氧化铝公司企业风险管理

1、泓域/氧化铝公司企业风险管理氧化铝公司企业风险管理目录 TOC o 1-3 h z u HYPERLINK l _Toc115691577 一、 风险管理职能部门 PAGEREF _Toc115691577 h 3 HYPERLINK l _Toc115691578 二、 风险管理委员会和审计委员会 PAGEREF _Toc115691578 h 4 HYPERLINK l _Toc115691579 三、 风险管理及审计部门的组织结构及职责设计 PAGEREF _Toc115691579 h 7 HYPERLINK l _Toc115691580 四、 业务单位和相关职能部门的组织结构及职责

2、设计 PAGEREF _Toc115691580 h 9 HYPERLINK l _Toc115691581 五、 企业业务流程管理 PAGEREF _Toc115691581 h 10 HYPERLINK l _Toc115691582 六、 流程风险的应对 PAGEREF _Toc115691582 h 12 HYPERLINK l _Toc115691583 七、 运营风险的表现及其特征 PAGEREF _Toc115691583 h 13 HYPERLINK l _Toc115691584 八、 运营风险管理理论与实务的发展 PAGEREF _Toc115691584 h 15 HYP

3、ERLINK l _Toc115691585 九、 系统实施的步骤与问题 PAGEREF _Toc115691585 h 17 HYPERLINK l _Toc115691586 十、 风险管理信息系统潜在损失的风险管理 PAGEREF _Toc115691586 h 20 HYPERLINK l _Toc115691587 十一、 风险管理信息系统概述 PAGEREF _Toc115691587 h 22 HYPERLINK l _Toc115691588 十二、 风险管理信息系统的优缺点 PAGEREF _Toc115691588 h 31 HYPERLINK l _Toc11569158

4、9 十三、 风险管理信息系统的基本功能 PAGEREF _Toc115691589 h 33 HYPERLINK l _Toc115691590 十四、 风险管理信息系统的构建原则 PAGEREF _Toc115691590 h 34 HYPERLINK l _Toc115691591 十五、 产业环境分析 PAGEREF _Toc115691591 h 39 HYPERLINK l _Toc115691592 十六、 电解铝产能增长 PAGEREF _Toc115691592 h 40 HYPERLINK l _Toc115691593 十七、 必要性分析 PAGEREF _Toc11569

5、1593 h 41 HYPERLINK l _Toc115691594 十八、 项目简介 PAGEREF _Toc115691594 h 42 HYPERLINK l _Toc115691595 十九、 SWOT分析 PAGEREF _Toc115691595 h 46 HYPERLINK l _Toc115691596 二十、 组织机构及人力资源 PAGEREF _Toc115691596 h 55 HYPERLINK l _Toc115691597 劳动定员一览表 PAGEREF _Toc115691597 h 55 HYPERLINK l _Toc115691598 二十一、 发展规划分

6、析 PAGEREF _Toc115691598 h 56风险管理职能部门企业应设立专职部门或确定相关职能部门履行全面风险管理的职责。该部门对总经理或其委托的高级管理人员负责。风险管理部对包括生产、销售、财务、人力资源、研发等在内的各业务和职能部门运营流程中的各环节进行监控，检查其遵守公司规章制度的情况，并针对各项检查结果，向总经理和风险管理委员会汇报。具体而言，风险管理部主要履行以下职责。（1）研究提出全面风险管理工作报告。（2）研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制。（3）研究提出跨职能部门的重大决策风险评估报告。（4）研究提出风险管理策略和跨职能

7、部门的重大风险管理解决方案，并负责该方案的组织实施和对该风险的日常监控。（5）负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案。（6）负责组织建立风险管理信息系统。（7）负责组织协调全面风险管理的日常工作。（8）负责指导、监督有关职能部门、各业务单位，以及全资、控股子企业开展全面风险管理工作。（9）负责风险管理其他有关工作。需要明确的是，虽然风险管理部门涉及不同的部门，但是绝不能说风险管理部门可以控制不同部门的风险。实际上，多数企业风险都是在风险管理部门和各职能部门的共同努力下得到控制并有效管理的。在风险管理部门内部，也会设立不同的专业团队或组织，重点控制和管理某一方面的风险。风险

8、管理委员会和审计委员会（一）风险管理委员会具备条件的企业，董事会应下设风险管理委员会。该委员会的召集人应由不兼任总经理的董事长担任；董事长兼任总经理的，召集人应由外部董事或独立董事担任。该委员会成员中需要熟悉企业各项业务流程的董事，以及具备风险管理监管知识或经验的董事。风险管理委员会对董事会负责，向董事会提交风险管理决策和报告，主要履行以下职责。（1）提交全面风险管理年度报告。（2）审计风险管理策略和重大风险管理解决方案。（3）审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告。（4）对企业风险及管理状况和风险管理能力及水平进行评价，提出完善企业风险

9、管理和内部控制的建议。（5）审议内部审计部门提交的综合性的风险管理监督评议审计报告。（6）审议风险管理组织机构设置及其职责方案。（7）办理董事会授权的有关全面风险管理的其他事项。（二）审计委员会企业还应在董事会下设立审计委员会。一般而言，企业审计委员会应由熟悉企业财务、会计和审计等方面专业知识并具备相应业务能力的董事组成，而其中主任委员需要由外部董事担任。审计委员会的关注焦点历来仅限于公开的财务报告风险，但是这种有限的关注范围随着时间的推移也可能会有所拓宽。纽约证券交易所的上市要求明确地规定：审计委员会章程在界定审计委员会的义务和责任时，应该规定审计委员会必须讨论管理层反映出的风险评估和管理的

