集團風險管控的新常態

遠光軟件(行情002063,咨詢)副總經理賈宏松分享了她的風控經驗，她認為風險在今天的環境下，更多不應該把它看作一項具體的管理工作，更應該是企業增強核心競爭力的重要的方面。

她表示目前風險管理的工作現狀，使用的工具還是最原始的工具，還是靠人去檢查，靠各種專項的檢查。談到風險管理文化，風險管理其實是對人的管理。“我們走進一個企業，哪怕各項規章制度，包括人的行為模式，其實體現了這個企業文化，很多文化的。我們的感受是於無聲處的。像剛剛畢業，走到這條叉車道上，我的導師教導我，不應該走這條路，有什么問題，有什么風險，公司應該怎樣規避，他是底層的員工，他有風險意識，他需要提醒我，這就是文化的體現，一個企業的文化強大，可以強化到同化這個企業工作的每個人，可以強大到，把每個人的行為標準拉到同樣一個水平線上，我覺得這是文化的體現，於無聲處的體現。”

以下是其精彩演講：

還有一個例子，那個企業每個員工桌子上有一個小卡片，不超過10行字，這10行字叫做業務紅線，這個業務紅線其實在很多企業也有類似的做法，會提示你某一個崗位，哪一級種錯誤的操作，或者不合規的操作，會給企業帶來什么樣的損失。這個業務紅線有一條就是資訊安全的紅線。我在茶歇的時候為什么把我的電腦送到主辦方的桌子上，一定用我自己的電腦播放PPT，因為我們是資訊化的公司，我們也有自己的安全規範，我的PPT本身是加密的，所以用不了會議的公用電腦。如果資料外泄，就會被移送到司法機關，這條業務紅線我們企業都非常注意，甚至我們列印機打出來的文檔上，有每個人文字的縮寫，如果一旦某個直接的文檔流傳在外，可以追溯到這是誰列印的，為什么你列印的沒有及時拿走，導致企業的資訊資產外流。

這些所有的控制措施，還是風險文化的宣貫，都是在有形處的，讓我們非常深刻的體會到這個企業對待某一類事情，對待某一個風險的態度，我知道有十條線不能碰，碰了就是一個走人的下場，現在可能面臨一些刑事和民事責任，我們的風險管理文化一定是在有形處去落實的。

第三個階段，與內心生。我們能體會到周圍的同事包括公司對我們的要求，真正的習慣形成以后，你這個風險管理文化就值得在每個人的內心里。比如我做個什么事情，找到相關部門，我說這個業務應該怎么處理，這個部門的人首先會問我，這樣處理有沒有評估過他的風險，這一句話對於企業管理成本的節約非常大，如果企業每個員工做具體業務操作，做具體決策的時候，都能問這樣一句話，可以說我們的風險管理工作非常到位，對於企業整體的管理能力和水平提升是非常的。尤其我以前在華為最開始做內部風險管理，就是內部監管的要求，因為我們要跟國外很多大的，相當於他們的國企合作，他們第一個要求，你有沒有內控，有沒有內控的標準，有沒有相應的內控流程。最開始我們做內控，我們供應商入門的門檻就是企業的內部控制制度是不是完善，其次才是其他的應用能力。也就是內部控制其實在很多商業環境下是作為競爭對手，或者我們的合作伙伴選擇我們的一個標準，這個標準至少保證了這個企業的運轉是有保障的。這個是風險管理給我們帶來的很多益處，這就是我所談的風險管理文化我自己的一個感受。

那么，踏道風險管理怎么落地，也有好幾個等式，這幾個等式也是我在各個企業走訪，跟各個企業的管理者，領導討論時候的一個感受。他覺得風險管理第一個等於報告，我打了問號，風險管理是不是只等於出一個國資委的報告。第二、風險管理是不是只等於內控手冊梳理流程、控制點。第三、內部風險管理是不是就等於審計？很多企業領導人很隱諱，不愿意承認，其實在他們企業風險就等於報告。在很多企業實際的管理里邊，我認為風險管理對企業最有用的就是發現問題解決問題，和預防問題的發生。其實並不復雜，復雜是我們人為的加了很多新的概念，其實本質上就是落地執行，內控好在把企業所有的管理標準聚合在一起，並且這種管理標準都是可被每一個操作執行層面所理解的。但是，其實內控管理的價值是不是在這里？不是，內控手冊的價值在這里，我們很多企業出一套手冊，包括請了很多咨詢公司，花幾十萬，上百萬，甚至持續很多年，但是那種手冊還是掛在企業里邊，或者放在柜子上，或者迎接外部檢查的時候拿出來，平時手冊根本部優。或者有些企業說，我用，我現在的ERP系統都是按照內控手冊的流程來走。我說真正能告訴我，你的流程是真正按照手冊走的嗎？他不敢跟我賭。原因是什么？很多業務在變化，資訊系統也在變化，包括資訊系統本身也有風險。那么，真正這些落地的內控標準在企業里邊到底如何落地，是不是真正發生作用了？其實也沒有一個企業說得清楚，原因是什么？原因是我們自己制定了一套標準，一套非常完美的東西，但是從來沒有看過，從來沒有試圖去看過，他在企業里面實際落地執行的情況，我覺得這是一個根本。

