目标导向的特大型企业集团风险管控信息系统构建与应用分析

逯敏 朱琳琳 任天宝 马驰

十九大以来，习近平总书记多次强调“要坚持底线思维，防范化解重大风险”。早在2006年国资委就印发了《中央企业全面风险管理指引》，要求中央企业自2008年起开展年度风险评估，上报年度风险管理报告。2019年，国资委进一步将强化风险管控列为中央企业2019年的首要任务。A集团公司作为一家资产总额近8000亿元、营业收入近2000亿元，业务覆盖电力、煤炭、金融、海外、煤化工、能源服务六大产业板块的特大型中央企业，提高政治站位，坚决贯彻落实党中央的决策部署，坚决守住不发生系统性、全局性重大风险的底线和红线是其应有之义。随着国企改革和电力体制改革的不断深化，A集团公司面临的内外部风险防控任务更加艰巨。

如何建立健全目标导向的全面风险管理体系，应用先进的信息化技术有效监管和防范化解重大风险，是困扰企业的难题之一。国内外相关的理论框架形成的时间不长，虽然内容系统全面，但操作性差，有关信息化的内容也很少，对企业的应用实践指导作用不强。已经开展相关工作的企业在具体实践上各不相同，难以复制，成功的案例也不多。A集团公司依据全面风险管理理论框架，结合现代企业管理理论和实践，针对集团公司地域分布广泛、管理层级多的特点，建立了统一目标、指标、标准、流程和模板的重大风险闭环管理工作机制。在此基础上，A集团研发建成了集风险管理数据库和文档库、日常风险管理工作平台、风险状况展示监管平台、管理决策支持平台为一体的管理信息系统。在全系统近400家企业推广应用，基本实现了内部数据采集、风险综合等级和风险事件等级自动判断，辅助生成风险管理报告，多维度、全方位展示和查询风险状况，实现对重大风险事件的发生、应对和化解进行跟踪等管理目标。

一、目标导向的风险闭环管理工作机制构建

战略目标是企业发展经营的根本目标，只有战略目标确立之后才能保证企业按照既定的道路发展，最终实现企业的经营目标。为保证企业战略目标和经营目标的实现，必须对其发展过程中存在的不确定性进行合理的分析预测，最后通过构建科学的风险管理机制和设计完善的风险管理系统实现有效的风险管理。A集团在建立健全风险管理组织体系的基础上，以年度风险评估为切入点，按照统一目标、统一指标、统一标准、统一流程和统一模板的思路，设计了年度风险评估的工作机制，开展了重大风险闭环管理工作机制的顶层设计。

1.建立健全风险管理组织体系。如图1所示，A集团在董事会下设立了审计与风险管理委员会，提交董事会审批的所有事项，都需要经过审计与风险管理委员会审议。集团公司经理层下设立了全面风险管理领导小组，董事长任组长，全体领导班子任领导小组成员。全面风险管理领导小组办公室设在风险管控部。按照管理关系，纵向主要分为三个层级，各层级均明确了风险管理分管领导、风险管理部门、风险管理主管，同时也在每个职能部门明确风险管理工作联系人，建立跨部门协同联动的工作机制，保障日常工作的沟通顺畅。

图1 风险管理组织体系

2.构建统一的风险防控目标体系。如图2所示，A集团根据内控管理的五个目标，搭建了统一的风险防控目标体系，包括战略、经营、资产安全、合法合规、报告五个类别，细分为四个层级。目标体系的一级和二级目标分子公司和基层企业不能改动，三级和四级目标可根据每个企业的行业特点和业务特点进行删减和补充。

