孫友文：

中國人有句古話，名不正則言不順。標題的理解和翻譯不僅體現(xiàn)的是對一句話的描述，更是對整個風險管理工作的定位，處理企業(yè)戰(zhàn)略和企業(yè)績效與風險管理工作的關(guān)系的關(guān)鍵問題。如果理解或者翻譯不好，定位出現(xiàn)問題，那整個工作在企業(yè)的方向就會扭曲，執(zhí)行過程中也會變形。

最近，看見有其它不少專家也在分析解讀COSO 2017版企業(yè)風險管理框架，特別是對于框架的標題，各種專家給出了不同的理解和中文翻譯，比如有人翻譯成：

• 企業(yè)風險管理 - 整合戰(zhàn)略與績效

• 企業(yè)風險管理 - 與戰(zhàn)略和績效的整合

• 企業(yè)風險管理 - 集成戰(zhàn)略與績效

的確，如果僅僅從字面上來講，這么來直譯也可以理解，但是從翻譯來講，最佳的翻譯方式絕對不是直譯，而且有時直譯更是詞不達意，造成誤解和誤讀。

我們先來看一看當時2004年ERM框架的標題，2004年第一版風險管理框架的英文名稱為：Enterprise Risk Management - Integrated Framework ，當時東北財經(jīng)大學出版社2005年引入中文版時的翻譯為：企業(yè)風險管理-整合框架，那這個Integrated Framework （整合框架）怎么來的呢？

2004年這個Integrated Framework是延續(xù)1992年COSO發(fā)布的 Internal Control - Integrated Framework 而來的，此版本2008年被東北財經(jīng)大學出版社引入并翻譯。兩者都被翻譯成了“整合框架”，作為一項新的自成體系的企業(yè)管理工具和職能，在當時的情境下，這樣理解和翻譯無可厚非。

時至今日，新版的ERM-ISP風險管理框架的發(fā)布，這個體系的定位已經(jīng)不在是一個孤立的體系了，也不能再定義為一個“整合框架”了。“Integrating with Strategy and Performance”, 雖然還是Integrate那個詞，但是因為涉及到了和企業(yè)戰(zhàn)略和績效的關(guān)系，它的含義完全變了，所以有些“專家”把它翻譯為“整合戰(zhàn)略和績效”，這是一種延續(xù)歷史的翻譯方式，在今天看來，是一種牽強附會的翻譯和理解。

COSO在報告的前面就介紹說，風險管理是一個文化、能力和實踐，并不是一個職能或者部門，那這樣一個文化、能力和實踐怎么可能去整合戰(zhàn)略和績效呢？又怎么可能被戰(zhàn)略和績效來整合呢？

2016年，COSO發(fā)布了風險管理框架征求意見稿，當時的表述是Enterprise Risk Management - Aligning with Strategy and Performance，我在第一版的解讀里把它意譯為，企業(yè)風險管理-服務于戰(zhàn)略和績效的實現(xiàn)。 當然，譯為企業(yè)風險管理-與戰(zhàn)略和績效協(xié)同一致，也可以。

從征求意見版到正式版，只把Aligning改為了Integrating，前期介紹過這兩者的含義區(qū)別，定位雖然有了一定的改進，但還不是對最佳狀態(tài)的描述。

企業(yè)風險管理和企業(yè)戰(zhàn)略與績效到底是什么關(guān)系，與企業(yè)管理什么關(guān)系，其實我們在實踐界早有結(jié)論，中國企業(yè)在風險管理領(lǐng)域走過的路，積累的經(jīng)驗，全球獨一無二。COSO只是幫我們總結(jié)了一下，但就我個人理解，還不算完美。

一、風險意識形成階段

2006年國務院國資委發(fā)布了《中央企業(yè)全面風險管理指引》開啟了中國企業(yè)的風險管理實踐的大門，這是一份非常超前且技術(shù)含量非常高的文件。在國際上，有些專家聽說中國政府早在2006年就發(fā)布了這樣的文件都感到贊嘆。十多年前中國的企業(yè)界，對風險的認識是非常初級的，對風險管理這套系統(tǒng)理論的認識更是非常貧瘠的，只有少數(shù)已赴境外上市的企業(yè)系統(tǒng)的接受過內(nèi)部控制體系的建設(shè)過程，許多企業(yè)還不知道內(nèi)部控制是個什么東西，更談不上風險管理了。

