【全文】
当前企业所处经营环境正经历深刻的变化。传统意义上可预测的市场格局已发生巨大改变,取而代之的是各种复杂且难以预料的状况。
地缘政治紧张、技术革命性突破以及供应链结构性重塑等等,这些问题不再是偶发的个性化的风险,而是频繁对企业生存与发展根基产生冲击的大概率事件。
企业管理的逻辑也因此发生了根本性的改变:从如何在相对确定的环境中实现利润增长,转变为如何在高度不确定的环境中维持生存和健康发展。
构建和增强战略韧性,正是实现这一转变所需的核心能力和关键机制。
一、 战略韧性的内涵与普遍需求
理解战略韧性,首先需要明确其内涵。战略韧性并非指企业单纯地抵抗冲击或在受创后恢复原状的良好表现,而是一个包含三个层次的能力体系。
第一层是预见与缓冲能力。这意味着企业能够系统地监测外部环境,识别可能影响其战略设计与执行的趋势、潜在威胁与机会,并通过预先的布局和准备工作,降低危机发生的可能性或减少其影响强度。
第二层是抵御与适应能力。当冲击不可避免地发生时,企业能够依靠其内在的稳健结构和运营弹性来吸收震动,保持核心业务的连续性,并在变化的环境中及时调整策略以维持基本方向。
第三层是学习与进化能力。企业在经历危机后,不仅能快速恢复,更能从中进行深度反思,审视自身的商业模式、战略前提和管理模式,进而推动业务重构、模式创新与能力升级,最终以更强的姿态适应新的竞争环境。
如前述,在当下,不管什么行业什么类型的企业,构建战略韧性已从“一种选择”变为“一种必需”。这一需求,皆来源于当前商业环境的以下几个特点。
首先,系统的互联性,放大了单一节点的脆弱性。全球化使企业均嵌入一个复杂的生态网络中,一个遥远地区的政策变动、一家上游供应商的意外中断、一项技术标准的变更,都可能通过错综复杂的传导链条,演变成对自身业务的重大冲击。在这种环境下,几乎没有企业能完全置身事外。
其次,竞争格局正经历根本性重塑。数字技术的普及大大降低了行业壁垒,催生了大量非传统的竞争对手。企业固有的优势,如规模、品牌或渠道,可能因新商业模式的出现而迅速瓦解。企业面临的挑战不仅来自已知的对手,更可能来自未知领域的颠覆性力量。缺乏韧性的组织,即便没有遭遇外部突发冲击,也可能在行业的结构性变迁中被淘汰。
最后,利益相关方的期望发生了显著变化。投资者、客户、员工及监管机构越来越关注企业的长期生存能力与非财务表现。一个在危机中展现出强大韧性的企业,能够赢得更高的信任度、更强的客户忠诚度和更稳定的市场估值。
反之,一次危机应对的失败就可能导致声誉严重受损、核心人才流失与资本撤离。韧性,本身已成为一种无形资产和市场竞争优势。
综上,构建战略韧性,本质上是企业在新的生存条件下,为保障自身持续存在和健康发展所必须进行的管理升级。
二、COSO风险管理框架对价值的聚焦及其局限性
在企业风险管理思想的发展历程中,COSO发布的2017版《企业风险管理——与战略和绩效的整合》框架是一个重要的节点。可以说,它代表着风险管理从“以控制为核心”的传统模式,转向了以“价值创造为核心”的现代模式。
该框架将风险管理的目标表述为“在价值创造、保存和实现的同时,通过管理风险来提升价值”。这一目标设定,回应了以股东价值为核心的企业治理模式。
在该框架形成时期,企业治理的主导逻辑是股东利益至上。因为,将风险管理的效果置于“价值”的维度上,最容易获得董事会和管理层的理解与支持的。
同时,这一目标也为风险管理部门争取在企业内部的更大话语权提供了依据。长期以来,风险、内控等部门被认为是不直接创造利润的成本中心。
通过将自身职能与“价值创造”这一企业的使命紧密关联,风险管理专业领域得以突破中、后台职能的限制,进入决策圈层,参与甚至影响企业的重大选择。
该框架还强调风险管理应关注风险的“双向性”,即不仅要管控可能带来损失的“下行风险”,也要关注可能错失机遇的“上行风险”。这将风险管理塑造为一个中性的、用于优化决策的科学工具,从而在追求业务增长与保障运营安全之间建立了平衡。
