疯叔,能不能用一个简单易懂的生活场景说明下风控、内控与合规的关系?
最近,有几个朋友问,在企业跟大家解释风控、内控、合规几个关系时,总是有人搞不清楚,也不知道他们之间的边界如何划定,我们在解释时也觉得有点吃力,不是那么让人信服,能不能找个简单易懂的生活场景,说明下这三者之间的关系?
其实,之前我们解释过这几者之间的关系,但都是用企业管理和专业领域的解释方式。如果之前没有接触过这几个专业领域的企业从业者,没有经验和基础,要想清晰的理解,还是有一定难度。
我考虑了一下,如果用通俗易懂的方式把事情说清楚,能够让企业人员更好的理解这些工作的内容和侧重点,有利于我们推动风控工作在企业的职能发挥,还是非常有必要的。
今天,我们就试着结合一个大家都非常熟悉的场景,来澄清下这个问题。
我们很多人都有开车过红绿灯的经验,我们来分析一下这个场景。
过红绿灯的目标:
1、安全目标:可以安全的通行,不要发生任何对人和车造成伤害的事件;
2、时效目标:要高效的通过路口,不浪费任何不必要的时间,准时抵达终点;
3、合规目标:遵守交规,不违反任何道路交通规则。
在企业经营过程中,也同样面临上述三个目标,即运营目标(包含安全子目标)、经营目标(包含工作效率子目标)、合规目标。
在这个场景下,十字路口好比我们的经营环境,车好比我们的企业,驾驶员是我们的管理者,其他车上的人是公司员工,车上载的货代表的就是企业的价值创造物。
一、合规管理
我们之前提过,这几年企业如此重视合规管理,是由于中国企业大规模走出去引发的合规风险使然,但合规管理对企业来讲,仍然属于最基本的要求,属于边界性管理,划定边界,约束企业行为。
如同过红绿灯时,我们需要知道,红灯停、绿灯行、黄灯亮了等一等,分清行车道、转弯道,限速要求、甚至是限号要求等等。
除了对车辆行驶环境的交通规定,对车辆本身也有规定,比如车辆定期需要进行检测、关键行驶系统有效,保证处于适行状态,不能私自改装、不能超载、不能遮挡车牌等等。
另外,还有对驾驶员的要求,需要考取驾驶证,不能醉驾、酒驾、疲劳驾驶,按要求系上安全带等等。
上述这些内容,都有明确的规定和要求,属于硬性底线合规范畴。
企业经营也是一样,需要收集整理企业所处环境的政策规定、企业自身的合规要求以及对管理者和全体员工有要求的信息,根据这些“规”制定遵循性制度、程序并实施。
这些“规”,是企业经营的边界,也为企业风险承受度提供了参考。
那如果合规管好了,是不是就可以了?
首先,合规目标提供的是最基本目标,但是企业根据自身的风险偏好和自身发展要求,可以选择比合规更高的要求和标准,以彰显企业地位和价值观等。
就像一辆奥拓和奥迪都可以顺利通过检测,达到上路标准。
加速慢一些、刹车松一些也没问题,只要功能具备即可“合规”。
但是,我们开车不违规通行是不是就可以了?或者说合规目标达到了是不是就可以了?
单从合规管理工作本身来说,也许可以。
但从企业来说,还不足够。
二、内部控制
如果把车比做我们的企业,内部控制体系就是车的各个子系统,如传动系统、制动系统、转向系统和行驶系统等。
之前有人将内部控制比做企业的制动系统(刹车),是一个误解。
内部控制体系的作用存在于任何一个系统中,设置控制环节和控制方式,主要是能够让各个系统及关键环节能够持续稳定发挥作用,提高系统响应的可靠性。
各个子系统及关键部件设计精良、严密、逻辑紧凑、布局合理、安全性高,都是内部控制关注的内容。
每一个控制环节的设计并不是要降低效率,而是要在能够实现控制目标的前提下实现设计最优。
如果仅仅将内控理解为监督业务部门履行关键控制点的工作,那就太狭隘了。
内部控制的每一个环节都关系到你的驾驶体验。
拿上面的奥迪和奥拓举例,奥迪的各个系统肯定要优于奥拓。
绿灯亮了,并排在一起的奥迪和奥拓,奥迪马上加速快速通过,而奥拓尽管狠狠踩下了油门,还在慢吞吞的起步。
三、风险管理
如果完全按照交通规则通行,开着又是一辆奥迪,合规目标也实现了,系统可靠性又高、安全性也有了一定保证,是不是就完全OK了?
