带你用PDCA来解构COSO和ISO最新风险管理框架
我们用了几个月的时间,按照每周一篇解读文章的速度,给大家把COSO委员会2017年9月最新发布的正式版《企业风险管理框架》和ISO国际标准化组织2018年2月正式发布的《风险管理指南》进行了系统、全面的解读。其中也夹杂着过去这十几年来,协助中国企业实施企业风险管理、内部控制、内部审计工作的理解和体会。希望可以让中国的从业者学习到最新、最前沿的风险管理理论发展成果,来指导未来的相关工作的实践。
在这个过程中,进行了大量的原文翻译,结合着这些年的经验,也借此机会好好审视了一下这些框架背后的设计原理。
从两个国际影响力最大的风险管理文件来看,虽然COSO主要侧重企业,但是其最新版一直在宣称适用于所有机构和组织;而ISO的风险管理指南,作为最开始就侧重设定一般性的原则和框架,广泛适用性是其一直以来坚持的原则,但由于盈利性法人机构这个群体是全球价值创造的主力部队,所以在企业层面实践ISO风险管理标准而获得的经验也是最丰富的。
最新版的两个文件中,提出了很多相似的论断和观点,最突出的几个共性方面包括:
1、强调对主体价值的创造和保护;
2、重视对支撑主体战略目标的达成;
3、突出对支持决策、与其它业务的整合;
4、加强领导层责任、企业风险文化的培育等方面。
其中,两个文件的框架可谓是集大成者,将其整个文件的设计思路和内容进行了高度的总结和提炼,我们在温习下两个文件的框架图。
COSO ERM 2017 企业风险管理框架
ISO310002018 风险管理指南总体架构
一、什么是PDCA
PDCA最早应用于质量管理领域,是美国质量管理专家休哈特博士首先提出的,由戴明采纳、宣传,获得普及,所以又称戴明圆环。全面质量管理的思想基础和方法依据就是PDCA循环。PDCA循环的含义是将质量管理分为四个阶段,即计划(plan)、执行(do)、检查(check)、调整(Action,也有一说是Adjustment)。在质量管理工作中,要求把各项工作按照作出计划、计划实施、检查实施效果,然后将成功的纳入标准,不成功的留待下一循环去解决。这一工作方法,这是质量管理的基本方法,也是企业管理各项工作的一般规律。
虽然我们觉得这个过程很简单,现在看来也很好理解,就像我们上一篇文章解释“风险管理流程”一样,识别、分析、评价、改进,很简单,它不仅是一个风险管理流程,也是实施任何风险评估工作的普适性步骤,普适性的东西并不属于哪一个体系,只是我们在哪里应用的多、应用的广,被大家熟知而已。
PDCA也一样,这其实也是一种普遍性思维的外现,不仅是质量管理和企业管理,难道我们每个人在系统分析问题和解决问题时不是按照这个步骤吗?但最开始在质量领域被广泛推广和使用,所以一般我们都把它的出处和质量管理挂钩。如果中国企业管理现代化发展的早,说不定管理界早就有人按照孔子和孙子的“三思而后行”,“谋定而后动”,和“否定之否定”之类的思想,也开发出了一个PDCA,那么就有可能叫“孔子圆环”了。
其实叫什么名字无所谓,关键是这个步骤符合人类的思考规律和逻辑,它就可以成立。所以我们还是叫它PDCA。
像我们比较熟悉的ISO9001质量体系标准,采用的就是典型的PDCA模型。你还可以发现ISO31000今天最新框架中的核心领导力与承诺,就是从ISO9001的PDCA模型中借鉴过来的。
二、用PDCA解构两个文件要素
了解了PDCA之后,其实我们可以看出,ISO31000和COSO ERM的框架其实也是一种PDCA模式在风险管理领域的表现形式,或者说ISO31000和COSO ERM框架设计时也利用了PDCA思维。我们可以按照PDCA的格式,解构一下ISO31000和COSO风险管理的框架,如下图。
ISO31000和COSO ERM的框架要素基本上都可以找到对应的点。对应完了我们会发现,还有很多剩余的要素没有在PDCA的解构图上体现,我们在下一部分内容再解释。
PDCA和ISO31000、COSO ERM风险管理框架要素对照
我们一直强调风险管理的流程是从识别、分析、评价、应对是一个循环,所以有了再识别、再评价、持续评估的概念。今天ISO31000最新版中对于风险管理流程的表述,也是用了反复优化这样的表述。我在翻译的时候将“iterative”这个词,没有采用直译的“迭代”,因为迭代在IT领域用的比较多,怕大家不好理解,所以采用的意译“反复优化”、“持续优化”来表达的。在PDCA中,也是强调这种持续优化的要求,而且有时是几个PDCA连在一起共同解决应对一个问题。
三、关于框架和流程
大家可以看到ISO31000的整体架构中,有一个原则、一个框架加一个流程,而COSO的风险管控框架中只有一个独立的框架,为什么?难道COSO比ISO的内容少吗?
