构建与业务管理信息系统联动的风控体系
发布日期:2019/3/15 10:30:48 | 浏览次数:12435 来源:李敏华/集团审计风控部构建与业务管理信息系统联动的风控体系
李敏华/集团审计风控部
【有效的风险管理和内部控制体系应该“嵌入”到业务流程之中,而不是与企业日常管理脱节,独立于日常工作之外。在如今高度发达的信息技术环境下,搭建一个集成的业务管理信息系统,将风险的识别、评估、应对和内控措施等嵌入其中,采用信息化手段对业务操作流程和内部监督流程进行固化,实现企业日常运作和内部监督相融合,提高企业的工作效率、管理水平和风险防范能力,促进企业战略目标的实现。】
目前,许多企业风控体系的运行效果不尽如人意,主要原因在于企业将风控体系与日常经营管理割裂开来,风控体系并未形成对业务管理的有效监督与控制。要解决该问题可以通过整合和集成企业存在的多个业务系统及管理系统,并将风控要求嵌入集成后的业务管理信息系统,通过流程标准化和流程固化,实现风控体系的真实落地。
一、 企业内部业务信息系统及风控体系的现状
(一)多个业务系统并存且相互独立。企业通常按职能来开发业务操作系统,比如采购系统、销售系统、人力资源管理系统、财务管理系统等,系统之间未建立关联,不存在数据互通。由于各个业务系统相互割裂,造成流程的中断,管理不具有连贯性,业务数据在不同系统需要重新输入,部门间需要重复冗余的工作,数据传递的多次手工操作,降低工作效率,提高运营成本,还存在数据传递错误的风险,也不利于对交易的管理监督、审批可追溯和统计分析。
(二)业务操作系统和管理系统分开。许多企业实行在业务操作系统中执行工作流程,在管理信息系统中(通常是OA系统)执行管理流程的审批,业务操作和管理审批分开在不同信息系统进行,两个系统不存在数据互通,导致员工在业务系统执行完毕之后,还需要切换到管理系统中去执行审批流程。两个系统之间缺乏数据接口,在管理信息系统申请流程审批时,需要对申请事项进行重复描述和输入相关数据,在降低工作效率的同时,由于信息和数据不完整,需要额外进行口头沟通和补充纸质文件,降低工作效率,也可能造成信息传递失真,导致出现决策风险。
(三)风控体系与业务流程操作各自为政。很多企业存在风控制度文字描述性东西过多,可操作性差的问题,或是聘请外部咨询机构完成一整套风控框架和制度体系后,没有将体系融入业务流程,也未根据企业自身特点对风控体系“模板”做出切合自身实际情况的调整,导致制度的适用性差。由于这种业务实际操作和风控制度两张皮;风控制度没有结合企业自身状况,制度本身存在不合理;或是制度没有随外部、内部环境变化及企业的发展阶段及时进行修订;缺乏内控制度执行的保障机制,造成企业的风控体系流于形式,没有发挥风险防范、完善内部管理、加强监督的作用。
二、构建与业务管理信息系统集成的风控体系
(一)梳理和构建集成的业务系统。企业的业务流程是基于价值链,即从输入生产资料和资源到创造出客户价值、满足客户需求并取得回报的全过程,根据波特的价值链模型,企业业务流程可分为生产、销售、服务等几大基本活动和人力资源、财务、审计等辅助活动。基于价值链流程的思维,企业通过分解支撑战略目标实现的各类业务活动和工作流程、理顺业务流程走向、工作先后顺序,构建组织架构、划分部门及界定部门职能和员工职责,明确业务流程中各部门的对接环节、数据及单据流转,达到流程的上下、左右有效衔接。以建立统一的业务流程为目标,将各个部门的业务系统包括采购系统、销售系统、人力资源管理系统、财务管理系统等进行数据集成和数据互通,实现跨业务系统的数据共享,达到只需输入一次基础数据,即可在各业务系统实现数据共享,无需进行多次数据录入,系统可直接调入数据,完成业务流程。
(二)建立业务系统和管理系统的互通。利用信息化手段把企业使用的管理信息系统(比如OA 系统)和业务管理系统开放数据接口,建立业务系统与管理信息系统的互通,实现企业管理系统与业务系统的集成。达到员工登录业务系统完成业务操作后,可以直接在业务系统中发起流程,启动的流程自动嵌入管理信息系统中,后续管理人员可在管理信息系统看到发起事项的全部数据和信息,完成管理流程的审批处理,同时处理结果及相关信息均自动返回到业务系统中,业务人员可在业务系统端实时跟踪处理进度。
(三)将风控体系嵌入业务管理信息系统。在全面风险管理和内部控制运行方面,结合风险评估结果和企业风险偏好,制定风险应对策略、确定控制点后,根据内部控制理论和控制手段,在公司层面进行权责合理分配,健全议事决策机制,业务决策、执行、监督有效分离等,在业务层面依据业务流程的申请、论证、办理、审批、决策,明确业务流程各个环节的职责权限分工,结合各环节的控制点,制定具体的控制措施,并通过业务管理信息系统将控制措施进行界定和固化,在执行具体的业务流程时,系统将强制控制点对应的责任部门、责任岗位,按照系统规定的处理方式、表单格式等进行标准化处理,确保每个业务流程的风险点处于受控状态。以流程为载体对风险点进行管控,通过业务流程的固化和标准化,实现流程管理和风险管控的紧密契合,将风险管理和内部控制贯穿于企业整个业务流程,实现风控体系和业务管理信息系统的一体化管理,通过流程的执行来保证风控措施的有效执行。
通过业务管理信息系统与风控体系的一体化运行,还能利用信息系统实现和提高企业的风险预警功能,嵌入“风控体系”的业务系统能对业务流程的每个活动过程和活动内容进行记录、预防和控制,系统保存的已处理业务信息能方便快捷的进行数据统计、分析,业务管理信息系统对于流程出现差错、异常或者不适应环境变化的流程自动进行预警和纠正。同时通过业务管理信息系统自下而上层层传递风险监控预警信息,及时为各级决策层提供科学的决策依据,提高企业的工作效率和管理水平。
总之,风险产生于企业的具体业务活动,要将风险管控过程嵌入到具体业务流程中,通过流程的执行来保证风险管理、内控措施的落实,以流程为载体落实对每个控制点的管控,实现对业务活动过程和活动内容的风险防范和控制管理,对于流程出现的差错或者环境变化产生的流程不适应进行预警和纠正,通过风险管控和业务管理信息系统的紧密契合,实现对公司价值创造全过程的管理和控制。