问小白 wenxiaobai
资讯
历史
科技
环境与自然
成长
游戏
财经
文学与艺术
美食
健康
家居
文化
情感
汽车
三农
军事
旅行
运动
教育
生活
星座命理

国有企业如何建设简洁有效的风控体系

创作时间:
作者:
@小白创作中心

国有企业如何建设简洁有效的风控体系

引用
搜狐
1.
https://www.sohu.com/a/792739269_121991031

国有企业如何建设简洁有效的风控体系?本文从企业管理实践出发,提出了管理目标-风险评估-内部控制-内部监督为主线的内控建设理论框架。同时,文章还详细探讨了风控管理与企业经营业务管理的关系、风控管理的组织建设、风控管理体系化文件建设以及风控管理的重要应用等方面内容,为企业提供了一套完整的风控体系建设指南。

自2000年初,中国在美上市公司按萨班斯法案运作,正式开启了中国企业风控建设时代。为了提升国企抗风险能力,促进国有资产保值增值,国务院相关部委发布了系列关于风控管理的政策文件,在此背景下,从中央到地方各级国企开始投入大量人力、财力建设风控体系。时至今日,历经20余年,一些头部央企、国企以及民企通过风控体系的建设,实现了内部管理的规范化,显著增强了抗风险能力。但还有许多企业,风控建设还停留在满足监管要求的阶段,更多的是形式化操作,做风控体系建设时大会小会开的“声势震天”,一旦完成风控体系成果建设,风控工作也随之“偃旗息鼓”。许多企业领导人谈及风控都是“至关重大”,对其实际作用却是“满腹狐疑”。针对这些问题,基于企业过往风控管理实践,本文提出了一个简单易行的风控管理框架,为如何做风控建设而迷茫的企业提供一条可行的路径。

一、风控建设常见的问题

对风控作用认知不足,缺乏内在建设动力。过往管理实践发现,一些企业风控建设仅是为了满足监管要求,用完后随即被“尘封”。背后的一个重要原因是许多企业领导对风控的功能认识不足,认为风控对于防范员工贪腐或许有些价值,但不知道会降低企业运行效率,阻碍业务发展,对企业创造价值并无裨益。再加上一些企业因诸多原因,辛苦建立的风控体系未起到应有的效果,造成企业领导对建设风控建设缺乏足够的内在驱动力。

过度强调“控制”,缺乏对业务“赋能”。一些企业建设风控的出发点是为了防范人的道德风险,堵住腐败漏洞,导致流程越来越长,管理规定越来越多,公司运行效率却越来越低。例如,近年来,部分国企因被上级纪检、审计单位巡检出一些廉洁问题,为了堵住管理漏洞,开始增设大量的管理新规,几乎所有的业务流程都让风控部门审核把关,结果风控部门直接承担了企业常务副总角色,业务部门怨声载道,企业管理效率也直线下降。

风控建设脱离业务,与业务管理融合度低。许多企业就是单纯的做风控体系,未与业务充分融合,形成了风控成果与业务管理文件“两张皮”的问题。而且,加之风险管理、内部控制、合规管理等风控政策发布时间不同、着眼点各异、师出多门,许多企业对风险、内控、合规等工作分头推进,这种各自为政的风控建设方式更是加剧了与企业经营业务的背离。

相关人才匮乏,风控成果质量偏低。一些企业确实认识到了风控对企业稳健发展的重要促进作用,渴望做好风控,但苦于没有相关人才,导致风控成果质量偏低,应用价值不高。做风控的团队既要熟悉风控相关专业知识,又要熟悉财务审计方面的基础知识,还要对企业各类业务有一定的了解,才能确保风控成果的实用性以及可落地性。当前,这方面的人才在各企业中仍是极度稀缺的。

二、风控建设的基本理论框架

风控体系建设至今,还有诸多基本问题未达成共识,比如风控与企业日常管理之间的关系,风险、内控、合规之间的关系等至今仍众说纷纭。国内学者对风控建设的讨论大多是停留在概念的界定上,或者直接将国内相关政策亦或美国COSO委员会发布的风险与内控框架直接作为风控建设标准,这样得出的管理建议在企业实践中大多难以有效落地。如果仅从理论出发去研究风控管理,永远不会有定论。本文将从企业管理实践出发,同时结合过往风控理论的合理之处,提出管理目标-风险评估-内部控制-内部监督为内核的风控管理理论框架。

企业管理目标是风控建设的逻辑起点,风控作为一种管理手段,理应为达成企业的各项管理目标提供有效支撑。企业最基本的目标是战略目标,所以风控建设根本的宗旨是成为企业战略目标达成的助推器。为完成战略目标,就要保障企业经营目标、资产安全、合法合规、财务报告信息真实等管理目标的达成。因此,风控建设的首要任务就先要围绕企业发展战略,系统的梳理各项管理目标。

