風控，如何糾偏？

目前很多企業或咨詢公司進行的風控管理都有些務虛而不務實，偏理論化，不能解決很多實際管理問題，出現很多做了風控管理但照樣發生很多風險事件，把風控管理越做越復雜等問題。為此，筆者近幾個月探索并實踐出了一些改進型的風控建設方法，取得了不錯效果。

目前很多企業或咨詢公司進行的風控管理都有些務虛而不務實，偏理論化，不能解決很多實際管理問題，出現很多做了風控管理但照樣發生很多風險事件，把風控管理越做越復雜等問題。為此，筆者近幾個月探索并實踐出了一些改進型的風控建設方法，取得了不錯效果。

理念篇

不論你是咨詢公司還是企業管理者，開展風控建設前一定要真正明確為什么而做？可能大家表面上都說得好聽，但有的咨詢公司是以盈利為導向的，有的企業是以應付上級任務為導向的。國內非常多這樣的企業，這樣的理念下所做的風控建設成果很難給企業帶來真正價值。

現狀篇

很多央企、國企、上市公司已完成了風險或內控體系的建設，主要成果為《全面風險管理手冊》、《內部控制手冊》或兩者合本，大多都包含了流程文件。但是大部分企業推行困難（這兩年本人走訪了上百家這些企業，發現很多同類問題），很多的是鎖在柜子里，需要報審時拿出來匯報，日常工作卻跟以前沒多大變化。

分析篇

一、部分企業錯誤地將全面風險管理與內控分頭建設，分開推進。

由于早幾年國資委推行風險管理，五部委推行內控，于是很多央企和上市公司設置兩個部門對接，兩個部門分開推進風險管理體系和內控體系建設，結果變成了有的企業做成兩張皮，有的互相交叉重疊，有的一直在糾結兩者關系，也有少數企業把兩者合并（這才是正確的做法）。

二、很多企業的全面風險管理體系建設步驟不合理。

我總結了一下很多企業的全面風險管理體系建設步驟：

1.收集風險初始信息，進行風險識別，建立風險庫；

2.建立風險發生可能性和影響程度標準，開展風險評估，繪制風險坐標圖，找出重大風險；

3.針對重大風險，設計應對策略和主要控制措施（有的設計了主要預警指標）；

4.設計風險管理組織體系，包括風險管理的三道防線，決策、執行、監督單位，分別明確職責，建立風險管理制度和專項流程；

5.根據上述內容匯總成《全面風險管理手冊》；

6.發布，宣貫，執行，監督，（考核）。

上述步驟的問題如下：

1.上來就開始進行風險識別，前端缺了風險管理體系建設三年或五年規劃。風險體系的建設和運營成熟，沒三五年肯定不行：

2.沒有先解讀企業戰略規劃、管控模式、組織模式等頂層設計，直接做風險識別可能與戰略偏離，或者遺漏戰略性的重要風險。

3.風險識別往往是各部門自行梳理，報風控部匯總形成風險庫。但各部門梳理風險是站在部門的角度，極少站在公司整體層面看風險。這個問題很難解決，需要風控部門人員既熟悉公司，又要具有較全面的管理知識，匯總各部門風險點后進行整合、梳理，拔高。

4.風險評估流于形式。雖然制定了風險評價標準（其實發生可能性和影響程度的評價標準大多比較粗），但各部門在填風險評估問卷的時候，往往并不看評價標準，純憑感覺，甚至草草填完就交了。因此，風險評估的結果其實并不準確，當然這需要時間。

5.風險應對策略虛、不實用、未深入業務。對于評估出的重大風險，有的企業做專項改進，有的制定管理建議，有的制定應急預案等，但若不深入業務制度和流程，就沒有多大的實用性。同時，若只是基于現狀，未能從流程優化的角度去改進，也不能解決風險。

6.大部分企業建立和實施風險管理體系，卻沒有建立風險管理KPI考核指標。風險管理的KPI，應當至少包含該部門所涉及風險的管理情況、風險預警報告及預警后的情況、半年度/年度風險管理報告、與風控部門的配合情況、在制度流程中的應用及改進情況等。

