3.3.1.4风险应对
湖南移动通信公司应在风险识别与评估的基础上,采取适当措施应对风险,以将风险控制在企业能够接受的风险容忍度之内。风险应对是指各风险负责单位在风险评估的基础上,综合平衡成本与收益,针对不同风险特性确定相应的风险应对策略,采取措施并有效实施的过程。
(1)风险应对的方法湖南移动通信公司通过开展“整体评估”、“分单位评估”和“归口评估”等不同层面的风险评估,确定公司可能会面临的重大风险或风险。然后湖南移动通信公司针对风险评估结果制定出管理策略及解决的方案,逐级落实应对策略。公司常用的风险管理应对策略有以下四种:风险规避、风险降低、风险转移、风险接受。
湖南移动通信公司的管理层在确定风险应对策略时应考虑下列因素:应对方案和公司整体对风险的容忍度的协调性;潜在的应对措施会对风险产出的可能性及影响程度效果;预期的风险应对效益和成本;在应对面临的各类风险之余,能使公司目标达成的可能性。
(2)风险应对方案的选择湖南移动通信公司选择风险应对方案时遵循成本与收益原则,以确保资源的有效利用。
湖南移动通信公司的风险应对成本包括与幵展一项应对相关的所有直接成本,以及可以实际计量的间接成本。公司还可以考虑与使用资源相关的机会成本,并在与实现相关目标有关的效益的背景下评价风险应对的效益。需要注意的是,对可控风险,可以采取某些措施进行降低或避免,但是要权衡企业采取这些措施所带来的收益和花费的代价[34].
如果为构建运行风险管理体系的成本超出了因风险应对而带来的收益,或者企业在规避某类风险不足以弥补风险应对付出的成本时,按照成本效益原则,该项风险应对方案就是无益的,也是没有必要的。所以,企业要根据风险可接受程度,处理好成本与效益的平衡,实现效果和目标和谐统一[35].但是这也并不是说企业可以以节约成本为理由,而不建立或不健全风险评估应对机制,关键的一点就是,只要将企业的风险控制在企业可承受范围之内即可,没有必要过度控制。
3.3.2可能面临的重大风险分析
湖南移动通信公司风险管理部门应定期全面开展了重大风险评估工作,定期梳理可能面临的重大风险,提高风险预判能力,完善风险评估体系,提高风险评估、监控的效率。
通过对湖南移动通信公司的现状及发展形势评估研判,收集各部门的风险初始信息,按风险评估机制对收集的初始信息进行识别、评估,预判公司可能面临的风险,编制全面风险管理报告,对重大风险进行评估分析,提出应对措施。在本次风险评估中,公司未来可能面临的风险按照风险频次,前六大类风险依次为:工程项目管理的风险、IT系统支撑的风险、客户信息安全的风险、网络运维管理的风险、采购管理风险、“营改增”税收政策的风险。
3.3.2.1风险成因
(1)工程项目管理的风险。这类风险具体包括工程项目管理缺失、工程项目质量控制、工程物资管理、建设工程违规、在建工程转固不及时等。工程项目管理的风险主要成因是:湖南移动通信公司现行的四网协同战略需要大规模的投资,未来几年将是大投资项目的高峰期,不可避免面临任务重、工期紧的问题,使得一些项目违背基本建设程序,或先施工后立项,或建设超期转资不及时;一些项目的承包单位因为人员不足、资金不到位、工期紧等原因导致其将项目分包他人,多次分包导致工程造价高、工程建设资金、质量控制不到位,保密资料外泄;数量及其庞大的工程物资带来了管理难度,管理不规范、不严格执行出入库管理要求,出现帐外工程物资或工程余料套利;缺乏专业的管理人才,建设部门人员少不专业,导致工程建设的宏观管控不足。
