资源描述
2009 Deloitte Touche Tohmatsu,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,Footer,Deloitte,内控与风,险管理,信息系统介绍,.,Risk Integrator,Deloitte,内控与,风,险管理,系统介绍,一、,Deloitte,内控与风险管理资讯系统说明,二、,Risk Integrator,系统功能:内控与风险管理,三、,Risk Integrator,系统功能:内控与风险整合性监控平台,四、,Risk Integrator,系统架构,五、,Risk Integrator,系统成功案例,一、,Deloitte,内控与风险管理资讯系统说明,.,Risk Integrator,是德勤,依,据国际风险管理最佳实践而开发的基于互联网的,(web-based),内部控制和风险管理信息系统。,Risk Integrator,透过操作风险管理之整合性产出,-,风险轮廓(,risk profile,),协助建立或强化以风险为基础之,内控和,审计制度,。,Risk Integrator,的设计来自于,COSO,的内部控制整体框架,全面支持中国五部委的内部控制指引;同时支持,COSO,企业风险管理框架。,Risk Integrator,可协助企业建立以内部控制和风险管理为基础的内控与风险管理体系,并以系统为工具, 推进内控和风险管理工作的深入开展,优化内控和全面风险管理体系, 建立长效的内控与风险管理机制。从而达到财务报告及相关信息真实完整、经营管理合法合规、资产安全、提高经营效率和效果、促进企业实现发展战略的企业内部控制目标。,Risk Integrator,可协助公司在建立与实施内部控制与风险管理体系时兼顾全面性、重要性、制衡性、适应性和成本效益等各项原则。,Risk Integrator,适合于大型金融控股集团。该产品已经成功地帮助多家金融控股公司、保险、银行、电信与製造业者实现内部控制和风险管理体系的信息化。,Risk Integrator,系统概述,(1/,4,),Risk Integrator,成功地帮助亚太地区多家金控,银行、电信与製造业者开发及推动风险管理体系,。,研发中心:德勤,-,新加坡办事处,技术中心:,德勤,上海办事处,客服支援:德勤,北京,上海,台北办事处,语言版本:英文、中文,(,繁,),、中文,(,简,),、泰文、印尼文、马来文,Risk Integrator,系统概述,(,2,/,4,),Risk Integrator,系统概述,(,3,/,4,),Risk Integrator,系统概述,(,4,/,4,),系统管理,控制与风险管理,控制与风险分析与报表管理,内部控制管理,(,Internal Control Manager,风险与控制,评估,(,Risk and Control Assessor,),关键风险指标,(,Key Risk Indicator,),行动方案启动与监控,(,Action Plan Management,),安全与使用者权限监管,流程管理,计算引擎,参数定义,使用纪录管理,界面管理,风险评估,(R,isk,A,ssessor,),事件收,集,与管理,(,Incident/Loss Manager,),合规性管理,(,Compliance Manager,),通过,Deloitte,顾问服务及内控与风险管理信息系统强化内控和风险制度,通过,Deloitte,顾问服务及,Risk Integrator,的引进,协,助,企,业建,立一套可根据经营策略变化,而具有弹性可调整的操作风险管理体制。,通过,Risk Integrator,的引进,深入推广操作风险管理体制。 企业,在,持续应用风险及控制评估,(RCSA),等管理工具的过程中,可不断探寻风险和内部控制程序强化之机会。,Deloitte,顾问服务,Risk Integrator,的引进,符合银行的最佳实务之操作风险管理体制,+,不断强化的,风险管理和,内部控制制度,二、,Risk Integrator,系统功能:,风险,控制 和流程管理,风险,控制 和流程框架,建立部门框架,建立业务流程、目标,设定风险定义,建设控制框架,风险和控制评定量表和评分带,建立业务部门、,流程,和,目标,建立风险与控制框架,建立风险与控制等级量表和评分带,以用于评分计算,建立电子邮件模板,以由工作流程引擎发送通知给相关人员,主要,功能,工作流程,功能,二、,Risk Integrator,系统功能:,风险与控制自评,(RCSA),流程风险控制自我评估,(RCSA,),创建,RCSA,模板,批准,RCSA,模板,设定评估计划,执行评估,批准评估及报告,根据业务流程的管理, 系统可依据不同流程和单位产生风险与控制评估底稿。