专栏名称: 锐思商学院

风控在线官方订阅号。风控在线是内控与内审人员的专业化平台，旨在为内控与内审人员传递权威的内控内审知识和经验。

【经验分享】务实型风险管理是企业高质量发展的一道护城河

锐思商学院 · 公众号 · · 2022-03-11 19:39

正文

在经过了几年的喧嚣之后，不少企业的全面风险管理体系，除了剩下几个制度影子，按照要求报送不痛不痒的风险信息之外，已经回归静寂，取而代之的是合规管理的再次喧嚣。

但也有不少企业，风险管理已进入第二高潮期，而推动这一阶段工作的主体发生了深刻变化，企业风险管理主管机构已悄然隐退，取而代之的是业务机构，且风险管理已经成为提升业务管理、改善工作质量、促进绩效顺利达成的重要工具构成。

来源：天锦咨询（ID：zhtjin8）

原因分析

造成以上两种不同的结果原因，我们归纳为4点：

第一点

第一种情况的企业，往往侧重于企业层风险管理组织职责的治理机制建设，而疏忽于落地的土壤，虽然无一缺失地提出三道防线的定位与责任，但在推动风险管理在各业务域的落地方面，缺失行动路线。

第二种情况的企业，往往把风险管理作为帮助业务域实现能力提升的抓手，从决策层、管理层、执行者达成绩效的需求角度进行风险管理定位，把风险管理作为绩效策划、过程动态评价、进行资源配置、过程重点监控的工具。

第二点

第一种情况的企业，往往套用全面风险管理指引的阐释，或者只是简单做了本地化的复制，于是出现了很多企业风险类型完全相同的“奇景”，顶层风险导向的模糊，导致各业务域无所适从，出现了“树”的断层。其次，只能一事一议，解决的是任务型的有无问题。

第二种情况的企业，并不严格拘泥于战略、运营、市场、财务、法律的理论框架，而是结合企业实际，把5大风险框架具体为与企业运营相一致的风险方向，赋予了企业主要风险内在的可理解、可洞察的灵魂，由此形成了围绕风险主线的风控支线，就如OKR工作法的绩效目标分解原理类似，力求集成。

第三点

第一种情况的企业，把主管部门第二道防线的定位，局限在“文化营造者、工作组织者、风险管理宣传者”的角色。但无论是风险管理、内控、合规，在这方面的定义，又有什么不同呢？

第二种情况的企业，主管部门有更多承责的体现，除承担企业层风险管理属性突出的机制设计外，在与其它业务机构的沟通过程中，并不过多在意风险信息是否运用了风险管理的语言，而是主动发挥着“翻译”的角色；在推动风险管理的过程中，也并非完全从风险管理专业的角度去阐述和推进，而是从如何助力业务机构达成绩效的角度去沟通。运用风险管理的专业知识，协助业务机构从业务的维度进行管理方法设计，帮助解决业务管理中存在的模糊或问题。

第四点

第一种情况的企业，对风险管理的认识偏重表象，未洞察风险管理的本质，过度理论化阐释风险管理机理，失去与业务场景的联系，无形中给业务部门造成“增量工作”之感。这一点其实是第三点的表现结果。

第二种情况的企业，重点从业务机构的流程角度作为突破口，通过认知业务机构的业务痛点，引导业务机构结合绩效策划、绩效实施过程，巧妙地将风险评估、风险信息传送嵌入到流程中，从而达到管理者提前掌控绩效实施中可能存在的不确定因素，找准管理和监控重点；具体执行者通过必要的评估，将影响绩效的外部因素和资源需求传递给管理者，实现双赢，其本质充分反映出风险管理助力绩效达成的作用。

现实中，第二种情况的企业，在充分领略到风险管理的作用之后，会主动反思提升业务水平的途径，甚至结合企业的数字化建设，通过导入“外部数据、内部数据、场景数据”等等，运用大数据机理，提高风险预警能力，从而实现从被动接受到主动防范的升华。此时，风险管理主管机构的作用已退居其次了。

风险管理是分层、分级的， 以上的阐述重点侧重于企业深化风险管理的应用层，并不完全等同于战略管理层面的风控机制。

其实，风险管理的方法有多种多样，僵化地讨论“哪种方法好”并不合适，现实中，还没有一套完美的方案，去解决企业所有的风险问题。但可以肯定的是， 只要有助于企业提升运营效率的风险管理，就具有价值。

认识风险管理不能人云亦云

如果说风险管理是企业导入的一种管理方法，会有不少人不同意这一观点，原因在于风险管理是一个大概念，每个人都有认知的出发点。不同场景的应用，会形成不同的观点和看法，讨论很难建立在统一的基准线。

对企业来讲，也没必要过多、过深、花费过长时间去讨论，聚焦于企业高质量发展目标，聚焦于企业实现战略目标的价值链和服务于价值链运作的业务域、管理支持域，去促进风险管理落地， 助力各级组织、重要的绩效承担人达成绩效，风险管理就适得其所。

