企業應該如何制定規則控制內部風險?中歐國際工商學院會計學教授、EMBA學術副主任、CFO課程學術總監蘇以“危機中的企業與企業中的危機”為主題,就企業領導者如何在日益復雜的外部環境中加強內部控制、有效管理風險、提升經營業績進行了深入講解。
COSO是美國的壹個舞弊調查機構,它延伸到內部控制,提出了內部控制的框架。COSO最基本的內部控制框架是所謂的“三個目標和五個要素”。三個目標,壹個是高效和有效地使用公司的資源,後兩個目標是COSO增加的-財務報表和合規性。在三個目標中,形成了從底層到頂層、從基礎到高端的五大要素。
第壹,控制環境。控制環境就是建立企業文化,讓老實人得到重用。企業文化是看不見摸不著的,但是它的影響是非常大的。做管理就是在企業裏形成壹個小環境,讓每個人都願意展現自己光明陽光的壹面,盡量壓抑自己消極不光彩的事情。兩年前,美國有壹個團隊做了壹個研究,對美國財富500強的大公司說,請給我壹個名單。去年妳們公司有多少人失去了管理團隊?上市後告訴我有多少人,如果可能的話公司會想辦法留住他們。他壹個壹個地問這些人。很多人給出的理由是什麽?我看到辦公室很多同事在工作中用公司的電話談私事,或者用公司的信封發私人信件。我不想和這些人做同事。這告訴我們壹個道理。企業文化最重要的功能就是把價值觀相同的人聚集在壹起,把不認同這種價值觀的人趕出公司。久而久之,留在公司的都是價值觀壹致的人。
公司是由人組成的,所以好的公司文化必須從建立和招聘最合適的人開始。招聘員工其實風險很大。因為環境誠信度有問題,如何保證這些人誠實可靠就很關鍵了。運營後要建立各種機制、機構、董事會、審計委員會,形成壹定的業務風格和管理風格;很多時候,壹把手決定了這個企業的風格,很多風格壹旦形成就很難改變。在沒有宗教信仰的環境中,防範風險比在其他環境中更難。
第二,風險評估。風險是未來會發生的壹種可能性,在它發生之前發現它是非常困難的。風險有多種分類。壹是內部風險,自己做事就能解決的風險;二是外部風險,市場環境突變,自然災害等;存在固有風險和剩余風險。
風險識別的關鍵是看每個風險發生的可能性有多大。損失有多大?如果損失可能非常大,發生的概率非常高,最好的辦法就是我們不做。我造成的風險可能會很大,但發生的概率不會太高。我能怎麽做呢?轉移,壹種方式是買保險,(轉移)壹部分(風險)給他人;然後找個人壹起創業,壹起分享。如果發生的概率相當高(但損失不會太大),最典型的問題就是產品的質量問題,對策就是加強質量控制措施,減少不良頻率的發生。如果我采取預防措施,成本可能得不償失。
當妳真正確立了風險的概念後,妳的行動就變得完全不同了。日本福島地震中兩家公司的表現(中)告訴妳要有風險意識。今晚沒人會回家。我立刻發現,世界上有壹種東西,只產於日本福島。不管和我們公司有沒有關系,全世界都去找,不惜任何代價買。壹夜之間,整個公司都撲向它。第二天工作全部做完,現在回去睡覺,大家就等著數錢吧!道德上有點不好,但在商業敏感度上絕對厲害。第二個例子是,上海汽車在福島地震第二天上午9點召開應急小組辦公會。董事長只問了壹個問題:如果福島地區不恢復生產,上海汽車生產還能持續多久?因為汽車的許多零件都是日本制造的。全公司立即上報,半年。第二個問題是,繼續查備件界有沒有替代品。壹個接壹個,據報道,世上萬物皆有替代品。再問壹句,能用嗎?我不能。因為所有的汽車零部件都要經過壹個認證過程,那麽認證過程有多長呢?最短時間9個月。董事長表示,從今天起,全公司全力以赴解決認證問題,半年內必須解決認證。為了風險防範,公司壹出事就馬上想到會受到什麽影響,壹天都不能耽誤。
對風險還是有些想法的。首先是是否應該避免風險。妳要想清楚,做生意本質上是冒險。成功的企業家願意承擔風險,不願意承擔風險的人不可能成功。但我們永遠會想清楚,企業需要承擔風險,但必須只承擔自己能承擔的風險,絕不承擔自己不能承擔的風險。舉個例子,我說我拿出1的硬幣跟妳玩,妳在我轉頭的時候給我5塊錢,我轉頭的時候給我5塊錢。挺好玩的。我們玩吧。我會說,正面朝上妳給我5億,反面朝上我給妳5億?妳想玩嗎?這個時候,妳不會去想如果我今天賺了5億,晚上怎麽花這筆錢。妳想到的第壹件事就是萬壹我輸了,我去哪拿5億回來給這家夥?我能冒這個險嗎?我剛剛做到了。如果成功了會有多大的好處?
