一、風險管理的由來
要真正說清楚“整合”這個詞的準確含義, 其實涉及到要對整個風險管理的出現、發展、體現方式進行重新的梳理,
我在前面的一些文章中也談到過中國古人的風險管理觀, 中國人的思想裡滲透出的風險理念隨處可見。
如果我們聚焦在企業風險管理這個領域,
這個過程, 是風險管理逐步在企業管理中顯性化的過程, 風險管理其實一直存在於企業管理中, 只不過通過了100多年的發展歷史, 將其從隱性逐漸顯性、從散落逐漸集中、從簡單的資產保護上升到價值保護、從一味應用應用概率計量到綜合衡量價值的過程。
二、隨著風險管理在企業管理中的繼續顯性化, 將成為現代企業管理的核心理念
在書寫ISO31000, 27年的風險管理標準化之路(點擊查閱)時, 我談到了支撐風險管理歷史發展的兩個行業和兩個領域, 即金融與保險兩個行業, 財務和安全兩個領域, 金融和保險兩個行業的本質做的就是風險買賣, 風險管理就是其主業, 所以這兩個領域的風險管理和一般企業不同, 從理論和工具方法都有區別,但是理念一致。而在財務和安全兩個領域的發展,財務領域由會計控制到內部控制發展到今天的風險管理,安全領域由純粹的資產防災防損到系統性的安全管理發展到風險管理。
而兩個行業和兩個領域中,保險和安全緊密關聯,金融和財務緊密關聯,這也體現了共同歸屬風險系的內部互通性。
今天的企業風險管理實現了從內部控制與安全管理的升級和蛻變,會引領21世紀一種新型的企業管理變革,成為現代企業管理體系的核心理念。中國的企業中,華為是真正的把這種理念落實到實際管理行動的公司。
為什麼說是核心理念,因為和各個管理、業務活動的相對獨立和各有側重不同,其融於所有管理和業務活動之中,是成體系的管理要素。其餘成體系的諸如品質管制,近年來也在重點強調以風險為導向的品質體系建設,對風險的管理是其本質。再如內部控制體系也具備成體系的管理要素性質,但是與風險管理體系不同之處在於內部控制的側重點是針對管理的確定性進行控制,而風險管理是針對管理的不確定性進行管理,幫助企業把握了不確定性,才是把握住了管理的實質,才能更好的幫助企業創造和保護價值。
三、當下風險管理者應具備的知識體系
大資料、人工智慧的發展使得企業管理面臨變革的挑戰,也為風險管理全面顯性化提供的前提。為了可以符合風險管理發展的全面顯性化,風險管理者也不能局限在原有的風險管理專業知識上,所謂今天形成的風險管理專業知識,不過是過去十幾年特殊的發展階段形成的,範圍比較狹窄,只能就事論事的談一些原則和理念。而在此之外,有多個領域的知識需要進一步擴展、整合和實踐,比如:
1、經典企業管理理論
2、企業願景、使命與核心價值觀的設立
3、戰略管理與戰略規劃(strategic planning)
4、企業卓越績效
5、目標管理理論
6、不確定性管理
7、機會(機遇)管理理論
8、公司治理
9、企業財務、內部控制、內部審計理論
10、各業務職能的經典管理理論
這些年在空餘時間,對上述領域的經典論著皆有涉獵,第10部分根據從業者的專注的領域會有所不同,很難齊備。有人說,風險管理什麼都懂,豈不是成了全才。理想情況下確實需要,但部分從業者只要方向正確,掌握一部分應付現在工作即綽綽有餘。而且知識領域的跨界整合本身就是一種最好的不可代替性,在人工智慧發展下,這種跨界人才是最容易形成核心競爭力的,如果人工智慧的到來面臨企業大規模裁員的話(其實已經開始),這種人才應該是相對安全的。我前面專門寫過關于風險管理人才的發展,有興趣的可以翻歷史文章記錄。
有人說,越研究越覺得風險管理高深,這種體會是對的,只有外行人才會覺得風險管理很簡單,很膚淺,這些人就是學會了寫一、二、三,就覺得自己按筆劃推導就會寫一萬的人。
四、今天的“整合”與以往的“整合”含義早已大變
