大型煤炭綜合能源企業(yè)組織級風(fēng)險信息化管控系統(tǒng)的研究與應(yīng)用

路世忠

(神華集團有限責(zé)任公司內(nèi)控審計部，北京市東城區(qū)，100011)

近年來，隨著煤炭企業(yè)向集團化、大型化和一體化方向的發(fā)展，企業(yè)風(fēng)險也表現(xiàn)出新的特點，一是企業(yè)往往追求規(guī)?；鸵惑w化生產(chǎn)運營，在有效降低運營成本和市場銷售等風(fēng)險的同時，企業(yè)的系統(tǒng)性風(fēng)險也隨之表現(xiàn)的更加明顯；二是現(xiàn)代企業(yè)已經(jīng)進入高度協(xié)同的發(fā)展階段，實施風(fēng)險管控亟需各相關(guān)部門和業(yè)務(wù)單元之間的有效協(xié)作，單靠某一部門或崗位很難全面管控企業(yè)風(fēng)險。

大型煤炭綜合能源企業(yè)以煤為基礎(chǔ)，電力、鐵路、煤制油與煤化工等為一體，實行產(chǎn)、運、銷一條龍經(jīng)營，且具有多管理層級的復(fù)雜組織機構(gòu)，因此風(fēng)險管控涉及業(yè)務(wù)范圍廣泛，涉及內(nèi)容復(fù)雜，使得建立組織級的風(fēng)險管控體系面臨很大的挑戰(zhàn)。實施好風(fēng)險管控和搞好生產(chǎn)經(jīng)營不但需要相關(guān)業(yè)務(wù)領(lǐng)域的全員積極參與，更需要及時獲取多方位和充分的價值信息。在當(dāng)前經(jīng)濟的形勢和市場情況下，加強企業(yè)自身的風(fēng)險管控能力建設(shè)已是迫切之舉，建設(shè)組織級的風(fēng)險信息化管控系統(tǒng)成為大型煤炭綜合能源企業(yè)內(nèi)在風(fēng)險管理能力提升的必然選擇。

1 建立組織級風(fēng)險信息化管控系統(tǒng)的可行性

目前各大煤炭企業(yè)集團基本上都已建立以ERP為核心的信息化應(yīng)用體系，實現(xiàn)了人力、物資、財務(wù)、項目和銷售等業(yè)務(wù)信息的橫向和縱向的一體化共享，而風(fēng)險管理領(lǐng)域也已建立了系統(tǒng)的理論體系、較為完善的風(fēng)險管理組織體系、明確的風(fēng)險管控責(zé)任主體以及完備的風(fēng)險管理制度、流程和相關(guān)的預(yù)警指標(biāo)、區(qū)間等，這些都為建立全集團范圍內(nèi)的風(fēng)險信息化管控系統(tǒng)奠定了堅實的基礎(chǔ)。

組織級風(fēng)險信息化管控系統(tǒng)應(yīng)規(guī)劃在整個集團公司范圍內(nèi)應(yīng)用，范圍上覆蓋各個管理層級上的不同業(yè)務(wù)單元的系統(tǒng)用戶和業(yè)務(wù)用戶，縱向上貫穿集團總部、分子公司以及下屬三級單位，橫向上跨越內(nèi)控風(fēng)險管理部門、其他職能部門以及業(yè)務(wù)單元等。各管理層級上的各個用戶分別具有不同的權(quán)限，被授權(quán)進行特定的業(yè)務(wù)操作。集團公司風(fēng)險管控范圍示意圖如圖1所示，風(fēng)險信息化管控系統(tǒng)運行示意圖如圖2所示。

圖1 集團公司風(fēng)險管控范圍示意圖

圖2 風(fēng)險信息化管控系統(tǒng)運行示意圖

從圖1可以看出，組織級風(fēng)險信息化管控系統(tǒng)實現(xiàn)了全組織機構(gòu)和全員參與的全業(yè)務(wù)領(lǐng)域的風(fēng)險管理過程，保證了各專業(yè)業(yè)務(wù)領(lǐng)域風(fēng)險，尤其是企業(yè)系統(tǒng)性風(fēng)險在整個公司范圍內(nèi)的信息條件共享和協(xié)同管理，能夠解決企業(yè)多年來在風(fēng)險管理工作上的困惑，大大提升企業(yè)的管理水平。

