在古代打仗時(shí)�,人們早就知道士兵和將領(lǐng)身穿鎧甲��,一手拿矛����,一手持盾��。矛是用來(lái)殺敵�����、占領(lǐng)新的戰場(chǎng)的�����,而盾是用來(lái)護身���、防衛敵人進(jìn)攻的��。企業(yè)的發(fā)展�����,也應該遵從規避風(fēng)險����,提高績(jì)效��,不但要將矛磨得鋒利點(diǎn)�����,還需要將盾鑄的堅固點(diǎn)�����。
上海一公司的某個(gè)員工從人力資源部調到了財務(wù)部�����,但是他原先給員工開(kāi)賬號的權限沒(méi)有注銷(xiāo)�����,結果他就在系統中將自己全家人建立為公司的員工�,每月發(fā)著(zhù)工資����,其結果公司損失幾百萬(wàn)�。公司的系統中�����,每個(gè)人有多個(gè)權限�,有很多不同的角色�����,這些角色中是否存在著(zhù)沖突現象��。企業(yè)一些關(guān)鍵過(guò)的的審批是否真正執行了����,有沒(méi)有超越權限的行為發(fā)生���,像這樣的風(fēng)險很多公司都存在���,如何在企業(yè)中通過(guò)風(fēng)險控制��,提高企業(yè)的績(jì)效�,是每個(gè)企業(yè)應該重點(diǎn)關(guān)注的重點(diǎn)�����。企業(yè)不但要關(guān)注績(jì)效����,還要平衡風(fēng)險�����。
一�、風(fēng)險調節之下的績(jì)效管理
企業(yè)要實(shí)現利潤最大化��,就需要兩條腿走路�,一要保證企業(yè)的效益最大化��,二要企業(yè)風(fēng)險調節到適當的程度��。這就是最近幾年管理軟件界新出現的新概念��,企業(yè)績(jì)效優(yōu)化(Enterprise Performance Optimization)或者企業(yè)績(jì)效應用(Performance Optimization Application)����,它主要包括兩大方面�,一個(gè)方面就是2001年開(kāi)始被人們開(kāi)始關(guān)注的企業(yè)績(jì)效管理(Cooperate Performance Management)和安然事件后引起人們重視的GRC(Governance��,Risk Management 和Compliance) .
企業(yè)績(jì)效管理(CPM)是用于監控和管理企業(yè)績(jì)效的方法���、準則����、過(guò)程和系統的整體組合����。是保證企業(yè)效益管理的有效性�����,以及戰略和執行的一致性��,主要包括公司的戰略管理����、商務(wù)模式設計�、預算和規劃���、實(shí)時(shí)企業(yè)執行的監控�����、分析和報告��;而GRC主要使用在全面風(fēng)險管理��、企業(yè)內部控制和責權分離的實(shí)施和執行��,也包括企業(yè)的采購��、生產(chǎn)��、財務(wù)�、運營(yíng)�����、營(yíng)銷(xiāo)���、環(huán)境�����、安全����、貿易SOX法案等的合規����。
在一般情況下����,企業(yè)的績(jì)效和風(fēng)險是成正比的����,期望的績(jì)效越高��,企業(yè)的風(fēng)險也會(huì )越大���。所以企業(yè)如何在降低風(fēng)險的條件下��,提高企業(yè)的整體績(jì)效�����。比如企業(yè)為了利潤最大化���,可能采取提高價(jià)格����,可是提高價(jià)格可能會(huì )降低客戶(hù)的購買(mǎi)度�,出現更大的風(fēng)險����,反而降低了企業(yè)的績(jì)效�,如何保持企業(yè)的績(jì)效和風(fēng)險的平衡����,是每個(gè)企業(yè)正在追求的理想環(huán)境��。企業(yè)過(guò)分強調績(jì)效�,忽略了風(fēng)險����,很難保持企業(yè)長(cháng)青���,企業(yè)過(guò)分強調風(fēng)險����,可能導致辦事效率低下��,反倒直接影響了企業(yè)的效益和員工的積極性�����。比如合規要求太強��,公司還沒(méi)有很好的系統和工具����,一個(gè)合同的審批流程長(cháng)達一周或者數月����,企業(yè)就很難做大做強�����。
二�����、如何實(shí)現企業(yè)的GRC
