《从ERM框架演变看企业风险管理工作的定位.docx》由会员分享,可在线阅读,更多相关《从ERM框架演变看企业风险管理工作的定位.docx(13页珍藏版)》请在三一办公上搜索。
1、从ERM框架演变看企业风险管理工作的定位坚持创造价值不做价值的搬运工在谈这个话题之前,我们先从COSO新版风险管理框架的标题讲 起,COSO 新版 ERM 的标题定为 Enterprise Risk Management - Integrating with Strategy and Performance,我们先简写为 ERM- ISP,到底该如何理解和翻译新版风险管理框架的题目,这是一个非常 重要和严肃的问题(框架介绍请参考前期文章)。Enterprise Risk ManagementIntegrating with Strategy and PerformanceExecutive S
2、ummaryFrameworkAppendices-中国人有句古话,名不正则言不顺。标题的理解和翻译不仅体现 的是对一句话的描述,更是对整个风险管理工作的定位,处理企业战 略和企业绩效与风险管理工作的关系的关键问题。如果理解或者翻译 不好,定位出现问题,那整个工作在企业的方向就会扭曲,执行过程 中也会变形。最近,看见有其它不少专家也在分析解读COSO 2017版企业风险管理框架,特别是对于框架的标题,各种专家给出了不同的理解和中 文翻译,比如有人翻译成:.企业风险管理-整合战略与绩效.企业风险管理-与战略和绩效的整合.企业风险管理-集成战略与绩效. I . r.rLTjr.的确,如果仅仅从字面
3、上来讲,这么来直译也可以理解,但是从翻译来讲,最佳的翻译方式绝对不是直译,而且有时直译更是词不达 意,造成误解和误读。插叙如何做到最佳翻译?做到最佳的翻译需要具备几个条件:1. 中文好2. 英文好3. 专业好4. 责任心好以上缺一不可,在我看来,翻译可以分为以下几个级别:第一级叫直译,翻译的是字面意思,最方便的直接GoogleTranslate就可以了,如果对内容比较熟悉,读者在这类翻译中能勉强 从晦涩的文字里理解大概意思,有些则完全曲解。如有些“专家”将新版ERM框架标题翻译为“集成战略与绩效”, 这是一种不负责任的胡扯,没有专业背景的人以为“集成”一词是战 略与绩效的定语呢。虽是直译,但与
4、原意相差十万八千里;第二级叫做意译,需要从字面的意思出发,根据作者要表达的意 思进行润色,逻辑进行调整,以达到可以顺利阅读,了解其义的目的;第三极叫做会译(意),要求从文字出发,但根据上下文环境和 作者的原意,不进行组字组句的翻译,但根据中文的阅读习惯和语言 特点重新组织调整,使其可以恰如其分又流利工整的表达作者的意图, 这才是最高级的翻译。012004年第一版风险管理框架的标题我们先来看一看当时2004年ERM框架的标题,2004年第一版 风险管理框架的英文名称为:Enterprise Risk Management - Integrated Framework,当时东北财经大学出版社200
5、5年弓|入中文 版时的翻译为:企业风险管理-整合框架,那这个Integrated Framework (整合框架)怎么来的呢?企业风险管理-整合框架Enterprise Management2004 年这个 Integrated Framework 是延续 1992 年 COSO 发布 的 Internal Control - Integrated Framework 而来的,此版本 2008 年被东北财经大学出版社引入并翻译。两者都被翻译成了 整合框 架”,作为一项新的自成体系的企业管理工具和职能,在当时的情境 下,这样理解和翻译无可厚非。内部控制釐&框等时至今日,新版的ERM-ISP风险管
6、理框架的发布,这个体系的定 位已经不在是一个孤立的体系了,也不能再定义为一个整合框架” 了。 “Integrating with Strategy and Performance”,虽然还是 Integrate那个词,但是因为涉及到了和企业战略和绩效的关系,它的 含义完全变了,所以有些“专家”把它翻译为“整合战略和绩效”, 这是一种延续历史的翻译方式,在今天看来,是一种牵强附会的翻译 和理解。COSO在报告的前面就介绍说,风险管理是一个文化、能力和实 践,并不是一个职能或者部门,那这样一个文化、能力和实践怎么可 能去整合战略和绩效呢?又怎么可能被战略和绩效来整合呢?022017新版风险管理框架
7、标题2016年,COSO发布了风险管理框架征求意见稿,当时的表述是 Enterprise Risk Management - Aligning with Strategy and Performance,我在第一版的解读里把它意译为,企业风险管理-服务于战略和绩效的实现。当然,译为企业风险管理-与战略和绩效协同一 致,也可以。从征求意见版到正式版,只把Aligning改为了 Integrating,前 期介绍过这两者的含义区别,定位虽然有了一定的改进,但还不是对 最佳状态的描述。AligningIntegrating企业风险管理和企业战略与绩效到底是什么关系,与企业管理什 么关系,其实我们在实
