在这个充满了不确定性的商业世界里,咱们做企业的,每天都在走钢丝,作为一名在注会行业摸爬滚打多年的从业者,我见过太多企业在风平浪静时意气风发,却在突如其来的风浪中折戟沉沙,我想暂时放下那些晦涩难懂的审计准则和COSO框架条款,咱们像老朋友一样,坐下来喝杯茶,好好聊聊“企业风险管理”这个听起来有点高大上,实则关乎企业生死存亡的话题。
说实话,很多人听到“风险管理”这四个字,第一反应就是皱眉头,他们觉得这是风控部门或者审计师用来“找茬”的,是阻碍业务发展的绊脚石,销售部门想冲业绩,风控说不行,要合规;采购部门想快点下单,风控说不行,流程没走完,这种对立情绪在很多公司里都存在,但在我看来,这种认知不仅肤浅,而且危险。
风险不是写在纸上的,是藏在人性里的
我们先得达成一个共识:风险,从来不是几个冷冰冰的数字或者几行红色的预警线,它是鲜活的,是藏在人性深处的。
我给你讲个真实的故事,前几年我去一家颇具规模的制造企业做审计,这家公司的账面业绩非常漂亮,现金流也充足,老板老李是个典型的实干家,白手起家,把生意做到了全国,在访谈过程中,老李拍着胸脯跟我说:“我们公司管理严格,制度上墙,连上厕所都要打卡,怎么可能有大风险?”
随着审计程序的深入,我们发现了一个惊人的漏洞,这家公司的采购总监老王,是跟着老李打江山的开国元老,老李对他信任到了什么程度?公司所有的原材料采购,只要金额在500万以内,老王一个人签字就能付款,理由是“老王最懂行,也是为了效率,别让流程耽误了生产”。
结果呢?老王利用这份绝对的信任和缺乏制衡的权力,在短短三年里,通过虚报价格、关联交易输送利益,掏空了公司将近两千万的利润。
这就是教科书里常说的“舞弊风险”,但在现实生活中,它往往披着“信任”和“效率”的外衣。我的观点是:最大的风险,往往源于对“人”的过度自信或盲目信任。 企业风险管理,首先要管理的不是业务流程,而是对权力的制约,没有监督的权力,就像没有刹车的跑车,跑得越快,离悬崖越近,我们在设计内控时,不能只盯着“事”,更要盯着“人”,要把“坏人”假设成就在你的核心团队里,这不是阴暗,这是专业。
别只盯着后视镜,要学会看挡风玻璃
很多管理者在做风险管理时,容易犯一个“后视镜综合症”的错误,他们只关注过去发生了什么,去年仓库着火了,所以今年重点抓消防;去年被客户起诉了,所以今年重点审合同,这种“亡羊补牢”的做法当然没错,但远远不够。
真正的风险管理,应该像开车一样,偶尔看一眼后视镜确认安全,但大部分时间你的眼睛必须盯着挡风玻璃,看前方可能出现的障碍。
举个例子,还记得当年的柯达吗?柯达破产不是因为胶卷质量不行,也不是因为财务造假,更不是因为内部贪腐,它的失败在于“战略风险”,当数码技术这只“灰犀牛”已经大步流星地走过来时,柯达的高层们还在沉浸在胶卷帝国的辉煌里,甚至为了保护胶卷业务的利润,刻意雪藏了数码相机技术。
我认为,对于现代企业而言,战略风险是头号杀手。 这种风险往往看不见、摸不着,但它能在一夜之间让你的商业模式归零,作为注会,我们在看企业的时候,会特别关注企业的“持续经营能力”,这不仅是指有没有钱发工资,更是指你的产品在五年后还有人要吗?你的技术在三年后会被淘汰吗?
