风险管控部 袁芳静

随着社会的迅速发展，科学技术的不断进步，人类在获取巨大利益的同时，也伴随着前所未有的风险。目前，风险管理已经发展成为企业中具有相对独立职能的管理领域，在围绕企业的经营和发展目标方面，风险管理与经营管理、战略管理一样具有十分重要的意义。风险管理主要包括：风险度量、风险评估和应变策略等范畴。风险管理的核心思想，是对相关事件及诱因的风险排序，以达到风险分类、风险定级、风险有效处置的目的。随着大数据、人工智能、机器学习等相关领域的不断发展，风控信息化系统已经从单纯具备数据整合、数据信息化、数据可视化、数据基本分析的系统平台慢慢转化为具有风险识别、风险预警、风险计量的学习式综合系统。本文结合集团目前的风控建设现状，从以下四个方面阐述系统的建设方向，并对建设意义进行分析，旨在探索风控信息化在集团实施的可行性。

一、关键风险指标（Key Risk Indicators）

关键风险指标是指某一风险领域变化情况并可定期监控的统计指标。其用于监测可能造成损失事件的各项风险及控制措施，并作为反映风险变化情况的早期预警指标。指标的覆盖范围除操作风险外，也覆盖到市场风险、信用风险、政策风险及法律风险等范畴。自上世纪90年代巴塞尔委员会提出关键风险指标的实施指导意见后，银行等金融机构通过不断探索和完善，建立了以关键风险指标为核心的操作风险管理三大工具。随着时代的发展，越来越多的金融、类金融机构开始建立自己的关键风险指标库。指标的覆盖范围越来越广，分类愈发精细，针对不同行业建立独有的指标体系既是践行风控信息化的大胆尝试，也是提高公司风险预警能力的有效手段。经过多年的实践检验，关键风险指标在企业风险管控中的实际意义尤为突出，加强事前监测指标体系的建立显得尤为重要。

指标的建立应遵循相关性、可测量性、风险敏感性及实用性原则。在充分了解集团业务结构，资产现状的前提下开展，确定并理解主要风险领域，对提炼的相关指标进行有效排序及分组，明确指标的适用范围。在指标的具体管理中，我们意识到，一项风险事件的发生可能有多种成因，但关键成因往往只有几种。关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法。具体操作步骤如下：

1.分析风险成因，从中找出关键成因。

2.将关键成因量化，确定其度量，分析确定导致风险事件发生(或极有可能发生)时该成因的具体数值。

3.以该具体数值为基础，以发出风险预警信息为目的，加上或减去一定数值后形成新的数值，该数值即为关键风险指标。

4.建立风险预警系统，即当关键成因数值达到关键风险指标时，发出风险预警信息。

5.制定出现风险预警信息时应采取的风险控制措施。

6.跟踪监测关键成因数值的变化，一旦出现预警，即实施风险控制措施。

以财务报表为例，其能够全面反映企业的财务状况、经营成果和现金流量情况，但是单纯从财务报表的数据上看，并不能直接或全面说明企业经营状况的好坏和经营成果的高低，只有将企业的财务指标值与有关数据进行比较形成相关指标，才能有效揭示企业财务状况所处的行业地位。再者，财务类关键风险指标不仅对于集团的风险管控具有实际的指导意义，也可用于投资机构的尽调领域。现结合商业银行的尽调经验，提出如下六个领域的相关指标：

1.盈利能力状况（净资产收益率，总资产报酬率，销售（营业）利润率，盈余现金保障倍数，成本费用利润率，资本收益率）。

2.资产质量状况（总资产周转率，应收账款周转率，不良资产比率，流动资产周转率，资产现金回收率）。

3.债务风险状况（资产负债率，已获利息倍数，速动比率，现金流动负债比率，带息负债比率，或有负债比率）。

4.经营增长状况（销售（营业）增长率，资本保值增值率，销售（营业）利润增长率，总资产增长率，技术投入比率）。

5.补充资料（存货周转率，两金占流动资产比重，成本费用占营业收入比重，经济增加值率，EBITDA率，资本积累率）。

6.衍生指标（短期债务与实收资本比，短期债务与短期可变现资产比）。结合国资委编发的《企业绩效评价标准值》，按固定频率计算六个维度的相关风险指标，对达到风险阈值的相关警示项进行输出。

