從ERM框架演變看企業(yè)風(fēng)險(xiǎn)管理工作的定位
孫友文:
中國人有句古話,名不正則言不順。標(biāo)題的理解和翻譯不僅體現(xiàn)的是對一句話的描述,更是對整個風(fēng)險(xiǎn)管理工作的定位,處理企業(yè)戰(zhàn)略和企業(yè)績效與風(fēng)險(xiǎn)管理工作的關(guān)系的關(guān)鍵問題。如果理解或者翻譯不好,定位出現(xiàn)問題,那整個工作在企業(yè)的方向就會扭曲,執(zhí)行過程中也會變形。
最近,看見有其它不少專家也在分析解讀COSO 2017版企業(yè)風(fēng)險(xiǎn)管理框架,特別是對于框架的標(biāo)題,各種專家給出了不同的理解和中文翻譯,比如有人翻譯成:
企業(yè)風(fēng)險(xiǎn)管理 - 整合戰(zhàn)略與績效
企業(yè)風(fēng)險(xiǎn)管理 - 與戰(zhàn)略和績效的整合
企業(yè)風(fēng)險(xiǎn)管理 - 集成戰(zhàn)略與績效
的確,如果僅僅從字面上來講,這么來直譯也可以理解,但是從翻譯來講,最佳的翻譯方式絕對不是直譯,而且有時(shí)直譯更是詞不達(dá)意,造成誤解和誤讀。
插敘 如何做到最佳翻譯? 做到最佳的翻譯需要具備幾個條件: 1.中文好 2.英文好 3.專業(yè)好 4.責(zé)任心好 以上缺一不可,在我看來,翻譯可以分為以下幾個級別: 第一級叫直譯,翻譯的是字面意思,最方便的直接Google Translate就可以了,如果對內(nèi)容比較熟悉,讀者在這類翻譯中能勉強(qiáng)從晦澀的文字里理解大概意思,有些則完全曲解。 如有些“專家”將新版ERM框架標(biāo)題翻譯為“集成戰(zhàn)略與績效”,這是一種不負(fù)責(zé)任的胡扯,沒有專業(yè)背景的人以為“集成”一詞是戰(zhàn)略與績效的定語呢。雖是直譯,但與原意相差十萬八千里; 第二級叫做意譯,需要從字面的意思出發(fā),根據(jù)作者要表達(dá)的意思進(jìn)行潤色,邏輯進(jìn)行調(diào)整,以達(dá)到可以順利閱讀,了解其義的目的; 第三極叫做會譯(意),要求從文字出發(fā),但根據(jù)上下文環(huán)境和作者的原意,不進(jìn)行組字組句的翻譯,但根據(jù)中文的閱讀習(xí)慣和語言特點(diǎn)重新組織調(diào)整,使其可以恰如其分又流利工整的表達(dá)作者的意圖,這才是最高級的翻譯。 01 2004年第一版風(fēng)險(xiǎn)管理框架的標(biāo)題
我們先來看一看當(dāng)時(shí)2004年ERM框架的標(biāo)題,2004年第一版風(fēng)險(xiǎn)管理框架的英文名稱為:Enterprise Risk Management - Integrated Framework ,當(dāng)時(shí)東北財(cái)經(jīng)大學(xué)出版社2005年引入中文版時(shí)的翻譯為:企業(yè)風(fēng)險(xiǎn)管理-整合框架,那這個Integrated Framework (整合框架)怎么來的呢?
