房地产企业全面风险管理

全面风险管理及其在实践中的运用

一、企业全面风险管理的认识与发展

现代企业管理的一大发展趋势是管理实践综合化、体系化和无缝覆盖，从财务领域的全面预算管理，到成本领域的全过程成本控制，从产品和服务质量方面的全面质量管理，到企业部控制领域的全面风险管理，无不体现了这一管理大趋势在现代公司体制下的最佳实践和深度运用。

在市场经济条件下，企业经营环境日趋复杂化，企业运行时刻处于各种风险之中，对于企业的风险管理认识和实践也日趋深化，美国控研究会（1949年）提出，企业风险管理是一套由企业董事会与管理层共同建立并与企业战略相结合的管理流程。它的功能是有效识别那些会影响企业运作的潜在事件，并将相关的风险管理到一个企业可接受的水平，从而帮助企业实现它的目标。

国务院国资委（2009年）在下发的《中央企业全面风险管理指引》第四条是这样定义企业全面风险管理的：企业全面风险管理指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略，风险管理信息系统和部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。企业管理的发展与人们对于事物的认识由表及里、由浅入深、由低到高、由零星到系统的逻辑是一致的，比如审计的发展，从最初的查帐，到凭证、账簿和报表，到账、证和物相核对，到现在的企业部业务流程测试和外部业务往来函证以及计算计模拟全业务流程还原式的审计；再比如说对于质量的管理，从最初认为质量是检查出来的，到质量是制造过程形成到，到后来质量涉及设计、制造、包装和运输以及售后服务等全过程，从对某环节、某工位点的控制，到全流水线的统计检测和预警，都反映了人们对于事物的认识深度和宽广度有个不断递进的规律性。

同样企业风险管理也经历过三个发展阶段：

最初的企业风险管理我们称之为孤立的风险管理，这一阶段主要表现为企业发生了风险事件以后，被动的、随意性地作出反应，当时的部控制更多表现为零星的事后的缺什么补什么的状态，企业只在个别的业务部门开展风险管理；是一种事

后的风险控制。

第二阶段是职能制的风险管理，目前我国大多数企业就处于该风险管理状态，主要特点是认识到企业风险管理的重要性和必要性，并且会专门设立一些职能部门或聘请外部专家开展企业风险管理，将风险管理落实到一些职能部门和专业人员，初步实行了按风险类别划分的专业化管理，如设立部审计部审计成本和会计核算，设立资金管理部统一管理企业资金，设立法务部或聘请外部律师负责企业业务合同审核等，该阶段会以信息化手段做补充，主要是分布在企业各个职能部门的孤立信息，相互之间存在许多缝隙和边界，比如财务、销售、工程之间互不沟通，企业风险管理存在许多薄弱环节和漏洞，企业对于外部风险还处于被动应对甚至是不设防状态；是一种偏于事后和事中的风险管理。

第三阶段，全面风险管理阶段。美国安然事件后出台的索克斯法案404条款，提高了企业高管风险责任成本，要求大企业特别是上市公司推行全面风险管理。我国在2007年出台《部控制基本规》要求上市企业从2008年7月起施行，后由于遭遇金融危机而暂缓，2009年国务院国资委出台《中央企业全面风险管理指引》，全面风险管理首先在央企推行，可以预见不久将推广到所有上市企业和大型企业。

全面风险管理区别于传统职能型风险管理最根本点是有一个风险管理中心、一个闭环的风险管理业务流程和一个体系化的全覆盖的信息化管理资源：

一个风险管理中心：现代风险管理理论认为，现代企业处于一个“风险宇宙”（图2）式的经营环境之中，风险实际表现为各种各样不利于企业达到预期目标的事件，它们象各种大小星体围绕着一个宇宙中心一样无时无刻不断旋转，并乘机侵害企业肌体，就象随时会落下殒石一样冲击地球，给地球带来伤害。因此，企业风险管理必须有个中心，统一协调管理企业外部风险，类似宇宙中心，时刻与外围星体保持能量守衡，方可维持正常的体系运行。在现代大企业危机处理中心其实就担当着这一管理中心的职责，其他如战略管理、部审计、法律合同审核、招标采购、客户服务、公共关系管理、资金管理等，都是在危机处理中心管理和下派的职能管理部门，它们担当中心的手和脚，在一线执行现场管理，时刻与中心保持联系，中心是它们的智库和总指挥。

