路世忠
(神华集团有限责任公司内控审计部,北京市东城区,100011)
近年来,随着煤炭企业向集团化、大型化和一体化方向的发展,企业风险也表现出新的特点,一是企业往往追求规模化和一体化生产运营,在有效降低运营成本和市场销售等风险的同时,企业的系统性风险也随之表现的更加明显;二是现代企业已经进入高度协同的发展阶段,实施风险管控亟需各相关部门和业务单元之间的有效协作,单靠某一部门或岗位很难全面管控企业风险。
大型煤炭综合能源企业以煤为基础,电力、铁路、煤制油与煤化工等为一体,实行产、运、销一条龙经营,且具有多管理层级的复杂组织机构,因此风险管控涉及业务范围广泛,涉及内容复杂,使得建立组织级的风险管控体系面临很大的挑战。实施好风险管控和搞好生产经营不但需要相关业务领域的全员积极参与,更需要及时获取多方位和充分的价值信息。在当前经济的形势和市场情况下,加强企业自身的风险管控能力建设已是迫切之举,建设组织级的风险信息化管控系统成为大型煤炭综合能源企业内在风险管理能力提升的必然选择。
目前各大煤炭企业集团基本上都已建立以ERP为核心的信息化应用体系,实现了人力、物资、财务、项目和销售等业务信息的横向和纵向的一体化共享,而风险管理领域也已建立了系统的理论体系、较为完善的风险管理组织体系、明确的风险管控责任主体以及完备的风险管理制度、流程和相关的预警指标、区间等,这些都为建立全集团范围内的风险信息化管控系统奠定了坚实的基础。
组织级风险信息化管控系统应规划在整个集团公司范围内应用,范围上覆盖各个管理层级上的不同业务单元的系统用户和业务用户,纵向上贯穿集团总部、分子公司以及下属三级单位,横向上跨越内控风险管理部门、其他职能部门以及业务单元等。各管理层级上的各个用户分别具有不同的权限,被授权进行特定的业务操作。集团公司风险管控范围示意图如图1所示,风险信息化管控系统运行示意图如图2所示。
图1 集团公司风险管控范围示意图
图2 风险信息化管控系统运行示意图
从图1可以看出,组织级风险信息化管控系统实现了全组织机构和全员参与的全业务领域的风险管理过程,保证了各专业业务领域风险,尤其是企业系统性风险在整个公司范围内的信息条件共享和协同管理,能够解决企业多年来在风险管理工作上的困惑,大大提升企业的管理水平。
由图2可见,风险管理模块在及时获取企业生产经营信息和外部信息的情况下,通过自身的有效运转对企业风险产生应对策略和方案,从而推动相关管控责任主体实施企业内部控制,以有效控制风险发生的可能性和产生的不利影响。
风险管控基础流程是在全面风险管理工作中,集团公司各层面的业务单位在管理的各环节和经营过程中执行的工作流程,风险管控基本流程是个循环往复和螺旋提升的过程,组织级风险信息化管控系统对风险管控基本流程进行变革和优化。
风险评估是风险管控的最为基础的工作,包含信息收集、风险辨识、风险分析和风险评价等环节。收集信息包括历史数据和未来预测信息,并对初始信息进行必要的筛选、提炼、对比、分类和组合。在收集的风险管理初始信息基础上,对各项决策和各项重要经营活动及其重要业务流程中可能遇到 (面临的、潜在的)的所有风险进行风险辨识,对风险事项进行分类并形成风险库;对各风险以及风险之间进行定量或定性分析,确定风险发生可能性的高低和影响程度的大小;根据各项风险的影响程度和发生可能性等信息,确定各项风险的重要性特征和管理优先顺序,依据风险等级判断标准确定集团公司重大风险。风险评估流程图如图3所示,风险评估流程描述如表1所示。
分子公司及分子公司下属单位自发进行风险评估的,其业务流程与总部发起的业务流程一致。
根据风险评估的结果,集团公司制定相应的风险管理策略和重大风险应对方案,并确定风险管理所需人力和财力资源的配置原则。风险应对流程图如图4所示,风险应对流程描述如表2所示。
