企业风险管理信息化建设探析

闫君

【摘 要】企业在市场竞争中面临着日益增多的风险，随着外部监管日趋严格，以及自身发展的需求，企业风险管理对信息技术的需求日渐强烈。本文在分析企业风险管理中信息技术的必要性基础上，详细阐述了企业风险管理信息化建设的思路、目标以及建设构架。文章认为信息化建设应该包括风险评估、风险应对、风险监控、风险报告、风险的控制与改进等环节，完成信息的收集、加工和处理，与业务流程联动，从而提升风险管理工作的效率与效果。

【关键词】企业；风险管理；信息化；建设

一、企业风险管理中运用信息技术的必要性

1.外部监管的推动

2006年，国资委《中央企业全面风险管理指引》要求“企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统。”结合企业的ERP体系建设，逐步建立和完善风险管理信息系统，这是提升全面风险管理效率、加强风险监控的重要手段。2009年，财政部、证监会联合五家部委联合出台了《企业内部控制基本规范》和《企业内部控制配套指引》，要求企业建立内部控制信息系统，控制手段的改变可能带来控制不足或控制过度的风险，这就对全面风险管理建设提出了更高的要求。

2.自身发展的要求

企业风险管理信息化可以有效解决风险管理效率和管理风险的矛盾，推动风险管理工作的发展。通过信息化建设，在信息平台上可利用计算机抽样，确保抽样调查的客观性和科学性；同时，可以利用计算机全面开展风险管理工作，降低运算错误，提高工作效率。另外，标准化、规范化是提高工作效率的一条捷径，风险管理信息化建设将从风险管理的概念出发，整合企业风险管理和内部控制的工作范围和业务划分，改进工作方法和流程，建立统一的数据库、模板库，从而促进风险管理工作标准化、规范化建设。

3.市场竞争的需要

随着信息新技术的涌现，为转移和及时监控风险提供了有力的手段。当前，大多数企业主要以手工的方式进行风险识别、风险分析、风险评价等风险管理工作，或采用只具有基本工作文档存储功能的风险管理应用软件，远远不能满足“以风险为导向、以业务为驱动、以信息技术为手段”的全面风险管理的要求。因此，在风险管理工作中运用信息技术手段是企业进行全面风险管理不可或缺的重要必备条件，具有较高的推广价值。

4.与国际接轨的桥梁

随着全球化的发展，来源于同行业风险管理信息化的优秀成果和好的经验不断出现，各类企业在这方面都取得了积极进展。国有大型企业走出国门要同国际接轨，信息化目标不能仅在于满足风险管理和作业这个层面，而是要通过信息技术手段上升到促进企业内控和风险管理信息化体系建设、实现企业目标和价值、有效利用企业业务信息资源、融入企业经营管理信息系统等高度，使企业在不断变化的内外部环境中健康可持续性发展。

二、企业风险管理信息化建设

1.企业风险管理信息化建设的思路

风险管理信息化建设是一项系统工程，需要顶层设计的方法论，从全局角度，对某项任务或者某个项目的各方面、层次、要素统筹规划，集中有效资源，高效快捷的实现目标。首先要确定风险管理信息化的定位和目标，不要一开始专注于业务流程、细节、分析的软件等，要从大处着眼；二是要分析企业整体信息化的环境，确定风险管理信息化在整体信息化中的位置和关系，要紧密结合本身实际；三是要把风险管理信息化的目标自上而下分解，在整体设计的基础上落实到具体的风险管理信息系统和功能模块中。

通过对风险管理信息平台的建设，建立集团公司、成员单位的分级风险管理体系，逐步形成重大投资、融资、决策等风险集团公司管控，成员单位根据授权分级执行的管控特点，完成信息的收集、加工和处理，与业务流程联动，建立每一风险事件与相关管理制度、程序的对应关系，建立预警指标与风险事件的映射关系，进一步提高风险预警能力及管理的科学性和准确性。帮助成员单位分析风险对经营、管理指标的影响程度，同时生成各类风险管理报告，满足国资委、审计署等上级部门的要求。同时，大幅提高集团公司全面风险管理工作效率，增强风险管理能力。

