栖息谷-管理人的网上家园

内控建设如何为企业发展保驾护航暨企业风控之道

[复制链接]
分享到:
发表于 2012-11-29 17:50:53 | 显示全部楼层 |阅读模式
内控建设如何为企业发展保驾护航暨企业风控之道
正略均策管理咨询顾问 崔自力
集团管控与风险管理为何称为“战略双飞翼”
最近几年企业管控类的项目和风险控制类的项目增长非常快,战略项目的比例反而在降低,我们在思考为什么?大家都知道黄金六年是指2002-2008年,由于中国经济的快速成长,很多行业的平均复合增长率达到20%-30%,甚至50%。在这样的大环境下,发展是硬道理,风险控制显然不是经营者心目中的最爱。
而当我们进入2012年的时候,未来十年很多行业的平均复合增长率有可能低于10%,对于中国来说是双重的拐点:全球经济面临一个调整,而中国经济在经历了30年的高速增长后也面临经济结构的调整。
因此,在经济高速增长的时候靠的主要是外延增长,每年复合增长率达到30-40%的企业,往往是通过并购整合快速发展的。如果单纯靠技术,靠股东投资,三、四年才开始增长,这种显然是跟不上形势的。过去黄金六年的增长方式就是这种外延式增长。而未来十年里,每一个外延式增长的机会都将是一个陷阱,我们会有收购的机会,明年、后年大家一定会遇到并购的机会。过去增长是靠抢,抢过来的就是业绩,抢过来的就是增长。而今天抢到的很可能是一个烫手的山芋,是一个陷阱。什么是未来的增长方式?内涵式增长才是未来十年的增长方式。两个方面需要高度关注:第一,要有足够的动能,这个动能不是来源于行业惯性,不是来源于外部的市场,而是来源于你的自身,60岁的人要有一个30岁的心脏。第二就是不要翻车。
所以,集团管控这个问题就提出来了,我说的集团管控和大家通常意义理解的集团管控不一样。大家通常理解的集团管控是什么?简单说,就是我下面有几家企业,如何对其中三家企业进行战略管控,如何对两家企业进行财务管控,还有几家企业如何进行操作管控。所谓操作管控就是管深一点,所谓财务管控就是管少一些。大家通常的理解就是这样。
但是我所说的集团管控不是这样的。传统的集团管控关注的是控制,很容易演化成控制和反控制的斗争。而现代集团管控的核心是协同,关注的是集团整体利益最大化。传统的集团管控的对象是冷冰冰的企业,现代集团管控考虑的是多个与组织利益并非完全同向的人群。你要关注这些人群和这家企业的方向是否一致,如果不一致的话,你用传统管控的方式控制风险是不够的,他的诉求不是这样。
现代集团管控有太多的手段和空间,会成为企业管理的双刃剑。我举个例子,最近一家起步于大连的企业集团出事了,有人说是因为政治层面的缘故。但是,我们可以看到这家企业确实存在风险问题,他采用的是过度负债、过度融资的增长方式。只不过过去这些问题被掩盖了,现在水落石出而已。还有很多类似这种创新的手段,很多企业也都在用,谁敢举起手说我这个企业没有所谓的擦边球。很多企业在集团管控或者母子公司管控里面会做很多陷阱,这里面手段太多了。我对于集团管控的最新定义是多方参与的利益博弈,在战略的牵引下,通过改变组织内外部的关系,寻求整体利益的最大化。我刚才讲的是改变内部利益关系的方面,还可以改变外部的利益关系。像宝洁公司去年被欧盟罚款9000万欧元,原因是宝洁和其他几家化工品厂商价格合谋,宝洁很痛快地就交了罚款,因为他准备的是5个亿美金。
那么风险管理是什么呢?风险管理是战略目标实现的基本保障,是战略落地的平衡。战略目标、经营目标、报告目标、合规目标,这四类和战略目标紧密相连的。大家必须意识到风险和收益是企业经营的两个最核心问题,或者是最重要的问题,是企业家需要关注的。
影响企业的发展有两个方面,一个是你有多大的驱动力,就是你的动能怎么样;二是你能够担多大的责任。不仅帮助自己担责任,还要帮别人担责任。集团管控是管理创新,赋予企业的是发展的动力;而风险管理是制度创新,赋予企业的是发展的空间。所以说管控和风控是战略双飞翼。
企业推进风险管理的“七步成诗法”
我们怎么推进风险管理呢?正略钧策有一个“七步成诗法”。
第一步,做好内部组织与文化建设。比如就文化建设方面,你的高层领导是否关注这个事情,是否愿意投入资源和精力推这个事情?核心是企业有没有一个环境来做风险管理。其次,有没有专门的团队和专门的机构来做这些事。没有资源投入和文化支撑,一切都是空谈。
第二步,要有规划和计划。有了这个环境和组织以后,你要清楚给你高层领导规划出来,我们未来要做哪些事情,什么时候来做,做到什么标准和要求,投入多少资源,谁参与其中做?这就是规划和计划。
