孫友文：

中國人有句古話(huà)，名不正則言不順。標題的理解和翻譯不僅體現的是對一句話(huà)的描述，更是對整個(gè)風(fēng)險管理工作的定位，處理企業(yè)戰略和企業(yè)績(jì)效與風(fēng)險管理工作的關(guān)系的關(guān)鍵問(wèn)題。如果理解或者翻譯不好，定位出現問(wèn)題，那整個(gè)工作在企業(yè)的方向就會(huì )扭曲，執行過(guò)程中也會(huì )變形。

最近，看見(jiàn)有其它不少專(zhuān)家也在分析解讀COSO 2017版企業(yè)風(fēng)險管理框架，特別是對于框架的標題，各種專(zhuān)家給出了不同的理解和中文翻譯，比如有人翻譯成：

• 企業(yè)風(fēng)險管理 - 整合戰略與績(jì)效

• 企業(yè)風(fēng)險管理 - 與戰略和績(jì)效的整合

• 企業(yè)風(fēng)險管理 - 集成戰略與績(jì)效

的確，如果僅僅從字面上來(lái)講，這么來(lái)直譯也可以理解，但是從翻譯來(lái)講，最佳的翻譯方式絕對不是直譯，而且有時(shí)直譯更是詞不達意，造成誤解和誤讀。

我們先來(lái)看一看當時(shí)2004年ERM框架的標題，2004年第一版風(fēng)險管理框架的英文名稱(chēng)為：Enterprise Risk Management - Integrated Framework ，當時(shí)東北財經(jīng)大學(xué)出版社2005年引入中文版時(shí)的翻譯為：企業(yè)風(fēng)險管理-整合框架，那這個(gè)Integrated Framework （整合框架）怎么來(lái)的呢？

2004年這個(gè)Integrated Framework是延續1992年COSO發(fā)布的 Internal Control - Integrated Framework 而來(lái)的，此版本2008年被東北財經(jīng)大學(xué)出版社引入并翻譯。兩者都被翻譯成了“整合框架”，作為一項新的自成體系的企業(yè)管理工具和職能，在當時(shí)的情境下，這樣理解和翻譯無(wú)可厚非。

時(shí)至今日，新版的ERM-ISP風(fēng)險管理框架的發(fā)布，這個(gè)體系的定位已經(jīng)不在是一個(gè)孤立的體系了，也不能再定義為一個(gè)“整合框架”了?！癐ntegrating with Strategy and Performance”, 雖然還是Integrate那個(gè)詞，但是因為涉及到了和企業(yè)戰略和績(jì)效的關(guān)系，它的含義完全變了，所以有些“專(zhuān)家”把它翻譯為“整合戰略和績(jì)效”，這是一種延續歷史的翻譯方式，在今天看來(lái)，是一種牽強附會(huì )的翻譯和理解。

COSO在報告的前面就介紹說(shuō)，風(fēng)險管理是一個(gè)文化、能力和實(shí)踐，并不是一個(gè)職能或者部門(mén)，那這樣一個(gè)文化、能力和實(shí)踐怎么可能去整合戰略和績(jì)效呢？又怎么可能被戰略和績(jì)效來(lái)整合呢？

2016年，COSO發(fā)布了風(fēng)險管理框架征求意見(jiàn)稿，當時(shí)的表述是Enterprise Risk Management - Aligning with Strategy and Performance，我在第一版的解讀里把它意譯為，企業(yè)風(fēng)險管理-服務(wù)于戰略和績(jì)效的實(shí)現。 當然，譯為企業(yè)風(fēng)險管理-與戰略和績(jì)效協(xié)同一致，也可以。

從征求意見(jiàn)版到正式版，只把Aligning改為了Integrating，前期介紹過(guò)這兩者的含義區別，定位雖然有了一定的改進(jìn)，但還不是對最佳狀態(tài)的描述。

企業(yè)風(fēng)險管理和企業(yè)戰略與績(jì)效到底是什么關(guān)系，與企業(yè)管理什么關(guān)系，其實(shí)我們在實(shí)踐界早有結論，中國企業(yè)在風(fēng)險管理領(lǐng)域走過(guò)的路，積累的經(jīng)驗，全球獨一無(wú)二。COSO只是幫我們總結了一下，但就我個(gè)人理解，還不算完美。