10、各项政策。风险评估是内部控制的一部分内容，评价内部控制就必然会以风险作为基础，因此，审计委员会可能会询问这个流程是否有效。涵盖全企业的风险评估流程也是实施企业风险管理的有效开端。在与高级管理层讨论风险评估和风险管理时，审计委员会应当做到以下几点。（1）讨论公司是否面临可能会影响品牌形象和声誉的未来潜在事件的风险（如灾难性损失、舞弊行为、非法行动、诉讼纠纷等）。（2）了解管理层对财务报告风险的评估情况，询问外部审计师是否认同前述的评估。（3）了解能诱发重大风险的财务报告方面的薄弱环节，如准备金、或有负债、估值、计算值和需要作出重大判断的披露领域。（4）了解在管理财务报告风险方面，自评和公司级及流

11、程级监督工作的就绪落实程度。（5）了解内部审计师的风险评估和根据该评估而制定的审计计划。（6）询问有无经理人员负责关键风险的识别、评估、管理和监督工作，询问委员会是否应经常同这些经理开会，讨论其活动对公众报告及财务报告的影响意义。（7）了解管理层的企业风险评估结果及其对公众报告的财务报告的影响意义。审计委员会还负责指导监督企业内部审计部门，内部审计部门对董事会负责，其审计报告经审计委员会报董事会（或主要负责人）。内部审计部门在风险管理方面，主要负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评价，并出具监督评价审计报告。在风险管理方面，企业内部审计部门具有以下职能。（1）

12、对企业的财务收支、财务预算、财务决算、资产质量、经营绩效及其他有关经济活动进行审计监督。（2）对企业采购、产品销售、工程招标、对外投资等经济活动和重要经济合同进行审计监督。（3）对企业全面风险管理系统的合理性、健全性和有效性进行检查、评价和反馈，对企业有关业务的经营风险进行评估和意见反馈。（4）将内部审计结果反馈董事会及其他相关机构。内部审计参与企业风险管理具有一定的优势。首先，内部审计能够摆脱部门之间的利益冲突，较为客观全面地评价企业风险。其次，内部审计人员能够充当企业风险策略和各种决策之间的协调人，控制和指导风险策略。再次，由于内部审计独立于企业管理部门，其评价和结论可以直接向董事会报告，

13、故比其他职能部门具有更大的影响力。最后，内部审计较外部审计而言具有更强的责任感，往往会就某个风险问题深入探讨分析，了解其发生的根源，探索其解决的办法。然而，由于内部审计在独立性上较外部审计具有先天的不足，所以审计委员会还必须借助外部审计师的力量，对企业风险进行评估，以降低企业的风险。风险管理及审计部门的组织结构及职责设计风险管理体系中风险管理及审计部门的组织结构各部门的职责如下。1、风险管理委员会（1）由董事会正式授权监管风险活动，并须确保行政总裁的风险责任作适当履行。（2）主要职责包括制定符合企业风险容忍度的风险管理策略，批准风险管理政策及程序。2、风险管理职能部门（1）风险管理职能部门是风

14、险管理委员会的全职执行机构，通过对逐单交易及风险组合资料的审查及预先/事后批准来确保风险管理政策和程序得到遵守。（2）通过风险管理经理在营运单位的日常工作及风险管理总监等参与行政管理执委会并对重大事故向行政总裁作出汇报等渠道建立与管理部门（行政总裁/行政管理执委会/营运单位）的汇报机制。3、审计委员会（1）由董事会正式授权对财务报告和内控框架的效率和成效进行独立评核。（2）审阅财务报告/资料以确保法律法规得到遵守。4、内部审计部门（1）内部审计部门是审计委员会的全职执行机构，通过周期/临时审查业务部门和职能单位的具体运作来监察它们对营运的政策及程序的遵守情况。（2）通过与市场及信贷风险主管保持

15、紧密联系，了解确保风险管理政策及程序得以遵守的具体运作过程和相关文件，以便设计适当的审计步骤和执行方法。（3）与风险管理总监、信贷风险主管、市场风险主管及营运风险主管等讨论分析不遵守风险政策的事件及其产生的风险影响及必要的纠正措施等。业务单位和相关职能部门的组织结构及职责设计在风险管理方面，上述各部门的职责如下。1、执行总裁（1）对董事会制定的风险管理策略的执行情况负最终的责任。（2）对处理各种具体风险的执委会进行责任分配。（3）定期听取风险总监的工作汇报，确保及时了解风险管理出现的问题及其对策。2、行政管理执委会（1）监管并控制企业整体性风险，确保运营过程中的风险策略与董事会对风险的取向相一

16、致。（2）审阅资产负债及资本分配执委会提议的政策、程序，制定企业整体的资产负债策略。3、资产负债及资本分配委员会（1）主要专注于研究提出资本在各个业务中的分配，研究提出企业整体的资产负债策略，提交行政管理执委会审核。（2）由专注于市场风险管理的财资管理执委会提供协助。4、业务部门（1）在风险管理政策及程序规范下执行日常运营活动。（2）确保风险信息传递给相关的风险管理部门及经理。（3）参与对风险管理政策及程序的定期检讨（包括对支持系统的适当性，对风险管理的测定方法，汇报渠道，信息科技和人力资源提出意见）。5、一般的职能部门（1）基本责任是向营业单位的经营运作提供支援。（2）有责任就它们在处理风险

