风险的不确定性是当今信息时代和后工业社会的基本特征,只有有效地管理不确定性才能使企业良性发展。国资委《中央企业全面风险管理指引》(以下简称《指引》)对中央企业风险管理工作提出了明确要求。中国远洋运输(集团)总公司(以下简称“中远集团”)认识到企业管理理念和体系发展到今天已确定进入以全面风险管理为核心的可持续发展时代,鉴于风险管理的全面性、复杂性和技术性,传统的依靠人力推动和运作方式来进行管理创新的方法已经不能满足推行全面风险管理的要求,而且全面风险管理体系建设是一项需要企业投入大量资源并且持之以恒的复杂系统工程,需要通过现代技术手段——全面风险管理信息系统支持。
由于全面风险管理的开展不仅会引发企业价值观念的改变,需要有强大的决策策略推动力、科学管理和技术服务的支撑,需要深入理解风险的内涵、正确使用工具和测评技术以及评价方法、合理配置资源、有效控制风险,才能够真正将企业风险管理的要求与企业的战略和运营相结合。用全面风险管理的理念推动企业战略转换,推动企业经营模式转换,推动企业业务流程再造,引发企业“业态”变革,从而实现公司价值、环境和自然资源的发展与和谐。所以这项工作并非能够一蹴而就取得成功的,而是需要一个长期不断积累和发展的过程。企业实施全面风险管理必须依托现代的信息和网络技术,才能更好地支持自身战略的发展。
同时,由于中远集团为大型企业集团,全面风险管理是一项自上而下,战略层面到操作层面贯通的复杂的系统工程,要使整个集团上下各级,多家企业,共同实施全面风险管理,就要形成并依托推行的载体和手段,要先期统一风险语言、评价标准和业务风险控制流程,开发上下贯通信息系统将总部的要求固化形成人机对话系统,减少人为干扰和信息衰减,提高效率。
因此必须结合企业自身特点,通过信息化手段将全面风险管理理念加以实现,以支持企业风险管理体系的实施和落地。中远集团在借助全面风险管理信息系统,科学实施《指引》,实现可持续发展方面做出了有益的探索并取得了显著成效。
中远集团一直高度重视管理建设与完善工作,并结合集团发展实际不断引进、学习、应用先进的管理理念和方法来管理改革与创新,提升全集团的综合管理水平,保障集团风险得到全面有效的控制。2003年,中远集团在国内率先引入AS4360和COSO的ERM风险管理标准相关理论和概念,与公司的质量、环境和职业健康安全管理体系充分结合,建设完整的管理系统。2004年,中远集团积极配合国资委开展“企业全面风险管理研究课题组”的工作,作为第一家试点单位参加国资委的全面风险管理调研工作。2005年初,中远集团在风险管理调研基础上,为配合全集团全面风险管理体系建设工作的开展,实施了集团的风险评估工作,编制了风险库,绘制了风险图谱,为公司进行风险管理决策、制定风险管理策略、确定风险管理建设工作重点、有效配置管理资源提供依据。2006年,中远集团按照国资委《中央企业全面风险管理指引》进行流程再造,将全面风险管理的条款与要求融入到公司管理决策和业务程序之中,并将风险管理职责的要求和风险授权通过工作标准落实到每位中远人的实际行动中。2008年开始,在中远(集团)总公司完成了全面风险管理体系框架的搭建,建立了全面风险管理信息系统,成为第一家建立全面风险管理信息系统的中央企业,并根据财政部等五部委颁布的《企业内部控制基本规范》和国家风险管理标准《GB/T 24353-2009 风险管理原则与实施指南》进行了完善。
自2009年起,中国远洋作为中远集团的主要试点企业之一,以风险为导向率先针对内部控制程序进行了深入的梳理和优化工作,基本搭建完毕内部控制框架。2011年,中国远洋作为境内外上市公司强制实施《企业内部控制基本规范》和配套指引,在公司总部和下属六家公司范围内开展了内部控制建设和改进完善工作。目前,已建立内部控制体系的单位占公司资产比重超过70%。
2012年,按照国资委中央企业管理提升活动的总体安排,中远集团积极开展全面风险管理专项提升活动,结合公司管理提升总体方案积极开展风险诊断工作,并积极推进投资评估、燃油期货等专项风险管理工作。
二、运用信息化手段推动全面风险管理实施,以全面风险管理信息系统作为操作平台整合风险管理行为
中远集团围绕推进全面风险管理工作,建立中远集团全面风险管理信息系统满足三个方面推进要求:
一是通过信息化手段建立风险管理体系,落实工作责任。明确风险管控工作的归口部门,完善企业原有管理体系,固化风险的收集,辨识,评估流程。将内控制度和体系运作,按照企业风险管理的一般过程,集成在系统平台上运行。
二是信息系统结合企业实际,融入生产经营。能够保障从企业发展战略、日常运营、风险应对和监控预警等各方面均能落实国资委《指引》的有关要求。
三是信息系统辅助编制发布全面风险管理各层次报告,加强沟通交流。在提高企业风险管理报告编制效率的同时还将风险管理理念以网站形式在企业内部进行宣传,加快营造企业风险管理文化氛围。成为集团用于向下属公司的管理输出和统一管理文化的载体。
