1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,*,第,*,页,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,风险管理信息系统德勤,风险管理信息系统德勤风险管理信息系统德勤序言国务院国资委近来颁发的中央企业全面风险管理指导,是指导中央企业开展全面风险管理工作,增强企业竞争力,提高投资回报,增进企业持续、健康、稳定发展的重要文
2、献。,风险管理信息系统是整个全面风险管理体系中的重要构成部分,为全面风险管理体系中进行风险评估、实行风险管理处理方案、执行风险管理的基本流程、履行内部控制系统提供必需的技术基础。,指导的第八章“风险管理信息系统”从第53条至第58条给出了中央企业建立风险管理信息系统的基本规定。,序言,国务院国资委近来颁发的中央企业全面风险管理指导,是指导中央企业开展全面风险管理工作,增强企业竞争力,提高投资回报,增进企业持续、健康、稳定发展的重要文献。,风险管理信息系统是整个全面风险管理体系中的重要构成部分,为全面风险管理体系中进行风险评估、实行风险管理处理方案、执行风险管理的基本流程、履行内部控制系统提供必
3、需的技术基础。,指导的第八章“风险管理信息系统”从第53条至第58条给出了中央企业建立风险管理信息系统的基本规定。,培训内容,第一部分:本章概述,第二部分:逐条讲解,第三部分:重点回忆,第一部分:本章概述,风险管理基本流程,风险管理信息系统,风险管理信息系统的作用,风险管理信息系统的实行与运行,风险管理信息系统的规定与功能,搜集风险管理初始信息,进行风险评估,制定风险管理方略,提出和实行风险管理处理方案,实行风险管理的监督与改善,培训内容,第一部分:本章概述,第二部分:逐条讲解,第三部分:重点回忆,第二部分:逐条讲解,第五十三条信息技术应用于风险管理实践,第五十四条风险管理信息系统保障风险信息
4、量化值的规定,第五十五条风险管理信息系统的功能规定,第五十六条风险管理信息系统应当实现跨部门的集成与共享,第五十七条风险管理信息系统应当保证安全、稳定运行,第五十八条风险管理信息系统的建设与更新,第八章 风险管理信息系统,第五十三条 企业风险管理信息系统的基本流程和内部控制环节,第五十三条 企业应将信息技术应用于风险管理的各项工作,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,包括信息的采集、存储、加工、分析、测试、传递、汇报、披露等。,根据COSO企业风险管理框架的三个维度,企业的目的、全面风险要素管理措施、企业的各个层级,风险管理系统就是使用信息技术手段,实现企业各个层级
5、风险要素的信息系统管理,以到达企业发展目的的规定。,由于企业各个层级、各个业务环境的信息环境十分复杂,就尤其需要借助于风险管理系统来实现企业的全面风险管理。,风险管理系统即可以是一种完整的信息系统,也可以是通过不一样的系统,运用信息技术手段集成实现全面风险管理的整体功能。,重点阐明:系统必须涵盖风险管理基本流程和内部控制系统各环节,风险管理信息存在于经营管理的各个层次之中,按照信息使用者的规定和多种业务在经营管理中的层次,可以把需要企业的管理信息分为三个层次:,决策控制层,平常经营管理层,支持体系管理层,风险管理系统需要的信息同步存在于这三个层次当中,因此我们必须要,把握好信息搜集、分析、处理
6、的范围、深度和广度,充足考虑信息管理的全流程化,信息系统的重要性,是企业风险方略和风险处理方案的重要支撑手段,是固化风险管理流程、推进全面风险管理的必须工具,是风险信息搜集、输入、加工和输出的载体,是企业贯彻风险管理、提高风险管理能力的必经之路,提供跨组织、跨流程的信息集成和共享平台,通过系统实现风险的迅速预警,及时采用必要的防备措施,系统可以提供企业风险状况的汇报,并且追溯发生的原因,基础是信息系统,数据层,表现层,中间层,分析层,ERP,系统/,OLTP/,数据仓库,中间件/,OLAP/BAPI,多种分析模型及软件,汇报系统/OA/知识管理,财务,销售,生产,平常营运等决策支持,多种应用衔