17、管理方面遇到的情况向风险管理单位定期汇报。企业业务流程管理自20世纪90年代初，企业业务流程管理概念由美国的两位管理学专家首次正式提出后，迅速引起全球范围内的重视。业务流程管理按照其变革的程度可分为3个层次：业务流程的建立、业务流程的优化和业务流程的重组。这3个不同层次的变革分别适用于不同阶段和管理基础的企业。（一）业务流程的建立在企业建立初期，由于企业生存的压力，管理者普遍关注市场和销售，对流程和制度不重视，运作基本靠员工的经验和一些简单的制度，企业的成功往往取决于企业主的个人能力和一些偶然的机会，比如拥有该行业成功所需要的特定资源。处于这个层次的企业，在解决了生存问题，开始走向规模化的时候

18、，面临着从人治向法治的转变。这个时候的企业通常会出现组织结构不健全，机构因人设岗，权责不清和没有系统性的制度流程等问题。企业的运作基本上依赖于人的经验和惯性，经常会发生越级指挥事件，同时会表现出高度集权的特点。此时，流程风险处于最高程度，如果不能及早建立起基本的流程和规范，如业务运作流程、作业指引、岗位说明书、人力资源管理体系等，企业可能迅速地由盛转衰。我国许多民营企业，例如，“爱多VCD”就是此类问题的典型案例。（二）业务流程的优化随着规模的扩大，企业的组织机构日渐庞大，职责分工越来越细。此时，企业官僚化程度也在随着增加，流程风险的主要表现是效率低下。这个时候的企业，通常会出现部门间合作不畅

19、，跨部门流程工作效率低下，决策时间长，虽制定有系统性的制度流程，但没有达到精细化的程度，且制度流程执行不到位。为应对此种情况，企业通常可采用的方法是先对现有流程的绩效进行评估，识别缺失的关键环节和需要改善的环节，然后通过对现有流程的简化、整合、增加、调整等方式来提升流程效率，还可以通过明确流程责任人的形式来监督流程的整体表现，从而减少部门间责任推诿等问题。（三）业务流程的重组这个时候往往是公司的战略转型期，企业的流程本身并没有很多的问题，但是往往不能适应新的战略，因而需要对流程进行根本性的变革。为了尽可能地减少重组过程中，以及重组后业务流程管理的风险，企业需要全面评估业务流程，并根据战略需要对

20、流程进行重新设计以适应公司的要求。业务流程重组往往伴随着IT系统的实施、重大的组织变革和业务模式的变革。流程风险的应对流程风险涉及企业内部业务流程的各个环节，且具有明显的向后传递性。为控制流程风险，企业一般可采取以下应对措施。（1）获取高级管理层的支持。流程风险的控制，往往涉及组织机构的职责划分，作业方式的变动，只有取得高级管理层的支持与参与，才可真正地发挥效应。（2）以战略为导向，把企业流程风险管理与企业战略有机结合起来，以减少流程管理的盲目性，并以战略愿景鼓舞员工进行流程风险控制的信心。（3）流程风险管理与企业业务拓展、生产活动密切相关，其最终目标必须面向顾客和市场。（4）在对业务流程的风

21、险进行深入剖析的情况下，对各个具体风险领域按其严重程度进行排序，并选择时机和环节，对其加强精细化管理或进行流程再造。（5）控制流程风险所涉及的流程改进一般应采用渐进式、分阶段推进的办法。（6）要充分发挥信息技术的作用，将自动化控制与人工控制相结合。（7）建立畅通的沟通渠道。（8）在流程风险控制中设置风险管理与预警管理机制，对风险进行预警预控。运营风险的表现及其特征运营风险是任何企业经营管理活动中面临风险的一个固有部分。在许多企业中，风险损失的一个很大部分是由普通的处理偏差所造成。除了这些日常损失外，企业还面临更大规模的运营风险事件。这些事件中有些因意外事故或失败造成；另一些则是有意的，比如欺诈

22、或其他犯罪活动。虽然这类运营风险事件发生的概率很低，但是后果却很严重，可能使整个企业遭受经营危机。更糟糕的是，在日益增加的全球化和网络化的背景中，其效应可能进一步传播至企业外部，而不是仅仅局限于单一的机构。除了对企业最终损益结果的影响外，运营风险可能因为其行为丧失商业道德、欺诈等犯罪活动，导致对企业声誉的巨大损害。这种损失很可能影响到与客户的关系以及现在和未来的利益相关者的关系。此外，企业声誉的损害也可能对企业的资本市场业务产生负面影响，融资成本可能变得更加品贵。如果不能有效管理运营风险，资本市场可能会低估企业股票或债券的价值。与之相反，有效的运营风险管理则可能会带给企业重要收益。至少包括：提

23、升企业实现其各种经营目标的能力；使管理层有机会去关注增加收入的业务，而不必被迫地去应对一次又一次的危机；减少日常业务活动中的损失等。在日益激烈的市场竞争当中，企业在运营管理中会遇到各种各样的风险，规避运营风险是一项系统工程。鉴于运营风险的上述特征，企业需要通过一个包含各种政策、流程与程序的框架对运营风险加以管理，各业务单元通过该框架来确定、评估、监督与控制其运营风险。运营风险管理理论与实务的发展（一）国外国际上，运营风险的理论与实务的发展，是随着金融类机构，尤其是保险业对风险管理关注的发展而发展的。保险是转移企业运营过程中纯风险的损失，对保险的管理也就是对运营过程中的风险进行管理。因而，随着保

