今年是国务院国资委开展“管理提升年”活动第一年，中央企业需要加强管理的13个短板包括信息化建设和全面风险管理。当今时代，信息化已与工业化息息相关、深度融合，发达国家信息技术手段已经覆盖企业管理的各个方面。因此，国资委推出了信息化建设“登高计划”，并把信息化作为加强企业管理的必要手段密切结合，共同推进。今年6月中旬，我和总部财务资金部有关同志参加了国资委举办的企业信息化登高行动第九期全面风险管理研讨班，通过学习交流，深刻认识到，中央企业亟待提升全面风险管理水平，尤其要完善内部控制程序，达到提高企业管理水平，增强企业竞争力，促进企业稳步发展的总体目标，而实现这一目标不可或缺的手段就是信息化技术的运用。现将学习体会与同行分享、探讨：

   一、    全面风险管理和内部控制已经成为提升管理的重点

   世界金融危机和欧债危机持续发酵，使得企业风险管理尤其是内控管理成为重要课题。美国2002年出台《萨班斯法案》，我国国务院国资委2006年发布《中央企业全面风险管理指引》；财政部等五部委2008年发布《企业内部控制基本规范》，并于2010年发布《企业内控应用指引》、《评价指引》、《审计指引》；财政部和国资委今年又发布《关于加快构建中央企业内部控制体系有关事项的通知》。国资委总体安排是：已在全集团范围内建立起内部控制体系的中央企业，应当重点抓好有效执行和持续改进工作，着力提升内部控制的健全性和有效性；主业资产实现整体上市或所属控股上市公司资产比重超过60％、尚未在全集团范围内启动内控建设的中央企业，应当于2012年建立起覆盖全集团的内部控制体系；其他中央企业要确保2013年全面完成内控体系建设与实施工作。各中央企业都要制订全集团内控整体建设实施方案和持续改进计划，明确总体建设目标和分阶段任务，于今年8月31日前报国资委备案。我们深感，国家和主管部门抓风险管控的认识很高，力度很大，措施很具体，要求很到位。

    如同每个人把生命安全放在第一一样，企业也要把风险防控放在最重要位置。从美国安然、安达信公司丑闻到雷曼兄弟公司倒闭，一些曾经创造过辉煌的大企业大公司因为内控失效、危机爆发而轰然倒塌，那些有着惨痛教训的案例警示我们，全面风险管理是提升管理的基本功，是优化决策的必修课，是企业稳定发展的着力点。所有企业管理者都要切实提高认识，明确自身职责，掌握科学方法，自觉搞好风险防控。

    二、    着力构建全面风险管理体系

    风险无时无处不在。风险是企业和经营管理的伴生品，风险或可转移，但不能消灭。风险与机会同在，逃避风险往往丧失机会。风险有时甚至无法规避，中国有句古话说得好：“两害相权取其轻，两利相权取其重”，面对风险，只能选择策略、权衡利弊、预警防范、有效应对。

    以风险类别分类可分为五种：战略风险、财务风险、法律风险、市场风险、运营风险；以管理手段分类可分三类：1、传统类风险：可保风险有财产安全风险和人身意外伤害风险，可交易风险有市场风险和信用风险；2、决策类风险：战略、投资、经营、融资风险；3、流程类风险：舞弊、合规、HSE风险和质量风险。

   构建风险管理体系的基本思路应该是：从全面风险管理价值及其在企业管理中的应用出发，确定全面风险管理体系建设的范围、核心目标和内容。

   全面风险管理的价值可以这样表述：一是达到与企业整体经营战略相结合的风险最优化；二是保护企业不致于因灾害性事件或错误决定而遭受重大损失；三是有效和有效率的运营；四是可靠的信息沟通，包括可靠的财务报告；五是遵守法律法规，即经营活动合规。

   风险管理体系建设的范围、核心目标和内容包括：确定决策类型和决策模式；决定风险模型和度量方法；明确风险偏好和风险承受度，作为决策的依据和标准；融入决策流程，完善配套组织、制度、政策等。

