风险管理与信息化的融合

如果一个企业有自己的协同办公管理系统，又有一套ERP，企业的各项业务的管理实践如何既能在执行业务流程的同时有效地评估和管控风险，又不出现“管理体系二张皮”的情况？

随着《中央企业全面风险管理指引》（以下简称《指引》）和《企业内部控制规范》及配套指引在中央企业的开展和推广，央企陆续建立或准备建立内控和全面风险管理体系，风险管理已经成为企业生存与发展的关键要素。而信息化作为推动和实现企业体制完善、管理创新的重要手段，也早已融入企业的各项管理和实践。越来越多的企业将风险管理信息化纳入企业信息化建设规划当中。已经有相当数量的中央企业建立了内控和全面风险管理信息系统，还有一些企业结合管理实践，从法律、市场、信用、项目等专项业务管理入手形成了专项风险管理信息化应用。

风险管理信息化存在的问题

据调查，目前中央企业全面风险管理信息化建设仍处于起步阶段，仅有少数企业建立了独立的整体或专项风险管理信息系统。信息技术在企业各项风险管理工作中的应用仍不充分，无法满足企业对信息收集、风险评估、预警监测、沟通报告等工作的信息化要求，也未能发挥其对提高风险管理效率的促进作用。

笔者认为风险管理信息化之所以开展缓慢，应用不顺，可能与如下因素有关：

首先是定位不够清晰。一部分企业在建立内控或风险管理体系的同时或之后，实施了风险管理信息系统，但是这样一个系统是作为内控或全面风险管理牵头部门的工作信息平台，用于推动企业内控和全面风险管理管理体系运行？还是希望在各专项业务管理中通过风险管理信息化手段评估和管控业务风险？不少企业对于系统的操作主体、应用范围、管理目标往往不够清晰，导致信息系统效能难以发挥。

其次是不能与业务管理融合。有些企业虽然已经构建了风险管理信息系统，但是业务管理和风险管理在信息化应用中几乎没有交集，在信息系统中难以体系集成与信息共享，使得风险管理变成“管理孤岛”。现代企业已经制定了各种各样足够多的规章制度、流程手册、程序文件、工作指南等；还有各种管理体系，包括质量管理、安全管理、六西格玛、全面预算管理、全面风险管理、HSE、内控规范等。理论上讲，不管引入并建立了多少种管理理念和体系，企业都应当将它们整合成一套制度和流程，而企业的员工只要严格按照这套制度和流程中所规定的要求开展工作即可以满足所有管理体系的要求。如果不能发挥风险管理的整合价值，如果不通过IT技术构建统一的信息化应用平台，实现多个体系的整合和管理的融合，就会不断形成“管理体系孤岛”和“信息孤岛”，也就失去了内控和风险管理的价值和意义。

风险管理信息化的原动力

企业风险管理信息化主要应满足以下两个层面的管理需要：

一方面是建立内控和全面风险管理体系的信息化运行平台，帮助企业开展定期的风险评估、日常风险监控改进和内控评价，编制风险管理和内控评价报告，落实公司层面风险的集中管理，实现风险管理体系的运转。这项业务对于大多数企业来讲，与企业其他业务管理相比较，是企业的“新业务”。因此，有必要建立—套信息系统作为落实该业务的工作平台，便于内控和风险管理职能部门或团队更有效地开展公司层面风险管理工作的组织、沟通、协调和报告，解决风险管理工作推动、监督、评价考核；目前市场上绝大多数产品都是为了满足内控和全面风险管理体系的建设和运行而设计的，已经实施风险管理信息化建设的中央企业多数也是应用的此类产品。此外，在构建此类信息系统时，最好结合中国企业的实际情况，尽可能考虑内控和全面风险管理在信息流（包括风险库、指标库、流程库、控制措施等）、管理过程和评价考核等方面的融合。

另一方面就是企业中作为风险管理第一道防线的业务管理部门，需要将风险管理与企业业务管理相融合，使得风险管理充分融入企业的各项日常工作实践，应用风险管理的手段，评估并管控业务中的风险，体现在业务管理的信息化应用中，支持业务管理的有效风险分析和决策支持，这是业务管理部门所必备的工具手段。

这两个方面既体现企业管理的全局与局部，又体现风险管理的集中与分类，构成了企业风险管理信息化的原动力。

风险管理与业务管理信息化的融合

如何体现管理融合是企业信息化建设的重点和难点。如果一个企业有自己的协同办公管理系统，又有一套ERP，企业的各项业务的管理实践如何既能在执行业务流程的同时有效地评估和管控风险，又不出现“管理体系二张皮”的情况呢？显然，一套业务系统、一套风险管理系统的模式难以适应企业管理应用，换句话说，构建一套风险管理系统既作为企业内控和全面风险管理体系的运行平台，又希望承载风险管理与业务管理的融合要求是很困难的。

《指引》第五十八条明确提出：“已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行。”

根据《指引》的要求，对于尚未进行业务信息化建设的企业，应该应用内控和风险管理体系作为管理整合的管理依据和基础保障，将风险管理要素嵌入各项管理业务流程，统一设计一套整合的业务管理信息系统，在业务管理实践中开展并重复风险管理的闭环。

而对于已经构建ERP等信息化应用的企业，可以考虑将风险管理要素分解并构造成较细颗粒度且相对独立的“服务”。若企业具备修改、调整原有管理系统条件的，可以在各业务流程的不同环节中“嵌入”所需要的风险管理服务，根据服务运行的结果，决定下一步流程走向，形成“强控制”。比如，可以提供多个定性和定量的风险分析服务以及风险评价和查询服务，用于在各项业务中开展风险评估和动态查询，并在信息系统中根据风险分析和评价结果确定下一步应对策略和操作环节。

对于不具备业务系统中进行流程控制优化条件的，可以建立数据接口确保业务数据到风险管理系统的单向输入，根据业务管理逻辑和数据分析构成风险管理“服务触发器”，根据风险承受度和管理策略及时发出提示、预警等，但不影响原有系统的流程，形成“弱控制”。

此外，企业还有部分业务可以通过构建特定专项业务的风险管理信息系统，在风险管理的循环中涵盖部分业务管理流程。

今天，风险管理已经体现在企业管理的方方面面，风险管理的信息化也必然会成为管理的重要手段，也将成为推动企业风险管理以及与业务管理融合的技术保障。企业在管理信息化的规划和建设、优化中应该充分发挥信息化技术特有的体系整合推动作用，将风险管理与企业各项管理融为一体，为企业实现战略目标保驾护航。