如果你的风险管理报告里,只有“应收账款可能收不回来”这种陈词滥调,而没有“人工智能可能会颠覆我们的客服体系”这种前瞻性的思考,那这份报告基本上就是废纸一张。好的风险管理,必须带有某种“焦虑感”,这种焦虑感是推动企业进化的动力。
那个被忽视的“灰犀牛”:现金流断裂
聊完战略,咱们得回到最接地气的话题——钱,在审计生涯中,我见过太多“明明账上有利润,却发不出工资”的悲剧。
这就是典型的“流动性风险”,很多创业者,尤其是做To B业务的创业者,特别容易陷入一种幻觉:只要合同签了,活干了,这就是我的钱了,于是他们疯狂扩张,招人、租大办公室、投放广告,但等到要发工资、要付供应商货款时,才发现那些“利润”都躺在客户的应收账款里,变成了账面数字。
我有个朋友开了一家广告公司,接了个大厂的年度单子,单子金额巨大,他兴奋得不行,垫资做了好几个月,结果大厂内部流程繁琐,付款审批一拖再拖,整整拖了半年,这半年里,我朋友的公司因为现金流枯竭,不得不借高利贷发工资,最后虽然钱收到了,但利息吃掉了一大半利润,还差点把公司搞垮。
对此,我有一个非常鲜明的个人观点:现金流比利润重要一万倍。 利润是面子,现金流是里子,甚至是命根子。
企业风险管理中,必须建立一套极其严苛的现金流预警机制,我们要测算:如果最大的三个客户中有两个拖欠货款三个月,公司的账面现金能撑多久?如果撑不过三个月,这就是最高级别的红色风险,这时候,什么扩张、什么招聘,统统都要停下来,甚至要考虑裁员止血,这种“未雨绸缪”听起来很残忍,但在商业丛林里,活下来永远是第一法则。
合规不是儿戏,是保命符
我想聊聊近年来最火热的“法律与合规风险”,随着国家监管力度的加强,以前很多企业认为是“潜规则”的操作,现在都成了高压线。
比如税务风险,以前很多中小企业喜欢搞“两套账”,一本给税务局看,一本自己留着,在金税四期上线、大数据比对如此精准的今天,这种操作简直就是自杀,我见过一家餐饮企业,流水很大但常年亏损,税务局一查系统,发现其进货量和销售量严重不匹配,直接上门稽查,补税、罚款、滞纳金,老板直接把过去十年的白干钱都吐出来了。
还有数据安全风险,现在很多公司都是互联网公司,手里握着大量用户数据,你以为数据泄露只是技术部门的事?不,这是公司的头等大事,一旦发生泄露,面临的是巨额罚款和声誉崩塌。
我的看法是:合规成本是企业必须支付的“保险费”。 很多老板抱怨现在的合规要求太高,成本太贵,但你想一想,你买车买保险时不心疼吗?心疼,但你还是买了,因为你怕撞车,合规就是这层保险,不要试图去挑战监管的底线,在这个大数据时代,任何违规行为都会留下痕迹,一个专业的风控人员,必须是那个在老板头脑发热想走捷径时,敢于泼冷水的“恶人”,这个“恶人”做得越称职,企业离监狱就越远。
风险管理的最高境界:文化
讲了这么多具体的例子,我想总结一下,企业风险管理,到底是在管什么?
有人说是管制度,有人说是管流程,但我认为,风险管理的最高境界,是管文化。
如果一个公司的文化是“结果导向至上”,为了业绩可以不择手段,那这个公司的风险一定极大,因为员工会为了达成KPI去造假、去违规,反之,如果一个公司的文化是“诚信、透明、稳健”,那么员工在遇到灰色地带时,会有底线。
作为注会,我们在评估一家企业时,非常看重“顶层基调”,老板平时怎么说话的?开会时是只问业绩不问过程,还是会特意询问风险?当员工主动上报了一个失误时,老板是暴跳如雷还是鼓励改进?这些细节,决定了风险管理体系是“纸老虎”还是“防弹衣”。
拥抱不确定性
写到这里,我想表达的核心观点已经很明确了,企业风险管理,不是为了消灭所有的风险,那是不可能的,也是不必要的,如果把所有风险都规避了,企业也就失去了获利的机会,因为收益往往伴随着风险。
风险管理的本质,是在“走钢丝”时系好那根安全绳,是为了让你在追求收益时,知道自己脚下的路有多宽,掉下去的后果有多重,以及万一真的掉下去,有没有备用的降落伞。
在这个充满“黑天鹅”和“灰犀牛”的时代,唯有保持敬畏之心,将风险管理融入到企业的血液里,我们才能在惊涛骇浪中把船开得更远。
别等到暴风雨来了,才想起去检查船底的漏洞,那时候,往往已经太晚了,希望每一位企业管理者,都能把风险管理从“负担”变成“习惯”,这不是为了应付审计师,而是为了对每一位员工的饭碗,和每一位投资者的信任负责,这,才是专业,这,才是商业的智慧。
还没有评论,来说两句吧...