从ERM框架演变看企业风险管理工作的定位

孙友文:

在谈这个话题之前,我们先从COSO新版风险管理框架的标题讲起,COSO 新版ERM的标题定为 Enterprise Risk Management - Integrating with Strategy and Performance,我们先简写为ERM-ISP,到底该如何理解和翻译新版风险管理框架的题目,这是一个非常重要和严肃的问题(框架介绍请参考前期文章)。




中国人有句古话,名不正则言不顺。标题的理解和翻译不仅体现的是对一句话的描述,更是对整个风险管理工作的定位,处理企业战略和企业绩效与风险管理工作的关系的关键问题。如果理解或者翻译不好,定位出现问题,那整个工作在企业的方向就会扭曲,执行过程中也会变形。


最近,看见有其它不少专家也在分析解读COSO 2017版企业风险管理框架,特别是对于框架的标题,各种专家给出了不同的理解和中文翻译,比如有人翻译成:


  • 企业风险管理 - 整合战略与绩效

  • 企业风险管理 - 与战略和绩效的整合

  • 企业风险管理 - 集成战略与绩效

的确,如果仅仅从字面上来讲,这么来直译也可以理解,但是从翻译来讲,最佳的翻译方式绝对不是直译,而且有时直译更是词不达意,造成误解和误读。

插叙

如何做到最佳翻译?

做到最佳的翻译需要具备几个条件:

   1.中文好

   2.英文好

   3.专业好

   4.责任心好

以上缺一不可,在我看来,翻译可以分为以下几个级别:


第一级叫直译,翻译的是字面意思,最方便的直接Google Translate就可以了,如果对内容比较熟悉,读者在这类翻译中能勉强从晦涩的文字里理解大概意思,有些则完全曲解。

如有些“专家”将新版ERM框架标题翻译为集成战略与绩效,这是一种不负责任的胡扯,没有专业背景的人以为“集成”一词是战略与绩效的定语呢。虽是直译,但与原意相差十万八千里;


第二级叫做意译,需要从字面的意思出发,根据作者要表达的意思进行润色,逻辑进行调整,以达到可以顺利阅读,了解其义的目的;


第三极叫做会译(意),要求从文字出发,但根据上下文环境和作者的原意,不进行组字组句的翻译,但根据中文的阅读习惯和语言特点重新组织调整,使其可以恰如其分又流利工整的表达作者的意图,这才是最高级的翻译。

01

2004年第一版风险管理框架的标题


我们先来看一看当时2004年ERM框架的标题,2004年第一版风险管理框架的英文名称为:Enterprise Risk Management - Integrated Framework ,当时东北财经大学出版社2005年引入中文版时的翻译为:企业风险管理-整合框架,那这个Integrated Framework (整合框架)怎么来的呢?



2004年这个Integrated Framework是延续1992年COSO发布的 Internal Control - Integrated Framework 而来的,此版本2008年被东北财经大学出版社引入并翻译。两者都被翻译成了“整合框架”,作为一项新的自成体系的企业管理工具和职能,在当时的情境下,这样理解和翻译无可厚非。



时至今日,新版的ERM-ISP风险管理框架的发布,这个体系的定位已经不在是一个孤立的体系了,也不能再定义为一个“整合框架”了。“Integrating with Strategy and Performance”, 虽然还是Integrate那个词,但是因为涉及到了和企业战略和绩效的关系,它的含义完全变了,所以有些“专家”把它翻译为“整合战略和绩效”,这是一种延续历史的翻译方式,在今天看来,是一种牵强附会的翻译和理解。


COSO在报告的前面就介绍说,风险管理是一个文化、能力和实践,并不是一个职能或者部门,那这样一个文化、能力和实践怎么可能去整合战略和绩效呢?又怎么可能被战略和绩效来整合呢?