我們開始談談大家日常接觸的風險管理理論和實踐。今天我們談到風險管理的“整合”二字,COSO最新版文件將其放到了題目上,正文也大書特書整合風險管理的重要性,而ISO31000更是從原則的第一個內容就提“整合”,然後在框架中不惜打破PDCA的迴圈硬塞進去一個“整合”要素,用以強調整合對於風險管理的重要性。
其實之前的檔和標準裡也談,只不過沒有這麼突出,因為發現了後面好多企業搞得都不對,出現很多問題和疑惑,把風險管理定位的五花八門,所以2017年COSO最新的《企業風險管理框架》和ISO2018年發佈的《風險管理指南》都重筆強調風險管理要整合開展,不能獨立進行。
口號喊了半天,只是提出了願景,沒有給出具體實施方案,連實施方向也沒有清晰界定,只能停留在口號和原則階段。為什麼?不懂啊,這些起草專家也是人,也不一定具備今天要達到風險管理願景的那些複合性知識。前一段時間,看見一個俄羅斯的專家在網上批評起草ISO31000的這幫專家不夠專業,背景不夠令人信服,他確實陳述了部分事實。但即便這樣我們也不能偏激,要客觀的看,兩面性的看,發展的看。
我們中國把這些權威檔翻譯成中文版本學習借鑒,“整合”一詞再一次考驗了我們國內專家們的英文理解能力和專業能力。
今天談到的“整合”一詞最早出現於1992年COSO委員會發佈的企業內部控制-整合框架(Internal Control -Integrated Framework),隨後COSO在2004年發佈了企業風險管理-整合框架(Enterprise Risk Management -Integrated Framework)。2009年,ISO發佈第一版風險管理指南中,整合一次也被提及數次,在2013年,COSO更新了1992年的內部控制框架,名稱還是保持了“整合框架”的提法。
所以,在2017年COSO公佈了更新版的企業風險管理新框架,將其命名為《ERM-Integrating with Strategy and Performance》,在網路上,有些專家將其翻譯為集成戰略與績效框架、整合戰略與績效框架等等。表述為集成的,是一些完全沒有背景知識的“磚家”,表述為整合的,是瞭解背景知識,但是沒有真正搞透。
昔日,整合框架的“整合”,Integrated是用動詞過去分詞形容詞化,是一個形容詞,作定語用,意為整合的框架,包括COSO後面的幾種用法皆屬此類。當時此提法是有一定的特定歷史原因的,原來的控制和風險是分散在企業管理的各個層面來管理的,並沒有一個框架來整合和集中這些控制和風險資訊,所以“整合”一詞的真實含義是為了表述將風險或者控制整合到一個框架中來,所以就有了大家看到的《內部控制-整合框架》、《企業風險管理-整合框架》。
ISO在2009年提出的整合有所不同,它是強調將風險管理整合到企業管理中去,所以提到的integrate都是作為動詞來使用的。
2017年COSO的新框架中,用的是Integrating這個詞,用到的是其動名詞格式。這次,“整合”絕非前期作為一個形容詞的意思了,更重要的是,後面跟著兩個大傢伙,戰略和績效,再將其理解為“整合戰略和績效”是不合適的。第一,如果在這裡整合作為一個形容詞,那就成了整合的戰略和績效,這顯然不是全文的主旨,全文並沒有闡述任何關於將戰略和績效整合的意思;第二,如果整合這裡作為一個動詞,那就是表達企業風險管理如何去整合戰略和績效,這個理解更不恰當,讓風險管理去整合戰略和績效,是一件極其自不量力的事。
所以,今天提到的整合,並不是前些年提的體系自身的整合,而是強調體系和現有管理體系的整合。雖然同是一詞,但含義已大為不同。
我們為什麼把這個詞進行詳細解釋,因為對這個詞的理解不僅僅是關係到一個題目問題,而是關係到整個體系的定位問題,如果定位出現了問題,後面企業實踐過程中,會出現一系列的理解偏差、誤解和疑問,造成資源浪費和重複建設。
五、企業風險管理的到底如何定義,邊界在哪裡?
