構建與業務管理信息系統聯動的風控體系

李敏華/集團審計風控部

【有效的風險管理和內部控制體系應該“嵌入”到業務流程之中，而不是與企業日常管理脫節，獨立于日常工作之外。在如今高度發達的信息技術環境下，搭建一個集成的業務管理信息系統，將風險的識別、評估、應對和內控措施等嵌入其中，采用信息化手段對業務操作流程和內部監督流程進行固化，實現企業日常運作和內部監督相融合，提高企業的工作效率、管理水平和風險防范能力，促進企業戰略目標的實現。】

目前，許多企業風控體系的運行效果不盡如人意，主要原因在于企業將風控體系與日常經營管理割裂開來，風控體系并未形成對業務管理的有效監督與控制。要解決該問題可以通過整合和集成企業存在的多個業務系統及管理系統，并將風控要求嵌入集成后的業務管理信息系統，通過流程標準化和流程固化，實現風控體系的真實落地。

一、 企業內部業務信息系統及風控體系的現狀

（一）多個業務系統并存且相互獨立。企業通常按職能來開發業務操作系統，比如采購系統、銷售系統、人力資源管理系統、財務管理系統等，系統之間未建立關聯，不存在數據互通。由于各個業務系統相互割裂，造成流程的中斷，管理不具有連貫性，業務數據在不同系統需要重新輸入，部門間需要重復冗余的工作，數據傳遞的多次手工操作，降低工作效率，提高運營成本，還存在數據傳遞錯誤的風險，也不利于對交易的管理監督、審批可追溯和統計分析。

（二）業務操作系統和管理系統分開。許多企業實行在業務操作系統中執行工作流程，在管理信息系統中（通常是OA系統）執行管理流程的審批，業務操作和管理審批分開在不同信息系統進行，兩個系統不存在數據互通，導致員工在業務系統執行完畢之后，還需要切換到管理系統中去執行審批流程。兩個系統之間缺乏數據接口，在管理信息系統申請流程審批時，需要對申請事項進行重復描述和輸入相關數據，在降低工作效率的同時，由于信息和數據不完整，需要額外進行口頭溝通和補充紙質文件，降低工作效率，也可能造成信息傳遞失真，導致出現決策風險。

（三）風控體系與業務流程操作各自為政。很多企業存在風控制度文字描述性東西過多，可操作性差的問題，或是聘請外部咨詢機構完成一整套風控框架和制度體系后，沒有將體系融入業務流程，也未根據企業自身特點對風控體系“模板”做出切合自身實際情況的調整，導致制度的適用性差。由于這種業務實際操作和風控制度兩張皮；風控制度沒有結合企業自身狀況，制度本身存在不合理；或是制度沒有隨外部、內部環境變化及企業的發展階段及時進行修訂；缺乏內控制度執行的保障機制，造成企業的風控體系流于形式，沒有發揮風險防范、完善內部管理、加強監督的作用。

二、構建與業務管理信息系統集成的風控體系

（一）梳理和構建集成的業務系統。企業的業務流程是基于價值鏈，即從輸入生產資料和資源到創造出客戶價值、滿足客戶需求并取得回報的全過程，根據波特的價值鏈模型，企業業務流程可分為生產、銷售、服務等幾大基本活動和人力資源、財務、審計等輔助活動。基于價值鏈流程的思維，企業通過分解支撐戰略目標實現的各類業務活動和工作流程、理順業務流程走向、工作先后順序，構建組織架構、劃分部門及界定部門職能和員工職責，明確業務流程中各部門的對接環節、數據及單據流轉，達到流程的上下、左右有效銜接。以建立統一的業務流程為目標，將各個部門的業務系統包括采購系統、銷售系統、人力資源管理系統、財務管理系統等進行數據集成和數據互通，實現跨業務系統的數據共享，達到只需輸入一次基礎數據，即可在各業務系統實現數據共享，無需進行多次數據錄入，系統可直接調入數據，完成業務流程。

（二）建立業務系統和管理系統的互通。利用信息化手段把企業使用的管理信息系統（比如OA 系統）和業務管理系統開放數據接口，建立業務系統與管理信息系統的互通，實現企業管理系統與業務系統的集成。達到員工登錄業務系統完成業務操作后，可以直接在業務系統中發起流程，啟動的流程自動嵌入管理信息系統中，后續管理人員可在管理信息系統看到發起事項的全部數據和信息，完成管理流程的審批處理，同時處理結果及相關信息均自動返回到業務系統中，業務人員可在業務系統端實時跟蹤處理進度。

（三）將風控體系嵌入業務管理信息系統。在全面風險管理和內部控制運行方面，結合風險評估結果和企業風險偏好，制定風險應對策略、確定控制點后，根據內部控制理論和控制手段，在公司層面進行權責合理分配，健全議事決策機制，業務決策、執行、監督有效分離等，在業務層面依據業務流程的申請、論證、辦理、審批、決策，明確業務流程各個環節的職責權限分工，結合各環節的控制點，制定具體的控制措施，并通過業務管理信息系統將控制措施進行界定和固化，在執行具體的業務流程時，系統將強制控制點對應的責任部門、責任崗位，按照系統規定的處理方式、表單格式等進行標準化處理，確保每個業務流程的風險點處于受控狀態。以流程為載體對風險點進行管控，通過業務流程的固化和標準化，實現流程管理和風險管控的緊密契合，將風險管理和內部控制貫穿于企業整個業務流程，實現風控體系和業務管理信息系統的一體化管理，通過流程的執行來保證風控措施的有效執行。

通過業務管理信息系統與風控體系的一體化運行，還能利用信息系統實現和提高企業的風險預警功能，嵌入“風控體系”的業務系統能對業務流程的每個活動過程和活動內容進行記錄、預防和控制，系統保存的已處理業務信息能方便快捷的進行數據統計、分析，業務管理信息系統對于流程出現差錯、異常或者不適應環境變化的流程自動進行預警和糾正。同時通過業務管理信息系統自下而上層層傳遞風險監控預警信息，及時為各級決策層提供科學的決策依據，提高企業的工作效率和管理水平。

總之，風險產生于企業的具體業務活動，要將風險管控過程嵌入到具體業務流程中，通過流程的執行來保證風險管理、內控措施的落實，以流程為載體落實對每個控制點的管控，實現對業務活動過程和活動內容的風險防范和控制管理，對于流程出現的差錯或者環境變化產生的流程不適應進行預警和糾正，通過風險管控和業務管理信息系統的緊密契合，實現對公司價值創造全過程的管理和控制。