“一体化”风控模式是由集团公司总部主导，立足企业风险管理和内部控制管理模式顶层设计，以风险管控为导向，以标准流程为载体，以授权管理为约束，以规章制度为保障，以监督评价为手段，以信息系统为支撑的风控管理体系。与传统风控模式相比，“一体化”风控模式能够实现从“分散式风控”向“集团一体化风控”转变，推进集团公司风险防控工作效率和质量的全面提升，增强企业核心竞争力。

一、A集团“一体化”风控模式的经验做法

A集团是一家多元化经营的国有企业，2010年以来围绕集团发展战略目标，注重风控模式顶层设计，建成了以标准化业务流程为载体、以风险管控为导向、以授权管理为约束、以规章制度为保障、以内控评价为手段、以信息系统为支撑的“一体化”风控模式，保障了集团目标的顺利实现。在风控标准制定、业务协同联动、信息平台建设、报告模式创新等方面，A集团的做法有一定的借鉴意义。

（一）顶层设计

A集团在风控模式顶层设计过程中，选择以风控规范为主要载体，借鉴COSO内控五要素理论，按照财政部等五部委制定的《企业内部控制基本规范》要求，提炼出风险、流程、授权、制度和评价等核心管理要素，建立了由管理办法、配套管理规范及管理手册构成的公司级风控规范标准，实现一套标准多级应用，为横向融合、纵向贯通的“一体化”风控模式提供了制度保障。该规范标准对内部控制和风险管理进行了融合，自上而下统一监控，避免重复建设，真正将风险管理与内部控制融入了日常管理。其中，内部控制管理办法为统领即第一层；内控流程规范、授权管理规范、规章制度规范为内部控制执行标准即第二层；风险管理规范、内控评价规范为内部控制检查标准即第三层。

（二）模式建设

1.围绕顶层设计，打造一体化风控信息工作平台。企业级一体化风控模式建设对集团一级部署的风控信息系统有着客观需求。A集团结合自身实际，考虑不同层级、不同专业用户的实际需求和需求差异，以风控业务流程为导向，一体化管控为目标，重点从三方面开展一体化平台开发建设。首先是基础数据方面，收集了包括风险、流程、岗责、授权等基础数据，为集团公司整个业务流和信息流的同步运转提供支撑。其次是梳理形成了一套完善的业务工作流，以计划为指引，以项目为分类，以任务为执行单元，通过风险评估构建引导内控工作的重点领域，以内控评价工作衡量风险管控的有效性，以流程梳理、匹配和优化巩固公司内控成果，以风险为导向的内控体系主数据为基础形成和角色、风险、控制、职责相关联的动态流程图，将内控成果可视化、关联化、可维护化、可监督化、可扩展化。最后，在风控体系持续运行过程中，对标准主数据进行定期评估，并回到计划视角，输出各类管控口径和维度的风控报表、图表和报告，为公司各项管理或决策需求提供强有力的风控信息支撑，促进一体化闭环式风控模式的实现。

2.致力横向贯通，开展业务风控协同联动。企业集团风控管理如不能穿透部门壁垒的束缚，“企业级”便无从谈起。A集团首先以内控流程为主体，将风险点、控制点、职责、岗位、制度、授权等管理要素通过流程步骤动态匹配、相互关联，按岗位组合各类管理要素，推动公司多维度一体化管理。其次，建立企业级风险信息库，明确各专业面临的主要风险及其表现形式、风险成因、应对措施，为各专业开展日常风险管理工作提供了基础信息，并通过将各级风险与内控流程关键步骤匹配，将公司层宏观风险转变为与实际岗位相关的具体风险，提高集团公司整体对风险的免疫力。

