我们发现,78年、88年、98年、2008年都有经济危机的发生,基本上每十年左右发生一次大的经济危机,而每五年左右发生一次小的经济危机或调整,这个规律已经是一个世界普遍承认的规律,而且具有愈演愈烈,每次动荡系数愈来愈大的特征,这就意味着企业越来越大的外部风险;另一方面,我们总会发现在企业规模不断扩张、多元化发展以后,企业自身的内部风险点也越来越多。
一、风险可以被管理吗?
著名的分析工程师海恩曾指出,每一则严重的事故背后,必然有29次以上轻微的事故,和300起未遂的先兆,以及1000起事故隐患,风险是可以被管理的,至少有些风险是可以被管理的,你可以从轻微事故、先兆和事故隐患里面,这几个层面解决它。如果你觉得这个事故,这个风险要消灭在萌芽状态,甚至消灭在酝酿状态,或者消灭在过程状态的话,因为不同的风险,你必须进行不同的处理,有些风险你从隐患上处理的话,成本太高了,那你要做太多工作,有些从未遂先兆上管理的话,那你信息量可能也太大了,总之越往后面走,你花的工作越少,可能风险发生以后,你要做的工作越多。海恩法则是一个非常有效的,给我们指出来了风险,至少有些风险是可以提前管理的,有些风险事中管理,有些风险发生了再说,因为工作量,你的监督,评价的量也不一样。
海恩法则揭示了风险这么一个东西,表面上看起来是随机的,是无形的,但是至少其中有一些风险是可以被测量和管理的,所以可以用一个体系去对它进行管理。国资委的几次思想背后,我们可以看得出来,它首先要求在证监会、在法律上,出台各种政策规范指引,指引企业运作要合规,合规是一个最低门槛。其次呢,尽可能获得更高效益,提高经营效率,把内控和风险管理融入到日常经营当中,降低对不确定性经营目标的影响,提高执行力,提高收益,国资委要求我们合规性内控做完以后,直接拔高到管理型内控,甚至战略型内控,价值型内控,甚至一步到位,直接从管理型内控做起。当然国资委认为,最高境界是增加股东价值,如果增加股东价值的话,要将风险管理融入到战略目标制定过程当中,在战略管理过程当中,就要充分考虑到有些风险可控,有些风险不可控。而通过风险管理来增加利润,把风险作为增加利润的一个尺度,优化内部资源的分配和投资者决策。所以从内部控制到风险管理的演进,不但要解决正确地做事,还要解决做正确的事,这是一个进程。
这里谈了内控和风险,但是内控和风险是有差异的,内控是风险的青少年期就好了,风险是内控的成年版,他们之间有这么一个关系,因为风险也是跟企业有关系,企业小的时候,其实所面临的周边风险也不大,风险的波动性也小,一个小铺子,其实面临不了很大的风险,企业的风险和它的经营范畴竟然是成正比关系,所以企业较小的时候,以及不太大的时候,内控足以适用,甚至一个简单的合规性内控足以适用了,再大一点,要管理型和战略型内控,再大一点,或者所遇的环境再激烈一点,内控就不够用了,所以企业就会出现一个混合型企业,有些风险靠内控去搞定,可固化的,还有一些动态的风险,要用风险管理体系去解决,所以到这个境界的时候,风险管理就登台入室了,到那个时候,大家也不要以为,进入到风险管理,内控就消灭了,没有,内控是风险管理的基础,就像人事管理是人力资源管理的基础,一个企业有人事部,那人事管理基本上应该有落实点,一个企业设了人力资源部的话,是不是人事部要被消灭了,不是,人事工作融化在人力资源管理里面,作为一个底层和基石