2.企业风险管理信息化建设的目标

（1）管理目标

建立一套符合《企业内部控制基本规范》管理要求，体现企业管理特色的风险管理信息系统。统一语言、统一标准，建立起企业各个层面都参与其中的风险管理的沟通与协作平台，便于风险管理在各业务单元和分支机构中实现“分级管理”、“同步推广”和“协同应用”。

以落实风险管理为核心，以先进的信息技术为手段，通过信息平台对数据的综合分析/展示功能，为企业管理者提供及时、可视化的公司风险管理覆盖范围、控制目标、实际控制等建设情况，为管理决策支持依据；通过先进的风险管理方法、工具和信息技术手段，提高风险管理的组织能力、应用能里和工作效率；通过统一的风险管理信息平台，标准、高效的参与风险评估、执行应对落实，在企业内部深化风险意识；通过风险管理信息平台为企业的信息披露提供更全面、客观的风险信息，提供企业透明度。

（2）应用目标

使企业风险管理信息与企业的ERP系统等主要业务管理信息系统对接接口、集成并获取数据，将企业的经营活动与风险相互关联，从而便于在企业的日常经营活动中及时识别风险、应对风险。

通过信息技术对企业关键风险指标进行采集，实现对重大风险的有效监控。通过对数据的处理分析功能实时出具各种风险管理报表，便于信息获取、传递和汇总。

为企业风险管理工作的工作流程和程序提供信息化的固化环境，促使风险管理工作的规范化和标准化，提高工作效率。

3.企业风险管理信息化建设构架

（1）企业组织架构信息管理

风险管理信息化建设应覆盖集团和分子公司的管理组织体系，实现以董事会和企业高管领导为指挥小组，风险管理部门为主要管理部门，业务部门为执行部门的多级管理职能结构，实现职责聚焦、分工明晰、灵活授权的综合管控体系。通过组织、岗位、权限配置，明确各级岗位风险管理要求，结合业务管理特点，逐步将风险管理职能机构与企业已有业务管理职能结构相对应，实现风险管理与运营管理的初步整合。endprint

明确风险管理组织结构在全面风险管理事务中的角色定位，并据此合理设定风险管理工作中的汇报路径，确保各项风险管理工作得到高层管理者的支持。从而确保下属单位与总部之间风险信息收集、分析、评估、汇报机制的畅通，形成上下一体、分工明确的风险管理组织体系。

（2）风险评估管理

风险识别是发现和描述风险的过程，是风险评估的第一步骤，为风险分析提供输入，关系到风险评估的质量，影响风险控制的手段和措施。通过数据库对风险进行识别和初步评价，将企业外部环境及内部各流程进行梳理和排查，识别出与经营管理等密切相关联的风险点，记录辨识出的战略、规划、年度经营与管理计划或其他重大决策所面临的风险。信息系统应支持灵活多样的风险辨识方式，应提供多维度、多视角的统计分析报表功能，对风险事件及风险要素进行分析，通过信息综合分析来协助发现风险。

风险分析是理解风险特性和确定风险等级的过程，是风险评估过程的重点。风险分析能够帮助企业从不同的维度对风险进行定性和定量的分析，也为企业提供风险分布图、指标趋势变化等量化分析工具和模型，确定各个风险的重要性等级和管理改进优先等级，明确本单位的重大风险及需要重点改进的风险，通过评价结果的统计分析，在风险应对过程中持续监控风险指标变化情况。

