德勤对中央企业全面风险管理指引中风险管理信息系统条例的讲解阐述

0第0页国务院国资委国务院国资委中央企业全面风险管理指引中央企业全面风险管理指引.2006年8月第八章第八章 风险管理信息系统风险管理信息系统 讲座讲座德勤咨询公司德勤咨询公司1第1页前言前言 国务院国资委最近颁发的国务院国资委最近颁发的中央企业全面风险管理指引中央企业全面风险管理指引,是指导中央企是指导中央企业开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业持业开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发展的重要文件。续、健康、稳定发展的重要文件。风险管理信息系统是整个全面风险管理体系中的重要组成部分，为全面风风险管理信息系统是整个全面风险管理体系中的重要组成部分，为全面风险管理体系中进行风险评估、实施风险管理解决方案、执行风险管理的基险管理体系中进行风险评估、实施风险管理解决方案、执行风险管理的基本流程、履行内部控制系统提供必需的技术基础。本流程、履行内部控制系统提供必需的技术基础。指引指引的第八章的第八章 “风险管理信息系统风险管理信息系统”从第从第5353条至第条至第5858条给出了中央条给出了中央企业建立风险管理信息系统的基本要求。企业建立风险管理信息系统的基本要求。2第2页培训内容培训内容q 第一部分：本章概述第一部分：本章概述q 第二部分：逐条讲解第二部分：逐条讲解q 第三部分：重点回顾第三部分：重点回顾 3第3页第一部分：本章概述第一部分：本章概述风险管理基本流程风险管理基本流程风险管理信息系统风险管理信息系统风险管理信息系统的作风险管理信息系统的作用用风险管理信息系统的实风险管理信息系统的实施与运行施与运行风险管理信息系统的要风险管理信息系统的要求与功能求与功能收集风险管理初始信息收集风险管理初始信息进行风险评估进行风险评估制定风险管理策略制定风险管理策略提出和实施风险管理解决方案提出和实施风险管理解决方案实施风险管理的监督与改进实施风险管理的监督与改进4第4页培训内容培训内容q 第一部分：本章概述第一部分：本章概述q 第二部分：逐条讲解第二部分：逐条讲解q 第三部分：重点回顾第三部分：重点回顾 5第5页第二部分：逐条讲解第二部分：逐条讲解 第五十三条信息技术应用于风险管理实践第五十三条信息技术应用于风险管理实践 第五十四条风险管理信息系统保障风险信息量化值的要求第五十四条风险管理信息系统保障风险信息量化值的要求 第五十五条风险管理信息系统的功能要求第五十五条风险管理信息系统的功能要求 第五十六条风险管理信息系统应该实现跨部门的集成与共享第五十六条风险管理信息系统应该实现跨部门的集成与共享 第五十七条风险管理信息系统应该确保安全、稳定运行第五十七条风险管理信息系统应该确保安全、稳定运行 第五十八条风险管理信息系统的建设与更新第五十八条风险管理信息系统的建设与更新第八章第八章 风险管理信息系统风险管理信息系统6第6页第五十三条第五十三条 企业风险管理信息系统的基本流程和内部控制环节企业风险管理信息系统的基本流程和内部控制环节第五十三条第五十三条 企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。析、测试、传递、报告、披露等。n根据COSO企业风险管理框架的三个维度，企业的目标、全面风险要素管理方法、企业的各个层级，风险管理系统就是使用信息技术手段，实现企业各个层级风险要素的信息系统管理，以达到企业发展目标的要求。n由于企业各个层级、各个业务环境的信息环境十分复杂，就特别需要借助于风险管理系统来实现企业的全面风险管理。n风险管理系统即可以是一个完整的信息系统，也可以是通过不同的系统，利用信息技术手段集成实现全面风险管理的整体功能。重点说明：系统必须涵盖风险管理基本流程和内部控制系统各环节重点说明：系统必须涵盖风险管理基本流程和内部控制系统各环节7第7页风险管理信息存在于经营管理的各个层次之中风险管理信息存在于经营管理的各个层次之中n按照信息使用者的要求和各种业务在经营管理中的层次，可以把需要企业的管理信息分为三个层次：n决策控制层决策控制层n日常经营管理层日常经营管理层n支持体系管理层支持体系管理层n风险管理系统需要的信息同时存在于这三个层次当中，因此我们必须要n把握好信息收集、分析、处理的范围、深度把握好信息收集、分析、处理的范围、深度和广度和广度n充分考虑信息管理的全流程化充分考虑信息管理的全流程化 