一、風(fēng)險意識形成階段

2006年國務(wù)院國資委發(fā)布了《中央企業(yè)全面風(fēng)險管理指引》開(kāi)啟了中國企業(yè)的風(fēng)險管理實(shí)踐的大門(mén)，這是一份非常超前且技術(shù)含量非常高的文件。在國際上，有些專(zhuān)家聽(tīng)說(shuō)中國政府早在2006年就發(fā)布了這樣的文件都感到贊嘆。十多年前中國的企業(yè)界，對風(fēng)險的認識是非常初級的，對風(fēng)險管理這套系統理論的認識更是非常貧瘠的，只有少數已赴境外上市的企業(yè)系統的接受過(guò)內部控制體系的建設過(guò)程，許多企業(yè)還不知道內部控制是個(gè)什么東西，更談不上風(fēng)險管理了。

在這樣的一個(gè)背景下，在央企范圍內推行全面風(fēng)險管理體系的建設可謂困難重重，從理解上、意識上、管理支撐上、最佳實(shí)踐上都存在著(zhù)巨大的鴻溝需要填補，我本人帶隊親身參與了幾十家央企的體系建設工作，所以一路建設下來(lái)，上百家央企真正能夠一直堅持運行這套體系的企業(yè)屈指可數。當時(shí)的中國企業(yè)，它的土壤還沒(méi)有具備和達到讓這一套體系生根發(fā)芽的條件。

當時(shí)的做法就是把風(fēng)險管理工作作為一個(gè)獨立的管理體系來(lái)建設及運行，就像2004年COSO對風(fēng)險管理工作的定位一樣-Integrated Framework。建體系、建流程、建手冊。并沒(méi)有真正融入企業(yè)的核心價(jià)值鏈，最后很多企業(yè)搞成了與企業(yè)管理的“兩張皮”，變成了一個(gè)臨時(shí)任務(wù)完成后就束之高閣了。另外，這也和中國企業(yè)的發(fā)展階段和成熟發(fā)達國家的階段差異有關(guān)系，好比拿一個(gè)德國豪車(chē)的輪子套在中國本土自主品牌的汽車(chē)上，根本就不是一個(gè)發(fā)展階段，需要改造和本土化，也需要自身通過(guò)學(xué)習借鑒、自力更生跨過(guò)初級的發(fā)展階段?，F在來(lái)看，這是一個(gè)中國企業(yè)特殊歷史發(fā)展階段下的必然。

二、風(fēng)險管理的反思與整合階段

經(jīng)過(guò)幾年的體系建設摸索，中國企業(yè)界從帶著(zhù)對風(fēng)險管理的一臉茫然與好奇，開(kāi)始接觸了這套體系。但由于上述談到的這些問(wèn)題，這套體系最終沒(méi)有被持續運行下去，但是卻對中國企業(yè)界產(chǎn)生了一個(gè)不可替代的價(jià)值和意義。那就是風(fēng)險管理意識的形成以及企業(yè)風(fēng)險管理語(yǔ)言統一。掌握了這些基本技能，中國企業(yè)可以推開(kāi)了這扇大門(mén)開(kāi)始自由探索了。

隨著(zhù)2008年中國財政部發(fā)布了《企業(yè)內部控制基本規范》，國務(wù)院國資委也在2012年發(fā)文要求央企實(shí)施這套內控體系，由于內部控制體系前幾十年在國際上積累了很多成熟的經(jīng)驗，而企業(yè)風(fēng)險管理在國際上沒(méi)有形成可以借鑒的經(jīng)驗。再之，內部控制體系強調和企業(yè)制度、流程相結合，配合實(shí)質(zhì)性測試和穿行測試及缺陷整改，讓企業(yè)看得見(jiàn)、摸得著(zhù)，讓廣大的風(fēng)險管理、內部控制、內部審計等從業(yè)人員好像感覺(jué)比前期推行風(fēng)險管理體系時(shí)更容易把握一些。

