查看原文
其他

【重磅】COSO新版企业风险管理框架中的Performance到底是什么意思?

孙友文 大风控 2023-02-24

2017年9月,COSO委员会发布了新版企业风险管理框架,与2006年征求意见稿相比发生了显著的变化,在我们风险管理世界公众号之前的文章中,我们专门对征求意见稿和正式版发布文件做了整体性的解读,还发布了一个二合一的合订本,需要仔细研究的同仁可以翻看历史文章或点击文后链接查看。


一、关于新版框架题目中的“Performance”


正式版框架与征求意见稿相比,首先框架的名字发生了变动,从Enterprise Risk Management-Aligning with Strategy and Performance 变成了Enterprise Risk Management-Integrating with Strategy and Performance. 从“Aligning”到“Integrating”,虽然只变化了一个词,但含义大不相同,这个词的变化直接体现了整个框架从征求意见稿到正式版发布的核心理念的变化,体现了COSO对风险管理工作的定位从独立到融入企业管理的转变过程,大家可以从下面两个图中体会下我谈到的这个转变。


图1 征求意见稿中的风险管理框架



图2 正式版中的风险管理框架


我们今天谈的是题目中的另外一个词“Performance”,这个Performance在国内早有经典翻译,叫做“绩效”,我们在第九篇COSO解读文章中专门解释过有关绩效的话题,请参考《COSO风险绩效曲线详解(点击打开)》在企业管理界,对绩效一词的理解在经营管理、质量管理、卓越绩效等方面已经有很多的应用,应该说大家对这个词并不陌生,在题目中其又与战略(strategy)并列,所以我们可以自然的理解为“战略和绩效”。关于题目的翻译,我们在《超越COSO和ISO,一文读透风险管理和企业管理的整合》有所提及,在此不展开了。


二、新框架里要素中的“Performance”


新框架中5要素的变化最明显的标志就是“去风险化”,5要素中的“风险”一词均被去除,不再一味的强调风险视角下的企业治理及管理要素,而是直接从企业治理和管理的角度提出将风险管理内容嵌入,为风险管理工作的真正融入治理与管理打下了基础。我当时还笑谈COSO忘掉了自己,表面上不见了风险但却随处都是它的影子,境界大幅提升了。


其中,把5要素中的第3要素由征求意见稿中的“执行中的风险”(Risk in Execution)改为了“Performance”,当时我们翻译时,看到COSO自己解释这种变化是为了避免“执行中的风险”在全球不同区域的理解差异,所以汉化时我们没有轻举妄动,将其和新框架的题目翻译保持了一致,译为了“绩效”但是第3要素里面的主体内容没有明显的变化,还是原来提到的风险识别、分析、评估的内容。所以在前面我的一篇解读文章中,将这种方式理解为COSO在强调和管理融合的前提原则下,用管理要素的表述方式来表达了风险管理的工作内容。但对这部分内容始终感觉有点别扭,我们认为如果要素中的Performance和题目中的Performance内涵或者用法不一致,COSO至少应该解释一下以免引起误解,因为题目中的这个“绩效”太重要了,但是没有找到这样的解释内容。


、要素中的“Performance”的真实含义



为了搞清楚Performance的真实含义,我们专门与新版企业风险管理框架起草的总负责人,COSO委员会主席罗伯特•赫斯先生进行了沟通,交流第3个要素为什么修改以及对Performance的正确理解。


我提到正式版用Performance的要素名称取代了原有的执行中的风险(risk in execution),但是主体内容没有太大变动,为什么要更换?


赫斯先生回复说Execution(执行)这个词在全球征求意见时,不同区域对这个词的理解不一样,所以他们不得不考虑选择另外一个词。


我提出如果要替换Execution(执行)这个词,为什么不考虑如Implementation(实施),或者Delivery(实施、交付)等,而选择了有可能和题目中的Performance产生误解的这个词。


赫斯先生回复说COSO对Performance这个词的选取非常满意,为什么没有选取Implementation(实施)或Delivery(实施、交付)这个词,是因为这两个词和Execution(执行)一样,都是需要有一个主语,即“谁”执行或实施,而且在英语语境里,Execution(执行)和Implementation(实施)一样,定位主要是在执行层面或实施层面的工作。而Performance不一样,没有固定的主语和层级要求,主要描述一个“做”的工作过程。



我恍然大悟,原来COSO为什么没用这几个词,其实是不想让有些组织产生误解,认为第3个要素的内容仅仅是执行或实施层面的工作。


这让我重新思考Performance这个词的含义,结合赫斯先生对这个词的解释,重新查了几个词典。Performance我们经典的翻译方式为“绩效”,是指一种可以衡量的结果。其实,这个词还有一个意思就是指代一个过程,而不是结果,按照COSO的原意应该如何翻译这个词体现的最为恰当呢?


我思来想去,找到了一个词:“运行”,这个词与COSO要表达的原意最为切合,指代一个工作过程,没有针对某一具体主体或层级的含义,就像我们期待的风险管理工作那样,定义好了工作环境和要素,风险管理工作就自然而然的在企业各层面、各职能、各部门自动“运行”,而不是被某一具体方执行或实施。我也将思考的结论告诉了赫斯先生,希望日后可以在中英文表达上保持一致,他表示已经注意到两个词不同含义可能带来的误解,中文翻译的时候会对此特别关注。如果有的组织按照原来的理解和习惯用法,翻译为“执行”我认为也是可以接受的,前提是企业已对上述含义有了明确的认知。


希望对这个词的解释大家可以满意,前述相关文章中的翻译表述以此文理解为准,特此说明!



关注我们正在进行的中外专家风险本质大讨论,点击查看:


第一回合:孙友文:风险到底如何定义?一场全球专家的认知混战

第二回合:吕多加:风险的本质到底是正面的还是负面的

第三回合:高晓红:详解 ISO风险定义出台的来龙去脉

第四回合:对话COSO主席,从风险定义的变化看对风险态度的变化

第五回合:未完待续......



经典阅读:

企业风险管理-全球管理实践与案例书籍预售开启

重磅:COSO最新公布风险管理框架《配套案例》

痛定思痛:中兴事件暴露了中国企业管理“软实力”的脆弱性

中国企业如何实施COSO新版风险管理框架的思考和建议

如何定义企业风险管理的边界?

ISO31000:2018国际风险管理标准正式版解读

全面解析2017COSO新版企业风险管理框架(二合一)

风险管理“三道防线”含义已变!

从COSO ERM的演变看企业风险管理工作的定位

人工智能时代将是中国风险管理人才发展的春天

ISO31000:2017《风险管理原则与指南》送审版先睹为快

不要误读任正非,为了风险控制把业务部门逼上梁山?

COSO核心-风险管理绩效曲线详解

实现绩效和战略整合,风险管理部必须这么设

三道防线就是一场足球赛,论三道防线的定位

内审灵魂缺失的年代,如何发挥内审职能

如何让国际专家尊重中国经验

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存