3.构建统一的风险防控指标体系。针对每类风险防控目标，统一设定了最具代表性的定量或定性关键管理指标。每年根据内外部形势变化，经营业务类型和管理重心的改变，对目标指标体系进行优化调整。在设定指标时，主要考虑是否能有效评估相关风险的大小，是否能与业务的管理融合，是否可以量化评价，是否便于统计和操作。因此，用于评估风险的指标大体上有两类，一类是业务日常管理常用的生产经营或财务指标，例如评估经营风险的发电量、市场电价等；一类是按事件类别数量统计的指标，例如安全生产事故、环保事件、舆情事件等。此外，为了保障指标体系能够适用不同行业、不同经营阶段和不同管理层级的企业，A集团针对每个指标设置了适用性，包括适用的板块类型、经营阶段、管理层级等（图2）。

图2 目标及指标体系

4.构建统一的评估标准。A集团总部统一规范了包括风险影响程度评估标准、发生可能性评估标准、重大风险判断标准、重大风险事件判断标准在内的风险评估标准，确保不同人员评估的结果保持一致。风险影响程度评估标准既定义了通用标准，也定义了专项标准。如图3所示，通用标准由集团统一规定，统一执行，适用于不同行业板块不同类型的公司。

图3 影响程度评估标准-通用标准

如图4所示，专项标准与每个指标一一对应，分为无影响、轻微、较小、中等、严重、非常严重6个评价级次。每级标准都与通用标准衔接一致。专项标准也由集团统一规定，并且在设定不同影响程度的级次时，都采用专业管理已经普遍应用的分级标准，例如安全生产事故、环保事件等，专项标准直接采用专业事故或事件的分级标准作为风险影响程度的分级评估标准，确保了风险管理与业务管理的有机融合。

图4 影响程度评估标准-专项标准

如图5所示，集团总部还制定了发生可能性评估标准，将发生可能性特征细化为6类，每类描述方式被划分为极低、较低、中等、较高和极高5个等级，每个程度等级均按照不同的风险发生可能性特征进行描述。

图5 发生可能性评估标准

如图6所示，集团总部还制定了重大风险判断标准和重大风险事件判断标准，通过坐标图的方式，将发生可能性和影响程度作为坐标图的X轴和Y轴，根据发生可能性等级和影响程度等级落在坐标图的区域判断风险的综合等级。重大风险事件是已经发生的，影响程度超出了中等水平下限的事件。通过设定评估标准，保障了每个单位评估出的相同等级的风险和风险事件的程度一致。

图6 重大风险和重大风险事件判断标准

5.构建统一的评估流程。为保障工作的协同一致，A集团设计了统一评估工作流程。每年年初，集团公司总部统一部署，全系统每个企业对全年可能面临的重大风险开展评估，内容包括：修订或补充分管业务领域的年度风险防控目标、指标和评估标准；围绕设定的风险防控目标，收集相关信息，准确辨识很可能对风险防控目标产生重大影响的内外部环境变化、当前管理薄弱环节、主要成因、相关项目和管理主体等；分析风险发生的可能性和影响程度，对照风险评估标准，通过专业判断分析或根据客观事实判定风险综合等级；对重大风险及重要风险制定改进措施，落实风险防控责任。年中，每个企业定期对年初评定的重大风险防控效果及改进措施落实情况进行动态跟踪，判定是否有新增重大风险，辨识主要风险源和成因，并改进防控措施；监测认定是否发生重大风险事件，及时采取有效的应对措施，降低事件带来的经济损失和不良影响；总结报告重大风险事件的基本信息、事件经过、原因分析、应对措施及化解处置情况等。年底，每个企业对重大风险的管控效果进行总结，因管理责任发生重大风险事件的单位，按规定进行考核，实现重大风险的闭环管理。

6.构建统一的评估模板。为了便于各级企业和职能部门开展风险评估和管理工作，A集团分别针对年初风险评估、年中跟踪、年底总结、重大风险事件总结报告等工作，设计了统一的工作模板，包括报告模板和几十张支撑性的表单模板，为评估人员规范高效完成工作提供了工具。