其實(shí)工作層面上的人不太了解，風(fēng)險管理這套體系本來(lái)就是為領(lǐng)導層和決策者服務(wù)的，工作人員理解上存在誤差有一定必然性。無(wú)論如何，企業(yè)內部控制體系的推行，從一定層面上也推動(dòng)了風(fēng)險管理體系的自我反思和工作方法論的調整。探討了如何使風(fēng)險管理工作更好地和企業(yè)管理結合，在既定的企業(yè)戰略下，如何設置風(fēng)險偏好和風(fēng)險承受度，促進(jìn)公司整體目標的達成。整體來(lái)說(shuō)，這是一個(gè)風(fēng)險管理“脫虛向實(shí)”的探索發(fā)展階段。

這個(gè)階段，可以理解成COSO今天所提到的Integrating with Strategy and Performance的階段，就是如何使風(fēng)險管理工作和其它企業(yè)管理活動(dòng)整合的階段。

三、風(fēng)險管理工作的融入階段

從COSO ERM的框架圖中可以看出，從征求意見(jiàn)稿的環(huán)繞企業(yè)核心價(jià)值鏈到貫穿融入其中，COSO其實(shí)已經(jīng)意識到了，這不是一個(gè)孤立的體系，不能獨立于管理體系來(lái)談風(fēng)險管理體系。但是框架圖雖然意思表達了，但是標題還是用了一個(gè)Integrating，能充分表達嗎？不能。那應該怎么表達才是最佳的描述風(fēng)險管理和企業(yè)戰略及績(jì)效的關(guān)系？

其實(shí)回答這個(gè)問(wèn)題，正是我們中國企業(yè)從接觸風(fēng)險管理到理解、改造、利用風(fēng)險管理工作的過(guò)程。這樣的一個(gè)過(guò)程，其實(shí)是企業(yè)對于一個(gè)新視角管理體系的理解過(guò)程，和人類(lèi)接受一個(gè)新事物的思考過(guò)程一致。首先，為了形式而存在，而后形式和內容并重，最終不再關(guān)心形式，而內容才是實(shí)質(zhì)。

那么這次新版ERM框架有沒(méi)有進(jìn)步？有。比2004年第一版已經(jīng)做了翻天覆地的變化，糾正了很多誤解和灰色地帶。

還有沒(méi)有提升的空間？當然有，而且這種引領(lǐng)方向的實(shí)踐在中國已經(jīng)悄悄的進(jìn)行了。

風(fēng)險管理工作的層次定位

經(jīng)過(guò)多年的摸索與實(shí)踐，最開(kāi)始對于風(fēng)險管理工作在企業(yè)的落腳點(diǎn)是沒(méi)有明確界定的，我們協(xié)助企業(yè)進(jìn)行風(fēng)險管理工作體系的搭建，從戰略到運營(yíng)，“橫到邊、縱到底”、“風(fēng)險無(wú)時(shí)不在、風(fēng)險無(wú)處不在”等說(shuō)法，是最開(kāi)始進(jìn)入泛風(fēng)險時(shí)代的突出表現。

但是慢慢摸索發(fā)現，很多事情雖然都可以歸結到風(fēng)險上來(lái)，但是漫無(wú)邊際的風(fēng)險管理會(huì )導致最終定位不清，從而導致目標不明確、邊界不清晰，容易“跑偏”，企業(yè)實(shí)施過(guò)程中也帶來(lái)非常多的困惑和疑問(wèn)。

縱觀(guān)整個(gè)企業(yè)各項管理活動(dòng)后，總結了這套體系在企業(yè)管理中的作用，我們認為風(fēng)險管理工作應該在企業(yè)的戰略管理之下，在運營(yíng)管理之上，作為一個(gè)“中臺”的作用，連接戰略的實(shí)施和運營(yíng)的支持，使其上下協(xié)調一致，最終達成目標。

