全面風險管理溯源

　　全面風險管理是一個全新的概念，它出自美國的COSO（即The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting全國虛假財務報告委員會下屬的發(fā)起人委員會）。根據(jù)塞班斯法案，COSO內(nèi)控框架是評估企業(yè)內(nèi)控的標準。在企業(yè)內(nèi)控領域央企率先邁出了第一步，2006年，國資委發(fā)布了《中央企業(yè)全面風險管理指引》。2010年4月，財政部等五部委聯(lián)合頒布了《企業(yè)內(nèi)部控制配套指引》，中國企業(yè)內(nèi)控規(guī)范體系初具雛形。這些都是以COSO為依據(jù)。

　　不過，全面風險管理與IT工具結合在中國剛剛起步，鮮見全面實施案例。盡管出于監(jiān)管要求、企業(yè)適應外部競爭環(huán)境和自身發(fā)展的需要，中國企業(yè)日漸重視風險管理，但是能做到風險管理信息化的企業(yè)鳳毛麟角。即使風險管理在一些企業(yè)已經(jīng)比較深入，但是離全面風險管理還很遙遠。

　　為此，筆者專門采訪了北京殷塞信息技術有限公司CTO兼CIO朱東。朱東還在擔任中國航空技術國際控股有限公司信息技術部總經(jīng)理時，就傾心鉆研過理想企業(yè)模型，對目前在企業(yè)中鮮有實施的全面風險管理也進行了透徹詳盡的研究。他逐字逐句鉆研財政部以及國資委發(fā)布的關于風險管控的規(guī)范和指引，“我們將這些規(guī)范全部掰開揉碎了，然后一一對應到企業(yè)的業(yè)務過程、IT系統(tǒng)中。”

　　要探討如何進行全面風險管理，首先要搞清楚什么是風險，這是朱東一貫的思路。“風險是發(fā)生某種影響目標完成的不確定因素。凡是使目標不確定的因素都是風險，風險等于不確定。”以經(jīng)營風險為例，經(jīng)營風險就是影響企業(yè)完成經(jīng)營目標的、涉及日常經(jīng)營管理方面事件的不確定性。由此，風險管理的過程包括建立風險管理環(huán)境、確定風險管理目標、風險事件識別、風險評估、制定風險對策、實施風險控制、保證整個風險管理過程中信息共享與溝通、對風險管理活動進行監(jiān)控。

　　其次，梳理出企業(yè)進行全面風險管理的理想做法。對風險管理的研究，朱東延續(xù)了之前建立理想企業(yè)模型的做法：尋找每個風險管控節(jié)點上的全球最佳實踐，參照相關的指引和規(guī)范將其實現(xiàn)。

　　第三，了解風險事件的一般分類，識別出企業(yè)經(jīng)營管理中的重要事項。第四，確定企業(yè)涉及的風險類別，識別企業(yè)面對的風險事件。第五，制定風險對策，匯總風險分析結果，建立企業(yè)風險跟蹤表。第六，根據(jù)常見風險，在操作層面建立起全面風險防范基礎體系。第七，分析企業(yè)管理層和決策層的風險管理職責，構建支持全面風險管理系統(tǒng)的IT系統(tǒng)架構。第八，建立重點IT系統(tǒng)，實現(xiàn)企業(yè)全面風險管理。

　　風險分門別類

　　在COSO原文件中，對風險進行了詳細的分類和闡述。從風險源上來講，可以分為外部因素和內(nèi)部因素。從外部環(huán)境來看，政局的動蕩、金融風暴、國際匯率的變化、不可預測的自然災害、突發(fā)事故的襲擊、國際領導人的更替等等都會給企業(yè)帶來風險。從內(nèi)部經(jīng)營和管理來看，盲目的投資擴張、管理滯后、用人失當、資金緊張等可能讓企業(yè)付出沉重的代價。

　　“風險無處不在，那么對于個體企業(yè)究竟構不構成風險，要根據(jù)企業(yè)自身的情況進行識別。”在識別風險時，要把企業(yè)看做是內(nèi)外部有機聯(lián)系的統(tǒng)一整體，內(nèi)部各個部門之間是相互配合相互聯(lián)系的。風險通常可以分為戰(zhàn)略風險、財務風險、運營風險和危害性風險等。通過分類將各種不同的風險進行分門別類，以此來判定企業(yè)所面臨的各種風險的級別。