(2)IT系统支撑的风险。这类风险具体包括计费系统不准确、客服系统受理功能故障、系统割接测试不到位、系统间数据交换不及时等。IT系统支撑的风险主要成因是:部分IT系统分级分散建设,系统需求缺少整体协调,管控力度弱,跨系统流程衔接困难;湖南移动通信公司现业务规模大且业务种类不断更新,IT系统规划难以跟上业务发展速度,系统建设周期过长;湖南移动通信公司公司系统集成商众多,各集成商自身采用的技术、标准不尽相同,对系统开发的统一规范管理带来巨大的挑战;湖南移动通信公司目前主要依赖第三方合作机构的研发方式,与市场需求和管理要求的契合度降低,不利于公司快速响应客户需求,开发客户满意的产品,系统运行的稳定性不足,用户使用时体验不佳(如业务办理失败或错误),引起客户投诉,使公司业务的正常发展蒙受损失。业务流程不断推陈出新,应用软件需要频繁变更,基于大数据下的客户行为的系统支撑能力不足,对营销及分析的信息支撑不够。
(3)客户信息安全的风险。这类风险具体包括第三方倒卖客户信息、系统受外部攻击、垃圾短信泛滥等。其主要成因是:湖南移动通信公司因其业务的特殊性,掌握了大量的客户信息,而公司信息系统多,系统之间的数据接口复杂,相关管理制度、业务流程不够健全,管理难度大;网站漏洞、安全平台功能不完善等加大客户信息泄露或通信网络故障的可能性,通信网络故障将降低网络故障、影响客户感知,甚至致使客户离网;市场倒卖信息动机强,不良内容提供商活跃,“伪基站”等应用成本低,现有垃圾短信栏截手段有效性不足;第三方员工接触公司敏感信息未进行充分的考虑和相应的限制,未明确规定对外包商的审计权,第三方员工盗取倒卖公司信息。客户信息泄露既影响客户的正常生活,可能导致客户利益受损,也会引起负面社会舆论,产生信任危机和不良的社会影响,致使公司形象受损。
(4)网络运维管理的风险。这类风险具体包括网络代维质量低、网络核心力量掌握不足、代维厂商考核不到位等。其主要成因是:湖南移动通信公司网络运维外包范围过大,外包管理不完善或违规将禁止外包业务外包;代维单位网络巡检不到位、施工单位野蛮施工,外包公司人员技术能力不足,运营支撑过程中解决问题效率低,从而对业务运营产生不良影响,影响业务支撑和客户感知;网络代维规模增加,代维质量的管控难度增大,公司管线资产损毁、业务中断等,可能导致重大质量损失事件;外包人员流动性大,外包人员参与部分网络故障处理等事宜时存在直接接触部分网络或设备,对设备的管理存在不可控风险;网络代维物料管理制度缺失、网络代维物料管理监管不严,没有定期盘点,导致物资非正常短缺造成经济利益损失,影响正常运维作业。
(5)采购管理的风险。这类风险具体包括供应商恶意低价竞争、采购产品质量低、采购供应不及时、采购产品量过高等。湖南移动通信公司采购管理风险的成因主要有:部分供应商恶意低价投标,排挤质优供应商,不良供应商提供的产品或服务质量不达标,导致网络建设、维护质量下降;供应商引入竞争不充分、资质不合规、评审不严谨,可能存在违纪违规行为,影响公司形象和经济利益;未形成常态化的后评估机制,后评估结果未实现系统管理;未能制定合理的采购计划,执行采购计划未能与公司现有的库存量进行比较,盲目采购导致超量采购,占用过多资金。
(6)“营改增”税收政策的风险。这类风险具体包括“营改增”实施后对公司收入、成本、计费系统、业务流程等形成较大挑战。其主要风险成因是:电信业全行业纳入“营改增”范围,国内外尚无成熟的先例或经验可以借鉴,差异化税率对公司现有的收入结构提出挑战,不同业务收入拆分规则和操作可能带来税务风险;电信产业链相关企业(特别是非试点区域)尚未全部纳入营改增范围,公司非增值税项成本占比较高,导致公司税负成本增加,盈利能力下降;增值税改革涉及公司生产作业组织流程、资费设计、营销模式等不能适应增值税环境,需要全方位进行流程调整和系统改造;计费差错最终反应到发票、账单上易引起客户投诉,计费差错导致企业计税错误易引起税务法律风险。
