從ERM框架演變看企業風險管理工作的定位
孫友文:
中國人有句古話,名不正則言不順。標題的理解和翻譯不僅體現的是對一句話的描述,更是對整個風險管理工作的定位,處理企業戰略和企業績效與風險管理工作的關系的關鍵問題。如果理解或者翻譯不好,定位出現問題,那整個工作在企業的方向就會扭曲,執行過程中也會變形。
最近,看見有其它不少專家也在分析解讀COSO 2017版企業風險管理框架,特別是對于框架的標題,各種專家給出了不同的理解和中文翻譯,比如有人翻譯成:
企業風險管理 - 整合戰略與績效
企業風險管理 - 與戰略和績效的整合
企業風險管理 - 集成戰略與績效
的確,如果僅僅從字面上來講,這么來直譯也可以理解,但是從翻譯來講,最佳的翻譯方式絕對不是直譯,而且有時直譯更是詞不達意,造成誤解和誤讀。
插敘 如何做到最佳翻譯? 做到最佳的翻譯需要具備幾個條件: 1.中文好 2.英文好 3.專業好 4.責任心好 以上缺一不可,在我看來,翻譯可以分為以下幾個級別: 第一級叫直譯,翻譯的是字面意思,最方便的直接Google Translate就可以了,如果對內容比較熟悉,讀者在這類翻譯中能勉強從晦澀的文字里理解大概意思,有些則完全曲解。 如有些“專家”將新版ERM框架標題翻譯為“集成戰略與績效”,這是一種不負責任的胡扯,沒有專業背景的人以為“集成”一詞是戰略與績效的定語呢。雖是直譯,但與原意相差十萬八千里; 第二級叫做意譯,需要從字面的意思出發,根據作者要表達的意思進行潤色,邏輯進行調整,以達到可以順利閱讀,了解其義的目的; 第三極叫做會譯(意),要求從文字出發,但根據上下文環境和作者的原意,不進行組字組句的翻譯,但根據中文的閱讀習慣和語言特點重新組織調整,使其可以恰如其分又流利工整的表達作者的意圖,這才是最高級的翻譯。 01 2004年第一版風險管理框架的標題
我們先來看一看當時2004年ERM框架的標題,2004年第一版風險管理框架的英文名稱為:Enterprise Risk Management - Integrated Framework ,當時東北財經大學出版社2005年引入中文版時的翻譯為:企業風險管理-整合框架,那這個Integrated Framework (整合框架)怎么來的呢?
2004年這個Integrated Framework是延續1992年COSO發布的 Internal Control - Integrated Framework 而來的,此版本2008年被東北財經大學出版社引入并翻譯。兩者都被翻譯成了“整合框架”,作為一項新的自成體系的企業管理工具和職能,在當時的情境下,這樣理解和翻譯無可厚非。
時至今日,新版的ERM-ISP風險管理框架的發布,這個體系的定位已經不在是一個孤立的體系了,也不能再定義為一個“整合框架”了。“Integrating with Strategy and Performance”, 雖然還是Integrate那個詞,但是因為涉及到了和企業戰略和績效的關系,它的含義完全變了,所以有些“專家”把它翻譯為“整合戰略和績效”,這是一種延續歷史的翻譯方式,在今天看來,是一種牽強附會的翻譯和理解。
COSO在報告的前面就介紹說,風險管理是一個文化、能力和實踐,并不是一個職能或者部門,那這樣一個文化、能力和實踐怎么可能去整合戰略和績效呢?又怎么可能被戰略和績效來整合呢?
