风险管理实操策略
本文分享了一位风险管理经理的经验,提出了具体的风险管理工作策略。包括:开展公司层面的风险评估、内控自评;通过深入基层发现问题、解决问题,提升风险管理部的实际价值和影响力;以及针对不同层级的员工采取不同的沟通方式。
今天跟一位朋友聊天,欣闻其做到某上市公司风险管理经理,带小团队了。欣喜的同时,却也发愁,坦言风险管理重视程度低、难以展开手脚,大家感觉都是应对上级机构的措施。大家一番感慨。
后来,想了想,试着对他说:
1、公司层面不可少的工作继续做
开展年度公司层面风险评估、组织公司层面重大风险方案、开展追踪、组织公司年度内控自评并提交报告。
2、走下去、带回来(主要内容)
2.1合理性、可行性
第一:公司层面尤其是高管、职能部门对风险管理部不感冒,认为就是应付上级和外部检查的色彩,在公司层面开展大规模风险管理不具备环境、氛围基础。
第二:另一方面,就如同任正非、张瑞敏等所言,一线的员工是最直接掌握公司的现状、面临的风险、存在的缺陷的素材的。
第三:ISO31000等倡导的风险管理的”嵌入性”也希望风险管理融入组织的各种流程中。只有这样,风险管理才能落地,才会起到实效。
第四:就组织层级而言,在公司总部风险管理部门位于财务中心之下,本部较为不待见。对于下级公司而言,风险管理部门是“上级部门”。具有行政上的“势能”,较容易开展工作。
2.2工作内容
第一:带着公司层面的管理标准(计划、预算、内控、制度、各种管理体系、流程、信息系统等等)走下去。利用内控稽核、访谈、走访市场、走进工厂,看公司管理标准的过程执行情况(基于假设:公司层面的管理政策是合理的);
第二:帮助基层尽可能解决一些问题(这个比较难)。利用团队对总部政策等的熟悉了解,为基层解决问题;通过在基层工作,发现基层工作的不足,提供咨询建议,帮助其改进;将基层的难处反馈总部;
第三:把基层的发现带回来。通过现场工作发现执行缺陷、分析发现总部政策的设计缺陷,将基层的发现带回来,分析潜在风险、缺陷造成的实际影响(这是事实上的风险),反馈职能部门、反馈高管,提供发现及建议,从基层自下而上的逐步输出风险管理部门工作成果,实现除了简单的“应付“之外的“第二道风险与内部控制管理职能、推动管理改进”功能,让职能部门、高管觉得风险管理部门原来是有些用处的。
2.3工作效能
措施二有三个功能,一是让风险管理部门十来号人能走出去(风险管理不是窝在办公室里就能干的)、有的事做;二是锻炼风险管理团队,让团队对市场、生产、管理有全面、深入体会及认识,为真正发挥风险管理职能奠定基础,为团队成员在公司职业发展打基本功;三是提高风险管理部门影响力及实际价值,让职能部门、高管从实际感受到部门价值。
经过一年、一年半左右的时间,只要措施二做的到位、有实际输出,风险管理部门的影响力应当会有一定的转变。当然,这需要部门负责人的魄力和勇气。毕竟走这一步是不容易的。
3、自上而下开展重大风险管理或高管层重点关注问题管理
措施三依赖于公司层面尤其是高管对风险管理部门价值的认可。通过措施二等得到高管层对风险管理部门的认可后,逐步通过措施一和措施二,通过高管层安排公司专项风险或重点关注问题,提供跟踪、监控、咨询服务,提高价值,让风险管理部门成为工作伙伴。
注:该公司属于企业集团性质,且为上市公司,故单独(独立于审计监察部)开展内控与风险管理且向下级公司开展内控、流程等工作有可行性。
另:在不断开展咨询现场工作过程中,感觉风险这个词不适合向所有人提(虽然理论上风险是无处不在的)。毕竟风险这个词在当前的环境里更多是不利影响的代名词,且大多数人都是风险厌恶者,更重要是公司绝大多数人不具有决策权。
个人认为与高层、较高级别中层谈风险是相对比较合适的。这样的原因在于,较高级别管理层更多关注公司整体发展,具有较强的风险意识,且具有直接决策权,与他们谈风险(当然前提是要结合公司实际尤其是缺陷)比较有共同语言且容易影响决策。
与中层和基层员工谈内控、谈流程是相对比较合适的。对于中层和基层而言,他们主要集中于遵守公司政策/决策做实施,他们更关注的是合规和实际执行效率。以内控、流程为语言,与他们开展合规、效率效益优化提升等沟通,比较容易形成共同语言且容易接受。以内控和流程语言开展工作(让风险及风险管理在其背后),或许更为容易。
不管我们认为风险管理或者内部控制多么完美、多么高超,在企业里要转化为实际行动,需要结合公司环境、现有机制,要考虑到他们的需求、固有观念和特点,用他们可以接受、愿意接受的方式开展,否则风险管理就变成了部门几个人和咨询机构自我安慰的游戏。
摘自:http://blog.vsharing.com/banderuilq/A1659832.html
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