24、险业对风险管理关注程度的加深，运营风险管理的思想也在萌芽。到20世纪50年代，成本控制制度和内部控制制度的发展极大推动了运营风险管理的发展。20世纪80年代初，因受债务危机的影响，金融业开始普遍重视对信用风险的防范和管理，其结果是产生了著名的巴塞尔协议（1988）。该协议提出了商业银行的经营规范，标志着运营风险管理系统性研究的开始。其后更于2003年提出金融类机构运营风险的定义。20世纪90年代后，在非金融领域中相继出现严重的风险事件（主要由运营风险和战略风险造成），不仅降低了企业的绩效，而且给企业造成了重大损失，运营风险管理开始在非金融领域中得到了重视。实体企业的利益相关者们发现这些风险因素

25、绝大部分能够管理却没能得到有效管理，风险管理逐步向监督、管理和控制有关组织机构的管理流程的方向发展。运营风险管理成为企业界和学术界研究的热点。其中，2002年7月，美国国会通过萨班斯法案（SOX法案），要求所有在美国上市的公司必须建立和完善内控体系以确保提交的财务报告的正确性，它是对运营风险管理的重要推动。而COSO委员会的ERM报告（2004）则是对运营风险进行控制和应对的原则及程序的重要指南。（二）国内在国内学术界，张纪康企业经营风险管理（1999），张继焦控制链管理：防范客户风险和应收账款风险（2003），张云起营销风险管理（2004），高立法等的企业经营管理实务（2009）等著作均是专

26、门针对企业运营风险进行的研究。近年来，我国先后出台的一些法规政策，如企业国有资产监督管理暂行条例、内部会计控制规范、商业银行内部控制指引、证券公司内部控制指引、商业银行市场风险管理指引（征求意见稿）等，极大地推动了风险管理的发展，为运营风险管理的发展打下了坚实的基础。在国有资产监督管理委员会颁发的中央企业全面风险管理指引中更是明确提出了构建运营风险管理的实务要求。系统实施的步骤与问题（一）系统实施步骤风险管理信息系统采用分阶段、分步骤、按业务功能区域（子系统）分头推进的实施策略。每个业务功能区域按照以下步骤进行实施。（1）模拟运行。发现软件设计中存在的不合理设计，磨合管理工作中各个环节的相互联

27、系，熟悉新的工作方式，明确使用人员的职责和权力，对使用人员进行培训，消除陌生和不信任感，检查数据处理是否合理。（2）应用培训。通过全方位不断培训各部门业务人员，使他们熟悉系统的管理模式，并与具体的计算机应用相结合。制定风险管理信息系统运行的规章制度和业务规范。体现管理模型的软件必须有配套的规章制度和工作流程，实施风险管理信息系统必须建立完整的数据责任体系、数据授权等级表、数据转换规范、系统运行维护规范。（3）数据标准建立及稽核、整理录入。通过实施过程管理，建立严格的数据编码标准，用户可以顺利地将以往零散、纸面的数据，按照规范的输入、稽核过程，转换到数据库中，形成精确、及时、完整的具有管理价值的

28、信息。（二）克服操作中的问题当新的风险管理信息系统已经被接受后，操作当中可能因此而出现许多问题。这些问题涉及数据、系统、硬件、软件和相关人员。1、数据问题一个企业的风险管理信息系统在运行当中可能面临3个与数据有关的问题，即数据完整性、数据的所有权和数据不足问题。（1）数据完整性。为确保数据完整性，进入风险管理信息系统的数据应包括以下几方面：由风险管理人员对大的数据项目的变动来加以核实和确定：限制有权输入数据、修改数据或输出数据的人员数量；对风险信息记录和系统中的其他信息进行定期审计。保证一些错误数据可以被改正或删除。（2）数据所有权。当一个风险管理信息系统的基本数据来源于许多渠道时，将产生所有

29、权问题，就是说为了某一特定目标谁可以把数据从系统中别除，谁应对改写和删除承担相应责任。这里应当区分程序所有权和利用此程序所获信息所有权，如当一个企业试图改换一个保险人或软件供应商或者该企业要被兼并时，这一问题将变得异常复杂。（3）数据不全。现在许多较为流行的风险管理信息系统都采用系统性模型，而可以预测期望损失或者画出一个趋势图，但为产生一个令人满意的结果，系统中必须有足够数据可用，收集数据则意味着付出一定的成本。因此，设计一个风险管理信息系统时，要求风险管理人员与高级经理人员对收集数据所需成本由于数据不全而导致错误等所带来的成本进行估算。2、系统问题除了数据和硬件不匹配问题之外，由于系统不能满

30、足企业的需要，一个风险管理信息系统的硬件和软件也可能达不到期望结果。如果风险管理人员或者其他经理人员过分强调小发明，也将出现系统问题。3、硬件问题与风险管理信息系统有关的两个潜在的硬件问题是机器失灵和技术过时。机器失灵可以由有能力的专职人员和技术辅助人员进行维修。技术过时风险产生于当扩展或修改一个风险管理信息系统时，零部件和相关服务无从得到，而不得不增加一个额外硬件。4、软件问题软件也可能由于过时或者不能满足企业改变风险管理信息系统需要而出现问题。由于企业所处经济环境发生变化，企业原先的风险管理的控制手段和财务手段也会发生相应的变化。因此，风险管理的信息系统也会作出调整，如果软件功能比较差就会

