一、全面风险管理(ERM)的实施背景及意义

　　 自2001年北美非寿险精算师协会(CAS)提出全面风险管理(Enterprise Risk Management或Enterprise-wide Risk Manage-ment，国内也译作“企业风险管理”，以下简称ERM)以来，这一理论在西方国家得到了快速的发展。ERM的核心思想是：企业的风险来自很多方面，最终对企业产生影响的不是某一种风险，而是所有风险联合作用的结果，所以只有从企业整体角度进行的风险管理才是最有效的。全美反舞弊性财务报告委员会发起组织fCommittee Of Sponsoring Orga-nizations of the Treadway Com-mission，简称COSO委员会(于2004年发布的《企业风险管理——整合框架》(以下简称《COSO-ERM框架》)强调ERM是一个过程，受企业董事会、管理层和其他员工的影响，其包括内部控制及其战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。我国国资委于2006年颁布的《中央企业全面风险管理指引》(以下简称《指引》)也明确提出全面风险管理，即企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，从而为实现风险管理的总体目标提供合理保证的过程和方法。

　　ERM能正确识别与评估企业面临的所有风险，为企业的战略决策提供基本依据；帮助企业避免财务危机，保障企业健康稳定地发展；降低重大风险发生的可能性，并减轻风险事件造成的损害，大大减少企业风险支出；提高风险管理效率，降低风险管理成本；提高企业信誉，降低融资成本等。通过以上途径，ERM能够显著增加企业价值，帮助企业成长，并增强企业竞争力。但是，不同行业之间、不同企业之间实施ERM的程度差异很大，具体到我国建筑行业，企业的ERM建设还相对比较落后，需要进一步的研究和更多的实践。

　　二、建筑企业的全面风险管理问题

　　 以建设项目为推动力的建筑企业具有以下特点：一是大型建筑企业业务范围很广，包括融资、设计、建设和运营等；二是建筑产品价值运转具有投资大、周期长、单件性的特点，并且项目最终盈亏不确定性程度高；三是经营业务的参与各方关系复杂；四是大型建筑企业国际化程度高；五是受外部因素的影响很大。结合上述特点，建筑企业面临的主要风险可分为：经营风险、战略风险、资本风险、法律风险、市场风险、信用风险、政治风险、企业领导人风险、人力资源风险等。

　　中航油新加坡公司期货交易出现巨亏后，国资委开始重视央企的风险管理并于2006年颁布了《中央企业全面风险管理指引》；金融危机爆发后，财政部、证监会、审计署、银监会和保监会又于2008年联合发布了《企业内部控制基本规范》，许多大型建筑企业为了遵循合规，在ERM建设中做出了较大的努力，但由于缺乏对ERM的深入认识，仍然难以脱离项目风险管理为主的风险管理理念，尚未形成完整的、涵盖企业各部门、各层级的全面风险管理，主要表现在以下几个方面：

　　 (一)对建筑企业的风险管理研究主要集中在项目级的风险管理上。

　　从COSO和《指引》的定义来看，ERM的内容已超出了项目风险管理的范围，并且突出了风险管理以增加企业价值为最终目标，而项目风险管理只关注某个项目本身的目标。局限于建设项目风险管理，忽视企业级的全面风险管理第一会导致不同项目的管理者不同的决策依据使得项目风险管理难以完全符合企业战略目标；第二是分散而没有组织的风险管理模式阻碍了企业高层对项目风险的总体了解，并且不利于企业资源的分配；第三是不利于风险管理信息的积累。

　　(二)对ERM在企业发展中的地位认识不足。

　　企业普遍认为风险管理会增加企业运营成本，没有从积极的角度来将全面风险管理作为一个改善企业绩效的契机。企业高层领导者对ERM的不重视或者只是将风险管理看作是内部控制的一部分，这导致ERM不能得到应有的战略地位，难以在我国建筑企业内得到认可和推广。

　　(三)ERM不能与企业经营系统结合，管理制度有漏洞。

　　 一些企业和部门只注重ERM制度设计，而忽视制度的执行。ERM制度在执行过程中存在较大的偏差，有的甚至成为一纸空文。这使得ERM流程与企业经营相脱离，与企业内部控制系统、信息系统等相脱离，过于依赖个人的管理能力，风险管理流程仍旧不完整，多数情况下只对风险事件进行事后处理，缺乏风险管理整体策略。

　　 (四)风险管理组织机构建设不完全。

　　良好的风险管理文化是实施ERM的基础和推动力。建筑企业高层领导和普通员工对风险管理的理解还比较片面，全面风险管理意识不强，没有意识到企业的风险管理需要全员参与、全员负责，而不仅仅是领导、审计或财务人员的工作。许多企业没有统一的风险管理语言，忽视对风险管理人才的培养，没有建立良好的风险文化氛围。