由圖2可見，風(fēng)險管理模塊在及時獲取企業(yè)生產(chǎn)經(jīng)營信息和外部信息的情況下，通過自身的有效運轉(zhuǎn)對企業(yè)風(fēng)險產(chǎn)生應(yīng)對策略和方案，從而推動相關(guān)管控責(zé)任主體實施企業(yè)內(nèi)部控制，以有效控制風(fēng)險發(fā)生的可能性和產(chǎn)生的不利影響。

2 系統(tǒng)基本流程優(yōu)化

風(fēng)險管控基礎(chǔ)流程是在全面風(fēng)險管理工作中，集團公司各層面的業(yè)務(wù)單位在管理的各環(huán)節(jié)和經(jīng)營過程中執(zhí)行的工作流程，風(fēng)險管控基本流程是個循環(huán)往復(fù)和螺旋提升的過程，組織級風(fēng)險信息化管控系統(tǒng)對風(fēng)險管控基本流程進行變革和優(yōu)化。

2.1 風(fēng)險評估

風(fēng)險評估是風(fēng)險管控的最為基礎(chǔ)的工作，包含信息收集、風(fēng)險辨識、風(fēng)險分析和風(fēng)險評價等環(huán)節(jié)。收集信息包括歷史數(shù)據(jù)和未來預(yù)測信息，并對初始信息進行必要的篩選、提煉、對比、分類和組合。在收集的風(fēng)險管理初始信息基礎(chǔ)上，對各項決策和各項重要經(jīng)營活動及其重要業(yè)務(wù)流程中可能遇到 (面臨的、潛在的)的所有風(fēng)險進行風(fēng)險辨識，對風(fēng)險事項進行分類并形成風(fēng)險庫；對各風(fēng)險以及風(fēng)險之間進行定量或定性分析，確定風(fēng)險發(fā)生可能性的高低和影響程度的大??；根據(jù)各項風(fēng)險的影響程度和發(fā)生可能性等信息，確定各項風(fēng)險的重要性特征和管理優(yōu)先順序，依據(jù)風(fēng)險等級判斷標(biāo)準確定集團公司重大風(fēng)險。風(fēng)險評估流程圖如圖3所示，風(fēng)險評估流程描述如表1所示。

分子公司及分子公司下屬單位自發(fā)進行風(fēng)險評估的，其業(yè)務(wù)流程與總部發(fā)起的業(yè)務(wù)流程一致。

2.2 風(fēng)險應(yīng)對

根據(jù)風(fēng)險評估的結(jié)果，集團公司制定相應(yīng)的風(fēng)險管理策略和重大風(fēng)險應(yīng)對方案，并確定風(fēng)險管理所需人力和財力資源的配置原則。風(fēng)險應(yīng)對流程圖如圖4所示，風(fēng)險應(yīng)對流程描述如表2所示。

2.3 風(fēng)險監(jiān)控

風(fēng)險管控責(zé)任部門按照已確定的風(fēng)險管理策略，對重大風(fēng)險制定監(jiān)控預(yù)警指標(biāo)及預(yù)警區(qū)間并進行持續(xù)監(jiān)測，根據(jù)預(yù)警信息動態(tài)調(diào)整風(fēng)險解決方案或啟動風(fēng)險應(yīng)急預(yù)案，促進風(fēng)險管理目標(biāo)實現(xiàn)。風(fēng)險監(jiān)控流程圖如圖5所示，風(fēng)險監(jiān)控流程描述如表3所示。

圖3 風(fēng)險評估流程圖

表1 風(fēng)險評估流程描述

2.4 風(fēng)險管理報告

風(fēng)險主管部門組織協(xié)調(diào)有關(guān)職能部門及分子公司開展集團公司全面風(fēng)險管理年度報告編制工作，風(fēng)險主管部門負責(zé)制定報告編制工作計劃，明確編制工作要求及報告模本。

有關(guān)職能部門及分子公司應(yīng)對上一年度全面風(fēng)險管理工作進行總結(jié)，對下一年度的風(fēng)險進行評估，提出重大風(fēng)險管理解決方案，編制本單位的全面風(fēng)險管理年度報告，于每年規(guī)定日期前提交風(fēng)險主管部門。風(fēng)險主管部門通過匯總分析和經(jīng)理層訪談后，形成集團公司全面風(fēng)險管理年度報告。風(fēng)險管理報告流程圖如圖6所示，管理報告流程描述如表4所示。

