ID:内审师修行与实战 内部控制——欲风险管理,必先解决风险归属问题 一个组织,合理的风险治理结构一般是:经营管理层是最终风险承担者、行政管理层有监督责任、审计既监督又提供咨询服务。 这是企业风险管理的大方针,但是,要想明确风险归属,需要细化管理。 一、什么叫风险归属? 对“归属”的简单理解就是:归谁所有,但风险不是一项资产,而是一项义务。 风险归属也可解释为:谁是管理风险的义务人? “谁”更确切地应该是“谁们”!因为它不是某一个人,而是一系列的人员、岗位和部门。 针对同一项风险,有的人有决策权,有的是执行权,有的是参谋权,有的是监督权,还有的只有查询权。 要明确一点:风险归属 ≠ 责任 因为“风险归属”先要知道:谁应该干什么?而不是:当不良后果出现时,谁应该承担什么责任? 虽然意思差不多。 二、经营管理层、行政管理层、审计 1.经营管理层主要指一些业务执行部门。他们是真正的风险承担者,出了事,他们要承担主要后果。 2.行政管理层多指第三方监督和执行部门汇报对象,他们是风险管理的监督者:可以在一旁指指点点,也可以对当事人奖罚,但并不直接参与风险管理。 3.审计部门是独立监督者,也是咨询服务者。 审计部门往往参与到组织风险管理之中,且是主要参与者。 这里要强调一点:审计虽然有监督责任,但其有较高的独立性,并不承担主要的监督责任。因其归属于治理层(股东、董事、董事会下的各机构、总经理)。 三、审计人员与“风险归属”问题 审计人员可以在识别风险和开发风险系统中起到积极作用,也可以在“风险归属”问题上提供建议。 但是,在风险归属人的责任主体,不应包括审计。 这是审计人员应该争取和明确的,否则,就失去了审计的独立性和客观性。 另外,审计对风险管理的监督责任,仅限于风险管控体系的建设和风控措施执行方面的监督与服务,而不是参与到具体的风险管控监督之中(可以是确认与评估),审计人员在其中的主要角色:咨询顾问。 四、边界管理 一说到风险归属,最大的难点就是“边界”。 比如:潘金莲与西门庆的风流事件,风险该怎么归属?潘金莲、王婆、西门庆、武大郎,哪个有责任?哪个没责任? 潘金莲的不顾廉耻?王婆的不怀好意?西门庆的色欲?武大郎的能力? 各有各的问题,也各有各的立场! 在风险归属问题上,大家最容易犯的错误是:只看一面,只觉得那就是潘金莲的问题。 举个现实例子:工地上出现了安全事故,查原因和责任时,一般认为:现场工程师或项目经理管理能力或专业能力问题! 而不会考虑支持部门的责任,如安全制度建设、监督检查管理、文化氛围、教育培训等管理不到位! 人家现场就是按照规章制度和流程手续实施的,但是,公司的风险偏好要求现场管理者必须放弃某些安全保障,以降成本。 诸如此类事件数不胜数,缺少安保措施造成的安全事故,或因高层要求夜间加班引起的安全事故,执行人员往往成了替罪羊! 事实上,经办人、辅助人员、后强支持人员、监督人员都是风险归属者! 不能只是项目执行人员的责任! 五、怎么做风险归属,可参考三权分立:立法权、司法权、行政权。 1.立法权:通常由治理层负总责,虽然实务中都是一线人员草拟的制度,还最归责任和风险都要归属于治理层(董事会和高级管理者)。企业内还包含具体重要决策权的部门和人员。 2.司法权:通常有运营、人事、高级管理层,甚至一些关键岗位员工(质检员、安全员等)的参与,让他们来判断业务的好坏,评价人员和业务进展,最核心的是:业绩考核。同时,也应包含广义上的具有监督权的一切人员。 3.行政权:就是具体执行业务的人员或管理者,是风险的直接管理部门。 企业对风险归属问题上最容易犯的错误是:行政权部门(执行部门)就是风险归属者。 这和当今社会,人们对政府腐败和不作为现象的理解相似: 基本上所有人都觉得手握执法权的官员们的腐败才是社会问题的根源,认为只要解决了他们的腐败问题,就是解决腐败。 但是,总归有人会发现:腐败越反越多! 何解? 就是犯了在“风险归属”上的错误,行政执法权实质上只占了风险管理的三分之一,但却承担了100%的腐败责任归属。 如此,能治理腐败吗? 腐败的根源,除了执法者,还有立法者和司法者,还有广大的受害者和见证者。 结语 企业在风险归属问题上,必须考虑:立法(决策与制度)、司法(广义的监督与考核)和行政权(主执行与辅助执行)三方面的风险归属,才可能做好全面风险管理。 您说呢? 亲,多关注转发! |
|