一个闭环的风险管理业务流程如下（图1），包括：

1、风险识别：影响企业经营目标达成的事件是什么？或者说谁最有可能对企业经营目标的实现构成不利影响？

2、风险评估：发生了某些不利事件，进行定性和定量两个角度进行评估，为采取不同的管理措施提供依据。定性方面，这事件对企业形象、声誉、品牌、产品和服务等方面有哪些不利影响？定量方面，发生这样的事件，直接经济损失有多大，间接损失在哪些方面，有多大？

3、风险控制：进行成本与收益分析，通过对比，确定采取何种应对方法。一般风险管理有四种方法应对：

（1）风险接受：通过产品或服务的定价，反映相关的风险；如因质量问题主动进行价格折让销售，以承担部分损失的方法来销售产品，化解矛盾；

（2）风险缓解：通过改善部控制及流程来减少现有的风险；亡羊补牢，犹为未晚。吸取教训堵塞漏洞，方可减少损失；

（3）风险规避：通过关闭一些业务部门或退出一些主要的市场来规避风险；在市场不景气的时候，通过收缩产品线或出售非主营业务来保持现金流，应对危机；

（4）风险转移：通过购买保险、进行合作、合资经营或实行外包等方法，把风险转移给第三方。

4、风险报告和监控：作为一个风险事项管理的末端，起到一个总结和深化认识，为下一次风险管理起到预警和提供最佳实践例，是该阶段完成流程闭环的主要功能，是承上启下，也是惩前毖后。风险报告一般需要包括的容：事件概况、影响识别风险 评估风险

监督和报告风险 控制风险

程度和围、第一手调查、处理或应对经过，目前状态、后续预防措施，对于本次风险管理全过程流程和效果的评估与改进建议等；

报告的形式主要有：

风险控评估报告：

（1）最高风险报告：按照影响程度和发生的可能性大小，企业要结合自己特点设立三项风险（事件），必须提交最高风险报告；

（2）最高风险成因报告。

损失管理报告：其中的最高损失报告中，企业可以自行设置三类最高损失的事件定性和损失金额定量；

月度风险报告：

预警报告：根据企业不同业务或产品特点，自行设置少量关键的风险衡量指标，主要有：人为风险（如员工流失率）、信息技术风险（如系统失灵时间）、法律风险（如未决的诉讼）和合规性风险（如违规的次数）等，当触及指标值时，就必须有风险监控部门提交报告，以警示有关部门或人员关注风险和管理预防。

一个体系化的全覆盖的信息化管理资源：全面风险管理，要做到企业风险管理是纵向到底，横向到边，并且构筑起一个风险管理中心带动企业所有职能部门和专业人员的“全企业（含上下游企业）、全业务流程和全体员工”的全面风险管理体系。如此复杂的结构，必须借助于现代信息互联技术手段，当前主要是ERP（企业资源规划系统）系统，才可能做到系统、实时和有效衔接。目前大多数国企业的信息管理现状是：部门孤立、信息数据隔阂、人员交流非制度化、业务大多非流程化，企业与外部上下游伙伴之间缺乏稳定的互信和契约关系，信息化管理水平还没有上升到一个企业战略管理高度。因此，风险管理要适应现代企业管理的全面、综合和体系化，尚需要理念创新、大量投入信息化资源建设。通过信息化手段，全面风险管理融事后控制、事中监控和处置、更主要是事前预警为目的，将风险管理大大前置，从而有效降低了不良事件发生概率以及减少不良事件发生后对企业造成的直接或间接损害。

二、企业全面风险管理框架及其与公司治理关系的深化

企业全面风险管理体系嫁接到现代企业中来，还需要有一个企业风险管理框架，