二、流程梳理

很多企业一谈到流程，就希望通过优化流程来解决经营中出现的问题。首先，流程优化的一个前提是明确企业流程的现状。没有梳理则不能将现状显性化，无法对问题及风险点进行定位。其次，企业认为自己的流程有问题，50%-70%的问题是因为表达的口径不一致造成。对同一个问题的不同说法，对同一件事务的不同名称给了企业存在众多流程问题的错觉。显然，流程梳理就是把语言统一起来的最好工具。再者，巴塞尔协议明确了流程梳理在风险与控制自我评估（RCSA）中的重要地位，实施流程梳理既是内控合规管理的需要，也是风险管控的基本环节。

当前，集团的流程工作主要面临如下几大现状：一、并未实现全面标准化。集团的管理和运作没有一套体系化的完整流程加以规范，员工缺乏遵循的依据，现行流程大多规范一些日常办公活动，与公司业务运作和管理紧密相关的流程较少。二、信息层面的问题。纵向信息采集处理和使用的效率低下，横向信息沟通不畅。企业改制合并后，控股及参股的子公司较多，涉及的业务领域愈发多样。在企业管理和运作的过程中，源头信息经过各个环节可能逐渐失真，从而导致了各种决策偏差的现象时有发生。

   风险管控视角下的流程梳理主要着眼于两个方面。一是对现有流程进行科学评价，分析流程本身的有效性及科学性，对不合理的流程进行定位修改，以期达到规范管理，提高企业运作效率的目的。二是分析不同流程下，各个环节实施过程中对应的风险点及相关控制措施，以期达到风险管控、固有风险分析、剩余风险计量的多重目的。开展流程梳理的基础是对于企业价值链的分析。明确企业业务流程（市场调研、融资、营销等）的同时，开展管理与支持流程（行政管理类、财务投资类等）的分析工作，建立三级流程框架。一级流程，属于公司战略层管控，涉及的具体流程较少，一般由公司高管直接参与。二级流程，与企业战略及资源整合密切相关，涉及全公司管控的环节，是价值链上的重要活动，涉及跨部门活动，需要协同活动的进展。三级流程，企业的核心流程，该级别涉及的活动是价值链上的关键活动，关键活动得到优化，企业的价值链也将全面得到优化。

流程梳理及优化的工作路径主要包括如下步骤：

对应的每个子流程应建立如下的输出物：

1.风险评估表

2.风险点

3.流程

4.控制措施

 

 

三、文档信息电子化

通过ocr扫描识别软件来获取各项数据的影像。扫描时系统可以自动识别文件数据有效期、文件类型、文件查阅权限、完整性检验等。通过定义各项业务必须提交的数据，据此检验数据是否齐全，扫描完成后上传至集团文件服务器或数据库中，完成基础数据的建库工作。文本原件档案由集团各部门、各子公司分别统一集中保管，届时通过系统可以对数据档案作如下操作：

1.资料审核：系统通过自动判断文件权限将相关文档推送至有权审批人处进行数据和图像的审核工作，并标记审核结果。对于未通过的，流程发起相关人员可以看到的审核标记，对问题数据进行解释，输入数据出错的原因。如管理人员在系统上审核业务部门及子公司提交的相关待审批文件，提高了资料审批时效性的同时，也进一步加强了文件的安全性，减少中间环节，降低人员风险。

2.资料查询：集团业务部门及相关子公司可根据自己的工作需要检索审阅相关文档，通过关联待查文档权限，实现自动审批，降低文档调阅审批流程复杂度的同时，对调阅记录等信息自动化留存，确保数据安全。同一资料可同时分别被不同人员查阅，提高了文档的利用率。对于重要的纸质档案反复翻阅容易造成损坏，电子化查阅的方式有利于原件的持久性保存。

3.资料完整性校验：对于标准化流程业务，可结合业务流程系统，加强节点控制，在不同的阶段，对所需的相关文件及材料通过预设方式进行分阶段核查，确保材料完整。若相关文件缺失，自动触发对关联人的提醒。

4.数据到期自动提醒：对于任何有使用期限的数据，过期前自动提醒相关人员。系统操作人员打开后，会有自动弹窗提醒。提醒方式也可延伸到OA，短信，邮件等。

文档信息电子化更倾向于企业信息化管理的范畴，但风控信息化的成功与否很大程度上取决于公司自身业务及管理的信息化程度。风险控制是建立在大量数据分析基础之上的逻辑推导，只有可靠，安全，稳定的数据才能确保风控信息化的有效推进，诚然我们可以直接引入外部数据或成熟的风控信息化系统，但是企业的风控有其自身的特殊性和复杂性，只有基于企业自身数据才能有效的实现风险识别，风险预警，风险跟踪，风险管理，风险处置等一系列活动。

