集团风险管控的新常态
远光软件(行情002063,咨询)副总经理贾宏松分享了她的风控经验,她认为风险在今天的环境下,更多不应该把它看作一项具体的管理工作,更应该是企业增强核心竞争力的重要的方面。
她表示目前风险管理的工作现状,使用的工具还是最原始的工具,还是靠人去检查,靠各种专项的检查。谈到风险管理文化,风险管理其实是对人的管理。“我们走进一个企业,哪怕各项规章制度,包括人的行为模式,其实体现了这个企业文化,很多文化的。我们的感受是于无声处的。像刚刚毕业,走到这条叉车道上,我的导师教导我,不应该走这条路,有什么问题,有什么风险,公司应该怎样规避,他是底层的员工,他有风险意识,他需要提醒我,这就是文化的体现,一个企业的文化强大,可以强化到同化这个企业工作的每个人,可以强大到,把每个人的行为标准拉到同样一个水平线上,我觉得这是文化的体现,于无声处的体现。”
以下是其精彩演讲:
还有一个例子,那个企业每个员工桌子上有一个小卡片,不超过10行字,这10行字叫做业务红线,这个业务红线其实在很多企业也有类似的做法,会提示你某一个岗位,哪一级种错误的操作,或者不合规的操作,会给企业带来什么样的损失。这个业务红线有一条就是信息安全的红线。我在茶歇的时候为什么把我的电脑送到主办方的桌子上,一定用我自己的电脑播放PPT,因为我们是信息化的公司,我们也有自己的安全规范,我的PPT本身是加密的,所以用不了会议的公用电脑。如果资料外泄,就会被移送到司法机关,这条业务红线我们企业都非常注意,甚至我们打印机打出来的文档上,有每个人文字的缩写,如果一旦某个直接的文档流传在外,可以追溯到这是谁打印的,为什么你打印的没有及时拿走,导致企业的信息资产外流。
这些所有的控制措施,还是风险文化的宣贯,都是在有形处的,让我们非常深刻的体会到这个企业对待某一类事情,对待某一个风险的态度,我知道有十条线不能碰,碰了就是一个走人的下场,现在可能面临一些刑事和民事责任,我们的风险管理文化一定是在有形处去落实的。
第三个阶段,与内心生。我们能体会到周围的同事包括公司对我们的要求,真正的习惯形成以后,你这个风险管理文化就值得在每个人的内心里。比如我做个什么事情,找到相关部门,我说这个业务应该怎么处理,这个部门的人首先会问我,这样处理有没有评估过他的风险,这一句话对于企业管理成本的节约非常大,如果企业每个员工做具体业务操作,做具体决策的时候,都能问这样一句话,可以说我们的风险管理工作非常到位,对于企业整体的管理能力和水平提升是非常的。尤其我以前在华为最开始做内部风险管理,就是内部监管的要求,因为我们要跟国外很多大的,相当于他们的国企合作,他们第一个要求,你有没有内控,有没有内控的标准,有没有相应的内控流程。最开始我们做内控,我们供应商入门的门槛就是企业的内部控制制度是不是完善,其次才是其他的应用能力。也就是内部控制其实在很多商业环境下是作为竞争对手,或者我们的合作伙伴选择我们的一个标准,这个标准至少保证了这个企业的运转是有保障的。这个是风险管理给我们带来的很多益处,这就是我所谈的风险管理文化我自己的一个感受。
那么,踏道风险管理怎么落地,也有好几个等式,这几个等式也是我在各个企业走访,跟各个企业的管理者,领导讨论时候的一个感受。他觉得风险管理第一个等于报告,我打了问号,风险管理是不是只等于出一个国资委的报告。第二、风险管理是不是只等于内控手册梳理流程、控制点。第三、内部风险管理是不是就等于审计?很多企业领导人很隐讳,不愿意承认,其实在他们企业风险就等于报告。在很多企业实际的管理里边,我认为风险管理对企业最有用的就是发现问题解决问题,和预防问题的发生。其实并不复杂,复杂是我们人为的加了很多新的概念,其实本质上就是落地执行,内控好在把企业所有的管理标准聚合在一起,并且这种管理标准都是可被每一个操作执行层面所理解的。但是,其实内控管理的价值是不是在这里?不是,内控手册的价值在这里,我们很多企业出一套手册,包括请了很多咨询公司,花几十万,上百万,甚至持续很多年,但是那种手册还是挂在企业里边,或者放在柜子上,或者迎接外部检查的时候拿出来,平时手册根本部优。或者有些企业说,我用,我现在的ERP系统都是按照内控手册的流程来走。我说真正能告诉我,你的流程是真正按照手册走的吗?他不敢跟我*。原因是什么?很多业务在变化,信息系统也在变化,包括信息系统本身也有风险。那么,真正这些落地的内控标准在企业里边到底如何落地,是不是真正发生作用了?其实也没有一个企业说得清楚,原因是什么?原因是我们自己制定了一套标准,一套非常完美的东西,但是从来没有看过,从来没有试图去看过,他在企业里面实际落地执行的情况,我觉得这是一个根本。