這是針對風(fēng)險管理作為一個(gè)體系的定位，當然，作為一種意識和能力，也可以用在決策者的戰略制定上，同樣也可以指導運營(yíng)層面的控制設計。

從為企業(yè)提供的服務(wù)機構來(lái)說(shuō)，也可以看得出區別。比如戰略管理一般都是戰略管理咨詢(xún)公司，如McKinsey、BCG、Bain；風(fēng)險管理近些年來(lái)興起后，主要是Big4、風(fēng)險咨詢(xún)公司和一些管理咨詢(xún)公司；運營(yíng)管理則主要側重為公司的業(yè)務(wù)線(xiàn)和流程方面提供服務(wù)的公司，如Accenture、IBM等。

風(fēng)險管理工作的內容定位

這里通過(guò)一個(gè)企業(yè)實(shí)例向大家進(jìn)行介紹：

我曾經(jīng)為一家央企提供過(guò)多年的風(fēng)險顧問(wèn)服務(wù)，由于企業(yè)一把手的信任，每年都會(huì )給這個(gè)企業(yè)按照計劃逐年深入和擴展工作內容。

                 第一年

     針對主業(yè)的核心風(fēng)險進(jìn)行細化形成風(fēng)險管理子體系。同時(shí)和客戶(hù)在深入探討和嘗試風(fēng)險管理和內部控制的融合、風(fēng)險管理和ISO9000，ISO14000，ISO18000的融合、風(fēng)險管理和各項企業(yè)管理活動(dòng)的融合。

                 第四年

     嘗試如何從集成（integrated）的內控體系和風(fēng)險管理體系中抽離出來(lái)控制活動(dòng)和要素直接打散到企業(yè)的各管理活動(dòng)中去。最后，兩個(gè)體系的精華被各個(gè)業(yè)務(wù)活動(dòng)吸收，重新升級了企業(yè)管理制度體系和數百項流程。最終促成了以風(fēng)險為導向的企業(yè)管理體系的重生。

后期會(huì )專(zhuān)門(mén)撰文展開(kāi)討論企業(yè)風(fēng)險管理工作的幾個(gè)發(fā)展階段，此處不贅述。

同樣，做為COSO組織研究風(fēng)險管理框架而言，對風(fēng)險管理體系的定位和認識也會(huì )進(jìn)入這樣一個(gè)認識邏輯，這是客觀(guān)的發(fā)展規律。

COSO新的框架引入了與戰略和績(jì)效的關(guān)系，而不再就風(fēng)險管理而風(fēng)險管理，而是從企業(yè)管理的整體觀(guān)上來(lái)看待這個(gè)體系，但Integrating的說(shuō)法并不是對風(fēng)險管理體系最佳的定位。

根據中國的實(shí)踐，如果幾年后COSO組織還將更新這個(gè)框架，我將向COSO組織建議，進(jìn)一步忘掉自己（風(fēng)險管理），因為對企業(yè)而言，企業(yè)風(fēng)險管理并不在核心價(jià)值鏈上，但是卻可以最大程度的輔助企業(yè)核心價(jià)值的創(chuàng )造和實(shí)現，企業(yè)風(fēng)險管理的正確定位應該是 Embedding in Strategy and Performance, 即嵌入式融入企業(yè)的各項管理活動(dòng)，當風(fēng)險管理徹底忘掉自己的時(shí)候，你會(huì )發(fā)現風(fēng)險管理隨處可見(jiàn)。

這一點(diǎn)，我們在生存了上百年的跨國性企業(yè)中清晰可見(jiàn)。除了金融和保險等需要風(fēng)險集中管理的行業(yè)外，這些發(fā)展成熟的跨國性企業(yè)幾乎都沒(méi)有設置風(fēng)險管理和內部控制部門(mén)，而大多數只設置了一個(gè)風(fēng)險經(jīng)理（risk manager)負責企業(yè)的保險安排。再有就是Legal、Compliance、Controller、Audit等職能履行了部分的風(fēng)險管理專(zhuān)項、監督、改進(jìn)的職能。你能夠說(shuō)這些企業(yè)沒(méi)有風(fēng)險管理和內部控制嗎？以我這么多年的親身體會(huì )來(lái)看，顯然不能。

深入理解后你就會(huì )發(fā)現，今天所謂的這些風(fēng)險和控制早已落到日常管理層的決策和所有的業(yè)務(wù)流程中去了，這才是真正的管理和控制。