孫友文：

中國人有句古話，名不正則言不順。標(biāo)題的理解和翻譯不僅體現(xiàn)的是對一句話的描述，更是對整個風(fēng)險管理工作的定位，處理企業(yè)戰(zhàn)略和企業(yè)績效與風(fēng)險管理工作的關(guān)系的關(guān)鍵問題。如果理解或者翻譯不好，定位出現(xiàn)問題，那整個工作在企業(yè)的方向就會扭曲，執(zhí)行過程中也會變形。

最近，看見有其它不少專家也在分析解讀COSO 2017版企業(yè)風(fēng)險管理框架，特別是對于框架的標(biāo)題，各種專家給出了不同的理解和中文翻譯，比如有人翻譯成：

• 企業(yè)風(fēng)險管理 - 整合戰(zhàn)略與績效

• 企業(yè)風(fēng)險管理 - 與戰(zhàn)略和績效的整合

• 企業(yè)風(fēng)險管理 - 集成戰(zhàn)略與績效

的確，如果僅僅從字面上來講，這么來直譯也可以理解，但是從翻譯來講，最佳的翻譯方式絕對不是直譯，而且有時直譯更是詞不達(dá)意，造成誤解和誤讀。

我們先來看一看當(dāng)時2004年ERM框架的標(biāo)題，2004年第一版風(fēng)險管理框架的英文名稱為：Enterprise Risk Management - Integrated Framework ，當(dāng)時東北財(cái)經(jīng)大學(xué)出版社2005年引入中文版時的翻譯為：企業(yè)風(fēng)險管理-整合框架，那這個Integrated Framework （整合框架）怎么來的呢？

2004年這個Integrated Framework是延續(xù)1992年COSO發(fā)布的 Internal Control - Integrated Framework 而來的，此版本2008年被東北財(cái)經(jīng)大學(xué)出版社引入并翻譯。兩者都被翻譯成了“整合框架”，作為一項(xiàng)新的自成體系的企業(yè)管理工具和職能，在當(dāng)時的情境下，這樣理解和翻譯無可厚非。

時至今日，新版的ERM-ISP風(fēng)險管理框架的發(fā)布，這個體系的定位已經(jīng)不在是一個孤立的體系了，也不能再定義為一個“整合框架”了?！癐ntegrating with Strategy and Performance”, 雖然還是Integrate那個詞，但是因?yàn)樯婕暗搅撕推髽I(yè)戰(zhàn)略和績效的關(guān)系，它的含義完全變了，所以有些“專家”把它翻譯為“整合戰(zhàn)略和績效”，這是一種延續(xù)歷史的翻譯方式，在今天看來，是一種牽強(qiáng)附會的翻譯和理解。

COSO在報告的前面就介紹說，風(fēng)險管理是一個文化、能力和實(shí)踐，并不是一個職能或者部門，那這樣一個文化、能力和實(shí)踐怎么可能去整合戰(zhàn)略和績效呢？又怎么可能被戰(zhàn)略和績效來整合呢？

2016年，COSO發(fā)布了風(fēng)險管理框架征求意見稿，當(dāng)時的表述是Enterprise Risk Management - Aligning with Strategy and Performance，我在第一版的解讀里把它意譯為，企業(yè)風(fēng)險管理-服務(wù)于戰(zhàn)略和績效的實(shí)現(xiàn)。 當(dāng)然，譯為企業(yè)風(fēng)險管理-與戰(zhàn)略和績效協(xié)同一致，也可以。

從征求意見版到正式版，只把Aligning改為了Integrating，前期介紹過這兩者的含義區(qū)別，定位雖然有了一定的改進(jìn)，但還不是對最佳狀態(tài)的描述。

企業(yè)風(fēng)險管理和企業(yè)戰(zhàn)略與績效到底是什么關(guān)系，與企業(yè)管理什么關(guān)系，其實(shí)我們在實(shí)踐界早有結(jié)論，中國企業(yè)在風(fēng)險管理領(lǐng)域走過的路，積累的經(jīng)驗(yàn)，全球獨(dú)一無二。COSO只是幫我們總結(jié)了一下，但就我個人理解，還不算完美。

