【划重点】COSO最核心的就是这个图:风险绩效曲线介绍-COSO新版企业风险管理框架全文解读(九)
COSO委员会在今年9月公布的新版企业风险管理框架中,最大的一个变化就是不再孤立的谈风险管理工作,而是将其作为一个文化、能力和实践,更好的融入企业管理中,为企业实现其各层面的管理目标而服务。为了更好的体现这种融入,新框架中介绍了一个“风险概况图”并出现数次,用来解释一个用以关联风险和绩效的曲线。
一、最基本的风险绩效曲线介绍
下图就是最基本的COSO的风险绩效曲线,用横轴表示绩效(Performance),纵轴表示风险(Risk),一条蓝色曲线绘制了不同绩效目标下需承担的风险概况。紫色的竖线是目标线,指的是绩效目标设定的大小。红色的横线表示的是主体的风险偏好,包含了对风险类型和风险量的描述。
蓝色曲线与紫色目标线的交点指的是在既定的绩效目标下,需要承担的相应的风险概况;蓝色曲线和红色风险偏好线的交点即承担的风险达到风险偏好时,可以实现的绩效目标;或者说当绩效目标增长到某一特定值时,主体承担的相应风险达到风险偏好的总量。
如果主体的绩效目标设定在了风险偏好以上的蓝色曲线对应的X轴的绩效值,那将是一种被视为冒险和激进的绩效目标。
二、为了体现风险与绩效关系,舍弃了风险承受度的概念
为了更好的展示风险和企业绩效之间亲密无间的关系,COSO也是下了血本,生生的把风险承受度的概念给删除了,要知道这个概念在风险管理领域可是深入人心的概念。COSO为了使风险和绩效可以直接挂钩,“不让中间商赚差价”,必须把能省的都省掉,所以风险承受度的含义就被整合进了风险偏好,而启用了“可接受的绩效波动范围”作为承受度(容忍度)的新概念。
在上图中,橙色虚线中,与横轴的两个交点之间的距离,即是代表不同的绩效值,代表着“可接受的绩效波动范围”,这就是原来对于“风险承受度”概念的直接外现。
三、什么是绩效
COSO本次框架更新虽然画出了风险绩效曲线,但是并没有详细定义Y轴的绩效(Performance)到底是什么,只是对绩效管理进行了定义:
绩效管理:对实现或超过战略和商业目标所做付出的度量。
既然风险要和绩效挂钩,我们还是有必要探讨下绩效到底是个什么东西?
我翻阅了全球的一些具有代表性的企业风险管理相关文件,这个词的上镜率并不高,目前还没有风险管理文件对绩效下定义,为什么?
因为绩效本来就不属于风险管理的范畴,绩效管理在企业管理体系中也可以称作是一个历史悠久的独立子体系,它的出现比系统的风险管理理论还要早,为什么?
因为绩效是企业经营管理中的核心部分,如果用我们前面谈到的三道防线的概念,企业的绩效目标应该是所谓的第一道防线最需要达到的核心目标(当然广义的绩效不仅局限于第一道防线),也可以说企业运行的短期目标就是要实现所设定的绩效,用以支撑企业战略的实现,进而支持企业愿景和使命的实现。
在国际标准化组织ISO发布的9000系列族谱中,在《基础和术语》一文中对绩效进行了定义:
Performance: Measurable result.
