随着国内外监督管理要求日趋严格，企业的风控合规管理成本不断加大。基于国资委发布的一系列监管政策，如何在保障自身发展的同时，满足内外部监督管理要求，落实“强内控、防风险、促合规”的指导意见，已然成为企业经营管理者探讨的热点话题。企业一定借助信息化手段来建立一套行之有效的企业治理、风险与合规管理体系，实现“风险自然呈现、闭环管理”，通过探索风控数字化转型，了解自身经营状况、财务现状、潜在风险，并逐步提升企业在经营层面的数字化水平，更好地挖掘数据价值，用以指导公司运营管理，为分析决策提供支撑，从而助力公司实现数字化转型。

  近年来，国务院国有资产监督管理委员会（以下简称“国资委”）先后发布了有关中央企业违规经营问责、合规管理体系建设、境外合规和境外投资监督，以及加强内部控制与内部审计等方面的一系列监督管理要求。在“防风险、强内控、促合规”的全面风险管控大背景下，中央公司能够积极对标世界一流企业的管控模式，大力推进企业内部控制数智化管理程度，力争实现内控内审无死角、全覆盖，实现高水平质量的发展，加快成为具有全球竞争力的世界一流企业。

  在监管政策逐渐收紧的大背景下，传统的“查漏补缺”手段已不足以满足国有企业的风控管理需求。不少企业正在借助专业力量，依托信息化技术方法，强化风控体系建设，进而实现内审内控全方面覆盖，加速推进企业管理数字化转型进程。

  企业的治理、风险与合规（Governance, Risk and Compliance, 以下简称“GRC”）管理，是一套以战略为驱动、以风险为导向、全面整合的风控合规管理方法。GRC系统，则是基于企业风控合规管理方法，运用企业内部信息资源而搭建的数字化风控合规管理平台。GRC系统以风险模型为工具，利用企业资源计划管理（ERP）等系统中的生产经营数据，分析输出风险指标结果，对风险进行及时的监控和预警，及时进行风险分析和应对。GRC理念的关键之处就在于其融合了风险管理、内部控制、合规管理及内部审计，将风险应对措施与控制措施进行联动，再通过统一的风险管理语言以及直观互通的信息技术方法进行可视化展示。GRC系统在协助提升企业风险管理上的水准的同时，也可以帮助企业更加从容地应对日趋严格的监管政策。

  为了让GRC系统的内容更加贴合企业实际，在系统搭建之前，必不可少的步骤是对企业进行核心业务流程、关键控制和风险指标的全面梳理。通过可行性分析和业财一致性分析，结合管理层风险偏好等因素，梳理出包含行业特色、企业特性、高适用性以及平衡度的关键风险指标（KRI）与关键绩效指标（KPI），并据此搭建相应风控模型。

  同时，在构建体系时，也应将监管机构以及企业管理人员、生产单位等利益相关方的风控合规管理需求通盘纳入考量，提炼出一套包含业务流程图、风险事件库、风险指标体系、内控矩阵、权力清单、权限手册、岗位职责卡片的风控体系，再将其落实成为企业的内部控制手册，以便帮企业完善内控体系建设，从而为实施风控合规管理信息化奠定坚实基础。GRC风控数字化业务准备工作从风险视角出发，以业务流程为桥梁，涵盖从设计制度层面到实际执行层面的各项风险管理要素，为落地数字化风控、实现自动化风险管理做好准备。

  在对企业的整体情况进行全面梳理后，应将梳理出的风险和绩效指标以及相应风控模型，通过GRC系统实施落地。这个过程不仅将企业内控流程进行了更为精细的管理，更是将风险管理可视化、将风险预警自动化，最终实现由发现风险到应对风险的风控全流程的闭环管理。

  GRC系统以风险管理、数据分析、风控展示为核心目标，分别搭建风险管理平台、风控数据平台和风控展示平台：

  风险管理平台将覆盖从风险识别、风险分析到风险应对的风险管理全流程。在风险管理平台中，各风险点被拆解细化至相应的KRI与KPI，并融入了内控梳理成果，将岗位职责关联至相应的风险管理程序、KRI和KPI，将风险管理工作落实到责任人。根据管理人员对风险的响应，平台能够自动实现风险影响预估、风险指标的监控与预警，以及风险报告生成。

  风控数据平台将实现业财数据汇聚整合、KRI/KPI指标建模、风险预警结果输出三大功能，并具备数据获取、数据加工、数据存储、质量控制、数据建模以及更多的扩展能力，用以支撑业务和财务数据采集、加工、存储，以及数据分析模型的搭建。

  风控展示平台作为风险与绩效指标的展示看板，具有定制化展示和可开发迭代的特点。平台界面遵循易读性、互动性以及历史数据可回溯的设计原则，针对管理层面用户和执行层面用户展示不同群体最为关注的不同内容。平台所展示的KRI与KPI指标能够实现数据层层下钻，进而对风险因素精准定位，协助进行原因剖析与追根溯源。