2004年這個Integrated Framework是延續(xù)1992年COSO發(fā)布的 Internal Control - Integrated Framework 而來的,此版本2008年被東北財(cái)經(jīng)大學(xué)出版社引入并翻譯。兩者都被翻譯成了“整合框架”,作為一項(xiàng)新的自成體系的企業(yè)管理工具和職能,在當(dāng)時(shí)的情境下,這樣理解和翻譯無可厚非。
時(shí)至今日,新版的ERM-ISP風(fēng)險(xiǎn)管理框架的發(fā)布,這個體系的定位已經(jīng)不在是一個孤立的體系了,也不能再定義為一個“整合框架”了。“Integrating with Strategy and Performance”, 雖然還是Integrate那個詞,但是因?yàn)樯婕暗搅撕推髽I(yè)戰(zhàn)略和績效的關(guān)系,它的含義完全變了,所以有些“專家”把它翻譯為“整合戰(zhàn)略和績效”,這是一種延續(xù)歷史的翻譯方式,在今天看來,是一種牽強(qiáng)附會的翻譯和理解。
COSO在報(bào)告的前面就介紹說,風(fēng)險(xiǎn)管理是一個文化、能力和實(shí)踐,并不是一個職能或者部門,那這樣一個文化、能力和實(shí)踐怎么可能去整合戰(zhàn)略和績效呢?又怎么可能被戰(zhàn)略和績效來整合呢?
02 2017新版風(fēng)險(xiǎn)管理框架標(biāo)題
2016年,COSO發(fā)布了風(fēng)險(xiǎn)管理框架征求意見稿,當(dāng)時(shí)的表述是Enterprise Risk Management - Aligning with Strategy and Performance,我在第一版的解讀里把它意譯為,企業(yè)風(fēng)險(xiǎn)管理-服務(wù)于戰(zhàn)略和績效的實(shí)現(xiàn)。 當(dāng)然,譯為企業(yè)風(fēng)險(xiǎn)管理-與戰(zhàn)略和績效協(xié)同一致,也可以。
從征求意見版到正式版,只把Aligning改為了Integrating,前期介紹過這兩者的含義區(qū)別,定位雖然有了一定的改進(jìn),但還不是對最佳狀態(tài)的描述。
企業(yè)風(fēng)險(xiǎn)管理和企業(yè)戰(zhàn)略與績效到底是什么關(guān)系,與企業(yè)管理什么關(guān)系,其實(shí)我們在實(shí)踐界早有結(jié)論,中國企業(yè)在風(fēng)險(xiǎn)管理領(lǐng)域走過的路,積累的經(jīng)驗(yàn),全球獨(dú)一無二。COSO只是幫我們總結(jié)了一下,但就我個人理解,還不算完美。
03 中國企業(yè)風(fēng)險(xiǎn)管理理論和實(shí)踐之路
一、風(fēng)險(xiǎn)意識形成階段
2006年國務(wù)院國資委發(fā)布了《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》開啟了中國企業(yè)的風(fēng)險(xiǎn)管理實(shí)踐的大門,這是一份非常超前且技術(shù)含量非常高的文件。在國際上,有些專家聽說中國政府早在2006年就發(fā)布了這樣的文件都感到贊嘆。十多年前中國的企業(yè)界,對風(fēng)險(xiǎn)的認(rèn)識是非常初級的,對風(fēng)險(xiǎn)管理這套系統(tǒng)理論的認(rèn)識更是非常貧瘠的,只有少數(shù)已赴境外上市的企業(yè)系統(tǒng)的接受過內(nèi)部控制體系的建設(shè)過程,許多企業(yè)還不知道內(nèi)部控制是個什么東西,更談不上風(fēng)險(xiǎn)管理了。
在這樣的一個背景下,在央企范圍內(nèi)推行全面風(fēng)險(xiǎn)管理體系的建設(shè)可謂困難重重,從理解上、意識上、管理支撐上、最佳實(shí)踐上都存在著巨大的鴻溝需要填補(bǔ),我本人帶隊(duì)親身參與了幾十家央企的體系建設(shè)工作,所以一路建設(shè)下來,上百家央企真正能夠一直堅(jiān)持運(yùn)行這套體系的企業(yè)屈指可數(shù)。當(dāng)時(shí)的中國企業(yè),它的土壤還沒有具備和達(dá)到讓這一套體系生根發(fā)芽的條件。
