风险管控体系:企业经营安全的防火墙

风险管控体系:企业经营安全的防火墙

迪凯 内审小兵 2022-10-05 12:32 发表于山东收录于合集

来源:中略策  文/迪凯(首席顾问) 中略咨询原创文章,转载请注明作者和出处。


企业的风险是每个企业家时刻需要警觉,并竭力回避的重大问题,而且我们丝毫不用质疑企业家的这个责任感和使命感,但是,许多企业在“风险预警能力、防范风险能力、抵御风险能力、风险管控能力和风险决策能力”等方面,既缺乏清醒的认识,又缺失应有的体系和机制,尤其是越大的企业,其潜在的风险源却越容易被经营业绩和光环所遮盖。


在这方面,那些“安全意识淡漠、管控体系缺失、防范机制滞后,自以为是、盲目乐观的企业已经用沉重的代价向我们揭示了忽视经营安全和风险的灾难……一桩桩生产安全事故、产品质量事故、投资失误、决策失误、合同欺诈等等无不给企业带来生死存亡般的灾难。


纵观大型企业经营管理安全,我们不难发现,他们之中的大多数企业的经营无不存在着这样或那样的风险。不是这些企业发现不了风险,而是,很多人抱持着侥幸心理,对风险的预测、防范和管控没有引起足够的重视,当然,企业内部的风险管理体系建设和风险管控能力滞后是企业丧失对风险的防范和抵御能力的客观原因。


   从风险管控体系建设的专业角度,我们通常将一个企业的风险按照两个维度:1)内部风险和外部风险;2)客观风险和主观风险,来作最基本的分类。更为详细的分类,可参考下图:



微信图片_20221010092916.jpg



即,通常我们可以将一个企业的风险类型分为上面五种常规类型(不同行业和不同企业其分类方法将会有较大区别):


(1)顶层风险

(2)客观/外部环境风险

(3)主观/内部环境风险

(4)经营风险

(5)管理风险


在这里,我们不妨通过对“顶层风险”具体表现的进一步分析,来理解一下顶层风险将可能给企业带来哪些灾难?譬如:


“股东风险”在企业经营的整个风险源中处于最顶层的风险,比如,这就要求在选择合作伙伴时,慎重选择适合合作的伙伴成为股东;同时,还需要关注股东所在企业的经营状态,防止和预防股东自身经济状态所潜在的风险;股东选择适当,则,企业便易于构建合理、合规的法人治理机制,预防在股东会、董事会等企业顶层所潜在的风险,从而杜绝股东对公司利益的侵占、损害或关联交易引发的不可控风险。而股东选择是否适当关键看其价值标准和两个企业的文化是否可以融和!许多企业都设立了“股东会、董事会和监事会”等法人治理机构,但是,是否明确的建立了三会的工作机制、权责和流程,新三会能否有效履行尽职义务,则要大打折扣!——这就导致了许多外派董事、合资合作企业、境外投资企业在顶层就存在着巨大的潜在风险。


“战略风险”是指企业发展战略定位与战略方案在客观上是否“适合”,战略分析的质量不高、战略管理职能滞后或不切实际的战略定位以及战略目标的确立,都会将企业引入歧途。而战略风险的大小,则往往取决于战略形成的过程以及战略规划的质量!现实中,遗憾的是许多大型企业的战略却是在拍脑袋中形成的,在应付上面的意志中确立的,缺乏严密的思考,有质量的分析和负责任的讨论,因为,他们认为战略只不过是制定出来放在那儿看一看,没有人能真正的按照战略规划来组织企业经营。一旦企业潜在着不可逆转的战略风险和战略定位失误,那么,这些风险和威胁将很难在经营和操作层面上得到及时发现和修正。


“决策风险”往往来自企业的决策机制、决策流程和决策文化是否科学、规范、有效。许多大企业,内部形成了依赖于“能人效应或精英文化”的决策习惯,很多大型国有企业,在行政命令的裹挟下,内部重大决策实际上成了“一言堂”,董事会、党委班子开会决策基本上都形同虚设,也因此出现了一大批四拍干部(拍脑袋、拍胸脯、拍大腿、拍屁股),国资委对“三重一大”的监督也基本上被企业的变通和灵活带入流于形式的结果。这就给企业的经营和管理带来了巨大的决策风险!而这些风险源,无一例外的来自于企业的最高层,即,顶层风险。


“委托管理风险”在集团企业对二级公司、三级公司的高管的任命和授权上,往往变成了企业内部政治和人事任免博弈的角力场,忽视了组织层级之间“委托管理关系和委托管理风险”,即,“用人风险和授权风险”,加之,集团公司总部的管控体系和机制滞后,权责界定模糊,越级管理和授权失控则比比皆是。其本质恰恰在于集团公司缺乏一个对委托管理风险的动态评估机制,缺乏“因人、因事”授权的“权变”理念和制度设计,委托管理和授权管理往往成了按照职位层级划分的“一刀切”。


那么,企业面对诸如此类的风险,是不是就职能束手无策,被动适应了?大型企业如何通过建设“风险管控体系”,导入“风险识别、风险评估、风险预测、风险防范、风险决策和风险管理”机制,给企业的安全经营和可持续发展设置一道防火墙呢?