8第8页信息系统的重要性信息系统的重要性n是企业风险策略和风险解决方案的重要支撑手段n是固化风险管理流程、推进全面风险管理的必须工具n是风险信息收集、输入、加工和输出的载体n是企业落实风险管理、提升风险管理能力的必经之路n提供跨组织、跨流程的信息集成和共享平台n通过系统实现风险的快速预警，及时采取必要的防范措施n系统能够提供企业风险状况的报告，并且追溯发生的原因9第9页基础是信息系统基础是信息系统数据层数据层表现层表现层中间层中间层分析层分析层ERP系统/OLTP/数据仓库中间件/OLAP/BAPI各种分析模型及软件报告系统/OA/知识管理Q财务Q销售Q生产Q日常营运等决策支持Q各种应用衔接Q各种数据衔接Q跨平台操作Q外部开发与第三方模块衔接等报告查询管理决策支持技术衔接日常经营、流程管理风险管理系统的范畴10第10页风险系统风险系统与其它系统与其它系统风险展现系统：Risk Wizard，OpRisk，SAS预算系统：Hyperion Planning，Comshare,Timeline，Cognos数据挖掘与分析系统：SPSS,SAS，Intelligent Miner数据EIS：Web Gateway，Decision Lightship电子商务系统：Commerce One,BoardVisionCRM系统：Siebel 公司报告系统：Crystal Report ERP系统：SAP，Oracle，SSA11第11页通过风险管理信息系统加工大量风险信息通过风险管理信息系统加工大量风险信息n有关风险的信息需要在各层级的组织机构中各层级的组织机构中进行识别、评估识别、评估并对风险做出反应，从而来完成企业经营管理目标。一些信息可能被用到一个或多个不同的目的多个不同的目的。n信息有很多的来源可以分为内部的和外部内部的和外部、定性和定量定性和定量的，并可以对变化的环境迅速做出反应。管理的主要挑战是对大量可用信息进行加工的过程。这种挑战可以用信息系统功能信息系统功能包括来源、获取、处理、分析和报告有关的信息来解决。n一些系统提供了对客户交易情况进行持续监督功能持续监督功能，结合基本的业务工作流程来减轻每日操作中的风险。保证信息的一致性保证信息的一致性需要特别注重注重企业面对行业变动,高度创新和快速发展的竞争者竞争者,或重大顾客重大顾客需求改变。信息系统需要随着新目标的设定而改变。信息系统不仅要识别和获取必要的财务和非财务信息财务和非财务信息，还要及时的处理和报告这些信息，确保对企业经营活动进行有效的控制12第12页业务驱动风险管理信息化项目的一个最为典型的错误是将其当作一个技术项目。为了获取真正的业务收益，系统建设应从业务的角度出发。业务用户也应直接介入业务战略明晰和业务及信息技术需求分析关键成功因素业务驱动关键成功因素业务驱动13第13页风险信息管理的全流程性风险信息管理的全流程性商业智能、战略评估、业绩评估、综合分析商业智能、战略评估、业绩评估、综合分析信息技术信息技术销售与分销销售与分销供应供应内部管理内部管理分销渠道管理客户关系管理售后服务市场营销供应渠道管理供应商关系管理合同管理内向物流管理外向物流管理仓储管理财务管理成本控制资金管理 企业需要对其核心业务流程进行完整的定义，并通过必要的手段（例如信息技术）进行固化。将企业运作从传统的以部门为核心的方式转为以业务流程为核心风险管理14第14页风险信息的结构和处理流程风险信息的结构和处理流程n在构建企业的风险管理信息系统之前，首先要明确相关风险信息的结构和处理流程，即在企业不同层次，不同业务和管理环节的处理办法：信息的信息的分析与分析与测试测试信息的信息的传递传递信息的信息的采集采集信息的信息的存储存储信息的信息的加工加工风险信息的采集就必须要明确需要哪些基础信息，这些基础信息的来源，基础信息的收集频度，不同基础信息之间的口径差异，信息的采集流程，技术手段等信息的存储需要建立良好的数据架构，解决好数据标准化和存储技术问题基础信息需要进行加工和提炼才能成为可进行分析的风险信息分析的内容、层次、方法和频度都会是信息分析环节关注的重点风险管理系统必须建立良好的信息传递机制，这种信息的传递机制应当建立于风险管理的各个环节中15第15页风险信息系统对风险的展示与披露风险信息系统对风险的展示与披露n信息的报告与披露：从信息技术角度看，信息的报告是展现层的工作。一个良好的风险管理信息系统必须要求能够把风险管理的各个环节情况进行直观易懂的展示根据自己的控制水平和能力确定风险控制策略信息组信息组风险因素列表风险因素列表影响影响战略组战略组经营组经营组财务组财务组市场占有市场占有客户关系客户关系环境保护环境保护政策法规政策法规股东关系股东关系品牌声誉品牌声誉人事组人事组资金缺口资金缺口偿债风险偿债风险收益实现收益实现人才流失人才流失道德操守道德操守内部公平内部公平信息滞后信息滞后信息缺损信息缺损系统安全系统安全风险评估风险评估123455432168789543654678765679 105432发生可能性重点控制重点控制适当控制适当控制影响度16第16页风险信息系统对风险的展示与披露风险信息系统对风险的展示与披露根据自己的控制水平和能力确定风险控制策略声誉风险评估体系声誉风险评估体系1 2 3 