我今天的主题落脚点在于整个集团在风险管理这块的工作,最终的落脚点应该在监督这个层面,一个再好的*策,如果去落地,不去执行,不去监督它的执行,不看一下它执行的效果,我觉得这项制度就是白制定的。包括刚才很多嘉宾提到有制度打架的情况,其实我们在制定每个制度的时候都觉得很好,但是执行的时候就会发现很多问题,甚至很多时候发现问题了,我们还不知道。所以,我觉得谈到风险管理,它是对未来的管理,更是对现在的管理,后发优势我真的想强调,因为我们现在太多了谈到未来,谈到风险管理谈了未来风险的量化分析,风险的预判,未来风险管理,很少人关注现在的风险怎么样。所以,有两个方面,第一要看现在,第二要看未来。
第二、风险管理的智慧是什么?我们两年前在一个地方国资委举办的一个论坛上,当时的主题是对标的管理,我跟大家分享了我对对标的认识,我有一个很深的感受,大中央企,着眼点还在于指标跟指标之间的比较。我想问的是,最简单的一个道理,我们搞对标,难道是学习别人企业的指标吗?不是,我们搞对标是要把自己比下去吗?也不是,我们搞对标最终的管理目的,其实是为了进步,我想看看哪儿不够强。但是,实际我们在对标的操作过程中比的是指标,比如他的流动资产率比我好,他的现金流还比我好,但是从来没有问过别人为什么比你好,我觉得对标背后对的是管理基因,这个企业的基因,这个决定了这个企业最终生根发芽长出来的花是什么样的,所以我们应该学习它的土壤,而不应该看它土壤上长出来的这棵树,当然长了几个枝,几个芽,我们要问多长时间浇一次水,光照怎么控制的。也就是我们风险管理真正是对企业应对基因的培育上,因为很多风险没有办法控制,尤其国际性、全球性的金融风暴,包括前一次的股灾,好的人收益赔进去了,本还留着,你的炒股能力体现在你应对重大灾难,断崖式下跌的能力,真正的高手就已经撤出去了,或者一半的时候就已经车出去了。真正我们要学习,或者在企业内部培育的是应变的基因,在每个人的心目中,这种应变的基因扎根下来,这是我对文化的理解。
我总结了风险管理的几个误区,比如生搬硬套,机械模仿。向外看一定是对的,但是向外看之前,首先要向内看,看看你自己缺什么,少什么,很多企业盲目的向外看,从来没有向内看过。所以,我觉得很多企业最多的是这个。另外,只解决表面问题,所有的制度流程都完善了,检查也都有,企业的运营情况也还好,没有什么大问题,所以他觉得我的风险管理一定也是到位的。尤其今天上午也去了一个客户那儿,我其实挺受打击的,心里也不太好受。因为那个客户问了一个我三年前特别喜欢跟客户讨论的一个问题,但是今天我仍然碰到有客户问。就是我两三年前在CFO论坛上谈到的一个合题,就是ERP环境下,风险管理有何新的特点?这个特点,我那个论坛上讲的一个中心思想就是真正上了企业ERP,很多风险往往发生在信息化以后,很多企业说,ERP上了很多年了,我不可能存在这个问题,其实我当时真想说,能不能让我去你的ERP系统看一看,到底有没有这个问题。今天在座的也有信息系统安全方面的专家。
从我们的管理时间上,我们发现了很多连我们客户都认为不可能发生的问题,但是实实在在就是发生了。比如我们一个客户用了我们的监控系统,发生它其实在预算外支出的费用有一个多亿,其实并不少。然后客户就问我说,已经上了ERP系统,为什么还有这种问题不出现?我们排查的原因几类,一类一些二级单位或者底层的公司,一级走不过去,说厂商来人,把后台的控制变成弱控制,把这笔单先走过去,走完了,再调过来,但是实际上业务发生了,也还是有问题的。所以,很多企业我们遇到这种问题,就是真正的工业管理还是做在表面上,并且他认为ERP系统把所有的风险都管住了,这是我觉得最可怕的一点。