COSO委员会在今年9月公布的新版企业风险管理框架中,最大的一个变化就是不再孤立的谈风险管理工作,而是将其作为一个文化、能力和实践,更好的融入企业管理中,为企业实现其各层面的管理目标而服务。为了更好的体现这种融入,新框架中介绍了一个“风险概况图”并出现数次,用来解释一个用以关联风险和绩效的曲线。
一、最基本的风险绩效曲线介绍
下图就是最基本的COSO的风险绩效曲线,用横轴表示绩效(Performance),纵轴表示风险(Risk),一条蓝色曲线绘制了不同绩效目标下需承担的风险概况。紫色的竖线是目标线,指的是绩效目标设定的大小。红色的横线表示的是主体的风险偏好,包含了对风险类型和风险量的描述。
蓝色曲线与紫色目标线的交点指的是在既定的绩效目标下,需要承担的相应的风险概况;蓝色曲线和红色风险偏好线的交点即承担的风险达到风险偏好时,可以实现的绩效目标;或者说当绩效目标增长到某一特定值时,主体承担的相应风险达到风险偏好的总量。
如果主体的绩效目标设定在了风险偏好以上的蓝色曲线对应的X轴的绩效值,那将是一种被视为冒险和激进的绩效目标。
二、为了体现风险与绩效关系,舍弃了风险承受度的概念
为了更好的展示风险和企业绩效之间亲密无间的关系,COSO也是下了血本,生生的把风险承受度的概念给删除了,要知道这个概念在风险管理领域可是深入人心的概念。COSO为了使风险和绩效可以直接挂钩,“不让中间商赚差价”,必须把能省的都省掉,所以风险承受度的含义就被整合进了风险偏好,而启用了“可接受的绩效波动范围”作为承受度(容忍度)的新概念。
在上图中,橙色虚线中,与横轴的两个交点之间的距离,即是代表不同的绩效值,代表着“可接受的绩效波动范围”,这就是原来对于“风险承受度”概念的直接外现。
三、什么是绩效
COSO本次框架更新虽然画出了风险绩效曲线,但是并没有详细定义Y轴的绩效(Performance)到底是什么,只是对绩效管理进行了定义:
绩效管理:对实现或超过战略和商业目标所做付出的度量。
既然风险要和绩效挂钩,我们还是有必要探讨下绩效到底是个什么东西?
因为绩效本来就不属于风险管理的范畴,绩效管理在企业管理体系中也可以称作是一个历史悠久的独立子体系,它的出现比系统的风险管理理论还要早,为什么?
因为绩效是企业经营管理中的核心部分,如果用我们前面谈到的三道防线的概念,企业的绩效目标应该是所谓的第一道防线最需要达到的核心目标(当然广义的绩效不仅局限于第一道防线),也可以说企业运行的短期目标就是要实现所设定的绩效,用以支撑企业战略的实现,进而支持企业愿景和使命的实现。
在国际标准化组织ISO发布的9000系列族谱中,在《基础和术语》一文中对绩效进行了定义:
Performance:Measurableresult.
绩效:可度量的结果。
我们不必揪这些字眼儿,从中文的角度通俗来看:绩就是业绩,体现企业的一系列的考核指标,包括目标管理和职责要求;效就是效率、效果、态度、行为、方法,是一种行为,体现的是企业的管理成熟度目标。绩效就是组织对期望的结果或行为的一种度量,它包括个人绩效和组织绩效两个方面。可以是定量的也可以是定性的。
四、风险绩效曲线的理解要点
1、关于X轴与Y轴
COSO的内容里所有的风险绩效图都是X轴为绩效,Y轴为风险,但其实质含义并不限于此。
X轴展示的是绩效,如上面对绩效的介绍,它的体现可以是多种多样的,既可以是定性的,也可以是定量的;既可以是一个单独的考核指标,也可以是一个综合的考核指标。
2、关于风险曲线的形状
我们看到COSO都是用一条蓝色的上扬曲线代表的风险曲线,但是上扬的斜率不同,代表的意义也不同,比如斜率越大,曲线越陡,说明绩效增长带来的风险增量越大;而斜率越小,曲线越缓,说明业绩增长带来的风险增量越小。在创业公司和新兴市场更多的是第一种情况,而在大型企业和成熟市场,更多的是后一种情况。
另外,我们看到作为绩效轴的X轴随着绩效的增加,其承担的Y轴的风险也在增加,每一个曲线上的点都是在当前X轴绩效水平下需承担的Y轴风险总量。但是需要特别注意的是绘制曲线上的点对应的X轴的绩效变化值,不是指不同情境下的绩效值,而是指不同时点下的绩效变化值。
3、关于固有风险和剩余风险
由于图形中涉及到了Y轴的风险加总,那么有一个概念需要明确,就是固有风险和剩余风险。图形中的风险刻画指的是固有风险,如果考虑到采取了风险应对(控制、转移、分担、对冲、转换等)后的剩余风险,原曲线必然会变化。如采取了风险应对后的图可能变成如下所示:
4、关于风险偏好和风险容量
红色的风险偏好横线并不是揭示的主体能够承担的最大风险量,而一个主体的风险容量(RiskCapacity)才是一个主体能够承担的最大风险量。
如果一个主体的风险偏好和风险容量相等,那就说明主体没有预留空间,风险一旦超过风险偏好即超过了主体的最大风险容量,这是一种比较激进的做法,通俗来讲就是没有给自己留后路,稍有风吹草动都会对主体的抗风险能力产生重大挑战。
还有一种情况,即主体的风险偏好设定高于了风险容量,这是一种更加激进的做法,绩效目标的设定有非常大的概率超出自己最大风险承受能力。主体出现这样的情况一种可能是不明确自己的风险容量到底是多少;还有一种可能性就是铤而走险,通俗讲就是为了挣钱不要命。据统计,中国民营企业平均寿命仅为3年左右,与其不知能驾驭多少风险或超额承担了风险有直接关系。我们再看看那些为了达到快速扩张的目的,利用高杠杆融资运作,市场稍有变化就导致资金链断裂的企业,大概也都是属于此类吧。
5、风险与绩效建立了“关联意识”是要点
所以企业要想真正绘出这条综合的风险绩效曲线其实是非常困难的,我建议如果有想尝试的企业可以先从最简单、最易衡量、最方便关联其风险的绩效指标入手,进行探索。
虽然COSO承诺为了使其更具操作性,日后会发布实施指南来指导企业更好的实施,但我对这些指南的实用性仍然持保留态度,因为没有充足的实践来反复摸索和完善,是不可能得出一个完美的理论指南的。目前受几个大型集团的邀请,我也在协助他们进行风险绩效曲线的研究和尝试,已经形成一些有益的探索,期待这个“意识关联”会慢慢的在实践的基础上做到真正的“实质关联”。