企业风险管理的四个阶段

风险管理信息系统的价值在于风险管理数据的储存与管理,风险识别、评估与应对的平台支撑,以及风险预警/风险控制的监控与报告。综观目前国内外企业的风险管理信息系统应用现状,我们会发现适合于一家企业某项风险的“最佳实践”,如果应用到另一家企业的同样风险上,可能就会效力不足或者效力过度,认识到这一点很重要。我们没有必要给所有的风险都配备最复杂、最先进的技术。没有哪家企业具有这样做的资源,而且也没有支持这种做法的合理理由。

我们认为,根据企业风险管理的成熟度与企业业务管理的自动化程度,企业应当选择不同种类的风险管理软件或信息系统,来支持其风险管理工作。我们根据企业在风险管理与业务管理自动化程度方面的发展程度,分为以下四种阶段,如下图所示:

与上图对应,我们认为企业的风险管理信息系统也应有四个阶段的产品:

第一区域称为“初始阶段”,是指企业业务流程尚未实施大型ERP系统,大多数业务管理为手工方式,而其风险管理流程也在初步搭建中,管理层与员工对于风险管理的理解也不深。这个阶段的企业通常不需要过于复杂的风险管理信息系统。

第二区域为“风险评估阶段”,是指企业的业务流程尚未实施大型的ERP系统,但目前企业已经建立成型的风险管理流程;风险管理部门需要在宏观层面,通过定期收集的数据进行风险分析,并提供应对策略的建议;管理层对于风险评估、报告的要求较高,希望通过信息系统实现完整的风险管理工作。

第三区域为“自动化管理阶段”,是指企业的核心业务被大型ERP系统所覆盖,业务操作实现高度自动化;针对各业务流程,存在大量的自动化控制点,企业的业务运作和内控均高度依赖计算机系统;企业尚未建立固化的风险管理流程,但由于具备很好的信息化基础,通常会同时考虑风险管理流程和系统的建设。

第四区域为“风险智能管理阶段”,是指信息化已成为企业贯穿内控、风险管理和合规工作的平台;风险管理工作已从事后的分析转变为事中和事前的警示,即从被动的风险分析转变为主动的风险预警;风险管理工作可以从宏观层面演变为涉及单笔交易的微观层面;集成化的信息平台横跨内控和风险管理,并形成互动。

针对企业所处的不同区域,我们将当前的风险管理信息系统(或软件)分为三类,来分别适用于不同的企业,加强其风险管理职能。

(1)企业风险信息的储存与报告类工具。由于企业的风险管理成熟度较低,实施复杂的风险管理信息系统的条件尚不具备,因此这类企业主要应当关注风险信息的储存与报告类工具,来进行风险管理信息的调用,并通过一些数据汇总功能以支持标准的风险管理报告,直观地展现风险识别与评估的结果。这类工具通常是基于已有的企业软件进行一些开发与编程,因此工具的购买与后期维护成本都很低。结合我们的实践,以下提出一种名为“风险观察者”的软件供读者分享。

风险观察者软件是用以进行企业风险体系展示和分析的工具,由风险智能图展现(前台)和风险主数据维护(后台)两部分组成。企业运用这一工具,将现有风险管理的成果固化下来,产生良好的风险展现与分析效果,并形成风险持续维护的机制,帮助企业不断提高风险识别、预警和管控能力。运用风险智能图:

①能够多维度汇总风险,形成风险布局和等级的分析报告。

②以地图的方式和层级的结构对风险点进行直观的全景展现。

③能够生动地生成风险整体应对策略图,展现固有风险和剩余风险的内在联系。

④单体风险档案可详细记录风险管理的相关信息,并将风险应对与企业风险管理措施相关联,对风险管控产生实际的指导作用。

⑤将风险与企业价值相关联,化风险管控为价值增长。

企业风险信息的储存与报告工具通常简单易用,是一种“轻量级”的应用模式,专注于风险信息的维护和管理,无需复杂的安装和维护,所以其投入成本低,也容易操作。其缺点也很明显,主要用于风险信息的储存与展示,无法根据风险管理流程灵活地支持在线的风险识别、风险分析与汇总功能,也无法支持风险指标监控、交互式管理等,其风险管理的分析与决策支持较弱。

(2)企业风险评估类工具。企业风险评估类工具包含各种各样的决策支持、调查及风险记录工具。决策支持及调查工具的供应商凭借自己在启动风险专题研究会、内部控制自我评价和/或公司级风险评估方面的实力进入市场。这些供应商通过增加基于网络的调查功能,进一步拓展他们的解决方案,支持固定工作环境以外的风险评估。另外也有几家小型供应商提供风险记录工具,这些工具有的支持一个或多个风险框架,有的为目标、流程、风险和控制信息提供数据存储库,有的支持持续监督、测试和行动计划,还有的提供基本的报告能力。

