观点｜COSO-ERM（2017）解读（二）治理与文化

COSO经过多年的酝酿，终于在2017年发布了新版的ERM。本文为系列文章之第二篇，解毒“治理与文化”要素。首篇请参阅：原创｜COSO-ERM（2017）解读（一）新版ERM的变化

解“毒”？是的！很多管理理论其实都有“毒”。如果不解会误入歧途。

一代宗师德鲁克在其著作中对管理已经进行了较为全面的诠释。后来的大师们都是对德鲁克思想的重新排列组合、概念化和细化。实务中，在运用这些管理理论时不能拘泥于概念，而忽略了实质；过于机械而不知变通。因此，我始终会以融合的理念来解读COSO-ERM。

一、COSO内容

“治理与文化”包括5个原则：

1. 董事会执行监督 - 董事会对战略进行监督，执行治理责任，以支持管理实现战略和业务目标。

2. 建立运营机构 - 组织建立运营机构以达成战略和业务目标。

3. 定义组织文化 - 组织定义期望的行为来描述所崇尚的文化。

4. 展示对核心价值观的承诺 - 组织展现对其核心价值观的承诺。

5. 吸引、开发和保留有胜任能力的员工- 组织致力于建立符合战略和业务目标的人力资本。
   

COSO-IC 2013也采取了要素-原则-属性的表现架构。其中控制环境要素中包括的原则有：

• 原则1．组织应展现对诚信和道德价值的承诺。

• 原则2．董事会应展现出其独立于管理层，并对内部控制的开展与成效实施监督。

• 原则3．管理层为实现目标，应在董事会的监督下确立组织架构、汇报路线、合理的权力与责任。

• 原则4．组织应展现出其对吸引、培养和留用符合组织目标要求的人才的承诺。

• 原则5．组织为实现目标，应要求员工承担内部控制的相关责任。

新的COSO-ERM和IC非常神似。千万不要被有“毒”的外表迷惑。

二、五个原则的关系是什么？

治理和文化要素包括五个原则，但ERM对五个原则的关系并没有很清楚地进行阐述。要理解这五个原则的关系，必须从宏观上对管理逻辑进行理解。

这里面涉及很多概念：企业文化、使命、愿景、核心价值观、行为准则、公司治理、战略、业务目标、组织架构、人力资源、人力资本等。

如果对这些概念无法理顺，就会走入机械搬运理论的窠臼。结果，理论用了一套又一套，但管理绩效却未见明显提升。

1、企业文化比窦娥还冤

大多数人把企业文化看做是一套务虚的人文关怀系统，一提企业文化就把它等同于宣传、团建之类的工作；还经常会遇到企业提“企业文化上墙”这种说法，觉得把企业文化贴到墙上就万事大吉了。

这是对企业文化的极大误解。企业文化本质上一套目标管理系统；而且，其管理的目标具有涉及面广（利益相关者）、时间跨度大（50年甚至100年）的特点。

理论上，我们把使命、愿景、核心价值观和行为准则统称为企业文化。企业文化的本质是想界定清楚企业与所有利益相关者在长期内的关系。那么，企业的利益相关者都有哪些人？

从经济发展史看，最初的企业只关系股东的利益；员工只是会说话的工具；企业生产什么客户就买什么，没有商量余地。慢慢到了买方市场后，客户开始用脚投票，经济史上第一波企业的倒闭潮粉墨登场，以客户为中心的企业劫后余生。再往后，随着工会组织的强势崛起和收入水平的普遍提高，员工的地位越发提高，管理层们发现没有满意的员工，很难有满意的客户，客户不满意当然股东就不满意。依次类推，环保主义者，社区……等等这些逐渐成为企业的利益相关者。

这种发展逻辑对单个企业也是适用的。从刚开始求生存时更多考虑资本原始积累、到重视客户要求追求市场份额、再到倾听员工的声音、倾听其他各类利益相关者的声音。

这种发展史给我们的启示是，企业利益相关者这个朋友圈是逐步扩大的（管理的成本效益原则）。因此，只有到一定阶段、拥有一定管理资源的企业才有意义去讨论怎么建设企业文化。因为，这样的企业在制定管理目标时，才需要更多去平衡和考虑各类利益相关者的诉求（最终目的是从利益相关者那里取得企业发展所需要的资源），才需要考虑建立起长久稳定（50年或更久）的生态圈，才谈得上去追求基业长青、做百年老店。