我今天的主題落腳點在於整個集團在風險管理這塊的工作，最終的落腳點應該在監督這個層面，一個再好的政策，如果去落地，不去執行，不去監督它的執行，不看一下它執行的效果，我覺得這項制度就是白制定的。包括剛才很多嘉賓提到有制度打架的情況，其實我們在制定每個制度的時候都覺得很好，但是執行的時候就會發現很多問題，甚至很多時候發現問題了，我們還不知道。所以，我覺得談到風險管理，它是對未來的管理，更是對現在的管理，后發優勢我真的想強調，因為我們現在太多了談到未來，談到風險管理談了未來風險的量化分析，風險的預判，未來風險管理，很少人關注現在的風險怎么樣。所以，有兩個方面，第一要看現在，第二要看未來。

第二、風險管理的智慧是什么？我們兩年前在一個地方國資委舉辦的一個論壇上，當時的主題是對標的管理，我跟大家分享了我對對標的認識，我有一個很深的感受，大中央企，著眼點還在於指標跟指標之間的比較。我想問的是，最簡單的一個道理，我們搞對標，難道是學習別人企業的指標嗎？不是，我們搞對標是要把自己比下去嗎？也不是，我們搞對標最終的管理目的，其實是為了進步，我想看看哪兒不夠強。但是，實際我們在對標的操作過程中比的是指標，比如他的流動資產率比我好，他的現金流還比我好，但是從來沒有問過別人為什么比你好，我覺得對標背后對的是管理基因，這個企業的基因，這個決定了這個企業最終生根發芽長出來的花是什么樣的，所以我們應該學習它的土壤，而不應該看它土壤上長出來的這棵樹，當然長了幾個枝，幾個芽，我們要問多長時間澆一次水，光照怎么控制的。也就是我們風險管理真正是對企業應對基因的培育上，因為很多風險沒有辦法控制，尤其國際性、全球性的金融風暴，包括前一次的股災，好的人收益賠進去了，本還留著，你的炒股能力體現在你應對重大災難，斷崖式下跌的能力，真正的高手就已經撤出去了，或者一半的時候就已經車出去了。真正我們要學習，或者在企業內部培育的是應變的基因，在每個人的心目中，這種應變的基因扎根下來，這是我對文化的理解。

我總結了風險管理的幾個誤區，比如生搬硬套，機械模仿。向外看一定是對的，但是向外看之前，首先要向內看，看看你自己缺什么，少什么，很多企業盲目的向外看，從來沒有向內看過。所以，我覺得很多企業最多的是這個。另外，只解決表面問題，所有的制度流程都完善了，檢查也都有，企業的運營情況也還好，沒有什么大問題，所以他覺得我的風險管理一定也是到位的。尤其今天上午也去了一個客戶那兒，我其實挺受打擊的，心里也不太好受。因為那個客戶問了一個我三年前特別喜歡跟客戶討論的一個問題，但是今天我仍然碰到有客戶問。就是我兩三年前在CFO論壇上談到的一個合題，就是ERP環境下，風險管理有何新的特點？這個特點，我那個論壇上講的一個中心思想就是真正上了企業ERP，很多風險往往發生在資訊化以后，很多企業說，ERP上了很多年了，我不可能存在這個問題，其實我當時真想說，能不能讓我去你的ERP系統看一看，到底有沒有這個問題。今天在座的也有資訊系統安全方面的專家。