7、接,多种数据衔接,跨平台操作,外部开发与第三方模块衔接等,汇报查询,管理决策支持,技术衔接,平常经营、流程管理,风险管理系统的范围,风险系统与其他系统,风险展现系统:Risk Wizard,OpRisk,SAS,预算系统:Hyperion Planning,Comshare,Timeline,Cognos,数据挖掘与分析系统:SPSS,SAS,Intelligent Miner,数据EIS:Web Gateway,Decision Lightship,电子商务系统:Commerce One,BoardVision,CRM系统:Siebel,企业汇报系统:Crystal Report,ERP系统
8、SAP,Oracle,SSA,通过风险管理信息系统加工大量风险信息,有关风险的信息需要在各层级的组织机构中进行识别、评估并对风险做出反应,从而来完毕企业经营管理目的。某些信息也许被用到一种或多种不一样的目的。,信息有诸多的来源可以分为内部的和外部、定性和定量的,并可以对变化的环境迅速做出反应。管理的重要挑战是对大量可用信息进行加工的过程。这种挑战可以用信息系统功能包括来源、获取、处理、分析和汇报有关的信息来处理。,某些系统提供了对客户交易状况进行持续监督功能,结合基本的业务工作流程来减轻每日操作中的风险。保证信息的一致性需要尤其重视企业面对行业变动,高度创新和迅速发展的竞争者,或重大顾客需求
9、变化。信息系统需要伴随新目的的设定而变化。信息系统不仅要识别和获取必要的财务和非财务信息,还要及时的处理和汇报这些信息,保证对企业经营活动进行有效的控制,业务驱动,风险管理信息化项目的一种最为经典的错误是将其当作一种技术项目。为了获取真正的业务收益,系统建设应从业务的角度出发。业务顾客也应直接介入业务战略明晰和业务及信息技术需求分析,关键成功原因业务驱动,风险信息管理的全流程性,商业智能、战略评估、业绩评估、综合分析,信息技术,销售与分销,供应,内部管理,分销渠道管理,客户关系管理,售后服务,市场营销,供应渠道管理,供应商关系管理,协议管理,内向物流管理,外向物流管理,仓储管理,财务管理,成本
10、控制,资金管理,企业需要对其关键业务流程进行完整的定义,并通过必要的手段(例如信息技术)进行固化。将企业运作从老式的以部门为关键的方式转为以业务流程为关键,风险管理,风险信息的构造和处理流程,在构建企业的风险管理信息系统之前,首先要明确有关风险信息的构造和处理流程,即在企业不一样层次,不一样业务和管理环节的处理措施:,信息的分析与测试,信息的传递,信息的采集,信息的存储,信息的加工,风险信息的采集就必须要明确需要哪些基础信息,这些基础信息的来源,基础信息的搜集频度,不一样基础信息之间的口径差异,信息的采集流程,技术手段等,信息的存储需要建立良好的数据架构,处理好数据原则化和存储技术问题,基础信
11、息需要进行加工和提炼才能成为可进行分析的风险信息,分析的内容、层次、措施和频度都会是信息分析环节关注的重点,风险管理系统必须建立良好的信息传递机制,这种信息的传递机制应当建立于风险管理的各个环节中,风险信息系统对风险的展示与披露,信息的汇报与披露:从信息技术角度看,信息的汇报是展现层的工作。一种良好的风险管理信息系统必须规定可以把风险管理的各个环节状况进行直观易懂的展示,根据自己的控制水平和能力确定风险控制方略,信息组,风险原因列表,影响,风险评估,战略组,经营组,财务组,市场占有,客户关系,环境保护,政策法规,股东关系,品牌声誉,人事组,资金缺口,偿债风险,收益实现,人才流失,道德操守,内部
12、公平,信息滞后,信息缺损,系统安全,12345,5,4,3,2,1,6,8,7,8,9,5,4,3,6,5,4,6,7,8,7,6,5,6,7,9,10,5,4,3,2,发生也许性,重点控制,合适控制,影响度,运行风险汇报框架,支付,与结算,采购,资产,管理,贸易,与销售,财务风险,市场风险,运行风险,月度汇报,损失承受能力,风险指标趋势,积极的风险管理,关键的问题,季度汇报,风险状况与问题,周汇报,针对业务线的风险指标汇报,运营风险委员会,管理层,业务线,季度汇报,风险状况与问题,月度汇报,业务定量分析汇报概要,月度汇报,风险状况概览,重要控制问题,运行风险损失概要,运行风险汇报必须联合专注
