【收藏】COSO新版企业风险管理框架全文解读(四):西方的ERM与中方的全面风险管理
本文介绍COSO新版企业风险管理框架的第一册第一部分的第四章节:整合风险管理。
本部分的整合风险管理章节,COSO表述了将风险管理工作与各项日常管理工作整合以支持更好的做出决策的重要性。用以更好的权衡各种利弊,如对于风险和回报、效率和成本以及时间和质量等。
同样,像在摘要中强调的一样,指出风险管理不仅仅是一个部门和功能,而是和组织的文化、能力、实践融为一体的。并指出主体的风险偏好越激进,整合工作的价值越大。
在迈向全面整合的阶段,指出“每一个人都是风险管理者”。这和我们前些年倡导的“风险无时不在、风险无处不在”、“增强全员风险管理意识”、“每一个人都是一个防火墙”,内涵基本一样。
在我最开始翻阅新版企业风险管理框架时,在某些描述整合风险管理框架的段落,我觉得如果翻译成“全面风险管理”也算是恰当。
2006年6月,国务院国资委发布了《中央企业全面风险管理指引》,将全面风险管理的概念最先引入到了央企层面。当时的全面风险管理是在中国企业界普遍流行的全面质量管理、全面预算管理的时代背景上提出的。当时在全球范围里还没有一个合适的英文来对应中国的全面风险管理这样一个概念,对应的西方概念就是企业风险管理(Enterprisk Risk Management),或者后来发展出的企业整体层面风险管理(Enterprise-Wide Risk Management)。
我们今天来看整合风险管理框架(Integrating Enterprise Risk Management)的提法,个人看来,整合(Integration)这个词也没有十分符合中国人传统语言习惯的译法,其内涵与我们十几年前“全面风险管理”的提法有点类似的地方。
翻阅了十几年前《央企指引》出台后,我们在几十家央企的项目实践材料,对于全面风险管理工作的定位,当时的描述方式为:
全面风险管理不是独立于现有管理体系的另外一个体系,而是对现有管理体系的整合与对现有管理职能的强化,实践中注重将全面风险管理的内容融入现有管理职能之中。
翻阅过程中我的心中是何等感慨,2017年COSO新版的企业风险管理框架所倡导的观点和我们十几年前所推行的如出一辙,特别是后面我们要讲的风险绩效曲线内容,和我们十几年前的思路可谓是如出一辙。从这方面看,COSO的所宣扬的某些理念对中国企业界并不是新的内容,而是从2004年COSO第一版企业风险管理框架错误定位为“大控制框架”之后,向正确的“管理框架”轨道上回归而已。
只不过当时的年代,我们刚刚接触了这样一个新鲜的管理领域,所有的精力都放在了如何把它搞清楚、搞明白的阶段,还没有过多的思考和实践它与企业其它管理活动的关系;或者更确切地说就算思考过,当时也没有时间和精力来真正的实践。
回顾过去这十几年中国企业走过的风险管理之路,也能发现这个规律。一开始我们是为了风险管理而做风险管理,等做到一个阶段之后开始考虑风险管理和企业其他管理活动的正确关系。我想目前实施风险管理体系多年的中国企业中也处在这样的一个思考和转变过程中。
这好比是我们刚开辟了一块处女地,可以用新技术建设一座独特的房子,一开始我们的全部的聚焦都是学习并应用新技术来建房子,等学习和应用了新技术之后,我们开始思考这座房子和原来房子的关系,以及怎么摆放位置的问题,包括原来的一些房子是否需要利用新技术的学习和实践过程中形成的经验进行修缮。
我曾经写过一篇《从ERM框架的演变看企业风险管理工作的定位》,也详细论述了中国企业风险管理工作发展的这种现象。
时过境迁,十年一个轮回,今天中国的企业界被教育了多年之后,开始真正思考如何摆放企业风险管理的位置时,2017年COSO发布的新版风险管理框架显然是在“对的时间”推出了一个“对的框架”。