當(dāng)時(shí)的做法就是把風(fēng)險(xiǎn)管理工作作為一個獨(dú)立的管理體系來建設(shè)及運(yùn)行,就像2004年COSO對風(fēng)險(xiǎn)管理工作的定位一樣-Integrated Framework。建體系、建流程、建手冊。并沒有真正融入企業(yè)的核心價(jià)值鏈,最后很多企業(yè)搞成了與企業(yè)管理的“兩張皮”,變成了一個臨時(shí)任務(wù)完成后就束之高閣了。另外,這也和中國企業(yè)的發(fā)展階段和成熟發(fā)達(dá)國家的階段差異有關(guān)系,好比拿一個德國豪車的輪子套在中國本土自主品牌的汽車上,根本就不是一個發(fā)展階段,需要改造和本土化,也需要自身通過學(xué)習(xí)借鑒、自力更生跨過初級的發(fā)展階段。現(xiàn)在來看,這是一個中國企業(yè)特殊歷史發(fā)展階段下的必然。
二、風(fēng)險(xiǎn)管理的反思與整合階段
經(jīng)過幾年的體系建設(shè)摸索,中國企業(yè)界從帶著對風(fēng)險(xiǎn)管理的一臉茫然與好奇,開始接觸了這套體系。但由于上述談到的這些問題,這套體系最終沒有被持續(xù)運(yùn)行下去,但是卻對中國企業(yè)界產(chǎn)生了一個不可替代的價(jià)值和意義。那就是風(fēng)險(xiǎn)管理意識的形成以及企業(yè)風(fēng)險(xiǎn)管理語言統(tǒng)一。掌握了這些基本技能,中國企業(yè)可以推開了這扇大門開始自由探索了。
隨著2008年中國財(cái)政部發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》,國務(wù)院國資委也在2012年發(fā)文要求央企實(shí)施這套內(nèi)控體系,由于內(nèi)部控制體系前幾十年在國際上積累了很多成熟的經(jīng)驗(yàn),而企業(yè)風(fēng)險(xiǎn)管理在國際上沒有形成可以借鑒的經(jīng)驗(yàn)。再之,內(nèi)部控制體系強(qiáng)調(diào)和企業(yè)制度、流程相結(jié)合,配合實(shí)質(zhì)性測試和穿行測試及缺陷整改,讓企業(yè)看得見、摸得著,讓廣大的風(fēng)險(xiǎn)管理、內(nèi)部控制、內(nèi)部審計(jì)等從業(yè)人員好像感覺比前期推行風(fēng)險(xiǎn)管理體系時(shí)更容易把握一些。
其實(shí)工作層面上的人不太了解,風(fēng)險(xiǎn)管理這套體系本來就是為領(lǐng)導(dǎo)層和決策者服務(wù)的,工作人員理解上存在誤差有一定必然性。無論如何,企業(yè)內(nèi)部控制體系的推行,從一定層面上也推動了風(fēng)險(xiǎn)管理體系的自我反思和工作方法論的調(diào)整。探討了如何使風(fēng)險(xiǎn)管理工作更好地和企業(yè)管理結(jié)合,在既定的企業(yè)戰(zhàn)略下,如何設(shè)置風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)承受度,促進(jìn)公司整體目標(biāo)的達(dá)成。整體來說,這是一個風(fēng)險(xiǎn)管理“脫虛向?qū)崱?/span>的探索發(fā)展階段。
這個階段,可以理解成COSO今天所提到的Integrating with Strategy and Performance的階段,就是如何使風(fēng)險(xiǎn)管理工作和其它企業(yè)管理活動整合的階段。
三、風(fēng)險(xiǎn)管理工作的融入階段
從COSO ERM的框架圖中可以看出,從征求意見稿的環(huán)繞企業(yè)核心價(jià)值鏈到貫穿融入其中,COSO其實(shí)已經(jīng)意識到了,這不是一個孤立的體系,不能獨(dú)立于管理體系來談風(fēng)險(xiǎn)管理體系。但是框架圖雖然意思表達(dá)了,但是標(biāo)題還是用了一個Integrating,能充分表達(dá)嗎?不能。那應(yīng)該怎么表達(dá)才是最佳的描述風(fēng)險(xiǎn)管理和企業(yè)戰(zhàn)略及績效的關(guān)系?
