最近正式发布的《中央企业合规管理办法》中包含了合规管理信息化建设内容。《中央企业合规管理办法》的第六章第三十三至三十六条指出:
中央企业应当加强合规管理信息化建设,结合实际将合规制度、典型案例、合规培训、违规行为记录等纳入信息系统。
中央企业应当定期梳理业务流程,查找合规风险点,运用信息化手段将合规要求和防控措施嵌入流程,针对关键节点加强合规审查,强化过程管控。
中央企业应当加强合规管理信息系统与财务、投资、采购等其他信息系统的互联互通,实现数据共用共享。
中央企业应当利用大数据等技术,加强对重点领域、关键节点的实时动态监测,实现合规风险即时预警、快速处置。
我从事风险管理软件、开发与实施工作已经将近10年时间了,从最初的风险地图RiskMap,到后来的风险登记簿RiskRegister的开发,再到整合了RiskMap和RiskRegister的风险管理系统RiskManager的完成,对企业风险管理信息化有一些实践认识,这里我简单谈谈合规风险管理的信息化。
从《中央企业合规管理办法》中可以看到,合规风险管理的信息化实际上分成两个部分:合规风险管理和管理合规风险,两者相互关联,互促互进。
合规风险管理
合规风险管理是指负责合规管理的部门建立合规风险管理体系和合规风险管理机制,组织企业内部各单位、部门和其他机构完成合规风险的识别、分析、评价和报告等工作,保证合规风险管理过程在企业内部有效实施和持续运行。
这部分工作涉及到传统的风险管理内容。负责合规管理的部门如果想要在企业内部有效地开展合规风险管理,需要信息化软件系统的支持。我在以前的文章中多次谈到,按照目前企业组织结构和人员现状,要想有效完成风险管理工作,没有信息化系统的支持将会是“不可完成的任务”。(【立帖为证】如果不走信息化这条道路,企业全面风险管理水平将会停滞不前)
也许有人会说,委托外部咨询机构完成合规风险管理不就可以了吗。现实是外部中介机构完成项目之后就会离场,那么剩下的工作单凭负责合规管理的部门本身还是无法完成的。不管什么类型的风险管理,其过程都是动态的和持续的,运动式的管理不可能真正将风险管理做好。后期的动态、持续的风险管理要求闭环操作,其工作量依然非常大,依靠管理人员使用Word、Excel、PowerPoint等办公软件以及电话、会议等传统沟通工具进行管理效率非常低下,且无法保障质量。
依据《中央企业合规管理办法》,合规风险管理涉及两部分工作,一是要在业务流程上识别合规风险点,二是要针对风险点进行分析、评价和管控设计。我在设计和开发风险地图RiskMap软件的时候,第一个企业咨询和实施项目就是到中国石化销售公司华南分公司建设“廉洁风险防控地图系统”项目。当时的项目工作是梳理和完善公司所有单位和处室的主要业务流程图,并在业务流程上识别廉洁风险点,对风险点进行分析评价和管控设计,制作形成可运用浏览器进行交互查看的风险地图、风险路径、风险卡片以及最后的廉洁风险防控地图。后来,这个项目还获得了中石化集团管理创新三等奖,中石化集团纪检组甚至立项在全集团进行系统建设推广。这个项目的内容与合规风险识别有很大的相似之处。
在梳理完成合规风险识别和分析之后,要对合规风险进行动态、持续以及闭环管理。这时,合规管理负责部门需要建立风险管理工作系统,以提高合规风险管理的效率、质量,并保证合规管理工作的一致性和安全性。面对这部分工作需求,我们开发了风险登记簿RiskRegister软件,它是面向企业风险管理设计的,实现了风险管理全过程的线上操作和运行,功能上涵盖了风险识别、分析、评价、沟通与咨询、记录与汇报以及监督与审查。之前风险管理部专人负责的通常几周甚至几月完成事情,通过系统支持,提高管理专业性,大大缩短了工作时间,提升了工作效率,并且全部过程信息和数据都保存在系统里面,更安全、更集中且更统一。后来,我们在中石化、中交建以及中国能建等单位部署实施了风险登记簿系统,不过这些系统不是单独用在合规类风险管理,而是用在了企业风险、项目风险以及投资风险的管理上。
管理合规风险
运用信息化手段管理合规风险可细分为三种情况。
第一种是运用信息化手段直接在业务流程系统中加以控制。如果出现违规,那么系统直接实施控制,使得业务中断、无法进行。这是最为刚性、有效的做法。不过,这需要仔细分析和慎重决定,因为这会直接影响业务的运行。
第二种是运用信息化手段对业务流程中出现的违规行为告警。当出现违规时,就会发出告警,但不会中断业务进程。这种做法很有效。我们在中石化销售华南公司开发完成风险地图系统后,又进一步开发建设了廉洁风险预警模块。该模块对接了企业的OA办公系统、中石化合同管理系统以及中石化业务公开系统,对合同管理中出现的违规风险进行了自动化告警。系统出来后,得到了意想不到的效果,当时企业管理层对查询出来的违规风险数量有些惊讶,促发了后期许多整治和管理行动。
第三种是运用大数据手段对业务流程中出现的违规行为预警。大数据可以来自企业系统外,又可以来自企业系统内。一般来讲,企业系统内的数据更容易获取,质量也更可以保证。这方面的工作需要企业集团从整体上设计和开发,协调对接企业内部重要的各类系统,例如《中央企业合规管理办法》中倡导的合规管理系统对接企业内部的财务、投资、采购等重要信息系统,实现数据共享。这方面工作可以参考中石化集团的业务公开系统、中石油集团的联合业务监督系统等。这类系统可以实现的合规风险监测能力很强大,例如当对某个分公司的某笔业务数据进行比较时,可以发现其数据与企业内部其他分公司的数据有较大偏差,这时系统自动预警,为合规风险管理提供数据和信息支持。不过,这类系统只能针对部分合规风险完成预警,不能涵盖所有的合规风险。另外,系统建设、开发以及系统后期的维护和运行成本都较高。
他山之石可以攻玉,其他类型的风险管理经验可以为合规风险管理信息化提供借鉴和帮助。通过信息化手段,可以有效提供合规风险管理的效率、质量,并提供有效管理合规风险的工具和手段,为法治央企的建设提供支持和保障。
|
