中央企業全面風險管理信息化研究

許正良 朱紅波 蘇寧子

摘要：中央企業全面風險管理信息化建設是一項新的工程，是企業實現自我管理、自我完善的內在需求，也是促進企業得以健康和持續發展的重要保證。企業如何把風險管理信息化建設工作做得更加扎實有效，通過運用技術手段保障生產經營活動安全高效？一些企業在積極進行理論探索和實踐。文章正是針對這一亟待解決的現實問題展開研究的。

關鍵詞：中央企業；風險管理；信息化

風險管理信息化是指如何在一個有風險的環境里，事先設計實行一系列流程，繼而在實際工作中，嚴格依照這些流程執行，通過信息技術的運用對企業可能發生各種風險進行及時的預警，并采取有效的措施把風險減至最低的管理過程。作為一門新興的學科，我國在理論上對風險管理信息化的研究還需要進一步深入，企業在實踐中開展風險管理信息化建設的時間也比較短，但是這并不妨礙其在實際工作中發揮的作用。正如企業風險管理的發展，同樣是在學術上和實踐中同時發展，相互借鑒；風險管理信息化也隨著實際工作的進展持續發展。因此，風險管理信息化研究是一項具有較強的實用性、創新性和可操作性的研究。

一、 企業風險管理概述

美國學者威雷特認為，風險是一種關于不希望發生的事件發生的不確定性的客觀現象。簡單的說，風險就是遭受損失的可能性。許多學者從不同的角度對風險管理的進行了研究。美國許布納博士在1930年美國管理協會發起的一項保險問題會議上首次提出風險管理的概念。從風險因素角度來看，風險管理指那些針對風險因素展開的各種管理活動，以及將不同風險因素整合而進行的全面管理活動。從管理風險的工具和方法來看，風險管理則可分為內部控制活動和風險產品交易活動。其中，內部控制活動主要使用管理制度、組織結構、審計稽核等工具和方法；而風險產品交易活動則主要是運用風險計量、衍生品對沖、風險定價補償等方法。從盈利管理的角度來看，風險管理則包括風險定價、經濟資本配置、風險調整資本回報、風險調整業績考核等活動。我國學者將風險管理看作是為通過對風險進行識別、評估和管控，以最小的代價把風險造成的損失降到最少的管理活動。

本文認為，企業風險管理是結合企業長遠發展戰略，通過對多種要素的控制將管理流程化，目的是識別那些影響企業生產經營活動中存在的潛在風險，把風險降低到最小化，幫助企業實現利潤最大化。企業風險管理應以企業利潤最大化為目標，以企業生產經營管理活動為研究對象，通過將信息技術融入到風險管理中，準確分析和預測企業目前和將來可能遇到的所有潛在風險，并及時、有效地控制那些不利因素所造成的負面影響，為企業發展創造機會。

二、 全面風險管理信息化的必要性

1. 政府監管部門要求。國資委發布的《中央企業全面風險管理指引》和其他部門發布的《內部控制基本規范》等文件及配套指引，提出企業應將信息技術應用于風險的防范和控制，建立科學有效的企業風險管理信息系統和健全以風險管理為導向的內部控制制度。在國資委制定的“十二五”中央企業改革發展目標中，風險管控能力是做強、做優、打造世界一流企業的核心指標和要素之一。2012年，國資委開展管理提升活動，全面風險管理被列為十三個重點專題內容之一，要求企業通過管理提升活動，把風險管理打造成企業的核心競爭力。為實現政府監管部門所提上述目標和要求，風險管理信息化作為一種有效的手段和途徑，就格外顯得更加重要和緊迫。

2. 國際環境要求。隨著全球經濟一體化進程的加速，企業迎來前所未有的發展機遇，與此同時面臨的各類風險不斷涌現。從世界上許多國家發生的金融危機，到大量銀行倒閉等事件，都說明了風險的發生不是孤立的，是受多方面的因素影響的。特別是2008年國際金融危機以來，國內外宏觀經濟環境發生了復雜而深刻的變化，主權債務危機蔓延、地緣政治更趨復雜、國際貿易保護主義持續升溫、國際市場競爭更趨激烈、全球經濟復蘇趨緩，下行風險加大。我們必須始終牢固樹立風險意識，建立健全風險管理信息化體系，克服越來越多的不確定性因素可能產生的負面影響，提升應對各種內外部風險的能力和水平，保障公司持續穩定健康發展。

3. 公司內在發展需求。目前，一些中央企業開啟了新的偉大航程，不斷加大走出國門的步伐，國際化經營份額比例日益增長，面對的各種風險也急劇增加，加強全面風險管理信息化建設就尤其重要。這就要求企業應優化頂層設計，統籌規劃全面風險管理體系架構，明確各層面風險管理職責分工，建立健全全面風險管理工作機制，上下銜接、有序運行，推進風險管理信息化融入公司經營管理的各領域、各環節，實現風險管理常態化。通過加強全面風險管理信息化建設水平，有效防范控制各類風險，抓住發展機遇，提高企業綜合管理水平，增強核心競爭力，為企業戰略目標的實現提供可靠性保障。