一、風(fēng)險意識形成階段

2006年國務(wù)院國資委發(fā)布了《中央企業(yè)全面風(fēng)險管理指引》開啟了中國企業(yè)的風(fēng)險管理實(shí)踐的大門，這是一份非常超前且技術(shù)含量非常高的文件。在國際上，有些專家聽說中國政府早在2006年就發(fā)布了這樣的文件都感到贊嘆。十多年前中國的企業(yè)界，對風(fēng)險的認(rèn)識是非常初級的，對風(fēng)險管理這套系統(tǒng)理論的認(rèn)識更是非常貧瘠的，只有少數(shù)已赴境外上市的企業(yè)系統(tǒng)的接受過內(nèi)部控制體系的建設(shè)過程，許多企業(yè)還不知道內(nèi)部控制是個什么東西，更談不上風(fēng)險管理了。

在這樣的一個背景下，在央企范圍內(nèi)推行全面風(fēng)險管理體系的建設(shè)可謂困難重重，從理解上、意識上、管理支撐上、最佳實(shí)踐上都存在著巨大的鴻溝需要填補(bǔ)，我本人帶隊(duì)親身參與了幾十家央企的體系建設(shè)工作，所以一路建設(shè)下來，上百家央企真正能夠一直堅(jiān)持運(yùn)行這套體系的企業(yè)屈指可數(shù)。當(dāng)時的中國企業(yè)，它的土壤還沒有具備和達(dá)到讓這一套體系生根發(fā)芽的條件。

當(dāng)時的做法就是把風(fēng)險管理工作作為一個獨(dú)立的管理體系來建設(shè)及運(yùn)行，就像2004年COSO對風(fēng)險管理工作的定位一樣-Integrated Framework。建體系、建流程、建手冊。并沒有真正融入企業(yè)的核心價值鏈，最后很多企業(yè)搞成了與企業(yè)管理的“兩張皮”，變成了一個臨時任務(wù)完成后就束之高閣了。另外，這也和中國企業(yè)的發(fā)展階段和成熟發(fā)達(dá)國家的階段差異有關(guān)系，好比拿一個德國豪車的輪子套在中國本土自主品牌的汽車上，根本就不是一個發(fā)展階段，需要改造和本土化，也需要自身通過學(xué)習(xí)借鑒、自力更生跨過初級的發(fā)展階段?，F(xiàn)在來看，這是一個中國企業(yè)特殊歷史發(fā)展階段下的必然。

二、風(fēng)險管理的反思與整合階段

經(jīng)過幾年的體系建設(shè)摸索，中國企業(yè)界從帶著對風(fēng)險管理的一臉茫然與好奇，開始接觸了這套體系。但由于上述談到的這些問題，這套體系最終沒有被持續(xù)運(yùn)行下去，但是卻對中國企業(yè)界產(chǎn)生了一個不可替代的價值和意義。那就是風(fēng)險管理意識的形成以及企業(yè)風(fēng)險管理語言統(tǒng)一。掌握了這些基本技能，中國企業(yè)可以推開了這扇大門開始自由探索了。

隨著2008年中國財(cái)政部發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，國務(wù)院國資委也在2012年發(fā)文要求央企實(shí)施這套內(nèi)控體系，由于內(nèi)部控制體系前幾十年在國際上積累了很多成熟的經(jīng)驗(yàn)，而企業(yè)風(fēng)險管理在國際上沒有形成可以借鑒的經(jīng)驗(yàn)。再之，內(nèi)部控制體系強(qiáng)調(diào)和企業(yè)制度、流程相結(jié)合，配合實(shí)質(zhì)性測試和穿行測試及缺陷整改，讓企業(yè)看得見、摸得著，讓廣大的風(fēng)險管理、內(nèi)部控制、內(nèi)部審計(jì)等從業(yè)人員好像感覺比前期推行風(fēng)險管理體系時更容易把握一些。

