这项能力,是企业必不可少的修炼
据数据显示,每当空难发生后,一段时间内坐飞机的人会显著减少。事实上,自己开车的风险比坐飞机大多了,开车约20公里的风险与坐一次飞机的风险大致相当。由此可见,对风险的恐惧有时候比风险本身带来的影响更大。在企业经营中,正确认知和管控风险同样是必不可少的一项修炼。
本期“苏氏漫谈”中,中欧会计学荣誉退休教授苏锡嘉对企业风控进行了探讨。他认为,在高度不确定的环境中,判断风险、管控风险的能力往往决定了一家公司的存续,而企业内控制度的核心在于:组织目标、合理保障。
新冠疫情把世界经济拖入了一个高度不确定的时代,连万科这样的优秀企业也喊出了“活下去”的励志口号,企业生存的压力之大可想而知。在这样的环境下,判断风险、管控风险的能力往往决定了一家公司的存续。
管控风险的前提是知道风险的存在或可能,因此预警风险成为了风控的一项重要任务。但是,预警不当却有可能造成不必要的恐慌。
上世纪60年代,英国药物安全委员会发出警告:第三代口服避孕药会使服药女性罹患血栓的风险增加一倍,即100%。服药群体从媒体获知这一耸人听闻的消息时,惊恐不已,纷纷停服避孕药,导致意外怀孕和堕胎率骤升。没有人会对100%的增长掉以轻心,但如果你知道所谓100%的增长是从1/7000的患病率提高到2/7000,你还会如此紧张吗?(《风险与好的决策》,格尔德•吉仁泽,2015)
相对风险增加了100%,而绝对风险其实只增加了1/7000。这一表述上的不严密导致本已持续下降的堕胎率转而上升,极大地伤害了英国女性的健康,并重创了国民医疗保健体系,还使医药类企业的股价大幅下挫,教训不可谓不深刻。
事实上,带来危害的经常不是风险本身,而是对风险的恐惧。空难发生后,一段时间内坐飞机的人会显著减少,其实自己开车的风险比坐飞机大多了。数据证明,开车约20公里的风险与坐一次飞机的风险大致相当。也就是说,把车开到机场,一次旅行的风险大部分就已经过去了。
对概率的误读有可能带来致命的后果。概率高并不等于确定。艾滋病检测呈阳性并不是百分之百得病的证据,假阳性的可能性在4%左右,所以标准检测流程要求做两次ELISA(酶联免疫吸附剂测定)加一次免疫测试。艾滋病检测刚问世时,美国佛罗里达有22位献血者被告知检测结果呈阳性,其中的7人在不知道结果是否属实的情况下选择了自杀!
认知和管控风险是不确定环境下经营企业必不可少的一项修炼。
大部分风险可以用概率来计算和表达,如自然灾害、交通事故、质量偏差等。有些风险则很难事先用概率表达,如911恐怖袭击和新冠疫情。
防而不灾和灾而不防都会带来损失,但两者具有完全不一样的后果。防而不灾的成本是可以预知、可以控制的;灾而不防却有可能将多年的努力毁于一旦。因此,宁可防而不灾,决不能灾而不防。
2012年7月21日,北京下了一场大暴雨,结果极为惨烈:79条生命陨灭,数百万市民的正常生活被打乱,经济损失高达上千亿元,灾后重建延续了数月甚至数年。
其实,暴雨前几天气象局就预报该周末将有一场暴雨。北京的各级政府部门也提前做了周全的准备:房山区的干部按要求完成了通知到户的工作;对全市河道和排水管的巡查作出了安排,泥石流区域也作了重点布控。从程序上看,一切毫无瑕疵。然而,大多数北京市民和相关部门并没有把警告当一回事,毕竟,这种警告每年都有好几次。一场并不能算突袭的暴雨带来了灾难性的后果,这是必然还是偶然?如果暴雨再来一次,能避免灾难吗?
