王敏

[摘 要]风险管理和内部控制信息化（简称“风控管理信息化”或者“RCMI”）是现阶段大型央企实现更为高效管理的必由之路。大型央企管理层级多，分布范围广，借助信息化手段可有效地提高执行力度和进行管理升级。当前国际先进企业管理理念是借助先进技术手段，在传统基础上实现管理升级，已成为当今企业管理发展的必然方向。我国央企在RCMI技术的研究和实践领域相对滞后，应借鉴国外大型企业风控管理信息化的经验。

[关键词]央企；风险管理；内部控制；信息化

[中图分类号]F270 [文献标识码]A [文章编号]1673-0461（2014）02-0036-04

“十二五”时期，中央企业改革发展的核心目标就是：做强做优中央企业、培育具有国际竞争力的世界一流企业。世界一流企业往往都有健全的内部控制体系和比较完善的风险预警指标系统，备有全套的应急预案，并建立起统一的风险管理文化，从战略决策层面到具体业务层面都严格执行风险管理流程，利用信息化手段将风险管理固化于业务流程，并与日常经营管理融为一体。由于信息技术在企业的广泛使用，原来基于权力制约和岗位分置的内部控制发展成为以信息流为基础的内部控制，国际上无数失败的案例推动着内部控制以财务控制为目标转向以风险控制为目标，内部控制与风险管理的含义也越来越趋同①。风险管理和内部控制信息化，简称“风控管理信息化”或者“RCMI”（Risk Control Management Informatization），成为现阶段大型企业实现更为高效管理的必由之路。RCMI的成功应用使得这些企业进一步提升了自身的竞争力。相比之下，RCMI在我国央企才刚刚开始。因此，在我国央企加快实施风控管理信息化的步伐，不仅对提高央企的管理水平和经营业绩具有直接的现实意义，而且对央企走出去，在国际经济舞台上提升竞争力具有深远的战略意义。

一、国外大型企业引入RCMI对管理绩效的影响

研究证明，世界范围内发生的宏观层次上的财务报告可能性问题和丑闻只有很少部分直接或单独与IT一般控制有关。[1]国外大多数企业引进RCMI系统后均在不同程度上提高了管理水平。这在美国大型企业中更得到了集中体现。

由于美国上市公司执行SOX法案，而内部控制借助信息技术更有助于实现SOX合规。

美国雪佛龙公司：2009年4月进行全球推广在流程控制系统里增加线下表单的功能，将400个关键控制点在系统中进行记录，有3000个测试人员使用客户化开发的线下Adobe 互动测试表单，在预算时间内将方案送给顾客，借助信息化手段提高工作效率。

美国南加州爱迪生公司：2009年2月启动RCMI管理，统一了数据输入和整合的入口，对控制点进行量化，对以前的离散系统进行端到端的合规管理，对业务实践进行统一安排，通过增加不同时间段控制点来响应业务风险，自动化控制评估工作，减少了工作量和手工操作时间，简化了测试数据和结果管理，提高了信息的有效性、一致性和真实性。另外，在公司在引入风险管理信息技术后，员工通过Lotus Notes邮件系统实现与负责人的快速沟通，发现问题及时提出，提高了全员的风险管理意识，降低了风险发生概率。

美国太阳石油公司：引入RCMI后，公司实现了将风控管理者转移到业务部门进行测试，更直接发现管理问题，跨越管理层级多带来的管理效率递减现象。

美国CenterPoint Energy 电力公司实施RCMI后，采取了通过风险所有者强化风险管理环节，提高风险发生后的“曝光程度”，进行风险建模，使风险的报告更加及时，管理更加透明，降低了风险发生的概率，如果管理流程未执行或者失效，系统可进行检测并进行改善，提高了执行力度。

大型企业引入RCMI带来的管理绩效提高案例在其他国家大型企业中也得到不同程度的体现。如：

挪威国家石油公司：2008年引入RCMI，保证了SOX合规。2009年实施流程控制，2010年实施风险管理和风险导向的内部控制，实现了更快、更全面、更低成本的审计，实施了角色管理流程，实现了内外部合规管理，减少了审计费用，简化了风险审查。

