中国企业如何实施COSO新版风险管理框架的思考与建议
自从去年9月份COSO公布新版企业风险管理框架以来,我们看到不少国家的专家和学者都在以不同的形式对其进行研究和交流,以便可以下一步更好的指导企业进行实践。
我们作为中国第一份拿到原版文件的人,也在第一时间跟大家用了十几篇文章的篇幅系统的对新版文件中的精要进行了解读,得到了国内各相关人士和企业界的支持和认可。目前中国财政部正在组织对COSO原版文件的中文版进行编译,如果不出意外的话,今年中文版将会和大家见面。
在此期间,针对新版的文件精神,我们也利用了不同的交流形式和专家及企业界在不停的交流和碰撞,以期可以尽快形成一定的实践经验。作者也有幸受邀参加了几个中国大型企业集团对新版文件的研究课题和实施策划。在对COSO新版企业风险管理框架的学习和借鉴方面,应该说中国企业和全球一线国家是同步的,甚至可以说是领先的。
对于中国企业如此重视国际经验和理论的借鉴,应该感到欣慰,对管理理论的重视应该是企业发展到一定阶段所必须思考和重视的。我们研究近代美国的崛起发现,美国有三个法宝驱动了美国的崛起,分别是消费、创新和管理,20世纪萌芽并成熟的现代企业管理理论对巨无霸企业的出现和保持美国经济强势起到了至关重要的作用。所以,如果我们把企业管理比作企业的“软实力”,未来一段时间,不只是中国企业不断形成“硬实力”的阶段,也是企业持续发展补齐“软实力”的阶段,而成熟国家发展了百年的管理理论给我们提供了很好的借鉴,我们应该好好理解和借鉴。
一、新版风险管理框架实施准备
最近有很多企业界同仁咨询,如果企业想要贯彻和实施新版企业风险管理框架,应该如何着手、如何规划、如何实施、应该包括哪些内容?面对大家的一系列问题,说实话,在目前没有形成大量商业实践的基础上,对有些问题是没有标准答案的,侧重经验管理理论的管理大师德鲁克说:管理是一项实践。本次COSO文件将风险管理也定义为是一项实践。所以,实践出真知,本周结合新版文件和中国企业实施风险管理的历史经验,和大家简单谈一谈个人的一些理解和建议,希望给大家一些启发,用来更好的指导企业的实践活动。
首先,因为大家对新框架和企业风险管理工作的理解深浅不一,经验也多少不同。如果希望可以更好的理解这次实践变革,需要对背景信息多一些了解,可以先浏览下本公众号(风险管理世界)下方的内容分类精选文章,对COSO的文件解读和风险实践内容打打基础,让大家的认知可以尽量先统一到一个水平线上。
二、企业风险管理实现由“形”向“神”的转变
上周我们通过分享回顾了中航油事件,如果说中航油事件是一个里程碑式的事件,那么从2006年国务院国资委发布《中央企业全面风险管理指引》,中国企业率先从中央企业层面启动了风险管理体系建设工作。十几年过去了,如果我们把这个阶段叫做风险管理1.0时代的话,那这个时代的特点是什么呢?
2006年发布《指引》时,可以说绝大多数中国企业还不知道全面风险管理是个什么东西,如何在企业实施和落地,没有人知道。就像今天我们谈新版的风险管理框架要在企业如何实施一样。对于一项摸着石头过河的工作,在这个过程中,我们带着预先设计好的一套理论框架,其实是在和企业一起学习,一起实践。现在回过头来看,我们可以总结这个过程中的得失,就像我们看股票的历史K线图一样,总结过去是何等容易,但在当时的情境下,每向前一步踏入的都是无人之地。
在当时那个阶段,无数大型中央企业开始系统的接触到了“全面风险管理”这个全新的时髦词汇,对管理层来说最大的作用是提升了对风险的认知,通过一种形式可以让整个管理层在一个语言体系中阐述和思考风险的相关话题。按照我们当时对于风险管理体系的定义,落脚在企业要形成一套组织体系、流程体系和报告体系。体现在成果上需要有风险清单、风险管理制度、风险管理实施细则、风险管理手册等等。不少企业还成立了专职的风险管理部,配置了风险管理专兼职人员。
但在企业风险管理1.0时代,我们也看到了需要进一步调整和完善的许多方面。我们为了突出风险管理作为一项企业管理的重要内容,用上面的这些“形”外现了风险管理在企业的表现方式。但是,对于一个新事物,如果大家对“神”理解和定位还不清的话,“形”很容易只停留在形式上。庄子曰:有形无神谓之鬼,可见只有形式没有神附容易造成形式主义,为了形式而存在,工作过程出现很多说不清、道不明的现象就不奇怪了。
这种现象不只出现在中国,国际上企业风险管理系统理论的发展也是以COSO 2004年的第一版企业风险管理框架为里程碑,也是十几年的时间,这期间国际上也有许多企业对此感到迷惘,但由于管理基础好,也出现了一些优秀企业的成功案例,我们下半年计划会出版几十家全球风险管理经典案例,希望到时候可以给大家更多参考。
2017年的新版风险管理框架,针对前些年企业界推行风险管理工作的迷思进行了分析总结,抛弃了2004年广受诟病的“大控制”框架,而重新设计了一个全新的风险管理框架,实现了风险管理工作由重“形”向现“神”方向的转变。
三、实施“六个一”工程,推动企业风险管理工作形神兼备
那新框架做了如此巨大的变化,企业实施应该从哪些着手呢?通过对COSO的整篇文章的理解,我总结为“六个一”工程,来实现新框架的落地和达到风险管理工作在企业形神兼备的目标。
1、重点培育一个风险文化