31、无法承受企业对系统的调整，这样会使信息系统形同虚设。所以，企业的风险管理人员应及时替换支持风险管理信息系统的软件，使软件适应企业随时调整系统的需要。风险管理信息系统潜在损失的风险管理在信息技术应用能够有效地提升企业的风险管理水平的同时，也产生了相应的技术风险，技术风险可能存在于以下3个方面。（1）数据的安全性风险。现代信息技术的应用，使企业业务数据化，股东与企业的资产及客户与企业之间的交易都以数据的形式存储于企业的业务系统之中，数据是企业最重要的资产，数据的损失是企业很大的损失。由于信息技术本身的不完备或企业管理的不到位，企业的计算机环境和业务数据系统存在被自然灾害或人为有意无意破坏的可能，应

32、用系统、操作系统、硬件平台与复杂的网络结构任何一个方面出现问题或受到破坏，都有可能危及数据的安全。（2）系统的稳定性风险。现代企业风险管理高度依赖信息技术，然而任何技术都可能存在这样或那样的缺陷，信息系统的任何一个环节包括主机设备、存储设备、网络设备、操作系统、数据库系统、应用系统或通信线路都有可能出现故障，一旦这个缺陷和故障爆发出来，就很可能影响到企业业务的正常运行。（3）外部技术支持的风险。企业的信息化建设更新快，投入大，专业技术要求高，目前企业的很多风险管理应用系统都是多种复杂技术的组合，企业不可能每项技术都自主开发，借助外部技术支持不可避免，外部技术支持的风险也就随之产生，包括信息安全

33、、硬件设备、软件系统等。如果技术风险得不到应有的重视，将会对企业风险管理产生广泛而深远甚至是灾难性的影响。企业在借助信息化建设提升风险管理水平的同时，必须严格控制由信息技术所带来的风险，技术风险管理应对策略应包括以下3点。（1）科学制定技术风险管理策略。企业必须将技术风险管理提升到战略高度来认识和执行。企业是高负债经营的高风险企业，内部控制和风险管理在其经营管理中处于至关重要的地位。为此，企业应制定和定期评估信息技术风险管理战略，根据战略规定相应的风险管理政策，用以指导技术风险管理实践。（2）建立长效的数据安全机制。技术风险管理必须以保证电子数据安全为核心。要做到以下几点：加强网络安全建设，做

34、到银行办公网、业务系统运行网的有效分离，阻止非授权的个人和系统的入侵和破坏；对敏感数据的访问进行严格审批控制，采用哑终端在安全控制环境下访问敏感数据，授权复制敏感数据，对所获取敏感数据的操作要记入数据库管理日志；强化银行内部授权、分责的制衡机制，确保数据录入与复核之间、技术开发与管理之间、系统运行与监控之间有比较完善的分工和制衡，防止单个员工或外包商单独进入和完成一笔交易。（3）加强技术外包的管理。选择的技术外包商应符合企业自己制定的风险管理、安全和隐私保护政策的标准。在签订有关协议合同之前，应对技术供应商或合伙人的技术能力、管理水平和财务状况进行适当的尽职调查，在合同条款中应当非常明确地规定

35、各方的责任，并对技术外包进行定期独立的内部或外部审计。风险管理信息系统概述（一）什么是风险管理信息系统管理信息系统的概念与风险管理结合，便产生了风险管理信息系统。所谓的风险管理活动的最终目的是为了企业对于任何风险的发生，均能预先通过各种方案，以最小的代价来达到管理风险的最大效益，而获得企业经营的安全。由此可知，风险管理活动与企业政策有关，是属于管理信息系统应用观念中的策略规划层次。因此风险管理信息系统可简单定义为：收集、分析与规划组织中有关风险管理信息的系统。风险管理信息系统是管理信息系统中必不可少的系统，风险管理人员由此认识并处理现实的或者潜在的偶然损失，以抵御偶然损失所产生的不利效应，降低

36、风险成本。风险管理信息系统是为整个经济单位及其每个损失暴露单位而设置的工具，对于风险管理全过程乃至经济单位的全部活动都起着重要的作用。这里需要指出的是，风险管理信息系统可以减少的不是损失的不确定性，而是减少作出的有关决策的不确定性，这是管理信息系统的最终目的。一个管理信息系统，特别是风险管理信息系统，应该使一个管理人员相信在现有的数据信息条件下作出的决策是最优的。其次，要明确业务数据和管理信息。数据是指一些孤立、分散的事实，它是不便于作出推断和结论的；而信息是指有助于决策的、经过企业加工过的数据。信息和数据之间的这种区别表明了许多管理信息系统和风险管理信息系统具有潜在的缺陷，即存在很多未提供足

37、够的管理信息的数据。一个设计得较好的风险管理信息系统应能将数据有机组合，提供正确的信息，提高风险管理的效率。风险管理信息系统的应用范围可以包括业务处理、标准风险管理报告和提供数据库的随机存取及支持风险管理决策的定量分析。（二）风险管理信息系统发展阶段风险管理信息系统的概念在30年之前就在国外的企业里出现。自从它出现后，风险管理信息系统概念已经从简单的保险索赔自动化发展到了复杂的金融管理与决策支持系统，这些系统提供了数据整合、报告、分析与操作的功能，支持企业的整体风险管理与相关规章制度。风险管理信息系统的发展共经历了5个阶段。（1）简单事务处理阶段。计算机在风险管理中的早期应用是保险损失和报废的

