风控一体化信息系统设计以《中央企业全面风险管理指引》、《企业内部控制基本规范》及其配套指引为基础,同时参考ISO 31000、COSO-ERM、GB/T24353-2009《风险管理原则与实施指南》等国内外风险管理标准,保证系统在有效落实监管要求的基础之上,又能满足企业风险管理的当前实际需求及风险管理的远期规划。
风险管理工作围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而防范重大风险的发生,确保企业战略目标的达成。
风控管理流程由风险识别、控制识别、控制检查、风险分析、风险评价、风险应对、监督与评审七部分构成一个持续循环、业务优化的过程。
1)建立环境:为实施风险管理,公司需建立四种环境,包括外部环境、内部环境、风险管理过程的环境及风险准则。
2)风险识别:风险识别主要识别出风险的风险源、事件、原因、潜在后果。其中“事件”是核心,系统支持公司层面的识别及专项风险识别,并且二者之间可建立关联关系。在风险管理的实践中,还涉及风险可控与不可控的概念,所谓可控就是事件的“风险源”或“风险原因”在公司内部,公司可针对风险源或风险原因制定相应的控制措施,甚至改变风险源或风险原因,从而使事件的发生在企业的“控制”之下。而“不可控”就是事件的“风险源”或“风险原因”在企业外部,企业不可能制定相应的控制措施改变风险源或风险原因,对于不可控的风险,不可能通过对风险源或风险原因采取措施来管理风险,而只能通过风险后果对企业自身的影响程度来实施管理。
3)控制识别:针对可控风险,企业需进行控制识别,识别出业务流程流程中的内控措施以及制度条款,以流程为基础,建立风险事件、内控措施、制度条款之间的对应关系。各级单位制度实现按条存储,制度更新后,系统会推送制度更新提示,提醒相关人员更新控制措施或对应关系;同样内控标准更新后,可提示相关人员更新制度及对应关系。
4)控制检查:针对控制措施的执行情况,各分子公司、集团审计部可进行内控自查及内控复查,可支持以风险为导向的检查、以内部控制导向的内控检查、重要性水平导向的检查,根据内控评价标准,得出检查结果。
5)风险分析:风险分析主要工作为分析风险的后果、分析风险发生的可能性、确定风险等级以及评价内控措施,特别是对控制措施有效性和效率的评价,通过风险分析进一步加深对风险的理解,只有获得了对风险的全面、正确理解,才能为风险评价、决策是否有必要进行风险应对、选择最恰当的风险应对方式提供依据。
6)风险评价:通过风险分析可得出风险的剩余风险值,通过对各单位的风险偏好及风险容忍度的比较分析,对风险的重要性程度做出划分,得出风险是否可接受或可容忍,其目的在于协助风险应对决策。
7)风险应对:通过风险应对决定哪些风险需要应对,应对的优先顺序以及应对的方式,编制风险应对计划,评估应对的有效性。
监测与评审:监测与评审是风险管理过程的一部分。包括日常的检查和监督,其目的在于确保在设计和运营两个方面控制措施是有效的和高效率的,获取风险管理过程可优化的信息,察觉内外部的变化,识别新风险。
8)沟通与咨询:在风险管理过程的各个阶段,参与风险管理的人员都应保持良好的沟通与咨询,以保证大家对风险管理工作的意识统一、标准统一、行动统一、结果统一。
通过系统的实施,帮助企业建立“控制有制度、部门有制约、岗位有职责、操作有程序、过程有监控、风险有监测、工作有评价、责任有追究”的全面风险管理体系。
以风险管理为导向
提供调查问卷、流程图法等多样化的识别工具,保障风险识别的全面性
支持定量、半定量的风险评估技术及风险图谱,帮助企业辨识重大风险
建立以风险指标监控为主的多样化的风险应对手段,提升企业重大风险应对水平
以内控管理为切入点
通过在线绘制流程图,细化流程步骤,识别控制活动
以制度为基础,细化控制活动,识别控制活动可规避或降低的风险点
实现风险事件、内控措施、制度条款的关联,建立统一的展现视图
整合风险、内控一体化管理体系
通过建立风控一体化信息平台,协同企业风险、内控管理工作
实现信息充分共享,统一企业风险、内控管理的工作标准和工作流程
通过风险管理识别内控薄弱环节,通过内控管理有效应对风险
