唐华
(中国医疗器械有限公司,北京 100028)
医药产业是国民经济的重要组成部分,被称为“永远的朝阳产业”,在各国的产业体系和经济增长中都起着举足轻重的作用,成为各国广泛重视并大力发展、相互展开激烈竞争的一个焦点。当前,虽然我国医药行业面临蓬勃发展的机遇期,但同时所处的国内外环境、面临的风险态势也发生了很大的变化,集中呈现出各种风险复杂多样、连锁联动等特点。医药行业的药品、医疗器械企业,尤其是大型国有企业,要有高度的风险意识和有效的风险管理机制,才能在纷繁复杂的全球市场环境中取得竞争优势。伴随我国改革进入深水区,经济发展进入新常态,各种风险隐患集聚,很容易形成系统性风险,产生“涟漪效应”和“多米诺骨牌效应”。因此,必须严密防范各种安全风险集聚交汇形成风险综合体,守住不发生系统性风险的底线[1-2]。
党的十八大以来,党中央始终对于违规违纪风险极为关注[3],坚持对腐败“零容忍”。国有企业特别是大型中央企业若发生腐败问题,会产生较大的经济危害和深刻的政治危害。不仅构成经济违法犯罪,造成国有资产流失,损害社会主义公有经济;而且还违背党的宗旨,损害党和政府的形象,影响党长期执政的基础。在一些招标采购、重要事项审批、大额资金支出、人事任免等方面容易滋生腐败土壤。因此,企业必须时刻树立牢固的政治意识,坚决不发生政治层面的重大风险。工作人员也要有高度的法律意识,始终将坚守法律合规底线作为开展一切工作的思考前提。
当前医药行业面临风险复杂多样、连锁联动、极端风险更加凸显的挑战。同时,新型冠状病毒疫情的突然到来,改变了原有人力资源协作模式[4],大量常态化的居家工作、网上办公等,使得组织的运行方式也在受到挑战,传统风险呈网络化传递趋势(图1),必须建立更加适合未来环境的工作流程、工作机制,方可保证企业更加高效的经营管理。
长期来看,随着大数据、互联网、区块链、5G等技术的全面应用,商品交易中的技术风险也可能空前增大,能够抓住这些技术因素的有利一面,将催生出更加先进和科学的交易机制[5],但如果不能妥善保障数据安全性和交易的稳定性,将可能给公司的发展带来颠覆性影响。电子邮件携带病毒、网络钓鱼软件、远程访问、云存储泄露数据是几种常见的网络及数据安全风险。
随着欧美市场环境的变化,系统性风险也在升高[6],未来市场是否会受到严重的系统性风险冲击,仍然有待检验。同时还有很多极为复杂的未知风险,从长期来看尤其值得警惕和防范,要守住不发生系统性风险的底线。
现今社交网络高度发达,成为人们交流沟通的主要工具。一些看似微小的负面事件如果不能够妥善处理,可能导致舆情层面的轩然大波,酿成颠覆性的风险,企业对此类风险需要引起重视。
根据国内外医药行业的经验,目前企业风险管理工作中的主要问题包括:走形式、两张皮、信息滞后、风险应对措施无效化。具体表现在如下几方面。
2.1.1 工作量浩繁且流于形式
长期以来,很多医药企业按照管理部门要求,开展各种各样体系建设、评价、诊断、报告,但这些工作大量流于形式。很多企业抱怨,已向有关监管机构、管理部门提交很多报告文件而得不到回复,最终问题没有得到解决;还有企业反映,原本没有管理体系的时候,工作还比较简单,业务还好开展,但是自从有了所谓的风险管理体系,流程变得繁琐,检查变得更多,业务也没有改善,工作人员还非常繁忙,工作流于形式。
2.1.2 风险管理体系和业务风险防控两张皮
企业已建立了预算管理体系、质量与安健环体系、廉政与道德体系、法律风险防范体系、信息安全体系、投资风险控制体系、业务流程监控体系,但按上级要求还要再搞一套体系。企业办公室、审计部、监察部、法务部、财务部、合规部、安监部、质检部、企管部、人力资源部、纪委等部门,都在控制风险,但似乎又都没有真正意义上的权利和资源。有些企业的风险管理部门经常被各级领导要求管理各类风险,对每次风险管理的不理想都要承担连带责任,但平时又没有有效的管理抓手。
2.1.3 风险管理能力薄弱,重大风险难以化解
有些医药企业建立了所谓的风险管理体系,每天、每周、每月定期报送各类风险信息,但是员工把这些工作都当成了一份“任务”,自身对于风险的理解并没有加深,领导干部和骨干员工长期忙于日常琐碎的工作,无暇抽身去思考企业真正的风险,大量的信息和数据难以形成有效的决策依据,传统的工作方式和工作理念仍然在禁锢着员工,导致组织真正的风险管理能力并没有提升。
2.2.1 核心管理者不能率先垂范,风险管理文化与管理需求不匹配
图1 风险网络化传递