　　 三、案例分析

　　 一个良好的适合本企业的ERM框架应达成以下目标：将风险偏好与企业战略相联系；确保风险管理战略同组织的发展战略和股东的价值相一致；提供鉴别和评估风险的工具，以利于鉴别和评估组织所面临的风险；提供对风险进行科学归类的工具，利用风险最优化的概念，以组合观为基础来探讨风险议题；将企业风险管理与基本的经营活动相整合，避免额外的成本支出。

　　 (一)控制环境

　　1　发展目标

　　按照企业制定的战略发展目标，以及与之配套的战略目标、经营目标、报告目标和合规性目标，制定ERM体系建设的总目标和年度目标。A公司制定的建设ERM的总目标为：立足公司整体协调发展，以源头治理和过程控制为核心，以防范风险和提高效率为重点，建立以风险管理为主要内容，涵盖经营管理各领域，较为完善和有效运行的内控体系，促进公司实现稳健发展。

　　2　管理理念与企业文化

　　风险文化的缺失已经成为企业建立ERM体系最大的阻碍之一，培育建筑企业的风险文化刻不容缓。确立全面风险管理理念，体现企业认知经营管理风险所共有的信念和态度。将风险管理文化融入企业文化建设全过程，树立和传播正确的风险管理理念，增强守法意识和诚信意识，将风险管理意识转化为员工的共同认识和自觉行动，提高全员风险意识。A公司提出在继承发扬风险管理文化中，高级管理人员应发挥表率作用，中层管理人员应发挥骨干作用。

　　3　风险管理策略

　　企业应围绕发展战略，首先确定风险偏好、风险承受度，体现全面风险管理的总体策略，并据此制定风险应对方案。这其中，风险偏好体现企业在战略制定与实施过程中愿意承受的风险范围和风险水平；风险承受度体现企业在实现特定目标过程中对风险的可接受程度。确定风险偏好和风险承受度，要正确认识和把握风险与收益的平衡，防止忽视风险，片面追求收益或者单纯为规避风险而放弃发展机遇。风险承受度与风险偏好要保持一致。

　　4　ERM组织结构

　　不同的企业应根据实际情况，设置专门的风险管理机构或相应的岗位负责风险管理日常工作，形成决策机构、管理机构、执行机构、监督机构四位一体的ERM组织体系。企业风险管理工作应与其他管理工作、业务工作紧密结合，把ERM融入企业管理和业务流程中，同时应注意做到权责分明。
　 例如，A公司成立的由总经理担任主任的内控体系建设委员会是ERM建设工作的决策机构。内控办公室是ERM建设的日常管理部门和委员会的办事机构，对风险业务实施归口管理。公司总部各部门、各单位作为执行机构，按照内部控制和风险管理体系的统一要求，具体组织落实。审计、监察部门则行使监督职能，负责对ERM体系运行状况实施测试监督。

　　5　人力资源政策与措施

　　建立完善的公司各级领导人员和各级各类人才选拔任用、管理考核和激励监督等方面的政策。通过对企业员工的培养，可以塑造一批既精通建筑企业业务流程，又懂得风险管理方法的全面人才，帮助企业提高竞争力。

　　 (二)风险评估

　　风险评估是识别及分析影响经营目标实现的风险的过程，是风险管理的基础。在风险评估中，既要识别和分析对实现目标具有阻碍作用的风险，也要发现对实现目标具有积极影响的机遇。A公司通过风险识别并编制风险对照表(包括企业层面的风险和业务活动层面的风险)、风险评价、选择风险应对方案，完成对企业面临的所有风险的评估工作。

　　 (三)控制活动

　　控制活动是确保管理层关于风险应对方案得以贯彻执行的政策和程序。企业应根据风险管理策略，针对各类风险或每一项重大风险制定相关的规章制度、控制政策和控制措施。《COSO-ERM框架》指出，每个企业都应建立适合自身的ERM制度。ERM制度、流程和方法应在建筑企业高层领导确定风险管理目标、风险偏好和风险容忍度的前提下，由风险管理机构负责设计，由企业全体员工共同执行。ERM制度应当是一份细化的、易于理解和便于执行的风险管理策略体系，并制作风险管理手册，这其中应该包括项目风险管理、企业级财务风险管理、市场风险管理、法律风险管理等内容。需要强调的是，制度本身没有控制风险的能力，只有将其贯彻实施，才能发挥制度的作用。

　　A公司在描述业务流程并绘制流程图、对业务流程进行风险控制分析并编制风险控制文档(RCD)的基础上，落实关键风险控制点，使得全面风险管理流程有章可循、有迹可循。

　　 (四)信息与沟通