4 5 543 2 168789543654678765679105432发生可能性重点控制重点控制适当控制适当控制影响度17第17页运营风险报告框架运营风险报告框架 支付与结算采购资产管理贸易与销售财务风险市场风险运营风险月度报告4损失承受能力4风险指标趋势4主动的风险管理4关键的问题季度报告4风险状况与问题 周报告4针对业务线的风险指标报告运营风险委员会管理层业务线季度报告4 风险状况与问题月度报告4业务定量分析报告概要月度报告4风险状况概览4主要控制问题4运营风险损失概要运行风险报告必须联合专注的运营风险评估流程、现有的业务线报告和特别的内部及外部评估18第18页第五十四条第五十四条 风险信息的一致性、准确性、及时性、可用性和完整性风险信息的一致性、准确性、及时性、可用性和完整性第五十四条第五十四条 企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。不得更改。n确保信息系统输入业务数据和风险值的质量，是风险管理信息系统的重要基础。n安然、世界通讯等公司的一系列丑闻，使投资者对在美国上市的公司信息披露的真实性产生怀疑。随着萨班斯法案的出台，对上市公司对外披露信息的真实性提出了更高的要求“管理层对财务信息的准确性承担刑事责任”，实施萨班斯法案，将引发企业从业务流程到技术架构的一系列变革。重点说明：风险管理信息系统的数据要求重点说明：风险管理信息系统的数据要求风险信息风险信息 一致性一致性准确性准确性及时及时性性完整性完整性可用性可用性19第19页风险信息系统的内部控制风险信息系统的内部控制n在风险管理信息系统内部建立严格的人员访问授权、数据接触控制、操作流程规则和职责体系，以避免信息系统故障，保留IT审计线索，杜绝利用信息技术进行贪污、舞弊的行为。批准决策审核报告数据提供风险管理委员会审计委员会 独立第三方业务单位财务业务单位风险能力中心主管海外风险主管风险能力中心主管内部审计经理合规性经理运营管理层内部审计经理完成风险评估风险分析和报告风险状况评估风险战略风险所有者制定风险标准20第20页实施风险管理信息化的准备工作实施风险管理信息化的准备工作n按企业管理层次系统模型的要求，规范企业的业务流程、财务流程和人力资源流程，形成一套完整的信息系统功能和管理制度表单的文档管理制度表单的文档；n根据企业文化、组织机构和管理方法的要求，对企业从上层管理人员到一线的工作人员进行全面的管理和工作流程培训培训；n将信息系统与具体工作流程进行实际演练实际演练，通过实践及时修正出现的问题。21第21页风险信息的保障机制风险信息的保障机制n信息系统输入数据及风险量化值的准确性、及时性、完整性，也就是系统外最前端的数据源的准确也会直接影响到企业控制风险的能力。n为保证数据的准确性，企业风险管理信息化需要首先对企业基础管理工作的流程进行梳理，从而确保数据信息的一致性、准确性、及时性、可用性和完整性。n为保证风险数据的准确性，要重视风险管理系统的操作权限与操作规程控制、信息安全与数据处理流程控制。制定对应控制规则，设计控制制度和控制程序，并将这些控制程序和控制参数输入到计算机信息系统内部，形成完整、严密的面向流程的人机内部控制系统。录入录入流程流程共享与使用共享与使用操作权限操作权限22第22页全球化的信息系统架构全球化的信息系统架构在集团范围内共享所有的信息在集团范围内共享所有的信息两个标准的数据交换层两个标准的数据交换层使用ETL收集和分发相关数据在线的预警信息服务一个强势的集团治理架构一个强势的集团治理架构按照业务需求建立风险模型按照业务需求建立风险模型集团内统一流程，企业依照执行集团内统一流程，企业依照执行标准的工具支持流程的运行标准的工具支持流程的运行公共集中的客户信息管理平台公共集中的客户信息管理平台标准化的客户信用管理工具和客户交易数据系统标准化的客户信用管理工具和客户交易数据系统所有的交易过程中的风险信息和相关信息都将发送到中央风险数据库所有的交易过程中的风险信息和相关信息都将发送到中央风险数据库一个集中的数据库数据按天收集按月进行风险计算要点欧洲某大型集团公司的风险管理欧洲某大型集团公司的风险管理技术流程组织23第23页欧洲某大型集团公司的风险管理欧洲某大型集团公司的风险管理企业企业中央风险数据库中央风险数据库风险分析工具风险分析工具信用风险信用风险+市场风险市场风险引擎引擎参考信息参考信息集团参考信息集团参考信息客户客户产品产品组织组织风险标志风险标志行为行为分类分类警报警报模型模型监控监控风险标志风险标志风险标准风险标准企业参考信息企业参考信息产品管理产品管理建议与批准建议与批准集团集团标准风险报告标准风险报告集团比率集团比率产品处理产品处理收款管理收款管理市场风险市场风险信息信息交换交换服务服务协议协议风风险险信信息息交交换换24第24页第五十五条第五十五条 关于风险管理信息系统的功能要求关于风险管理信息系统的功能要求n通过风险管理信息系统中的风险库和预警机制全面识别各种风险 风险库的建立；固化流程；标杆和预警n利用风险管理信息系统实现对风险水平的自动分析、评估和报告 利用风险评级模型进行评估；建立风险对策库；监督和评价风险管理工作及其效果重点说明：风险管理信息系统的功能要求重点说明：风险管理信息系统的功能要求第五十五条第五十五条 风险管理信息系统应能够进行各种风险的计量和定量分析、定量测试；风险管理信息系统应能够进行各种风险的计量和定量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。