我們用了幾個月的時間, 按照每週一篇解讀文章的速度, 給大家把COSO委員會2017年9月最新發佈的正式版《企業風險管理框架》和ISO國際標準組織2018年2月正式發佈的《風險管理指南》進行了系統、全面的解讀。 其中也夾雜著過去這十幾年來, 協助中國企業實施企業風險管理、內部控制、內部審計工作的理解和體會。 希望可以讓中國的從業者學習到最新、最前沿的風險管理理論發展成果, 來指導未來的相關工作的實踐。
在這個過程中, 進行了大量的原文翻譯, 結合著這些年的經驗, 也借此機會好好審視了一下這些框架背後的設計原理。
從兩個國際影響力最大的風險管理檔來看, 雖然COSO主要側重企業, 但是其最新版一直在宣稱適用於所有機構和組織;而ISO的風險管理指南, 作為最開始就側重設定一般性的原則和框架, 廣泛適用性是其一直以來堅持的原則, 但由於盈利性法人機構這個群體是全球價值創造的主力部隊, 所以在企業層面實踐ISO風險管理標準而獲得的經驗也是最豐富的。
最新版的兩個文件中, 提出了很多相似的論斷和觀點, 最突出的幾個共性方面包括:
1、強調對主體價值的創造和保護;
2、重視對支撐主體戰略目標的達成;
3、突出對支持決策、與其它業務的整合;
4、加強領導層責任、企業風險文化的培育等方面。
其中, 兩個檔的框架可謂是集大成者, 將其整個檔的設計思路和內容進行了高度的總結和提煉, 我們在溫習下兩個檔的框架圖。
COSO ERM 2017 企業風險管理框架
ISO310002018 風險管理指南總體架構
一、什麼是PDCA
PDCA最早應用於品質管制領域, 是美國品質管制專家休哈特博士首先提出的,
雖然我們覺得這個過程很簡單, 現在看來也很好理解, 就像我們上一篇文章解釋“風險管理流程”一樣, 識別、分析、評價、改進, 很簡單, 它不僅是一個風險管理流程, 也是實施任何風險評估工作的普適性步驟, 普適性的東西並不屬於哪一個體系, 只是我們在哪裡應用的多、應用的廣, 被大家熟知而已。
PDCA也一樣, 這其實也是一種普遍性思維的外現, 不僅是品質管制和企業管理, 難道我們每個人在系統分析問題和解決問題時不是按照這個步驟嗎?但最開始在品質領域被廣泛推廣和使用,
其實叫什麼名字無所謂, 關鍵是這個步驟符合人類的思考規律和邏輯, 它就可以成立。 所以我們還是叫它PDCA。
像我們比較熟悉的ISO9001品質體系標準, 採用的就是典型的PDCA模型。 你還可以發現ISO31000今天最新框架中的核心領導力與承諾, 就是從ISO9001的PDCA模型中借鑒過來的。
二、用PDCA解構兩個檔要素
瞭解了PDCA之後,其實我們可以看出,ISO31000和COSO ERM的框架其實也是一種PDCA模式在風險管理領域的表現形式,或者說ISO31000和COSO ERM框架設計時也利用了PDCA思維。我們可以按照PDCA的格式,解構一下ISO31000和COSO風險管理的框架,如下圖。
ISO31000和COSO ERM的框架要素基本上都可以找到對應的點。對應完了我們會發現,還有很多剩餘的要素沒有在PDCA的解構圖上體現,我們在下一部分內容再解釋。
PDCA和ISO31000、COSO ERM風險管理框架要素對照
我們一直強調風險管理的流程是從識別、分析、評價、應對是一個迴圈,所以有了再識別、再評價、持續評估的概念。今天ISO31000最新版中對於風險管理流程的表述,也是用了反復優化這樣的表述。我在翻譯的時候將“iterative”這個詞,沒有採用直譯的“反覆運算”,因為反覆運算在IT領域用的比較多,怕大家不好理解,所以採用的意譯“反復優化”、“持續優化”來表達的。在PDCA中,也是強調這種持續優化的要求,而且有時是幾個PDCA連在一起共同解決應對一個問題。
三、關於框架和流程
大家可以看到ISO31000的整體架構中,有一個原則、一個框架加一個流程,而COSO的風險管控框架中只有一個獨立的框架,為什麼?難道COSO比ISO的內容少嗎?