8、践界早有结论,中国企业在风险管理领域走过 的路,积累的经验,全球独一无二。COSO只是帮我们总结了一下, 但就我个人理解,还不算完美。03中国企业风险管理理论和实践之路一、风险意识形成阶段2006年国务院国资委发布了中央企业全面风险管理指弓I开启 了中国企业的风险管理实践的大门,这是一份非常超前且技术含量非 常高的文件。在国际上,有些专家听说中国政府早在2006年就发布了 这样的文件都感到赞叹。十多年前中国的企业界,对风险的认识是非 常初级的,对风险管理这套系统理论的认识更是非常贫瘠的,只有少 数已赴境外上市的企业系统的接受过内部控制体系的建设过程,许多 企业还不知道内部控制是个什么东西,更谈
9、不上风险管理了。国务院国有资产监督管理委员会文件国资无改(20061108号关于印发中央企业全面风险管理指引的通知答中央企业:企业全面风险管理是一项十分重要的工作,关系到国有资产保值搪值和企业持囊、 健康、稳定发展.为了指导企业开展全面凤险管理工作.诳一步祝高企业管理水平,增 强企业竟争力,促姓企业稳步发展,我们制定了中央企业全面区险管理指引?,现印 贬你们,清结合本企业实际执行,企业在卖施速程中的经验、做法及遇到的向题,靖衰 时成渍我委国务院国有资产监督管理委员会-00六年六月六日L在这样的一个背景下,在央企范围内推行全面风险管理体系的建 设可谓困难重重,从理解上、意识上、管理支撑上、最佳实
10、践上都存 在着巨大的鸿沟需要填补,我本人带队亲身参与了几十家央企的体系 建设工作,所以一路建设下来,上百家央企真正能够一直坚持运行这 套体系的企业屈指可数。当时的中国企业,它的土壤还没有具备和达 到让这一套体系生根发芽的条件。当时的做法就是把风险管理工作作为一个独立的管理体系来建设 及运行,就像2004年COSO对风险管理工作的定位一样-Integrated Framework。建体系、建流程、建手册。并没有真正融入企业的核心 价值链,最后很多企业搞成了与企业管理的两张皮”,变成了一个 临时任务完成后就束之高阁了。另外,这也和中国企业的发展阶段和 成熟发达国家的阶段差异有关系,好比拿一个德国豪
11、车的轮子套在中 国本土自主品牌的汽车上,根本就不是一个发展阶段,需要改造和本 土化,也需要自身通过学习借鉴、自力更生跨过初级的发展阶段。现 在来看,这是一个中国企业特殊历史发展阶段下的必然。二、风险管理的反思与整合阶段经过几年的体系建设摸索,中国企业界从带着对风险管理的一脸 茫然与好奇,开始接触了这套体系。但由于上述谈到的这些问题,这 套体系最终没有被持续运行下去,但是却对中国企业界产生了一个不 可替代的价值和意义。那就是风险管理意识的形成以及企业风险管理 语言统一。掌握了这些基本技能,中国企业可以推开了这扇大门开始 自由探索了。随着2008年中国财政部发布了企业内部控制基本规范,国务 院国资
12、委也在2012年发文要求央企实施这套内控体系,由于内部控制 体系前几十年在国际上积累了很多成熟的经验,而企业风险管理在国 际上没有形成可以借鉴的经验。再之,内部控制体系强调和企业制度、 流程相结合,配合实质性测试和穿行测试及缺陷整改,让企业看得见、 摸得着,让广大的风险管理、内部控制、内部审计等从业人员好像感 觉比前期推行风险管理体系时更容易把握一些。,: ri 射政部底皑fe审计署it件做ft公保雌会4aft w呻it uh食 anAJti iif垣,代重囚部园制孕犀黑神斗a.lii- 1 ifftT i 1 i. J!K44Hiril - V-h-4. f Ai.l44fl !. i.at
13、 4iai-drlj|i. Mil * nt*nr aba 4.iK8r*l I lk ft .押寸屈由日,舞希.H E KR#if it-rt#! l-.-村11警,*lltv A fitifhh*i|!i- *t9*其实工作层面上的人不太了解,风险管理这套体系本来就是为领 导层和决策者服务的,工作人员理解上存在误差有一定必然性。无论 如何,企业内部控制体系的推行,从一定层面上也推动了风险管理体 系的自我反思和工作方法论的调整。探讨了如何使风险管理工作更好 地和企业管理结合,在既定的企业战略下,如何设置风险偏好和风险 承受度,促进公司整体目标的达成。整体来说,这是一个风险管理脱虚向实”的探索
14、发展阶段。这个阶段,可以理解成COSO今天所提到的Integrating with Strategy and Performance的阶段,就是如何使风险管理工作和其它 企业管理活动整合的阶段。三、风险管理工作的融入阶段从COSO ERM的框架图中可以看出,从征求意见稿的环绕企业核 心价值链到贯穿融入其中,COSO其实已经意识到了,这不是一个孤 立的体系,不能独立于管理体系来谈风险管理体系。但是框架图虽然 意思表达了,但是标题还是用了一个Integrating,能充分表达吗?不 能。那应该怎么表达才是最佳的描述风险管理和企业战略及绩效的关系?其实回答这个问题,正是我们中国企业从接触风险管理到理