对企业来讲，坚守“二八原则”非常重要也非常实际，80%绩效基准线也更富有实际的进取意义。20%的核心重要人员创造了企业80%的价值；让“员工满意”，并不是让100%员工满意；一个富有挑战精神的企业，能够实现20%的组织完成年度挑战目标的85%以上，已非常不易……。

这些道理，大多人都理解，但置身于企业现实中，往往会发生变化，譬如：只有计划完成率达到百分百才被认为完成任务，而忘记了目标设定的难度、挑战、企业发展绩效的分解传递，触手可及的目标设定意义不大，这一导向自然会带来刻意压低目标设定的问题。所以，企业中经常出现“我们的任务都能完成，无风险”的说法。

企业开展风险管理，环境非常重要，一个缺乏发展意识、挑战精神和鼓励承担风险的企业，再谈什么“风险意识”都是徒然。而尤为重要的是“全面风险管理”的“全面”，不能从表象理解，否则就会陷入迷茫荒原。

如何理解风险管理，很多人都套用了“风险管理指引”的固化说法，笔者倒觉得，在企业中， 能够转化为“让所有人理解的语言”更为现实，也更接地气。 譬如：

风险管理的目标是什么？

用最少的成本，获取最大的安全保障。成本包括财务成本和时间成本。

风险管理的意义是什么？

尽早发现影响绩效达成的不确定事项，把问题发现在萌芽状态，主动采取必要的措施，保障目标实现。

风险红线是什么？

风险红线是严禁出现的行为表现，一旦发生，意味着必须承担对应的责任并付出代价。

风险底线是什么？……

企业拥有一套属于自己的语言很重要 ，通过必要的释义达成共识，语言当然不拘泥于“风险管理”，也不是越多越好。

风险管理要注重实效，最忌讳的是“人云亦云”。风险管理专业知识的传导，最大的问题是“你说你的，他听他的”，或者陷入“狡辩”状态。企业每个岗位人都承担着职责，无论是高管还是员工，风险管理最大的作用是“帮助岗位人员更好地、高质量地履职”，从而形成保障企业高质量发展的护城河。

构建“集成风控体系”

“集成”有很多理解，能够达成共识的内涵理解是“协同”。

在众多企业中， 现实的困惑无非来自于几个方面 ：风险管理、内部控制、合规管理，来自于各方的监督和越来越多的指引标准，如何与业务融合等等。困惑的成因是，“ 管理要求政出多门，而作为落实主体的企业只有一个 ”。

企业是一个追求“创造价值、实现价值增长”的主体，失去这一点，就失去了存在的意义。

企业创造价值来源于价值管道，实体型企业（除保险、金融等特殊性质类企业）推行风险管理，要找准定位，不能喧宾夺主， 风控创造价值、内控创造价值、合规创造价值、监督创造价值…… ，在适当的范围内有成立的道理，但放在企业层面，并不太合适。

所谓“体系”，在不同范围会有不同的内涵，但对企业整体来讲，只有一个“运营体系”。理想的模式，用流程规范活动并承载各种管理要求，这里的流程是指从战略到行动路线的“流程系统”。

现实中，很多企业流程管理并没达到这一成熟度，讨论和构建集成风控体系，需要尊重基础，合理界定范围，包括业务、风控与监督等职能关系，即 三道防线如何在各履其职情况下实现协同。

内控也好，合规也罢，都属于风控领域的具体内容， 理论观点的差异并不重要，重要的是企业要有自己的“定义”。 否则，别说绩效，面对众多的管理要求，企业员工也会难以招架。

理论是参照依据，实践是行动，二者不矛盾，只要相向而行就可以，原因在于，衡量结果是否有效，不是以是否完全符合理论为度量， 唯一的标准是成效。

风控体系所谓的“集成”， 有4个方面的含义：

一是认识风控属性一致的业务（风险管理、内控、合规）之间的“共通点”和“相通点” ，共通点“合并”，相通点“并行”，实现并行的措施只有一条——“后置前移”。

二是从三道防线角度入手，打通“三道防线”的通道，实现“协同” ，也包括两个方面：

第一方面：“第一道防线的职责与第二道防线提倡的风控理念融汇贯通”，混为一体，发挥“风控助力绩效达成”的作用，当然研发有匹配的具体做法，项目管理也有匹配的具体方法等等；

另一个方面：“第三道防线的职责与第二道防线提倡的风控理念融汇贯通”，构成日常监督工作的“阶段”，有两层含义：①监督也有“第一道防线”的定位，而不是置身事外的角色，原理同前一；②监督实施的前提是“监督标准”的“计量”，与“内控评价”具有很大相通性。“年度内控评价”很重要，但并不是只有“时点型工作”才被认定为有效，评价期内的“日常工作”也是构成内容。问题在于，在日常工作中，能否用“评价语言”体现，并保留必要的数据积累，用以“年度内控评价”的工作需要。

【经验分享】务实型风险管理是企业高质量发展的一道护城河

正文

请到「今天看啥」查看全文