风险管控责任部门按照已确定的风险管理策略,对重大风险制定监控预警指标及预警区间并进行持续监测,根据预警信息动态调整风险解决方案或启动风险应急预案,促进风险管理目标实现。风险监控流程图如图5所示,风险监控流程描述如表3所示。
图3 风险评估流程图
表1 风险评估流程描述
风险主管部门组织协调有关职能部门及分子公司开展集团公司全面风险管理年度报告编制工作,风险主管部门负责制定报告编制工作计划,明确编制工作要求及报告模本。
有关职能部门及分子公司应对上一年度全面风险管理工作进行总结,对下一年度的风险进行评估,提出重大风险管理解决方案,编制本单位的全面风险管理年度报告,于每年规定日期前提交风险主管部门。风险主管部门通过汇总分析和经理层访谈后,形成集团公司全面风险管理年度报告。风险管理报告流程图如图6所示,管理报告流程描述如表4所示。
图4 风险应对流程图
表2 风险应对流程描述
表3 风险监控流程描述
图5 风险监控流程图
图6 风险管理报告流程图
表4 管理报告流程描述
组织级风险信息化管控系统涉及到的基础数据包括企业的组织机构数据、内控矩阵数据、缺陷数据和风险库信息等,这些基础数据信息在较长一段时间内不会发生改变,更新时必须遵守一定的规则和操作规范进行。全面、准确的基础数据是系统正常运行的根本保证。
实现从主数据平台MDM获取组织机构信息,确保风险管理业务活动中调用的组织机构与主数据平台一致。主数据管理平台对企业所有信息系统的机构信息统一集中管理。
系统使用主数据管理平台提供的组织机构信息进行初始化,之后主数据管理平台在组织机构信息进行变化时通知风险信息化管控系统,实时更新变化的组织机构信息。系统与主数据管理平台接口示意图如图7所示。
图7 系统与主数据管理平台的接口示意图
风险信息化管控系统以树状结构管理风险内控矩阵,分四个层级分别展示主流程、子流程、风险和控制标准的信息。风险内控矩阵中的风险信息与风险库中的信息相关联,实现数据同步更新,保持一致性。
控制标准包含编号、控制标准、适用层级、适用业务板块、相关监管要求、外部禁止性规定、主责部门、管理制度、是否与财务报告相关和与控制相关的风险评级等。
集团总部统一维护总部标准版本风险内控矩阵,系统后台自动判断各机构的所属层级并自动筛选出对应该层级的风险内控矩阵信息。分子公司可看到总部最新发布版本的矩阵和自身相关矩阵,同时在该风险内控矩阵树上可增加自身的主流程、子流程、风险描述或控制标准。
设计将内控缺陷纳入到风险管理中,内控缺陷信息管理包括对内控审计缺陷、检查缺陷和年度自评缺陷的汇总管理,缺陷信息包括被评价单位、评价年度、主流程名称、控制标准编号、缺陷描述、缺陷类型、缺陷产生原因、是否存在补偿性控制、是否与财务报告相关 (直接相关、间接相关、非相关)、内控缺陷涉及金额 (违约金额、管理不规范金额、会计处理不当金额、直接损失浪费金额),缺陷分级 (重大缺陷、重要缺陷、一般缺陷)、整改建议/整改措施、缺陷责任单位/部门、整改计划完成时间、缺陷改进类型 (完善职责和分工、新增管理制度/流程、优化管理制度/流程、加强控制执行)等。
内控缺陷信息统一由集团总部进行维护,系统根据内控评价底稿自动生成各管理层级的内控缺陷信息列表,各级人员仅可查询本单位的缺陷信息。
风险库管理是对集团公司的风险信息进行统一管理,风险信息以树形结构展示,共分为一级风险、二级风险和风险描述三级。风险库通过风险唯一编号实现和风险内控矩阵的关联。
集团公司层面的风险信息由总部统一维护,各下属单位在总部的指导下可维护独立的风险库。各层级的风险信息更新时必须经过指定负责人审批,审核通过则风险信息更新。风险库信息可通过授权进行查看,各单位原则上只能看见自身所在业务板块的相应内容。
本系统使用的Galaxy开发框架以J2EE技术为基础,其开发框架结构图如图8所示。
图8 系统开发技术架构结构图