其實(shí)工作層面上的人不太了解，風(fēng)險管理這套體系本來就是為領(lǐng)導(dǎo)層和決策者服務(wù)的，工作人員理解上存在誤差有一定必然性。無論如何，企業(yè)內(nèi)部控制體系的推行，從一定層面上也推動了風(fēng)險管理體系的自我反思和工作方法論的調(diào)整。探討了如何使風(fēng)險管理工作更好地和企業(yè)管理結(jié)合，在既定的企業(yè)戰(zhàn)略下，如何設(shè)置風(fēng)險偏好和風(fēng)險承受度，促進(jìn)公司整體目標(biāo)的達(dá)成。整體來說，這是一個風(fēng)險管理“脫虛向?qū)崱?/span>的探索發(fā)展階段。

這個階段，可以理解成COSO今天所提到的Integrating with Strategy and Performance的階段，就是如何使風(fēng)險管理工作和其它企業(yè)管理活動整合的階段。

三、風(fēng)險管理工作的融入階段

從COSO ERM的框架圖中可以看出，從征求意見稿的環(huán)繞企業(yè)核心價值鏈到貫穿融入其中，COSO其實(shí)已經(jīng)意識到了，這不是一個孤立的體系，不能獨(dú)立于管理體系來談風(fēng)險管理體系。但是框架圖雖然意思表達(dá)了，但是標(biāo)題還是用了一個Integrating，能充分表達(dá)嗎？不能。那應(yīng)該怎么表達(dá)才是最佳的描述風(fēng)險管理和企業(yè)戰(zhàn)略及績效的關(guān)系？

其實(shí)回答這個問題，正是我們中國企業(yè)從接觸風(fēng)險管理到理解、改造、利用風(fēng)險管理工作的過程。這樣的一個過程，其實(shí)是企業(yè)對于一個新視角管理體系的理解過程，和人類接受一個新事物的思考過程一致。首先，為了形式而存在，而后形式和內(nèi)容并重，最終不再關(guān)心形式，而內(nèi)容才是實(shí)質(zhì)。

那么這次新版ERM框架有沒有進(jìn)步？有。比2004年第一版已經(jīng)做了翻天覆地的變化，糾正了很多誤解和灰色地帶。

還有沒有提升的空間？當(dāng)然有，而且這種引領(lǐng)方向的實(shí)踐在中國已經(jīng)悄悄的進(jìn)行了。

風(fēng)險管理工作的層次定位

經(jīng)過多年的摸索與實(shí)踐，最開始對于風(fēng)險管理工作在企業(yè)的落腳點(diǎn)是沒有明確界定的，我們協(xié)助企業(yè)進(jìn)行風(fēng)險管理工作體系的搭建，從戰(zhàn)略到運(yùn)營，“橫到邊、縱到底”、“風(fēng)險無時不在、風(fēng)險無處不在”等說法，是最開始進(jìn)入泛風(fēng)險時代的突出表現(xiàn)。

但是慢慢摸索發(fā)現(xiàn)，很多事情雖然都可以歸結(jié)到風(fēng)險上來，但是漫無邊際的風(fēng)險管理會導(dǎo)致最終定位不清，從而導(dǎo)致目標(biāo)不明確、邊界不清晰，容易“跑偏”，企業(yè)實(shí)施過程中也帶來非常多的困惑和疑問。

縱觀整個企業(yè)各項(xiàng)管理活動后，總結(jié)了這套體系在企業(yè)管理中的作用，我們認(rèn)為風(fēng)險管理工作應(yīng)該在企業(yè)的戰(zhàn)略管理之下，在運(yùn)營管理之上，作為一個“中臺”的作用，連接戰(zhàn)略的實(shí)施和運(yùn)營的支持，使其上下協(xié)調(diào)一致，最終達(dá)成目標(biāo)。

這是針對風(fēng)險管理作為一個體系的定位，當(dāng)然，作為一種意識和能力，也可以用在決策者的戰(zhàn)略制定上，同樣也可以指導(dǎo)運(yùn)營層面的控制設(shè)計(jì)。