二、以信息系统建设为契机优化全面风险管理

目前，信息化已经成为企业进一步夯实管理基础、提升管理效益、提升决策水平，向管理要效益，实现管理规范化和标准化的重要抓手。在《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》，专门对数字化做出了安排。从另一方面看，随着企业集团多元化发展和多地域扩展，风险管控对于管理及时性、完整性以及强监督的要求进一步提升，现代信息技术的应用可以很好满足上述要求。在此背景下，为充分利用先进的信息技术，实现重大风险闭环管理工作信息化，A集团建立了集风险管理数据库、文档库、日常风险管理工作平台、风险状况展示监管平台、管理决策支持平台为一体的管理信息系统。该系统主要实现了数据自动采集；风险综合等级、风险事件等级判断自动化；风险管理报告自动生成；风险防控目标、措施和责任明了；多维度、全方位展示和查询风险状况；重大风险事件的发生、应对和化解全过程跟踪等功能。如图7所示，建成的系统由底层基础设置、中间业务操作和上层展示分析等功能组成。

图7 系统功能架构

底层基础设置包括组织机构及用户、目标及指标、评估标准、风险分类、风险源分类等。分别用于开立和维护机构和人员信息、设置权限，设置和管理各级企业的风险防控目标和指标体系、各类风险评估标准、风险名称、各类风险的主要风险源等信息。

中间业务操作包括年度风险评估、定期风险评估、考核评价等风险管理基础工作管理功能等。其中年度风险评估根据工作流程包含了制定风险评估方案、部门年度风险评估、单位风险评估汇总、主管部门推荐及报告分解落实等功能。定期风险评估主要用于按月或按季对各类风险的变动情况、风险防控措施的改进落实情况、重大风险事件的发生和应对情况进行动态跟踪和报告，也用于全年风险防控效果的总结。风险管理基础工作可以开展风险管理组织体系的管理、培训管理、考核评价管理等。

上层展示分析包括风险地图、本部视窗、所属单位视窗、综合查询、知识库等。其中风险地图功能可以实现全国、省、基层三层穿透，以地图的方式展示各类风险和风险事件在不同地区、不同单位的分布情况。本部及所属单位视窗通过图形方式多角度展示本单位及所属单位各类风险的大小、数量及多年度变化趋势等。综合查询功能可以实现原始数据、成果报告、管理过程、辅助管理决策信息等不同加工深度的信息查询，也可以实现不同单位、不同时间、不同行业、不同专业、不同管理层级、不同经营阶段等多角度、多维度、全方位的信息查询，可以为集团公司防范化解重大风险提供强有力的支持。

三、目标导向的风险管控信息系统工作机制

A集团创建的这套重大风险闭环管理工作机制和信息系统，在很多方面实现了创新，并取得了良好的成效。

1.信息系统内部较好地实现了数据自动采集。其他环节已有数据实现了不重复录入，系统可以自动采集、加工生成，例如：单位自己在上个评估期间录入的评估信息，会自动带入本单位下个评估期间的评估表单里。实现了按不同部门、不同岗位、不同企业类型自动筛选信息。例如：系统会根据预先设置好的部门分工把指标自动分配给各评估部门，系统也会根据每个单位的所属板块、经营阶段和管理层级，自动筛选出适用于这个单位的风险防控目标和指标，以及相关的风险评估标准。实现了自动推送可能使用的信息。例如：集团公司总部在基础设置里预先整理好了大量的风险源示例、风险影响程度评估标准示例等，系统会自动带入职能部门和所属企业的工作表单中，供评估人员直接使用或修改完善。实现了指定数据标准化。例如：责任部门、企业所属板块类型、管理阶段、管理层级等字段，必须在事先确定好的选项里选择。实现了数据的自动计算和判断。例如：系统会自动计算参评企业的资产规模、企业数量，自动统计重大、重要、一般风险的数量。再如：系统可以根据财务数据、经营阶段、板块类型等信息，自动判断并生成企业是否属高风险企业。

