央企實行風控管理信息化的戰略思考

王敏

[摘 要]風險管理和內部控制信息化（簡稱“風控管理信息化”或者“RCMI”）是現階段大型央企實現更為高效管理的必由之路。大型央企管理層級多，分布范圍廣，借助信息化手段可有效地提高執行力度和進行管理升級。當前國際先進企業管理理念是借助先進技術手段，在傳統基礎上實現管理升級，已成為當今企業管理發展的必然方向。我國央企在RCMI技術的研究和實踐領域相對滯后，應借鑒國外大型企業風控管理信息化的經驗。

[關鍵詞]央企；風險管理；內部控制；信息化

[中圖分類號]F270 [文獻標識碼]A [文章編號]1673-0461（2014）02-0036-04

“十二五”時期，中央企業改革發展的核心目標就是：做強做優中央企業、培育具有國際競爭力的世界一流企業。世界一流企業往往都有健全的內部控制體系和比較完善的風險預警指標系統，備有全套的應急預案，并建立起統一的風險管理文化，從戰略決策層面到具體業務層面都嚴格執行風險管理流程，利用信息化手段將風險管理固化于業務流程，并與日常經營管理融為一體。由于信息技術在企業的廣泛使用，原來基于權力制約和崗位分置的內部控制發展成為以信息流為基礎的內部控制，國際上無數失敗的案例推動著內部控制以財務控制為目標轉向以風險控制為目標，內部控制與風險管理的含義也越來越趨同①。風險管理和內部控制信息化，簡稱“風控管理信息化”或者“RCMI”（Risk Control Management Informatization），成為現階段大型企業實現更為高效管理的必由之路。RCMI的成功應用使得這些企業進一步提升了自身的競爭力。相比之下，RCMI在我國央企才剛剛開始。因此，在我國央企加快實施風控管理信息化的步伐，不僅對提高央企的管理水平和經營業績具有直接的現實意義，而且對央企走出去，在國際經濟舞臺上提升競爭力具有深遠的戰略意義。

一、國外大型企業引入RCMI對管理績效的影響

研究證明，世界范圍內發生的宏觀層次上的財務報告可能性問題和丑聞只有很少部分直接或單獨與IT一般控制有關。[1]國外大多數企業引進RCMI系統后均在不同程度上提高了管理水平。這在美國大型企業中更得到了集中體現。

由于美國上市公司執行SOX法案，而內部控制借助信息技術更有助于實現SOX合規。

美國雪佛龍公司：2009年4月進行全球推廣在流程控制系統里增加線下表單的功能，將400個關鍵控制點在系統中進行記錄，有3000個測試人員使用客戶化開發的線下Adobe 互動測試表單，在預算時間內將方案送給顧客，借助信息化手段提高工作效率。

美國南加州愛迪生公司：2009年2月啟動RCMI管理，統一了數據輸入和整合的入口，對控制點進行量化，對以前的離散系統進行端到端的合規管理，對業務實踐進行統一安排，通過增加不同時間段控制點來響應業務風險，自動化控制評估工作，減少了工作量和手工操作時間，簡化了測試數據和結果管理，提高了信息的有效性、一致性和真實性。另外，在公司在引入風險管理信息技術后，員工通過Lotus Notes郵件系統實現與負責人的快速溝通，發現問題及時提出，提高了全員的風險管理意識，降低了風險發生概率。

美國太陽石油公司：引入RCMI后，公司實現了將風控管理者轉移到業務部門進行測試，更直接發現管理問題，跨越管理層級多帶來的管理效率遞減現象。

美國CenterPoint Energy 電力公司實施RCMI后，采取了通過風險所有者強化風險管理環節，提高風險發生后的“曝光程度”，進行風險建模，使風險的報告更加及時，管理更加透明，降低了風險發生的概率，如果管理流程未執行或者失效，系統可進行檢測并進行改善，提高了執行力度。

大型企業引入RCMI帶來的管理績效提高案例在其他國家大型企業中也得到不同程度的體現。如：

挪威國家石油公司：2008年引入RCMI，保證了SOX合規。2009年實施流程控制，2010年實施風險管理和風險導向的內部控制，實現了更快、更全面、更低成本的審計，實施了角色管理流程，實現了內外部合規管理，減少了審計費用，簡化了風險審查。