  GRC系统在设计过程中，将充分纳入内外部监督管理的机构对本企业风控合规管理的监管要求。设计过程还将结合企业所在行业、企业自身特点、管理层的控制目标、业务与财务的数据质量等多方面关键因素，产出一个高适用性的数字化风控平台。

  对于部分数字化转型速度相对落后的企业，尤其是数字化转型普遍处于起步阶段的传统工业企业，信息系统布局分散、不同系统/部门/业务线对同一数据的记录普遍存在差异、数据孤岛难以融合等情况更是普遍存在。在企业信息化发展过程中，由于业务部门与财务部门本身需求不同、各成体系，业务信息流与财务信息流的口径存在客观差异，最终导致业财分化、难以一体，选取准确的业财数据进行量化风险评估更是难上加难。而一个高适用性的数字化风控平台，也正能够为企业的数字化转型之路扫清这些障碍。

  GRC系统开发在风控合规梳理成果的基础上，通过搭建数据仓库，抽取、转换、加载数据到相应的业务模型和风险模型中，为不同业务的流程参与者、风险管理流程控制者以及企业管理层用户，分别提供定制化的展现服务。从长远发展来看，以数据仓库为依托统一进行数据清洗，也有助于业务数据的横向联动与纵向贯通，促进企业全业务价值链分析，实现“全量数据”“全局分析”和“全面共享”，推动数字化、可视化、自动化、智能化的风控合规管理进程。

  企业日常生产经营过程中产生的业务与财务数据，都可以为风控合规管理工作提供高价值的分析素材。通过将企业的ERP系统进行再开发，新建或打通已有数据仓库，梳理并集成数据接口，可以充分快速利用企业现有数据，为风险管理平台、风控数据平台和风控展示平台的搭建提供数据基础。

  风险管理平台、风控数据平台和风控展示平台的搭建，则是在已有数据的基础上，建立业务模型，通过嵌入动态指标模型、统计分析报表，从点到面层层展开，进行定制化的风险管控展示。

  以风险指标与内控梳理过程中识别的KRI、KPI为出发点进行归类与映射。例如，将关键风险指标——外汇风险、关键绩效指标——某境外项目投资收益率与“境外投资风险”风险模型联动，再加入组织维度、时间维度，灌入分子公司数据、历史业财数据，进行历史风险水平的展示与现时潜在风险的预判。

  通过行业基准化分析、同比分析、环比分析、趋势分析、前/后十大聚焦分析、回归分析等统计分析手段，清晰、直观地量化展示风险内控管理过程，同时满足对数字敏感、对图表敏感的GRC系统用户的不同需求与偏好。

  GRC系统开发完成后，将进入测试、试运行与持续优化阶段。通过进行功能测试、集成测试与用户验收测试，检验系统的功能性、稳定性，以及对于风控合规管理需求的满足程度。GRC系统上线试运行后，将持续接收来自企业管理层和控制流程执行者等人员对于系统功能、界面展示、使用习惯方面的意见和建议，不断完善和优化GRC系统的功能。

  在GRC系统进入稳定运行阶段后，还需要一套以业务支撑人员为指导、运维服务中台为媒介、运维支持小组为核心、外部软硬件支撑为辅助的运维服务体系，为GRC系统提供从技术到服务的全方位支撑，保障企业GRC系统的顺畅、持续、高效运行。

  当然，不同企业在GRC系统实施过程中，都会遇到一些个性化问题。结合安永过去多年的GRC实施经验，我们也总结提炼了企业最关注的GRC实施难点，以及有效的应对措施。

  为帮企业实现数字化的全面风险管控，GRC实施工作将拆分为多个阶段，企业信息系统间的数据一致性和数据关联性等因素的评估、关键风险指标（KRI）与关键绩效指标（KPI）的选择、指标设计和落地执行将有序进行。我们将充分分析选定指标的重要性和可行性，优先选择重要性高、现有数据能够快速支撑的指标进行落地实施。同时，对系统和数据暂时不能支撑建模的指标，有针对性地提出改善建议，促进企业信息系统的优化提升，从而逐步实现指标的全面落地。

  在GRC系统建设的前期风控指标与合规体系梳理、中期指标分析模型搭建，以及后期系统开发、测试、上线至运维的全流程中，我们将贯穿始终，紧密协作，实现咨询成果与系统落地的充分融合。

  GRC系统实施的最终目标，是帮助企业建立一套完善的信息化风控合规管理体系，有效地持续识别、监控和应对风险。在业务顺畅发展的同时，协助企业满足监督管理的机构的要求，避免因违反风险合规要求带来的损失，实现管理提升。企业将通过建立GRC体系，以风控数字化转型为契机推动企业数字化转型，为对标成为世界一流企业做好准备。

  本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。返回搜狐，查看更加多