像一个人,我是医生,我今天穿了一件黑色衬衫,因为我在企业经常扮演黑脸,所以有些企业的管理者特别讨厌我,但是有一些企业的管理者也非常喜欢我,因为他说终于有人跟我说我有问题了。这是我在企业里边经常扮演的一个角色,我是一个唱黑脸的,但是我的黑脸跟医生是一样的,希望我对企业来讲是一个健康管理专家,而不是一个只会挑别人问题的讨厌的外部监管的角色。还有一些企业,经常说没有问题,中央巡视组一去一堆问题,还有企业找到我们说,你能在中央巡视组来之前,帮我们把问题查一遍吗,或者你们系统把我们的问题扫一遍。我说可以是可以,但是我们扫出的问题,你觉得你还有时间去改吗?很多企业觉得属于临时抱佛脚,别人想查他的时候,他才感觉到自己有问题,不安稳了,别人没查到他的时候,他永远觉得自己是最好的。所以,这种风险,危机意识是在企业滋生的很严重的问题。所以,我今天跟大家分享的更多是这个层面。我觉得风险在企业里面,大家要更多的做这个事情,不要有讳疾忌医的心态,一定要有正确面对问题的心态,只有面对问题,才有解决问题和发展思维的机会,这是我今天特别想跟大家分享的一个观点。
另外,讲到透明的问题,因为在风险管理的领域,不了解这个行业的人都觉得这个行业很神秘,或者很高大上,然后我们风险面对问题的时候会发现,很多情况下,企业的情况看不清,摸不准,研究不透,现在整个世界都变得透明了,比如我一来北京一落地,短信就来了,说欢迎你来北京,其实国家是知道,我这个公民已经到北京了,很多情况下,我们生活暴露在各种监控的范围内,但是往往企业的这个黑匣子,因为企业的运营真的在一个黑匣子里。
为什么说它要透明?企业管理要透明,就是企业的监控络需要建立。原来我们把透明理解为硬件的透明,比如为了防安全,企业放了很多监控摄象头。我现在想说,企业真正需要是在管理行为上的监控,这种监控不是所有的硬件设备能够满足的,更多是从管理思路上,从信息系统的建设上要有透明的思路,让一切在阳光之下,这样一切的问题自燃能暴露出来,所以我们要加强业务管理的透明性。
监督,回到今天真正想讲的,前面一直在讲监督,是守护企业健康的。前面我讲了集团健康的重要性。我去很多企业,他跟我说,前面也提到过,我的ERP建设已经有了十几年了,用了也十几年了,每年的投资都在一点几个亿,几点几个亿,甚至更大的企业集团在十亿以上的投资。在信息系统纷纭复杂的情况下,是不是有必要对系统的数据质量,对系统的运转质量,对业务服务的状态做一个监控呢?我们信息化进行到一定阶段,这个非常有必要,也就是今天我想跟大家说的,真正集团在信息化建设到一定程度,需要建立一个立体的监督络,这个监督络一定是各司其职,各个业务系统,各个业务口,做好业务口自己的事。所有对业务系统的监控,对业务的监控由我集团统一来承载,统一来呈现。让我的管理更加透明,这才是我们追求的一个目标。
真正我们监督要解决一个什么问题?企业里面“防不住”的问题,这是我们一个客户发明的。第一、看不见,所有信息都是实时的,我们实时反映系统,能够随时为企业管理者提供各种各样的数据信息。还有防不住的问题,很多企业存在这个问题,只有事后发现才会去管理。监督合适解决的就是防不住的问题。
我把这个产品,尤其我们这个信息化的系统放在这儿,其实做广告是我们公司的目的之一,但是从我个人来讲,我之前很多年做的其实是咨询工作,尤其在甲方,应该说是在企业内部从事风险管理工作很多年以后出来,作为乙方为很多大型央企,上市公司服务的时候,我的咨询成果越来越被客户所认可,我们辛辛苦苦设计的流程规范觉得很好,但是实际上只是作为一本书放在柜子的头体里,这个对于我们专业人员来讲是非常大的打击。后来我投身到软件行业,因为我想把我的想法,这么多年的体验真正落地在一套有生命力的系统里面实现成长。所以,真正落地的风险管理一定是结合信息化的一个目的。我们这个系统有物资成本管理的巡视,是跨业务部门的一些检查,后面还有一些比如日常的体检,比如电脑每天都有体检帮你清除垃圾,找到系统漏洞。我们想想具体业务上有这样的手段给我们吗?我们现在做风险管理的人,就是扎着领带,穿着西装的人,因为他手里拿着矛和盾,并没有任何现代化的工具。这是我想跟大家分享的,谢谢大家!