圖4 風(fēng)險應(yīng)對流程圖

表2 風(fēng)險應(yīng)對流程描述

表3 風(fēng)險監(jiān)控流程描述

圖5 風(fēng)險監(jiān)控流程圖

圖6 風(fēng)險管理報告流程圖

表4 管理報告流程描述

3 基礎(chǔ)數(shù)據(jù)設(shè)計與控制

組織級風(fēng)險信息化管控系統(tǒng)涉及到的基礎(chǔ)數(shù)據(jù)包括企業(yè)的組織機構(gòu)數(shù)據(jù)、內(nèi)控矩陣數(shù)據(jù)、缺陷數(shù)據(jù)和風(fēng)險庫信息等，這些基礎(chǔ)數(shù)據(jù)信息在較長一段時間內(nèi)不會發(fā)生改變，更新時必須遵守一定的規(guī)則和操作規(guī)范進行。全面、準確的基礎(chǔ)數(shù)據(jù)是系統(tǒng)正常運行的根本保證。

3.1 組織機構(gòu)數(shù)據(jù)獲取

實現(xiàn)從主數(shù)據(jù)平臺MDM獲取組織機構(gòu)信息，確保風(fēng)險管理業(yè)務(wù)活動中調(diào)用的組織機構(gòu)與主數(shù)據(jù)平臺一致。主數(shù)據(jù)管理平臺對企業(yè)所有信息系統(tǒng)的機構(gòu)信息統(tǒng)一集中管理。

系統(tǒng)使用主數(shù)據(jù)管理平臺提供的組織機構(gòu)信息進行初始化，之后主數(shù)據(jù)管理平臺在組織機構(gòu)信息進行變化時通知風(fēng)險信息化管控系統(tǒng)，實時更新變化的組織機構(gòu)信息。系統(tǒng)與主數(shù)據(jù)管理平臺接口示意圖如圖7所示。

圖7 系統(tǒng)與主數(shù)據(jù)管理平臺的接口示意圖

3.2 風(fēng)險內(nèi)控矩陣管理

風(fēng)險信息化管控系統(tǒng)以樹狀結(jié)構(gòu)管理風(fēng)險內(nèi)控矩陣，分四個層級分別展示主流程、子流程、風(fēng)險和控制標(biāo)準的信息。風(fēng)險內(nèi)控矩陣中的風(fēng)險信息與風(fēng)險庫中的信息相關(guān)聯(lián)，實現(xiàn)數(shù)據(jù)同步更新，保持一致性。

控制標(biāo)準包含編號、控制標(biāo)準、適用層級、適用業(yè)務(wù)板塊、相關(guān)監(jiān)管要求、外部禁止性規(guī)定、主責(zé)部門、管理制度、是否與財務(wù)報告相關(guān)和與控制相關(guān)的風(fēng)險評級等。

集團總部統(tǒng)一維護總部標(biāo)準版本風(fēng)險內(nèi)控矩陣，系統(tǒng)后臺自動判斷各機構(gòu)的所屬層級并自動篩選出對應(yīng)該層級的風(fēng)險內(nèi)控矩陣信息。分子公司可看到總部最新發(fā)布版本的矩陣和自身相關(guān)矩陣，同時在該風(fēng)險內(nèi)控矩陣樹上可增加自身的主流程、子流程、風(fēng)險描述或控制標(biāo)準。

3.3 缺陷信息管理

設(shè)計將內(nèi)控缺陷納入到風(fēng)險管理中，內(nèi)控缺陷信息管理包括對內(nèi)控審計缺陷、檢查缺陷和年度自評缺陷的匯總管理，缺陷信息包括被評價單位、評價年度、主流程名稱、控制標(biāo)準編號、缺陷描述、缺陷類型、缺陷產(chǎn)生原因、是否存在補償性控制、是否與財務(wù)報告相關(guān) (直接相關(guān)、間接相關(guān)、非相關(guān))、內(nèi)控缺陷涉及金額 (違約金額、管理不規(guī)范金額、會計處理不當(dāng)金額、直接損失浪費金額)，缺陷分級 (重大缺陷、重要缺陷、一般缺陷)、整改建議／整改措施、缺陷責(zé)任單位／部門、整改計劃完成時間、缺陷改進類型 (完善職責(zé)和分工、新增管理制度／流程、優(yōu)化管理制度／流程、加強控制執(zhí)行)等。