那今天我們如何準確定位企業管理和風險管理的關係,如何搞清楚風險管理和其他管理活動之間的關係,如果談整合的話,到底是誰整合誰,如何整合?企業實踐這些體系前,就應該準確理解和把握這些問題,這是方向和原則。
要把這個問題說明白,我們需要將風險管理分為兩個層面來把握:一是將風險管理作為企業的一項管理活動來對待;二是將其作為一種意識和能力來對待。兩者有所區別,但又相互支持,相互體現。風險管理作為一項管理活動做得好,有助於形成良好的意識和能力,而意識和能力培育的好,又反過來作用形成一項更好的管理實踐。這樣的現象如果從學哲學的人來看,這是二元論、辯證法的表現;學物理學的人來看,這是一種對稱性的體現;學中醫的人來看,這是一種陰陽論的表徵。如果風險管理作為一項管理活動來看,從範圍上講企業管理肯定包含了風險管理,風險管理只是企業管理活動其中的一項;而如果作為一種意識和能力,它又是無所不在的,談不上企業管理和風險管理誰包含誰。
從職責上來講,作為一項企業管理活動的風險管理主要由企業的風險管理職能來具體實施,而作為意識和能力,最佳的方式就是企業一把手和最高管理層來推動。所以我們談到風險管理體系由一把手推動,風險管理職能實施,是一個包含的意識和能力、管理與實踐的綜合動作。
今天COSO提出來風險管理是一個文化、能力和實踐,我覺得這個提法很革命、很創新,很有參考價值。但是它沒有清晰將風險管理的不同表現分開,所以在定義風險管理邊界的時候出現的混亂。
ISO和COSO雖然兩個方面的要素可能基本都包含了,但沒有十分清晰的表述出來。意識和能力是隱性的,不太好講,只能提原則和期望,所以我們看到ISO和COSO的檔裡大部分的篇幅還是在談如何指導風險管理作為一項管理活動來實施。儘管這樣,僅就管理活動這個層面,企業管理和風險管理如何實現整合還是沒有說清楚,導致大家看完檔後還是不知道到底該怎麼具體操作。
六、ISO和COSO沒說明白的“整合”問題
我們來嘗試講明白風險管理和企業管理在具體實施層面的整合問題,上周我們帶著大家用PDCA解構了ISO和COSO的風險管理框架,其實,這個框架只是企業管理框架中的一個零件,從企業管理的全域角度,存在著一個更大的管理框架在支撐著企業發展和目標達成。方便起見,我們還是繼續用PDCA的形式來表達吧,我們特意繪製如下圖來說明,讓大家可以看得一目了然。
首先,企業是在確定了企業願景與使命的背景下,由最高級管理層將願景和使命轉化為了可以付出實施的戰略規劃,圖中的外圈表達的是企業管理活動的PDCA迴圈,而裡面的小迴圈表示的是風險管理工作的PDCA迴圈,如果大家看了上周給大家介紹的這個PDCA迴圈結構的文章,應該不會陌生。
ISO側重表達的是風險管理活動小循序的內容,並沒有介紹風險管理和企業管理的整合和介面的具體方式和內容,對外圈大的企業管理框架並沒有太多的介紹內容。
COSO升級了2004年的企業風險管理框架後,有了非常顯著的變化,它已經開始意識並探索了風險管理和企業管理的整合方式,從2016年的徵求意見版到2017年正式版的框架變化(歷史文章有二合一版解讀,請自行查閱),把風險管理從管理體系外拉回管理體系內,已經開始覺悟了。但是因為缺乏對宏觀的把握,剛開始理解還是在兩個體系之間不停地切換,要不然不會出現框架第三個要素用了管理要素-績效(performance)的名,卻體現了風險管理流程內容的實,來回切換之間出現了思維混亂。
ISO和COSO沒有清晰的表述出風險管理和企業管理的關係,可能是沒弄明白,也可能是沒表達明白。
風險管理活動的所有職責和工作內容必須在其被準確定義了之後,才能理順一切相關邏輯,要不然兩個體系混合在一起會含混不清,責任不明。在企業層面就會出現風險管理定位和職責不清晰,與業務部門出現相互摩擦和灰色地帶,進而出現業務部門不支援風險管理工作的現象出現。
七、準確定位和工作範圍