三、很多企業的內控體系建設步驟不合理。

再來看很多企業的內部控制體系建設步驟，問題更嚴重。

1.70%時間是拿著基于《內部控制配套指引》設計的控制矩陣（非常復雜的excel表），對企業內控情況進行穿行測試，查找不符合項，認定為缺陷，提一堆整改建議。

2.做完內控穿行測試后就套用配套指引的18個方面內容，畫18個方面的流程+企業特殊業務流程+控制活動說明（脫離企業實際情況，套用指引18個應用指引），然后匯編成《內部控制手冊》。

這樣操作的結果是，企業拿到手冊后，除了滿足證監會合規要求，就基本沒法使用。這樣做出來的《內控手冊》，基本是脫離企業實際、沒有多少實用價值的，這是對企業非常不負責任的行為，內控若不能跟業務實際結合，若不能以管理提升為目標，要內控何用？

改進篇

前面是這幾年發現的企業建設全面風險管理體系、內部控制體系的通病，我從很多很多客戶那里了解到，他們覺得做這個真沒什么用。作為一個風控從業者，我無比汗顏。經過幾年的探索和近幾個月的實踐，我提出了改進型的風險與內控體系建設方法。

1.開始建設風控體系前，企業領導人應在啟動會上明確表態，項目目的不是應付檢查，而是發現并改進管理問題，實現管理提升（咨詢顧問要提前溝通），并且將項目成果質量與各部門績效掛鉤，考核三個要點：是否發現問題、是否解決問題、解決問題效果。

2.風控建設不是風控部的事，而是整個公司的事情，因此要建立聯合項目組，公司領導擔任項目組領導，指定某副總擔任項目主任，風控部經理擔任副主任，其他各部門經理為項目組成員。這樣一來，風控部經理在此事中比其他部門高半級，工作就好推進。

3.如果需要咨詢公司輔導，就一定要選好項目經理。項目經理一定要知識面廣，除了風控之外，要懂一些戰略、集團管控、組織與權責、制度與流程優化。如果項目經理只是風控專長，不懂其他，那么他很難在項目中深入結合企業業務，進行真正的管理優化提升。

4.開始建設前，先制定風控建設與運行五年（或三年）規劃。可以參考如下五年規劃思想：體系搭建（總部及試點子公司）、分步推進（其他子公司推進）、高效運作（總部與子公司聯動運作）、能力提升（綜合風控能力提升）、行業標桿（成為風控行業標桿）。

5.以管理問題解決（或管理提升）為導向設計風控體系建設方案，讓每個部門都參與這項工作，（做好溝通，不是給其他部門增加負擔，而是幫各部門解決問題，提高績效）特別強調風險管理與內控的融合，切不可分開推進，不要分散在兩個不同的部門進行管理。

6.具體步驟如下：

（1）召開啟動會，公司領導要強調以問題解決或管理提升為目標，強調此事納入各部門績效，但不是給大家壓力，而是幫助提升績效。然后風控專家進行培訓，普及風險與內控基礎知識，強調風控給企業帶來的價值，多講案例，少講理論。

（2）召集公司副總、各部門經理開碰頭會，討論并梳理各職能存在的主要管理問題，初步梳理出至少50個關注問題點，作為接下來調研訪談的重點。例如戰略規劃不清晰、戰略執行不力、權責不清、采購問題、關鍵人才流失、合同管理、應收賬款等等。

（3）以挖掘問題為目標開展訪談（若無咨詢公司，風控部可主導訪談）。對高層、各部門經理、各部門骨干進行調研訪談（必要時查看現場），全面了解工作現狀，深入挖掘分析問題表現及原因（突出之前梳理的50個以上問題點），梳理出《管理問題匯總表》。

（4）分析企業戰略規劃，集團管控模式，當前管理基礎。解讀戰略，分析實現戰略的重點風險有哪些；解讀管控模式，分析風控組織應如何設計；結合管理基礎，總結風控體系建設的戰略要點有哪些，形成《風險視角的戰略與管控解讀報告》，作為風控體系建設總綱領。

