高效企业集团风险管控的信息技术方案

良好的风险管理,要求企业能够及时识别所面临的各类风险,评估风险的重大程度,并能够在发现重大风险时进行自动预警,从而及时有效地采取控制措施。因此,应用现代信息技术,建立顺畅的信息系统以保障集团内部各层级的风险信息有效沟通与良好控制,是实现企业集团风险管控的关键因素之一。

(一)信息系统的层级与类型

美国管理会计师协会在《管理会计与报告》一书中列示了企业信息系统的层次和类型,显示了企业信息系统从战略层、管理层、知识层到操作层共四个基本层次的信息系统类型。其中,除了知识层与内部报告没有直接关联之外,其他三个层次都是会计内部报告的重要组成部分,如表6-13所示。

表6-13 企业信息系统层次与类型

企业可以运用商务智能(BI)、在线分析处理(OLAY)、企业资源规划系统(ERP)、业务流程管理(BPM)和可扩展商业报告语言(XBRL)等信息技术来进行风险识别、评估和管控。

企业集团应坚持总体规划原则,建立适合自身情况的信息系统,分阶段开展信息系统建设并持续优化,提高信息集成能力。与此同时,建立完善的信息安全保障体系,从技术和文化两方面培养企业的内部信息文化。

(二)企业集团风险管控会计内部报告的信息化

企业集团风险管控会计内部报告的主要目的是为管理者提供有用的决策信息支持。内部报告同时也发挥着信息传递与沟通的作用,是企业风险信息在内部传递的正式媒介与工具。内部风险信息传递不通畅、不及时,可能会导致风险应对决策的延迟和失误,使企业集团蒙受巨大损失,甚至陷入财务危机。相对单一公司而言,企业集团层级多,部门多,这样导致信息的传递和决策速度更慢,信息传递的准确度更低,多部门、多子公司间的协调成本也会增加,这些都对企业集团风险管控内部信息的传递提出了更高的要求。因此,企业集团必须要推进企业风险管理信息化建设,充分运用信息化的实时监控功能、现代管理技术和手段,加强信息传递与沟通,及时化解风险。(www.xing528.com)

在企业集团内部,应该提高风险信息共享程度及传递速度,用覆盖整个集团的风险管理信息系统来更有效地协调集团内部信息流,从而消除风险信息不对称及传递不及时带来的不良效应。为了避免企业集团内部各信息系统相互重叠和冲突,企业集团需要与软件服务商共同开发适合自身特点、满足自身特殊要求的全面风险管理信息系统,并把全面风险管理信息系统融入原有的信息管理系统中去,将风险管理嵌入日常经营过程,做到风险动态跟踪和在线监控。风险管理信息系统应涵盖风险信息收集、识别、评估、应对、反馈和改进以及监控等风险管理的基本流程,并能够联结企业集团各层级、各相关业务部门及相关责任主体的自动化、网络化数据系统。建立科学的风险管理信息系统,能够满足企业集团风险分层、分类和集中管理的需要,实现风险实时监控和动态管理,它将会极大地提升风险管控的效率和效果。

(三)企业集团关键风险信息的自动预警

企业风险管理让领导者可以从整个企业的视角发现可能影响企业目标实现的潜在事件。由于风险会在企业实现目标的过程中不断发展演变,因此,及时获取相关的风险信息并通过信息系统实现对关键风险的自动预警显得尤为重要。

许多企业正在探索一种可以更加方便董事会和管理人员了解、收集未知风险信息,尤其是重大未知风险信息的方法。目前大多数企业所监控的众多关键绩效指标(KPI),反映的却往往是已经对企业造成影响的风险事件。现在,越来越多的董事会和高层管理人员已开始研发或制定新型监控指标,以便更好地监测风险的潜在变化或发现新显现的风险,从而使董事会和高层管理人员能够更积极地识别潜在风险对企业的影响,并使董事会和管理人员能够更加及时地从战略层面规划管理将来可能出现的风险事件。这种指标通常被称为重大风险预警指标(key risk index,简称KRI)。

公司内部的各项经营活动以及外部的潜在因素(比如因宏观经济发生变化,影响公司的产品和服务需求)都会触发风险。这些事件和触发点可以为董事会和管理人员执行发展战略提供丰富的信息。

KRI对于公司来说是一种度量工具,是用来提醒公司尽早关注暴露在企业多个领域中不断增加的风险的预警信号。在某些情况下,它可以作为衡量企业采取措施的关键比率,管理人员用这些比率来跟踪不断增加的风险和潜在的机遇。有时候,也可以融合几个独立的风险指标,用多维指标得分来更精确地预测可能产生的新风险或机遇。

一个设计得好的企业风险管理系统能够提供充足的信息,既可以使管理人员认识到关键战略目标是否符合实际,也能使管理人员抓住发展机遇,调整发展战略和策略,在多变的环境中为公司及其利益相关者谋求利益。如图6-7所示,管理层在初期选择战略,随着时间的推移,不确定的因素开始增加,影响了战略的成功实施。为了监控不确定性带来的风险,管理人员制定了多种KRI监测战略举措的执行效果。同时,管理人员会预先为每个KRI设定一个标准值或临界值。一旦KRI值被触发,管理人员就会积极主动地修订战略来应对相应的风险;一旦战略被重新修订调整,KRI触发点也会随之而有所调整。当KRI被设定完毕,管理人员就能更有效地管理企业风险。因此,在战略风险管理中运用KRI能够使企业更进一步地实现管理目标。

图6-7 自动风险预警