其實(shí)回答這個問題,正是我們中國企業(yè)從接觸風(fēng)險(xiǎn)管理到理解、改造、利用風(fēng)險(xiǎn)管理工作的過程。這樣的一個過程,其實(shí)是企業(yè)對于一個新視角管理體系的理解過程,和人類接受一個新事物的思考過程一致。首先,為了形式而存在,而后形式和內(nèi)容并重,最終不再關(guān)心形式,而內(nèi)容才是實(shí)質(zhì)。
那么這次新版ERM框架有沒有進(jìn)步?有。比2004年第一版已經(jīng)做了翻天覆地的變化,糾正了很多誤解和灰色地帶。
還有沒有提升的空間?當(dāng)然有,而且這種引領(lǐng)方向的實(shí)踐在中國已經(jīng)悄悄的進(jìn)行了。
04 企業(yè)風(fēng)險(xiǎn)管理工作的正確定位
風(fēng)險(xiǎn)管理工作的層次定位
經(jīng)過多年的摸索與實(shí)踐,最開始對于風(fēng)險(xiǎn)管理工作在企業(yè)的落腳點(diǎn)是沒有明確界定的,我們協(xié)助企業(yè)進(jìn)行風(fēng)險(xiǎn)管理工作體系的搭建,從戰(zhàn)略到運(yùn)營,“橫到邊、縱到底”、“風(fēng)險(xiǎn)無時(shí)不在、風(fēng)險(xiǎn)無處不在”等說法,是最開始進(jìn)入泛風(fēng)險(xiǎn)時(shí)代的突出表現(xiàn)。
但是慢慢摸索發(fā)現(xiàn),很多事情雖然都可以歸結(jié)到風(fēng)險(xiǎn)上來,但是漫無邊際的風(fēng)險(xiǎn)管理會導(dǎo)致最終定位不清,從而導(dǎo)致目標(biāo)不明確、邊界不清晰,容易“跑偏”,企業(yè)實(shí)施過程中也帶來非常多的困惑和疑問。
縱觀整個企業(yè)各項(xiàng)管理活動后,總結(jié)了這套體系在企業(yè)管理中的作用,我們認(rèn)為風(fēng)險(xiǎn)管理工作應(yīng)該在企業(yè)的戰(zhàn)略管理之下,在運(yùn)營管理之上,作為一個“中臺”的作用,連接戰(zhàn)略的實(shí)施和運(yùn)營的支持,使其上下協(xié)調(diào)一致,最終達(dá)成目標(biāo)。
這是針對風(fēng)險(xiǎn)管理作為一個體系的定位,當(dāng)然,作為一種意識和能力,也可以用在決策者的戰(zhàn)略制定上,同樣也可以指導(dǎo)運(yùn)營層面的控制設(shè)計(jì)。
從為企業(yè)提供的服務(wù)機(jī)構(gòu)來說,也可以看得出區(qū)別。比如戰(zhàn)略管理一般都是戰(zhàn)略管理咨詢公司,如McKinsey、BCG、Bain;風(fēng)險(xiǎn)管理近些年來興起后,主要是Big4、風(fēng)險(xiǎn)咨詢公司和一些管理咨詢公司;運(yùn)營管理則主要側(cè)重為公司的業(yè)務(wù)線和流程方面提供服務(wù)的公司,如Accenture、IBM等。
風(fēng)險(xiǎn)管理工作的內(nèi)容定位
這里通過一個企業(yè)實(shí)例向大家進(jìn)行介紹:
我曾經(jīng)為一家央企提供過多年的風(fēng)險(xiǎn)顧問服務(wù),由于企業(yè)一把手的信任,每年都會給這個企業(yè)按照計(jì)劃逐年深入和擴(kuò)展工作內(nèi)容。
第一年
進(jìn)行了管理診斷,梳理制度、流程和風(fēng)險(xiǎn)點(diǎn),建立控制矩陣,建立完善了企業(yè)的內(nèi)部控制體系; 第二年 建立了風(fēng)險(xiǎn)清單,確定目標(biāo)體系和風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)承受度,劃分風(fēng)險(xiǎn)分類和責(zé)任矩陣,建立完善全面風(fēng)險(xiǎn)管理體系; 第三年