,使用者依据不同单位 ,自行设定风险与控制评估计划。,系统提供电子邮件通知之机制,可通过电子邮件自动通知执行风险与控制评估之对象,系统提供风险与控制评估表,使用者依据控制测试结果,执行风险评分,(,例如发生频率与严重度,),。,可根据各项风险控制活动的问题分析,建议问题改进方案, 启动行动方案监控机制。,主要,功能,工作流程,功能,二、,Risk Integrator,系统功能:,内部控制自评,(ICM),内部控制管理,(ICM,),创建控制测试模板,批准控制测试模板,设定控制测试计划,执行控制测试,批准控制测试结果及报告,根据业务流程的管理, 系统可依据不同流程和单位产生控制测试底稿。,使用者依据不同单位 ,自行设定控制测试计划。,系统提供电子邮件通知之机制,可通过电子邮件自动通知执行控制测试之对象,系统提供控制测试报表,使用者依据控制测试结果,执行控制评分。,可根据各项控制活动的问题分析,建议问题改进方案, 启动行动方案监控机制。,主要,功能,工作流程,功能,二、,Risk Integrator,系统功能:,关键风险指标 (,KRI,),关键风险指标,(KRI),模块,建立关键风险指标,批准关键风险指标,指派关键风险指标,报告关键风险指标,监控关键风险指标,提供建立关键风险指标功能。支持指标以多组衡量标准,(trigger level),,以监控其指标值变化趋势。,结合行动方案启动与监控机制,可于,KRI,值到达一水平时,可启动行动方案模块(例如外部查核缺失的水平为一件,当超过此水平时必须强迫采取行动方案),结合,email,通知机制,并可由使用者依据不同单位,自行设置,KRI,通报时,,email,自动通知之对象或时机(例如未于时限内通报,KRI,即发送,email,通知本人或主管),主要,功能,工作流程,功能,二、,Risk Integrator,系统功能:,损失数据收集与管理 (,LDC,),风险损失事件收集与管理,(,LDC,),报告损失事件,审批损失事件,更新损失事件,监控损失事件,分析和报告,提供风险事件资料登录、备份、检核与签核功能,提供一笔交易可对应多笔损失或追偿的功能,提供特定单位,(,例如风管单位,),将不同事件联结为单一事件功能,提供特定单位将损失归类或分配至对应之部门单位,(,或,Basel,所定义之业务别,),结合行动方案启动与监控机制,可于风险事件损失到达一门槛时,可启动行动方案,结合,email,通知机制,并可由使用者依据不同单位,自行设置到达某损失门槛时,,email,自动通知之对象或时机。,主要,功能,工作流程,功能,合规管理,建立法令规章资料库,批准合规框架,设定评估计划,执行评估,批准评估及报告,建立,/,维护法令规章资料库。 例如: 信息安全管理(,ISO27001,),银行内部条例 等。,建立法令规章与遵法单位之对应关係。例如:建立相关单位所对应信息安全管理 。,建立法令規章與控制制度之对应关系。例如:建立信息安全管理所对应的控制。,执行合规性评估。例如:相关单位所对应信息安全管理条例及相关控制评估,依据控制测试结果, 系统可产出条规落实度矩阵,主要,功能,工作流程,功能,二、,Risk Integrator,系统功能:,行动方案启动与监控(,APM,),行动计划,建立行动计划来管理一个或多个行动任务,批准行动计划,完成行动任务,监控行动计划的执行,完结行动计划并报告,提供所有模块整合性之行动方案管理平台,提供一项行动方案可对应多项不同措施或任务之功能,提供各项行动方案或措施,/,任务,可指定不同负责人员之功能,提供行动方案或措施,/,任务负责人员定期更新进度的功能,提供行动方案进度追踪及监控之功能。