开发核心框架分为表现层、服务层和数据访问层三层,以Spring 3.0框架为基础,在数据访问层方面使用JPA持久化规范。
表现层使用Spring和Struts的基本架构组合,并利用Spring MVC模式将业务、模型和控制分离开来,通过显示与数据分离设计,将页面定制与数据进行解耦。服务层是开发框架中的核心部分,系统的导航、组织机构、权限与授权、流程管理等功能都是通过服务的方式随系统启动。数据访问层采用J2EE规范JPA实现数据库持久化,为框架提供跨数据库的支持 (目前支持Oracle、SQL Server、MSQL数据库)。另外,数据访问层还提供了LDAP Adapter,并支持LDAP(轻量目录访问协议)库。
系统在Java EE应用服务器的基础上,开发了包括矩阵管理、流程引擎、流程建模等在内的模块,这些模块为风险管控系统的开发和运行提供了底层服务。由于系统需要一些组织机构和人员等外部的基础信息,在系统与ERP及其他信息系统之间建立有接口层,实现基础信息的及时获取或同步更新。系统功能架构图如图9所示。
系统实现了风险库管理、风险评估、风险应对、风险监控和报告管理等功能,贯穿了企业风险管控的整个流程,其中风险评估是风险管控工作中的重点,涵盖了风险评估计划、评估任务分配、评估任务执行等关键环节。风险评估后的结果信息部分进入各层级的风险库进行统一管理,对于重大风险及需要特别关注的风险,由各管理责任主体制定管理策略和应对方案,建立预警指标的风险可实施实时监控。风险管控信息通过审批后可在门户进行展现和共享。
系统采用基于RBAC(Role-Based Access Control:基于角色的访问控制)的模型来进行权限设计,结合开源框架Shiro,通过Shiro提供的API完成导航菜单和按钮级的权限控制。RBAC以角色为桥梁,通过给用户赋予不同的角色使用户获得角色所拥有的访问权限。角色分系统角色和自定义角色,支持角色的继承,由开发人员预定义Permission,支持运行时将Permission组合为PermissionSet分配给自定义角色,实现灵活的运行时权限分配。
系统角色设计有内置角色和业务角色,内置角色包括超级管理员、租户管理员和节点管理员,业务角色包括总部风险主管部门-主要负责人、总部风险主管部门-主管、总部职能部门负责人、分子公司职能部门负责人、总部基础信息管理、总部风险主管部门-风险评估计划管理、总部职能部门-风险评估计划管理、分子公司-风险评估计划管理、分子公司职能部门 (或下属单位)-风险评估计划管理、总部风险主管部门-风险应对方案管理、总部职能部门-风险应对方案管理、分子公司-风险应对方案管理、分子公司职能部门 (或下属单位)-风险应对方案管理等。
基于以上的风险管控基本流程优化、基础数据控制设计、系统开发技术平台及角色权限设计,开发了适合大型煤炭综合能源企业实际业务状况和管理特点的组织级风险信息化管控系统。
图9 系统功能架构图
风险信息化管控系统是集团公司范围内的组织级应用,覆盖各个管理层级的不同业务单元的用户。系统上线运行后,被授权的管理员可以根据实际状况变化调整角色,对用户进行再分配,进行功能重新配置,实现对管理层级、组织架构、业务内容等变化的动态适应。
[1]史学伟,李翕然.煤炭企业全面风险管理体系探索[J].中国煤炭,2012 (12)
[2]徐向艺等.公司治理制度安排与组织设计[M].北京:经济科学出版社,2006
[3]胡杰武等.企业风险管理[M].北京:清华大学出版社,北京交通大学出版社,2009
[4]韦建华.生产管理流程与节点精细化设计[M].北京:人民邮电出版社 (第1版),2013
[5]刘友华等.信息系统分析与设计 (第2版)[M].南京:南京大学出版社,2011
[6]冯登国等.基于角色的访问控制模型与管理规范(GB/T 25062-2010)[M].北京:中国标准出版社,2010