超越COSO和ISO，一文读透风险管理和企业管理的整合

songsgt 2023-10-25 发布于陕西

展开全文

风险是一种研究不确定性的学问，诚如彼得·伯恩斯坦在其著作《与天为敌》一书中提到的：人类认识风险的历史几乎与人类的文明一样久远。

如果我们聚焦在企业风险管理这个领域，那是肯定离不开企业这个主体，那就要从17世纪大航海时代荷兰的崛起出现第一家股份企业开始，风险管理在企业管理领域的体现不过是400年的历史。

再到18世纪大数定律的出现，可以让我们用概率的形式对风险进行评估和定价，随后追求海上运输风险共担的互助保险公司就出现了。

风险管理其实一直存在于企业管理中

19世纪是大型跨国企业开始形成的年代，也是企业管理理论逐渐发展的开始，所以我们看到很多老牌的大型跨国企业都是拥有150年左右的时间，这些都是历史成因。

中国有一家和跨国集团形成年代差不多的企业，也是我服务了多年的客户，坐落在唐山的开滦集团，始建于清末1878年，但是限于中国的特殊历史发展背景，并没有发展成为全球化集团，而是在100多年后提出了海外再造一个开滦的口号。

20世纪是风险管理理论的探索发展期，从1914年，全球第一个风险管理协会成立，1921年芝加哥大学著名经济学教授弗兰克·奈特著成《利润、风险和不确定性》，到1955年，沃顿商学院的施耐德教授提出“风险管理者”的概念，到1992年，全球第一位首席风险官诞生，1995年全球第一个风险管理国家标准出现。

21世纪初出现的一系列大型企业损失、倒闭事件将风险管理推进了每一个企业管理者的视角。

这个过程是风险管理逐步在企业管理中显性化的过程，风险管理其实一直存在于企业管理中，只不过通过了100多年的发展历史，将其从隐性逐渐显性、从散落逐渐集中、从简单的资产保护上升到价值保护、从一味应用应用概率计量到综合衡量价值的过程。

我们过去很长一段时间用概率解释风险，其实是不恰当的，概率只是风险的表现形式，并不是风险的实质，这涉及到对风险准确定义的问题，以后有机会细说。

随着风险管理在企业管理中的继续显性化，将成为现代企业管理的核心理念在书写ISO31000，27年的风险管理标准化之路时，我谈到了支撑风险管理历史发展的两个行业和两个领域，即金融与保险两个行业，财务和安全两个领域，金融和保险两个行业的本质做的就是风险买卖，风险管理就是其主业，所以这两个领域的风险管理和一般企业不同，从理论和工具方法都有区别，但是理念一致。

而在财务和安全两个领域的发展，财务领域由会计控制到内部控制发展到今天的风险管理，安全领域由纯粹的资产防灾防损到系统性的安全管理发展到风险管理。

而两个行业和两个领域中，保险和安全紧密关联，金融和财务紧密关联，这也体现了共同归属风险系的内部互通性。

今天的企业风险管理实现了从内部控制与安全管理的升级和蜕变，会引领21世纪一种新型的企业管理变革，成为现代企业管理体系的核心理念。中国的企业中，华为是真正的把这种理念落实到实际管理行动的公司。

为什么说是核心理念，因为和各个管理、业务活动的相对独立和各有侧重不同，其融于所有管理和业务活动之中，是成体系的管理要素。其余成体系的诸如质量管理，近年来也在重点强调以风险为导向的质量体系建设，对风险的管理是其本质。

再如内部控制体系也具备成体系的管理要素性质，但是与风险管理体系不同之处在于内部控制的侧重点是针对管理的确定性进行控制，而风险管理是针对管理的不确定性进行管理，帮助企业把握了不确定性，才是把握住了管理的实质，才能更好的帮助企业创造和保护价值。

当下风险管理者应具备的知识体系

大数据、人工智能的发展使得企业管理面临变革的挑战，也为风险管理全面显性化提供的前提。为了可以符合风险管理发展的全面显性化，风险管理者也不能局限在原有的风险管理专业知识上，所谓今天形成的风险管理专业知识，不过是过去十几年特殊的发展阶段形成的，范围比较狭窄，只能就事论事的谈一些原则和理念。而在此之外，有多个领域的知识需要进一步扩展、整合和实践，比如：有人说，风险管理什么都懂，岂不是成了全才。理想情况下确实需要，但部分从业者只要方向正确，掌握一部分应付现在工作即绰绰有余。而且知识领域的跨界整合本身就是一种最好的不可代替性，在人工智能发展下，这种跨界人才是最容易形成核心竞争力的，如果人工智能的到来面临企业大规模裁员的话（其实已经开始），这种人才应该是相对安全的。