13、的运行风险评估流程、既有的业务线汇报和尤其的内部及外部评估,第五十四条 风险信息的一致性、精确性、及时性、可用性和完整性,第五十四条 企业应采用措施保证向风险管理信息系统输入的业务数据和风险量化值的一致性、精确性、及时性、可用性和完整性。对输入信息系统的数据,未经同意,不得更改。,保证信息系统输入业务数据和风险值的质量,是风险管理信息系统的重要基础。,安然、世界通讯等企业的一系列丑闻,使投资者对在美国上市的企业信息披露的真实性产生怀疑。伴随萨班斯法案的出台,对上市企业对外披露信息的真实性提出了更高的规定“管理层对财务信息的精确性承担刑事责任”,实行萨班斯法案,将引起企业从业务流程到技术架构的一
14、系列变革。,重点阐明:风险管理信息系统的数据规定,风险信息,一致性,准确性,及时性,完整性,可用性,风险信息系统的内部控制,在风险管理信息系统内部建立严格的人员访问授权、数据接触控制、操作流程规则和职责体系,以防止信息系统故障,保留IT审计线索,杜绝运用信息技术进行贪污、舞弊的行为。,批准,决策,审核,报告,数据提供,风险管理委员会,审计委员会,独立第三方,业务单位,财务,业务单位,风险能力中心主管,海外风险主管,风险能力中心主管,内部审计经理,合规性经理,运行管理层,内部审计经理,完毕风险评估,风险分析和汇报,风险状况评估,风险战略,风险所有者,制定风险原则,实行风险管理信息化的准备工作,按
15、企业管理层次系统模型的规定,规范企业的业务流程、财务流程和人力资源流程,形成一套完整的信息系统功能和管理制度表单的文档;,根据企业文化、组织机构和管理措施的规定,对企业从上层管理人员到一线的工作人员进行全面的管理和工作流程培训;,将信息系统与详细工作流程进行实际演习,通过实践及时修正出现的问题。,风险信息的保障机制,信息系统输入数据及风险量化值的精确性、及时性、完整性,也就是系统外最前端的数据源的精确也会直接影响到企业控制风险的能力。,为保证数据的精确性,企业风险管理信息化需要首先对企业基础管理工作的流程进行梳理,从而保证数据信息的一致性、精确性、及时性、可用性和完整性。,为保证风险数据的精确
16、性,要重视风险管理系统的操作权限与操作规程控制、信息安全与数据处理流程控制。制定对应控制规则,设计控制制度和控制程序,并将这些控制程序和控制参数输入到计算机信息系统内部,形成完整、严密的面向流程的人机内部控制系统。,录入,流程,共享与使用,操作权限,全球化的信息系统架构,在集团范围内共享所有的信息,两个原则的数据互换层,使用ETL搜集和分发有关数据,在线的预警信息服务,一种强势的集团治理架构,按照业务需求建立风险模型,集团内统一流程,企业根据执行,原则的工具支持流程的运行,公共集中的客户信息管理平台,原则化的客户信用管理工具和客户交易数据系统,所有的交易过程中的风险信息和有关信息都将发送到中央
17、风险数据库,一种集中的数据库,数据按天搜集,按月进行风险计算,要点,欧洲某大型集团企业的风险管理,技术,流程,组织,欧洲某大型集团企业的风险管理,企业,中央风险数据库,风险分析工具,风险数据搜集,风险数据使用与共享,信用风险,+,市场风险,引擎,参照信息,集团参照信息,客户,产品,组织,风险标志,行为,分类,警报,模型,监控,风险标志,风险原则,企业参照信息,产品管理,提议与同意,集团,原则风险汇报,集团比率,产品处理,收款管理,市场风险,信息,互换,服务,协议,风险,信息互换,第五十五条 有关风险管理信息系统的功能规定,通过风险管理信息系统中的风险库和预警机制全面识别多种风险,风险库的建立;
