林楓 王歡 李宏 畢重軼

[摘 要] 全面風險管理信息系統(tǒng)作為風險管理的信息化管理平臺，在企業(yè)的風險管理方法框架搭建完成之后，為企業(yè)日常風險管理工作的運行提供全面、有效的保證，是企業(yè)日常風險管理的基礎管理平臺，也是實現(xiàn)全面風險管理工作真正落地實施的有力工具。

[關鍵詞] 全面風險管理；ERMIS；SOA；風險評估；風險應對；風險辨識

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 05. 022

[中圖分類號] F270.7；TP315 [文獻標識碼] A [文章編號] 1673 - 0194（2014）05- 0034- 04

0 引 言

隨著企業(yè)所面臨風險的復雜度和危害程度的增大，風險管理已經(jīng)成為現(xiàn)代企業(yè)管理的核心。全面風險管理服務于企業(yè)的日常經(jīng)營活動，應對突發(fā)事件，支持企業(yè)的戰(zhàn)略決策。通過風險評估和應對，實現(xiàn)對風險事件的事前預警、事中控制、事后評價，幫助企業(yè)管理風險、創(chuàng)造價值。

風險管理是指針對歷史事件和風險事件，由相關人員采取一定的分析方法對這些事件進行評測，并采取相應的分析方法對評測結果進行分析，將分析結果和應對方案進行比較，綜合評測并提交風險報告的過程。

全面風險管理信息系統(tǒng)（ERMIS）從結構上支持風險管理的全過程，是使風險管理真正落地的有效手段，也是企業(yè)整體信息化的重要組成部分。通過風險管理信息系統(tǒng)的實施，公司得以整合內外部風險信息，由經(jīng)驗化的風險管理，過渡到系統(tǒng)化、網(wǎng)絡化的風險管理，實現(xiàn)風險的事前防范，更好地保證企業(yè)戰(zhàn)略目標的實現(xiàn)。

1 ERMIS系統(tǒng)架構

ERMIS系統(tǒng)框架遵從面向服務的體系架構（SOA，Service-Oriented Architecture）和J2EE的開發(fā)標準，以模塊組件的形式，利用中間件平臺進行設計與開發(fā)。

1.1 技術架構

ERMIS系統(tǒng)建設采用的是B/S架構，用戶界面是通過WWW瀏覽器來進行業(yè)務操作。開發(fā)平臺采用Primeton EOS 6.0，這是全球領先的SOA應用平臺，采用了先進的SOA體系架構和標準規(guī)范，實現(xiàn)了業(yè)務層面的構件化模型、技術層面的標準化架構和管理層面的規(guī)范化框架。SOA是使用J2EE平臺開發(fā)的，因此系統(tǒng)也是完全按照J2EE模式搭建，支持跨平臺，如：UNIX和Windows。數(shù)據(jù)庫系統(tǒng)采用適合大中型企業(yè)的Oracle數(shù)據(jù)庫。

ERMIS系統(tǒng)結構可劃分為3個層次：資源層、服務層和應用層，其架構如圖1所示。

2 全面風險管理工作方式

全面風險管理信息系統(tǒng)主要在以下6個方面，為企業(yè)的風險管理工作提供支持。分別為：

（1）企業(yè)的風險管理環(huán)境信息管理；

（2）風險管理工作最基礎、核心的辨識評估工作；

（3）針對重大風險以及突發(fā)性重大風險事件的風險應對工作；

（4）企業(yè)日常風險管理重大風險指標的監(jiān)控預警；

（5）企業(yè)的流程控制管理；

（6）企業(yè)風險管理的報告體系運行工作。

六大風險管理業(yè)務之間不是相互獨立的，它們相互影響觸發(fā)，形成一套完整的風險管理工作流程。

下面著重介紹風險管理的關鍵業(yè)務。

2.1 風險評估

風險評估（Risk Assessment），是指在風險事件發(fā)生之前或之后（但還沒有結束），對于該事件給人們的生活、生命、財產(chǎn)等各個方面造成的影響和損失的可能性進行量化評估的工作。即，風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。

從信息安全的角度來講，風險評估是對信息資產(chǎn)（即某事件或事物所具有的信息集）所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎，風險評估是組織確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系策劃的過程。

2.2 風險應對

風險應對是指在確定了決策主體經(jīng)營活動中存在的風險后，在分析出風險概率及其風險影響程度的基礎上，根據(jù)風險性質和決策主體對風險的承受能力而制訂的回避風險、承受風險、降低風險或者分擔風險等相應防范計劃。制定風險應對策略主要考慮4個方面的因素：可規(guī)避性、可轉移性、可緩解性、可接受性。