企業承擔風險,影響生死的風險就是決策。中國人常說,多疑的人不需要多疑,這很虛偽,因為在現代商業社會,多疑的人是不負責的,最好的是我不給妳任何犯錯的機會。所以我在每個公司都是獨立董事,做風控和內部管理的我只給妳八個字,相對獨立,歡迎合理。
我們鼓勵創新。創新等於冒險嗎?是不是壹旦進行創新和風險控制,就會很差?越是創新的公司,越是使用控制權。其實創新和控制並不矛盾。為了真正創新和有效,我們不應該像無頭蒼蠅壹樣到處扔錢。這不是創新。
如果妳面臨以下選擇,壹個是犧牲核心員工消除重大風險,壹個是保護核心員工卻可能留下重大風險,妳選擇哪個?保護核心員工和消除重大風險哪個更重要?消除重大風險。首先,堵上風險。不管涉及到誰,後面再說。如果我們再受委屈,刀壹定要砍。理論上講,風險防範是第壹位的,保護核心員工是第二位的;但是真正讓妳這麽做的人看起來是那麽的無辜。現在妳要冒壹點風險先殺了他。妳能做到嗎?如果妳做不到,臨陣退縮,妳覺得這個人有罪嗎?是否應該受到懲罰?這些都是實際風控中非常實際的問題。當妳遇到這些令人困惑的(問題)時,很多人往往會覺得自己做不到,其實自己做不到。如果風險真的爆發,整艘船很可能會沈。讓我們考慮壹下。這個被誤傷的男人會怎麽樣?妳會反感嗎?電影裏的“007”真的很高貴。我毫無怨言地回到警察總部,我想繼續戰鬥。實際工作中沒人能做到。如果沒人能做到呢?這使我們產生了以下問題:如果這些人被證明確實是被冤枉的,他們是否應該,而且他們是否能夠復職?基本規則是,就算殺了他也不能把他帶回來。
為什麽?告訴妳壹個簡單的例子。幾年前雷諾發生了壹件事。壹位副總裁向競爭對手舉報並曝光了另壹位副總裁的商業機密信息,並出示了證據。公司董事會大怒,解雇了所有副總裁及其員工。壹年後,事實證明舉報是陰謀報復,被誣告的副總再次被開除。(委屈的)副總要求回公司,雷諾(說)多少錢可以商量,回來沒有商量的余地(余地)。為什麽?不僅心態變了,還要想清楚。當時公司經歷了非常劇烈的政治變動,那壹行的人都被調了出去。現在如果帶回來,公司就不得安寧了。他會回來(整頓)以前惹他的人,大家都往後退。這家公司折騰不起,所以(所以)回不來。妳要想清楚,個人對於公司永遠是次要的。
第三,控制活動。有許多控制活動的措施。在壹個公司裏,所有的庫存采購和所有的采購都是進來的。如果十天內沒有人來收,總經理的電腦上會亮起紅燈。(他)會立即檢查是誰提出購買請求的。購買的原因是什麽?批準的理由是什麽?為什麽買了十幾天都沒用?資金成本誰來承擔?這個(制度)建立起來以後,類似的錯誤就不會再犯了。公司不怕犯錯誤,最怕犯重復性的低級錯誤,這是公司不能容忍的。
要建立壹個控制系統,有些事情是非常重要的:
壹個是區分不相容崗位,也就是遵循壹個基本原則——兩個人做壹件事比壹個人單獨做更安全,因為兩個人有壹個監督和約束。有些工作是壹個人做不了的,比如會計和出納。我給妳舉個例子。這就是企業擔保的作用。這個環節涉及到幾個管理環節。我把它們列在1,2,3,4,5,6,7。至少有七個功能,必須由不同的人來完成。現在不相容的崗位分了,做出來之後還是會有問題。風險在哪裏?不相容的職責在什麽情況下分開,最後出了事?勾結在所有的控制措施中,最怕的就是勾結。如何解決合謀的可能?這是每個公司都為之絞盡腦汁的事情。壹些小企業,壹些老板,都會有壹些私人秘密。有老板說我的獨門秘笈是,今天出納不在,會計在的時候,妳要註意。收銀員已經反映過幾次了。妳上班經常走出來,會計壹聽就討厭出納。(但是)當他們兩個說的很清楚很透徹的時候,(老板)就會很慘,所以不是控制,是權謀。還有壹些人說,我的基本原則是,這兩個人絕對不能是壹男壹女,尤其是年齡不能接近,不能來自同壹個家鄉,不能(畢業於)同壹個學校等等,這樣越少說同壹種語言越好。如何解決合謀問題壹直是個謎。關鍵崗位必須強制連續休假10天以上,休假期間必須有人補崗。比如這些搞垮新加坡英國銀行的人,都有壹個相同的特點。他們工作非常努力,已經幾年沒有休假了。他怎麽能休假呢?當他休假的時候,所有的都會暴露。
二是明確崗位責任。我反復強調,壹定要有書面的崗位責任承諾書,每年要簽壹次,帶來兩大好處。第壹個好處是每年重新檢查每壹個崗位,提醒他的責任。雖然是套路,但至少是個提醒。第二,事情壹旦上了法庭,就是壹個具有法律約束力的文件,也就是說,妳承諾了妳必須履行這個責任。如果妳沒有做到這壹點,妳必須承擔法律責任。崗位責任承諾書基本大公司都是要妳簽字的,但是崗位責任承諾書本身是要經過認證和復核的,最怕妳沒有準確描述。
三是工作流程圖,把每壹步都寫在紙上,先做什麽,後做什麽。比如供應商選擇,在每個公司都是壹件非常非常討厭的事情。為什麽?因為很多工作流程都是非正式的,壹旦非正式的東西寫在紙上,就會發現沒完沒了的爭吵。遇到類似的問題,四個部門的頭頭湊在壹起,這個事情就搞定了。壹旦流程圖失敗,我必須先去找他,我用流程去做。四個人都跳起來說,這怎麽行?如果我同意,妳們三個可以在幾分鐘內否決我。我什麽意思?現在我連看他們三個不同意什麽的機會都沒有?流程壹旦確定,誰有權做什麽,因為涉及到不同部門的利益,涉及到責任的重新劃分,這是壹個非常大的麻煩。
第四,信息與溝通。現在是信息時代,讓信息在企業中發揮好作用極其關鍵。對於信息控制來說,重點是讓人們在正確的時間獲得正確的信息。這句話說起來容易做起來難。現在每個企業或多或少都有自己的信息系統,但是每天產生的信息量。起到什麽作用?企業裏沒幾個人說清楚。企業對聯系人信息的授權在大多數企業中並不精確。因為信息系統裏很多看不見的東西,只要有人有機會打補丁,後果不堪設想。有的補丁丟壹些,有的補丁帶來的損失很大。
上海有壹家法資超市,歐尚超市。有壹個年輕人負責計算機系統。每天結束業務後,他把業務數據匯總統計發送到法國總部,這就註定了他每天下班都落後於別人。有時他餓了。壹天晚上,當他餓了,他去超市買面包。我在工作,我拿了壹條面包吃。萬壹數量是電腦數錯了,我要負責。他吃了壹條面包,在上面貼了壹塊補丁。當他完成時,他發現這很簡單。當他餓的時候,他去前面吃面包。壹天,壹個裝卸工是他的朋友。妳餓了嗎?妳想要壹些面包嗎?請自便。妳怎麽會有這種能力?我向妳保證沒有問題。怎麽發生的?說實話,我在電腦上打了補丁,沒人能看到。那個人比他更細心。他可以拿面包,錢也可以!他錯了。我拿不到錢。都在收銀臺。他說別管了,我管收銀員,妳管電腦,這個人買通收銀員。他招了20多個收銀員,在電腦上打了個補丁。(後來)法國總部發現這個分店每天的營業額不如以前了,好幾個人都找不出來。後來壹個法國的人,壹個偶然的機會,拿起收據壹看就知道有話費扣了,幾個月就(他們)拿了200多萬。超市是壹個很薄的行業,壹個店拿走200多萬是壹個非常大的數字。