18、固化流程;标杆和预警,运用风险管理信息系统实现对风险水平的自动分析、评估和汇报,运用风险评级模型进行评估;建立风险对策库;监督和评价风险管理工作及其效果,重点阐明:风险管理信息系统的功能规定,第五十五条 风险管理信息系统应可以进行多种风险的计量和定量分析、定量测试;可以实时反应风险矩阵和排序频谱、重大风险和重要业务流程的监控状态;可以对超过风险预警上限的重大风险实行信息报警;可以满足风险管理内部信息汇报制度和企业对外信息披露管理制度的规定。,风险库的建立,系统应支持原则的风险库的建立,比较全面地涵盖企业平常经营所面临的各项重要风险。,可以根据国际风险组织的Risk Map风险模型或是德勤的Ri
19、skUniverseTM,结合自身的实际状况,建立风险模型,作为风险识别、分析和评价的参照原则。,国际风险组织的,Risk MapTM,风险模型,RiskUniverseTM,是德勤开发的风险模型,固化流程,将活动和风险建立映射,企业需要在系统中固化和原则化重要的管理流程和业务流程,确定流程负责人,将每个流程中的关键活动与风险库建立映射关系。,定义和分类风险,评估也许性和影响,定义风险缓和方略,管理风险,评估风险,协议签订,实行风险缓和方略,如何有效,管理剩余,的风险,?,如何对风险,排序并评价,其影响,?,如何实施,缓解风险,的策略,?,如何制定缓解,风险的策略,?,Change in ri
20、sk profile,Reduction of existing risks,Amplification of existing risks,or introduction of existing ones,No change,外部业务的,影响如何,?,正确管理,和评估风险,的方法有,哪些,?,主要的风险,是什么,?,风险管理流,标杆分析,实行监测,企业通过行业标竿分析、历史数据分析、情景分析等在系统中设定各风险衡量指标的原则值和合理波动区间,借助信息系统实现风险预警的自动化,实时监测风险指标,及时发出警报信号,并在规定的时间内告知规定的部门和人员,由其采用对应的措施。,平台,部件,承认,认证
21、量产,跟进,评审,方案,设计,试验,手板,模具,试制,试产,综合,管理,专利,申请,策划,和推广,小计,17L,6.46,15.04,2.16,0.32,8.99,14.40,73.09,6.45,47.29,1.82,58.71,234.72,20L,6.46,15.04,2.16,0.32,9.17,14.40,73.09,6.45,32.44,0.00,5.01,164.53,21L,7.78,17.51,2.62,0.37,11.08,17.35,88.19,7.78,3.25,0.42,0.00,156.36,23L,8.40,19.45,2.80,0.41,11.86,18.66
22、94.63,8.33,18.36,0.00,2.51,185.40,25L,6.18,14.36,2.06,0.28,8.78,14.10,69.87,6.15,136.40,0.42,22.55,281.14,28L,29.12,67.92,9.82,1.38,41.43,65.05,66.81,29.07,101.38,0.84,15.03,427.87,31L,3.71,8.64,1.24,0.18,5.27,8.26,41.89,3.68,61.02,0.00,10.02,143.92,34L,9.78,22.79,3.30,0.46,13.90,21.84,110.67,9.76,
23、4.09,0.28,0.00,196.88,36L,2.75,6.40,0.92,0.14,3.90,6.14,31.20,2.77,1.15,0.00,0.00,55.36,40L,13.45,31.41,4.54,0.65,19.13,30.11,152.67,13.45,20.49,0.00,2.51,288.41,44OTR,11.00,3.73,3.72,0.51,15.67,22.06,124.69,10.99,10.57,0.00,0.00,202.94,合计,105.09,222.28,35.33,5.03,149.19,232.38,926.80,104.89,430.46,