按照上述兩個體系的關係圖,我們來看看每一個步驟中根據管理活動的需要風險管理需要具備和履行哪些職責。
1、
管理活動:戰略目標設定
風險管理活動:風險管理目標設定,風險管理原則、政策、框架設計
伴隨著戰略目標的設定,風險管理也需要對其目標進行設定,只不過當戰略目標設定完成時,相應的,風險管理目標也已自動設置完成了。為什麼,風險管理的目標其實已經暗含在了戰略目標中,企業發展戰略的選擇其實也表明了其對待風險的基本態度。按照戰略目標的設定,梳理提煉出風險偏好資訊,按照風險偏好資訊再進一步明晰風險承受度。風險管理的目標即是在現有戰略目標下,風險偏好不發生偏離及風險承受度不被突破。
在此基礎上,明確風險管理原則,對整體風險管理政策和架構進行設計。
2、
管理活動:實施經營計畫,完成經營績效
風險管理活動:實施風險管理的基本流程
在戰略目標設定後,進入實施環節,即是實施按照戰略規劃分解的經營計畫,完成經營績效。在這個過程中,要按照最開始設定的目標、原則、框架開展風險管理工作,執行風險管理流程。
按照三道防線的理論,這部分風險管理工作包含二塊內容,對應著第一道防線和第二道防線的職能:
第一部分是保證在業務部門作為第一道防線執行了風險管理流程,使風險管理工作融於業務中;
第二部分是風險管理職能部門(風控、內控、法律、合規、品質、安全...)作為第二道防線執行了一般的或專項的風險管理活動,並參與、協助第一道防線在業務中執行了風險管理流程。
3、
管理活動:業績評估
風險管理活動:風險管理效果評估
實施一段時期後(半年或一年),業務部門需要對業績完成情況進行評估。而此時,第二道防線的風險管理職能和第三道防線的審計監督職能需要對這段時間實施風險管理流程的效果進行評估。
風險管理職能需要評估是的自身承擔的風險管理活動和協助一線業務部門的業績完成情況。
審計監督職能則是需要整體看業務部門和風險管理職能部門實施的整體風險管理活動的效率和效果。
4、
管理活動:改進完善
風險管理活動:風險管理持續改進
根據績效評估的結果,需要對執行過程中的一些不足之處進行改進完善。而對於風險管理活動,經過第三步的評估,也會對風險管理原則、政策、框架、流程的設計,以及在執行過程中三道防線各自存在的問題進行持續改進。
上面這四個步驟持續進行,反復優化,就是企業管理和風險管理、以及風險管理中的不同防線執行各自的分工和活動內容,篇幅問題,就不細講每一步的步驟和過程了,希望這樣一個覆蓋全域性的分析,可以讓大家更好的理解企業管理和風險管理的“整合”實質。
從理論和工具方法都有區別,但是理念一致。而在財務和安全兩個領域的發展,財務領域由會計控制到內部控制發展到今天的風險管理,安全領域由純粹的資產防災防損到系統性的安全管理發展到風險管理。而兩個行業和兩個領域中,保險和安全緊密關聯,金融和財務緊密關聯,這也體現了共同歸屬風險系的內部互通性。
今天的企業風險管理實現了從內部控制與安全管理的升級和蛻變,會引領21世紀一種新型的企業管理變革,成為現代企業管理體系的核心理念。中國的企業中,華為是真正的把這種理念落實到實際管理行動的公司。
為什麼說是核心理念,因為和各個管理、業務活動的相對獨立和各有側重不同,其融於所有管理和業務活動之中,是成體系的管理要素。其餘成體系的諸如品質管制,近年來也在重點強調以風險為導向的品質體系建設,對風險的管理是其本質。再如內部控制體系也具備成體系的管理要素性質,但是與風險管理體系不同之處在於內部控制的側重點是針對管理的確定性進行控制,而風險管理是針對管理的不確定性進行管理,幫助企業把握了不確定性,才是把握住了管理的實質,才能更好的幫助企業創造和保護價值。
三、當下風險管理者應具備的知識體系
大資料、人工智慧的發展使得企業管理面臨變革的挑戰,也為風險管理全面顯性化提供的前提。為了可以符合風險管理發展的全面顯性化,風險管理者也不能局限在原有的風險管理專業知識上,所謂今天形成的風險管理專業知識,不過是過去十幾年特殊的發展階段形成的,範圍比較狹窄,只能就事論事的談一些原則和理念。而在此之外,有多個領域的知識需要進一步擴展、整合和實踐,比如:
1、經典企業管理理論
2、企業願景、使命與核心價值觀的設立
3、戰略管理與戰略規劃(strategic planning)
4、企業卓越績效
5、目標管理理論
6、不確定性管理
7、機會(機遇)管理理論
8、公司治理
9、企業財務、內部控制、內部審計理論
10、各業務職能的經典管理理論
這些年在空餘時間,對上述領域的經典論著皆有涉獵,第10部分根據從業者的專注的領域會有所不同,很難齊備。有人說,風險管理什麼都懂,豈不是成了全才。理想情況下確實需要,但部分從業者只要方向正確,掌握一部分應付現在工作即綽綽有餘。而且知識領域的跨界整合本身就是一種最好的不可代替性,在人工智慧發展下,這種跨界人才是最容易形成核心競爭力的,如果人工智慧的到來面臨企業大規模裁員的話(其實已經開始),這種人才應該是相對安全的。我前面專門寫過關于風險管理人才的發展,有興趣的可以翻歷史文章記錄。
有人說,越研究越覺得風險管理高深,這種體會是對的,只有外行人才會覺得風險管理很簡單,很膚淺,這些人就是學會了寫一、二、三,就覺得自己按筆劃推導就會寫一萬的人。
四、今天的“整合”與以往的“整合”含義早已大變
我們開始談談大家日常接觸的風險管理理論和實踐。今天我們談到風險管理的“整合”二字,COSO最新版文件將其放到了題目上,正文也大書特書整合風險管理的重要性,而ISO31000更是從原則的第一個內容就提“整合”,然後在框架中不惜打破PDCA的迴圈硬塞進去一個“整合”要素,用以強調整合對於風險管理的重要性。
其實之前的檔和標準裡也談,只不過沒有這麼突出,因為發現了後面好多企業搞得都不對,出現很多問題和疑惑,把風險管理定位的五花八門,所以2017年COSO最新的《企業風險管理框架》和ISO2018年發佈的《風險管理指南》都重筆強調風險管理要整合開展,不能獨立進行。
口號喊了半天,只是提出了願景,沒有給出具體實施方案,連實施方向也沒有清晰界定,只能停留在口號和原則階段。為什麼?不懂啊,這些起草專家也是人,也不一定具備今天要達到風險管理願景的那些複合性知識。前一段時間,看見一個俄羅斯的專家在網上批評起草ISO31000的這幫專家不夠專業,背景不夠令人信服,他確實陳述了部分事實。但即便這樣我們也不能偏激,要客觀的看,兩面性的看,發展的看。
我們中國把這些權威檔翻譯成中文版本學習借鑒,“整合”一詞再一次考驗了我們國內專家們的英文理解能力和專業能力。
今天談到的“整合”一詞最早出現於1992年COSO委員會發佈的企業內部控制-整合框架(Internal Control -Integrated Framework),隨後COSO在2004年發佈了企業風險管理-整合框架(Enterprise Risk Management -Integrated Framework)。2009年,ISO發佈第一版風險管理指南中,整合一次也被提及數次,在2013年,COSO更新了1992年的內部控制框架,名稱還是保持了“整合框架”的提法。
所以,在2017年COSO公佈了更新版的企業風險管理新框架,將其命名為《ERM-Integrating with Strategy and Performance》,在網路上,有些專家將其翻譯為集成戰略與績效框架、整合戰略與績效框架等等。表述為集成的,是一些完全沒有背景知識的“磚家”,表述為整合的,是瞭解背景知識,但是沒有真正搞透。
昔日,整合框架的“整合”,Integrated是用動詞過去分詞形容詞化,是一個形容詞,作定語用,意為整合的框架,包括COSO後面的幾種用法皆屬此類。當時此提法是有一定的特定歷史原因的,原來的控制和風險是分散在企業管理的各個層面來管理的,並沒有一個框架來整合和集中這些控制和風險資訊,所以“整合”一詞的真實含義是為了表述將風險或者控制整合到一個框架中來,所以就有了大家看到的《內部控制-整合框架》、《企業風險管理-整合框架》。