风险评价针对已经过分析识别和风险分析的风险进行评价，系统应支持风险评价项目的全过程管理，通过内置的评价流程对风险评价的执行情况进行管理和监督；支持对风险多维度地进行定性和定量评估；支持根据风险准则和业务运营数据的动态变化，自动调整风险评估值。在系统内制定并记录年度风险评价计划，实时反映进程与状态。在风险评价过程中，实现分项目、部门、风险等不同维度进行统计、分析及专项评估的功能。

（3）风险应对管理

根据不同的风险类型，选择风险管理策略，确定风险管理所需人力和财力资源的配置。根据风险应对策略制定风险应对方案，填写应对计划与措施，并明确责任部门、协同部门和所需资源等。建立风险应对方案与内控流程、控制点、控制措施、内控检查评价、管理规范与制度等的关联，实现风险控制措施的落实。相应责任部门与管理部门可实现对风险应对方案审批流转过程的管理，并通过待办事宜方式提醒审批人处理该项审批任务。应对方案可对风险进行分解，可以关联公司战略目标、应对单位的整体目标、风险应对目标。对应对措施的执行情况应该可以进行跟踪记录，记录各部门和分支机构对应对措施的落实和执行情况。根据绩效考评制度，依据公司目标结合风险管理目标，设置绩效考核指标体系，对公司内部各责任单位的应对效果进行定期考核和客观评价。根据应对措施评价结果，明确对应措施的完善、监督、接受、优化等策略。

（4）风险报告管理

通过信息平台提供各类风险报告模板，支持定制客户化内控及风险相关报告、报表；支持报告编制、审批、发布的全过程管理；支持自动计算、汇总风险管理报告所需数据，自动汇总、传递企业内部及各个层面之间的沟通信息、内部专题通报等。通过可视化图表分析风险数据，提供决策支持数据，报表可导出为EXCEL等文档。

对于报告标准模板设计新增、修订、删除、查询等操作功能，为各级部门提供易用的报告标准模板。构建各基层向上级汇报风险报告的提交、流转、审批渠道体系。基于统一模板，上级管理部门可以自动汇总下级部门报告事项。根据设计，系统可以在固定时段提醒相关人员提交内部报告。对于上报的问题事件，可形成持续跟踪，并提示下次持续跟进报告。

对需要提交给监管机构（国资委、财政部等）的报告模板进行新建、修订、查询和删除等管理；与外部沟通的相关记录的管理；自动编号保存向外部监管部门呈送的年度报告和专项报告；收集并归档外部监管机构的意见；生成并管理年度报告所需各类数据、图表、文档等素材，支撑外部报告。

三、结束语

企业在风险管理中信息技术的运用是一个不断磨合、不断深化的过程，通过信息技术手段实现分解和落实风险控制责任，突出工作重点，强化监督考核，从而更好地贯彻领导的管理思路，提高执行力，实现风险管理与日常业务管理紧密结合，缺陷实施整改。通过信息系统的强制与规范执行保证风险与内控体系的落实，避免由于制度与执行的脱节导致风险管理工作流于形式，保护已有工作成果，实现内部控制和风险管理始终贯穿于日常工作，将提升公司的软实力。

推进信息化建设，是以信息技术为依托创新风险管理技术手段，支持企业风险管理目标和运行机制是企业风险管理工作科学发展的必由之路，是在信息化条件下开展好风险管理工作的必然选择。通过信息技术在风险管理中的运用，可以推动企业的风险管理工作更加规范、高效，对业务的指导意义更加明显，进而推动整个企业的管理水平不断提升，为企业创造更好的内部经营环境。

参考文献：

[1]钱智民，贺禹，谭建生.大型核电集团公司全面风险管理体系的构建与实施[M].北京：企业管理出版社，2008.

[2]傅成玉，武广齐，田政.大型国企风险集成管理及工程项目风险管理解析[M].中国发展出版社，2011.

[3]刘家义.我国审计信息化系统总体架构[J].中国审计，2011（04）.

[4]李存建.风险评估——理论与实践[M].北京：中国商务出版社，2012.endprint