如何确定企业风险管理工作的边界?
经常会有同仁询问,企业风险管理工作的边界在哪?到底哪些风险该管,哪些风险不该管?我们本周和大家简单分享一下我们的观点。首先,我们需要对风险管理在企业的几个表现阶段加以总结。
一、初始的风险管理时代
我们前面的文章中提到过,风险管理发展到今天,源头上可以追溯到两个领域(安全管理和财务管理),两个行业(保险业和金融业),在对风险最敏感的两个领域安全管理和财务管理中,其对于风险的理解根深蒂固。例如,在面临安全风险较高的煤炭企业和施工企业,即便到了今天,当谈起风险管理时,在他们的印象里都是和安全管理有关的内容。对于以风险为交易对象的保险业和金融业,没有对风险的认识,就没有这两个行业的出现,所以对于这两个行业来说,从最开始就与风险有天然的联系。
二、泛风险管理时代
针对于一般行业而言,21世纪前后一系列的企业失败、倒闭的案例,让企业理解了仅仅管理好安全风险和财务风险不一定就能保证企业经营成功。风险管理的范畴应该扩展到更大的范畴,所以国际上出现了企业整体风险管理理论、企业层面的风险管理理论、跨越职能部门的风险管理理论等。中国也相应的出现了企业全面风险管理理论。无论如何命名,含义都是大大丰富了风险管理的内容,将风险管理扩展到了企业所有方面,提出了“风险管理无时不在、风险管理无处不在”,“风险管理横到边、纵到底”的口号,也有人笑称“风险管理是个筐,什么都可以往里装”。
记忆犹新的是,当时开展全面风险管理工作时,风险管理职能部门去和审计部座谈审计风险,有的企业审计部门提出质疑,挑战审计风险不应属于企业风险管理工作的范畴,审计作为第三道防线应该监督评审企业的风险管理工作的效果。
这些做法都是带着明显的泛风险管理时代的烙印。
三、具体化风险管理时代
泛风险管理时代刮过了一阵猛烈的风之后,企业发现泛风险管理除了在意识上进行了一次全员的风险普及和提高之外,留下来能够落地执行的、并且可以持续执行的工作内容并不多。企业想要真正实施一套风险管控制度和流程,除了在总体上有一个制度和办法之外,还是要落实到具体的风险管控上去。
所以,后来又出现了很多企业进行专项风险管理方案设计和实施的情况,如投资风险管理专项、项目风险管理专项、法律风险管理专项、廉洁风险管理专项、信用风险管理专项等等。配合着企业的管理重点的变化,可以深入设计多种专项的风险管理方案。
比起泛风险管理时代,具体化的风险管理更深入业务,更能和企业的日常管理实际相结合,更具有落地操作性。
四、返璞归真的风险管理时代
经历了十几年曲折的摸索,我们今天看到COSO的新版企业风险管理文件中,将风险管理定位为一种文化、能力和实践。个人认为,这是一种回归,回归到风险管理的本源,从原来一味的重视“形”,到现在要强调“神”。我们不谈“整合”,也不谈“融入”,好像面对的对象是两个事物相互作用,融为一体的过程。而真正的企业风险管理,作为企业管理的核心内容,应该一直都在,而不能被“整合”与“融入”。现在我们这么来提,其实是为了将原来抽离出来的“形”,再次打回体内而已,让其形神俱全。
五、对未来工作的启示
1、企业管理的边界就是风险管理的边界
企业管理的边界就是风险管理的边界,但这与“泛风险管理”与“全面风险管理”那个阶段强调的不同,风险管理作为一种文化、能力和实践应该贯穿所有的企业管理和业务活动,试问企业中哪个职能可以避开企业文化的影响,哪个职能不需要具备风险管理的能力。在这样的背景下,就不会出现在“泛风险管理”阶段风控和审计相互质疑的问题,审计部门要具备风险管理文化和能力是理所应该的事情。
COSO新版文件中,描述了哪些不属于风险管理的范畴,比如公司治理中的某些内容,这其实是和其定义有相悖之处的,我们这里不做展开。
2、企业风险管理部门的职责边界
既然企业管理的边界是风险管理的边界,那是不是风险管理部门的职责边界就是企业风险管理边界?答案是否定的。不是不愿意赋予风险管理部门这样的职能,是就算赋予了它这样的权利其也无法真正履行。在这样的范畴下,企业风险管理工作不能定位为风险管理部门的工作,所以,COSO的新版文件在最开始就澄清了一个缪误:风险管理不仅是一项职能和一个部门。
既然企业风险管理部门无法承担风险管理工作的所有内容(这并不是剥夺其工作职责,相反,有些部门看到之后可能会如释重负),因为有些风险内容,已经超出了风险管理部门作为经营层下设的一个业务部门所能承担的职能范围。应该明确的定义风险管理的职能,而不是再以泛风险管理时代的职能范围来要求。如可以负责公司风险管理文化的建设和推行、风险管理能力中心COE的建设(华为公司的风险管理职能就是采取了这种做法),以及公司授权的某些跨职能或公司层面的重大风险管理牵头职能等。
3、每个职能管理责任的边界就是风险管理责任的范围
需要强调的是,公司每个职能管理的责任需要强化和体现其风险管理方面的内容,做到责、权、利的统一。做到对公司风险管理文化的高度认同,增强其本部门识别经营管理不确定性带来风险的能力,明确风险管理责任,具体到每个人。这才是未来企业健全的风险管理体系的做法和实践。
对于风险管理肩负的新的使命,只有企业的最高管理层可以承担,来推动和建立企业的风险管理体系,打通企业职能之间的边界,建立一套企业可以从容应对当下不确定性陡增的企业管理体系。
经典阅读:
ISO31000:2017《风险管理原则与指南》送审版先睹为快