理、合规管理，即面向管理的风险管理，产出体现在流程、制度、标准、监管、违规处理等确定性内容的持续完善、遵从与执行。

唯有此，才能让企业重新回归日常经营、管理常态，才能让风控成为支持、服务企业战略制定、战略实施、绩效管理、经营复盘的整个过程，为企业高质量发展提供了有价值的保证，且可持续。

返回列表