第三步,要有战略梳理和风险目标的设定。这是结合了中国国情的,在中国国情里面,我们不仅把内控当作控制风险的工具,还要当作战略落地的保障。如果有人问你的企业战略是什么?你说不知道,那么怎么会有保障呢。所以正略钧策做风险管理的时候有一个很重要的差异——我们首先是战略梳理。我们知道这个企业转型期存在什么样的挑战,期望达到什么目标,在大的战略背景下对于风险管理的要求是什么。这些必须要搞清楚,这样就把握住了风险管理的方向和灵魂。
第四步,要有公司级的内控建设。包括人力资源政策、组织结构、管理风格、公司治理等。
第五步,要有流程级的内控建设。你希望风险控制在哪里?我前不久到一家汽车企业做内控项目,针对一起风险事件,我们在梳理风险的时候发现9个风险点产生耦合造成了这一事件。研发图纸更新的时候没有及时地更新到配件供应商,配件缺失的信息没有在数据库及时反映等。风险管理一定在每个动作里面发现风险。所谓的风险事件是什么,风险事件是当几个风险点在一个事件上发生了共振的时候,风险事件出现了,并不是所有的风险点一定出风险,但是谁知道哪几个点会在哪个时点出现风险呢?所以必须深入业务流程中,去减少和控制风险点,不要有侥幸心理。
第六步,IT内控建设,怎么采用IT信息系统对于我们风险管理进行控制,包括IT系统本身有什么风险,值得我们去思考。
第七步,内控运行体系的测试和系统整改。很多咨询机构帮助企业做内控的时候,仅仅做一套很漂亮的内控体系,检查的时候一看这套东西很好,没有设计缺陷,但是无法保障企业的体系运行当中没有运行缺陷。这个要通过运行测试和系统整改。我们要看看每个流程,每个关键的业务流程里面规定的风险控制点有没有得到控制。这是运行测试的一部分,很多企业不会去做这些事。
另外,我还要强调以下几点。
第一,要有一张战略地图,你希望企业未来三五年怎么发展,如何保证发展。你的核心价值理念是什么,从你的客户方面、市场运营方面,内部管理方面,哪个方面是你的核心保障?例如为了实现战略目标,你一定要保证大客户比例从5%增长到8%。再比如,西安一家上市公司,它上市的核心风险问题是前几个大客户占的比重太高,达到了70%。他提出一个要求就是要把供应商的占比降下来,降到30%以下,这就是风险管理的战略保障。
第二,要有一张流程地图。基于刚才所说的这些点,每个点是一组流程的保障。战略地图下面就是流程地图。战略地图里要明确关键控制区,明确你的流程地图。每个高层领导要有一张表,知道这家企业哪些点控制住了就不会出大事儿,我们叫做RCM矩阵。一次运行的测试和系统整改,每年一定要做一次系统的测试和整改,你要看看说得天花乱坠的东西在你的企业是否真正在用。
第三,要有一套内控手册,一个持续优化的机制。你要建立自我评估的机制,要知道每年几月份到几月份是自我评估的周期。在你的外部审计机构进来之前,所有东西都要心中有数,存不存在重大缺陷,哪些在整改之中,所有内部运行测试的脚本,每一步做了什么工作都要很清楚。
推进外部监管,强化内部抑租,风险管理势在必行
从主观来说,法律法规让大家不敢犯错误,职业道德是不愿意犯错误,内部控制使人不能犯错误。对决策层的作用是让决策层更科学地决策,对经营层的作用是控制生产经营里面的各种风险,包括成本控制、技术风险、目标设定、竞争者、市场定位等等。
外部加强监管,内部加强溢出,企业在加强内部管理和内部控制两个方面一定要高度关注。外部的监管始终在加强,比如工业凝胶事件,可以看出我们的控制环境发生了变化,但是很多企业并没有意识到。如果这件事放在十年前会怎么样?一定会被压下来,然后约谈相关领导,最后消失于无形之中。我们的监管环境比过去严格得多,很多企业没有意识到,为什么这次的国有企业和制药厂一开始都保持缄默,因为它不适应了,不知道今天为什么是这样的环境。
内控建设通常存在的问题是为建体系而建体系,求权导致成果比较虚。有些内控建设贪大求全,涉及范围广,抓不住重点。比如要想企业快速成长,投资是关键问题,还有资金保障、融资等等;不同的企业是不一样的,你必须识别出来,不要求全。
还有一个问题是内控的成果脱离业务,我们通常说做内控的人不懂业务,懂业务的人不懂内控。很多企业做内控落不到实处是很严重的问题。另外,内控体系满意度比较低,即使做了,高层领导也会觉得这玩意没什么价值,而基层员工也会觉得是件麻烦的事。
内控建设的关键问题是在于抓住一个核心,围绕一个业务,从业务当中来,回到业务当中去,建立一个体系,构建一种机制,自我约束、自我发展的长效机制。

作者系正略钧策管理咨询顾问,如需转载,请务必注明公司及作者名称,如需采访、约稿,请联系010-59082865/2982。

使用高级回帖 (可批量传图、插入视频等)快速回复

您需要登录后才可以回帖 登录 | 加入

本版积分规则   Ctrl + Enter 快速发布  

发帖时请遵守我国法律,网站会将有关你发帖内容、时间以及发帖IP地址等记录保留,只要接到合法请求,即会将信息提供给有关政府机构。
快速回复 返回顶部 返回列表