內(nèi)控缺陷信息統(tǒng)一由集團總部進行維護，系統(tǒng)根據(jù)內(nèi)控評價底稿自動生成各管理層級的內(nèi)控缺陷信息列表，各級人員僅可查詢本單位的缺陷信息。

3.4 風(fēng)險信息管理

風(fēng)險庫管理是對集團公司的風(fēng)險信息進行統(tǒng)一管理，風(fēng)險信息以樹形結(jié)構(gòu)展示，共分為一級風(fēng)險、二級風(fēng)險和風(fēng)險描述三級。風(fēng)險庫通過風(fēng)險唯一編號實現(xiàn)和風(fēng)險內(nèi)控矩陣的關(guān)聯(lián)。

集團公司層面的風(fēng)險信息由總部統(tǒng)一維護，各下屬單位在總部的指導(dǎo)下可維護獨立的風(fēng)險庫。各層級的風(fēng)險信息更新時必須經(jīng)過指定負責(zé)人審批，審核通過則風(fēng)險信息更新。風(fēng)險庫信息可通過授權(quán)進行查看，各單位原則上只能看見自身所在業(yè)務(wù)板塊的相應(yīng)內(nèi)容。

4 系統(tǒng)設(shè)計與實現(xiàn)

4.1 技術(shù)開發(fā)架構(gòu)

本系統(tǒng)使用的Galaxy開發(fā)框架以J2EE技術(shù)為基礎(chǔ)，其開發(fā)框架結(jié)構(gòu)圖如圖8所示。

圖8 系統(tǒng)開發(fā)技術(shù)架構(gòu)結(jié)構(gòu)圖

開發(fā)核心框架分為表現(xiàn)層、服務(wù)層和數(shù)據(jù)訪問層三層，以Spring 3.0框架為基礎(chǔ)，在數(shù)據(jù)訪問層方面使用JPA持久化規(guī)范。

表現(xiàn)層使用Spring和Struts的基本架構(gòu)組合，并利用Spring MVC模式將業(yè)務(wù)、模型和控制分離開來，通過顯示與數(shù)據(jù)分離設(shè)計，將頁面定制與數(shù)據(jù)進行解耦。服務(wù)層是開發(fā)框架中的核心部分，系統(tǒng)的導(dǎo)航、組織機構(gòu)、權(quán)限與授權(quán)、流程管理等功能都是通過服務(wù)的方式隨系統(tǒng)啟動。數(shù)據(jù)訪問層采用J2EE規(guī)范JPA實現(xiàn)數(shù)據(jù)庫持久化，為框架提供跨數(shù)據(jù)庫的支持 (目前支持Oracle、SQL Server、MSQL數(shù)據(jù)庫)。另外，數(shù)據(jù)訪問層還提供了LDAP Adapter，并支持LDAP(輕量目錄訪問協(xié)議)庫。

4.2 功能架構(gòu)設(shè)計

系統(tǒng)在Java EE應(yīng)用服務(wù)器的基礎(chǔ)上，開發(fā)了包括矩陣管理、流程引擎、流程建模等在內(nèi)的模塊，這些模塊為風(fēng)險管控系統(tǒng)的開發(fā)和運行提供了底層服務(wù)。由于系統(tǒng)需要一些組織機構(gòu)和人員等外部的基礎(chǔ)信息，在系統(tǒng)與ERP及其他信息系統(tǒng)之間建立有接口層，實現(xiàn)基礎(chǔ)信息的及時獲取或同步更新。系統(tǒng)功能架構(gòu)圖如圖9所示。