企业核心领导对于风险管理工作要求停留在口头,思想上没有真正理解“风险是不确定性对目标的影响”的概念,不能深入理解中央关于新时期风险管理要求的深刻内涵,孤立的把风险和问题等同起来[7]。在行动上不习惯用风险管理的原理来指导工作,预见性的工作开展较少,在重大决策上不评估风险而是搞一言堂,压制提出风险、思考风险的同志,不能以身作则去提高风险管理能力,特别是不能通过信息化手段来化解风险,不能带领领导班子学习风险管理的知识与实践,不敢组织反思过去风险管理中存在的缺陷,对于已经看到的风险缺乏勇气面对,缺乏担当,这些管理者的行为,是导致风险管理体系难以落地的根本性原因。
2.2.2 对整体风险缺乏基本判断,体系建设思路有偏差
企业对于自身风险特征缺乏清晰理解,体系建设的思路过于仓促,未能理清企业的建设目标、实施原则、先后步骤,在没有理清楚的情况下急于实施,致使产生偏差。
2.2.3 方法论选用不当并与实际情况脱节
选用了西方的或者过于复杂的风险管理体系,将风险管理体系形式化、教条化,更有的企业拿着一些机构的框架当宝贝,像搞学术一样的去研究,就是不结合实际。形成无用的工作量,造成大量参与人员的反感,致使与实际情况脱节,达不到理想效果。
2.2.4 风险管理团队的责权利不匹配
有的医药企业设计了风险管理组织机构,开展了一系列研究,评估过企业面临的内外部风险,提出过一系列重大风险的管理措施,能够参与到一些决策过程中,取得了一定成效[8]。但由于风险管理的业务始终和主业不能有效结合,也没有人、财、物方面的抓手,再加上很多团队对业务不够了解(有的是独立性不够强),逐渐就变成了一个内部咨询部门。价值无法被上级和其他部门所认可,团队的积极性就受到影响,长而久之位置也就很尴尬。
2.2.5 关键人员参与程度低且游离感强
有的企业主要领导没有充分参与,只在会上进行表态,没有形成有效深入的研究,也没有带头落实风险管理机制,导致整个企业的风险管理文化出现了问题,进而导致风险管理体系流于形式。
2.2.6 未做好员工思想工作而有抵触情绪
没有解释好风险管理工作的价值,员工从观念上害怕风险,抵触风险,认为管理风险就是给自己找麻烦,从而在根本上产生对立情绪,影响风险管理工作的长期开展。
2.2.7 不重视能力培养使相关工作不理想
有的企业不重视骨干人员的风险管理能力培养,只是简单的听培训,做几个讲座就当是风险管理能力提升。对于真正复杂的、有价值的风险评估方法,缺乏钻研精神;对于常规化、简单化的风险管理常识,又不进行严格的技能训练,导致组织的风险管理水平与机制建设不匹配,达不到理想效果。
2.2.8 与考核脱节而无法有效持续改进
风险管理工作与绩效考核脱节,也不能能够长期坚持,搞一阵风式的学习,运动式的体系建设,结果体系很快就被抛弃。
实践表明,企业风险管理体系建设,必须强调风险导向、实事求是、融入业务、小步快跑、试点先行、骨干参与、重视风险管理能力培养、信息化建设与机制建设相结合等思路[9]。
企业应首先考虑自身未来的主要目标,围绕这些目标,分析哪些风险可能产生颠覆性,这些风险相关的业务领域及主要表现是什么,评估当前的管理机制中有哪些不足,之后再去研究如何通过一套管理体系来有效化解。
风险管理工作本身应该融入已有业务,不应在业务之外另搞一套,增加形式化的工作量。绝不可盲目照抄照搬其他企业的实践方式,或为了建立体系而去做体系。应依托已有的沟通机制、信息手段、业务流程,先尝试将风险管理的核心要素融入进去,逐步培养员工的风险管理理念和工作习惯。通过长期不断的坚持,来建立适合企业自身的风险管理体系。
鉴于风险管理工作的复杂性。可先集中精力选取适点业务开展探索性工作,带着思考性、探索性的精神去开展风险管理工作,不要急于设立时间表,在实践中摸索适合自己的经验,小步快跑去进行总结。
建议企业领导班子带头研究未来一段时间的风险,客观、坦诚的评估当前管理工作中的薄弱环节。过程中可以打破传统的职务、层级、年龄界限,让有学习精神、有独立思考意识的同志们参与到研究之中,在体系建设的过程中,重视内部人才的选拔和培养,将风险管理机制建设与风险管理人才队伍建设同步起来,将提升人的风险思维能力和风险管理能力作为重点,侧重于营造风险文化,而不仅仅是建立制度流程。在此过程中,可以考虑选择业务扎实,合作态度积极的专家,作为风险管理工作的长聘专家,以长期咨询的方式构建稳固的合作关系,使外部专家的智慧能够长期为企业所用。
信息系统在日常工作中的强大作用,建议未来风险管理工作,在设计之初就为未来的信息系统升级工作预留接口[10]。尽量思考如何通过高效、灵活、便捷的信息系统来展示风险、计算风险、支持风险决策。