作为一名在注会行业摸爬滚打多年的从业者,我看过无数企业的账本,也见证过无数商业帝国的兴衰,每当我和企业老板或者CFO们坐下来喝茶聊天,话题往往离不开“增长”和“利润”,但每当提到“企业全面风险管理”(Enterprise Risk Management,简称ERM)时,空气往往会突然安静下来,甚至有人会下意识地皱起眉头。
在很多人的潜意识里,风险管理就像是那个在派对上负责没收酒杯的严厉保安,或者是那个总是在你准备超车时跳出来大喊“慢点”的副驾驶,大家觉得它繁琐、昂贵,甚至是阻碍业务发展的绊脚石。
但我想说,这种观念不仅过时,而且危险,在这个充满了“黑天鹅”和“灰犀牛”的VUCA时代(易变性、不确定性、复杂性、模糊性),企业全面风险管理早已不再是审计师的“紧箍咒”,它是企业穿越经济周期的“生存锦囊”,更是你在激流中行船时的“压舱石”。
我想抛开那些晦涩的教科书定义,用更贴近生活、更人性化的视角,来聊聊我对企业全面风险管理的真实看法。
别把“免疫系统”当成“止痛药”
我们得搞清楚一个最根本的认知误区。
很多企业找我做咨询,一上来就问:“老师,我们最近想上个ERP系统,顺便把风控模块加上,能不能帮我们设计一套流程,防止员工偷懒、防止采购吃回扣?”
你看,这就是典型的把风险管理当成了“止痛药”,哪里痛医哪里,出了事才想起来要补窟窿,这就像一个人平时天天熬夜、暴饮暴食,直到有一天胃疼得受不了,才跑去医院开药,药吃下去,疼是不疼了,但病根没除,下次还得犯。
真正的企业全面风险管理,应该是人体的“免疫系统”。
你想想看,一个健康的人,免疫系统是无时无刻不在工作的,它帮你抵御病毒,清理异常细胞,甚至在你还没察觉到有细菌入侵的时候,身体就已经在打一场无声的胜仗了,你不需要时刻意识到它的存在,但一旦它失效,生命就会受到威胁。
我个人的观点是:优秀的企业,其风险管理是“润物细无声”的。 它不是贴在墙上厚厚的SOP(标准作业程序)手册,而是融入在每一次决策、每一笔付款、每一个员工举手投足的习惯里。
举个生活中的例子,这就好比我们家里的水电煤气系统,风险管理不是让你在房子着火了才去买灭火器,而是你在装修时就会选择阻燃材料,会定期检查老化的线路,会在厨房里装一个燃气泄漏报警器,这些事情看起来很麻烦,甚至增加了装修成本,但当那个暴雨的夜晚来临,邻居都在因为电路短路跳闸而手忙脚乱时,你家里依然灯火通明,安然无恙,那一刻,你就会明白,之前的每一分投入和每一次“麻烦”,都是值得的。
风险的本质,其实是“人性”的游戏
在注会审计的现场,我们有一套非常严密的逻辑框架,比如COSO框架,讲什么控制环境、风险评估、控制活动,这些当然很重要,但在我看来,企业全面风险管理的核心,从来不是冷冰冰的数字和流程,而是热腾腾的人性。
所有的风险,归根结底都是人的风险。
我曾经审计过一家颇具规模的制造企业,他们的制度堪称完美,采购流程五步审批,财务复核三道关卡,按理说,这应该固若金汤,但结果呢?他们的一名资深采购经理,利用供应商的“拆单”手法,把一笔大额采购拆分成几十笔小额采购,刚好卡在审批权限的门槛之下,几年间吃掉了上百万的回扣。
为什么?因为制度是死的,人是活的,那个采购经理是公司的“老人”,大家都信任他,财务在复核时看到他的名字,潜意识里就放松了警惕,这就是“信任风险”和“道德风险”。
在生活里,这就像我们管教孩子,你给孩子定了一堆规矩:“不许吃糖”、“不许看电视”,但如果你不在家,或者你平时对孩子溺爱无度,孩子就会想方设法钻空子,他会把糖藏在口袋里吃,会在你睡着后偷偷打开电视。
做风险管理,其实是在做“人性管理”。
这就引出了我的一个重要观点:不要试图用流程去挑战人性,而要用机制去引导人性。
如果你想让采购不吃回扣,光靠严刑峻法是不够的,你要给采购合理的薪酬,让他觉得为了那点回扣丢掉高薪工作不划算;你要定期轮岗,让他无法形成长期的利益同盟;你甚至要建立供应商的透明竞争机制,让价格暴露在阳光下。
这就像治理洪水,大禹治水之所以成功,是因为他“疏”而不是“堵”,企业全面风险管理,就是要设计一套机制,让员工在为公司创造价值的同时,自然而然地规避掉风险,而不是让他们觉得“规避风险”是公司强加给他们的枷锁。
战略风险:别在泰坦尼克号上争头等舱
我们常说,风险分为战略风险、经营风险、财务风险和合规风险,但在实际工作中,我发现很多老板最关注的是财务风险(钱够不够花)和合规风险(会不会被罚),却往往忽视了最致命的战略风险。
这让我想起一个经典的笑话:如果你在泰坦尼克号上,你争到了头等舱,坐到了最舒服的位置,甚至把船票钱砍到了最低,这有意义吗?船都要沉了,你的“优秀经营”毫无价值。
企业全面风险管理必须站在战略的高度。
我见过一家做传统胶卷的企业,在数码相机刚刚萌芽的时候,他们的财务状况非常好,现金流充沛,内部管理井井有条,如果只看财务报表,这是一家完美的公司,他们忽视了技术变革带来的战略风险,他们以为只要把胶卷做得更便宜、画质更好就能赢,结果呢?当数码时代全面到来,他们瞬间崩塌。
在生活里,这就像一个人拼命锻炼身体,每天吃最健康的有机食品,作息极其规律,但他每天坚持在马路中间晨跑,而且还要戴着耳机听歌,无论他的身体机能多么强大,一旦大货车开过来,一切归零。
作为专业人士,我必须直言不讳地指出:很多中国企业现在的“内卷”,其实是在战术上的勤奋,掩盖了战略上的懒惰。 大家都在拼价格、拼效率、拼成本控制,却很少有人抬头看看,路是不是走对了。
企业全面风险管理要求我们在做决策时,必须要有“第二思维”,当你觉得一个项目前景一片大好,利润率高达50%时,风险管理的思维就要跳出来问:这么好的事,凭什么轮到我?有没有什么我没看到的陷阱?市场环境变了怎么办?技术被颠覆了怎么办?