2.部分风险等级和风险事件等级自动判断。每类风险的每个风险评估指标，提前设置了影响程度评估标准，部分根据指标实际完成值判断等级大小的风险或风险事件，一旦采集了实际完成值后，系统即会自动判断评价结果。例如：重大债务风险的判断标准之一是，资产负债率水平高于85%，且连续三年亏损。一旦企业的实际完成值达到了上述标准，系统就会自动评价该企业的债务风险为重大风险。对于生产安全等事件类的风险，如果累计发生的事件数大于年初设定的目标值，则系统会自动判定发生了重大风险事件。上述自动判断的结果可以通过首页的风险视窗给出提示信息。

3.辅助生成管理报告。信息系统中内置了风险管理报告模板，可以自动提取风险评估的相关信息，如：重大风险、风险源、改进措施、防控效果、年底总结等信息，自动生成风险评估报告初稿，为风险管理主管节省了大量的信息查找、数据统计和文字编辑等工作。

4.多维度全方位展示、查询和监管。经过2年多的实践应用，信息系统中已经积累了大量的业务数据。在实现线上全流程开展风险评估工作的同时，也将其打造成风险管理人员日常监管和应对化解风险的管理平台，以及为管理层决策提供辅助支持的平台。如图8所示，在信息系统中，可以随时查看每一项风险的防控目标、风险承受度、防控现状、改进措施、措施的防控责任部门和责任人，保证目标、措施、责任明了。

图8 风险防控目标、措施、责任展示

系统可以随时监管本企业各类风险的程度和变化情况，核实和督导相关部门和单位是否采取了适当的应对和化解措施，是否得到了有效的控制。也可以查看每个职能部门风险情况，包括各类风险的风险等级和数量。此外，如图9所示，系统设计了风险地图功能。由系统自动抽取底层数据库各单位的风险评估工作成果，通过全国地图的形式展示各类风险在每个分子公司的风险状况、风险事件发生和应对情况。管理人员也能够穿透省地图查看不同基层企业的风险情况，同时还设计了世界地图查看境外企业风险情况。系统还可以按照电力、煤炭、煤化工等不同行业板块查询风险状况、主要风险源信息。也可以按照集团总部、分子公司、基层企业不同的企业管理层级，或按照前期、在建、运营等不同的经营管理阶段查看各单位风险状况。还可以查看不同时间风险的变化趋势，可以帮助管理人员了解风险的控制效果，也可以提醒管理人员提前做好准备和应对预案，及早将风险控制在承受度以内。

图9 多维度风险状况展示

5.重大风险事件过程跟踪。针对已经发生的风险事件，系统可以将事件的发生经过、原因分析、经济损失和不良影响情况、事件应对情况、调查情况和整改情况进行完整的记录和跟踪，保障风险事件应对工作的规范开展。

四、结论与建议

A集团建设的全面风险管理信息系统是集风险管理数据库和文档库、日常风险管理、风险状况展示监管和管理决策支持为一体的信息化管控平台，充分考虑了行业板块多样、地域分布广泛、管理层级多的特大型企业集团管理特点和管理需求，应用了全面风险管理理论框架和信息技术，涵盖了年度风险评估、定期风险评估、组织章程及项目管理、风险管理基础工作（风险管理组织等）、知识库、综合查询等功能，实现了内部数据采集自动化，部分风险综合等级、风险事件等级判断自动化，辅助生产风险管理报告，多维度、全方位展示和查询风险状况，对重大风险事件的发生、应对和化解进行跟踪等管理目标，已在集团系统内近400家企业推广应用，并取得了良好的成效。

但是目前系统还不完善，下一阶段需要通过进一步完善信息系统，实现多系统数据集成，更快速、精准的识别和定位重大风险，实时自动监测潜在重大风险的异动信息，并在第一时间向风险防控责任人员自动推送风险异动信息和应对指导信息。充分利用风险评估信息，实现风险向下游业务的刚性拦截。深度挖掘系统中数据的价值，为提升管理、防范化解重大风险、实现高质量发展、保持企业竞争优势提供强力支持。