以色列化工公司：引进RCMI以后进行流程控制，自动化测试管理环节，简化了管理流程，缩短了审批时间，增加了信息的真实性，管理人员的工作从以前的四个月缩短到一天，批准时间从一天到一小时。

除上述企业外，澳大利亚邮政、西班牙电信、Baker Hughes等国际大型企业都在内部控制和风险领域通过信息化手段不同程度地改善了管理。

上述案例说明，RCMI虽然在国外不同企业应用的范围和重点不同，技术实现的领域也不同，但均在不同程度上优化了管理，降低了成本，提高了效率，在不同程度上克服了大型企业存在的管理层级多，信息传递失真，执行力度弱，手续繁琐等问题。

二、我国央企实施RCMI现状

总的来看，我国央企实施RCMI才刚刚开始，效果不甚理想。一是数量少。2011年国资委经过调查发现，在被调查的单位中占16%的企业风险管理实现量化，只有3%的企业风控管理借助信息技术实现。且只是将风险管理业务融入现有的ERP、OA等现有系统，极少建立RCMI对风险管理进行专业的信息化管理，可见实现RCMI在央企为少数②；二是风险管理工具的运用还处于初级阶段。虽然部分央企已将雷达图、管理成熟度模型、情景分析、蒙特卡罗模拟、失效模式与影响分析、AHP层次分析法、模糊数学法、概率法、鱼骨图、杜邦分析法等各种管理工具运用到风险管理过程中来，但在该领域建立量化模型上处于起步阶段（低于3%），较少引用国际上成熟的量化模型，且相关研究也比较滞后。造成这种现状的主要原因如下：

（一）大型央企风险管理与内部控制存在的不一致影响对RCMI使用

尽管国际风险管理协会认为：“风险管理系统与内部控制系统并没有原则性的区别，风险管理与内部控制正在趋同”，但我国垄断型央企的内部控制与风险管理存在着比其他企业更多的不一致。与其他企业相比，垄断型央企的基本职能是促进国民经济协调运行，维护社会经济稳定和促进就业；央企更注重产品、技术和盈利，由此产生的风险也与其他企业不同。[2]许多大型央企承担着政府的政策性负担，国资委对央企的风险管理也相对严格，不支持非主业投资，慎重进入股市、期货等高风险领域等。[3]这些问题给大型央企带来的“政治性任务”已经超出了一般企业可以自主通过内部控制降低风险的范围。正如张维迎（2001）所言，中国市场与西方市场最大的不同是，中国的市场是由政府主导的，所以中国企业的行为是面向政府的，而不是面向市场的，这也正是我国央企的特色。因此，大型央企在引进RCMI时，较多会引进国外成熟管理软件，而忽视了根据上述问题所带来的经营风险对软件改造升级。endprint

（二）央企制度的不完善影响了其信息化管理进程

部分央企在国外上市时根据国外上市公司规定建立了较为完善的内部控制制度，但是目前仍有多数大型央企没有建立相对完善的管理制度。管理借助信息化手段实现，需要完善的管理制度作为前提。日本引入RCMI时的经验及教训表明，有些企业根据自身传统管理，大幅度修改管理软件，用先进的管理手段去适应传统的管理模式，从而使先进的管理软件丧失统一性和先进性，导致这些企业引入RCMI实践效果不佳。所以，先进的技术和先进的管理应配套使用，才能发挥先进技术的良好效果。因此，大型央企在实现RCMI过程中，应将推进信息化与完善管理制度同时进行，在这个过程中普及信息技术和风险管理意识，并培养复合性人才。

上述情况说明：首先，央企已开始使用量化模型进行风险分析，但是能运用到信息系统中的很少，其中包括已建好模型但并未运用到实际工作中的企业；其次，风控管理分析方法的运用尚处于尝试阶段，仅限于比较浅显的建模分析，国际上更为专业和通用的风险管理模型很少采用，例如对市场风险进行测度中在险价值（VaR）的计算，可以采用方差-协方差方法、历史模拟方法，以及该法的扩展增量资产-VaR、德尔塔- VaR、动态-VaR、EVaR等，虽然已有央企进行了蒙特卡罗模拟，但是该方法不能用于计算大规模、复杂的资产组合的VaR值；[4]第三，缺少对量化模型的风险分析，所采用模型的分析结果与真实目标的偏差缺乏健全的分析机制。