24、3.77,116.34,2,337.53,运用风险评估模型进行风险评估,首先,在系统中建立风险评估的定性和定量的原则,构建风险评级模型,综合考虑潜在风险损失和风险发生概率确定风险级别,评估风险水平。,原则,模型,损失和概率,在各项风险的发生也许性与影响程度之间建立起矩阵关系来系统地描述风险的重要性等级(如高风险、中风险和低风险),识别需要应最优先进行控制的风险,有效地分派风险管理的资源。,也许性和影响程度,重要性评价,识别优先,风险评估,建立对策库,监督与评价,建立风险对策库,实现对处理措施的自动提醒,企业应首先确定各类重要风险的应对方略,设计对应的应对措施,并对应到有关的业务流程和管理流程,
25、确定控制节点、控制措施和控制手段,形成统一的风险管理操作规范,同步在系统中建立风险对策库。,确定方略,设计应对措施,统一操作规范,建立风险对策库,根据风险分析和评估成果,系统可自动识别应采用的基本的风险对策,并告知对应的流程负责人。,由于各业务板块所波及的业务工作不一样,风险标识各异,在详细预警系统、管理技术和流程措施上可保持灵活性。,集团设置专门的风险管理部门实行集中化的管理,并授权各业务板块和经营单位配置对应的风险管理人员,在集团企业的授权范围内开展工作。,风险评估,建立对策库,监督与评价,运用信息系统监督评价风险管理工作效果,尽管在不一样的企业风险管理的措施不尽相似,但在风险管理的目的方
26、面是一致的。风险管理信息系统的目的是:,查明影响经营战略与业务活动的风险,并按风险大小进行排序;,理解管理层和审计委员会确定的、可以接受的风险水平;,制定并实行减少风险计划,把风险降到可以接受的水平上;,定期对风险和控制进行评估,以减少管理风险;,定期向董事会和管理层汇报风险管理过程的成果。,系统必须可以协助企业从上述五个目的的完毕状况去评价风险管理的充足性和有效性。,风险评估,建立对策库,监督与评价,运用信息系统监督评价风险管理工作的内容,评价组织和行业的发展状况和趋势,确定与否也许存在影响组织的风险;,检查组织的经营战略,确定组织对风险的接受;,检查管理层、内部和外部审计师,以及有关方面此
27、前刊登过的风险评估汇报;,与有关管理层讨论部门的目的,存在的风险,以及管理层采用的减少风险和加强监控的活动,并评价其有效性;,评价风险监控汇报制度与否恰当;,评价风险管理成果汇报的充足性和及时性;,评价管理层对风险的分析与否全面,为防止风险而采用的措施与否完善,提议与否有效;,对管理层的自我评估进行实地观测、直接测试,检查自我评估所根据的信息与否精确,以及其他审计技术;,评估与风险管理有关的管理微弱环节,并与管理层、董事会、审计委员会讨论。,风险评估,建立对策库,监督与评价,第五十六条 风险管理信息系统要实现信息的集成与共享,第五十六条 风险管理信息系统应实现信息在各职能部门、业务单位之间的集
28、成与共享,既能满足单项业务风险管理的规定,也能满足企业整体和跨职能部门、业务单位的风险管理综合规定。,重点阐明:风险管理信息系统的跨部门特点,对日常工作流程的管理,对执行结果的管理,的管理,各职能部门,各业务单位,单项业务风险管理层次的要求,跨部门风险管理综合要求,风险管理环节与信息的集成与共享,从风险管理的层次看,既有对平常工作流程的管理,也有对执行成果的管理。显然,“信息孤岛”的产生并不仅是与软件产品有关,也与管理集成和技术集成水平有着紧密的关系。,因此风险管理的环节必须集成,这就规定信息必须在各职能部门、业务单位之间的集成与共享,既能满足单项业务风险管理的规定,也能满足企业整体和跨职能部
29、门、业务单位的风险管理综合规定。,一种全球化的信息系统架构,集成开发所有的组件,一种强势的集团治理架构,公共的企业业务流程,重要的困难在于公共信息的管理(例如当一种错误的企业宣布自己的流程模板),共享的集中式的客户信息管理(对于每个企业都作为一种零售客户来管理):,有且只有一种企业负责管理客户的“主数据”(客户的唯一标识),每一种在当地的针对主数据的修改都必须发送到中央数据库并且同步修改其他机构的数据,集团负责客户的信用评级,所有企业信贷发生系统发送信用提议和同意告知至信贷提议数据库,所有企业信贷处理系统发送限制、披露和提供数据至信用风险数据库,风险/会计信息调整:,每一种下属企业必须保证风险