GRC包括公司治理�����、風(fēng)險管理和合規��。公司治理主要是指公司的組織結構��、各個(gè)部門(mén)和角色的職能職責���,流程規范����;風(fēng)險管理包括風(fēng)險的定義��、風(fēng)險的識別���、風(fēng)險的分析和預警��,風(fēng)險的級別和損失評估�����,以及風(fēng)險應對所采取的合理方案��。其主要的方法是定義企業(yè)的KRI(關(guān)鍵風(fēng)險指標)�����,進(jìn)行實(shí)時(shí)分析�、監控����、預警�;對企業(yè)過(guò)程管理每個(gè)作業(yè)的監控��,做到過(guò)程控制��。風(fēng)險絕對不可能完全杜絕����,而是要分析降低風(fēng)險所需要的時(shí)間和成本�,然后采取應對的策略和方案���。合規包括法律���、財務(wù)����、環(huán)境��、采供�����、生產(chǎn)��、銷(xiāo)售��、運營(yíng)等的各種國際��、國內監管機構等的法律����、法規的遵從和要求�����。
國資委《中央企業(yè)全面風(fēng)險管理指引》和五個(gè)部委提出《企業(yè)內部控制基本規范》出臺以后����,各個(gè)企業(yè)開(kāi)始重視全面風(fēng)險管理和企業(yè)內部控制�,可是如何讓全面風(fēng)險管理落地����,一是要建立風(fēng)險管理相應的組織�����,比如風(fēng)險管理委員會(huì )���,將企業(yè)風(fēng)險管理從以前的口頭任務(wù)落實(shí)到具體的組織管理�����,二是企業(yè)健全風(fēng)險管理的規章制度�、編制并落實(shí)內部控制手冊�;三是制定全面風(fēng)險管理的流程和定期檢查����;四是利用風(fēng)險管理的工具�����,實(shí)時(shí)監控企業(yè)的關(guān)鍵風(fēng)險指標(KRI)�,發(fā)現超標或者流程節點(diǎn)出現漏洞�����,及時(shí)預警�����,分析原因�����,獲得風(fēng)險的等級�����,預測產(chǎn)生損失的大小�����,采取應對措施所需要的成本�����,最后決策如何采取行動(dòng)����,使得風(fēng)險損失降到最低��。
企業(yè)風(fēng)險管理具體工作步驟應該具有三道防線(xiàn):第一道防線(xiàn)是業(yè)務(wù)部門(mén)的管理人員需要嚴格遵守業(yè)務(wù)流程�����,在每個(gè)風(fēng)險點(diǎn)進(jìn)行把關(guān)����,落實(shí)風(fēng)險責任人��,當然對于企業(yè)的風(fēng)險�����,可以事先進(jìn)行預防�,比如在企業(yè)的ERP系統中��,將每個(gè)過(guò)程節點(diǎn)的風(fēng)險進(jìn)行檢查�����,例如從采購到付款的每個(gè)節點(diǎn)實(shí)現自動(dòng)檢測和控制��,超過(guò)閥值時(shí)�,就無(wú)法進(jìn)行下一步的操作����。第二道防線(xiàn)是風(fēng)險管理職能部門(mén)���,制定規范的制度�,發(fā)現企業(yè)的風(fēng)險���,提出改進(jìn)的計劃�����,定期發(fā)布風(fēng)險報告�;第三道防線(xiàn)是內部審計部門(mén)�,監督評審企業(yè)的風(fēng)險�,從體系建設和制度執行���,逐步整改�����。
三�、企業(yè)風(fēng)險管理實(shí)現的內容和方法
企業(yè)的風(fēng)險包括戰略風(fēng)險����、財務(wù)風(fēng)險����、運營(yíng)風(fēng)險��、法規風(fēng)險��、市場(chǎng)風(fēng)險�、信用風(fēng)險�、利率風(fēng)險�、信息化建設風(fēng)險等�。
戰略風(fēng)險包括企業(yè)的投資組合����、組織架構����、環(huán)境監測�、資源分配等�����,往往一個(gè)簡(jiǎn)單的決策�,導致一個(gè)企業(yè)的倒閉����,企業(yè)要做多元化還是一元化�����,都是企業(yè)值得認真分析���,經(jīng)常利用的方法有五力分析法�、平衡計分卡方法���、企業(yè)的戰略地圖���、績(jì)效棱柱方法���、SWOT分析法等建立企業(yè)的戰略目標�。SAP的戰略管理(Strategic Management)和風(fēng)險管理(Risk Management)軟件主要就是為了實(shí)現戰略風(fēng)險控制而設計的一套完整的解決方案���。