15、解、 改造、利用风险管理工作的过程。这样的一个过程,其实是企业对于 一个新视角管理体系的理解过程,和人类接受一个新事物的思考过程 一致。首先,为了形式而存在,而后形式和内容并重,最终不再关心 形式,而内容才是实质。那么这次新版ERM框架有没有进步?有。比2004年第一版已经 做了翻天覆地的变化,纠正了很多误解和灰色地带。还有没有提升的空间?当然有,而且这种引领方向的实践在中国 已经悄悄的进行了。04企业风险管理工作的正确定位风险管理工作的层次定位经过多年的摸索与实践,最开始对于风险管理工作在企业的落脚 点是没有明确界定的,我们协助企业进行风险管理工作体系的搭建, 从战略到运营,横到边、纵到底”
16、、“风险无时不在、风险无处不 在”等说法,是最开始进入泛风险时代的突出表现。但是慢慢摸索发现,很多事情虽然都可以归结到风险上来,但是 漫无边际的风险管理会导致最终定位不清,从而导致目标不明确、边 界不清晰,容易“跑偏”,企业实施过程中也带来非常多的困惑和疑 问。纵观整个企业各项管理活动后,总结了这套体系在企业管理中的 作用,我们认为风险管理工作应该在企业的战略管理之下,在运营管 理之上,作为一个“中台”的作用,连接战略的实施和运营的支持, 使其上下协调一致,最终达成目标。这是针对风险管理作为一个体系的定位,当然,作为一种意识和 能力,也可以用在决策者的战略制定上,同样也可以指导运营层面的 控制
17、设计。运营管理战略管理从为企业提供的服务机构来说,也可以看得出区别。比如战略管 理一般都是战略管理咨询公司,如McKinsey、BCG、Bain ;风险管理 近些年来兴起后,主要是Big4、风险咨询公司和一些管理咨询公司; 运营管理则主要侧重为公司的业务线和流程方面提供服务的公司,如 Accenture、IBM 等。风险管理工作的内容定位这里通过一个企业实例向大家进行介绍:我曾经为一家央企提供过多年的风险顾问服务,由于企业一把手 的信任,每年都会给这个企业按照计划逐年深入和扩展工作内容。第一年1进行了管理诊断,梳理制度、流程和风险点,建立控制矩阵,建 立完善了企业的内部控制体系;第二年2建立了
18、风险清单,确定目标体系和风险偏好、风险承受度,划分 风险分类和责任矩阵,建立完善全面风险管理体系;第三年3针对主业的核心风险进行细化形成风险管理子体系。同时和客户 在深入探讨和尝试风险管理和内部控制的融合、风险管理和ISO9000, ISO14000,ISO18000的融合、风险管理和各项企业管理活动的融合。第四年4尝试如何从集成(integrated)的内控体系和风险管理体系中抽 离出来控制活动和要素直接打散到企业的各管理活动中去。最后,两个体系的精华被各个业务活动吸收,重新升级了企业管理制度体系和 数百项流程。最终促成了以风险为导向的企业管理体系的重生。后期会专门撰文展开讨论企业风险管理工
19、作的几个发展阶段,此 处不赘述。同样,做为COSO组织研究风险管理框架而言,对风险管理体系 的定位和认识也会进入这样一个认识逻辑,这是客观的发展规律。COSO新的框架弓|入了与战略和绩效的关系,而不再就风险管理 而风险管理,而是从企业管理的整体观上来看待这个体系,但 Integrating的说法并不是对风险管理体系最佳的定位。根据中国的实践,如果几年后COSO组织还将更新这个框架,我 将向COSO组织建议,进一步忘掉自己(风险管理),因为对企业而 言,企业风险管理并不在核心价值链上,但是却可以最大程度的辅助 企业核心价值的创造和实现,企业风险管理的正确定位应该是 Embedding in St
20、rategy and Performance,即嵌入式融入企业的各项 管理活动,当风险管理彻底忘掉自己的时候,你会发现风险管理随处 可见。这一点,我们在生存了上百年的跨国性企业中清晰可见。除了金 融和保险等需要风险集中管理的行业外,这些发展成熟的跨国性企业 几乎都没有设置风险管理和内部控制部门,而大多数只设置了一个风 险经理(risk manager)负责企业的保险安排。再有就是Legal、Compliance. Controller. Audit等职能履行了部分的风险管理专项、 监督、改进的职能。你能够说这些企业没有风险管理和内部控制吗? 以我这么多年的亲身体会来看,显然不能。深入理解后你就会发现,今天所谓的这些风险和控制早已落到日常管理层的决策和所有的业务流程中去了,这才是真正的管理和控制。中国的企业,要打造成为真正的百年老店,要走的路还很长,有 的阶段和步骤不可跨越,需要时间和空间!从下周开始,分十五篇解读新版企业风险管理框架每个章节!
