六、集团多层级的危机管理机制

危机管理，就是指针对可能面临的或正在面临的危机，为了避免或者减轻危机所带来的严重损害和威胁，采取的预防、识别、处理和企业形象恢复等一系列管理活动的总称。一般来说，根据危机发生演变的规律，危机管理体系应该包括危机预防机制、危机确认机制、危机控制与解决机制、危机转化机制。

危机预防机制。对危机的准备、预防必须在危机发生之前，当根据危机的现状开始思考如何处理的时候，危机已经演变到下一个阶段了。企业首先要根据自身特点，在内外部经营环境分析的基础上，及时捕捉信号，加以分析处理，将所有可能的突发危机事件列举出来，逐一分析其发生的或然率，研究其发生机理，预测可能的后果。其次要评估应对可能的危机需要的花费，并做出费用预算安排。再就是针对可能的危机进行模拟演练和防控，将危机诱因消除。还要制定相应的危机预案，一旦危机发生不至于被动失措。

危机确认机制。首先要有危机确认专家委员会和决策程序，危机出现时要有具体的组织机构负责危机的研判和确认，既要避免无人负责，也要避免盲目下结论。其次是危机确认要迅速，在第一时间作出准确的性质确认，有利于消除内外部的疑虑，防止外部力量的误导。再就是对外确认危机一定要一个声音一个系统，不能政出多门，更不能自相矛盾。

危机控制与解决机制。首先要建立危机指挥系统，统一归口发布危机确认声明，下达危机监控跟踪指令，指挥调度内外部资源。其次要有一套组织保证系统，将危机预案执行落实到各个环节，确保指令不折不扣地实现。再就是危机解决要有沟通渠道，包括对外发布信息和内部信息反馈。

危机转化机制。危机不仅有危险还有机会，要正确把握。当企业面对危机时，应该以社会公众和消费者利益为重，迅速做出适当反应，因势利导，获得成功解决。危机解决后要总结评估，作为改进企业管理的契机。要通过快捷有效负责任的解决措施，向社会展示企业综合实力和整体素质。还要通过解决危机树立企业信誉，不仅要挽回公众信任，更要巩固和提升企业敢于负责、有能力负责的形象，扩大企业的知名度和美誉度。

七、集团多层级的风险管控信息系统

将信息技术应用于集团各层级的风险管控的各项工作，建立涵盖风险管理基本流程、内部控制系统各环节、风险管控组织与职责划分、风险管理计划与预算、风险管控绩效管理的风险管控信息系统。

风险管理信息系统，包含在风险管控信息系统之中，成为风险管控信息系统的基础组成部分，其包括风险管理信息的采集、存储、加工、分析、测试、传递、报告、披露等。

风险管理信息系统应能够进行对各种风险的计量和定量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。

风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。

风险管控信息系统在风险管理信息系统，增加了集团风险管控组织与职责划分、风险管理计划预算、风险管控绩效管理等模块，与ERP、HR与财务系统进行接口组成集成信息系统，用集成信息管理系统来完成母子公司多层级的风险信息收集、分析、测试、报告、披露，与母子公司多层级的风险管理的业务监控、绩效考核与管理报告。

八、集成信息管理系统环境下的风险管理审计

风险管理审计就是要对风险管理过程及其内容的适当性和有效性进行审查和评价，并提出改进建议。对集成信息管理系统下风险管理的审计，必须对风险管理机制、业务流程、关键控制点、系统监控、集成信息系统本身、系统人员进行审计。

对风险管理机制的审计。对集成信息管理系统下风险管理的审计，首先必须对风险管理机制进行审计，审查企业及其下属单位是否建立了风险管理机制，风险的识别、评价和应对机制的适应性和有效性如何，实际运行情况怎样，是否有利于企业管理的持续改善等。在审计中，我们还应当专门对业务流程、关键控制点、系统监控等方面的风险管理机制进行重点审计。

对业务流程的审计。对业务流程的风险管理审计大体包括以下几个方面：应该在系统中运行的业务是否全部通过系统运行；信息是否及时录入系统；录入的信息是否真实、准确；系统运行是否正确，有无系统错误；流程是否通畅，有无缺陷或舞弊的可能，能否进行进一步的优化；识别、评价和应对流程风险的效果如何等。

对关键控制点的审计。对关键控制点的风险管理审计应作为审计的重点。审计时要主要关注以下问题：是否对关键控制点进行了识别，识别是否全面；是否建立了关键控制点的风险评价体系；是否建立了关键控制点的预警机制和应对机制；关键控制点的识别、评价、预警和应对机制的适应性和有效性如何；控制方法和手段是否可进一步优化；有无控制不严或失控的现象和可能等。

对系统监控的审计。集成信息管理系统是对业务和绩效能够进行动态监控。再好的系统，终究要人去使用，才能体现其优越。集成信息管理系统的监控功能，本身就是一种控制，运用得好，可以极大地降低风险；可一旦运用不好，流程上的控制点就会失去控制，风险也就会随之加大。就拿上面提到的关键控制点来说，如果随时进行了动态监控，其风险将大大降低，即使偶然出现异常，也会因及时的动态监控而发现问题并采取相应的应对措施以减少损失。因此，我们有必要对系统监控的风险管理进行审计，审查和评价企业及其下属单位是否利用集成信息管理系统进行了业务和绩效的动态监控、监控点及其风险如何识别和评价、监控的权威性及其效果如何、发现问题的处理方式以及应对风险的效果如何、有无监控盲区或监控不力的区域、监控结果的利用情况如何等。

对集成信息管理系统的审计。从系统本身来说，无论是硬件还是软件，都有产生故障的可能，软件功能的完备与否也是系统运行的风险之一，集成信息管理系统中ERP、HR、财务、风险管理信息系统之间的连接是影响系统运行的关键因素。要保证集成信息管理系统的正常运行，降低经营风险，对集成信息管理系统的风险管理与审计也是必不可少的，这包括对系统的开发与设计、软件的程序、系统的控制、功能的划分、硬件的架构、备份模式及效果、故障处理方案及风险应对措施、系统风险识别与评价体系等进行审计。

对系统人员的审计。任何系统都是通过人来操作和维护的。要保证系统运行的正常，首先必须保证有与系统相适应的系统维护和操作人员，同时还要保证这些人员具有完成本岗位工作的责任心。否则，系统的运行将存在巨大风险。尤其是关键控制点和系统监控岗位上的人员以及关键的系统维护人员，他们掌握着整个系统的命脉。由此可见，对相关系统人员的风险管理与审计也就显得相当重要。