货交易出现巨亏后,国资委开始重视央企的风险管理并于2006年颁布了《中央企业全面风险管理指引》;金融危机爆发后,财政部、证监会、审计署、银监会和保监会又于2008年联合发布了《企业内部控制基本规范》,许多大型建筑企业为了遵循合规,在ERM建设中做出了较大的努力,但由于缺乏对ERM的深入认识,仍然难以脱离项目风险管理为主的风险管理理念,尚未形成完整的、涵盖企业各部门、各层级的全面风险管理,主要表现在以下几个方面:
(一)对建筑企业的风险管理研究主要集中在项目级的风险管理上。
从COSO和《指引》的定义来看,ERM的内容已超出了项目风险管理的范围,并且突出了风险管理以增加企业价值为最终目标,而项目风险管理只关注某个项目本身的目标。局限于建设项目风险管理,忽视企业级的全面风险管理第一会导致不同项目的管理者不同的决策依据使得项目风险管理难以完全符合企业战略目标;第二是分散而没有组织的风险管理模式阻碍了企业高层对项目风险的总体了解,并且不利于企业资源的分配;第三是不利于风险管理信息的积累。
(二)对ERM在企业发展中的地位认识不足。
企业普遍认为风险管理会增加企业运营成本,没有从积极的角度来将全面风险管理作为一个改善企业绩效的契机。企业高层领导者对ERM的不重视或者只是将风险管理看作是内部控制的一部分,这导致ERM不能得到应有的战略地位,难以在我国建筑企业内得到认可和推广。
(三)ERM不能与企业经营系统结合,管理制度有漏洞。
一些企业和部门只注重ERM制度设计,而忽视制度的执行。ERM制度在执行过程中存在较大的偏差,有的甚至成为一纸空文。这使得ERM流程与企业经营相脱离,与企业内部控制系统、信息系统等相脱离,过于依赖个人的管理能力,风险管理流程仍旧不完整,多数情况下只对风险事件进行事后处理,缺乏风险管理整体策略。
(四)风险管理组织机构建设不完全。
《指引》规定,企业应在董事会下设立审计委员会,具备条件的企业,董事会可下设风险管理委员会;《COSO-ERM框架》则提倡企业设立首席风险官这一职位。但是目前建筑企业鲜有单独设置的风险管理部门,风险管理人员处于分散状态,缺乏统一的管理并给予指导,也没有相应的奖励与考核措施。
(五)尚未建立良好的风险管理文化。
良好的风险管理文化是实施ERM的基础和推动力。建筑企业高层领导和普通员工对风险管理的理解还比较片面,全面风险管理意识不强,没有意识到企业的风险管理需要全员参与、全员负责,而不仅仅是领导、审计或财务人员的工作。许多企业没有统一的风险管理语言,忽视对风险管理人才的培养,没有建立良好的风险文化氛围。
三、案例分析
一个良好的适合本企业的ERM框架应达成以下目标:将风险偏好与企业战略相联系;确保风险管理战略同组织的发展战略和股东的价值相一致;提供鉴别和评估风险的工具,以利于鉴别和评估组织所面临的风险;提供对风险进行科学归类的工具,利用风险最优化的概念,以组合观为基础来探讨风险议题;将企业风险管理与基本的经营活动相整合,避免额外的成本支出。
(一)控制环境
1 发展目标
按照企业制定的战略发展目标,以及与之配套的战略目标、经营目标、报告目标和合规性目标,制定ERM体系建设的总目标和年度目标。A公司制定的建设ERM的总目标为:立足公司整体协调发展,以源头治理和过程控制为核心,以防范风险和提高效率为重点,建立以风险管理为主要内容,涵盖经营管理各领域,较为完善和有效运行的内控体系,促进公司实现稳健发