       在这里,跟大家分享一下我们在风险管理领域的研究成果——集团型企业的风险管控模型,以及风险管控体系建设的指导思想:


微信图片_20221010092921.jpg



作为集团型企业,尤其是国有大型集团公司,其风险管控体系建设的好或坏,早或晚,对集团的发展和安全运营,甚至对干部的爱护,都将发挥出巨大的作用。集团型企业的风险管控的指导思想具体体现在:


一、预防系统风险


对于一个集团公司而言,“现代企业法人治理体系风险、战略风险、决策风险、委托管理风险和制度安排风险”将会给集团公司带来系统性风险,而系统风险再必须通过对集团公司的“顶层设计”才能“拨乱反正”。首先,集团对外合资企业(或境外投资企业)的股东会、董事会、监事会在现代企业的法人治理结构上,基本都能有一个规范的架构,但是,股东会、董事会、监事会各自能否履行忠诚义务和尽责义务,却完全取决于新三会的工作机制,即现代企业法人治理机制是如何设计的?而这一问题,往往却需要追溯到“出资人协议和公司章程”。现实中,有多少企业在成立之初就很严肃、负责的设计过自己公司的章程,又有多少企业的常年法律顾问能替投资人把好这一关?甚至,对于国有企业而言,对于外派董事、外派监事几乎是常态,但是,却对外派董事或监事在外派单位的行权缺乏机制和制度的管理,给许多重大决策埋下风险的隐患。其次,制度体系不健全,制度管理滞后,制度安排失当都将给企业的经营带来系统性风险。


二、管控重大风险


什么是一个企业的重大风险?重大投资项目、重大决策事项、大型建设项目、重大业务合同、关键岗位人事甄选都属于企业的重大风险节点。换句话讲,这些项目、这些合同、这些业务容不得闪失,否则,将给企业带来灭顶之灾或生死存亡的严重影响。无论这些合同或业务来自哪一个层级,集团总部都应该对其操作实施全程管控。


三、回避经营风险


集团公司的经营风险,则往往来自两个维度:业务系统和管理系统,而两者却是相辅相成的,相互促进的。管理效益对业务运营系统的规范性和价值提升发挥着巨大的牵引作用,业务系统规范化反过来提升了管理的价值。在集团公司,由于受业务单元和产业板块的多样性影响,以及经营单元的责任体系和汇报体系的相互关系,经营风险的回避往往基层更具有发言权,能更好的管控。因此,需要将经营风险的回避责任落实给二、三级组织的经营负责人。


四、杜绝操作风险


而操作风险则来自“标准模糊、流程缺失、技能不足、观念分歧、操作者道德”等五大风险要素。操作风险往往可以通过内部加强管理、完善制度和体系建设、加强技能提升和教育培训、以及职业道德和职业操守教育加以杜绝。


集团型企业在建设风险管控体系过程中,应根据企业自身的行业特点和管控现状,针对性的制定科学、系统、有效的建设策略,为企业经营安全切实构建起“防火墙”:


(1)通过建设“风险管控体系”,对集团的风险源和重大风险威胁进行系统性管理和常态化管理。


(2)结合风险识别和风险评估结论,对集团的各类显性和隐性风险实施“分类管理”;在组织层级之间导入“分级管理”,夯实各级管理者和经营者在其关联风险领域和节点上的防控责任。


(3)建立风险管理制度,将风险防控措施融入风险管理制度,确立高压线。


(4)针对重大风险,导入重大风险管控四大机制:1)定期评估机制。集团公司风险管理职能部门,应定期对重大风险源组织专业评估,及时掌控风险等级和风险表现的新变化、新形式;2)主动报告机制。各相关单位对风险目录上自身所负责防控范围内的风险变化应按照风险等级和重大程度,按规定主动向集团总部报告;3)节点监察机制。针对重大风险,集团公司应延伸监察机制,甚至建立全程风险监督机制和业务管控机制,预防重大风险发生给企业带来灾难性损失;4)追溯惩戒机制。集团公司应建立重大风险事故和责任的追溯机制,确保风险历过程中信息的真实性、及时性和可追溯性;建立内部对风险责任的惩戒机制,从人事任用、职位晋升、收入分配、奖惩机制等维度夯实风险防范和管控的责任,并由责任人对结果负责。杜绝敷衍了事、得过且过,使风险管控流于形式。


可见,企业风险只有被科学的预测、常态化管理和有效的管控,才能给企业的经营安全带来保障。否则,企业规模越大,组织形态越复杂,业务分布越广,其客观上潜在的各种风险以及风险管控的难度就越大。这是个必须理性反思与慎重处理的大问题!