企业的文化是由高层主导推动建立的,影响着企业的每一个人的思维和行为方式。此次COSO将风险管理定义,第一个体现放在了文化上,可见在企业层面,打造一个具有充分风险意识的文化对于企业防范风险的重要性。
我们前几年讲,风险无时不在、风险无处不在;在风险面前,人人都是一道防火墙,这些都是属于企业风险文化的范畴。这就要求企业的最高层领导要通过各种方式向全体员工传递高层基调,增强全员风险意识和主动防范风险的责任感。企业的制度流程不可能没有缺陷和漏洞,所以在风险面前,全员能增强主观能动性进行风险防范,是对制度流程缺陷和漏洞最好的补缺方式。
伟大的公司一般都有出众的风险意识,这一点我们从华为人的身上可以切实感受到,除了任正非强烈的危机意识外,华为高层和员工发自内心的风险和危机意识也是华为取得今天成就的因素之一。
2、建立和增强一种应变能力
在内外部环境不确定性陡增的今天,应对变化的能力有时可以决定一个企业的成败。有一个来源于军事上的VUCA术语经常被定义今天的商业环境,即是Volatility(易变性),Uncertainty(不确定性),Complexity(复杂性),Ambiguity(模糊性)的缩写。灰犀牛事件的频发也是环境突变的另一种体现。
所以在当下企业建立应变的能力至关重要,应变即包含了企业在面对内外部环境出现重大变化时的灵活应对,也包括出现重大突发事件的危机应对。如中兴的事件就是在这个上面跌了脚。在战略管理领域,由于经济环境的原因,全球企业界开始关注1997年美国经济学家和战略管理学家David J. Teece提出的动态能力(Dynamic Capability)模型,与波特五力模型不同,动态能力模型更加关注根据内外部环境变化调整战略和资源匹配的能力。
对于应变能力的提升中国企业界也应该重视和培养,这方面我们的发展更晚一些。
3、达成一项三道防线的共识
对于企业风险管理工作,不是某一个部门和职能的工作,而是全体管理层和员工本身的职能所在。所以,COSO开篇就澄清,风险管理工作不仅是一个部门和一项职能。我们今天看到的关于企业三道防线的理论,是各个业务部门作为一线承担最主要的风险防范职责,而风险、内控、合规、法务、审计等等第二、第三道防线承担协助、支持、检查、监督、评审等风险管理职责。这样的一个共识需要在企业管理层和内部各个部门之间达成。不能将风险管理的责、权、利分离实施。
4、形成一套嵌入式职责
企业应该定义各项风险管理工作的管理职责和边界,将其融入现有的机构和岗位的职能中去,成为一项“有法可依”的工作内容。这样才能达到责、权、利的统一。在十年前我为一个大型国有企业实施风险管理体系建设过程中,在连续服务的第三阶段,就开始和人力资源部对接,将所有岗位的岗位说明书重新修订,明确其现有岗位的风险管理职责,就是今天谈到的一套嵌入式的职责体系。
5、落实一项支持决策的机制
企业制定的发展和绩效目标,是由管理层做出的一系列决策行动来支撑和实现的。风险管理的最大价值就是要更好的支持决策,支持更好的决策,实现各个重大方面决策过程中的风险管理内容的融入。
这一点在以前的企业管理过程中是个薄弱环节,多数企业没有明确的规定,或者有规定但在操作细节上不完善,导致对于决策的风险控制仅仅靠决策层的判断和经验,导致风险上移,责任也跟着上移。如果决策层获取的信息不对称或对情况了解不深,只是做到了程序合法性,决策过程中就埋下了风险隐患,而决策层可能会因此承担了连他自己都不清楚的风险,最后如果真出了事还要追究决策层的责任,有冤也没处说理。
针对决策中风险信息的收集、分析、应对方案、备选方案、监控、实施评估、报告责任、权限划分应该制定明确可行的政策,切实保障风险管理支持决策的职能可以落地实施。
在我受邀为河北省国资委主笔起草的《河北省监管企业全面风险管理工作实施办法》中,第二十四条明确规定了:根据企业情况,有针对性的对企业改制、重组、上市、合资合作经营、股权转让、并购、投资(设备、境外、项目、股权)、融资、非对等担保、大宗采购、大宗销售、新业务拓展等重大方面出具单独的风险评估报告,作为决策依据。
6、打造一套绩效导向、涵盖控制的流程体系
企业在适当的阶段,一定要对管理体系进行再审视,特别要重视对于流程体系的建设,由于企业各个部门的设置相互独立,但大多数的业务事项都会涉及多个部门共同参与,所以流程体系是以业务线为基准,打破了部门的藩篱,很多风险都是由于在部门和部门之间的交界面会出问题,会出现灰色和空白地带。通过设置流程的负责人制度,可以更好的防范风险。
另外,目前很多企业在流程的导向和流程控制方面并没有清晰的界定,导致有流程但方向感不强,甚至是错误导向;流程建立了但控制点没有覆盖也不行,也会导致流程目标无法达成,所以需要以绩效目标为导向,建立一套涵盖控制的企业管理运营流程体系。
上面通过对六个方面的阐述,一方面涵盖了新版COSO风险管理框架的主要精神,也结合了以往风险管理工作出现的问题,希望可以对企业下一步实施形神兼备的风险管理工作有所启发。上面提到的这些工作,在具体推进中涉及到的部门不止一个,体现的形式也不止一种,企业如何通过内部协同推进,达到预期效果,各个企业情况不一,需要在实施前期和过程中进行进一步的设计和思考。
经典阅读:
ISO31000:2017《风险管理原则与指南》送审版先睹为快