三、央企实行RCMI应达到的预期目标

（一）实现对央企更全面的考核

2010年1月，国资委发布了《中央企业责任人经营业绩考核办法》，开始推行经济增加值（EVA）考核，EVA考核是经营、管理的全面考核，实现了从传统的利润考核转向价值考核，考虑企业以突出主业为更长久的发展，控制非主营业务投资，减少投资风险等因素，但EVA考核主要仍为财务指标，未考虑财务指标之外的因素。央企以完成政治任务为重，因此，非财务因素对央企的影响可能更大。虽然央企财务管理基本已实现了信息化，但是如果在财务信息系统建立EVA考核指标信息模块，则不能反映非财务指标状况。如果央企推行的EVA考核指标能在RCMI系统中实现，由于该系统可与其他信息化业务通过接口取数或直接查看，这样通过该系统可全面了解央企的经营管理状况，实现对央企进行更为全面的考核，而不是仅仅局限于财务领域。

（二）增强全员风险意识，提高风险管理水平

COSO报告被认为是内部控制理论研究方面的重大突破与巨大成就，其最大亮点在于对不同人员在内部控制中的角色和责任进行了界定，特别强调企业的全员参与，这样可最大化暴露企业风险和管理空白，便于管理人员根据实际情况对症下药。[5]我国《企业内部控制基本规范》也采用了上述观点。大型央企由于管理层级多，机构分散，目前大多采用手工方式进行内部控制，很难实现全员参与。2009年央企在沪、深及中小板上市的央企控股企业的内部控制评价报告进行研究发现，有47.98%的央企控股上市公司没有进行风险识别和评估活动，已经开展评估活动的企业工作不够细致和健全，存在风险意识不强的问题（原国英等，2009）。而风险意识不强的一个根本原因就是未能实现全员参与风险管理。RCMI系统支持全员参与风险识别、风险调查、风险评估工作，真正做到了企业风控管理工作的全员参与，有助于企业多方位、多渠道收集信息，使风险最大程度暴露，应对措施实现集思广益最大化，以达到有效防范风险的目的。

（三）实现扁平化管理，减少权力寻租现象

在许多国家，权力寻租表现为企业集团能从与政府的关联中获利。我国在20世纪80年代后，政府鼓励成立集团公司并保护其免受国外竞争；当前权力寻租分为行政权力寻租和经济权利寻租，由于我国央企兼有行政和经济特点，因此存在上述两种行为。[6]前者意义尚不明确，后者则有损于央企的利益。如果能将央企管理流程固化，则可减少人为操作，或者有迹象能及时发现，便可减少权力寻租的机会和可能，而如何及时发现问题并更正是RCMI系统的一个重要功能。风控管理实现信息化后，将使企业的组织结构趋于扁平化，管理流程更加透明，手续中间环节减少，管理流程固化实现，业务流程实现线上监控，可有效减少权力寻租现象的发生或降低发生地损失。

（四）改善央企上市公司执行力

我国较早将信息技术引进内部控制体系的大型集团企业，也在不同程度上优化了管理，提高了执行力度，并且比未实行信息化的企业多项管理指标均显示更好。对国内较早引进RCMI系统的上市企业进行研究表明：其均在不同程度健全了管理制度，提高了战略执行力度。

四、央企加快实施RCMI途径

当前国际先进企业管理理念借助先进技术手段实现，可以在传统的基础上实现管理升级，已成为当今企业管理发展的必然方向，我国RCMI技术的研究和实践都相对滞后，国外企业信息技术应用到风控管理中提高管理水平的经验值得我国央企借鉴。