然而,这种对“价值”的聚焦,在当今不确定性剧增的环境下,显现出该框架的局限。当企业遭遇的冲击是颠覆性的、足以改变行业根本规则的——例如,核心业务被全新技术所替代,或主体市场因地缘政治而永久丧失——此时,基于原有逻辑的“价值创造”前提本身可能已经失效。
在生死存亡的危机面前,企业的首要目标一定是从“如何创造更大价值”转变为“如何维持生存以等待未来的发展机会”。此时,组织的韧性,即保持其核心能力、关键资源与组织凝聚力的能力,其重要性将远超短期的价值创造。
COSO新版风险管理框架提供了一个在“游戏规则”相对稳定时如何取胜的指南,但在“游戏规则”本身被改变时,企业更需要的是确保自己“能继续留在游戏中”的能力。
这正是“战略韧性”这个新概念可对其予以补充和深化的关键所在。
三、 OCEG的“有原则的绩效”及其现实挑战
与COSO上述框架相比,开放合规与道德团体(OCEG)为治理风险与合规(GRC)则描绘了一个更为宏大的目标,即“有原则的绩效”。
该组织将GRC定义为“可靠地实现目标、应对不确定性并诚信行事”,并赋予其目标为““有原则的绩效”。这一目标致力于融合“效率”与“商业伦理”之间存在的裂缝,强调任何卓越的绩效,如不是以诚信和合规的方式获得,都是不可靠且难以持续的。
它将GRC管理从一套技术性工具提升为组织的核心信念和价值追求。
OCEG提出的GRC强调绩效的“可靠性”而非单纯的“规模”或“速度”。一个能够持续、稳定、可预测地交付成果的组织,在长期的竞争中往往比一个业绩大起大落的组织更具优势。
尽管“有原则的绩效”树立了一个崇高的标杆,但作为一个具体的管理目标,其也面临着一些现实的挑战。
首先,作为一种“状态性目标”,其衡量标准存在一定的模糊性。“有原则的绩效”更像是一个需要持续接近的“理想境界”,而不是一个清晰的、可阶段性达成的“管理任务”。
管理者在日常决策中,常常需要在两难之间进行权衡,例如,在巨大的生存压力下,是暂时放宽某些原则,以换取周转空间,还是坚守原则,直面可能的风险?此时,“有原则的绩效”这一目标难以提供具体的决策依据。
其次,与当前复杂环境已不匹配。在相对稳定、规则明确的市场环境中,“有原则的绩效”能够指引企业稳健前行。然而,在剧烈变化的复杂环境中,当外部的颠覆性变化与企业内部固化的体系产生矛盾时,企业是灵活调整甚至重新定义其边界,还是固守原来的原则?
过度强调原则的刚性,可能会削弱组织应对颠覆性变化所所需要的灵活性与适应性,而这恰恰是战略韧性的核心功能。
四、GRC管理的新目标
基于以上分析,本文提出,在当前及未来很长一段时间内,GRC的目标应确定为:增强企业的战略韧性。这一界定,尝试吸收COSO框架中“提升、保护和创造价值”的务实精神,也为实现OCEG“有原则的绩效”这一理想状态提供更具操作性的实现路径。
在这里,战略韧性既是一种能力,也是一种目标。能力是目标的实现手段,目标是能力的方向指引。战略韧性作为一种能力,体现在前述“预见、适应和进化”三个维度上。
企业推进这三个维度的能力建设,就是在增强企业的战略韧性,也即在实现GRC管理的目标——我们投入资源建设GRC体系,最终是为了获得什么?答案不是一堆程序文件或体系认证,而是企业内存在的、难以被模仿的动态核心竞争优势。即无论外部环境如何变化,企业都能存活下来并能找到新的发展路径的强调生命力。
这种GRC目标的定位,使得GRC管理与企业最根本的生存与发展需求直接关联,其重要性比“价值创造”、“有原则绩效”更为关键,更为底层。
在充满不确定性的时代,企业的最高层次战略,就是构建自身的战略韧性。GRC管理,作为一种整合的管控,其使命正是成为这一最高战略的“执行者”。
通过将“增强企业的战略韧性”确立为GRC管理的新目标,不仅为所有治理、内控、风险、合规等相关管理活动找到了统一的价值归宿,更是为企业指明了一条在动荡中把握未来、在挑战中实现持续发展的稳健之路。