3.3.2.2建议的应对措施
(1)应对工程项目管理类风险。首先,湖南移动通信公司要完善工程项目管理制度,优化资源配置,规范管理机构和职责、流程设置,各部门各司其职、有序合作,严格按照制度要求合规操作,让每个环节都发挥监督作用,增加违反制度行为的运作难度;其次,加强对全网工程建设的管控,切实提升进度、质量、成本、安全及合规等要素的管理水平,计划与建设应一体,不仅有事前评估、事中监控,还应建立后评估机制;最后,做好人才规划,强化专业人才的引进与培养。
(2)应对IT系统支撑类风险。首先,湖南移动通信公司应研宄创新IT系统规划管理机制,每一个IT系统在建设前应有前瞻规划,确定应用范围和扩展应用范围,增加与现有系统的关联性,如统一编码规则、使用同一的代码信息,辅助数据未来实时传输和同步,减少跨系统提取数据的难度。其次,湖南移动通信公司应优化IT系统工程建设模式,合理安排建设工期,系统建设需求部门应根据建设难度、紧急程度提前提出建设申请,业务支撑中心和信息系统部根据一个时期的业务重点合理排期。再次,不恰当的外包会导致公司自有技术支撑能力丧失,研发能力降低,湖南移动通信公司应加强对核心系统能力的自主研发,加大系统集中建设力度,统一系统规范管理。最后,及时关注市场发展变化,根据实际需求,通过市场调研,加强信息系统的建设,通过有效的系统支撑快速实现超细分和微营销,提供营销效率。
(3)应对客户信息安全类风险。湖南移动通信公司应加大集中化力度,完善安全管理制度流程,加强日常安全监控,加大监督、考核力度,促使各级单位全面提升基础安全水平;加强“五条禁令”、《中国移动客户信息安全保护管理规定》等管理要求的贯彻落实;加强“金库模式”、客户信息模糊化等技术手段的部署应用。强化源头治理,完善策略运营,形成配套法律支撑体系,全面推进不良信息集中治理工作。全面推进落实安全“三同步”要求,幵展新技术新业务安全评估,加大监督考核力度。密切关注网络和信息安全问题所引起的社会舆情,做好应急处理方案和事件处理,积极引导正面舆论宣传。
(4)应对网络运维管理类风险。网络运维支撑能力不足会严重影响湖南移动通信公司的生产根本,如果过于依赖代维或运维外包,会带来极大的网络质量与服务水平的不可控,因此湖南移动通信公司提高网络自维比例,加大对网络、支撑技术人员的培训,从基层逐步培养具有实操能力的技术人才。对于代维或外包业务,要通过规定代维管理关键动作和环节的执行模式,确保代维管理人员的工作效果;规范代维考核内容、建立常态管控机制、强化考核结果应用,督促代维公司加强内部管理;充分考虑运维外包隐形成本和潜在的不确定因素,减少企业后期监控、维护成本增加的风险。
(5)应对采购管理类风险。湖南移动通信公司应加强供应商寻源、认证工作,严格准入制度,选择合格供应商与之合作;建立完善的招投标制度,平衡招标评分体系,不能唯价格定标;加强供应商管理,根据采购需求、供应商信息分层级管理,对主流供应商与之签订长期战略协议;强化监督检查职责,加大对供应商违约处罚力度。(6)应对“营改增”税收政策类风险。营改增涉及到业务的方方面面、公司的各个岗位,湖南移动通信公司要继续在全省范围内幵展广泛的培训和宣传工作,组织各级单位、各级员工学习相关政策要求,树立全员税法遵从意识。按照“营改增”统一要求,财务部牵头优化业务流程,明确涉税业务操作规范,督导各部门严格执行税收政策和公司制度,避免不合理税负增加。市场片相关部门应优化和统一业务规则,解决可能存在的计费差错隐患,确保对外服务承诺清晰明确,做到有诺必践。业务支撑中心和信息系统部组织相关部门商议、完善系统改造方案,及时完成系统升级,提升系统支撑能力,实现平稳过渡。