　　在全面風險管理的研究成果中，風險評估和識別的最佳實踐來自于微軟風險評估表。在此基礎上，結合業(yè)界對全面風險管理的研究，朱東設計了一張風險地圖，它將每個風險事件的重要性和發(fā)生幾率都體現(xiàn)在地圖上。將風險分成不同的類別，依據(jù)發(fā)生的可能性和造成的嚴重性分門別類制定對策。最后將整個風險列出一張表，“每一個風險是什么，用哪些指標來衡量，對此有什么樣的對策都一一對應。企業(yè)所有員工依據(jù)這張表統(tǒng)一行動。”

　　用IT逐層分解防范風險

　　在世界500強的企業(yè)名錄中，大約每隔10年就有1/3的企業(yè)從這個名錄中消失。忽視風險的存在可能會將企業(yè)帶入萬劫不復的深淵。對于風險的防范和規(guī)避，朱東指出企業(yè)通常有兩種方法：一是基礎性防范，二是采取特殊措施。

　　依據(jù)理想企業(yè)模型，理想企業(yè)在每個環(huán)節(jié)的做法都是采用全球最佳實踐。當尋找到每個點上的最佳實踐以后，按照理想企業(yè)的管理方法去設計IT工具。理想企業(yè)的做法認為企業(yè)有三個層次的人員：操作層、管理層和決策層。三者各司其職，在風險管控中承擔各自不同的角色。“操作層員工主要進行過程控制，管理層進行全局型控制，決策層進行整體分析和全局性監(jiān)督。”過程型控制分可計量型風險和不可計量型風險。全局型控制分可為計量型全局風險和事件型全局風險。整體分析的目標是經(jīng)營風險，全局性監(jiān)督的是全面的風險管理。

　　根據(jù)不同層面人員的工作職責，分別配以不同的IT系統(tǒng)，如BI、OA、ERP、CRM、SCM等。只有完備的IT系統(tǒng)才能支持完整的全面風險管理。“沒有任何一個信息系統(tǒng)能夠包打天下全面解決風險管理的問題。每個系統(tǒng)在設計時都有自身不同的設計意圖，要巧妙運用不同軟件的設計組合起來達到全面風險管理的目的。”

　　“我們把財政部內(nèi)控基本規(guī)范和企業(yè)內(nèi)控應用指引的要求，通過梳理全部落實到企業(yè)經(jīng)營管理中的每一步。將國資委和財政部等部委相關的規(guī)范拿出來一一對應，每落實一條涂一個顏色。當整個規(guī)范全部被涂上顏色時就說明全部得到了落實。”企業(yè)經(jīng)營和管理中涉及到的各個流程在IT系統(tǒng)中得以固化，企業(yè)風險也借助IT工具能夠有效地監(jiān)控與防范。

　　在朱東對全面風險管理的研究體系中，風險地圖是最高決策層全面監(jiān)控風險的工具。通過地圖可以實時了解整個企業(yè)面臨的風險和變化。“比如當銀行貸款利率高到一定程度，企業(yè)的一些業(yè)務就不能繼續(xù)開展，否則將面臨巨大風險。那么，年初做計劃時就可以提前分析好貸款利率，一旦達到警戒值，立即亮紅燈，這樣決策層就能夠?qū)崟r知道整個企業(yè)面臨的所有風險。”

　　企業(yè)做全面風險管理的難點在于要吃透風險管控的本質(zhì)。“任何做企業(yè)的人都會面臨這樣的問題，今年預期的銷售目標是多少，如果出現(xiàn)怎樣的問題和情形將有可能達不到目標。這些影響企業(yè)經(jīng)營的不確定性因素皆為風險。風險是無處不在的，它不是理論化的、抽象化的概念。”當風險明確，利用IT工具將風險指標層層進行分解，落地到企業(yè)中，使得人人都是防范企業(yè)風險的主體。

　　朱東最后指出，中國企業(yè)的全面風險管理才剛剛開始起步。中國企業(yè)遠沒有像國外企業(yè)那樣感受到痛入骨髓的緊迫感。目前，風險管控主要是依靠國家的強制性要求在推進。