針對主業(yè)的核心風(fēng)險(xiǎn)進(jìn)行細(xì)化形成風(fēng)險(xiǎn)管理子體系。同時(shí)和客戶在深入探討和嘗試風(fēng)險(xiǎn)管理和內(nèi)部控制的融合、風(fēng)險(xiǎn)管理和ISO9000,ISO14000,ISO18000的融合、風(fēng)險(xiǎn)管理和各項(xiàng)企業(yè)管理活動的融合。
第四年
嘗試如何從集成(integrated)的內(nèi)控體系和風(fēng)險(xiǎn)管理體系中抽離出來控制活動和要素直接打散到企業(yè)的各管理活動中去。最后,兩個體系的精華被各個業(yè)務(wù)活動吸收,重新升級了企業(yè)管理制度體系和數(shù)百項(xiàng)流程。最終促成了以風(fēng)險(xiǎn)為導(dǎo)向的企業(yè)管理體系的重生。
后期會專門撰文展開討論企業(yè)風(fēng)險(xiǎn)管理工作的幾個發(fā)展階段,此處不贅述。
同樣,做為COSO組織研究風(fēng)險(xiǎn)管理框架而言,對風(fēng)險(xiǎn)管理體系的定位和認(rèn)識也會進(jìn)入這樣一個認(rèn)識邏輯,這是客觀的發(fā)展規(guī)律。
COSO新的框架引入了與戰(zhàn)略和績效的關(guān)系,而不再就風(fēng)險(xiǎn)管理而風(fēng)險(xiǎn)管理,而是從企業(yè)管理的整體觀上來看待這個體系,但I(xiàn)ntegrating的說法并不是對風(fēng)險(xiǎn)管理體系最佳的定位。
根據(jù)中國的實(shí)踐,如果幾年后COSO組織還將更新這個框架,我將向COSO組織建議,進(jìn)一步忘掉自己(風(fēng)險(xiǎn)管理),因?yàn)閷ζ髽I(yè)而言,企業(yè)風(fēng)險(xiǎn)管理并不在核心價(jià)值鏈上,但是卻可以最大程度的輔助企業(yè)核心價(jià)值的創(chuàng)造和實(shí)現(xiàn),企業(yè)風(fēng)險(xiǎn)管理的正確定位應(yīng)該是 Embedding in Strategy and Performance, 即嵌入式融入企業(yè)的各項(xiàng)管理活動,當(dāng)風(fēng)險(xiǎn)管理徹底忘掉自己的時(shí)候,你會發(fā)現(xiàn)風(fēng)險(xiǎn)管理隨處可見。
這一點(diǎn),我們在生存了上百年的跨國性企業(yè)中清晰可見。除了金融和保險(xiǎn)等需要風(fēng)險(xiǎn)集中管理的行業(yè)外,這些發(fā)展成熟的跨國性企業(yè)幾乎都沒有設(shè)置風(fēng)險(xiǎn)管理和內(nèi)部控制部門,而大多數(shù)只設(shè)置了一個風(fēng)險(xiǎn)經(jīng)理(risk manager)負(fù)責(zé)企業(yè)的保險(xiǎn)安排。再有就是Legal、Compliance、Controller、Audit等職能履行了部分的風(fēng)險(xiǎn)管理專項(xiàng)、監(jiān)督、改進(jìn)的職能。你能夠說這些企業(yè)沒有風(fēng)險(xiǎn)管理和內(nèi)部控制嗎?以我這么多年的親身體會來看,顯然不能。
深入理解后你就會發(fā)現(xiàn),今天所謂的這些風(fēng)險(xiǎn)和控制早已落到日常管理層的決策和所有的業(yè)務(wù)流程中去了,這才是真正的管理和控制。