企业风险评估类工具目前在市场上可选择的产品较多,主要可以区分为平台类工具与专项风险类工具。其中专项风险类工具通常通过模型化的数据量化风险,并给出决策建议。我们这里主要讨论的是大型的平台类工具。我们认为,优秀的平台类风险评估工具应当具有以下要素:

①是风险管理的综合平台,能够支持风险管理全流程,包括企业目标设置与分解、风险识别、风险分析与评价、风险应对方案拟订与跟踪等,部分较为成熟的软件,还应当具备关键风险指标、风险事件收集与管理功能,以更好地支持风险管理决策。

②能与内控有效结合。风险管理工作与内控体系不可分割,因此应当能够支持以风险为导向的内部控制识别与录入、测试与跟踪、内控自评等内容。

③能够设置并定期报告关键风险指标,提供风险预警的基本功能。

④智能的风险管理报告,能以图表、清单等多种输出方式,直观地展示风险评估与应对的结果。

⑤能支持集团公司与分公司的多个用户的同时应用,并具备良好的后台支持系统。

企业风险评估类工具通常专业化程度较高,需要通过系统的安装、测试、培训等一系列工作才能成功应用,因此企业需要投入较大的人力支持、资金支持与时间,其后期也需要由一个专业团队进行维护与更新。

(3)风险智能管理系统。对于已经高度信息化的大型企业来说,往往希望有一种与现有系统结合紧密,能够通过设置指标与路径,实现自动化风险预警与管理的软件,以体现从业务管理到风险管理的无缝衔接。这类软件通常由大型的ERP软件服务商设计并提供。这些企业由于其要求服务商对风险管理流程与信息系统的能力都非常强,因此这类软件的购买与实施成本高昂。实际上,目前可以选择的软件非常少,而且由于风险管理理论的自身发展,其后期的维护与更新投入也会较大。

目前,主流的软件供应商正大张旗鼓地向风险管理市场挺进。这些供应商所提供的解决方案,原本只是为了协助配合遵守《萨班斯法案》的合规热潮,但也不乏明晰的意图,意欲拓展解决方案的功能性,以涵盖《萨班斯法案》未涉及风险管理和其他合规领域。这些供应商的最终目标是在咨询盟友的协助和专业意见指导下,开发出一个“万能解决方案”,以囊括更广泛的合规、治理和风险管理领域。

(4)企业除了根据自身情况进行选择之外,还需要对外部厂商的能力进行评估,包括以下关键要素:

①深刻的风险管理知识。风险管理必然和业务流程密切相联。最通晓组织流程(包括流程管理方法)和组织总体目标的供应商最有实力研发出优异的软件解决方案。这些解决方案能够整合到组织现有的结构和流程之中,而对企业正常业务活动产生的干扰又最小。

②引导新老客户的能力。风险管理不仅是一门科学,更像是一门艺术。通常的情况是先教会客户,尔后你才能卖出你的产品。拥有思想领先、崇尚传道的鲜明文化氛围的供应商更占优势,能研发出超群不凡的解决方案。

③执行和支持的能力。引入风险管理解决方案所带来的风险不应当比它意在帮助化解的风险还要多。如果供应商不能保证软件品质优异、售后支持良好,该产品便不值得进一步考虑。

④专业水平的服务。只有当风险得到正确地了解、基础业务流程得到正确地界定之后,才有可能成功地实施风险管理系统。拥有自己的专业领域专家,或者与顾问公司建立联盟关系的软件供应商在这方面就会拥有独特优势。

⑤全球业务触角。较大公司需要得到全球供应商的支持。尽管本地公司也能向本地小公司提供援助,但是,只有那些能够支持全球部署的供应商才会得到跨国公司的考虑。

⑥致力于市场。各家公司当然会优先考虑那些大量地、持续地投资产品开发的供应商。

⑦其他的关键指标包括风险管理收入对公司的重要程度、公司的总体规模、有没有能力利用现有关系来发展技术、营运和财务风险管理专业技能、市场占有率和市场占有率的历史变化。

远期的成功与否主要取决于现有的解决方案能否进一步扩展,进入合规、治理和风险管理等更广泛的领域。尽管有好多供应商都值得考虑,但管理层不应忘记,这些供应商的优缺点都不一样,差别很大。管理层应当确认所选的供应商的持续产品开发和解决方案的改进升级能支持本公司的长远要求。因为大多数解决方案都开发得不很完全,如果使用这样的解决方案,管理层将要严重地依赖于软件供应商在未来相关产品上的投资情况,所以,管理层应当了解供应商的未来计划和产品推出计划。