所谓“风险评估”是指企业及时识别并系统分析经营活动中的风险并合理确定风险应对策略。要做风险评估,首先就需要有评估的对象。管理体系梳理的目的就是要提供这样一套清晰的、准确的、可视化的评估对象。
传统的风险评估方法,就是各分子公司或各部门将梳理完的制度和流程交给企业的内控及风险管理团队,由他们在现有的制度和流程上去识别和标识风险点,并制定相关控制策略。有一家大公司,下属几十家分子公司,每年采用集中式的风险评估方法以,几十家分子公司的带着各自的制度和流程文档来总部进行统一的评估,耗时近两个月,花费以百万计。另一家大公司的做法与之相反,由总部的内控和风险管理团队每年到各分子公司巡视一遍,总成本也在百万以上。一般来说,各公司每年用在手册更新等“风险评估”工作上的人力和财力都是比较高的。
传统风险评估方法存在的另一个问题是风险管理相关文档的互通性和集成性较差。比如,有一类风险叫“虚增或截留销售收入”,理论上任何制度或流程中,只要涉及“收费并开票”这一个环节就都有可以产生这一风险,就都需要对这一环节进行控制。如果我们制定了相应的控制策略,那么如何在一套套制度或流程中找到所有涉及“开票”这一环节的部分,并将相应的风险控制策略加入到相应的环节中去呢?传统的做法是一个文档一个文档去搜寻,费时费力且极容易遗漏。更为严重的是,如果我们更新了针对此类风险的控制方法,那么还需要一个个环节去更新,这对于企业提高及时发现风险并进行有效控制的能力是很不利的。
解决之道是基于企业所建立的统一的信息化制度和流程管理平台去开展风险评估工作。即企业只有一个制度和流程发布平台,所有制度和流程均在平台上发布。进行风险评估时,只要对此平台上的制度和流程进行评估即可,大家不用跑来跑去。如果,风险与内控部门更新了某一类风险的控制策略,则此IT平台可以自动找到所有相关的工作节点,并更新其控制措施。这相当于将风险数据进行集中管理,所以管理者还可以依据风险发生可能性高低和对目标的影响程度进行整体的定性或定量分析,并较容易地对风险、流程、制度等元素进行多维度评估,促成必要的行动去阻止或者减少重大的损失或者事件。