首先,兩個檔採取的整體格式不太一樣,ISO31000採取的是原則+框架+流程,而COSO ERM採取的是框架+要素+原則。但是ISO31000的8項宏觀原則和COSO ERM 20項具體原則還不是一個層面的東西。COSO雖然沒有單畫一個風險管理基本流程,但是它的第3個績效要素中,第10-14項原則描述的和ISO的流程步驟是一樣的,也對風險管理基本流程進行了詳細描述。
所以對於風險管理工作來說,框架和流程可以看作是最標準的配置,ISO31000將其明確列示了,而COSO ERM將流程嵌在了框架中。同樣,我們在2006年《中央企業全面風險管理指引》的設計中,也採取了框架+流程的描述方式。
《中央企業全面風險管理指引》風險管理框架+流程
我們只是看一下這個結構,對框架的設計內容,我不想過多解釋,畢竟已經是十幾年前的設計成果了,那時候對很多風險管理的概念還在摸索過程中。
但是,我一直在思考框架+流程的模式到底是不是一種最優的表達方式,所以在2011年接受河北省國資委邀請,設計河北省企業全面風險管理框架時,我嘗試了另外一種方式,將風險管理框架和流程整合到了一個框架中來,因為這樣更能體現一個整體及相互之間的關係。起草工作歷時兩年,檔最終在2013年作為《河北省監管企業全面風險管理實施辦法》下發執行。今天,這個體系看起來雖然有很多需要補充完善的地方,但和最新的風險管理框架比起來,仍然有一定的借鑒意義。
河北省國有企業風險管理框架
我們今天翻出來這麼多框架圖,只是想讓大家不要被框架的外表所迷惑,誤認為這之間有巨大的差異。我們就是想通過這些框架,帶大家透過現象看本質,能夠掌握和瞭解那些真正的風險管理要素和他們之間的邏輯關係。
本周的內容也為下周的分享打下了個基礎和鋪墊,通過對ISO31000和COSO ERM框架的解構,下周我們來分析一下ISO和COSO都沒有說清楚的事情,也是一直困擾企業實踐的問題,到底企業管理和企業風險管理是一個什麼樣的關係?每個文件都在強調整合,到底風險管理如何整合到企業管理中去?
二、用PDCA解構兩個檔要素
瞭解了PDCA之後,其實我們可以看出,ISO31000和COSO ERM的框架其實也是一種PDCA模式在風險管理領域的表現形式,或者說ISO31000和COSO ERM框架設計時也利用了PDCA思維。我們可以按照PDCA的格式,解構一下ISO31000和COSO風險管理的框架,如下圖。
ISO31000和COSO ERM的框架要素基本上都可以找到對應的點。對應完了我們會發現,還有很多剩餘的要素沒有在PDCA的解構圖上體現,我們在下一部分內容再解釋。
PDCA和ISO31000、COSO ERM風險管理框架要素對照
我們一直強調風險管理的流程是從識別、分析、評價、應對是一個迴圈,所以有了再識別、再評價、持續評估的概念。今天ISO31000最新版中對於風險管理流程的表述,也是用了反復優化這樣的表述。我在翻譯的時候將“iterative”這個詞,沒有採用直譯的“反覆運算”,因為反覆運算在IT領域用的比較多,怕大家不好理解,所以採用的意譯“反復優化”、“持續優化”來表達的。在PDCA中,也是強調這種持續優化的要求,而且有時是幾個PDCA連在一起共同解決應對一個問題。
三、關於框架和流程
大家可以看到ISO31000的整體架構中,有一個原則、一個框架加一個流程,而COSO的風險管控框架中只有一個獨立的框架,為什麼?難道COSO比ISO的內容少嗎?
首先,兩個檔採取的整體格式不太一樣,ISO31000採取的是原則+框架+流程,而COSO ERM採取的是框架+要素+原則。但是ISO31000的8項宏觀原則和COSO ERM 20項具體原則還不是一個層面的東西。COSO雖然沒有單畫一個風險管理基本流程,但是它的第3個績效要素中,第10-14項原則描述的和ISO的流程步驟是一樣的,也對風險管理基本流程進行了詳細描述。
所以對於風險管理工作來說,框架和流程可以看作是最標準的配置,ISO31000將其明確列示了,而COSO ERM將流程嵌在了框架中。同樣,我們在2006年《中央企業全面風險管理指引》的設計中,也採取了框架+流程的描述方式。
《中央企業全面風險管理指引》風險管理框架+流程
我們只是看一下這個結構,對框架的設計內容,我不想過多解釋,畢竟已經是十幾年前的設計成果了,那時候對很多風險管理的概念還在摸索過程中。
但是,我一直在思考框架+流程的模式到底是不是一種最優的表達方式,所以在2011年接受河北省國資委邀請,設計河北省企業全面風險管理框架時,我嘗試了另外一種方式,將風險管理框架和流程整合到了一個框架中來,因為這樣更能體現一個整體及相互之間的關係。起草工作歷時兩年,檔最終在2013年作為《河北省監管企業全面風險管理實施辦法》下發執行。今天,這個體系看起來雖然有很多需要補充完善的地方,但和最新的風險管理框架比起來,仍然有一定的借鑒意義。
河北省國有企業風險管理框架
我們今天翻出來這麼多框架圖,只是想讓大家不要被框架的外表所迷惑,誤認為這之間有巨大的差異。我們就是想通過這些框架,帶大家透過現象看本質,能夠掌握和瞭解那些真正的風險管理要素和他們之間的邏輯關係。
本周的內容也為下周的分享打下了個基礎和鋪墊,通過對ISO31000和COSO ERM框架的解構,下周我們來分析一下ISO和COSO都沒有說清楚的事情,也是一直困擾企業實踐的問題,到底企業管理和企業風險管理是一個什麼樣的關係?每個文件都在強調整合,到底風險管理如何整合到企業管理中去?