确立企业各项管理目标后,就要从目标出发,评估出影响各项目标达成的风险源与风险大小,这是风控建设的关键环节。从企业经营管理结构划分,企业风险一般可分为战略风险、投资风险、财务风险、运营风险、市场风险、合规风险、廉洁风险等类型风险。企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。

风险评估后,企业应当结合风险评估结果,采取相应的内部控制措施,将风险控制在可承受度内。常见的控制措施包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制、预警监督控制、信息化控制等手段。例如,为应对经营指标无法达成的风险,可以运用全面预算方式建立起与经营指标相匹配的资源分解至各部门;运用绩效管理方式将经营指标与个人收入相关联;运用过程预警的方式对可能完不成的经营指标及时预警,采取应对措施。

完成内部控制举措的建设后,还要建立风控体系运行的内部监督机制,对企业内部控制建立与实施情况进行监督检查,评价内部控制的有效性,从而实现风控的闭环管理。建设内部监督机制,首先要确立风控部门、合规、审计、纪检巡查等监督部门的职责边界,建立 “多位一体”大监督格局;其次,根据管控需要,完善监督评价标准,建立日常监督与专项监督机制;最后,建立考核与追责机制,根据监督评价结果对相关组织与人员进行奖惩。

三、风控管理与企业经营业务管理的关系

上文提到,许多企业花费巨资与人力建设了大量的风控管理文件,如《全面风险清单》、《内部控制手册》、《合规管理指引》等文件,然而一旦完成建设随之被束之高阁。除了领导人对风控作用认知有限外,还有一个重要原因就是开展风控建设时另起炉灶,脱离于企业实际业务管理。其实,这些风控管理文件大多无法直接指导业务开展,以许多企业风控建设的核心成果文件《内部控制手册》为例,主要内容通常包括风险识别、控制目标、控制措施、业务流程图等内容,其中控制措施只是针对业务风险防控提出的方向性管理建议,并不具有直接落地性;业务流程图也只是简单的示意图,无法详细完整的描述整个业务流程,因此也很难直接为业务部门所用。

笔者的观点是,风控管理直接成果文件只是企业做风控管理的工具性文件,主要功能是指导企业经营管理体系文件的建设,以及作为对企业管理体系建设与运行效果开展监督评价的管理工具。各业务部门实际执行的仍是战略管理、组织管理体系、制度与流程体系、人力资源与信息化管理等文件。各专业管理体系文件是风控管理的对象与最终落脚点,必须将风控举措内化到这些管理文件中,风控建设才能在企业落地生根,实现企业安全高效的发展。例如,对于业务合规风险管理,只有将最新的法律法规监管要求,即企业的合规义务转化到各项规章制度中,实现“外规内化”,才能有效的防控各类合规风险。相反,如果只是独立的建设系列合规管理清单或合规制度规范,未将合规要求转化到企业规章制度中,效果则会大打折扣。

将风控管理措施全面融入到企业各项管理中从而实现对企业经营全过程的风控管理,这种风控建设理念在理论界与政策界正在迅速的达成共识,这种共识在2019年国资委发布的风控建设里程碑式文件——《关于加强中央企业内部控制体系建设与监督工作的实施意见》中体现的淋漓尽致。例如,文件提出“进一步树立和强化管理制度化、制度流程化、流程信息化的内控理念”,“严格落实各项规章制度,将风险管理和合规管理要求嵌入业务流程,促使企业依法合规开展各项经营活动,实现“强内控、防风险、促合规”的管控目标”。

四、风控管理的组织建设

风控管理的组织管理建设,关键是要厘清四个层面组织的职能定位,确保各层组织发挥应有的作用。

①领导层

领导层高度重视是风控体系发挥作用的基石。其中企业党委(党组)要在风控体系建设中发挥把方向、管大局、促落实的领导作用;董事会要发挥在风控建设方向的领导作用与重大风控事项的决策作用,为企业风控管理保驾护航;经理层要履行谋经营、抓落实、强管理职能。

②业务部门

作为风控管理的第一道防线,是风控管理体系建设的重要参与者,也是风控管理体系的具体执行部门,业务部门的充分参与是风控体系得以落地的前提。

③风控管理部门

作为风控管理的第二道防线,主要负责组织风控管理体系的建设、日常监督与评价工作。风控管理部门设置不宜过于分散,应尽量由一个部门统一负责风险、内控、合规的统筹管理。考虑合规专业的特殊性,风控部门内部可以下设内控专业管理线与合规专业管理线两个专业团队即可。当然,如果企业法务部门实力比较强,让法务部门负责合规管理也是合理的。

④审计与纪检监察部门

作为风控管理的第三道防线,负责对企业经营管理行为进行监督,为违规行为提出整改意见,在职责范围内对违规事件进行调查,并结合违规事实、造成损失等追究相关部门和人员责任。