也不是,这些还都是达到最终目标的保障,因为想要快速、高效的通行,做到这些还不够。
也就是说,如果企业想要更好的创造价值,合规和内控做得好了,为实现这个目标奠定了基础。
还差什么?
对风险的判断,包括对时机的把握。
从企业整体的风险管理来讲,合规和内控都是管控风险的手段,都属于风险管理范畴。
合规和内控都是侧重提升组织本身的确定性,而风险管理工作侧重的是对不确定性的把握,对环境的判断和取舍,这取决于“驾驶员”或者说有决策权限的管理层和各业务主管。
同一个车道上的车很多,我们以先抵达终点为胜,你如果没有浪费时间,在绿灯转变为黄灯那一刻之前通过,把竞争对手留在上一个红绿灯;或者绿灯一亮就以最快的速度启动加速,那你就取得了先机和竞争优势。
我们说的当然是以安全为前提,但是绝对的安全是不存在的。
为什么企业家精神的内核是冒险?
因为没有风险就没有收益,而风险管理强调的是聪明的冒险,而不是不计成本和后果的傻冒险。
四、三者的关系
从上面的场景来看,风控、内控、合规三者既有区别,又有联系。
1、内控和合规
知道不能闯红灯,但是红灯亮了,踩刹车却不管用了,直接冲出了停止线。轻则被罚款,重则可能出现车毁人亡的交通事故。
要想遵守合规要求,需要建立促合规的内部控制程序和流程来实现,这些都是内部控制的内容。
反过来,内部控制的搭建也要考虑如何实现合规目标,这一直是内部控制体系强调的三大目标之一。
比如,如果不系安全带,车速达到一定程度安全系统就会报警。
2、风控与合规
合规工作的内容是管理合规风险,而且是有明确目标的合规风险,本来就是风险管理体系的一个子集。
如果风险管理的是一个圆,那么合规管理的就是画这个圆的圆圈。
公司整体的风险偏好,对风险的承担态度,决定了这个圈的大小。
比如在风险偏好比较保守的情况下,可以设定看见黄灯就要停,而较激进的情况下,黄灯就变成了可以争取的区间。
3、风控和内控
内控做的好,系统可靠性高,就可以及时准确的响应命令,绿灯一亮,油门一踩,立刻全速出发,内控是实施风控的基础。
而内控做的再好的企业,如果判断出现失误,也无济于事。
也许我们想要做一个近乎完美的决策需要丰富的经验甚至是天赋,但内部控制却是每个组织都可以完善和优化的。
我们不要求每个企业的决策者都具有赛车手的技能,可以驾驭高度的不确定性,但可以把企业从奥拓变成奥迪,提高自身的确定性。
有一个醉汉说,别跟说这些没用的,我经常喝完酒、开着超载的奥拓闯红灯,没事儿!
有些企业也确实这么做过,而且把做这些看成一种高超的技术炫耀,但这样的企业走向灭亡几乎是注定的,只是时间问题。
我们希望看到的是,在遵守交通规则的情况下,有头脑清醒、反应灵活的掌舵者,开着质量上乘的大奔,带着一车员工和货物高效、安全的驶向终点,这才是基业长青之道。
大风控所倡导的理念是:
不争一分巧,不费一寸机!