和企业对外信息披露管理制度的要求。25第25页风险库的建立风险库的建立 系统应支持标准的风险库的建立，比较全面地涵盖企业日常经营所面临的各项主要风险。可以根据国际风险组织的Risk Map风险模型或是德勤的RiskUniverseTM，结合自身的实际情况，建立风险模型，作为风险识别、分析和评价的参考标准。国际风险组织的Risk MapTM风险模型RiskUniverseTM是德勤开发的风险模型是德勤开发的风险模型 26第26页固化流程，将活动和风险建立映射固化流程，将活动和风险建立映射 企业需要在系统中固化和标准化主要的管理流程和业务流程，确定流程负责人，将每个流程中的关键活动与风险库建立映射关系。定义和分类风险评估可能性和影响定义风险缓解策略管理风险评估风险合同签署合同签署实施风险缓解策略如何有效管理剩余的风险?如何对风险排序并评价其影响?如何实施缓解风险的策略?如何制定缓解风险的策略?Change in risk profile4Reduction of existing risks4Amplification of existing risks,or introduction of existing ones4No change外部业务的影响如何?正确管理和评估风险的方法有哪些?主要的风险是什么?风风险险管管理理流流27第27页标杆分析，实施监测标杆分析，实施监测企业通过行业标竿分析、历史数据分析、情景分析等在系统中设定各风险衡量指标的标准值和合理波动区间，借助信息系统实现风险预警的自动化，实时监测风险指标，及时发出警报信号，并在规定的时间内通知规定的部门和人员，由其采取相应的措施。产产品品分分功功能能盈盈利利分分析析-5,000,000 05,000,00010,000,00015,000,00020,000,00017升电脑非烧烤17升普通机械20升电脑烧烤21升电脑非烧烤21升电脑烧烤21升机械烧烤21升普通机械23升变频23升电脑非烧烤23升电脑非烧烤23升电脑烧烤23升电脑烧烤23升普通机械25升电脑烧烤40升电脑-10,000,000 010,000,00020,000,00030,000,00040,000,000毛 利销 售 收 入（不 含 税）平平台台部件部件承认承认认证认证量产量产跟进跟进评评审审方案方案设计设计试验试验手板手板模具模具试制试制试产试产综合综合管理管理专专利利申申请请策划策划和推广和推广小计小计17L17L6.46 15.04 2.16 0.32 8.99 14.40 73.09 6.45 47.29 1.82 58.71 234.72 20L20L6.46 15.04 2.16 0.32 9.17 14.40 73.09 6.45 32.44 0.00 5.01 164.53 21L21L7.78 17.51 2.62 0.37 11.08 17.35 88.19 7.78 3.25 0.42 0.00 156.36 23L23L8.40 19.45 2.80 0.41 11.86 18.66 94.63 8.33 18.36 0.00 2.51 185.40 25L25L6.18 14.36 2.06 0.28 8.78 14.10 69.87 6.15 136.40 0.42 22.55 281.14 28L28L29.12 67.92 9.82 1.38 41.43 65.05 66.81 29.07 101.38 0.84 15.03 427.87 31L31L3.71 8.64 1.24 0.18 5.27 8.26 41.89 3.68 61.02 0.00 10.02 143.92 34L34L9.78 22.79 3.30 0.46 13.90 21.84 110.67 9.76 4.09 0.28 0.00 196.88 36L36L2.75 6.40 0.92 0.14 3.90 6.14 31.20 2.77 1.15 0.00 0.00 55.36 40L40L13.45 31.41 4.54 0.65 19.13 30.11 152.67 13.45 20.49 0.00 2.51 288.41 44O44OT TR R11.00 3.73 3.72 0.51 15.67 22.06 124.69 10.99 10.57 0.00 0.00 202.94 合合计计105.09 222.28 35.33 5.03 149.19 232.38 926.80 104.89 430.46 3.77 116.34 2,337.53 28第28页利用风险评估模型进行风险评估利用风险评估模型进行风险评估首先，在系统中建立风险评估的定性和定量的标准，构建风险评级模型，综合考首先，在系统中建立风险评估的定性和定量的标准，构建风险评级模型，综合考虑潜在风险损失和风险发生概率确定风险级别，评估风险水平。