從為企業(yè)提供的服務(wù)機(jī)構(gòu)來說，也可以看得出區(qū)別。比如戰(zhàn)略管理一般都是戰(zhàn)略管理咨詢公司，如McKinsey、BCG、Bain；風(fēng)險管理近些年來興起后，主要是Big4、風(fēng)險咨詢公司和一些管理咨詢公司；運(yùn)營管理則主要側(cè)重為公司的業(yè)務(wù)線和流程方面提供服務(wù)的公司，如Accenture、IBM等。

風(fēng)險管理工作的內(nèi)容定位

這里通過一個企業(yè)實(shí)例向大家進(jìn)行介紹：

我曾經(jīng)為一家央企提供過多年的風(fēng)險顧問服務(wù)，由于企業(yè)一把手的信任，每年都會給這個企業(yè)按照計(jì)劃逐年深入和擴(kuò)展工作內(nèi)容。

                 第一年

     針對主業(yè)的核心風(fēng)險進(jìn)行細(xì)化形成風(fēng)險管理子體系。同時和客戶在深入探討和嘗試風(fēng)險管理和內(nèi)部控制的融合、風(fēng)險管理和ISO9000，ISO14000，ISO18000的融合、風(fēng)險管理和各項(xiàng)企業(yè)管理活動的融合。

                 第四年

     嘗試如何從集成（integrated）的內(nèi)控體系和風(fēng)險管理體系中抽離出來控制活動和要素直接打散到企業(yè)的各管理活動中去。最后，兩個體系的精華被各個業(yè)務(wù)活動吸收，重新升級了企業(yè)管理制度體系和數(shù)百項(xiàng)流程。最終促成了以風(fēng)險為導(dǎo)向的企業(yè)管理體系的重生。

后期會專門撰文展開討論企業(yè)風(fēng)險管理工作的幾個發(fā)展階段，此處不贅述。

同樣，做為COSO組織研究風(fēng)險管理框架而言，對風(fēng)險管理體系的定位和認(rèn)識也會進(jìn)入這樣一個認(rèn)識邏輯，這是客觀的發(fā)展規(guī)律。

COSO新的框架引入了與戰(zhàn)略和績效的關(guān)系，而不再就風(fēng)險管理而風(fēng)險管理，而是從企業(yè)管理的整體觀上來看待這個體系，但I(xiàn)ntegrating的說法并不是對風(fēng)險管理體系最佳的定位。

根據(jù)中國的實(shí)踐，如果幾年后COSO組織還將更新這個框架，我將向COSO組織建議，進(jìn)一步忘掉自己（風(fēng)險管理），因?yàn)閷ζ髽I(yè)而言，企業(yè)風(fēng)險管理并不在核心價值鏈上，但是卻可以最大程度的輔助企業(yè)核心價值的創(chuàng)造和實(shí)現(xiàn)，企業(yè)風(fēng)險管理的正確定位應(yīng)該是 Embedding in Strategy and Performance, 即嵌入式融入企業(yè)的各項(xiàng)管理活動，當(dāng)風(fēng)險管理徹底忘掉自己的時候，你會發(fā)現(xiàn)風(fēng)險管理隨處可見。

這一點(diǎn)，我們在生存了上百年的跨國性企業(yè)中清晰可見。除了金融和保險等需要風(fēng)險集中管理的行業(yè)外，這些發(fā)展成熟的跨國性企業(yè)幾乎都沒有設(shè)置風(fēng)險管理和內(nèi)部控制部門，而大多數(shù)只設(shè)置了一個風(fēng)險經(jīng)理（risk manager)負(fù)責(zé)企業(yè)的保險安排。再有就是Legal、Compliance、Controller、Audit等職能履行了部分的風(fēng)險管理專項(xiàng)、監(jiān)督、改進(jìn)的職能。你能夠說這些企業(yè)沒有風(fēng)險管理和內(nèi)部控制嗎？以我這么多年的親身體會來看，顯然不能。

深入理解后你就會發(fā)現(xiàn)，今天所謂的這些風(fēng)險和控制早已落到日常管理層的決策和所有的業(yè)務(wù)流程中去了，這才是真正的管理和控制。