ISO在2009年提出的整合有所不同,它是強調將風險管理整合到企業管理中去,所以提到的integrate都是作為動詞來使用的。
2017年COSO的新框架中,用的是Integrating這個詞,用到的是其動名詞格式。這次,“整合”絕非前期作為一個形容詞的意思了,更重要的是,後面跟著兩個大傢伙,戰略和績效,再將其理解為“整合戰略和績效”是不合適的。第一,如果在這裡整合作為一個形容詞,那就成了整合的戰略和績效,這顯然不是全文的主旨,全文並沒有闡述任何關於將戰略和績效整合的意思;第二,如果整合這裡作為一個動詞,那就是表達企業風險管理如何去整合戰略和績效,這個理解更不恰當,讓風險管理去整合戰略和績效,是一件極其自不量力的事。
所以,今天提到的整合,並不是前些年提的體系自身的整合,而是強調體系和現有管理體系的整合。雖然同是一詞,但含義已大為不同。
我們為什麼把這個詞進行詳細解釋,因為對這個詞的理解不僅僅是關係到一個題目問題,而是關係到整個體系的定位問題,如果定位出現了問題,後面企業實踐過程中,會出現一系列的理解偏差、誤解和疑問,造成資源浪費和重複建設。
五、企業風險管理的到底如何定義,邊界在哪裡?
那今天我們如何準確定位企業管理和風險管理的關係,如何搞清楚風險管理和其他管理活動之間的關係,如果談整合的話,到底是誰整合誰,如何整合?企業實踐這些體系前,就應該準確理解和把握這些問題,這是方向和原則。
要把這個問題說明白,我們需要將風險管理分為兩個層面來把握:一是將風險管理作為企業的一項管理活動來對待;二是將其作為一種意識和能力來對待。兩者有所區別,但又相互支持,相互體現。風險管理作為一項管理活動做得好,有助於形成良好的意識和能力,而意識和能力培育的好,又反過來作用形成一項更好的管理實踐。這樣的現象如果從學哲學的人來看,這是二元論、辯證法的表現;學物理學的人來看,這是一種對稱性的體現;學中醫的人來看,這是一種陰陽論的表徵。如果風險管理作為一項管理活動來看,從範圍上講企業管理肯定包含了風險管理,風險管理只是企業管理活動其中的一項;而如果作為一種意識和能力,它又是無所不在的,談不上企業管理和風險管理誰包含誰。
從職責上來講,作為一項企業管理活動的風險管理主要由企業的風險管理職能來具體實施,而作為意識和能力,最佳的方式就是企業一把手和最高管理層來推動。所以我們談到風險管理體系由一把手推動,風險管理職能實施,是一個包含的意識和能力、管理與實踐的綜合動作。
今天COSO提出來風險管理是一個文化、能力和實踐,我覺得這個提法很革命、很創新,很有參考價值。但是它沒有清晰將風險管理的不同表現分開,所以在定義風險管理邊界的時候出現的混亂。
ISO和COSO雖然兩個方面的要素可能基本都包含了,但沒有十分清晰的表述出來。意識和能力是隱性的,不太好講,只能提原則和期望,所以我們看到ISO和COSO的檔裡大部分的篇幅還是在談如何指導風險管理作為一項管理活動來實施。儘管這樣,僅就管理活動這個層面,企業管理和風險管理如何實現整合還是沒有說清楚,導致大家看完檔後還是不知道到底該怎麼具體操作。
六、ISO和COSO沒說明白的“整合”問題
我們來嘗試講明白風險管理和企業管理在具體實施層面的整合問題,上周我們帶著大家用PDCA解構了ISO和COSO的風險管理框架,其實,這個框架只是企業管理框架中的一個零件,從企業管理的全域角度,存在著一個更大的管理框架在支撐著企業發展和目標達成。方便起見,我們還是繼續用PDCA的形式來表達吧,我們特意繪製如下圖來說明,讓大家可以看得一目了然。