虑潜在风险损失和风险发生概率确定风险级别，评估风险水平。标准 模型 损失和概率在各项风险的发生可能性与影响程度之间建立起矩阵关系来系统地描述风险的重在各项风险的发生可能性与影响程度之间建立起矩阵关系来系统地描述风险的重要性等级（如高风险、中风险和低风险），识别需要应最优先进行控制的风险，要性等级（如高风险、中风险和低风险），识别需要应最优先进行控制的风险，有效地分配风险管理的资源。有效地分配风险管理的资源。可能性和影响程度 重要性评价 识别优先风险评估建立对策库监督与评价29第29页建立风险对策库，实现对解决措施的自动提示建立风险对策库，实现对解决措施的自动提示企业应首先确定各类主要风险的应对策略，设计相应的应对措施，并对应到相关企业应首先确定各类主要风险的应对策略，设计相应的应对措施，并对应到相关的业务流程和管理流程，确定控制节点、控制措施和控制手段，形成统一的风险的业务流程和管理流程，确定控制节点、控制措施和控制手段，形成统一的风险管理操作规范，同时在系统中建立风险对策库。管理操作规范，同时在系统中建立风险对策库。确定策略 设计应对措施 统一操作规范 建立风险对策库根据风险分析和评估结果，系统可自动识别应采用的基本的风险对策，并通知相根据风险分析和评估结果，系统可自动识别应采用的基本的风险对策，并通知相应的流程负责人。应的流程负责人。由于各业务板块所涉及的业务工作不同，风险标识各异，在具体预警系统、管由于各业务板块所涉及的业务工作不同，风险标识各异，在具体预警系统、管理技术和流程方法上可保持灵活性。理技术和流程方法上可保持灵活性。集团设立专门的风险管理部门实施集中化的管理，并授权各业务板块和经营单位集团设立专门的风险管理部门实施集中化的管理，并授权各业务板块和经营单位配备相应的风险管理人员，在集团公司的授权范围内开展工作。配备相应的风险管理人员，在集团公司的授权范围内开展工作。风险评估建立对策库监督与评价30第30页利用信息系统监督评价风险管理工作效果利用信息系统监督评价风险管理工作效果尽管在不同的企业风险管理的方法不尽相同，但在风险管理的目标方面是一致的。尽管在不同的企业风险管理的方法不尽相同，但在风险管理的目标方面是一致的。风险管理信息系统的目标是：风险管理信息系统的目标是：查明影响经营战略与业务活动的风险，并按风险大小进行排序；了解管理层和审计委员会确定的、能够接受的风险水平；制定并实施降低风险计划，把风险降到可以接受的水平上；定期对风险和控制进行评估，以降低管理风险；定期向董事会和管理层报告风险管理过程的结果。1.1.系统必须能够协助企业从上述五个目标的完成情况去评价风险管理的充分性和有系统必须能够协助企业从上述五个目标的完成情况去评价风险管理的充分性和有效性。效性。风险评估建立对策库监督与评价31第31页利用信息系统监督评价风险管理工作的内容利用信息系统监督评价风险管理工作的内容评价组织和行业的发展情况和趋势，确定是否可能存在影响组织的风险；检查组织的经营战略，确定组织对风险的接受；检查管理层、内部和外部审计师，以及有关方面以前发表过的风险评估报告；与相关管理层讨论部门的目标，存在的风险，以及管理层采取的降低风险和加强监控的活动，并评价其有效性；评价风险监控报告制度是否恰当；评价风险管理结果报告的充分性和及时性；评价管理层对风险的分析是否全面，为防止风险而采取的措施是否完善，建议是否有效；对管理层的自我评估进行实地观察、直接测试，检查自我评估所依据的信息是否准确，以及其他审计技术；评估与风险管理有关的管理薄弱环节，并与管理层、董事会、审计委员会讨论。风险评估建立对策库监督与评价32第32页33第33页34第34页35第35页第五十六条第五十六条 风险管理信息系统要实现信息的集成与共享风险管理信息系统要实现信息的集成与共享第五十六条第五十六条 风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。位的风险管理综合要求。重点说明：风险管理信息系统的跨部门特点重点说明：风险管理信息系统的跨部门特点对日常工作流程的管理对执行结果的管理 的管理 各职能部门各业务单位单项业务风险管理层次的要求单项业务风险管理层次的要求跨部门风险管理综合要求跨部门风险管理综合要求风险管理环节与信息的集成与共享n从风险管理的层次看，既有对日常工作流程的管理，也有对执行结果的管理。