02 2017新版風險管理框架標題
2016年,COSO發布了風險管理框架征求意見稿,當時的表述是Enterprise Risk Management - Aligning with Strategy and Performance,我在第一版的解讀里把它意譯為,企業風險管理-服務于戰略和績效的實現。 當然,譯為企業風險管理-與戰略和績效協同一致,也可以。
從征求意見版到正式版,只把Aligning改為了Integrating,前期介紹過這兩者的含義區別,定位雖然有了一定的改進,但還不是對最佳狀態的描述。
企業風險管理和企業戰略與績效到底是什么關系,與企業管理什么關系,其實我們在實踐界早有結論,中國企業在風險管理領域走過的路,積累的經驗,全球獨一無二。COSO只是幫我們總結了一下,但就我個人理解,還不算完美。
03 中國企業風險管理理論和實踐之路
一、風險意識形成階段
2006年國務院國資委發布了《中央企業全面風險管理指引》開啟了中國企業的風險管理實踐的大門,這是一份非常超前且技術含量非常高的文件。在國際上,有些專家聽說中國政府早在2006年就發布了這樣的文件都感到贊嘆。十多年前中國的企業界,對風險的認識是非常初級的,對風險管理這套系統理論的認識更是非常貧瘠的,只有少數已赴境外上市的企業系統的接受過內部控制體系的建設過程,許多企業還不知道內部控制是個什么東西,更談不上風險管理了。
在這樣的一個背景下,在央企范圍內推行全面風險管理體系的建設可謂困難重重,從理解上、意識上、管理支撐上、最佳實踐上都存在著巨大的鴻溝需要填補,我本人帶隊親身參與了幾十家央企的體系建設工作,所以一路建設下來,上百家央企真正能夠一直堅持運行這套體系的企業屈指可數。當時的中國企業,它的土壤還沒有具備和達到讓這一套體系生根發芽的條件。
當時的做法就是把風險管理工作作為一個獨立的管理體系來建設及運行,就像2004年COSO對風險管理工作的定位一樣-Integrated Framework。建體系、建流程、建手冊。并沒有真正融入企業的核心價值鏈,最后很多企業搞成了與企業管理的“兩張皮”,變成了一個臨時任務完成后就束之高閣了。另外,這也和中國企業的發展階段和成熟發達國家的階段差異有關系,好比拿一個德國豪車的輪子套在中國本土自主品牌的汽車上,根本就不是一個發展階段,需要改造和本土化,也需要自身通過學習借鑒、自力更生跨過初級的發展階段。現在來看,這是一個中國企業特殊歷史發展階段下的必然。
二、風險管理的反思與整合階段
經過幾年的體系建設摸索,中國企業界從帶著對風險管理的一臉茫然與好奇,開始接觸了這套體系。但由于上述談到的這些問題,這套體系最終沒有被持續運行下去,但是卻對中國企業界產生了一個不可替代的價值和意義。那就是風險管理意識的形成以及企業風險管理語言統一。掌握了這些基本技能,中國企業可以推開了這扇大門開始自由探索了。
隨著2008年中國財政部發布了《企業內部控制基本規范》,國務院國資委也在2012年發文要求央企實施這套內控體系,由于內部控制體系前幾十年在國際上積累了很多成熟的經驗,而企業風險管理在國際上沒有形成可以借鑒的經驗。再之,內部控制體系強調和企業制度、流程相結合,配合實質性測試和穿行測試及缺陷整改,讓企業看得見、摸得著,讓廣大的風險管理、內部控制、內部審計等從業人員好像感覺比前期推行風險管理體系時更容易把握一些。
其實工作層面上的人不太了解,風險管理這套體系本來就是為領導層和決策者服務的,工作人員理解上存在誤差有一定必然性。無論如何,企業內部控制體系的推行,從一定層面上也推動了風險管理體系的自我反思和工作方法論的調整。探討了如何使風險管理工作更好地和企業管理結合,在既定的企業戰略下,如何設置風險偏好和風險承受度,促進公司整體目標的達成。整體來說,這是一個風險管理“脫虛向實”的探索發展階段。
這個階段,可以理解成COSO今天所提到的Integrating with Strategy and Performance的階段,就是如何使風險管理工作和其它企業管理活動整合的階段。
三、風險管理工作的融入階段
從COSO ERM的框架圖中可以看出,從征求意見稿的環繞企業核心價值鏈到貫穿融入其中,COSO其實已經意識到了,這不是一個孤立的體系,不能獨立于管理體系來談風險管理體系。但是框架圖雖然意思表達了,但是標題還是用了一個Integrating,能充分表達嗎?不能。那應該怎么表達才是最佳的描述風險管理和企業戰略及績效的關系?
