文/马泽生 姚明辉 徐兵
【内容摘要】本文分析了目前企业风险管理存在的问题,阐述了企业风险管理与业务流程之间的联系与整合,探讨了基于业务流程的一体化企业风险管理的内涵及实施途径,对企业有效开展风险管理工作具有一定参考价值。
【关键词】业务流程 风险控制矩阵 企业风险管理
一、基于业务流程的企业风险管理的实施背景
1.目前企业风险管理存在的主要问题
风险管理作为现代企业创新管理手段,必须将其系统化地落实到企业日常业务流程中,根植在企业的价值链上,从而主动应对和管理各种风险,但目前诸多企业的风险管理尚处于被动式的事后管理,风险管理整合性、系统性不强,主要存在以下问题:
(1)风险管理缺乏明确的目标
(2)业务部门主动感知风险的意识差
(3)风险管理缺少与现有管理的耦合
(4)风险管理落地难,缺少着力点
2.企业风险管理与业务流程之间的联系与整合
企业业务流程如同一个个串联电路图,资源的不断输入就形成一套持续“供电”的工作流,实现从端到端来解决跨职能、跨部门的复杂问题。业务流程五要素之间环环相扣,形成目标明确的闭环管理模式,保障企业各项业务规范化、流程化、持续性和系统化。关于业务流程的概念,不同的管理学家给出不同的定义,总结归纳起来,业务流程是指围绕企业目标有序地进行一系列活动以产生某种特定结果的过程,是一系列逻辑相关的跨越时间和空间的活动集合。企业的运营与发展就是由一系列业务流程组成的集合,支撑这些业务流程运作的是一个个业务流程中的活动或“子流程”。
企业风险管理强调以企业发展战略及经营目标为出发点,在企业管理的各个环节和经营过程中执行风险管理的基本流程,建立健全风险管理体系,从而为目标实现提供合理保障。企业要想高效有序运营,需要以业务流程为脉络,为风险管理提供一个理想的接口,将风险管理的理念和方法嵌入业务流程中,实现风险管理与企业现有的管理系统在功能上有机耦合,从而突破传统管理的各种“信息孤岛”,达到“1+1>2”的效果,进而有效改善流程绩效,提升企业价值创造能力。
二、基于业务流程的企业风险管理的实施途径
基于业务流程的风险管理就是以业务流程为基础,将漫无边际的风险管理活动,转变为以流程输入、输出为导向的层次化、动态化的风险管理,构建起基于业务流程的一体化企业风险管理互动模型(见下页图1),通过业务流程无数“工作流”的支撑,把风险管理贯穿于业务流程,将关键控制点与风险点嵌入到“端到端”的业务流程中,自下而上层层传递风险监控预警信息,及时为各级决策层提供科学的决策依据,推动并实现每一层业务流程的目标,实现一体化管理,进而促进企业总体战略目标的实现,并达到不断提升企业管理水平的目的。
1.业务流程梳理与优化
流程是企业创造价值的途径,是利用资源将输入转化为输出的一组相互关联的活动过程。业务流程梳理是从企业整体业务流程明晰的目的出发,对当前流程的充分显性化,是基于业务流程的一体化企业风险管理模式的必要条件。
一般来讲,首先要结合企业战略目标顶层规划流程架构,并将其视为风险管理工作的骨架与脉络,进而基于一级流程目标或客户需求去识别从起点到终点的完整价值链创造过程,从而将业务现状进行还原,将管理思想、思路模型化,形成流程架构图和流程视图(见图2)。
其次,从企业的各级业务流程出发,与管理层进行充分沟通,确定企业的业务流程梳理所需要达到的目标以及精细程度。通过与不同层次、不同岗位的人员进行深度访谈,梳理现有各级次业务流程,并从业务流程中分解出工作流程以及其中可能存在的风险点。通过对现有管理制度、工具、以及员工执行情况的调研分析,了解风险管理在实际工作中的落实情况,形成业务流程清单。
2.梳理风险点,建立风险控制矩阵(RCM)
根据流程架构图、流程视图和业务流程清单,通过梳理风险点,建立风险控制矩阵(Risk and Control Matrix)(见图3)。这一过程遵循业务流程“端到端”的途径,首先以业务流程目标为出发点,从流程步骤走向进行风险思考,结合控制点识别出风险点。将识别出的风险点匹配到各环节业务流程中,而对那些无法与流程匹配的风险,要进行进一步的分析,确定是风险颗粒度的问题,还是确实无法映射在业务流程中,这样就能够梳理出两类风险:一是可以映射到流程中的“业务流程内风险”;二是映射不到流程当中,但有可能通过流程来控制的“业务流程外风险”。
其次针对梳理出的两类风险,从流程的始端对风险进行辨识评估和内控诊断,然后实施风险分析与缺陷认定,建立起风险管理与业务流程的接口,并在这个过程中对重点业务流程进行确定和明确,将控制点落到实处,最后对风险信息与业务流程一一对应的关系进行绘制出“风险控制矩阵”(见表)。