RCMI采用手段具有灵活性，可根据企业不同情况应用到不同领域，我国央企存在和国外不同的成长环境和发展历程，根据自身发展合理引进国外先进管理信息技术才是发展之道。

（一）着[于央企的主风险管理

截至2011年6月，69户央企（资产总额占中央企业资产总额的78%，营业收入占83%，利润总额占83%）向国资委提供的《企业年度风险管理报告》显示：69户央企报告的重大风险事项共526项，按各项重大风险在编报企业中出现的频次进行排列，十大风险依次为：健康安全环保风险、投资风险、现金流风险、政策风险、国际化经营风险、人力资源风险、战略管理风险、项目管理风险、竞争风险和价格风险③。

健康安全环保风险连续四年位列十大风险之中，2011年更位居十大风险之首，被中央企业普遍关注；投资风险连续四年高频次出现在十大风险之中，前三年更是一直位居十大风险榜首；现金流风险、政策风险、人力资源风险、竞争风险和价格风险也连续四年位列十大风险之中，是企业持续关注的重要领域；战略管理风险连续三年位列十大风险之中；国际化经营风险（原“走出去”风险）连续两年位列十大风险之中，也是企业重点关注的高风险领域；项目管理风险于2011年首次进入十大风险排名榜；而2008、2009和2010年十大风险排行榜中的宏观经济风险、市场需求风险、公司治理风险、应收/预付账款风险和汇利率风险已不在十大风险之列。究其原因，是受国际经济金融形势、中央产业结构调整、“走出去”步伐加大等原因的影响。endprint

由上可知：央企受国际国内政治经济形势及国家政策变化影响，在不同时期面临不同的风险，对不同的风险研究应建立与之匹配的分析模型和方法体系，因此借助信息技术实现风险管理的固化管理流程是相对的，当风险变化时，固化管理流程及分析方法随之变化。

（二）通过法规和规则强化

发达国家政府和国际性组织发布的内部控制规范考虑了信息化对内部控制的影响，美国的COSO框架、SOX法案、SEC发布的《最终规则》，PCAOD（公众公司会计检察委员会）发布的有关审计准则，AICPA（美国注册会计师协会）发布的《美国审计准则第319节》均强调了信息技术对内部控制的影响，并将影响融入内部控制规范中；日本的《财务报告内部控制的评价和监督准则》也将信息技术列为内部控制要素之一，推进了内部控制的有效实施。此外，国际非政府组织也对信息技术对内部控制的影响表示了极大的关注。

风控管理成为我国央企当前发展重视的问题之一被国资委明确提出，我国央企“走出去”的目标使其在建立RCMI时应与国际一般规则保持一致。[7]

（三）应与目前信息化及管理水平保持一致

鉴于目前许多大型央企在管理上已部分实现了信息化，RCMI的实现要与现阶段信息化水平协调一致，才能更有效地借助信息化手段实现管理升级。肖泽忠等（2009）研究证明：考虑信息和通讯技术对控制管理的协同效应将有助于提高其采用效果，协同效应来自于两者的结合方式，而不是各自应用程度的提高。除了业务上的协同，还要实现技术的协同，RCMI的有效实施需要满足目前已有的各个业务领域数据的采集和融合，涉及将目前信息系统已有的数据引入风控管理信息系统的接口等技术性问题，所以建立的RCMI系统应能满足相关技术要求。

另外，大型央企风控管理信息化在实施过程中，应充分考虑自身所处环境对风控管理造成的影响，根据自身管理特点对软件进行再次开发，规避不适用的功能，开发符合自身管理特点的功能。

五、结 论

央企引入RCMI可全方位提高管理绩效，对企业的发展具有长远战略意义。企业通过该系统可实现以下管理目标：建立社会责任预算指标；实现除EVA指标外对企业更全面的考核；增强全员风险意识，提高风险管理水平；实现扁平化管理，减少权力寻租现象；改善央企上市公司管理制度相对健全，执行力度差的现象。

值得注意的是，我国央企在引入RCMI系统时，应根据央企的性质和管理特征进行二次开发及选择使用；与目前信息化水平协调一致；根据不同时期风险的变化建立不同的RCMI分析模型及管理流程；在引入先进管理手段的同时应加强完善管理制度与之配套。endprint