 

四、损失事件管理

   目前随着集团各部门及子公司业务的不断发展，业务形态及涉及领域逐渐增多。随之而来的问题是围绕着损失数据上报的流程要求日趋复杂。各子公司上报的报表形式不统一，为了解决上述管理流程和报表规范的迫切需要，围绕损失数据相关的系统流程建设势在必行。再者集团通过对于既往已经发生的风险事件的整理和分析，可以降低类似事件发生的几率。这种收集和整理既往风险损失事件并加以分析的工具即“操作风险损失事件库”（LDC）。同时，损失事件管理隶属于操作风险三大工具之一，损失事件库的建立既是业务发展的需要，也是建立全面风险管控体系，实现风控信息化的必经之路。

   损失事件管理的实施范围应主要包括以下模块：损失数据字段取值范围表、损失数据字段设计、损失数据管控汇报流程。各功能简要说明如下：损失数据字段取值范围表，提供对表单各字段取值类型的选择。主要包括损失事件类型、业务条线、操作风险损失形态、风险类型、发现途径、事件名称、风险缓释类型、风险因素、事件状态。损失数据字段设计，提供对各类字段的录入方式、取值及处理逻辑的描述。

   损失数据管控汇报流程：主要提供各权限用户上报表单流程的方式及相关管理方式。

   损失事件库的运行和机制包主要含如下几个方面。

  （一）事件收集

   损失事件库需要基于完善的既往信息收集。常见收集标准通常包括：事件定义、损失类型、所在公司和地域、损失金额（对于财务损失）、严重程度（对于非财务损失）、发现方式等。上述信息的完整性和准确性是后续分析工作的基础。

   损失事件的收集方式主要有两种：第一种是损失事件发生部门或子公司自行发现、并向风险管理部门上报相关损失事件的完整信息；第二种是损失事件发现部门将可能存在的操作风险事件上报至风险管理部门，由风险管理部门决定是否进一步调查和跟进。总体而言，前者为主，后者为辅。

   （二）数据分析

   收集损失事件的目的不只是建立一个档案库，而是要通过数据分析，从各个维度和切面，全面的观察集团潜在风险隐患。

   从静态的看，需要基于业务条线、经营地域、事件类型等维度，通过对于损失金额、损失事件和频率等进行统计分析，探查损失规律，从而准确定位风险多发领域，帮助公司将有限的管理资源更为准确的投放到关键领域。

   从动态的看，在静态分析形成的损失分布基础上，可以通过情境分析的方法，探求公司内部管理有可能出现的潜在薄弱环节，从而实现防患于未然的目标。

  （三）日常管理和维护

   损失事件的收集是一个长期的持续性工作，因此损失事件库的管理和维护也需要持续稳健的推进，切忌运动式的工作方式。集团需要明确损失事件库的管理流程和制度，通过制度而不是行政手段推动损失事件库的建立。

   流程概要描述：

序号	流程节点	填报部门	可执行操作	工作描述
1	操作风险事件填报	子公司、集团业务部门、集团风险管控部	保存、提交、取消、召回	填写事件基本信息、损失信息、风险缓释信息、风险处置方案
2	跟踪操作风险事件	子公司、集团业务部门、集团风险管控部	保存、提交、取消、召回	更新事件的损失信息、风险缓释信息、风险处置方案
3	审核并补充事信息，确定风险等级	集团风险管控部	退回、保存、提交、取消、召回、事件结束，入库、事件结束，非操作风险事件	审核填报人已录入的信息，补充事件的关联信息，如事件信息填报无误，根据已有的事件信息选择风险等级（一般/重大）

 

   风险管控道路任重道远，企业经营管理过程中面对的风险类型多样，各种风险诱因错综复杂，提高企业风控管理能力既是管理、运营、内控的需要，也是提高自身竞争能力的有效途径。随着内外部环境的不断变化，加强风险管控三大防线建设，建立全面风险管控体系的任务迫在眉睫，本文以风控信息化为切入点，重点阐述了四点建设路径，探索实施方法，论证实施方向，所涉及的内容并不能够完整的覆盖到集团风险管控的全部范围，毕竟风控体系的建设是伴随着企业的风控文化逐步形成。摒弃“一蹴而就”的思想理念，以科学的发展规划为指导，遵循“循序渐进”的实施规律才是推进风控建设的有效途径。