显然，“信息孤岛”的产生并不仅是与软件产品有关，也与管理集成和技术集成水平有着紧密的关系。n因此风险管理的环节必须集成，这就要求信息必须在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。36第36页一个全球化的信息系统架构一个全球化的信息系统架构集成开发所有的组件集成开发所有的组件一个强势的集团治理架构一个强势的集团治理架构公共的企业业务流程公共的企业业务流程主要的困难在于公共信息的管理主要的困难在于公共信息的管理（例如当一个错误的企业宣布自（例如当一个错误的企业宣布自己的流程模板）己的流程模板）共享的集中式的客户信息管理（对于每个公司都作为一个零售客户来管理）：共享的集中式的客户信息管理（对于每个公司都作为一个零售客户来管理）：有且只有一个企业负责管理客户的“主数据”（客户的唯一标识）每一个在本地的针对主数据的修改都必须发送到中央数据库并且同时修改其它机构的数据集团负责客户的信用评级所有企业信贷发生系统发送信用建议和批准通知至信贷建议数据库所有企业信贷发生系统发送信用建议和批准通知至信贷建议数据库所有企业信贷处理系统发送限制、披露和提供数据至信用风险数据库所有企业信贷处理系统发送限制、披露和提供数据至信用风险数据库风险风险/会计信息调整：会计信息调整：每一个下属企业必须确保风险和会计信息之间的匹配，任何差异都必须报告并随风信信息一并上传在集团层面控制的目标是确保不存在风险与会计信息之间的差异所有的计算都必须通过内部集成的系统上交要点欧洲某大型金融机构风险管理示例欧洲某大型金融机构风险管理示例技术流程组织37第37页欧洲某大型金融机构风险管理示例欧洲某大型金融机构风险管理示例全球信贷建议数据库全球信贷建议数据库全球客户参考信息全球客户参考信息全球信贷风险数据库全球信贷风险数据库信贷发生系信贷发生系统统信贷处理系信贷处理系统统信贷发生系信贷发生系统统信贷处理系信贷处理系统统信贷发生系信贷发生系统统信贷处理系信贷处理系统统建议和信贷批建议和信贷批准准限制、披露和提供数据限制、披露和提供数据客客户户数数据据金融企业金融企业1金融企业金融企业2金融企业金融企业 n地区地区(企业层面企业层面)集团层面集团层面建议和信贷批建议和信贷批准准建议和信贷批建议和信贷批准准限制、披露和提供数据限制、披露和提供数据限制、披露和提供数据限制、披露和提供数据38第38页第五十七条第五十七条 确保风险管理信息系统的安全和稳定，并持续改进确保风险管理信息系统的安全和稳定，并持续改进n风险管理信息系统的稳定和安全稳定和安全将直接关系到企业对风险的控制能力，如果处理不好，会给企业带来巨大损失，严重时，还会制约企业的整体发展；n针对风险管理信息系统的安全内容十分广泛，安全要求各不相同，需要从网络层次、信息网络层次、信息层次、设备层次层次、设备层次等分别讨论；n除了要确保风险管理信息系统的稳定及安全外，还要根据企业的发展需要根据企业的发展需要，对风险信管理信息系统进行改进、完善和更新。重点说明：风险管理信息系统需要不断改进和完善重点说明：风险管理信息系统需要不断改进和完善 第五十七条第五十七条 企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。进行改进、完善或更新。39第39页n可靠性：即保证网络和信息系统随时可用，运行过程中不出现故障，若遇意外打击能够尽量减少损失并尽快恢复正常；n可控性：即保证营运者对网络和信息系统有足够的控制和管理能力；n互操作性：即保证协议和系统能够联接；n可计算性：即保证准确跟踪实体运行达到审计和识别的目的等n信息的完整性：即保证信息的来源、去向、内容真实无误；n保密性：即信息不会被非法泄露扩散；n不可否认性：即保证信息的发送和接收者无法否认自己所做过的操作行为等网络层次网络层次信息层次信息层次风险管理信息系统的安全要求风险管理信息系统的安全要求40第40页第五十七条第五十七条 企业应确保风险管理信息系统的稳定运行和安全企业应确保风险管理信息系统的稳定运行和安全 n风险管理信息系统安全保障体系应该是一个在充分分析系统安全风险因素的基础上，通过制定系统安全策略和采取先进、科学、适用的安安全技术全技术能对系统实施安全防护和监控，使系统具有灵敏、迅速的恢复响应和动态调整功能的智能型系统安全体系；n其模型可用公式表示为：系统安全系统安全=风险评估风险评估+安全策略安全策略+防防御体系御体系+实时检测实时检测+数据恢复数据恢复+安全安全跟踪跟踪+动态调整动态调整n风险管理信息系统安全保障体系的目标是：网络层网络层安全、系统层系统层安全和应用层应用层安全；n不同的层次，其安全内容、要求各有差异，因此，各层次安全保障方案的制定也应该是不尽相同。