（5）站在公司層面視角，系統梳理當前流程框架（三級或四級流程體系，強調跨部門流程），再對標之前完成的《管理問題匯總表》及現有管理制度，形成“問題-流程-制度”的對應關系，再補上缺失流程及制度，得到《管理問題、流程及制度體系框架表》。

（6）根據《管理問題、流程及制度體系框架表》，讓相關部門繪制現狀流程圖，還原流程操作現狀。然后組織相關部門開展“流程優化研討會”，以解決問題、控制風險為導向優化流程（可能包括權責調整、步驟增減、步驟調整等），直到優化后流程得到大家認可簽字。

（7）流程優化完成后，對相關制度進行修訂。包括：將制度與《企業內部控制配套指引對標》，與優秀企業同類制度對標（可能借鑒優秀企業先進的管理經驗和模式），與優化后流程進行對標，綜合以上三者對制度進行一一修訂，然后討論，上會，發布執行。

（8）根據優化后制度和流程，編制《權限指引表》。這個設計的權限表要精確到每個流程的每個表單，精確到每個崗位的，一目了然，非常實用和清晰，且容易IT化。如圖1所示

（9）根據優化后流程圖，一一進行風險識別，在流程圖中標出風險點和控制點，對每個風險點和控制點操作方法進行描述，對應到崗位，形成《流程風控矩陣》（比事務所的矩陣精簡，強調實用性，主要保留控制目標、風險點描述、控制點描述，輸出文檔，對應崗位）。

注意，以前大家描寫風險點、控制點總是一大堆文字，使用者一看就頭疼，執行不力，因此要求描述要精煉，文字量要越少越好，但主要意思要表達出來。例如報銷流程中的幾個風險描述：報銷內容與實際不符，發票金額與報銷金額不符，超過預算，超出報銷權限，等等。

再說控制點的寫法。業內控制點的寫法五花八門，但還是文字量太大，使用者沒耐心閱讀和執行。筆者分析了多種控制點寫法，總結了最精簡實用的方法，主要是描述每個審核、審批、研討、會議、監督、核對等控制步驟的關注點。

具體寫法見圖2。讀者可以仔細對比三個控制點，是不是覺得比以前的寫法精簡多了？這樣使用者就愿意看，愿意執行。此外，三個人審同一個報銷單，但關注點是不同的，這是跟他們的職責相匹配的。不同人關注不同的要點，這個風險就得到了控制，這樣的風控就深入了流程和業務，并且結合了職責和制度要求。

為了風控更加實用，融入業務，還需要將每個控制點的關注點嵌入IT審批流：例如管理者在系統中審批報銷單，頁面自動顯示“風險提示”，里面是”風險點描述”，還有個“控制要求”，里面是”請關注1、2、3”，然后對關注點一一打鉤，審批按鈕才會出來。這樣一來，風控就更加實用了，每個管理者在每個審核審批點，系統都會提示他關注不同的內容，從而控制了風險，而不是幾本手冊，難以推行。這樣的系統功能開發，在OA或ERP中嵌入是很容易的，開發成本低、效果好。

（10）根據上述成果，建立風控組織，包括橫向的三道防線，縱向的集團管理條線，交錯行程風控組織網絡，明確每條防線，每個部門的風控職責，考核指標，關鍵預警指標，建立風控專項流程，建立各部門風險管理報告模板，綜上編寫成風控專項管理制度。

（11）將前述成果匯編成《風險管理與內控手冊》（也可以分開編，比較靈活），主要包括風控五年規劃、風控體系整體框架、風控組織體系、各部門風控職責、風險庫、考核指標、關鍵預警指標、權限指引表、全部流程圖及與之一一對應的風控矩陣，然后發布實施。

注意：風控手冊完成后往往是厚厚一本，使用者一看這么厚就不想翻閱，因此可以把手冊按部門匯編，例如與財務部有關的流程，單獨匯編一本，與人力資源部有關的，單獨匯編一本，以此類推。將這些內容按前文所述的方法融入OA或ERP審批流程，實用性和執行力會大大加強。