此前,我们系统介绍了风险管理各模块的工具与方法,在风险管理单元的最后一讲,让我们把视角放大,从宏观层面谈一谈企业该如何构建风险管理体系的闭环。
一
制定适用的风险管理目标
在进行全面风险管理时,明确风险管理目标是一切工作的前提。风险管理的目标,并不是 “杜绝一切风险” ,甚至都不是 “尽最大可能防范风险的发生” 。这不仅是因为在理论上杜绝风险是不可能的,也是出于现实考虑的目的。
风险管理目标的设定,要考虑两个核心因素:企业的战略目标与风险偏好。战略目标越激进,风险的偏好程度越大,则企业对风险的容忍度就越高,风险管理的目标也就越宽松。通常而言,建筑企业在制定风险管理目标时需兼顾以下原则。
具体性原则
可衡量性原则
可实现性原则
相关性原则
时限性原则
灵活性原则
共同参与原则
在设定风险管理目标时,应鼓励项目团队成员的共同参与。这不仅可以提高团队成员对风险管理工作的认同感和责任感,还能集思广益,确保目标的全面性和实用性。
这些原则相互关联、相辅相成,共同构成了建筑企业进行全面风险管理工作的基石。当然,与其说是 “原则” ,还不如说是 “思考角度” 。 “原则” 二字,太过刚性与绝对。万事开头难,对于很多企业而言,建立起风险管理意识就已经难能可贵。
二
选择合适的风险管理体系
虽然风险管理对于企业的生存与发展至关重要,但不得不说,科学系统的风险管理工作在我国开展较晚。改革开放以来,我国经济飞速发展,“冒险者” 充斥着中国的各个领域。他们虽然创造了大量财富,但也为我国的商业秩序、营商环境带来了无穷无尽的问题。
但随着中国企业治理水平的不断提升,各类监管要求也日趋完善。在现代企业管理体系中,风险管理占据着举足轻重的地位。目前,国际和国内都存在多种风险管理的框架和标准,其中,COSO、ISO 以及我国的 GB/T 35770—2017《合规管理体系——指南》等是较为重要的指导文件。企业可根据实际需求选取合适的风险管理框架,制定符合自身需求的风险管理体系。
COSO 框架
COSO 框架是美国反虚假财务报告委员会下属的发起人委员会制定的,它为企业风险管理提供了一个全面、系统的视角,在国内应用最多的版本为 2013 版COSO《内部控制——整合框架》。COSO 框架将风险管理分为内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控等八个要素,强调风险管理应融入企业战略、运营和整个组织过程中。
COSO 框架适用于那些希望建立全面风险管理体系,将风险管理融入日常运营和战略规划中的企业。尤其适用于上市公司和大型企业,因为这些公司通常面临更复杂的内外部环境,需要系统的风险管理来确保稳定运营。
ISO 31000标准
ISO 31000 是国际标准化组织(ISO)制定的风险管理标准,它提供了一个通用的风险管理原则和指南,旨在帮助企业识别、分析和控制风险。
ISO 31000 标准适用于任何希望建立或改进风险管理体系的组织,无论其规模、类型和行业。它特别适合那些希望按照国际标准来管理风险,提高组织韧性和可持续性的企业。
GB/T 35770—2017《合规管理体系——指南》
GB/T 35770—2017《合规管理体系——指南》是我国制定的合规管理体系标准,旨在帮助企业建立、实施、评价和改进合规管理体系,以确保企业遵守法律法规和其他要求。
相较而言,在管理实践中,金融类机构采用 COSO 框架的较多,而管理咨询公司的风控类产品则多依托于 ISO 框架。但无论选择何种框架,其中的核心理念确实相通的,任何框架都只是工具范畴,其本身并不是目的。即使不使用任何的框架,企业在日常经营中始终贯穿风险意识,在制度流程的设计时融合风险理念,领导与员工都恪守己分、诚信经营,也不能说该企业在风险管理方面是低级的、落后的,甚至是比取得各类认证的企业还要领先。
三
构建科学的风险管理闭环
其实从第一性原理角度出发,“风险管理” 不应该是一个单独的体系,而是企业管理的方方面面。可以说,中国建筑企业在风险管理和内部控制方面的实践,深受监管机构的影响与推动,大量企业都不会将风险控制当成是核心工作来做。然而,我们必须明确一点:合法合规并非企业的终极目标,它只是企业经营过程中必须遵守的底线而已。与非营利组织不同,企业的核心使命是创造价值,通过精湛的生产技艺与周到的服务实现价值的增值。若企业无法完成这一使命,便失去了其存在的基础与意义。
希望未来,工匠们可以活得更好吧。
风险管理既是一种体系,也是一种意识
推荐阅读
