在风险管理领域有个非常著名的海恩法则,它由飞机涡轮机的发明者帕布斯·海恩提出,大意是每一起严重事故的背后,必然有 29 次轻微事故,300 起未遂先兆,以及 1000 起事故隐患。通过该法则我们可以看到,风险管理的对象是那 1000 次 “隐患” ,而不是那一次事故本身。但既然为隐患,它天然就具有隐蔽性、不确定性的特点。尤其对于本身就具有 “敏感体质” 的建筑企业而言,在经营管理过程中更易受到各类风险冲击。因为一旦发生事故,其后果往往是灾难性的,这就要求我们将风险管理的意识深深刻于企业管理的方方面面。相较于其他企业,建筑企业在风险管理方面有什么特点?作为一个较新的理论,风险管理在中国经历了哪些创新?建筑企业在风险管理工作中又有哪些普遍的误区?我们将通过以上几个问题的回答,开启建筑企业风险管理的全新认知。风险源于不确定性,具体而言,是未来的不确定性对企业实现其经营目标的影响。从定义来看,“风险”是个中性词,因为不确定性除了带来事故外,理论上也会带来好的结果。既然风险是个中性词,为什么我们还要防范它?其中有两个原因,一是统计层面来看,在现实世界中,坏风险数量要远多于好风险的数量;二是坏风险对企业带来的影响程度,也要远大于好风险的影响。我们可以把一家企业看作一个与外界进行实时交互的复杂系统,由于外界各类输入要素的复杂多变,加之该系统内部结构存在各类缺陷,所以输出的结果具备一定程度的不可控性,这就是风险的极简模型。由该模型我们可以看出,风险一方面源自各类外部变量,另一方面又来源其内部结构。由于建筑企业的经营管理逻辑与其他企业有着明显不同,故无论从外部视角还是内在视角审视,建筑企业的风险来源都更为复杂多变。内部风险:企业的内部风险包括战略决策风险、管理运营风险、资源类风险等。随着行业的发展,工程项目逐渐呈现出规模大、周期长的特点,需要协调的各类生产资源众多,企业与外部环境的接口日益复杂。与此同时,由于建筑企业 “订单驱动” 特征明显,对固定资产投资与政策导向的变化十分敏感,这些因素对企业的战略决策能力与基础管理能力提出了极高要求。然而,与其他行业相比,建筑企业生产率水平较低,数字化、标准化水平相对落后,信息传导迟滞,这直接导致了企业在经营管理中危机四伏。外部风险:企业的外部风险包括政策风险、自然环境风险、市场波动风险、相关方风险等。建筑企业的外部风险多元化特点明显,且风险敞口巨大。与企业内部风险相比,外部风险的不确定性更大、风险因素更多、相互作用机制更复杂、潜伏期更长,且企业针对外部风险源直接干预的手段更为有限。大多数企业只能通过企业内部运营机制和资源布局的升级来对冲外部风险。由此可见,企业的内部结构与外部变量之间通过相互作用,共同决定了其风险抗性。而风险管理的核心,就是通过企业内部结构的调整,来对冲外部变量对企业经营成果的扰动。相较于欧美国家,风险管理在中国的起步较晚。风险管理工作在中国经历了从初步探索到逐步成熟的过程,其起源可以追溯到 2006 年。这之后,中国的风险管理体系大致经历了 1.0 与 2.0 两个阶段。两个阶段最大的区别是:1.0 阶段更多是就风险管风险,因此也产生了很多过度管理的问题;而 2.0 阶段是将风险管理融入到企业日常的经营管理中,让风险管理工作更加润物细无声。2006 年,国务院国资委发布了《中央企业全面风险管理指引》。这份文件不仅标志着中国企业风险管理工作的开端,还为企业提供了一套系统的风险管理方法和指导原则。在《指引》发布之初,企业界对风险的理解尚显初级,主要局限于金融行业和安全管理领域。但随着《指引》的推广和实施,很多企业开始逐渐认识到风险管理的重要性,并将其纳入到企业管理体系中。这一过程中,不少地方省市的国资系统也积极响应,出台或转发了相关的工作要求,推动了风险管理工作的落地实施。在这之后,风险管理作为一项独立的新职能出现,企业也开始尝试建立全面的风险管理体系,风险管理工作围绕着明确的风险管理总体目标进行。然而,这个过程中也暴露出一些问题,如新职能与其他职能的融合问题、风险管理的 “全面性” 导致工作失去焦点等。