有人说，越研究越觉得风险管理高深，这种体会是对的，只有外行人才会觉得风险管理很简单，很肤浅，这些人就是学会了写一、二、三，就觉得自己按笔画推导就会写一万的人。

今天的“整合”与以往的“整合”含义早已大变

我们开始谈谈大家日常接触的风险管理理论和实践。今天我们谈到风险管理的“整合”二字，COSO最新版文件将其放到了题目上，正文也大书特书整合风险管理的重要性，而ISO31000更是从原则的第一个内容就提“整合”，然后在框架中不惜打破PDCA的循环硬塞进去一个“整合”要素，用以强调整合对于风险管理的重要性。

其实之前的文件和标准里也谈，只不过没有这么突出，因为发现了后面好多企业搞得都不对，出现很多问题和疑惑，把风险管理定位的五花八门，所以2017年COSO最新的《企业风险管理框架》和ISO2018年发布的《风险管理指南》都重笔强调风险管理要整合开展，不能独立进行。

口号喊了半天，只是提出了愿景，没有给出具体实施方案，连实施方向也没有清晰界定，只能停留在口号和原则阶段。为什么？这些起草专家也不一定具备今天要达到风险管理愿景的那些复合性知识。

前一段时间，看见一个俄罗斯的专家在网上批评起草ISO31000的这帮专家不够专业，背景不够令人信服，他确实陈述了部分事实。

但即便这样我们也不能偏激，要客观的看，两面性的看，发展的看。

我们中国把这些权威文件翻译成中文版本学习借鉴，“整合”一词再一次考验了我们国内专家们的英文理解能力和专业能力。

今天谈到的“整合”一词最早出现于1992年COSO委员会发布的企业内部控制-整合框架（Internal Control - Integrated Framework），随后COSO在2004年发布了企业风险管理-整合框架（Enterprise Risk Management - Integrated Framework）。

2009年，ISO发布第一版风险管理指南中，整合一次也被提及数次，在2013年，COSO更新了1992年的内部控制框架，名称还是保持了“整合框架”的提法。

所以，在2017年COSO公布了更新版的企业风险管理新框架，将其命名为《ERM-Integrating with Strategy and Performance》，在网络上，有些专家将其翻译为集成战略与绩效框架、整合战略与绩效框架等等。表述为集成的，是一些完全没有背景知识的“砖家”，表述为整合的，是了解背景知识，但是没有真正搞透。

昔日，整合框架的“整合”，Integrated是用动词过去分词形容词化，是一个形容词，作定语用，意为整合的框架，包括COSO后面的几种用法皆属此类。当时此提法是有一定的特定历史原因的，原来的控制和风险是分散在企业管理的各个层面来管理的，并没有一个框架来整合和集中这些控制和风险信息，所以“整合”一词的真实含义是为了表述将风险或者控制整合到一个框架中来，所以就有了大家看到的《内部控制-整合框架》、《企业风险管理-整合框架》。

ISO在2009年提出的整合有所不同，它是强调将风险管理整合到企业管理中去，所以提到的integrate都是作为动词来使用的。

2017年COSO的新框架中，用的是Integrating这个词，用到的是其动名词格式。这次，“整合”绝非前期作为一个形容词的意思了，更重要的是，后面跟着两个大家伙，战略和绩效，再将其理解为“整合战略和绩效”是不合适的。

第一，如果在这里整合作为一个形容词，那就成了整合的战略和绩效，这显然不是全文的主旨，全文并没有阐述任何关于将战略和绩效整合的意思；

第二，如果整合这里作为一个动词，那就是表达企业风险管理如何去整合战略和绩效，这个理解更不恰当，让风险管理去整合战略和绩效，是一件极其自不量力的事。

所以，今天提到的整合，并不是前些年提的体系自身的整合，而是强调体系和现有管理体系的整合。虽然同是一词，但含义已大为不同。

我们为什么把这个词进行详细解释，因为对这个词的理解不仅仅是关系到一个题目问题，而是关系到整个体系的定位问题，如果定位出现了问题，后面企业实践过程中，会出现一系列的理解偏差、误解和疑问，造成资源浪费和重复建设。

企业风险管理的到底如何定义，边界在哪里？我们如何准确定位企业管理和风险管理的关系，如何搞清楚风险管理和其他管理活动之间的关系，如果谈整合的话，到底是谁整合谁，如何整合？企业实践这些体系前，就应该准确理解和把握这些问题，这是方向和原则。

要把这个问题说明白，我们需要将风险管理分为两个层面来把握：一是将风险管理作为企业的一项管理活动来对待；二是将其作为一种意识和能力来对待。

两者有所区别，但又相互支持，相互体现。风险管理作为一项管理活动做得好，有助于形成良好的意识和能力，而意识和能力培育的好，又反过来作用形成一项更好的管理实践。这样的现象如果从学哲学的人来看，这是二元论、辩证法的表现；学物理学的人来看，这是一种对称性的体现；学中医的人来看，这是一种阴阳论的表征。

如果风险管理作为一项管理活动来看，从范围上讲企业管理肯定包含了风险管理，风险管理只是企业管理活动其中的一项；而如果作为一种意识和能力，它又是无所不在的，谈不上企业管理和风险管理谁包含谁。