在這樣的一個背景下，在央企范圍內(nèi)推行全面風險管理體系的建設(shè)可謂困難重重，從理解上、意識上、管理支撐上、最佳實踐上都存在著巨大的鴻溝需要填補，我本人帶隊親身參與了幾十家央企的體系建設(shè)工作，所以一路建設(shè)下來，上百家央企真正能夠一直堅持運行這套體系的企業(yè)屈指可數(shù)。當時的中國企業(yè)，它的土壤還沒有具備和達到讓這一套體系生根發(fā)芽的條件。

當時的做法就是把風險管理工作作為一個獨立的管理體系來建設(shè)及運行，就像2004年COSO對風險管理工作的定位一樣-Integrated Framework。建體系、建流程、建手冊。并沒有真正融入企業(yè)的核心價值鏈，最后很多企業(yè)搞成了與企業(yè)管理的“兩張皮”，變成了一個臨時任務完成后就束之高閣了。另外，這也和中國企業(yè)的發(fā)展階段和成熟發(fā)達國家的階段差異有關(guān)系，好比拿一個德國豪車的輪子套在中國本土自主品牌的汽車上，根本就不是一個發(fā)展階段，需要改造和本土化，也需要自身通過學習借鑒、自力更生跨過初級的發(fā)展階段?，F(xiàn)在來看，這是一個中國企業(yè)特殊歷史發(fā)展階段下的必然。

二、風險管理的反思與整合階段

經(jīng)過幾年的體系建設(shè)摸索，中國企業(yè)界從帶著對風險管理的一臉茫然與好奇，開始接觸了這套體系。但由于上述談到的這些問題，這套體系最終沒有被持續(xù)運行下去，但是卻對中國企業(yè)界產(chǎn)生了一個不可替代的價值和意義。那就是風險管理意識的形成以及企業(yè)風險管理語言統(tǒng)一。掌握了這些基本技能，中國企業(yè)可以推開了這扇大門開始自由探索了。

隨著2008年中國財政部發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，國務院國資委也在2012年發(fā)文要求央企實施這套內(nèi)控體系，由于內(nèi)部控制體系前幾十年在國際上積累了很多成熟的經(jīng)驗，而企業(yè)風險管理在國際上沒有形成可以借鑒的經(jīng)驗。再之，內(nèi)部控制體系強調(diào)和企業(yè)制度、流程相結(jié)合，配合實質(zhì)性測試和穿行測試及缺陷整改，讓企業(yè)看得見、摸得著，讓廣大的風險管理、內(nèi)部控制、內(nèi)部審計等從業(yè)人員好像感覺比前期推行風險管理體系時更容易把握一些。

其實工作層面上的人不太了解，風險管理這套體系本來就是為領(lǐng)導層和決策者服務的，工作人員理解上存在誤差有一定必然性。無論如何，企業(yè)內(nèi)部控制體系的推行，從一定層面上也推動了風險管理體系的自我反思和工作方法論的調(diào)整。探討了如何使風險管理工作更好地和企業(yè)管理結(jié)合，在既定的企業(yè)戰(zhàn)略下，如何設(shè)置風險偏好和風險承受度，促進公司整體目標的達成。整體來說，這是一個風險管理“脫虛向?qū)崱?/span>的探索發(fā)展階段。

這個階段，可以理解成COSO今天所提到的Integrating with Strategy and Performance的階段，就是如何使風險管理工作和其它企業(yè)管理活動整合的階段。

三、風險管理工作的融入階段

從COSO ERM的框架圖中可以看出，從征求意見稿的環(huán)繞企業(yè)核心價值鏈到貫穿融入其中，COSO其實已經(jīng)意識到了，這不是一個孤立的體系，不能獨立于管理體系來談風險管理體系。但是框架圖雖然意思表達了，但是標題還是用了一個Integrating，能充分表達嗎？不能。那應該怎么表達才是最佳的描述風險管理和企業(yè)戰(zhàn)略及績效的關(guān)系？

其實回答這個問題，正是我們中國企業(yè)從接觸風險管理到理解、改造、利用風險管理工作的過程。這樣的一個過程，其實是企業(yè)對于一個新視角管理體系的理解過程，和人類接受一個新事物的思考過程一致。首先，為了形式而存在，而后形式和內(nèi)容并重，最終不再關(guān)心形式，而內(nèi)容才是實質(zhì)。

那么這次新版ERM框架有沒有進步？有。比2004年第一版已經(jīng)做了翻天覆地的變化，糾正了很多誤解和灰色地帶。

還有沒有提升的空間？當然有，而且這種引領(lǐng)方向的實踐在中國已經(jīng)悄悄的進行了。

風險管理工作的層次定位

經(jīng)過多年的摸索與實踐，最開始對于風險管理工作在企業(yè)的落腳點是沒有明確界定的，我們協(xié)助企業(yè)進行風險管理工作體系的搭建，從戰(zhàn)略到運營，“橫到邊、縱到底”、“風險無時不在、風險無處不在”等說法，是最開始進入泛風險時代的突出表現(xiàn)。