以色列化工公司：引進RCMI以后進行流程控制，自動化測試管理環節，簡化了管理流程，縮短了審批時間，增加了信息的真實性，管理人員的工作從以前的四個月縮短到一天，批準時間從一天到一小時。

除上述企業外，澳大利亞郵政、西班牙電信、Baker Hughes等國際大型企業都在內部控制和風險領域通過信息化手段不同程度地改善了管理。

上述案例說明，RCMI雖然在國外不同企業應用的范圍和重點不同，技術實現的領域也不同，但均在不同程度上優化了管理，降低了成本，提高了效率，在不同程度上克服了大型企業存在的管理層級多，信息傳遞失真，執行力度弱，手續繁瑣等問題。

二、我國央企實施RCMI現狀

總的來看，我國央企實施RCMI才剛剛開始，效果不甚理想。一是數量少。2011年國資委經過調查發現，在被調查的單位中占16%的企業風險管理實現量化，只有3%的企業風控管理借助信息技術實現。且只是將風險管理業務融入現有的ERP、OA等現有系統，極少建立RCMI對風險管理進行專業的信息化管理，可見實現RCMI在央企為少數②；二是風險管理工具的運用還處于初級階段。雖然部分央企已將雷達圖、管理成熟度模型、情景分析、蒙特卡羅模擬、失效模式與影響分析、AHP層次分析法、模糊數學法、概率法、魚骨圖、杜邦分析法等各種管理工具運用到風險管理過程中來，但在該領域建立量化模型上處于起步階段（低于3%），較少引用國際上成熟的量化模型，且相關研究也比較滯后。造成這種現狀的主要原因如下：

（一）大型央企風險管理與內部控制存在的不一致影響對RCMI使用

盡管國際風險管理協會認為：“風險管理系統與內部控制系統并沒有原則性的區別，風險管理與內部控制正在趨同”，但我國壟斷型央企的內部控制與風險管理存在著比其他企業更多的不一致。與其他企業相比，壟斷型央企的基本職能是促進國民經濟協調運行，維護社會經濟穩定和促進就業；央企更注重產品、技術和盈利，由此產生的風險也與其他企業不同。[2]許多大型央企承擔著政府的政策性負擔，國資委對央企的風險管理也相對嚴格，不支持非主業投資，慎重進入股市、期貨等高風險領域等。[3]這些問題給大型央企帶來的“政治性任務”已經超出了一般企業可以自主通過內部控制降低風險的范圍。正如張維迎（2001）所言，中國市場與西方市場最大的不同是，中國的市場是由政府主導的，所以中國企業的行為是面向政府的，而不是面向市場的，這也正是我國央企的特色。因此，大型央企在引進RCMI時，較多會引進國外成熟管理軟件，而忽視了根據上述問題所帶來的經營風險對軟件改造升級。endprint

（二）央企制度的不完善影響了其信息化管理進程

部分央企在國外上市時根據國外上市公司規定建立了較為完善的內部控制制度，但是目前仍有多數大型央企沒有建立相對完善的管理制度。管理借助信息化手段實現，需要完善的管理制度作為前提。日本引入RCMI時的經驗及教訓表明，有些企業根據自身傳統管理，大幅度修改管理軟件，用先進的管理手段去適應傳統的管理模式，從而使先進的管理軟件喪失統一性和先進性，導致這些企業引入RCMI實踐效果不佳。所以，先進的技術和先進的管理應配套使用，才能發揮先進技術的良好效果。因此，大型央企在實現RCMI過程中，應將推進信息化與完善管理制度同時進行，在這個過程中普及信息技術和風險管理意識，并培養復合性人才。

上述情況說明：首先，央企已開始使用量化模型進行風險分析，但是能運用到信息系統中的很少，其中包括已建好模型但并未運用到實際工作中的企業；其次，風控管理分析方法的運用尚處于嘗試階段，僅限于比較淺顯的建模分析，國際上更為專業和通用的風險管理模型很少采用，例如對市場風險進行測度中在險價值（VaR）的計算，可以采用方差-協方差方法、歷史模擬方法，以及該法的擴展增量資產-VaR、德爾塔- VaR、動態-VaR、EVaR等，雖然已有央企進行了蒙特卡羅模擬，但是該方法不能用于計算大規模、復雜的資產組合的VaR值；[4]第三，缺少對量化模型的風險分析，所采用模型的分析結果與真實目標的偏差缺乏健全的分析機制。