中远集团从2003年进行内部控制和管理体系建设时就同步开发了风险管理信息系统基础,2006年将“中远集团全面风险管理体系系统”作为重点建设项目。全面风险管理信息系统依据中远集团多年风险管理实践经验,结合自身管理体系要求,同时研究对比国内外相关风险管理特点,逐步扩展设计形成的现有规模。根据中远集团的管理现状,不断对照国际先进企业的最佳管理实践,通过先进的技术方法将全面风险管理的流程“固化”作为提升中远集团管理水平的重要工作之一,并以此进行风险管理和分析,追溯并延续风险信息和指标数据、统一评价标准,避免各下属公司因体系建设的重复投资浪费。
在全面风险管理体系系统项目建设的基础上,按照《指引》第五十六条,风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享,既满足单项业务风险管理的要求,也要满足企业整体和跨职能部门、业务单位的风险管理综合要求,中远集团开发了全面风险管理信息系统。功能包括:风险策略的制定、风险信息的收集、风险评估、风险分析、风险应对、风险监控、风险管理体系的管理、与业务系统的集成、重大风险的监控预警机制、风险报告、体系监控、风险知识库的管理、厂务公开等内容,并与全球契约可持续发展相结合,完善沟通和披露机制,形成一套完整的全面风险管理信息平台。满足《指引》对信息系统中的信息采集、存储、加工、分析、测试、传递、报告、披露等功能的要求。同时全面风险管理系统实现各专业业务风险集成管理,统一报告相关领导的功能,提升了各专业业务风险控制和风险管理的水平。全面风险管理信息平台是中远可持续发展平台的重要组成部分,也是作为中远可持续发展目标的战略举措之一。
2011年,中远以五部委《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》等为指导,结合中远实际情况,对中远全面风险管理信息平台的功能进行扩充,建立一套以企业内控与风险管理为核心的管理信息系统。通过这套系统建设、实施和运转,中远将形成动态的自我风险辨识能力,达到及时辨识、预防风险,设计并采用相应的管理、控制措施,减少风险损失。
中远集团按照国资委《指引》所规定企业风险管理的一般过程,结合全面风险管理是一个长期的持续改进管理模式,增加了策动力和资源配置以及授权要求,形成了可持续发展的管理模式。根据企业管理经验进一步分解可以落实的步骤,中远集团创造性提供科学地建设风险管理系统的实施和推行16步法,以年为周期一个循环,实现一次管理创新。
中远全面风险管理信息系统按照总体规划、分步实施的原则实施,科学推进中远的风险管理工作不断向深入发展。
中远集团在2005年成功完成全面风险管理信息系统一期的开发,成为第一家建立全面风险管理信息系统的中央企业,2006年进行全面风险管理信息系统二期开发,完成社会责任风险可持续发展信息系统和法律风险信息系统的开发。2007年立项全面风险管理信息系统三期,经过2008年和2009年两年时间的开发、测试和试运行,该信息平台2010年初步投入使用。为了进一步适应五部委对企业内部控制的规范化管理要求,系统在2011年扩充了“内控调查与诊断”、“内控评价”等功能模块。该信息平台目前的应用范围已经覆盖了中远集团总公司以及下属企业。
中远集团全面风险管理信息系统支持从风险辨识、分析、评价、应对、监控以及改进的全过程,同时参考PDCA的管理方法,实现风险管理工作的持续改进,为及时向国资委或其他相关方报告风险管理成果提供了便捷的沟通平台。经过多年的实践和完善,目前系统主要功能介绍如下:
中远集团按照国资委《指引》的要求,结合AS4360风险管理体系标准,参考美国COSO全面风险管理框架,运用六西格玛技术,开发出中远集团风险评估的方法,运用风险频次、风险影响程度和风险预知与应对难度三维独立变量,1-10连续数据的评价方法,科学地进行风险评估。集团各部门和各公司以风险为主线实施管理,针对各自业务管理风险特点实施管理,在管理控制好运营风险的基础上,将重点扩大到战略风险、市场风险、财务风险和法律风险。由于风险评估的范围大、层次深、参与人多,用手工进行采集和分析,工作量大、准确度低,运用开发风险管理信息平台的风险评估系统可以全集团的人单点登录完成风险评估,根据全员风险评价的结果,自动计算各项风险以及风险事件的影响程度、发生概率、应对难度和重要性等值,按照重要程度进行排序,并通过图形化的方式直观地展现风险的分布情况,实现重大风险的监控。
系统建立了多层结构的中远风险框架,并根据中远业务的发展以及管理的深化,实时更新框架结构和内容,并可按年度生成不同的中远风险框架。