三、 全面風險管理信息化現狀分析

一些中央企業在風險管理信息化建設方面，已經做到理念超前、程序規范、技術先進、運行效果良好，成功有效預測并化解了大量的企業風險。這些企業風險管理組織體系比較健全，從董事會開始自上到下清晰界定風險管理職責，如董事會對風險管理的整體有效性負責，風險管理部門負責風險管理政策制定和日常執行情況的監控，各業務單元設置風險管理負責人，為風險管理信息化建設奠定了良好的基礎。在此基礎上，企業將先進的信息技術融入到風險管理工作之中，不斷提高風險管理信息化水平，實現風險管理方法由定性向定性與定量相結合的轉變，企業風險管控能力和水平不斷得到加強。盡管部分企業在風險管理信息化建設方面已經取得了一定的成績，但是按照政府相關監管部門管理提升要求，企業的風險管理信息化建設方面還存在著不足之處。一是風險管理網絡體系尚未形成，相關部門及部分企業的風險管理職能尚不明確，不利于全面風險管理信息化建設工作的深入開展。二是風險管理信息化制度體系不夠完備。風險信息收集、風險評估、風險應對、監控預警、監督評價與改進等制度、辦法及工作標準還沒有完全形成。三是風險管理信息化專業化水平不高，信息化技術運用不充分，量化評估工作應用較少，風險信息的傳遞和共享機制等方面有待完善。四是風險管理信息化的監督評價與改進機制尚未建立，風險管理的效率和效果難以保證。

四、 全面風險管理信息化構想

1. 風險管理信息化建設的基本原則。為保證風險管理信息化建設的科學、實用和有效，在制定規劃時應堅持幾項基本原則。一是科學性原則。風險管理信息化是建立在管理科學和信息技術等理論基礎上，科學性是最基本的原則。在結合企業實際情況的前提下，風險管理信息化建設應充分研究管理學和信息技術等學科的相關理論，為后續工作奠定扎實的理論基礎；二是系統規劃原則。風險管理信息化建設要堅持“統一規劃、統一標準、統一設計、統一投資、統一實施、統一管理”的原則。要從企業全局的角度優化配置信息資源、集中決策、統一部署，建成具有全局性、集成性的信息平臺。這樣，可以避免產生新的“信息孤島”，使企業風險管理信息化整體水平得到提高。風險管理信息化的內容要覆蓋單位各項生產經營活動等業務領域，同時又是一個動態的系統化工程，在選用技術時應有通盤考慮，根據企業的實際情況將信息技術與企業的風險管理有效結合起來，科學預測各種環境變化可能給企業風險管理體系帶來的影響，及時對信息化覆蓋的范圍和水平進行調整和完善，努力做到信息集成與過程集成，以獲得效益最大化。如企業風險管理信息系統可依托現有信息資源，與其他各類業務信息系統進行無縫對接，部分數據能夠從現有的ERP（Enterprise Resource Planning，企業資源計劃）、BIW（Business Information Warehouse，商務信息倉庫）、EC（Electronic Commerce，電子商務）、CMIS（Contract Management Information System，合同管理系統）等業務信息系統中自動提取，實現信息資源共享。三是堅持實用性的原則。信息化是一種手段，不是目的，信息化必須為企業的生產經營管理活動服務，信息化要“建用結合、以用為主”，不同規模的企業對風險管理信息化規劃有不同的要求，風險管理信息化規劃設計時必須針對企業現有的風險管理體系需要，制定出適合企業自身需求的信息化規劃，不能一味追求先進技術和最新版本。

2. 全面風險管理信息化的主要作用。風險管理信息化通過融入到企業生產經營管理各項業務之中，在企業風險管控方面發揮舉足輕重的作用。一是市場風險管控的作用。對于任何企業而言，市場風險是最大的風險。企業在日益激烈的市場競爭環境下，市場風險管控有效，就會保證正確的投資方向。反之，如果投資方向有大的偏差，整個企業就會存在破產的風險。確定關鍵的市場風險防控點，建立基礎信息資源體系，為生產經營管理和戰略決策提供及時準確的信息支撐，通過對各種市場風險進行識別、分析、評估、預警和控制，能夠快速應對市場變化，及時化解國內外經濟環境所帶來的負面影響，有效降低市場快速變化產生的風險。二是經營風險管控的作用。通過企業資源計劃等信息系統的科學運用，有效控制客戶信用、資金、投資、采購等經營風險。如信用管理控制系統能夠做到對客戶信用進行動態管理，自動根據客戶的信用等級進行檢查；資金管控系統對企業所有現金集中管理，有利于對企業的資金統一調度和使用，在更加充分有效利用閑散資金的同時，還能夠提高企業現金流的預算管理水平，并借助于現金流來加強成本費用的預算管理，將預算管理的控制點前移，真正的做到事前預算，事中控制，事后分析；在投資管理控制方面，通過投資管理信息系統的應用，對項目預算實時控制，有效控制超預算列支現象的發生；采購管控系統可以加強企業對供應商的管理，對供應商的業務狀況進行科學評價，供應商一旦出現信譽問題或提供的產品出現質量等問題的，將被清理出企業采購資源庫，有效避免了對質量低劣物資的任意采購行為，防止企業效益的流失。三是生產風險管控的作用。風險管理信息化建設在企業生產過程中的作用也是十分明顯的，通過生產風險管控系統的運用，加強了生產各相關環節的質量管控，為質量問題早發現、早預警、早控制提供了有效手段，有效降低了生產環節可能出現的各類風險，避免生產異常及生產波動產生的產品質量和安全等事故。

