全面风险管理控制 让风险及时刹车

　　全面风险管理溯源

　　全面风险管理是一个全新的概念，它出自美国的COSO（即The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting全国虚假财务报告委员会下属的发起人委员会）。根据塞班斯法案，COSO内控框架是评估企业内控的标准。在企业内控领域央企率先迈出了第一步，2006年，国资委发布了《中央企业全面风险管理指引》。2010年4月，财政部等五部委联合颁布了《企业内部控制配套指引》，中国企业内控规范体系初具雏形。这些都是以COSO为依据。

　　不过，全面风险管理与IT工具结合在中国刚刚起步，鲜见全面实施案例。尽管出于监管要求、企业适应外部竞争环境和自身发展的需要，中国企业日渐重视风险管理，但是能做到风险管理信息化的企业凤毛麟角。即使风险管理在一些企业已经比较深入，但是离全面风险管理还很遥远。

　　为此，笔者专门采访了北京殷塞信息技术有限公司CTO兼CIO朱东。朱东还在担任中国航空技术国际控股有限公司信息技术部总经理时，就倾心钻研过理想企业模型，对目前在企业中鲜有实施的全面风险管理也进行了透彻详尽的研究。他逐字逐句钻研财政部以及国资委发布的关于风险管控的规范和指引，“我们将这些规范全部掰开揉碎了，然后一一对应到企业的业务过程、IT系统中。”

　　要探讨如何进行全面风险管理，首先要搞清楚什么是风险，这是朱东一贯的思路。“风险是发生某种影响目标完成的不确定因素。凡是使目标不确定的因素都是风险，风险等于不确定。”以经营风险为例，经营风险就是影响企业完成经营目标的、涉及日常经营管理方面事件的不确定性。由此，风险管理的过程包括建立风险管理环境、确定风险管理目标、风险事件识别、风险评估、制定风险对策、实施风险控制、保证整个风险管理过程中信息共享与沟通、对风险管理活动进行监控。

　　其次，梳理出企业进行全面风险管理的理想做法。对风险管理的研究，朱东延续了之前建立理想企业模型的做法：寻找每个风险管控节点上的全球最佳实践，参照相关的指引和规范将其实现。

　　第三，了解风险事件的一般分类，识别出企业经营管理中的重要事项。第四，确定企业涉及的风险类别，识别企业面对的风险事件。第五，制定风险对策，汇总风险分析结果，建立企业风险跟踪表。第六，根据常见风险，在操作层面建立起全面风险防范基础体系。第七，分析企业管理层和决策层的风险管理职责，构建支持全面风险管理系统的IT系统架构。第八，建立重点IT系统，实现企业全面风险管理。

　　风险分门别类

　　在COSO原文件中，对风险进行了详细的分类和阐述。从风险源上来讲，可以分为外部因素和内部因素。从外部环境来看，政局的动荡、金融风暴、国际汇率的变化、不可预测的自然灾害、突发事故的袭击、国际领导人的更替等等都会给企业带来风险。从内部经营和管理来看，盲目的投资扩张、管理滞后、用人失当、资金紧张等可能让企业付出沉重的代价。

　　“风险无处不在，那么对于个体企业究竟构不构成风险，要根据企业自身的情况进行识别。”在识别风险时，要把企业看做是内外部有机联系的统一整体，内部各个部门之间是相互配合相互联系的。风险通常可以分为战略风险、财务风险、运营风险和危害性风险等。通过分类将各种不同的风险进行分门别类，以此来判定企业所面临的各种风险的级别。

　　在全面风险管理的研究成果中，风险评估和识别的最佳实践来自于微软风险评估表。在此基础上，结合业界对全面风险管理的研究，朱东设计了一张风险地图，它将每个风险事件的重要性和发生几率都体现在地图上。将风险分成不同的类别，依据发生的可能性和造成的严重性分门别类制定对策。最后将整个风险列出一张表，“每一个风险是什么，用哪些指标来衡量，对此有什么样的对策都一一对应。企业所有员工依据这张表统一行动。”

　　用IT逐层分解防范风险

　　在世界500强的企业名录中，大约每隔10年就有1/3的企业从这个名录中消失。忽视风险的存在可能会将企业带入万劫不复的深渊。对于风险的防范和规避，朱东指出企业通常有两种方法：一是基础性防范，二是采取特殊措施。

　　依据理想企业模型，理想企业在每个环节的做法都是采用全球最佳实践。当寻找到每个点上的最佳实践以后，按照理想企业的管理方法去设计IT工具。理想企业的做法认为企业有三个层次的人员：操作层、管理层和决策层。三者各司其职，在风险管控中承担各自不同的角色。“操作层员工主要进行过程控制，管理层进行全局型控制，决策层进行整体分析和全局性监督。”过程型控制分可计量型风险和不可计量型风险。全局型控制分可为计量型全局风险和事件型全局风险。整体分析的目标是经营风险，全局性监督的是全面的风险管理。

　　根据不同层面人员的工作职责，分别配以不同的IT系统，如BI、OA、ERP、CRM、SCM等。只有完备的IT系统才能支持完整的全面风险管理。“没有任何一个信息系统能够包打天下全面解决风险管理的问题。每个系统在设计时都有自身不同的设计意图，要巧妙运用不同软件的设计组合起来达到全面风险管理的目的。”

　　“我们把财政部内控基本规范和企业内控应用指引的要求，通过梳理全部落实到企业经营管理中的每一步。将国资委和财政部等部委相关的规范拿出来一一对应，每落实一条涂一个颜色。当整个规范全部被涂上颜色时就说明全部得到了落实。”企业经营和管理中涉及到的各个流程在IT系统中得以固化，企业风险也借助IT工具能够有效地监控与防范。

　　在朱东对全面风险管理的研究体系中，风险地图是最高决策层全面监控风险的工具。通过地图可以实时了解整个企业面临的风险和变化。“比如当银行贷款利率高到一定程度，企业的一些业务就不能继续开展，否则将面临巨大风险。那么，年初做计划时就可以提前分析好贷款利率，一旦达到警戒值，立即亮红灯，这样决策层就能够实时知道整个企业面临的所有风险。”

　　企业做全面风险管理的难点在于要吃透风险管控的本质。“任何做企业的人都会面临这样的问题，今年预期的销售目标是多少，如果出现怎样的问题和情形将有可能达不到目标。这些影响企业经营的不确定性因素皆为风险。风险是无处不在的，它不是理论化的、抽象化的概念。”当风险明确，利用IT工具将风险指标层层进行分解，落地到企业中，使得人人都是防范企业风险的主体。

　　朱东最后指出，中国企业的全面风险管理才刚刚开始起步。中国企业远没有像国外企业那样感受到痛入骨髓的紧迫感。目前，风险管控主要是依靠国家的强制性要求在推进。