風險應對過程是執(zhí)行風險行動計劃，以求將風險降至可接受程度。

2.3 風險監(jiān)控

風險監(jiān)控是指在決策主體的運行過程中，對風險的發(fā)展與變化情況進行全程監(jiān)督，并根據(jù)需要進行應對策略的調整。因為風險是隨著內部與外部環(huán)境的變化而變化的，它們在決策主體經(jīng)營活動的推進過程中可能會增大或者衰退乃至消失，也可能由于環(huán)境的變化又生成新的風險。項目風險監(jiān)控就是通過對風險規(guī)劃、識別、估計、評價、應對全過程的監(jiān)視和控制，從而保證風險管理能達到預期的目標，它是項目實施過程中的一項重要工作。監(jiān)控風險實際是監(jiān)視項目的進展和項目環(huán)境，即項目情況的變化，其目的是：核對風險管理策略和措施的實際效果是否與預期的相同；尋找機會改善和細化風險規(guī)避計劃；獲取反饋信息，使將來的決策更符合實際。

3 ERMIS系統(tǒng)功能及應用

全面風險管理信息系統(tǒng)的功能要涵蓋風險管理流程的全過程，包括從初始信息的采集更新，建立綜合信息框架、到風險評估、風險管理策略、風險管理解決方案，再到監(jiān)控、改進。包括關鍵指標及重大事件的監(jiān)控預警、風險分析及預測。覆蓋了事前預測、事中監(jiān)管和事后總結的全過程。

系統(tǒng)主要功能如圖3所示。

3.1 環(huán)境信息

環(huán)境信息是搭建風險體系架構、統(tǒng)一風險語言，存儲風險管理的內外部環(huán)境信息。主要功能是：

（1）建立法律法規(guī)、規(guī)章制度信息平臺；

（2）提供風險管理的最佳實踐；

（3）梳理風險管理的組織體系，確定風險管理工作的職權責任；

（4）建立風險管理工作流程，確保風險管理工作有序進行；

（5）梳理各類風險管理制度庫，完善公司管理制度的分類歸檔；

（6）提供風險管理工具模板，實現(xiàn)風險管理經(jīng)驗的轉移。

3.2 風險評估

風險評估功能是開展風險管理工作的基礎，它的核心工作是通過持續(xù)的風險辨識、分析和評價工作，對新發(fā)生或需持續(xù)關注的風險行為進行跟蹤，定期對重大風險進行排序，通過各類圖形化的報告來反映風險事件的變化和歷史趨勢。

風險評估功能用于對企業(yè)內部、外部風險的辨識、分析、評價。首先是通過風險辨識功能發(fā)現(xiàn)各類業(yè)務活動中各個層面的風險，包括企業(yè)內部、外部影響企業(yè)運營和戰(zhàn)略決策層面的各種風險，形成風險庫。然后，通過問卷評估和直接評估兩種方式對風險的影響和發(fā)生可能性等維度進行度量，動態(tài)更新企業(yè)風險庫的內容。企業(yè)領導可以通過各種形式的統(tǒng)計圖表及時了解企業(yè)最新的風險情況。

風險評估流程如圖4所示。

主要功能是：

（1）實現(xiàn)風險庫的信息化，標準化風險事件并及時進行新生風險的辨識；

（2）實現(xiàn)“指標、板塊、項目、崗位、風險、事件”的相互映射的風險數(shù)據(jù)庫；

（3）支持評估計劃的制訂、下發(fā)，問卷維度設計與分配，在線評估打分；

（4）完成風險排序、熱度等各類數(shù)據(jù)統(tǒng)計分析并生成分析圖表；

（5）高效、多樣的查詢功能，引入風險“版本”管理，實現(xiàn)不同版本間風險的橫向對比；

（6）靈活多樣的風險辨識方式，支持Excel導入、問卷辨識、在線填寫及修改；

（7）支持多人同時在線使用，簡化數(shù)據(jù)統(tǒng)計與分析工作，提高效率。

3.3 風險應對

風險應對是明確重大風險管理策略和解決方案，以統(tǒng)一公司的風險管理行為，動態(tài)監(jiān)控風險和風險管理的效果。主要實現(xiàn)：

（1）明確重大風險偏好和風險承受度，針對某些重大風險提出解決方案；

（2）明確重大風險應對策略和相應的具體措施；通常分為應急措施、事前預防和事后處置方案；

（3）公司可根據(jù)對自身重大風險的風險偏好和承受度，通過評價解決方案的剩余風險，評價解決方案的有效性，達到及時改進風險管理的目的；

（4）對于應對方案要做事后評價，以便修正和改進；

（5）在多方案優(yōu)選中，采用決策樹的模式，采用時間、成本和改進效果的方式進行排序。

利用風險應對模塊，企業(yè)可以明確重大風險的偏好和風險承受度，以及應對策略和具體的措施。

3.4 監(jiān)控預警

監(jiān)控預警包括關鍵績效指標體系，以及對重大風險指標的動態(tài)監(jiān)控和及時預警機制。監(jiān)控預警模塊從企業(yè)經(jīng)營的關鍵績效和風險指標等方面展示企業(yè)經(jīng)營的風險狀況。主要實現(xiàn)：