我认为,如果同样的暴雨再来一次,积水或难以避免,因为基础设施的缺陷短期内无法彻底改造,但死亡事故是可以避免的。毕竟,人命关天,生命的代价无可弥补。事实上,类似程度的暴雨后来在北京和其他大城市都发生过。如此惨烈的伤亡却再也没有出现。这说明了什么?说明制度设计的缺陷在相当程度上可以通过执行层面的努力得到弥补,而基础条件的不足也会因为执行的错误被急剧放大。
风险控制执行层面的工作通常由风控和内审部门的人员来承担,他们在企业的作用类似安全阀:防止灾难而不是直接创造价值。他们对价值创造的贡献是间接的,因而是容易被低估、被忽视的。
想象一下,他们的工作做到完美、极致,企业一定是风平浪静,安然无事。如果真是这样,很多人或许会质疑:我们这么好的企业,本来就不会出事,要他们何用?没有人可以证明是因为这些人持续不懈的努力企业才没有出事,还是企业本来就不会出事。
显然,对风控和内审部门要有足够的理解和宽容。他们的工作性质需要他们在风平浪静时找出问题和隐患,在别人洋洋得意时发现漏洞,得罪人是必然的。
风控和内审的工作准则很简单:相对独立、合理怀疑。所谓相对独立就是要独立于任何业务部门如财务、法务、总办等。他们直接对董事会、总经理和分管的副总经理负责。所谓合理怀疑,就是要始终以审慎的质疑眼光分析经营行为。
然而,风控和内审不能做成内部警察,不能与经营相对立。对他们工作的评价标准不是查出了多少问题,而是帮助业务部门解决了多少隐秘问题,提高了多少经营效率。
风控和内审的基础建设是设计、建立完整规范的内部控制制度,并确保能按设计要求有效执行。内控有效性必须有三道防线来保障:运营及管理、内部监控与监督,以及内部审计。内控有效的前提是对企业可能面临的风险有足够的认识,即风险识别。只有识别出风险才有可能对风险采取有效的控制措施。按监管要求,风险识别要做到量化分析,从发生概率和可能后果两方面来量化定义每一项风险并归类成不同的风险等级。
什么是好的内控制度?我们可以参考监管部门对IPO企业的要求:发行人的内部控制制度健全且被有效执行,能够合理保证财务报告的可靠性、生产经营的合法性、营运的效率和效果。
监管部门的要求可以概括为健全、有效。所谓健全包括机构健全和体系文件健全,前者指组织架构和劳动合同上证实机构和专职人员的存在;控制活动有留痕(如会议记录)等。后者指具象化的内控文档如内控手册。所谓有效,一般指不出事,遇事能自证清白,经得住监管部门检查等。
推行内控制度,要始终牢记内控的核心:“组织目标、合理保障”。内控没有自己单独的目标;内控服从并保障组织目标的达成。内控的保障不是绝对的、完全的;绝对的风险防范代价大到无法承受。因为做不到绝对的保障,所以管理层必须保持必要的警觉和谨慎。制度不能取代人的作为。
在企业内建立和推行内控制度一定会遇到阻力,对此,任何想要完善内控建设的企业必须要有充分的思想准备。阻力一般来自两个方面:有碍办事效率和触动利益格局。安全和效率通常是矛盾的,每一个增加的控制环节和措施都会带来办事效率的降低。企业必须平衡安全和效率;绝对的安全从来不是我们想追求的,因为绝对的安全意味着绝对的没有效率。内控制度之所以会对利益格局产生影响,是因为控制制度会压缩管理人员在决策中自由裁量的空间,从而减少利益交换的可能。压缩的空间越大,抵制的意愿越强烈。
企业的所有业绩都是人创造出来的,但企业的灾祸往往也是人带来的。从一定意义上来说,风控就是理解人性,把握人性,用制度约束和引导人性。
让员工和管理人员没有犯错误的意愿和机会,这是最大的人性关怀,风控和内审工作的意义就在于此。
文中创意图片已获海洛图库授权,如需转载使用,请联系其授权。
编辑 | 潜彬思
你怎样看待风险与概率的关系?欢迎留言分享你的观点。点赞最高的3位,我们将送出2022年中欧精美台历一本哦~
关注中欧官方视频号,获取更多教授洞见
推荐阅读
点击咨询中欧课程