风险管理信息系统风险管理信息系统安全保障体系内容安全保障体系内容风险管理信息系统风险管理信息系统安全保障体系目标安全保障体系目标风险管理信息系统安全保障体系内容与目标风险管理信息系统安全保障体系内容与目标 确保风险管理信息系统的安全、稳定确保风险管理信息系统的安全、稳定41第41页风险管理信息系统改进的驱动因素风险管理信息系统改进的驱动因素 第五十七条第五十七条 并根据实际需要不断进行改进、完善或更新。并根据实际需要不断进行改进、完善或更新。企业战略的调整企业战略的调整管理和服管理和服务务的需求变的需求变化化风险管理风险管理信息系统的调整信息系统的调整技术和管理在不断地技术和管理在不断地发展发展风险管理信息化建设与实施是一个长期的，需要持续改进、不断向前发展的过程。风险管理信息化建设与实施是一个长期的，需要持续改进、不断向前发展的过程。n公司的企业战略根据企业的目标和外部环境在不断地调整，所面临的风险会不断变化，管理和服务对风险管理信息化建设的需求在不断地变化和发展，信息系统也必须做出相应的调整；n同时，技术和管理在不断地发展，需要不断持续改进和更新才能保持信息化系统的先进性，才能保持信息化的价值能力。对风险管理信息系统进行持续的改进对风险管理信息系统进行持续的改进42第42页43第43页44第44页欢迎界面欢迎界面45第45页公司实体界面公司实体界面46第46页内部控制内部控制 47第47页风险评估风险评估 48第48页评估表格评估表格49第49页管理层报告管理层报告50第50页第五十八条第五十八条 风险管理信息系统的规划与实施风险管理信息系统的规划与实施第五十八条第五十八条 已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行。统一实施、同步运行。风险管理系统作为企业整体信息化建设的一部分，需要和企业其它生产、经营系统一样统一规划，统筹安排。一般来说，大部分中央企业都已经进行了信息化，很多单位还实施了ERP系统。仅仅依靠ERP系统并不能实现从风险识别、风险分析到风险控制的管理全过程。因此必须将企业的业务流程和风险管理结合起来在系统上实现，保证系统适应风险防范和管理的新要求。重点说明：风险管理信息系统的搭建策略重点说明：风险管理信息系统的搭建策略51第51页数据架构描述了企业的的数据资源，包括数据分类、数据标准、数据分布和管理、数据使用策略、各类数据与系统应用的关系。良好的数据架构分析和设计是进行系统设计的基础部分，会直接影响到整个企业系统间的数据分布与集成问题。技术架构描述了应用的技术实现方式，包括硬件、软件、网络，从接口定义、标准和服务等方面进行描述。确保未来的系统服务平台和网络架构平台能够支持应用的部署和运行。应用架构主要描述的是支持企业管理的系统之间的关系，包括每个系统的作用，系统的范围和边界，系统之间的关系与衔接等。应用架构从功能和业务范围上进行了系统间的界定，明确了不同的关键业务通过不同的应用系统进行支持，划定了系统内容的功能范围和系统间的功能交流。应用架构的设计关系到未来各个应用系统所能实现的范围问题，是进行系统分析和设计的基础。风险管理信息系统的构建风险管理信息系统的构建从构建系统的信息技术角度来看，一个完整的风险管理系统应当主要考虑应用架构、从构建系统的信息技术角度来看，一个完整的风险管理系统应当主要考虑应用架构、数据架构、技术架构等。数据架构、技术架构等。应用架构应用架构数据架构数据架构技术架构技术架构已建立或基本建立企业管理信息系统的企业，应当在已有系统的基础上，通过改进现有系统流程，建立完已建立或基本建立企业管理信息系统的企业，应当在已有系统的基础上，通过改进现有系统流程，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应把风险管理融入到企业各软件的建设过程中。善的风险管理信息系统；尚未建立企业管理信息系统的，应把风险管理融入到企业各软件的建设过程中。52第52页内部审计系统构建内部审计系统构建53第53页风险系统构建风险系统构建SAS数据平台数据平台54第54页风险管理信息系统的选型风险管理信息系统的选型风险管理信息系统选型是指建设信息化的企业选择应用系统产品及服务提供商的过风险管理信息系统选型是指建设信息化的企业选择应用系统产品及服务提供商的过程。选型对企业信息化建设成败起着至关重要的作用。程。选型对企业信息化建设成败起着至关重要的作用。信息系统选型方法信息系统选型方法选型就是要通过招标、评标、商务谈判和合同签订的过程，采用合适的评估手段，选择合适的风险管理信息系统。信息系统选型步骤信息系统选型步骤选型中选型中（评标）（评标）选型后选型后（商务谈判、签约）（商务谈判、签约）选型前的准备工作对选型的成败起着至关重要的作用。它是明晰需求，确定招标对象、制定标书的过程。