38、计算机管理，时间是20世纪60年代末。该应用技术由少数承保人开发，帮助部分被保险人记录可保损失，并对一些常见的事故的某些原因列出清单以便于风险控制。该阶段有两个明显缺陷。过分集中于保险业务，这些系统没有充分注意到经济单位整体的风险成本。这样就难以充分有效地向管理整个企业的高级管理决策层传达风险管理的核心内容。由于计算机技术较不发达，不能及时得到准确的数据，而不正确和过时的信息对风险管理决策来说是没有什么实质的决策用处的。（2）标准风险管理报告阶段。20世纪60年代末至70年代初，在此期间，风险成本的概念已被广为接受，风险管理人员开始利用电脑作辅助计算和控制本企业的整个风险成本。系统对于风险管理

39、者和整个经济单位管理人员之间的交流有非常重要的意义。此阶段的应用提升到批次处理的层次，各种标准的定期报表（月/季/年）广泛地被使用，扩大了信息的流通且有助于组织内部管理阶层的沟通。该阶段有两个明显缺陷。虽然这一阶段的系统可以使风险管理人员更多更快地收集数据，但很多基本数据仍来自于承保人而不是来自于企业内部，这会造成数据的不完整。承保人提供的大量报告有时容易使风险管理部门感觉好像被置于计算机报告的海洋中，数据很多但管理信息很少。（3）数据直接调用阶段。为了避免陷入许多数据中，投保人、经纪人组织、保险人开发出更为灵活的风险管理信息系统，使他们不仅能够设计自己特定的报告，而且能任意调用他们自己的风险

40、管理数据，时间是20世纪70年代末。随机存取数据使得风险管理人员能编制自己的报表，并能对高级经理和其他管理人员的信息需求作出反应。这种根据需要就能以任何格式提取数据的能力对风险管理至少具有以下益处。通过与风险管理数据库的互访，提高风险管理资料库与客户之间的互动性，可以增加对风险管理作用的认识。因为满足了管理人员的信息需求，从而获得了他们对风险管理的支持。随着风险管理人员监控风险能力的提高，企业内部关于风险管理的沟通和通信也得以改善，因此增加了风险管理人员对其他管理人员所提问题的快速反应能力。（4）风险管理决策支持阶段。交互是风险管理决策支持的核心，使计算机利用已有数据库中的数据预测风险管理人员

41、提出的各种可供选择方案的可能结果，并且作出最佳选择。交互式风险管理决策支持的关键是计算机应具有对“whatif”查询的反应能力，通过数据库中的数据来预测风险管理人员建议的各种行动方案的可能结果，因此要求开发各种分析模型，用于进行损失预测、风险成本分配和经济的预测。风险管理信息系统开始提供分析性的模块以协助客户进行风险成本的分析，包括风险的衡量、风险成本与效益分析、预测整体风险成本随风险要素变化的情形、估计年度总损失以及记录每次非预期损失幅度与频率等。一旦证实了这些预测模型和决策支持能力之间的关系，风险管理人员便可在大量的风险管理工作中运用它们。其运用范围包括：预测一种特定风险管理措施的成本和效

42、益；预测企业内部风险成本的变化及各组成部分的变化；选择企业每年的总的风险自留水平；把实际采取的安全措施与事故发生频率和损失程度联系起来；测试各种损失准备金充足与否。该阶段的系统可以存取更为广义上的数据库。特别是通过调制解调器和电话线把本企业的内部计算机与金融市场、经济动态及有关法规等外部的数据源连接起来，可以增强风险管理信息系统作为决策支持的使用价值，这主要是因为作出决策所依据的数据将更为可靠，以及计算机辅助决策的类型将更为多样化。（5）网际网络应用阶段。20世纪90年代随着网际网络的兴起、台式计算机价格逐渐下降及计算能力的提升，RMIS逐渐向主从式架构发展，并提供通过网络让远端计算机方便存取

43、数据库的功能，以快速反应并处理风险管理的问题。网络的发展也使银行保险公司与客户间的互动增加，并朝向全球化的目标发展。（三）风险管理信息系统的基本组成RMIS主要由以下几个部分组成：数据库；收集、操作数据产生信息的程序软件；计算机装备一硬件；运行RMIS的人员。1、数据库它是风险管理信息系统的核心，是贮存基本信息的记忆库。像所有的管理信息系统的数据一样，计算机化的风险管理信息系统输出的数据应该是有序的。而且数据必须是完备、正确、一致、相关和及时的，否则就会出现垃圾数据。在风险管理信息系统中，数据常被分为：损失数据、风险数据、法律数据、风险筹资数据、管理数据和风险控制数据。（1）损失数据。损失数据

44、是对一个企业过去损失的细节描述，常占风险管理数据的大部分，如事故/理赔等清单、理赔准备金、毁损记录、理赔对象情况记录、赔付记录等。风险管理人员、经纪人、代理人和承保人能从这些数据中得到损失频率、程度、原因及最后处理的信息，因此能为现在或将来面临的损失风险安排一个合理的准备金。大部分风险管理决策需要有适当的预测作为基础，如预测未来损失金额、预测各种控制型和财务型对付风险的方法的效果和成本，建立一个好的风险管理信息系统的损失数据库能为预测打下良好的基础。（2）风险数据。这种类型的数据多种多样，对风险管理人员来说，风险数据一般与一个企业的总体特征有关，如企业财产、其主要供应商和客户的业务关系及人员有