系統(tǒng)實現(xiàn)了風(fēng)險庫管理、風(fēng)險評估、風(fēng)險應(yīng)對、風(fēng)險監(jiān)控和報告管理等功能，貫穿了企業(yè)風(fēng)險管控的整個流程，其中風(fēng)險評估是風(fēng)險管控工作中的重點，涵蓋了風(fēng)險評估計劃、評估任務(wù)分配、評估任務(wù)執(zhí)行等關(guān)鍵環(huán)節(jié)。風(fēng)險評估后的結(jié)果信息部分進入各層級的風(fēng)險庫進行統(tǒng)一管理，對于重大風(fēng)險及需要特別關(guān)注的風(fēng)險，由各管理責(zé)任主體制定管理策略和應(yīng)對方案，建立預(yù)警指標(biāo)的風(fēng)險可實施實時監(jiān)控。風(fēng)險管控信息通過審批后可在門戶進行展現(xiàn)和共享。

4.3 角色權(quán)限設(shè)計

系統(tǒng)采用基于RBAC(Role-Based Access Control:基于角色的訪問控制)的模型來進行權(quán)限設(shè)計，結(jié)合開源框架Shiro，通過Shiro提供的API完成導(dǎo)航菜單和按鈕級的權(quán)限控制。RBAC以角色為橋梁，通過給用戶賦予不同的角色使用戶獲得角色所擁有的訪問權(quán)限。角色分系統(tǒng)角色和自定義角色，支持角色的繼承，由開發(fā)人員預(yù)定義Permission，支持運行時將Permission組合為PermissionSet分配給自定義角色，實現(xiàn)靈活的運行時權(quán)限分配。

系統(tǒng)角色設(shè)計有內(nèi)置角色和業(yè)務(wù)角色，內(nèi)置角色包括超級管理員、租戶管理員和節(jié)點管理員，業(yè)務(wù)角色包括總部風(fēng)險主管部門-主要負責(zé)人、總部風(fēng)險主管部門-主管、總部職能部門負責(zé)人、分子公司職能部門負責(zé)人、總部基礎(chǔ)信息管理、總部風(fēng)險主管部門-風(fēng)險評估計劃管理、總部職能部門-風(fēng)險評估計劃管理、分子公司-風(fēng)險評估計劃管理、分子公司職能部門 (或下屬單位)-風(fēng)險評估計劃管理、總部風(fēng)險主管部門-風(fēng)險應(yīng)對方案管理、總部職能部門-風(fēng)險應(yīng)對方案管理、分子公司-風(fēng)險應(yīng)對方案管理、分子公司職能部門 (或下屬單位)-風(fēng)險應(yīng)對方案管理等。

4.4 系統(tǒng)應(yīng)用實踐

基于以上的風(fēng)險管控基本流程優(yōu)化、基礎(chǔ)數(shù)據(jù)控制設(shè)計、系統(tǒng)開發(fā)技術(shù)平臺及角色權(quán)限設(shè)計，開發(fā)了適合大型煤炭綜合能源企業(yè)實際業(yè)務(wù)狀況和管理特點的組織級風(fēng)險信息化管控系統(tǒng)。

圖9 系統(tǒng)功能架構(gòu)圖

風(fēng)險信息化管控系統(tǒng)是集團公司范圍內(nèi)的組織級應(yīng)用，覆蓋各個管理層級的不同業(yè)務(wù)單元的用戶。系統(tǒng)上線運行后，被授權(quán)的管理員可以根據(jù)實際狀況變化調(diào)整角色，對用戶進行再分配，進行功能重新配置，實現(xiàn)對管理層級、組織架構(gòu)、業(yè)務(wù)內(nèi)容等變化的動態(tài)適應(yīng)。

[1]史學(xué)偉，李翕然.煤炭企業(yè)全面風(fēng)險管理體系探索[J].中國煤炭，2012 (12)

[2]徐向藝等.公司治理制度安排與組織設(shè)計[M].北京:經(jīng)濟科學(xué)出版社，2006

[3]胡杰武等.企業(yè)風(fēng)險管理[M].北京:清華大學(xué)出版社，北京交通大學(xué)出版社，2009

[4]韋建華.生產(chǎn)管理流程與節(jié)點精細化設(shè)計[M].北京:人民郵電出版社 (第1版)，2013

[5]劉友華等.信息系統(tǒng)分析與設(shè)計 (第2版)[M].南京:南京大學(xué)出版社，2011

[6]馮登國等.基于角色的訪問控制模型與管理規(guī)范(GB／T 25062-2010)[M].北京:中國標(biāo)準出版社，2010