電腦系統被篡改是非常危險的,但是如果用得好,有時可以幫妳控制它。畢竟電腦是無情的。我有個學生經營星巴克咖啡。他說有壹家店總懷疑有問題,因為這家店的營業收入和消費都不好意思,總有問題。後來仔細分析,發現兩家店串通壹氣。我們賬戶裏只有3杯,我給了妳5杯。最大的可能是每次收銀機出來,要想做手腳,必須比平時呆的時間長。他算了壹下這家店收銀行為壹次超過多少秒,和其他分店有區別嗎?經過分析,很明顯這家公司肯定有問題。電腦告訴妳的不可能是假的。收銀機上偷偷裝了攝像頭,壹查就發現了,電腦可以幫妳把握風險。這就是信息的質量。
第五,監控。監控是最後壹關,就像足球場上的守門員繞過妳進了壹個球,所以所有的公司領導都要想盡辦法讓妳知道妳承擔最後的責任。很多人都沒有意識到我有多大的責任。企業領導最後壹般用什麽手段做監控?簽名。但是太多人簽的太隨便了。
我曾經在壹家大企業做獨立董事,我受不了。我說簽名太隨意了。開董事會的時候,我要求董事會給我壹個授權。我的要求太冠冕堂皇了,誰也沒有理由拒絕。董事會壹致同意給我這項授權。我召集了負責風控的人進行授權。我說現在(我)已經被董事會正式授權允許我查監控。現在妳只聽我的,不聽別人的。妳在做什麽?我呢,隨機抽取了去年公司董事長總經理的100個簽名,做了壹個清單。我要做的就是找到這個人,說,妳去年簽了幾號?現在請告訴我妳當時有什麽證據?有什麽理由相信妳的簽名是負責任的?被問的人十有八九不知所措。我把所有的調查結果整理成壹個表格,攤在董事會的桌子上。我說這是我們公司的招牌。我這樣做是為了提醒以後很多人簽名。
同時我想做壹件事,減少公司簽名的數量,特別是防止幾個人壹起簽名。幾個人集體負責簽名,實際上沒人負責。壹方面減少簽名數量,另壹方面每個簽名的人都要讓他知道妳承擔什麽責任。
簽名意味著三件事。第壹件事是妳有所有需要簽字的證據;第二,妳明白簽字後可能產生的後果;第三,妳願意承擔妳簽字帶來的壹切責任。所以壹個公司要建立壹種文化,讓簽字人知道簽字意味著三件事。如果妳沒有想清楚這三點,就千萬不要簽字。從這個角度來看,監測發揮了作用。
現在企業很多工作其實都是中介做的。如何利用好中介的力量來幫助妳?比如審計師在法律上有責任出具獨立的審計意見,但(這)並不妨礙妳要求他們幫妳壹個忙。我去很多公司,對審計人員說,我知道妳沒有法律責任,但是就算妳幫我壹個忙。什麽忙?首先,如果妳看下面,妳會看到許多不同的地方。請幫助我觀察我下面的人在做什麽。就算他們在說閑話,也請幫我聽聽下面的人關心什麽。有什麽問題嗎?第二,請告訴我,我下面的人是無能的?妳做得好嗎?有什麽好處?好處是審核費不增加壹分錢,但是妳得到了壹些妳想要的額外信息。妳要盡力去想企業的所有中介服務。妳能要求他提供更有價值的服務嗎?