3. 風險管理信息化建設的措施企業應組織開展全面風險評估，研究企業重大、重要風險，逐級分類匯總，明確全面風險管理信息化體系框架和各層級風險管理信息化建設重點，推進風險管理信息化專業技術和工具的應用，為公司戰略和經營決策提供支撐。為促進全面風險管理信息化建設，根據國資委《中央企業全面風險管理指引》，參照國際風險管理標準ISO31000《風險管理原則與指南》和國家標準委《風險管理原則與實施指南》（GB/T 24353-2009），總結世界一流企業風險管理信息化建設實踐，結合國內企業實際，首先應該制定企業全面風險管理體系框架。在這個體系框架中，主要包含三個方面的內容。一是全面風險管理的目標和策略。二是實現風險管理目標和策略的保障體系，包括組織體系、制度體系。組織體系縱向上分層管理，橫向上分類管理，按照管理職能分工，堅持誰主管誰負責的原則，對各類風險實行分類管理。制度體系主要包括全面風險管理辦法、風險評估指引、風險監控預警指引、風險管理監督檢查和評價辦法等。三是全面風險管理的基本流程。全面風險管理工作的基礎是信息收集，決策層面要重點收集宏觀經濟形勢、行業運行總體態勢、政策、法律變化等方面相關信息；執行層面重點收集專業相關風險案例、各類內控缺陷等信息。通過信息收集，為全面風險管理工作提供支撐。全面風險管理工作的核心是風險評估。企業風險評估可采用年度風險評估、專項風險評估和日常（動態）風險評估等多種形式。運用定性、定量的風險評估方法，并借助風險建模、量化工具等，分析評價風險發生的可能性及其影響程度，最終確定風險等級和風險管理工作重點，提升企業風險應對的準確性和有效性。根據風險評估結果，研究制定重大、重要風險管理目標和策略，落實風險應對措施，并根據內外部環境變化，及時調整、完善風險應對措施，建立健全重大、重要風險應急預案，通過多種方式的風險應對，有效提升公司風險管控能力，強化風險管理的效率和效果。監控預警是全面風險管理工作的重要手段。對重大、重要風險，要確定風險預警指標及預警值，建立監控預警指標體系與監控預警機制，及時、有效將風險監控預警信息傳遞專業管理部門和風險管理部門，提升公司風險預測能力，強化風險事前控制。監督評價與改進是全面風險管理工作的保障。各級風險管理部門對公司風險管理制度建設及執行情況獨立進行檢查評價，按規定程序報告并監督改進。通過監督評價與改進，有效促進公司全面風險管理工作，形成自我完善和持續優化的閉環管理。

體系框架確定后，將信息化專業技術和工具融入到體系之中，以實現全面風險管理信息化。以企業現有管理信息系統為基礎，科學開發、系統規劃，構建信息化平臺，將信息化建設融入到全面風險管理體系之中，建立全面風險管理信息系統，實現信息收集、風險評估、風險應對、跟蹤監控、風險預警、檢查評價與報告等全流程的在線處理。逐步與相關業務系統有效銜接，提高風險管理信息在企業集團公司與分、子公司之間，專業部門之間的信息集成與共享，既要能夠滿足專項業務風險管理的要求，也能滿足企業總體和跨單位、跨專業部門的風險管理綜合要求，增強風險管理工作效率和效果，為經營管理決策提供有效支撐。

參考文獻：

1. 陳秉正.公司整體化風險管理.北京：清華大學出版社，2003.

2. 胡杰武，萬里霜.企業風險管理.北京：清華大學出版社，2009.

3. 劉威漢.財金風險管理理論、應用與發展趨勢.北京：中國人民大學出版社，2005.

4. 楊姍媛，朱建明.基于內部威脅的信息安全風險管理模型及防范措施.管理現代化，2013，（2）：47-49.

5. 徐賢浩等.現代風險管理.北京：中國紡織出版社，2006.

6. 阿瑟安德森.全球信息戰略信息時代的商業風險管理.北京：新華出版社，2000.

基金項目：國家自然基金青年項目（項目號：71302038）；吉林省科技發展計劃資助項目（項目號：20140418069FG）；吉林大學基本科研業務費項目（項目號：2012BS042）。

作者簡介：許正良，吉林大學管理學院副院長、教授、博士生導師；朱紅波，吉林大學管理學院博士生；蘇寧子，就職于福建省工業產品生產許可證審查技術中心，碩士。

收稿日期：2014-04-18。