有些企业甚至出现了 “虚不胜补” 的现象,即企业的管理体系尚未完全成熟,突然引入大量的风险管理要求,导致企业难以适应。这种现象在一定程度上反映了当时风险管理工作的 “副作用” 。随着实践的不断深入和国际风险管理领域新成果的发布,中国企业风险管理开始进入 2.0 时代,即 “大风控” 模式。这一模式强调风险管理职能的扩充与整合,从原来单一的风险管理部职能扩展到整个第二道防线的职能。自此,风险管理就不再仅仅是风控部门的工作。在实践中,“大风控” 模式已经开始在一些企业中得到应用。这些企业通过整合风控、内控、合规、法务等职能,形成了一个更加高效和协同的风险管理体系。这种模式的出现不仅提高了企业的风险管理能力,还为中国企业参与全球竞争提供了有力的支撑。总的来说,中国风险管理工作经历了从初步探索到逐步成熟的过程,目前正在向更加整合、协同的 “大风控” 模式发展。这一演进过程不仅反映了中国企业对风险管理的日益重视,也展示了中国企业在全球风险管理领域的积极探索和创新实践。在过去的十多年时间里,风险管理工作在建筑企业中也受到越来越多的重视。时至今日,建筑企业管理者普遍意识到,仅依靠直觉或经验对风险作出准确判断已不切实际。领先企业纷纷通过建立科学的风险管理体系,力求实现对关键风险的动态管理和有效管控。但企业在推行风险管理的过程中,通常会遇到以下四个误区与痛点,严重阻碍企业风险管控水平的提升。因监管部门众多,加之建筑企业多会进行各类贯标与认证,导致各类泛风险管理体系众多,如 “合规管理体系、内部控制体系、风险管理体系” 等,很多企业将三者笼统称为 “风控合规体系” ,但并无辨明三者关系。在缺乏顶层设计的基础上,必将导致多体系并存、互相掣肘,严重阻碍企业运行效率。通常来说,合规管理是企业的最低要求,而内控体系,不仅要求合规,还要不断审视 “规” 本身的情况,但对于企业的战略决策类风险,通常无能为力。而风险管理与企业战略目标一脉相承,外延最为宽广,涵盖企业管理的方方面面,是风控合规管理的最高形式。只有辨析清楚这三者的关系,方能纲举目张、有的放矢。很多企业单纯地认为风险管理只是风控、法律、财务等归口部门的事情,或者片面地认为企业风险只有财务风险和法律风险。企业运营中 90% 的风险源自业务部门的日常经营管理行为,风控归口部门主要负责风险管理体系框架,各级领导、各级部门才是职责范围内风险与内控的责任主体。与此同时,企业的风险管理一定是一把手工程,领导的重视和表率是做好风险管理的决定因素。不仅仅是初创企业,很多成熟企业也认为对企业风险管理投入过多成本是不必要的。有此类想法的企业通常忽视了风险管理为企业带来的价值,也忽视了质量、安全、环境、巨额亏损等风险事件对企业品牌、声誉与经济方面的损害。其实,开展风险管理工作并不必然意味着增加额外的管理成本,也不必然意味着对于业务部门的业务拓展层层设卡、步步维艰,而只是增加了企业管理的系统性与有效性。企业有了合理的风险管理体系,管理者才可以放心授权,否则除了大包大揽,就只能充当救火队员,疲于奔命。很多企业过于高估或低估人性的作用,或片面强调人性之自私,认为违规行为防不胜防,故而干脆不妨;或过度仰仗自己的人格魅力,崇仰 “无为而治” 那套行为艺术。其实,在现代社会,有此类想法的企业是幼稚的。其实,“公与私” 的关系并非相互对立,“善与恶” 的边界也并非泾渭分明。好的体系,也可以有效引导人性中善的一面,压制人性中恶的一面;而坏的体系,却也可以逼良为娼,把好人变成坏人。而其中最可怕的,是那种出于善意的坏体系,因为通往毁灭的道路,通常都是善意铺就的。因此,我们无法忽视人性,也不能忽视体系。对于建筑企业而言,由于其经营管理的复杂性和敏感性,风险管理尤为关键。而风险管理的核心不仅在于应对事故本身,更在于预防和控制潜在的事故隐患。与此同时,中国的风险管理理论也在不断发展,从全面风险管理的 1.0 时代到大风控的 2.0 时代。理论的发展也对建筑企业的风险管理工作也带来了全新的要求。建筑企业在实施风险管理过程中,仍需警惕并避免陷入一些常见误区,如顶层设计混乱、缺乏战略认知、低估风险管理价值以及过度依赖人性等。