五、风控管理体系化文件建设

基于管理目标-风险评估-内部控制-内部监督理论框架,风控管理工具文件至少包含四部分内容,即《管理目标分解清单》、《风险管理清单》、《内部控制手册》以及《风控监督评价办法》。《管理目标分解清单》可以借鉴平衡记分卡的管理方式,以企业战略为中心,从财务、客户、内部运营、学习与成长四个维度对企业目标进行系统梳理与分解。《风险管理清单》是对影响企业各项目标达成的风险进行系统识别与评估。《内部控制手册》是针对评估出的重要业务风险所采取的各项控制措施,控制措施编制要以实际业务流程作为支撑,这样能显著提升控制措施的全面性、直观性与有效性。《风控监督评价办法》是对企业执行《内部控制手册》中控制措施执行情况的监督与评价,包括监督检查机制、整改机制、奖惩机制、监督评价套表等内容。

基于风控管理的企业管理体系文件建设,上文提过,各专业管理体系文件是风控管理的对象与最终落脚点,必须将风控举措内化到这些管理文件中,才能真正发挥风控管理的功效。这个内化过程实质就是站在风控管理的视角,对企业管理体系文件做一次全面的检查与修订。从过往管理实践看,实现风控管理体系与业务管理的全面深度融合,关键是要做到风控管理与业务管理的“六融合”。

①战略管理融合,在开展战略管理时重点关注战略决策权控制、数据来源控制、战略预算分析与执行分析控制、战略调整与评估控制;

②组织管理体系融合,重点关注公司治理结构制衡性、权责分配合理性、岗位设置兼容性等问题;

③制度流程管理融合,重点关注制度流程健全性、合规性及有效性建设;

④绩效激励机制管理融合,重点关注绩效目标牵引性、绩效评价客观性、薪酬设置合规性与公平性、激励设置相容性;

⑤财务管理融合,重点关注财务管理的资金安全性、预算可控性、投资有效性、资产保值性、核算真实性、税务合规性、审计客观性;

⑥文化管理融合,重点关注企业核心文化理念对员工行为的引导性、对员工精神的凝聚性。

六、风控管理的重要应用

从上述分析可以看出,风控管理最大价值不只是简单的对员工进行道德风险防范,更重要的是通过独立的评估视角,运用风控的专有管理工具和方法,为企业经营管理进行赋能。即借助“风控+”,提升各项经营管理活动的科学性,促进稳健经营和提质增效。

运用风控监督评价结果,为组织管控赋能。根据对组织岗位设置与授权体系的风控评价结果,严格规范重要岗位和关键人员在授权、审批、执行、报告等方面的权责,实现不相容岗位职责的分离,及重点强化业务领域各岗位的职责权限和审批程序。根据下属企业风控管理评价结果确定管控深度,对于风控管理较为健全成熟的下属企业,可以放大授权力度,给予更大的自主经营决策权;对于风控管理薄弱的下属企业则要加强管控力度,严防组织管理失控。

建立重大决策事项风险防控机制,为重大决策赋能。要在投资并购、改革改制重组、进入新业务、特殊性支付、海外经营等重大经营事项决策前开展专项风险评估,并将风险评估报告(含风险应对措施和处置预案)作为重大经营事项决策的必备支撑材料,对超出企业风险承受能力或风险应对措施不到位的决策事项不得组织实施。

建立重要业务开展风控审查机制,为经营管理赋能。企业应将风控审查作为企业重要经营管理行为的必经前置程序。风控部门加强对规章制度制定、重要合同签订、重大项目运营等重要事项合法合规性与内控措施健全性的审查力度,对严重违反风控管理要求的行为一票否决。对风控审查中暴露的问题要及时进行整改,通过健全制度机制、优化业务流程等方式,堵塞管理漏洞,形成长效机制。需要说明的是,风控需要做“加法”,更要擅长做“减法”。风控审查应以业务流程是否增值为导向,对于一些不创造价值或价值较低的业务流程要坚决删除或简化,以提高经营效率。

结 语

本文从企业管理实践出发,同时结合过往风控理论的合理之处,提出了管理目标-风险评估-内部控制-内部监督为主线的内控建设理论框架。以此为出发点,厘清了风控管理与企业经营业务管理间的关系,提出了风控管理的组织机构职能分工建议以及风控管理文件的建设思路,并提供了风控对于企业经营管理的重要应用场景。最后需要提醒的是,风控管理的方法论虽然简单,但内容却涉及到了企业管理的方方面面,切勿急于将风控建设“毕其功于一役”,否则将“欲速则不达”,更为稳妥的策略是结合企业管理实际,分步实施,小步快跑,不断迭代更新。

© 2023 北京元石科技有限公司 ◎ 京公网安备 11010802042949号