这一阶段非常重要的事宜就是针对企业不同层级的需要，明晰企业的需求，确定项目范围。确定评标小组 评标准备 现场听标 典型客户考察 商务谈判入围评选 谈判团队甄选 项目计划沟通和报价分析 商务谈判 法律条款签订选型前选型前（明晰需求、确定标书）（明晰需求、确定标书）55第55页风险管理信息系统的选型（续）风险管理信息系统的选型（续）系统选型的定性因素：系统选型的定性因素：n软件公司的性质n软件公司的开发能力n软件产品的易用性n软件产品的适应性n软件产品的扩展性n软件产品的升级性n软件产品的生命周期n软件产品的价格体系 系统选型的定量因素：系统选型的定量因素：n软件成熟度n成功用户的数量n用户满意度n客户化工作量n二次开发工作量n软件升级周期n用户接受培训的工作量56第56页n风险管理信息系统的实施n风险管理信息系统的升级与更新：企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。风险管理信息系统的实施与升级风险管理信息系统的实施与升级项目准备项目准备阶段阶段业务蓝图业务蓝图阶段阶段系统实现系统实现阶段阶段上线准备上线准备阶段阶段上线及运行上线及运行支持阶段支持阶段制订项目计划制订项目管理策略设计系统架构并进行技术评估集成评估及其策略差异评估和管理项目小组培训策略概念培训业务流程蓝图模板的设计组织结构调整的管理系统环境的开发业务组织结构业务流程的定义系统规划最终的系统配置和确认程序开发说明书的编写报表设计和开发系统权限设置系统集成测试UAT用户验收测试最终用户文档编辑和培训材料培训终端用户系统压力测试系统上线试运行与系统切换模拟公司内的系统支持服务台的建立系统管理系统切换检查上线准备阶段的情况 系统上线运行支持项目总结57第57页营造营造变革气氛变革气氛（理念）（理念）授权并带动授权并带动试点部门投入变革试点部门投入变革实现全公司的系统实施实现全公司的系统实施并加以巩固并加以巩固 1、就系统实施的必要性及紧迫性在组织内部形成普遍共识、就系统实施的必要性及紧迫性在组织内部形成普遍共识 2、组建具备高度信任度，能引领变革，并愿意全力以赴的试点实施领导团队、组建具备高度信任度，能引领变革，并愿意全力以赴的试点实施领导团队 3、将系统实施的目的和方向在整个组织层级进公司完全沟通，并、将系统实施的目的和方向在整个组织层级进公司完全沟通，并获得员工的认同和投入获得员工的认同和投入 5、对相关人员进行公司系统培训及宣传、对相关人员进行公司系统培训及宣传6、完成对试点的实施目标并加以庆祝、完成对试点的实施目标并加以庆祝 7、对集团公司其它部门实施系统、对集团公司其它部门实施系统8、不断跟踪、培训，、不断跟踪、培训，巩固成果巩固成果 领导成功实施的八个步骤领导成功实施的八个步骤变革管理方法步骤变革管理方法步骤4、组织相关人员进行公司流程、业务等讨论、组织相关人员进行公司流程、业务等讨论变革管理活动的主要目的是为了使面临变革的个人和团队能够充分了解变革的意义，公司进行充分的知识准备，以及得到更好的协调管理。从而使得他们愿意和有准备接受和执公司变革计划，并将变革作为在未来取得成功的必要条件58第58页培训内容培训内容q 第一部分：本章概述第一部分：本章概述q 第二部分：逐条讲解第二部分：逐条讲解q 第三部分：重点回顾第三部分：重点回顾 59第59页回顾与小结回顾与小结第五十三条 企业应将信息技术应用于风险管理的各项工作，建立涵盖涵盖风险管理基本流程和内部控制系统各环节基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、采集、存储、加工、分析、测试、传递、报告、披露加工、分析、测试、传递、报告、披露等。第五十四条 企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。第五十五条 风险管理信息系统应能够能够进行各种风险的计量和定量分析分析、定量测测试试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控监控状态；能够对超过风险预警上限的重大风险实施信息报警报警；能够满足风险管理内部信息报告报告制度和企业对外信息披露披露管理制度的要求。60第60页回顾与小结回顾与小结第五十六条 风险管理信息系统应实现信息在各职能部门、业务单位之间的各职能部门、业务单位之间的集成与共享集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。第五十七条 企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新不断进行改进、完善或更新。第五十八条 已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行统一规划、统一设计、统一实施、同步运行。61第61页问答问答