全面风险管理在管理层面的应用应当注重几点：一是支持企业决策，包括作出正确的战略决策、经营决策和投资决策；二是有效管理传统类风险，包括运用购买保险策略、期权、期货策略以及其他合作策略防范风险；三是持续提升和完善企业管理，通过汇编制度、出台内控手册、完善ERP、内部评估手册，实现流程再造、政策调整、制度完善、组织变革。

   实施全面风险管理有哪些关键措施？至少应当抓好这些工作：一是所有决定、决策要合规合法，符合企业发展战略，不侥幸、不取巧。二是把风险管理融入制度建设、流程优化和生产经营全过程，嵌入公司治理和集团管控体系之中。三是抓好重点监控，明确各层级风险管控重点领域、环节、事项、和关键岗位，有效配置管控资源。四是风险管理策略清晰，有可以量化的风险承受度，不放过有一定风险的发展机会。五是构建并不断完善预警指标体系，持续监测、评估风险，预防重大风险。六是强化员工风险意识，培育防范风险的企业文化，支持风险管理体系有效运行。

   最重要的是要建立起全面风险管理体系框架，这个框架大体包括以下环节：1、内部环境管理：企业目标、组织结构、业务流程；2、目标设定：战略目标、目标分解、目标确认；3、风险事件管理：事件收集、事件分析、事件认定；4、风险评估：风险识别、风险分析、风险评价；5、风险方案设计：风险管理策略、应对措施、管理组织；6、体系手册发布：在线发布、离线发布；7、监控与预警：指标监控与预算、事件监控、职责分离检查、一致性检查；8、监督及改进：测试任务管理、测试及记录、测试结果审核、缺陷分析及认定、整改及跟踪、责任签署、风险报告等。

   三、    信息化提供强化管理的解决方案

   企业风险防控的需求催生了IT行业风险管理和内控体系解决方

案的不断优化，国际国内一些著名软件公司均成立了擅长风险管控的专业公司，首先从覆盖上市公司开始，逐步向央企、地方国企和大的民企推进，他们将信息技术成功运用于经营管理，取得令人瞩目的业绩。这次研讨班就听取了迪博、慧点、浪潮、久其、远光、IBM、SAP等中外软件公司的解决方案，听取了工商银行、中国移动、中国电子、中国远洋、中国铁工等9家金融机构、中央企业建立和运用风险管控信息系统的经验介绍。

风险管理信息系统已经成为信息化建设的一个重要部分。按照统一协调、分工负责、上下联动、有效监督的原则，全面梳理业务流程，并将其固化，在实践中使其功能不断完善。风险管理功能一般有风险识别、风险评估、风险对策、风险控制、风险监督；内控功能主要是内部审计，一般有数据审计、流程审计、IT审计、有效性审计、改进审计。业务应用涵盖：帐务管理、资金管理、预算管理、资产管理、人力资源管理、绩效管理、采购管理、销售管理、库存管理、生产管理、供应商管理、客户管理等。要建立几大管理模型，一般包括预算管理、资金管理、内控与风险管理、供应链管理、核算管理、绩效管理等模型。建立GSP基础平台，按照管理权限为各级管理者提供有数据、有分析的表单，风险预警和消息，以及可供选择的解决方案。设置于总部的风险管理信息系统和二级企业子系统互联互通，均有系统展示门户、系统应用、系统支撑和相应的基础设施。这一系统能够和企业已有的ERP、OA等系统有效对接，有利于企业管理信息系统的集成化、一体化。

   企业全面风险管理和内控体系建设为信息化提供了施展身手的舞台，信息化为强化风险管理提供了有力武器。不久可以看到，风险防控的信息化管理将在中央企业、地方国企和大民企全面推广，并不断深化，必将极大提升决策水平和管理效益，促进企业稳步发展。

   国资委明确规定：各中央企业应当自2013年起，于每年5月31日前向国资委报告内部控制评价报告，同时抄送派驻本企业监事会。还将总结推广搞得好的央企经验，加强督促检查，将其纳入评价、考核范围，对存在重大缺陷或造成失误、损失的企业领导人将追究责任。可见国资委推进此项工作决心之大、力度之大！我们相信，加强全面风险管理必将成为中央企业的自觉行动，这项工作在管理提升活动中一定会得到切实落实，有效推进！

                                                                                 2012年7月27日