（1）企業(yè)各級領導人通過“風險駕駛艙”中儀表盤的告警指示，準確把握各項經(jīng)營指標的變化以及相應的各風險影響因子的變化。當關鍵指標出現(xiàn)預警時，系統(tǒng)能夠追蹤到使指標發(fā)生異常的風險事件，以及這些事件的處置情況，并在此基礎上對環(huán)境信息進行更新，滿足風險管理工作持續(xù)改進的需要；

（2）通過對經(jīng)營指標變化趨勢的量化預測，提供給管理者前瞻性的信息，使公司能夠提前采取措施，保證戰(zhàn)略目標的順利完成。

3.5 綜合報告

綜合報告是風險管理體系的信息流，根據(jù)工作的需求生成并存放各種報告，及對其進行管理維護。其中報告種類、報告內容和報告頻率根據(jù)風險管理的需要定制。主要實現(xiàn)：

（1）自動生成風險評估報告、上傳下載各類風險案例分析報告、重點流程風險控制及建議報告、風險管理體系評估及規(guī)劃報告、風險管理及內部控制信息化管理建議書等報告及對國資委等部門上報的對外報告；

（2）報告匯報渠道體系管理，包括提交、審閱、審批、歸檔功能；

（3）報告匯總管理，按統(tǒng)一模板匯總下級報告功能；

（4）報告提醒、跟蹤功能；

（5）生成各種統(tǒng)計圖表；

（6）報告模板管理、對外溝通管理和報告歸檔查詢功能。

綜合報告模塊抽取相關的數(shù)據(jù)，自動生成風險辨識報告、風險指標監(jiān)控報告等各類報告，大大減少了繁雜的手工勞動，提高了報告編制效率和風險數(shù)據(jù)使用效率。本模塊提供報告模板的上傳下載功能，以及查看公司重大風險詳情的功能。

4 關鍵技術

4.1 風險定量分析

風險量化是指通過對風險及風險的相互作用的估算來評價項目可能結果的范圍。風險量化用于衡量風險概率和風險對項目目標影響的程度，它依據(jù)風險管理計劃、風險及風險條件排序表、歷史資料、專家判斷及其他計劃成果，利用靈敏度分析、決策分析與模擬的方法和技術，得出量化序列表、項目確認研究以及所需應急資源等量化結果。

風險定量分析使用蒙特卡羅方法，分析評估風險發(fā)生可能性、風險的成因、風險造成的損失或帶來的機會等變量在未來變化的概率分布。需要通過收集大量歷史相關數(shù)據(jù)，建立能描述該風險變量在未來變化的概率模型。利用隨機數(shù)字發(fā)生器，生成風險變量的概率分布初步結果。通過對生成的概率分布初步結果分析，用實驗數(shù)據(jù)驗證模型的正確性，并在實踐中不斷修正和完善，實現(xiàn)利用該模型分析評估風險情況。

4.2 關鍵風險指標管理

一項風險事件發(fā)生可能有多種成因，但關鍵成因往往只有幾種。通過分析風險成因，從中找出關鍵成因，將關鍵成因量化分析，確定關鍵風險監(jiān)控指標，建立風險預警，制定出現(xiàn)風險預警信息時應采取的控制措施。

4.3 壓力測試

壓力測試是指在極端情景下，分析評估風險管理模型或內控流程的有效性，發(fā)現(xiàn)問題，制定改進措施，防止出現(xiàn)重大損失事件。通過針對某一風險管理模型或內控流程，假設可能會發(fā)生哪些極端，評估極端情景發(fā)生時，風險管理模型或內控流程是否有效，并分析對目標可能造成的損失。制定相應措施，修改和完善風險管理模型或內控流程。

5 總結與展望

全面風險管理信息系統(tǒng)能夠將風險管理信息化體系與風險管理、內控流程緊密結合起來，實施動態(tài)的、全方位的、全過程的監(jiān)控，防范重大風險，推進公司全面風險管理體系建設，提高公司全面風險管理工作效率，打造一個高效、協(xié)同的風險管理工作信息平臺。平臺建成以后能夠實現(xiàn)以下目標：

（1）實現(xiàn)及時、準確、真實傳遞和共享各種風險信息，展現(xiàn)、落實公司全面風險管理模式和相關制度；

（2）各項風險管理工作實現(xiàn)化規(guī)范化、標準化，優(yōu)化、完善公司風險管理基本流程；

（3）確保公司所制訂的危機處理計劃在各項重大風險發(fā)生后能夠有效實施；

（4）實現(xiàn)跟蹤、監(jiān)督、評價各項風險管理工作過程和成果，提高公司風險管控能力和水平。

目前，公司正在推進全面風險管理系統(tǒng)的應用，由于系統(tǒng)上線運行不久，系統(tǒng)中還沒有形成大量的風險事件，對風險分析的模型還沒有很有效地利用，期待未來會有更好的表現(xiàn)。

主要參考文獻

[1][加]沃特斯.供應鏈風險管理[M].何明珂，譯.北京：中國物資出版社，2010.

[2]彭志國，劉琳，等.企業(yè)內部控制與全面風險管理[M].北京：中國時代經(jīng)濟出版社，2008.