從我們的管理時間上，我們發現了很多連我們客戶都認為不可能發生的問題，但是實實在在就是發生了。比如我們一個客戶用了我們的監控系統，發生它其實在預算外支出的費用有一個多億，其實並不少。然后客戶就問我說，已經上了ERP系統，為什么還有這種問題不出現？我們排查的原因幾類，一類一些二級單位或者底層的公司，一級走不過去，說廠商來人，把后臺的控制變成弱控制，把這筆單先走過去，走完了，再調過來，但是實際上業務發生了，也還是有問題的。所以，很多企業我們遇到這種問題，就是真正的工業管理還是做在表面上，並且他認為ERP系統把所有的風險都管住了，這是我覺得最可怕的一點。像一個人，我是醫生，我今天穿了一件黑色襯衫，因為我在企業經常扮演黑臉，所以有些企業的管理者特別討厭我，但是有一些企業的管理者也非常喜歡我，因為他說終於有人跟我說我有問題了。這是我在企業里邊經常扮演的一個角色，我是一個唱黑臉的，但是我的黑臉跟醫生是一樣的，希望我對企業來講是一個健康管理專家，而不是一個只會挑別人問題的討厭的外部監管的角色。還有一些企業，經常說沒有問題，中央巡視組一去一堆問題，還有企業找到我們說，你能在中央巡視組來之前，幫我們把問題查一遍嗎，或者你們系統把我們的問題掃一遍。我說可以是可以，但是我們掃出的問題，你覺得你還有時間去改嗎？很多企業覺得屬於臨時抱佛腳，別人想查他的時候，他才感覺到自己有問題，不安穩了，別人沒查到他的時候，他永遠覺得自己是最好的。所以，這種風險，危機意識是在企業滋生的很嚴重的問題。所以，我今天跟大家分享的更多是這個層面。我覺得風險在企業里面，大家要更多的做這個事情，不要有諱疾忌醫的心態，一定要有正確面對問題的心態，只有面對問題，才有解決問題和發展思維的機會，這是我今天特別想跟大家分享的一個觀點。

另外，講到透明的問題，因為在風險管理的領域，不了解這個行業的人都覺得這個行業很神秘，或者很高大上，然后我們風險面對問題的時候會發現，很多情況下，企業的情況看不清，摸不準，研究不透，現在整個世界都變得透明了，比如我一來北京一落地，簡訊就來了，說歡迎你來北京，其實國家是知道，我這個公民已經到北京了，很多情況下，我們生活暴露在各種監控的范圍內，但是往往企業的這個黑匣子，因為企業的運營真的在一個黑匣子里。

為什么說它要透明？企業管理要透明，就是企業的監控網絡需要建立。原來我們把透明理解為硬體的透明，比如為了防安全，企業放了很多監控攝象頭。我現在想說，企業真正需要是在管理行為上的監控，這種監控不是所有的硬體設備能夠滿足的，更多是從管理思路上，從資訊系統的建設上要有透明的思路，讓一切在陽光之下，這樣一切的問題自燃能暴露出來，所以我們要加強業務管理的透明性。

監督，回到今天真正想講的，前面一直在講監督，是守護企業健康的。前面我講了集團健康的重要性。我去很多企業，他跟我說，前面也提到過，我的ERP建設已經有了十幾年了，用了也十幾年了，每年的投資都在一點幾個億，幾點幾個億，甚至更大的企業集團在十億以上的投資。在資訊系統紛紜復雜的情況下，是不是有必要對系統的數據質量，對系統的運轉質量，對業務服務的狀態做一個監控呢？我們資訊化進行到一定階段，這個非常有必要，也就是今天我想跟大家說的，真正集團在資訊化建設到一定程度，需要建立一個立體的監督網絡，這個監督網絡一定是各司其職，各個業務系統，各個業務口，做好業務口自己的事。所有對業務系統的監控，對業務的監控由我集團統一來承載，統一來呈現。讓我的管理更加透明，這才是我們追求的一個目標。

真正我們監督要解決一個什么問題？企業里面“防不住”的問題，這是我們一個客戶發明的。第一、看不見，所有資訊都是實時的，我們實時反映系統，能夠隨時為企業管理者提供各種各樣的數據資訊。還有防不住的問題，很多企業存在這個問題，只有事后發現才會去管理。監督合適解決的就是防不住的問題。

我把這個產品，尤其我們這個資訊化的系統放在這兒，其實做廣告是我們公司的目的之一，但是從我個人來講，我之前很多年做的其實是咨詢工作，尤其在甲方，應該說是在企業內部從事風險管理工作很多年以后出來，作為乙方為很多大型央企，上市公司服務的時候，我的咨詢成果越來越被客戶所認可，我們辛辛苦苦設計的流程規範覺得很好，但是實際上只是作為一本書放在柜子的頭體里，這個對於我們專業人員來講是非常大的打擊。后來我投身到軟件行業，因為我想把我的想法，這么多年的體驗真正落地在一套有生命力的系統里面實現成長。所以，真正落地的風險管理一定是結合資訊化的一個目的。我們這個系統有物資成本管理的巡視，是跨業務部門的一些檢查，后面還有一些比如日常的體檢，比如電腦每天都有體檢幫你清除垃圾，找到系統漏洞。我們想想具體業務上有這樣的手段給我們嗎？我們現在做風險管理的人，就是扎著領帶，穿著西裝的人，因為他手里拿著矛和盾，並沒有任何現代化的工具。這是我想跟大家分享的，謝謝大家！