02

2017新版风险管理框架标题


2016年,COSO发布了风险管理框架征求意见稿,当时的表述是Enterprise Risk Management - Aligning with Strategy and Performance,我在第一版的解读里把它意译为,企业风险管理-服务于战略和绩效的实现。 当然,译为企业风险管理-与战略和绩效协同一致,也可以。


从征求意见版到正式版,只把Aligning改为了Integrating,前期介绍过这两者的含义区别,定位虽然有了一定的改进,但还不是对最佳状态的描述。



企业风险管理和企业战略与绩效到底是什么关系,与企业管理什么关系,其实我们在实践界早有结论,中国企业在风险管理领域走过的路,积累的经验,全球独一无二。COSO只是帮我们总结了一下,但就我个人理解,还不算完美。


03

中国企业风险管理理论和实践之路


一、风险意识形成阶段


2006年国务院国资委发布了《中央企业全面风险管理指引》开启了中国企业的风险管理实践的大门,这是一份非常超前且技术含量非常高的文件。在国际上,有些专家听说中国政府早在2006年就发布了这样的文件都感到赞叹。十多年前中国的企业界,对风险的认识是非常初级的,对风险管理这套系统理论的认识更是非常贫瘠的,只有少数已赴境外上市的企业系统的接受过内部控制体系的建设过程,许多企业还不知道内部控制是个什么东西,更谈不上风险管理了。



在这样的一个背景下,在央企范围内推行全面风险管理体系的建设可谓困难重重,从理解上、意识上、管理支撑上、最佳实践上都存在着巨大的鸿沟需要填补,我本人带队亲身参与了几十家央企的体系建设工作,所以一路建设下来,上百家央企真正能够一直坚持运行这套体系的企业屈指可数。当时的中国企业,它的土壤还没有具备和达到让这一套体系生根发芽的条件。


当时的做法就是把风险管理工作作为一个独立的管理体系来建设及运行,就像2004年COSO对风险管理工作的定位一样-Integrated Framework。建体系、建流程、建手册。并没有真正融入企业的核心价值链,最后很多企业搞成了与企业管理的“两张皮”,变成了一个临时任务完成后就束之高阁了。另外,这也和中国企业的发展阶段和成熟发达国家的阶段差异有关系,好比拿一个德国豪车的轮子套在中国本土自主品牌的汽车上,根本就不是一个发展阶段,需要改造和本土化,也需要自身通过学习借鉴、自力更生跨过初级的发展阶段。现在来看,这是一个中国企业特殊历史发展阶段下的必然。


二、风险管理的反思与整合阶段


经过几年的体系建设摸索,中国企业界从带着对风险管理的一脸茫然与好奇,开始接触了这套体系。但由于上述谈到的这些问题,这套体系最终没有被持续运行下去,但是却对中国企业界产生了一个不可替代的价值和意义。那就是风险管理意识的形成以及企业风险管理语言统一。掌握了这些基本技能,中国企业可以推开了这扇大门开始自由探索了。


随着2008年中国财政部发布了《企业内部控制基本规范》,国务院国资委也在2012年发文要求央企实施这套内控体系,由于内部控制体系前几十年在国际上积累了很多成熟的经验,而企业风险管理在国际上没有形成可以借鉴的经验。再之,内部控制体系强调和企业制度、流程相结合,配合实质性测试和穿行测试及缺陷整改,让企业看得见、摸得着,让广大的风险管理、内部控制、内部审计等从业人员好像感觉比前期推行风险管理体系时更容易把握一些。



其实工作层面上的人不太了解,风险管理这套体系本来就是为领导层和决策者服务的,工作人员理解上存在误差有一定必然性。无论如何,企业内部控制体系的推行,从一定层面上也推动了风险管理体系的自我反思和工作方法论的调整。探讨了如何使风险管理工作更好地和企业管理结合,在既定的企业战略下,如何设置风险偏好和风险承受度,促进公司整体目标的达成。整体来说,这是一个风险管理“脱虚向实”的探索发展阶段。


这个阶段,可以理解成COSO今天所提到的Integrating with Strategy and Performance的阶段,就是如何使风险管理工作和其它企业管理活动整合的阶段。


三、风险管理工作的融入阶段


从COSO ERM的框架图中可以看出,从征求意见稿的环绕企业核心价值链到贯穿融入其中,COSO其实已经意识到了,这不是一个孤立的体系,不能独立于管理体系来谈风险管理体系。但是框架图虽然意思表达了,但是标题还是用了一个Integrating,能充分表达吗?不能。那应该怎么表达才是最佳的描述风险管理和企业战略及绩效的关系?