首先,企業是在確定了企業願景與使命的背景下,由最高級管理層將願景和使命轉化為了可以付出實施的戰略規劃,圖中的外圈表達的是企業管理活動的PDCA迴圈,而裡面的小迴圈表示的是風險管理工作的PDCA迴圈,如果大家看了上周給大家介紹的這個PDCA迴圈結構的文章,應該不會陌生。
ISO側重表達的是風險管理活動小循序的內容,並沒有介紹風險管理和企業管理的整合和介面的具體方式和內容,對外圈大的企業管理框架並沒有太多的介紹內容。
COSO升級了2004年的企業風險管理框架後,有了非常顯著的變化,它已經開始意識並探索了風險管理和企業管理的整合方式,從2016年的徵求意見版到2017年正式版的框架變化(歷史文章有二合一版解讀,請自行查閱),把風險管理從管理體系外拉回管理體系內,已經開始覺悟了。但是因為缺乏對宏觀的把握,剛開始理解還是在兩個體系之間不停地切換,要不然不會出現框架第三個要素用了管理要素-績效(performance)的名,卻體現了風險管理流程內容的實,來回切換之間出現了思維混亂。
ISO和COSO沒有清晰的表述出風險管理和企業管理的關係,可能是沒弄明白,也可能是沒表達明白。
風險管理活動的所有職責和工作內容必須在其被準確定義了之後,才能理順一切相關邏輯,要不然兩個體系混合在一起會含混不清,責任不明。在企業層面就會出現風險管理定位和職責不清晰,與業務部門出現相互摩擦和灰色地帶,進而出現業務部門不支援風險管理工作的現象出現。
七、準確定位和工作範圍
按照上述兩個體系的關係圖,我們來看看每一個步驟中根據管理活動的需要風險管理需要具備和履行哪些職責。
1、
管理活動:戰略目標設定
風險管理活動:風險管理目標設定,風險管理原則、政策、框架設計
伴隨著戰略目標的設定,風險管理也需要對其目標進行設定,只不過當戰略目標設定完成時,相應的,風險管理目標也已自動設置完成了。為什麼,風險管理的目標其實已經暗含在了戰略目標中,企業發展戰略的選擇其實也表明了其對待風險的基本態度。按照戰略目標的設定,梳理提煉出風險偏好資訊,按照風險偏好資訊再進一步明晰風險承受度。風險管理的目標即是在現有戰略目標下,風險偏好不發生偏離及風險承受度不被突破。
在此基礎上,明確風險管理原則,對整體風險管理政策和架構進行設計。
2、
管理活動:實施經營計畫,完成經營績效
風險管理活動:實施風險管理的基本流程
在戰略目標設定後,進入實施環節,即是實施按照戰略規劃分解的經營計畫,完成經營績效。在這個過程中,要按照最開始設定的目標、原則、框架開展風險管理工作,執行風險管理流程。
按照三道防線的理論,這部分風險管理工作包含二塊內容,對應著第一道防線和第二道防線的職能:
第一部分是保證在業務部門作為第一道防線執行了風險管理流程,使風險管理工作融於業務中;
第二部分是風險管理職能部門(風控、內控、法律、合規、品質、安全...)作為第二道防線執行了一般的或專項的風險管理活動,並參與、協助第一道防線在業務中執行了風險管理流程。
3、
管理活動:業績評估
風險管理活動:風險管理效果評估
實施一段時期後(半年或一年),業務部門需要對業績完成情況進行評估。而此時,第二道防線的風險管理職能和第三道防線的審計監督職能需要對這段時間實施風險管理流程的效果進行評估。
風險管理職能需要評估是的自身承擔的風險管理活動和協助一線業務部門的業績完成情況。
審計監督職能則是需要整體看業務部門和風險管理職能部門實施的整體風險管理活動的效率和效果。
4、
管理活動:改進完善
風險管理活動:風險管理持續改進
根據績效評估的結果,需要對執行過程中的一些不足之處進行改進完善。而對於風險管理活動,經過第三步的評估,也會對風險管理原則、政策、框架、流程的設計,以及在執行過程中三道防線各自存在的問題進行持續改進。
上面這四個步驟持續進行,反復優化,就是企業管理和風險管理、以及風險管理中的不同防線執行各自的分工和活動內容,篇幅問題,就不細講每一步的步驟和過程了,希望這樣一個覆蓋全域性的分析,可以讓大家更好的理解企業管理和風險管理的“整合”實質。