財務(wù)風(fēng)險包括預算和計劃的完整性和可實(shí)現性�����、財務(wù)報告的完整�、準確����、透明�、實(shí)時(shí)性���。SAP 的預算和合并報表(Business Planning & Consolidation)就是為了實(shí)現財務(wù)風(fēng)險管理和控制而設計的����。
運營(yíng)風(fēng)險包括企業(yè)運作的流程����、規范和制度的執行��。比如新產(chǎn)品開(kāi)發(fā)��、供應商�����、采購�、庫存��、排成�����、生產(chǎn)�����、運輸����、銷(xiāo)售���、客戶(hù)等流程節點(diǎn)的控制�����,主要體現在過(guò)程控制和統計過(guò)程控制���。主要可以使用ERP和SAP過(guò)程控制(Process Control)來(lái)實(shí)現����。
在運營(yíng)風(fēng)險中一項非常重要的風(fēng)險就是責權分離���,企業(yè)通過(guò)責權分離來(lái)杜絕一些舞弊行為���,比如一人多責��,像會(huì )計和出納由一人擔當�����,人力資源部門(mén)管理員工賬號的人員和財務(wù)部發(fā)工資人員一人擔任或者調離了某個(gè)部門(mén)而權限沒(méi)有注銷(xiāo)等��,都會(huì )為企業(yè)帶來(lái)巨大的風(fēng)險和損失���。這樣就需要在給每個(gè)人分發(fā)權限時(shí)��,事先模擬是否有沖突現象���,然后審批經(jīng)理在系統中進(jìn)行審批��,事中檢查是否有沖突���,事后分析�,有那些人有沖突的權限���,這些人都做了那些違規的工作��,帶來(lái)多大的損失����,然后進(jìn)行整改�。這一需求可以通過(guò)SAP的訪(fǎng)問(wèn)控制(Access Control)來(lái)實(shí)現��。
法規風(fēng)險包括監管部門(mén)的各種法規��,經(jīng)常會(huì )有多重法規���,比如國際會(huì )計準則�����、環(huán)境����、健康和安全(EHS)��、低碳�、REACH��、進(jìn)出口貿易各國之間的法律法規等�����,這些可由SAP的EHS和全球貿易服務(wù)(Glob Trade Service)實(shí)現�����。
對于企業(yè)的信用風(fēng)險�、市場(chǎng)風(fēng)險���、利率風(fēng)險等���,都可以通過(guò)SAP的商務(wù)智能以及企業(yè)績(jì)效管理來(lái)實(shí)現�����。比如IT建設中數據質(zhì)量的控制����,可以通過(guò)SAP的Data Quality來(lái)實(shí)現����。對于財務(wù)報表的及時(shí)性可以通過(guò)SAP水晶報表來(lái)實(shí)現�����。對于決策的正確性和及時(shí)性可以通過(guò)SAP商務(wù)智能套件來(lái)實(shí)現�。企業(yè)成本的控制可以通過(guò)作業(yè)成本法來(lái)實(shí)現��,SAP的績(jì)效和成本管理(Performance & Costing Management)就是為了這一目的設計的��。
企業(yè)的風(fēng)險管理����,是一個(gè)非常重要的話(huà)題�,很多的管理層既愛(ài)又恨內控和外部審計��,愛(ài)的是可以降低企業(yè)的風(fēng)險��,恨的是這樣的工作加大了工作量����,增加了企業(yè)的成本�����,很多搞不好會(huì )降低工作的效率�����,而且是受別人的控制����。為了實(shí)現風(fēng)險管理�,提高企業(yè)的運營(yíng)和決策效率����,企業(yè)就應該建立一套ERP系統����,將企業(yè)的管理通過(guò)信息化和制度化����,實(shí)現快速的反應和行動(dòng)�����,一般的審批流程可以從原來(lái)的一周降低到幾個(gè)小時(shí)���。其實(shí)如果將企業(yè)的風(fēng)險管理改一個(gè)角度來(lái)看��,就是企業(yè)的集團管控���,那么很多的企業(yè)管理層就喜歡了����,雖然都幾乎是同一個(gè)東西����,但是管控是企業(yè)管理層用來(lái)管理和控制企業(yè)運營(yíng)的�����,實(shí)時(shí)了解企業(yè)的運作狀況的�����。相信在以后的三到五年中���,GRC將為企業(yè)帶來(lái)更大的效益����,很快會(huì )變成企業(yè)信息化建設的下一塊蛋糕�。