其实回答这个问题,正是我们中国企业从接触风险管理到理解、改造、利用风险管理工作的过程。这样的一个过程,其实是企业对于一个新视角管理体系的理解过程,和人类接受一个新事物的思考过程一致。首先,为了形式而存在,而后形式和内容并重,最终不再关心形式,而内容才是实质。


那么这次新版ERM框架有没有进步?有。比2004年第一版已经做了翻天覆地的变化,纠正了很多误解和灰色地带。


还有没有提升的空间?当然有,而且这种引领方向的实践在中国已经悄悄的进行了。


04

企业风险管理工作的正确定位


风险管理工作的层次定位


经过多年的摸索与实践,最开始对于风险管理工作在企业的落脚点是没有明确界定的,我们协助企业进行风险管理工作体系的搭建,从战略到运营,“横到边、纵到底”、“风险无时不在、风险无处不在”等说法,是最开始进入泛风险时代的突出表现。


但是慢慢摸索发现,很多事情虽然都可以归结到风险上来,但是漫无边际的风险管理会导致最终定位不清,从而导致目标不明确、边界不清晰,容易“跑偏”,企业实施过程中也带来非常多的困惑和疑问。


纵观整个企业各项管理活动后,总结了这套体系在企业管理中的作用,我们认为风险管理工作应该在企业的战略管理之下,在运营管理之上,作为一个“中台”的作用,连接战略的实施和运营的支持,使其上下协调一致,最终达成目标。


这是针对风险管理作为一个体系的定位,当然,作为一种意识和能力,也可以用在决策者的战略制定上,同样也可以指导运营层面的控制设计。



从为企业提供的服务机构来说,也可以看得出区别。比如战略管理一般都是战略管理咨询公司,如McKinsey、BCG、Bain;风险管理近些年来兴起后,主要是Big4、风险咨询公司和一些管理咨询公司;运营管理则主要侧重为公司的业务线和流程方面提供服务的公司,如Accenture、IBM等。


风险管理工作的内容定位


这里通过一个企业实例向大家进行介绍:


我曾经为一家央企提供过多年的风险顾问服务,由于企业一把手的信任,每年都会给这个企业按照计划逐年深入和扩展工作内容。


                 第一年

1

      进行了管理诊断,梳理制度、流程和风险点,建立控制矩阵,建立完善了企业的内部控制体系;

                 第二年

2

     建立了风险清单,确定目标体系和风险偏好、风险承受度,划分风险分类和责任矩阵,建立完善全面风险管理体系;

                 第三年

3

     针对主业的核心风险进行细化形成风险管理子体系。同时和客户在深入探讨和尝试风险管理和内部控制的融合、风险管理和ISO9000,ISO14000,ISO18000的融合、风险管理和各项企业管理活动的融合。

                 第四年

4

     尝试如何从集成(integrated)的内控体系和风险管理体系中抽离出来控制活动和要素直接打散到企业的各管理活动中去。最后,两个体系的精华被各个业务活动吸收,重新升级了企业管理制度体系和数百项流程。最终促成了以风险为导向的企业管理体系的重生。


后期会专门撰文展开讨论企业风险管理工作的几个发展阶段,此处不赘述。


同样,做为COSO组织研究风险管理框架而言,对风险管理体系的定位和认识也会进入这样一个认识逻辑,这是客观的发展规律。


COSO新的框架引入了与战略和绩效的关系,而不再就风险管理而风险管理,而是从企业管理的整体观上来看待这个体系,但Integrating的说法并不是对风险管理体系最佳的定位。


根据中国的实践,如果几年后COSO组织还将更新这个框架,我将向COSO组织建议,进一步忘掉自己(风险管理),因为对企业而言,企业风险管理并不在核心价值链上,但是却可以最大程度的辅助企业核心价值的创造和实现,企业风险管理的正确定位应该是 Embedding in Strategy and Performance, 即嵌入式融入企业的各项管理活动,当风险管理彻底忘掉自己的时候,你会发现风险管理随处可见。


这一点,我们在生存了上百年的跨国性企业中清晰可见。除了金融和保险等需要风险集中管理的行业外,这些发展成熟的跨国性企业几乎都没有设置风险管理和内部控制部门,而大多数只设置了一个风险经理(risk manager)负责企业的保险安排。再有就是Legal、Compliance、Controller、Audit等职能履行了部分的风险管理专项、监督、改进的职能。你能够说这些企业没有风险管理和内部控制吗?以我这么多年的亲身体会来看,显然不能。


深入理解后你就会发现,今天所谓的这些风险和控制早已落到日常管理层的决策和所有的业务流程中去了,这才是真正的管理和控制。