首先,两个文件采取的整体格式不太一样,ISO31000采取的是原则+框架+流程,而COSO ERM采取的是框架+要素+原则。但是ISO31000的8项宏观原则和COSO ERM 20项具体原则还不是一个层面的东西。COSO虽然没有单画一个风险管理基本流程,但是它的第3个绩效要素中,第10-14项原则描述的和ISO的流程步骤是一样的,也对风险管理基本流程进行了详细描述。
所以对于风险管理工作来说,框架和流程可以看作是最标准的配置,ISO31000将其明确列示了,而COSO ERM将流程嵌在了框架中。同样,我们在2006年《中央企业全面风险管理指引》的设计中,也采取了框架+流程的描述方式。
《中央企业全面风险管理指引》风险管理框架+流程
我们只是看一下这个结构,对框架的设计内容,我不想过多解释,毕竟已经是十几年前的设计成果了,那时候对很多风险管理的概念还在摸索过程中。
但是,我一直在思考框架+流程的模式到底是不是一种最优的表达方式,所以在2011年接受河北省国资委邀请,设计河北省企业全面风险管理框架时,我尝试了另外一种方式,将风险管理框架和流程整合到了一个框架中来,因为这样更能体现一个整体及相互之间的关系。起草工作历时两年,文件最终在2013年作为《河北省监管企业全面风险管理实施办法》下发执行。今天,这个体系看起来虽然有很多需要补充完善的地方,但和最新的风险管理框架比起来,仍然有一定的借鉴意义。
河北省国有企业风险管理框架
我们今天翻出来这么多框架图,只是想让大家不要被框架的外表所迷惑,误认为这之间有巨大的差异。我们就是想通过这些框架,带大家透过现象看本质,能够掌握和了解那些真正的风险管理要素和他们之间的逻辑关系。
本周的内容也为下周的分享打下了个基础和铺垫,通过对ISO31000和COSO ERM框架的解构,下周我们来分析一下ISO和COSO都没有说清楚的事情,也是一直困扰企业实践的问题,到底企业管理和企业风险管理是一个什么样的关系?每个文件都在强调整合,到底风险管理如何整合到企业管理中去?
最近中美贸易战炒的火热,其实我们大多数人都只能看看热闹,有人议论得失,有人给国家出谋划策,其实我们和真正的决策者之间存在着巨大的信息不对称,国家的决策交给国家领导和智囊团吧。我们每个人可以做出的最大的支持就是把企业和工作做好、做扎实,做到世界一流,做到具有核心竞争力,这才是为国家分忧和解决问题的根本。我说过如果中国在关键技术领域多出来15个任正非,今天中国的面貌会大不同,不经历这样默默攻坚的过程,浮躁了事,光靠嘴上喊两嗓子,没用!