“风险控制矩阵(RCM)”是后期实施风险信息化的核心表单之一,它以表单的形式呈现,细分到各个业务流程,并建立起与风险之间的接口关系,是利用IT手段实现风险智能管理的基础。
3.实施风险管理流程
通过业务流程建立起与风险管理之间的接口,利用输出的“风险控制矩阵(RCM)”作为开展具体风险管理工作流程的输入,实施风险管理PDCA的闭环管理过程(见图4),强化落实风险管控措施,实现重大风险的动态管理和有效管控。
(1)风险评估。
风险评估的目的是通过科学的方法确定风险管理的重点,是企业根据经营实际,制定风险评价标准,定期对风险控制矩阵中的风险进行定性和定量评价,确定风险水平等级和重大风险的过程。一般按风险发生的可能性和影响程度两个维度进行打分评价,按照风险水平=可能性*影响程度,计算出风险水平等级,形成风险水平等级大小排序,根据管理层风险偏好和风险承受度,选取若干数量排序靠前的风险作为需要优先管理的重大风险,这些重大风险即是那些影响流程目标达成的关键因素。
(2)风险管理策略及应对方案制定。
通过评估确定的重大风险,企业要根据当期总体经营目标,制定重大风险管理策略及应对方案,包括基本策略(风险转移、风险控制、风险规避和风险接受)和一整套的应对措施。同时,要针对流程目标的实现,将流程中的业务风险点进行“风险指标”设计和分析,建立可量化的风险监控预警指标及承受度区间阀值,利用风险监控预警指标和业务系统进行对接,保证业务流程的执行数据能够第一时间影响预警指标的变化,以切实达到风险预警的作用。
(3)风险监控与应对。
企业应建立常态化的风险监控预警机制,将风险的监控与应对融入整个业务流程循环运行的全过程中,按照既定风险管理策略及应对方案对风险实施动态监控与应对。
风险监控与应对是一个持续的过程,它是整个风险管理流程中的核心环节。通过各级组织、各个岗位人员在业务流程过程中执行风险管理策略及应对方案,全面跟踪并监控风险变化趋势,及时掌握风险变化趋势,定期形成风险管理监控报告,向管理层传递风险管理信息,提供风险决策支持。
(4)风险管理监督与改进。
监督与改进是企业风险管理的最后一道防线,是基于业务流程的一体化风险管理的落脚点。监督与改进能确保风险管理过程的有效性,是以重大风险、重大事件和重大决策、重要管理及业务流程为重点,对风险管理识别评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督。采用压力测试、返回测试、穿行测试以及风险控制、自我评估等方法对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。
同时,通过监督评价及时对出现的高风险信息实施风险管理改进,从而不断改善流程绩效,提升业务流程运行的效率及质量。
4.利用IT手段实现风险一体化智能管理
目前,随着商业智能(BI)到流程智能(PI) 的快速发展,如何有效利用各种信息和数据,在业务和管理上做出精准决策,成为企业成功的一个关键要素。基于业务流程的风险管理就需要利用IT手段的技术支撑,将风险点、控制点、控制措施,风险监控预警指标嵌入到业务流程的各环节中,并与岗位职责无缝对接,形成以业务流程为纽带,逐步固化与显性化风险管理工作,从而解决“信息孤岛”的问题,实现业务流程风险信息的固化和共享。
通过IT手段规范和固化基于业务流程的风险管理流程,减少人工干预,提高风险响应速度,实现对业务流程各环节重点风险的提示、预警和有效管控,一方面,有助于业务流程岗位人员操作时得到相应的风险提示和预警;另一方面,有助于各级管理人员对业务流程风险的管理和控制,同时为管理层决策提供及时、全面的信息,有效提升流程绩效,实现流程价值目标。
基于业务流程的一体化企业风险管理不仅是具体业务管理的创新,更是一种管理融合的升华,具有较强的精细化与规范化,通过细化分析业务流程,将各项业务进行有机串联,明确各级组织、各个岗位在实现企业战略目标过程中的“权责利”关系,体现了风险管理对于资源的平衡与整合,不仅融合了业务流程与风险管理两者的要素,还通过业务流程搭建起企业中各“信息孤岛”之间的桥梁,固化与显性化风险管理工作流程,促进风险控制措施能够真正“落地生根”,形成一种多维度立体式的创新管理机制。■
主要参考文献
[1] 国务院国有资产监督管理委员会.中央企业全面风险管理指引[J].国资发改革[2006]108号,2006.
[2] 罗伟,刘介明,陈云.企业业务流程风险管理的原理与方法[J].经济论坛,2007(13).
[3] 马正凯.基于风险链的企业风险管理过程研究[J].西安财经学院学报,2011(5).
[4] 陈立云,罗均丽.跟我们学建流程体系[M].北京:中华工商联合出版社,2014(8).
作者单位 成都飞机工业(集团)有限责任公司
|