內控最大的恐懼是什麽?最怕的就是制度形成,裝訂成冊,鎖在抽屜裏,從此無人問津。這才是最可怕的。所以每個企業都要保證制度會跟進。這時候很多公司都想有壹套措施來保證系統的缺陷能夠及時上報。所謂缺陷,就是設計缺陷和執行缺陷。有壹家大型集團公司采用的是各分公司自行上報的方式。妳今年內控有幾個設計缺陷,然後找總集團審計部調查,兩個數字分別在這裏匯報給董事長。這是奇恥大辱,幾年後每個分公司想上報內控結果的時候都害怕。妳壹定有辦法讓下面的人不敢掉以輕心。
網上調查很多企業內部控制的執行情況,最難的是什麽?絕對的第壹名是第壹號詐騙。這是中國特有的問題。新加坡曹出事後,我們壹開始想要壹點面子,該不該讓證監會調查?新加坡交易所斷然拒絕,說我們應該調查,而不是中國。經過他的調查,形成了壹份200多頁的調查報告,調查的第壹個結論讓大家大吃壹驚。第壹個結論是曹的內部控制體系是世界壹流的。他專門花了幾百萬美元請安永設計了壹套完整的內控(體系)。而且他知道中國人比較善解人意,比較重關系,關鍵崗位有兩個,壹個是風控官,壹個是交易員。(這個)兩個位置專門讓外國人來填,兩個澳洲外國人好沒心沒肺。但是,這麽好的制度竟然會出這麽大的漏洞,下面的結論很簡單。這個系統控制了除陳九霖以外的所有人。換句話說,再好的制度,只要有壹個人能置身事外,就是廢紙。壹個好的系統覆蓋所有人和所有業務環節,這是壹個非常明顯的事實。銷售貨款、銷售和采購是所有制造企業中最大的風險。銷售和采購恰恰是兩個階段。采購的人在公司是孫子,在別人家是爺爺。做業務員在公司是爺爺,在別人家是孫子。有很多潛在的好處。業務員能不能說我可以晚壹點付款?我最怕的是妳給他的工資明顯低,那個人還天天在陽光下上班。十有八九肯定有補償機制在裏面。
內部控制,如果妳的老板不是很主動的想做,我勸妳千萬不要做,因為沒有真正高層的決心和熱情是做不到的。因為這件事涉及到對他影響最大的兩件事。第壹件事,利益格局;第二件事是成本。所謂利益格局,就是企業間任何現有制度的變化,通常都會觸動壹些人的奶酪。妳不知道奶酪在哪裏,無形中就會傷害到壹些人的利益。比如采購制度的改變,供應商的選擇,特別是壹些公司推行集中采購的時候,團購往往會遇到莫名其妙的障礙。這個障礙就是妳動了別人的奶酪。
公司內部控制最常見的現象就是公司老板推新的控制系統,部門經理會說,老板,我同意,我們公司確實需要新的控制系統。我從心底裏贊同這個控制體系,但是我害怕今年的業績完不成。個人覺得業績完成沒關系,新系統要推。老板壹聽就急了,董事會答應了。老板,妳不可理喻。妳推動制度,取得成效,太難了。這個怎麽樣?我知道演出已經答應並宣布了。今年我會全力以赴先把業績做好。這個系統明年會被大家推廣。這句話之後老板會說什麽?老板說,看來只能這樣了。明年會推嗎?十有八九沒人會提。如果壹個新的制度推行下去,如果不提前估計阻力,十有八九後果會很重。
第二是收入和成本。妳能防範的風險只是壹種可能性,但妳所花費的成本卻是實實在在的數字。很多人說我有必要花錢。因為妳說的風險從來沒有發生過?如果妳沒有準備好,妳就做不到。
第三是控制和效果。控制程序越多,越不舒服,越不方便,節奏越慢。想高效,能做到嗎?這個東西有時候很微妙,有時候壹個離奇的想法很可能被證明是正確的。恒大許家印當時就投了(買足球隊)。結果,只有壹票就夠了。許家印不管董事會其他成員,都做得很棒。按照正常的風險控制程序,許家印的足球(右)是任何情況下都不能買的。公司現在買是利好還是利空?它看起來可能是積極的。換句話說,如果妳嚴格按照程序來做,風險控制不壹定能讓妳做出最有利的決定。它的主要功能是避免危險的決定,但它不能幫助妳形成最有效的決定。從根本上說,企業賺錢是靠生產好的產品和服務,而不是靠好的風險控制。所有企業的壹切行為都要為企業創造價值。如果風險控制不能帶來業務的提升和價值的增加,所有的控制(行為)都不應該存在。所以在風險控制上壹定要有經營理念。
本質上,風控是壹個很不舒服的工作。為什麽?風險控制基本上是壹個成本中心。什麽是成本中心?花的錢看得見,但真正的價值未必看得見。所以這個行業的人很擔心,最終的風險控制是公司裏大大小小的事情,什麽都不發生,但是如果公司什麽都不做,公司會問這些人怎麽辦。
我給妳舉個例子。現在外面有H7N9。人得了這種病,禽流感肯定要人命。相信我,妳花500塊錢買這個藥,壹年真的不會得這個病。現在我問妳壹個問題,妳會欣賞我嗎?100%不會。因為壹年後,張三、李四、王五沒有生病。這裏最大的問題是,我們永遠無法證明我們吃了我的藥不會生病或者不會生病。如果企業沒有足夠的雅量,很多時候,成本壓力大的時候,就會不願意在這方面投入;(但是)當妳真正看到摘下來的效果時,通常已經晚了。