三、央企實行RCMI應達到的預期目標

（一）實現對央企更全面的考核

2010年1月，國資委發布了《中央企業責任人經營業績考核辦法》，開始推行經濟增加值（EVA）考核，EVA考核是經營、管理的全面考核，實現了從傳統的利潤考核轉向價值考核，考慮企業以突出主業為更長久的發展，控制非主營業務投資，減少投資風險等因素，但EVA考核主要仍為財務指標，未考慮財務指標之外的因素。央企以完成政治任務為重，因此，非財務因素對央企的影響可能更大。雖然央企財務管理基本已實現了信息化，但是如果在財務信息系統建立EVA考核指標信息模塊，則不能反映非財務指標狀況。如果央企推行的EVA考核指標能在RCMI系統中實現，由于該系統可與其他信息化業務通過接口取數或直接查看，這樣通過該系統可全面了解央企的經營管理狀況，實現對央企進行更為全面的考核，而不是僅僅局限于財務領域。

（二）增強全員風險意識，提高風險管理水平

COSO報告被認為是內部控制理論研究方面的重大突破與巨大成就，其最大亮點在于對不同人員在內部控制中的角色和責任進行了界定，特別強調企業的全員參與，這樣可最大化暴露企業風險和管理空白，便于管理人員根據實際情況對癥下藥。[5]我國《企業內部控制基本規范》也采用了上述觀點。大型央企由于管理層級多，機構分散，目前大多采用手工方式進行內部控制，很難實現全員參與。2009年央企在滬、深及中小板上市的央企控股企業的內部控制評價報告進行研究發現，有47.98%的央企控股上市公司沒有進行風險識別和評估活動，已經開展評估活動的企業工作不夠細致和健全，存在風險意識不強的問題（原國英等，2009）。而風險意識不強的一個根本原因就是未能實現全員參與風險管理。RCMI系統支持全員參與風險識別、風險調查、風險評估工作，真正做到了企業風控管理工作的全員參與，有助于企業多方位、多渠道收集信息，使風險最大程度暴露，應對措施實現集思廣益最大化，以達到有效防范風險的目的。

（三）實現扁平化管理，減少權力尋租現象

在許多國家，權力尋租表現為企業集團能從與政府的關聯中獲利。我國在20世紀80年代后，政府鼓勵成立集團公司并保護其免受國外競爭；當前權力尋租分為行政權力尋租和經濟權利尋租，由于我國央企兼有行政和經濟特點，因此存在上述兩種行為。[6]前者意義尚不明確，后者則有損于央企的利益。如果能將央企管理流程固化，則可減少人為操作，或者有跡象能及時發現，便可減少權力尋租的機會和可能，而如何及時發現問題并更正是RCMI系統的一個重要功能。風控管理實現信息化后，將使企業的組織結構趨于扁平化，管理流程更加透明，手續中間環節減少，管理流程固化實現，業務流程實現線上監控，可有效減少權力尋租現象的發生或降低發生地損失。

（四）改善央企上市公司執行力

我國較早將信息技術引進內部控制體系的大型集團企業，也在不同程度上優化了管理，提高了執行力度，并且比未實行信息化的企業多項管理指標均顯示更好。對國內較早引進RCMI系統的上市企業進行研究表明：其均在不同程度健全了管理制度，提高了戰略執行力度。

四、央企加快實施RCMI途徑

當前國際先進企業管理理念借助先進技術手段實現，可以在傳統的基礎上實現管理升級，已成為當今企業管理發展的必然方向，我國RCMI技術的研究和實踐都相對滯后，國外企業信息技術應用到風控管理中提高管理水平的經驗值得我國央企借鑒。