通过持续的风险辨识活动,系统逐步累积形成了风险事件库,可按照风险的责任部门和所属风险框架等多个维度进行统计和汇总。
基于风险评估结果,结合集团发展现状和当前外部环境,对集团当前面临的风险类别、风险特征和重大风险排序进行修正,形成对集团总公司风险现状的全面、准确判断,确定当前的重大风险,明确管理重点。
根据集团发展的策略、风险评估结果和管理资源现状,研究、确定集团的总体风险偏好与承受度方案,明确对当前各重大风险的应对策略要求,为具体风险管理提供决策标准和指导方针。
结合当前的国际金融环境,针对评估出的重大风险,选取了其中的套期保值风险和投资评估风险,制定其具体的管理解决方案。套期保值风险管理解决方案进一步明确了公司在开展燃油期货业务、FFA业务、利率汇率风险管理业务中的风险管理策略,选取了明确的监控指标并定义了相应的风险承受度。同时,套期保值风险管理解决方案还优化了相关的内控要求(如止损制度)、并对每一个风险控制点,明确了相应的控制方案,作为预防风险的重要手段,编制了金融风险管理程序。投资评估风险管理解决方案围绕投资决策目标的设定、投资风险的揭示和分析、投资风险的审查等技术层面的问题,设计了完整的投资风险评估工作机制,并明确了投资评估风险的管理策略方法。
为保证中远集团实施可持续发展和全面风险管理制度化、规划化,进行流程再造。将全面风险管理、全球契约的条款要求融入中远集团管理决策和业务程序,建立各个关键流程风险管理程序,并将全球契约社会责任、风险管理职责的要求、指标管理和风险授权通过工作标准,落实到每位中远人的实际行动中。2007年集团总公司完成全面风险管理体系的建设,形成量化的风险管理体系。
中远集团在现代质量管理体系的基础上,对现有的67个主管理程序和121个子管理程序再次进行了全面的梳理和优化。管理程序涵盖了中远集团全有的业务管理领域、职能管理领域和后勤管理领域,并以风险为导向,建立了完备的程序管理框架。程序管理框架由程序属性、风险属性、控制属性、监督考核属性等要素组成,形成了程序规范、风险可控、措施明确、监督有力的运转机制。在管理程序优化的基础上,中远集团还重新搭建了集团内控程序管理的框架,形成了以全面风险管理理论为指导的内控管理体系,统一了集团的内控管理语言。中远集团各公司在原有管理体系的基础上,分别建立本公司的内部控制体系。
在内部控制制度和程序梳理的基础上,中远集团建立了全面风险管理体系,明确了相关风险管理机构的组织职责、工作流程、风险管理报告要求和风险管理业绩考核机制,并以全面风险管理制度和全面风险管理手册的形式加以落实。风险管理工作流程由风险评估、风险管理策略制定、风险管理解决方案制定、风险管理监督与改进等四个模块组成。
内控体系包括:内控框架、内控主程序、内控子程序、工作步骤、控制点、内控制度等基础信息的维护与管理功能,并在此基础上实现内控业务流程固化,将内部控制文件体系建设工作统一纳入,系统提供方便的查询,修订功能。
内控调查和诊断主要是对风险现状调查和诊断报告功能。包括调查数据项定制、风险现状信息采集、诊断报告的编制和发布、系统接口管理、综合统计查询等功能,通过此功能,可以对企业和各下属企业内部外部中的风险现在的状况进行识别收集和维护。
系统提供对内控调查问卷的设计完整性测试,以及对内控子程序各个控制点的执行有效性测试。
风险审核是对内部控制建立与实施情况做监督检查,评价内部控制的有效性,是审计部门进行的风险审计、过程审计和项目审计以及后评估。
按照国资委要求,从2009年起每年组织编报中远集团全面风险管理年度报告。各公司依照可持续发展信息管理平台中设定的国资委全面风险管理报告框架,参照所提供的模本要求,对本公司风险管理情况做总结并予以上报。
为保证每年4月底前向国资委提交《中央企业全面风险管理报告》,每年12月中旬与当年可持续发展报告数据和素材收集工作一并部署,并运用全面风险管理平台填报。并自动生成资料集锦,便于编制工作的高效开展。
全面风险管理系统对整个集团的重大风险进行系统监控。全面风险管理系统是上下贯通的信息系统,采取的是总体搭建、分步实施、自上而下、试点先行、逐步并轨的建设原则,自集团总公司、到中国远洋、到中国远洋三级公司,同时扩展其他二级公司的放射性推进方式,逐步运用信息化技术将集团总公司到各所属公司的重大风险的管理和监控预警机制固化,并将多种算法内嵌入,可以在一定程度上完成重大风险的监控。
全面风险管理系统具有从现有系统直接提取数据并进行监控的功能。但为保证现有管理信息系统的正常运作避免干扰,采取在全面风险管理系统上做多元化的分析和监控的设计。
下一步,中远集团进一步拓展全面风险管理系统的功能和覆盖范围,逐步实现内部控制自我评价工作的信息化和对重大风险监控全面监控,同时将着力全面风险管理信息平台向中远集团所属公司全面推广,逐步形成集团总公司和所属企业统一的风险数据库。