从职责上来讲，作为一项企业管理活动的风险管理主要由企业的风险管理职能来具体实施，而作为意识和能力，最佳的方式就是企业一把手和最高管理层来推动。所以我们谈到风险管理体系由一把手推动，风险管理职能实施，是一个包含的意识和能力、管理与实践的综合动作。

今天COSO提出来风险管理是一个文化、能力和实践，我觉得这个提法很革命、很创新，很有参考价值。但是它没有清晰将风险管理的不同表现分开，所以在定义风险管理边界的时候出现的混乱。

ISO和COSO虽然两个方面的要素可能基本都包含了，但没有十分清晰的表述出来。意识和能力是隐性的，不太好讲，只能提原则和期望，所以我们看到ISO和COSO的文件里大部分的篇幅还是在谈如何指导风险管理作为一项管理活动来实施。尽管这样，仅就管理活动这个层面，企业管理和风险管理如何实现整合还是没有说清楚，导致大家看完文件后还是不知道到底该怎么具体操作。

ISO和COSO没说明白的“整合”问题

我们来尝试讲明白风险管理和企业管理在具体实施层面的整合问题，上周我们带着大家用PDCA解构了ISO和COSO的风险管理框架，其实，这个框架只是企业管理框架中的一个零件，从企业管理的全局角度，存在着一个更大的管理框架在支撑着企业发展和目标达成。

方便起见，我们还是继续用PDCA的形式来表达吧，我们特意绘制如下图来说明，让大家可以看得一目了然。

首先，企业是在确定了企业愿景与使命的背景下，由最高级管理层将愿景和使命转化为了可以付出实施的战略规划，图中的外圈表达的是企业管理活动的PDCA循环，而里面的小循环表示的是风险管理工作的PDCA循环，如果大家看了上周给大家介绍的这个PDCA循环结构的文章，应该不会陌生。

ISO侧重表达的是风险管理活动小循序的内容，并没有介绍风险管理和企业管理的整合和接口的具体方式和内容，对外圈大的企业管理框架并没有太多的介绍内容。

COSO升级了2004年的企业风险管理框架后，有了非常显著的变化，它已经开始意识并探索了风险管理和企业管理的整合方式，从2016年的征求意见版到2017年正式版的框架变化，把风险管理从管理体系外拉回管理体系内，已经开始觉悟了。但是因为缺乏对宏观的把握，刚开始理解还是在两个体系之间不停地切换，要不然不会出现框架第三个要素用了管理要素-绩效（performance）的名，却体现了风险管理流程内容的实，来回切换之间出现了思维混乱。

ISO和COSO没有清晰的表述出风险管理和企业管理的关系，可能是没弄明白，也可能是没表达明白。

风险管理活动的所有职责和工作内容必须在其被准确定义了之后，才能理顺一切相关逻辑，要不然两个体系混合在一起会含混不清，责任不明。在企业层面就会出现风险管理定位和职责不清晰，与业务部门出现相互摩擦和灰色地带，进而出现业务部门不支持风险管理工作的现象出现。

准确定位和工作范围

按照上述两个体系的关系图，我们来看看每一个步骤中根据管理活动的需要风险管理需要具备和履行哪些职责。

一是管理活动：战略目标设定。

风险管理活动：风险管理目标设定，风险管理原则、政策、框架设计

伴随着战略目标的设定，风险管理也需要对其目标进行设定，只不过当战略目标设定完成时，相应的，风险管理目标也已自动设置完成了。为什么，风险管理的目标其实已经暗含在了战略目标中，企业发展战略的选择其实也表明了其对待风险的基本态度。按照战略目标的设定，梳理提炼出风险偏好信息，按照风险偏好信息再进一步明晰风险承受度。风险管理的目标即是在现有战略目标下，风险偏好不发生偏离及风险承受度不被突破。

在此基础上，明确风险管理原则，对整体风险管理政策和架构进行设计。

二是管理活动：实施经营计划，完成经营绩效。

风险管理活动：实施风险管理的基本流程

在战略目标设定后，进入实施环节，即是实施按照战略规划分解的经营计划，完成经营绩效。在这个过程中，要按照最开始设定的目标、原则、框架开展风险管理工作，执行风险管理流程。

按照三道防线的理论，这部分风险管理工作包含二块内容，对应着第一道防线和第二道防线的职能：

第一部分是保证在业务部门作为第一道防线执行了风险管理流程，使风险管理工作融于业务中；

第二部分是风险管理职能部门（风控、内控、法律、合规、质量、安全...）作为第二道防线执行了一般的或专项的风险管理活动，并参与、协助第一道防线在业务中执行了风险管理流程。

三是管理活动：业绩评估。

风险管理活动：风险管理效果评估

实施一段时期后（半年或一年），业务部门需要对业绩完成情况进行评估。而此时，第二道防线的风险管理职能和第三道防线的审计监督职能需要对这段时间实施风险管理流程的效果进行评估。

风险管理职能需要评估是的自身承担的风险管理活动和协助一线业务部门的业绩完成情况。

审计监督职能则是需要整体看业务部门和风险管理职能部门实施的整体风险管理活动的效率和效果。