3.借助风控信息平台，优化风控报告模式。风控报告是国有企业对国资委监事会等外部监管机构和企业决策层报送的重要文件，是企业风险管理和内部控制工作成果的集中体现。风控报告相关数据主要通过风险管理和内控评价过程取得。其中：风险管理数据主要基于往年与当年重大风险对比、风险的成因、针对风险的措施、风险事件的发生、风险事件造成的影响以及风险事件的处理结果；内控评价数据主要基于评价结果、缺陷来源、缺陷类型、整改管理。与传统企业集团风控报告层层线下报送、逐级人工分析汇总的报告模式不同，A集团在风控报告设计理念上进行了优化，旨在协助用户实现评价报告自动生成、在线编辑、审批及统一发布，并且内控评价报告与内控评价缺陷整改、缺陷认定、风险管理等平台紧密相关联。实际操作过程中，风控报告是通过系统对内控评价和风险管理工作数据挖掘分析整理后“一键式”生成，且与报告关联的附表支持穿透查看，快速定位报告所述内容数据来源。

4.强化过程管理，实施风控实时监控。离开对业务系统的直接监控，风控系统信息只能由业务部门间接录入，受业务部门人员独立性不足和工作量大等因素影响，风险信息的真实性和完整性往往难以保障。为此，A集团在风控系统中嵌入风险监控模块，并与业务在线稽核系统进行集成，将监控需求发送到监控引擎进行分析，洞察风险及内控缺陷本质，并根据监控系统返回的结果采取应对措施，从而保障风控与业务工作同步有效运行。监控引擎后台管理功能涵盖缺陷监控分析处理、风险监控分析处理、风险事件管理、报表管理和规则管理等，全方位帮助风控管理人员发现、控制业务工作的缺陷和风险点，从而满足高性能、低延时、高可扩展等实时风控监控要求，解决风控和业务实际执行“两张皮”的问题。

（三）专业队伍建设

“一体化”风控模式能否长期有效执行，关键在于建设阶段是否有一支过硬的专业化队伍，执行阶段能否将风控意识转化为员工的共同认识和自觉行动。为此，A集团一方面采取外部引进与内部培养相结合的方式，加大风控专业人才引进力度，同时建立风控专业人才内部选拔培训机制，培养了一支专业知识扎实、实践经验丰富，且具备从全局角度分析及防控公司运营面临风险的风控专业队伍，在集团“一体化”风控模式推行中发挥了核心作用。另一方面，在公司内网开设“内部控制与风险管理专栏”，建立内控文化宣传培训与经验交流平台，宣传国家有关内部控制政策规定，开展风控基本知识竞赛，总结交流各单位风控建设经验，积极营造风险管理文化氛围，增强企业各级人员风险防控意识，并将集团风控要求同薪酬制度和人事制度相结合，保障集团“一体化”风控模式顺利实施。

二、集团风控体系建设需关注的问题

（一）集团风控体系顶层设计应设定合理风险承受度

国有企业风控体系建设设定统一管控标准时，易陷入“风险零容忍”的误区，进而设计非常复杂的“完美”控制流程，在规避风险的同时带来机遇和效率的过度牺牲，为风控体系应用埋下了隐患。可见，在顶层设计阶段，权衡成本效益问题是必须面对的“坎”，只有在设计环节把握设定好合理的企业风险承受度，风控体系才可能得到长期贯彻执行。

（二）企业风控体系建设对高素质人员的需求须决策层支持

从某种意义上来说，公司级风控体系的建设者也是规则的制定者，项目骨干人员需具备公司业务执行层的经验、管理层的判断能力和决策层的视角，代表了集团公司员工的最高素质水平。因此，在队伍组建过程中，将集团最优秀的员工从业务部门抽调并集中至风控建设部门阻力非常大，只有得到公司最高决策层的支持才可能实现。

（三）风控信息系统与业务系统数据集成方式应灵活多样

风控系统对业务系统执行情况的直接监控是保障企业级风控体系有效运转的关键。然而，国有集团公司业务系统往往较为庞杂，多为二级甚至三级部署，将业务系统全部调整为一级部署对多数集团公司而言，资源耗费极大，这将使一级部署的企业级风控系统与业务系统对接变得非常困难。为此，A集团建立了一级和二级同时部署的数据中心，二级数据中心与各业务系统对接后将业务执行过程字段信息集成至数据中心数据库，然后二级数据中心通过数据通道将数据传输至一级数据中心，风控系统与一级数据中心数据库对接，进而实现风控系统对业务系统数据的直接监控，有效化解了风控信息系统与业务系统数据集成难题。

责任编辑 鲍双双