绩效:可度量的结果。
西方对绩效有两种不同的理解,其中之一代表是伯纳丁(Bernardin),其在1984年发表的文章中《Performance appraisal : assessing human behavior at work》中把绩效定义为“对在特定时间段和特定工作或活动中产生的结果的记录”,认为绩效就是结果。以墨菲(Murphy)为代表的另一种观点,就像其在1990年发表的《Performance pay and top-management incentives》中论述的那样,认为绩效是组织中的某种工作和组织目标有关的一组行为。显然,ISO组织采取的是第一种对绩效的定义。
我们不必揪这些字眼儿,从中文的角度通俗来看:绩就是业绩,体现企业的一系列的考核指标,包括目标管理和职责要求;效就是效率、效果、态度、行为、方法,是一种行为,体现的是企业的管理成熟度目标。绩效就是组织对期望的结果或行为的一种度量,它包括个人绩效和组织绩效两个方面。可以是定量的也可以是定性的。
前些年,中国国家标准委参考了美国国家质量奖的相关做法,引进了卓越绩效评价概念,将领导力、战略、客户与市场、资源、过程管理、分析与改进、结果等七个方面作为衡量一个企业绩效的是否卓越的内容。市面上其实有许多关于绩效管理的书籍和课程,大的框架概莫能外,此处不再详细展开。
四、风险绩效曲线的理解要点
1、关于X轴与Y轴
COSO的内容里所有的风险绩效图都是X轴为绩效,Y轴为风险,但其实质含义并不限于此。
X轴展示的是绩效,如上面对绩效的介绍,它的体现可以是多种多样的,既可以是定性的,也可以是定量的;既可以是一个单独的考核指标,也可以是一个综合的考核指标。
Y轴虽然写的是风险,但是除了可以表达风险之外,还可以根据图形要表达的目的和X轴的关联关系,用风险回报、在险值或其他风险相关的内容代替。
2、关于风险曲线的形状
我们看到COSO都是用一条蓝色的上扬曲线代表的风险曲线,但是上扬的斜率不同,代表的意义也不同,比如斜率越大,曲线越陡,说明绩效增长带来的风险增量越大;而斜率越小,曲线越缓,说明业绩增长带来的风险增量越小。在创业公司和新兴市场更多的是第一种情况,而在大型企业和成熟市场,更多的是后一种情况。
另外,我们看到作为绩效轴的X轴随着绩效的增加,其承担的Y轴的风险也在增加,每一个曲线上的点都是在当前X轴绩效水平下需承担的Y轴风险总量。但是需要特别注意的是绘制曲线上的点对应的X轴的绩效变化值,不是指不同情境下的绩效值,而是指不同时点下的绩效变化值。
3、关于固有风险和剩余风险
由于图形中涉及到了Y轴的风险加总,那么有一个概念需要明确,就是固有风险和剩余风险。图形中的风险刻画指的是固有风险,如果考虑到采取了风险应对(控制、转移、分担、对冲、转换等)后的剩余风险,原曲线必然会变化。如采取了风险应对后的图可能变成如下所示:
4、关于风险偏好和风险容量
红色的风险偏好横线并不是揭示的主体能够承担的最大风险量,而一个主体的风险容量(Risk Capacity)才是一个主体能够承担的最大风险量。
一般的情况下,一个主体的风险容量都会高于风险偏好,这样的主体给自己留一个时间和空间,可以在小概率事件发生导致突破风险偏好后,不至于马上出现不好应付的紧急情况。
如果一个主体的风险偏好和风险容量相等,那就说明主体没有预留空间,风险一旦超过风险偏好即超过了主体的最大风险容量,这是一种比较激进的做法,通俗来讲就是没有给自己留后路,稍有风吹草动都会对主体的抗风险能力产生重大挑战。
还有一种情况,即主体的风险偏好设定高于了风险容量,这是一种更加激进的做法,绩效目标的设定有非常大的概率超出自己最大风险承受能力。主体出现这样的情况一种可能是不明确自己的风险容量到底是多少;还有一种可能性就是铤而走险,通俗讲就是为了挣钱不要命。据统计,中国民营企业平均寿命仅为3年左右,与其不知能驾驭多少风险或超额承担了风险有直接关系。我们再看看那些为了达到快速扩张的目的,利用高杠杆融资运作,市场稍有变化就导致资金链断裂的企业,大概也都是属于此类吧。
5、风险与绩效建立了“关联意识”是要点
风险绩效曲线的核心价值在于其建立了风险和绩效的关联意识,我在2016年对COSO风险管理框架征求意见稿写评论文章时就提出来了,这更多的是一个“示意图”。这样的关联关系我们在前些年探索的过程中其实早就有过类似的尝试,如在投资项目的风险评估中,把相关风险进行量化最后得出投资回报率的波动范围及置信区间,这其实就是风险和绩效关联的思路。
所以企业要想真正绘出这条综合的风险绩效曲线其实是非常困难的,我建议如果有想尝试的企业可以先从最简单、最易衡量、最方便关联其风险的绩效指标入手,进行探索。
虽然COSO承诺为了使其更具操作性,日后会发布实施指南来指导企业更好的实施,但我对这些指南的实用性仍然持保留态度,因为没有充足的实践来反复摸索和完善,是不可能得出一个完美的理论指南的。目前受几个大型集团的邀请,我也在协助他们进行风险绩效曲线的研究和尝试,已经形成一些有益的探索,期待这个“意识关联”会慢慢的在实践的基础上做到真正的“实质关联”。