,主要,功能,工作流程,功能,三、,Risk Integrator,系统功能:,操作风险整合性监控平台,Risk Integrator,操作风险整合性监控平台,四、,Risk Integrator,系统技术架构,.,Risk Integrator,系统技术架构,Risk Integrator,-,系统架构,Risk Integrator ,软件需求,Application Server,Operating System,Microsoft Windows 2003 Server Enterprise Edition,或,Linux,或,UNIX,Application Server,Sun Java System Application Server Standard Edition,9.1,BEA Weblogic 9.2 or 10,Database Server,Operating System,Microsoft Windows 2003 Server Enterprise Edition,Database Server,Microsoft SQL Server 2005 Enterprise Edition,Reporting Server,Microsoft SQL Server 2005 Reporting,OLAP,Microsoft SQL Server 2005 Analysis Services,Users Desktop/Notebook,Operating System,Existing software installed at the users desktop are sufficient to deploy and use the Risk Integrator. For example Microsoft Windows NT Workstation 4.0; OR Windows 2000 Professional; Windows XP any edition,Browser,Microsoft Internet Explorer 5.5/ Microsoft Internet Explorer 6.0 or above with latest service pack,Email,Microsoft Outlook / Lotus Notes for client; OR Any SMTP compliant Email Client,Word Processing,Microsoft Office 2003 Standard Edition / Microsoft Office 2003 Professional Edition (Optional),The following servers are proposed for Risk Integrator production environment,Application Server,1 x Dual Core Intel Xeon Processor 3 GHz,4GB RAM,1 x 74 GB HDD for System and 2 x 146 GB for Application,100-BaseT network interface card,Database Server,1 X Dual Core Intel Xeon Processor 3 GHz,4GB RAM,1 x 74 GB HDD for System and 2 x 146 GB for Application,100-BaseT network interface card,Users Desktop/Notebook,Existing hardware configuration at the users desktop are sufficient to deploy and use the risk management portal.,Intel Pentium 2 Processor 450 MHz,256 MB RAM,20 GB Disk Spaces,100-BaseT network interface card,Risk Integrator -,硬件需求,五、,Risk Integrator,系统成功案例,.,业务挑战,达到,Basel II,对于运营风险的监管要求,并对监管要求进行合规监控和风险控制测试。,理解各层面运营风险的关键因素并由此确定应集中关注并采取行动的重点领域(不可容忍的风险或控制缺陷),并为业务管理人员创建集中系统,以加强风险及控制管理。,在问题发生过程中、还未形成损失时就进行识别,/,定位,将风险控制在“非意外”水平,并通过管理按照风险敞口及规定的资本水平管理损失来改善财务表现。,减少非增值的人工合并活动。