更多的企业搞企业文化，只能是嘴巴上喊喊，墙上贴贴，除了增加办公室等部门的工作量，对提升管理绩效的意义并不大。所以，在风险管理和内控建设、评价和审计中动不动就提企业文化建设和评估其实很傻。

一个好的企业文化体系应该是这样的：愿景支撑使命；核心价值观又支撑愿景；行为准则是对核心价值观的解释和说明；同时，通过绩效考核等手段来展现对价值观的承诺。这几个要素之间是相互环环相扣的。

PS. 这让我想起大概在20年前有一个流行的管理术语：企业识别系统（CIS），其包括MI、BI和VI三大组成部分。MI是理念识别，就是使命、愿景、价值观；BI是行为识别系统，是行为准则及具体的行为； VI是视觉识别，就是通过视觉（LOGO、标志色等）系统把企业有效区分。由于MI和BI的建立比较困难，因此CIS最后也异化成了只强调VI的企业形象设计了。再后来，企业文化、控制环境这类新的管理术语就把CIS这些老的管理术语拍死在沙滩上。

2、公司治理的依据是企业文化

公司治理的表现形式是分权和议事规则，其内在实质则是协调利益相关者目标的平台。换句话说，公司治理决策的依据应该是企业文化（使命、愿景、价值观）。我国上市公司引入独立董事制度，真是这种体现，让独立董事为中小股东和其他利益相关者发声，意图实现多方的长期共赢。

当公司治理机构缺乏对企业文化的深刻理解时，即便所有决策都严格履行了议事流程，其决策很可能仅仅换了一种拍脑袋、拍胸脯的方式，而对企业的长期发展目标无所助益。

3、战略则是切企业文化这根香肠

企业文化为企业的长期发展指明了道路。但是，罗马不是一日建成的，从现在到未来还有漫长的路要走，而这其中还要面对各种内外部因素的影响和干扰。面对各种干扰企业很可能采取“脚踩西瓜片”的策略，因为，这种策略短期来看处于“舒适区”。

但是，人无远虑必有近忧，舒服日子过多了，企业就只会赚容易钱。大环境好时，都以为自己是企业家。环境一旦转差，很多企业就会灰飞烟灭；或者，指着“等靠要”过日子。

战略的意思就是以企业文化为锚，把一个遥远的、宏伟的目标，切成一段段的小目标，然后，调动各种资源各个击破。

战略确定后靠什么去落实？四大金刚：组织架构、业务流程、人员和信息。

综上所述，我们可以把5个要素之间的关系大致梳理为：使命-->愿景-->价值观-->行为准则-->公司治理-->战略-->组织架构、业务流程、人员和信息。这是一套完整的目标体系！

三、五原则和风险管理的联系

五原则都是传统管理领域的内容，为什么ERM框架要强调这些东西？

这又要回到一个基本概念：目标-->风险-->风险管理。任何一种管理理论，都是为了促进管理目标的实现。风险管理是针对风险的，而风险又是基于管理目标的。如果没有一套清晰的管理目标这张“皮”，如何谈风险管理这个“毛”？

因此，只有了解管理，了解企业的目标，才能去谈风险管理。

作者简介：

谢力，天职国际管理咨询高级经理，中国注册会计师、香港注册会计师、中国注册税务师、国际注册内部审计师，2015年曾受聘担任中国证监会会计顾问助理，协助上市公司监管，具有18年的从业经验。近年来，主持了多项央企、大型国企和上市公司的内部咨询、内控审计及财务管理咨询项目。先后在《中国注册会计师》、《中国会计报》、《财务与会计》和《新会计》等杂志发表了10篇内部控制与风险管理和全面预算管理等方面的学术论文，具有丰富的实务经验和深厚的理论功底。