这种思维不是泼冷水,而是为了让你在冲向悬崖之前,哪怕早一秒踩下刹车。
建立“三道防线”,别让老板一个人扛
在实操层面,企业全面风险管理强调“三道防线”。
- 第一道防线是业务部门(比如销售、采购)。
- 第二道防线是风控、合规、财务部门。
- 第三道防线是内部审计。
这个理论大家都很熟,但执行起来往往变味。
最常见的怪象是:业务部门觉得“我负责冲锋陷阵,风险是你们风控部门的事”,他们只管签单,不管回款;只管扩产,不管库存,一旦出事,就甩锅给风控部门:“你们当时怎么没提醒我?”
而风控部门呢,往往变成了“否决部门”,不管你提什么方案,他都说“这有风险,那不行”,最后搞得业务部门寸步难行。
这完全搞错了方向。
我认为,风险管理的第一责任人,必须是业务部门的主管,甚至是一线员工。
这就好比一个足球队。
- 业务部门是前锋,他们的职责是进球,如果球丢了,前锋必须第一时间反抢,这就是第一道防线。
- 风控和财务是中场和后卫,负责补位和协防。
- 内审和审计委员会是守门员,是最后一道屏障。
如果前锋丢了球就站在那里等后卫去抢,这支球队早就被打成筛子了。
生活实例是最好的说明,在一个家庭里,理财也是一样的道理,如果负责赚钱的老公(业务部门)只知道拼命工作、把钱拿回家,却不知道家里有多少存款、每个月房贷多少、孩子学费要交多少(财务风险),甚至在外面乱投资、乱担保(战略风险),那么哪怕他赚再多的钱,这个家也随时可能破产。
而负责管钱的老婆(风控部门),如果只是一味地锁死钱柜,不给老公任何投资机会,也不去了解市场,这个家也就失去了增长的动力。
好的家庭风险管理,是两个人坐下来,共同商量:这个钱怎么投?如果亏了怎么办?我们需要留多少备用金?这就是“三道防线”的协同作战。
审计师的独白:我们不是来找茬的
我想以一个注册会计师的身份,聊聊我们在企业全面风险管理中的角色。
很多企业看到我们来审计,就像看到“鬼子进村”一样紧张,财务部通宵加班补凭证,业务部把乱七八糟的文件藏起来,大家觉得我们是来找麻烦的,是来扣分的。
真正的审计师,是企业的“医生”。
医生给你做体检,查出脂肪肝,不是为了嘲笑你胖,也不是为了让你不吃饭,而是为了提醒你:再这样下去,你可能会得肝炎甚至肝硬化,医生给你开出的药方(管理建议书),是为了让你活得更久、更健康。
我看过一份最痛心的审计报告,是在我们审计一家即将破产的上市公司时,翻看他们前几年的审计报告,其实我们早就指出了他们的“资金链断裂风险”和“单一客户依赖风险”,但当时,老板正沉浸在股价上涨的喜悦中,觉得我们这些警告都是“书生之见”,是阻碍他扩张的废话。
几年后,当那位老板在清算会议上痛哭流涕时,我内心毫无胜利的喜悦,只有深深的无奈。
企业全面风险管理最悲哀的事情,不是发现了无法解决的风险,而是明明看到了悬崖,却没有人愿意踩刹车。
拥抱风险,而不是逃离
写到这里,我想总结一下我的核心观点。
企业全面风险管理,不是为了消灭风险,在这个世界上,没有零风险的企业,除非它不做事。零风险,意味着零收益。
做企业,就像在大海里航行,你无法命令大海永远风平浪静,那不是你能控制的,你能做的,是检查你的船体是否坚固(内部控制),是训练你的水手是否专业(人员素质),是时刻关注气象云图(风险预警),是备好救生艇(应急预案)。
在这个充满不确定性的时代,唯一确定的就是“变化”本身。
不要等到暴风雨把桅杆折断了,才想起去修补风帆,不要等到狼真的来了,才想起去加固羊圈。
企业全面风险管理,是一种生存的智慧,更是一种对员工、对股东、对社会负责的态度。 它需要老板的重视,需要全员的参与,更需要时间的沉淀。
希望每一个正在商海搏击的朋友,都能从“被动防风险”走向“主动驭风险”,愿你的企业,既有乘风破浪的勇气,也有闲看庭前花开花落的底气。
这,才是真正的高手。
还没有评论,来说两句吧...