但是慢慢摸索發(fā)現(xiàn)，很多事情雖然都可以歸結(jié)到風險上來，但是漫無邊際的風險管理會導致最終定位不清，從而導致目標不明確、邊界不清晰，容易“跑偏”，企業(yè)實施過程中也帶來非常多的困惑和疑問。

縱觀整個企業(yè)各項管理活動后，總結(jié)了這套體系在企業(yè)管理中的作用，我們認為風險管理工作應該在企業(yè)的戰(zhàn)略管理之下，在運營管理之上，作為一個“中臺”的作用，連接戰(zhàn)略的實施和運營的支持，使其上下協(xié)調(diào)一致，最終達成目標。

這是針對風險管理作為一個體系的定位，當然，作為一種意識和能力，也可以用在決策者的戰(zhàn)略制定上，同樣也可以指導運營層面的控制設(shè)計。

從為企業(yè)提供的服務機構(gòu)來說，也可以看得出區(qū)別。比如戰(zhàn)略管理一般都是戰(zhàn)略管理咨詢公司，如McKinsey、BCG、Bain；風險管理近些年來興起后，主要是Big4、風險咨詢公司和一些管理咨詢公司；運營管理則主要側(cè)重為公司的業(yè)務線和流程方面提供服務的公司，如Accenture、IBM等。

風險管理工作的內(nèi)容定位

這里通過一個企業(yè)實例向大家進行介紹：

我曾經(jīng)為一家央企提供過多年的風險顧問服務，由于企業(yè)一把手的信任，每年都會給這個企業(yè)按照計劃逐年深入和擴展工作內(nèi)容。

                 第一年

     針對主業(yè)的核心風險進行細化形成風險管理子體系。同時和客戶在深入探討和嘗試風險管理和內(nèi)部控制的融合、風險管理和ISO9000，ISO14000，ISO18000的融合、風險管理和各項企業(yè)管理活動的融合。

                 第四年

     嘗試如何從集成（integrated）的內(nèi)控體系和風險管理體系中抽離出來控制活動和要素直接打散到企業(yè)的各管理活動中去。最后，兩個體系的精華被各個業(yè)務活動吸收，重新升級了企業(yè)管理制度體系和數(shù)百項流程。最終促成了以風險為導向的企業(yè)管理體系的重生。

后期會專門撰文展開討論企業(yè)風險管理工作的幾個發(fā)展階段，此處不贅述。

同樣，做為COSO組織研究風險管理框架而言，對風險管理體系的定位和認識也會進入這樣一個認識邏輯，這是客觀的發(fā)展規(guī)律。

COSO新的框架引入了與戰(zhàn)略和績效的關(guān)系，而不再就風險管理而風險管理，而是從企業(yè)管理的整體觀上來看待這個體系，但Integrating的說法并不是對風險管理體系最佳的定位。

根據(jù)中國的實踐，如果幾年后COSO組織還將更新這個框架，我將向COSO組織建議，進一步忘掉自己（風險管理），因為對企業(yè)而言，企業(yè)風險管理并不在核心價值鏈上，但是卻可以最大程度的輔助企業(yè)核心價值的創(chuàng)造和實現(xiàn)，企業(yè)風險管理的正確定位應該是 Embedding in Strategy and Performance, 即嵌入式融入企業(yè)的各項管理活動，當風險管理徹底忘掉自己的時候，你會發(fā)現(xiàn)風險管理隨處可見。

這一點，我們在生存了上百年的跨國性企業(yè)中清晰可見。除了金融和保險等需要風險集中管理的行業(yè)外，這些發(fā)展成熟的跨國性企業(yè)幾乎都沒有設(shè)置風險管理和內(nèi)部控制部門，而大多數(shù)只設(shè)置了一個風險經(jīng)理（risk manager)負責企業(yè)的保險安排。再有就是Legal、Compliance、Controller、Audit等職能履行了部分的風險管理專項、監(jiān)督、改進的職能。你能夠說這些企業(yè)沒有風險管理和內(nèi)部控制嗎？以我這么多年的親身體會來看，顯然不能。

深入理解后你就會發(fā)現(xiàn)，今天所謂的這些風險和控制早已落到日常管理層的決策和所有的業(yè)務流程中去了，這才是真正的管理和控制。