RCMI采用手段具有靈活性，可根據企業不同情況應用到不同領域，我國央企存在和國外不同的成長環境和發展歷程，根據自身發展合理引進國外先進管理信息技術才是發展之道。

（一）著[于央企的主風險管理

截至2011年6月，69戶央企（資產總額占中央企業資產總額的78%，營業收入占83%，利潤總額占83%）向國資委提供的《企業年度風險管理報告》顯示：69戶央企報告的重大風險事項共526項，按各項重大風險在編報企業中出現的頻次進行排列，十大風險依次為：健康安全環保風險、投資風險、現金流風險、政策風險、國際化經營風險、人力資源風險、戰略管理風險、項目管理風險、競爭風險和價格風險③。

健康安全環保風險連續四年位列十大風險之中，2011年更位居十大風險之首，被中央企業普遍關注；投資風險連續四年高頻次出現在十大風險之中，前三年更是一直位居十大風險榜首；現金流風險、政策風險、人力資源風險、競爭風險和價格風險也連續四年位列十大風險之中，是企業持續關注的重要領域；戰略管理風險連續三年位列十大風險之中；國際化經營風險（原“走出去”風險）連續兩年位列十大風險之中，也是企業重點關注的高風險領域；項目管理風險于2011年首次進入十大風險排名榜；而2008、2009和2010年十大風險排行榜中的宏觀經濟風險、市場需求風險、公司治理風險、應收/預付賬款風險和匯利率風險已不在十大風險之列。究其原因，是受國際經濟金融形勢、中央產業結構調整、“走出去”步伐加大等原因的影響。endprint

由上可知：央企受國際國內政治經濟形勢及國家政策變化影響，在不同時期面臨不同的風險，對不同的風險研究應建立與之匹配的分析模型和方法體系，因此借助信息技術實現風險管理的固化管理流程是相對的，當風險變化時，固化管理流程及分析方法隨之變化。

（二）通過法規和規則強化

發達國家政府和國際性組織發布的內部控制規范考慮了信息化對內部控制的影響，美國的COSO框架、SOX法案、SEC發布的《最終規則》，PCAOD（公眾公司會計檢察委員會）發布的有關審計準則，AICPA（美國注冊會計師協會）發布的《美國審計準則第319節》均強調了信息技術對內部控制的影響，并將影響融入內部控制規范中；日本的《財務報告內部控制的評價和監督準則》也將信息技術列為內部控制要素之一，推進了內部控制的有效實施。此外，國際非政府組織也對信息技術對內部控制的影響表示了極大的關注。

風控管理成為我國央企當前發展重視的問題之一被國資委明確提出，我國央企“走出去”的目標使其在建立RCMI時應與國際一般規則保持一致。[7]

（三）應與目前信息化及管理水平保持一致

鑒于目前許多大型央企在管理上已部分實現了信息化，RCMI的實現要與現階段信息化水平協調一致，才能更有效地借助信息化手段實現管理升級。肖澤忠等（2009）研究證明：考慮信息和通訊技術對控制管理的協同效應將有助于提高其采用效果，協同效應來自于兩者的結合方式，而不是各自應用程度的提高。除了業務上的協同，還要實現技術的協同，RCMI的有效實施需要滿足目前已有的各個業務領域數據的采集和融合，涉及將目前信息系統已有的數據引入風控管理信息系統的接口等技術性問題，所以建立的RCMI系統應能滿足相關技術要求。

另外，大型央企風控管理信息化在實施過程中，應充分考慮自身所處環境對風控管理造成的影響，根據自身管理特點對軟件進行再次開發，規避不適用的功能，開發符合自身管理特點的功能。

五、結 論

央企引入RCMI可全方位提高管理績效，對企業的發展具有長遠戰略意義。企業通過該系統可實現以下管理目標：建立社會責任預算指標；實現除EVA指標外對企業更全面的考核；增強全員風險意識，提高風險管理水平；實現扁平化管理，減少權力尋租現象；改善央企上市公司管理制度相對健全，執行力度差的現象。

值得注意的是，我國央企在引入RCMI系統時，應根據央企的性質和管理特征進行二次開發及選擇使用；與目前信息化水平協調一致；根據不同時期風險的變化建立不同的RCMI分析模型及管理流程；在引入先進管理手段的同時應加強完善管理制度與之配套。endprint