45、关。就财产而言，数据库应能鉴别其类型、所处地点、原始成本和现行价值及所有权状况等。财产数据也常常包括企业不动产信息、销售商信息及对每项财产的最大可能损失的估计。相关的数据类型如净收入记录、关键人物、普通员工记录、生产经营记录等。（3）法律数据。数据库中的法律信息应包括该企业的合同义务方面的详细数据。另外，一旦企业因违反了法律而可能遭致某种法律索赔时，数据库应当为确定和跟踪这些索赔提供信息。（4）风险筹资数据。风险管理信息系统的数据库中的风险筹资数据提供了收入、费用、现金流量、债务、借贷计划、生产水平、其他资金来源、使用的现行数据及预测数据，如资本、费用、债务、财务报表等。（5）管理数据。如果一

46、个企业的结构是多变的，这种变化可能涉及多个部门、若干附属机构和分散在不同地区的成本中心，数据库应当能反映这种层次结构，并能将风险管理数据分离开来以反映这种多变性。（6）风险控制数据。为了补充数据库中其他部分的数据，风险控制数据应当包括有助于评价企业防损工作质量和估计由此带来效益的信息。对这样的评估，数据库很可能包括了行业范围内的各种事故发生的频率和严重程度的统计信息，以及关于操作安全、产品安全和环境保护方面的信息。为了估计风险控制的财务效益，数据库应当包括有关员工福利计划、财产成本、汽车维修成本及医疗保健费用。这些成本费用信息可以用来证明防止事故和索赔所带来的效益。2、软件大部分风险管理信息系

47、统的应用程序都要求具有以下软件：数据库管理软件，用来增加、修改企业数据库的数据；分析软件，执行统计、分析功能；通信软件，在计算机之间或企业之间进行信息传输。风险管理信息系统所需软件，部分可以直接购买，大部分的软件功能还需要自行开发与集成。3、硬件硬件是指计算机化的风险管理信息系统物理设备，即计算机本身。硬件的选择主要取决于用户的需要，硬件所要求的两个重要特性是可靠性和可扩展性。一般来说，风险管理信息系统要求的数据库越大，则要求功能越强的计算机。另外，工作站的数量也是选择计算机时应考虑的，在过去常见的做法是几个人共享一个计算机终端，但现在倾向于每个用户一个终端。4、网络企业信息化的运行平台是局域

48、网，大多采用客户服务器结构，随着技术发展，越来越多的企业开始以Intranet为平台，采用浏览器服务器结构。5、人事风险管理信息系统中人是最重要的，人提供和解释数据，设计、组建、安排并维修硬件。由人来操作风险管理信息系统；由人使用风险管理信息系统的信息来支持其决策。人员同时也是风险管理信息系统中成本最高的一部分，其费用由人员工资及一些附加费用组成。操作一个风险管理信息系统所需的人数取决于系统的大小和需求。有些风险管理信息系统要求有一组专家，包括计算机程序员、分析员、软硬件专家；而有些系统，特别是使用现成软件，并且终端很少的系统，也许只需一两个系统辅助人员。此外，如果用户懂得一些计算机知识，则对

49、附加人员的需求量将减少。风险管理信息系统的优缺点一个好的风险管理信息系统可以给企业带来效益，使得企业更好地控制风险，但是也存在局限性。（一）优点一个设计较好的RMIS能快速大量地计算数据、交流信息和提供决策支持。因此它能提高风险管理效率，减少费用，加强组织间风险管理交流，提高风险管理活动的可靠性，为风险管理决策提供高质量的信息。（1）提高效率。无纸化操作与信息流动的高效性，增加风险管理人员用于决策的时间，从而可以提高其分析能力。（2）降低成本。这种节省来自于因手工处理的减少而带来的错误的减少、人员费用的减少等。（3）改善通信。通过计算机网络和共享的数据库，计算机内的信息很容易被企业内外的许多人

50、所同时存取。而且，计算机在对数据的排序、操纵、合并、概括、传播上具有极快的速度。因此，一个风险管理信息系统通过对正确合理的信息分析，能向高级管理人员提出一些简洁明了的建议：当与企业的多个管理信息系统集成起来时，将有助于风险管理人员参与企业的战略决策。通过管理信息系统，企业各部门之间的信息能迅速交流，并能及时收到风险管理部门关于日常活动的有关建议。（4）提高风险管理的可信度。由于计算机的科学计算，产生的文档材料似乎比其他形式的材料更让人相信，人们往往更信赖计算机的输出结果。（5）高质量的决策信息。因为计算机在企业数据和产生模型上所具有的优势，计算机能从数据中获得大量信息，所以提供了更多、更高质量

51、的决策信息。数据的管理可以产生出用以支持管理决策的高质量的信息统计模型。（二）缺点因为计算机只能按照程序执行，也只能存取已给的数据，因此，任何计算机化的风险管理信息系统的性能都是有限的。计算机化RMIS只能分析、不会制定决策，计算机能对问题作出精确的回答，但只有人才能发现问题，提供所需要的数据。RMIS只是管理信息的工具，它不会减少组织的偶然损失和风险成本，而且会增加一些附加费用，如硬件、软件的购买费用、人员费用等。RMIS产生的信息和决策指导受输入的数据质量和软件的限制。当输入计算机的数据是不正确、不完备，或过时的，计算机系统的运行是不能产生可靠的信息的。RMIS有着潜在的偶然损失，需要对系

52、统所产生或加强的损失暴露单位进行合理的管理，且还要对系统进行管理。风险管理信息系统最终依赖于人，因此也受人的弱点的影响。在大部分计算机化的风险管理信息系统中，最薄弱的环节是设计和操作风险管理信息系统的人员。风险管理信息系统的基本功能信息系统为风险管理提供数据，RMIS储存与风险相关的数据并允许进行数据的检索。该系统可以为报告的编制提供输入信息，它肩负着存放与企业风险相关的所有当前和历史信息的重要作用。其中存放的信息包括风险识别文件（通过使用模板文件）、风险定性和定量评估文件、合同可交付成果（如果适用）以及其他风险报告。风险管理办公室将使用该系统的信息，编制提交给高层管理层的报告并检索日常风险管