其實回答這個問題,正是我們中國企業從接觸風險管理到理解、改造、利用風險管理工作的過程。這樣的一個過程,其實是企業對于一個新視角管理體系的理解過程,和人類接受一個新事物的思考過程一致。首先,為了形式而存在,而后形式和內容并重,最終不再關心形式,而內容才是實質。
那么這次新版ERM框架有沒有進步?有。比2004年第一版已經做了翻天覆地的變化,糾正了很多誤解和灰色地帶。
還有沒有提升的空間?當然有,而且這種引領方向的實踐在中國已經悄悄的進行了。
04 企業風險管理工作的正確定位
風險管理工作的層次定位
經過多年的摸索與實踐,最開始對于風險管理工作在企業的落腳點是沒有明確界定的,我們協助企業進行風險管理工作體系的搭建,從戰略到運營,“橫到邊、縱到底”、“風險無時不在、風險無處不在”等說法,是最開始進入泛風險時代的突出表現。
但是慢慢摸索發現,很多事情雖然都可以歸結到風險上來,但是漫無邊際的風險管理會導致最終定位不清,從而導致目標不明確、邊界不清晰,容易“跑偏”,企業實施過程中也帶來非常多的困惑和疑問。
縱觀整個企業各項管理活動后,總結了這套體系在企業管理中的作用,我們認為風險管理工作應該在企業的戰略管理之下,在運營管理之上,作為一個“中臺”的作用,連接戰略的實施和運營的支持,使其上下協調一致,最終達成目標。
這是針對風險管理作為一個體系的定位,當然,作為一種意識和能力,也可以用在決策者的戰略制定上,同樣也可以指導運營層面的控制設計。
從為企業提供的服務機構來說,也可以看得出區別。比如戰略管理一般都是戰略管理咨詢公司,如McKinsey、BCG、Bain;風險管理近些年來興起后,主要是Big4、風險咨詢公司和一些管理咨詢公司;運營管理則主要側重為公司的業務線和流程方面提供服務的公司,如Accenture、IBM等。
風險管理工作的內容定位
這里通過一個企業實例向大家進行介紹:
我曾經為一家央企提供過多年的風險顧問服務,由于企業一把手的信任,每年都會給這個企業按照計劃逐年深入和擴展工作內容。
第一年
進行了管理診斷,梳理制度、流程和風險點,建立控制矩陣,建立完善了企業的內部控制體系; 第二年 建立了風險清單,確定目標體系和風險偏好、風險承受度,劃分風險分類和責任矩陣,建立完善全面風險管理體系; 第三年
針對主業的核心風險進行細化形成風險管理子體系。同時和客戶在深入探討和嘗試風險管理和內部控制的融合、風險管理和ISO9000,ISO14000,ISO18000的融合、風險管理和各項企業管理活動的融合。
第四年
嘗試如何從集成(integrated)的內控體系和風險管理體系中抽離出來控制活動和要素直接打散到企業的各管理活動中去。最后,兩個體系的精華被各個業務活動吸收,重新升級了企業管理制度體系和數百項流程。最終促成了以風險為導向的企業管理體系的重生。
后期會專門撰文展開討論企業風險管理工作的幾個發展階段,此處不贅述。
同樣,做為COSO組織研究風險管理框架而言,對風險管理體系的定位和認識也會進入這樣一個認識邏輯,這是客觀的發展規律。
COSO新的框架引入了與戰略和績效的關系,而不再就風險管理而風險管理,而是從企業管理的整體觀上來看待這個體系,但Integrating的說法并不是對風險管理體系最佳的定位。
根據中國的實踐,如果幾年后COSO組織還將更新這個框架,我將向COSO組織建議,進一步忘掉自己(風險管理),因為對企業而言,企業風險管理并不在核心價值鏈上,但是卻可以最大程度的輔助企業核心價值的創造和實現,企業風險管理的正確定位應該是 Embedding in Strategy and Performance, 即嵌入式融入企業的各項管理活動,當風險管理徹底忘掉自己的時候,你會發現風險管理隨處可見。
這一點,我們在生存了上百年的跨國性企業中清晰可見。除了金融和保險等需要風險集中管理的行業外,這些發展成熟的跨國性企業幾乎都沒有設置風險管理和內部控制部門,而大多數只設置了一個風險經理(risk manager)負責企業的保險安排。再有就是Legal、Compliance、Controller、Audit等職能履行了部分的風險管理專項、監督、改進的職能。你能夠說這些企業沒有風險管理和內部控制嗎?以我這么多年的親身體會來看,顯然不能。
深入理解后你就會發現,今天所謂的這些風險和控制早已落到日常管理層的決策和所有的業務流程中去了,這才是真正的管理和控制。