【全文】
导语:风险内控合规到底要做什么?很多从业者可能认为这个问题不是一个问题。过去一直在干的事,还需要再问吗?其实,不然。可以说,大多数人,从企业高管到业务人员、风控人员,包括很多的咨询人员,都有一种认识误区。
年底了,很多国企法律合规部门开始编制年度风险管理报告、内控评价报告、合规管理报告等,对过去一年的风险内控合规工作开始总结,并提出下一年工作计划。
这些报告的结构和内容,可能大同小异。对于风险管控做了哪些事,存在哪些问题,下一步准备做哪些事,进行罗列,并提出一些基于时间安排的进度计划。
但是,是这些所列举出的措施(制定制度、流程,加强培训,确定职责等),对企业的风险起到管控的效果吗?
如果不细究,可能会这么认为,包括本人,之前也一直是这样认为的。
我们都在假设,基于我们的风险评估,对企业的业务行为和职能管理等进行风险辨识、分析、排序,然后给出应对措施,包括制定风险管理制度、进行风险检查,完善风险组织及职责等,据此,我们认为这个就是风险内控合规管理,然后我们就能管控住风险。
其实,大错特错。
首先,风险是业务和职能管理产生的风险(包括缺陷、偏离、违规等),要管住其不再发生,一定是业务和职能管理自己去“管”。
这里说的“管”,是一种约束,一种调整,一种意识。这个“管”的效果,是建立在业务和职能管理部门及岗位,在自身工作的同时,能够有意识、有能力、有担当去注意自身工作可能存在的风险或问题,并调整、克服和规避。
这也是华为任正非先生所说的,“业务主管必须具备两个能力,一个能力是创造价值,另一个能力就是做好内控。”
如果不同时具备这两个能力,那么这个业务主管本身就是不合格的。
由此,可以看出,要防控风险,必须由业务主管(各业务和职能管理)自身去防控。
同时,从风险防控的可行性、有效性来看,也需要业务主管去做,而不是其他人来执行。如果完全交由其他部门或其他人来执行,效果一定是不好的。这可从大量的风险管控工作的实际效果并不理想,可以看出。
故,将防控风险的希望和责任,都寄托于风险内控合规部门,是不现实,也不正确的。
例如,对于企业面临的市场风险,让风险部门出具管控措施,可行吗?能控住吗?
很多企业虽然规定了市场风险的主责部门是市场部、销售部,但在执行风险管控措施时,往往不自觉的将这些措施与风险部门挂钩起来,认为应该由风险部门来完善措施,并对风险管控不佳的后果负责。如前述,这是一种认识误区。
那么,既然防控风险,需要业务和职能部门自己去做,那还需要风险合规部门吗?要他们做什么?
这就回到本文的主题:风险内控合规到底要做什么?
这个问题的全称应该是:站在风险管控的实际效果来看,风险内控合规部门到底要做哪些工作内容,才能让一个企业的风险得到最佳的控制(规避、降低或控制)?
到底要做什么,首先,不应该是直接的防控风险举措。直接的防控措施,应当由业务和职能部门自己设计、自己执行。
风险内控合规部门就是督促业务和职能部门自己去设计、自己去执行。风险内控合规部门督促的方法就是通过明确职责、颁发制度、设计流程等,为业务和职能部门自行防控风险创造压力和动力。
这里再次提示风险内控合规部门的上述举措,都不是出于直接的风险防控之目的,而是出于督促风险源头部门去防控风险之目的。
这两者是有很大区别的。如果是直接的风险防控目的,则风险内控合规部门的信息问题、能力问题、动力问题等,都会导致直接防控风险效果不明显。
如果是出于督促风险源头部门防控风险这个目的,则风险内控合规部门的工作将非常清晰、可控,衡量其工作质量就是“督促”的效果如何。
如果对这两个目的搞混了或搞乱了,则毫无疑问,企业风险防控的效果会大打折扣。
该采取务实防控措施的业务部门,将防控责任推卸给风险部门;风险部门将只是督促的责任,无意中扩大为全面直接防控,则一定“防不住”、“管不好”。
其次,风险内控合规部门还需要对业务和职能管理部门的风险防控能力进行提升,赋予其一些管理工具和技术工具。
这是因为风险内控合规管理是企业内的新物种,大多数人并不清楚其原理,需要有专门的人来普及。
管理工具体现为风险内控合规部门编制的风险清单、职责清单、流程清单、指引、管理手册等,这些文档都应当围绕如何更好的促进业务和职能管理部门执行管控动作而去设计。
如果业务和职能部门对于这些文档、手册,不熟悉,不理解,甚至很排斥,那么风险部门将很难开展工作,其能取得的效果也将小。
最后,风险内控合规部门还需要对业务和职能部门履行风险防控的工作进行考核。
前面我们讲到风险内控合规部门需要去督促业务和职能部门自己设计、自己实施风险措施,但基于人性,业务和职能部门一定会朝着对自身工作方便的角度去执行前述内容。
仅仅是督促,可能还不够。当然,也可以说,考核是最好的督促方法。但督促包括了激励、引导、约束和监督,最后形成闭环,还是离不开考核。
因此,如果没有形成风险内控合规部门的考核权,企业也难以将风险管控实施落地。
综上,具体的风险管控措施,站在风险内控合规部门角度来看,其实没有那么重要,因为它是跟随企业环境和风险变化而变化的。
完整的风险合规管理体系,站在风险内控合规部门角度看,也没那么重要。因为,它只是风险内控合规部门督促业务及职能部门的手段。
真正重要的,也是风险内控合规真正要干的事,就是通过各种手段和方法,形成业务和职能管理部门自身管控自身风险的习惯,提升相关能力,以及监督其持续管控自身风险。
这一点,可能可纠正大多数人的认识误区,也可将哪些总是试图提出完美的风险管控ag旗舰厅的解决方案的专业人士从风险管控效果总是不佳的阴影中解脱出来,明确其“可行”与“不可行”。
关于风险内控合规的工作本质,你有哪些可分享的,欢迎与作者(微信:krokso)交流。