,价值贡献,自动化、集成化和流水线化的人工运作;,风险和事件驱动;,多维度的风险及控制分级和指标;,风险及控制数据库,集成的,RCSA,工作流程;,合规流程;,基于异常和阀值的报告,趋势分析,企业报告;,整合内部和外部审计的风险评估流程;,降低整体控制成本并提高控制活动的成效;,匹配控制活动与业务线管理风险,并集中关注与改进风险控制相关的控制活动。,成功案例,:,新加坡最大的银行之一,业务挑战,达到,C-SOX,对于内部控制管理的监管要求,并对监管要求进行合规监控和风险控制测试。,加强落实内部控制管理机制及有效性测试。,提升操作风险和内部控制及稽核管理机制执行效率。,价值贡献,建立操作风险管理工具之共通性架构,(,例如风险与控制架构、流程与产品架构等,),,奠定未来不同模块相互参照与分析之基础。,透过内部控制测试和自评方法论与执行程序之重新设计,提升自评工具所能产生之效率与效果。,建立有效之行动方案控管机制,随着各项改善方案之确实落实,大幅降低操作风险暴险,(risk exposure),。,建立董事会、事业群、风险,合规 和稽核管理部门所需之各项管理报表,一方面提升风险管理效能,另一方面,亦提升之风险沟通之效率及风险文化之深化程度,协助稽核有效强化以风险为基础之稽核制度,(risk-based auditing),。,成功案例,:,中国最大的保险,银行和资产管理集团之一,业务挑战,达到,Basel II,对于操作风险的监管要求,并对监管要求进行合规监控和风险控制测试。,加强落实操作风险标准法管理机制及有效性。,提升操作风险管理机制执行效率。,为未来采行进阶衡量法预作准备。,价值贡献,建立操作风险管理工具之共通性架构,(,例如风险与控制架构、流程与产品架构等,),,奠定未来不同模块相互参照与分析之基础。,透过操作风险与控制自评,(RCSA),及控制自评,(CSA),方法论与执行程序之重新设计,提升自评工具所能产生之效率与效果。,建立有效之行动方案控管机制,随着各项改善方案之确实落实,大幅降低全行之作业风险暴险,(risk exposure),。,建立操作风险管理平台,(dashboard),,达到实时监控全行操作风险偏好,(risk profile),及预警信息变化趋势之目的。,建立董事会、事业群、风险管理部门所需之各项管理报表,一方面提升风险管理效能,另一方面,亦提升之风险沟通之效率及风险文化之深化程度,协助稽核有效强化以风险为基础之稽核制度,(risk-based auditing),。,成功案例,:,台湾指标性的银行之一,业务挑战,达成银行的业务目标及长期愿景,即将合规、操作风险及控制管理保持在一个高效率的水平;,银行需要采用,ORMS,(操作风险管理系统)来支持所有的操作风险管理,(ORM),资源,一个用于管理、识别、测量和监控操作风险的工具。;,对监管规定要求建立对应的合规监控及抽样控制测试。,价值贡献,标准化风险和控制评估、合规、主要风险指标、事故,/,损失管理以及管理报告中的风险和控制术语及流程。,Risk Integrator,计算风险严重程度及控制评分。,监控操作风险管理(,ORM,),合规与控制的合规可以监控已完成和进行中的评估、主要风险指标和损失数据收集流程。,通过,Risk Integrator,生成的报告,操作风险管理(,ORM,),合规和质检能够分析风险严重性、控制评分、法律合规性、主要风险指标和损失数据。,成功案例,:,印度尼西亚最大的私立银行之一,业务挑战,在,TRIS,(泰国国有企业风险评估机构)的风险评估中达到较高的企业风险及控制管理评分。,及时汇总并向董事会、风险管理委员会以及管理高层报告风险及控制管理信息。,在全组织范围内标准化风险与控制管理流程。,价值贡献,更好地向管理层提示风险趋势和潜在问题;,允许管理层深入并集中在有风险及控制问题的个别业务单位;,追踪组织在风险管理和内部控制方面的有效性;,采用工作流标准化风险和控制管理流程;,在全企业范围内推广风险和控制管理文化;,帮助用户广泛地理解风险和控制工作;,消除人工合并报告的工作方式。,成功案例,:,泰国最大的国立银行之一,Risk Integrator,为,Deloitte,开发的操作风险管理系统,各项功能蕴含国际和地方最佳实践的运作模式。,Risk Integrator,的,价,值,各项管理工具,(,流程管理,/,内控管理,/RCSA/KRI/LDC ),架设在具一致性参数的平台上,可支援彼此连结及进行交叉分析。,为模块化系统,企业可视管理需求或内控和风险发展阶段,选择及增加系统模块。,为随著全球内控和风险管理技术与资讯科技发展而持续进步的系统。,
展开阅读全文