53、理所需要的信息。通过使用风险管理模板文件，每个风险项目都可以编制一套标准的报告，用以定期汇报使用，并且能够针对特殊要求编制特殊报告。该信息与失败报告信息系统和经验教训信息系统息息相关。具体而言风险管理信息系统的基本功能应包括以下6个方面。（1）将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。（2）采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。（3）能够进行对各种风险的计量和定量分析、定量测试

54、；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。（4）实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。（5）确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。（6）补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统，将风险管理与企业各项管理业务流程及管理软件统一规划、统一设计、统一实施、同步运行。风险管理信息系统的构建原则管理信息

55、系统的开发，是“三分技术、七分管理”。对于像企业全面风险管理信息系统的开发，管理领域知识显得非常重要，首先对企业风险的成因、分析与评估方法、模型的建立等要十分了解；其次对管理信息系统的开发原理和过程也要十分清楚。国外很多银行开发风险管理信息系统的经验是自主开发、借助外力、积累经验、调整改进，很值得国内企业参考借鉴。企业的风险管理涉及单位的各个部门、整个运营和管理流程和全体人员，是一个复杂的系统工程。因此，建立企业全面风险管理信息系统除了要遵循信息系统设计时的一般原则之外，还要根据企业所面临的风险的特殊性及其对风险管理的特殊要求，遵循一些特殊原则。1、一般原则（1）规范系统开发过程。信息系统的建

56、设是一项系统工程、必须按照软件工程的规律来组织系统的开发、必须建立严格的软件工程控制方法，要求开发组的每一个人都要遵守软件工程规范。经验证明，没有规范就不可能开发出用户满意的系统。（2）正确的开发策略与方法。为了保证信息系统的开发质量、降低开发费用及提高系统开发的成功率，必须借助于正确的开发策略和科学的开发方法。管理信息系统的开发方法有很多种，如结构化生命周期法、企业系统规划法、战略数据规划法、原型法和面向对象法等，其中最为常用的是结构化生命周期法和原型法。对于风险管理信息系统的开发，可以采用复合的开发策略、将生命周期法与原型法相结合、以原型演化法作为系统开发的过程模型，以面向功能开发方法为主

57、、结合面向对象和基于构件的方法进行开发，在系统分析、设计与实现中借鉴项目管理的管理思想。（3）整体性原则。企业风险管理信息系统是相互联系，相互作用的诸要素组成的综合体。必须从整体和各组成部分的相互关系来考察企业的风险，从整体目标和功能出发，正确处理各风险管理子系统之间及子系统内部各组成部分之间的相互关系和相互作用。为了使这一大系统能够协调地运行，前提条件就是所有子系统的信息要素必须有统一规定，有一套公认的标准和规范。（4）分解协调原则。企业经营和业务的特殊性决定了其所面临的风险在种类、风险因素的来源上都更加复杂、多样，因此企业的风险管理的复杂性可想而知。分解协调原则，就是要求在建立信息系统时，

58、要把复杂问题转化成若干相对简单的子问题以方便求解。在处理各类子问题时，还必须根据整个系统的整体功能和目标，协调各子系统的行为、功能与目标，以保证整体功能目标的实现。（5）目标优化原则。所谓目标优化原则对简单系统来说，是求最优解，对复杂系统来说，求的是满意解。鉴于目前在理论领域，某些风险还不能用准确的量化指标来加以衡量，有些风险即使理论上已经有了评估模型，但也可能由于现实的数据问题，还不能实现。因此，企业风险管理信息系统的建立，是在目前的条件下，最大可能性地去实现风险的管理与控制，即达到目前所能达到的最满意的风险管理目标。需要指出的是，以上5原则是系统方法中处理复杂系统问题的5个主要原则，并非全

59、部原则。在处理实际问题时，还需在这些原则的指导下，根据问题的特点，确定求解的具体方法和策略。2、特殊原则（1）易用的原则。风险管理信息管理系统不同于财务、人事等业务软件，只需要少数人经过培训、掌握使用方法就可以，而是涉及多个部门、多个岗位、多个人员的工作。因此，企业风险管理信息系统，尤其是风险因素的录入系统，要在保证全面、完整地基础上，容易操作，简单易用。（2）整体性保障原则。企业风险管理信息系统是企业风险管理的数字神经系统，影响到企业经营与发展的每一个风险要素都应纳入此系统，因此，它需要与各项业务系统有通畅的信息接口，充分利用原有的系统资源。新的风险管理信息系统虽然与其他各业务系统有交接，但

60、又独立于其他任何一个系统，其他系统的运行本身并不影响风险管理信息系统的运行，它自身是一个整体，是一个专门为企业风险管理提供技术支持的完整系统。并且，此系统内部的各功能模块，也可以独立升级、增添或自行设计开发，以保证整体信息系统的发展和完善，适应企业不断发展的需求。（3）实用性与适应性原则。由于风险管理的复杂性，所以构建的该系统必须更加注意具有较强的实用性，这样才能为企业的风险管理提供技术支撑。由于很多风险是不可预知的，随着企业与环境的发展，新的风险随时可能出现，所以企业风险管理信息系统的设计，从最开始就应该适应于多种运行环境，而且还必须具有应变能力，以适应未来变化的环境和需求。例如，对某类风险