30、和会计信息之间的匹配,任何差异都必须汇报并随风信信息一并上传,在集团层面控制的目的是保证不存在风险与会计信息之间的差异,所有的计算都必须通过内部集成的系统上交,要点,欧洲某大型金融机构风险管理示例,技术,流程,组织,欧洲某大型金融机构风险管理示例,全球信贷提议数据库,全球客户参考信息,全球信贷风险数据库,信贷发生系统,信贷处理系统,信贷发生系统,信贷处理系统,信贷发生系统,信贷处理系统,提议和信贷同意,限制、披露和提供数据,客户数据,金融企业,1,金融企业,2,金融企业,n,地区,(,企业层面,),集团层面,提议和信贷同意,提议和信贷同意,限制、披露和提供数据,限制、披露和提供数据,第五十七条
31、 保证风险管理信息系统的安全和稳定,并持续改善,风险管理信息系统的稳定和安全将直接关系到企业对风险的控制能力,假如处理不好,会给企业带来巨大损失,严重时,还会制约企业的整体发展;,针对风险管理信息系统的安全内容十分广泛,安全规定各不相似,需要从网络层次、信息层次、设备层次等分别讨论;,除了要保证风险管理信息系统的稳定及安全外,还要根据企业的发展需要,对风险信管理信息系统进行改善、完善和更新。,重点阐明:风险管理信息系统需要不停改善和完善,第五十七条 企业应保证风险管理信息系统的稳定运行和安全,并根据实际需要不停进行改善、完善或更新。,可靠性:即保证网络和信息系统随时可用,运行过程中不出现故障,
32、若遇意外打击可以尽量减少损失并尽快恢复正常;,可控性:即保证营运者对网络和信息系统有足够的控制和管理能力;,互操作性:即保证协议和系统可以联接;,可计算性:即保证精确跟踪实体运行到达审计和识别的目的等,信息的完整性:即保证信息的来源、去向、内容真实无误;,保密性:即信息不会被非法泄露扩散;,不可否认性:即保证信息的发送和接受者无法否认自己所做过的操作行为等,网络层次,信息层次,风险管理信息系统的安全规定,第五十七条 企业应保证风险管理信息系统的稳定运行和安全,风险管理信息系统安全保障体系应当是一种在充足分析系统安全风险原因的基础上,通过制定系统安全方略和采用先进、科学、合用的安全技术能对系统实
33、行安全防护和监控,使系统具有敏捷、迅速的恢复响应和动态调整功能的智能型系统安全体系;,其模型可用公式表达为:,系统安全=风险评估+安全方略+防御体系+实时检测+数据恢复+安全跟踪+动态调整,风险管理信息系统安全保障体系的目的是:网络层安全、系统层安全和应用层安全;,不一样的层次,其安全内容、规定各有差异,因此,各层次安全保障方案的制定也应当是不尽相似。,风险管理信息系统,安全保障体系内容,风险管理信息系统,安全保障体系目的,风险管理信息系统安全保障体系内容与目的,保证风险管理信息系统的安全、稳定,风险管理信息系统改善的驱动原因,第五十七条 并根据实际需要不停进行改善、完善或更新。,企业战略的调
34、整,管理和服务,的需求变化,风险管理,信息系统的调整,技术和管理在不停地发展,风险管理信息化建设与实行是一种长期的,需要持续改善、不停向前发展的过程。,企业的企业战略根据企业的目的和外部环境在不停地调整,所面临的风险会不停变化,管理和服务对风险管理信息化建设的需求在不停地变化和发展,信息系统也必须做出对应的调整;,同步,技术和管理在不停地发展,需要不停持续改善和更新才能保持信息化系统的先进性,才能保持信息化的价值能力。,对风险管理信息系统进行持续的改善,欢迎界面,企业实体界面,内部控制,风险评估,评估表格,管理层汇报,第五十八条 风险管理信息系统的规划与实行,第五十八条 已建立或基本建立企业管
35、理信息系统的企业,应补充、调整、更新已经有的管理流程和管理程序,建立完善的风险管理信息系统;尚未建立企业管理信息系统的,应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实行、同步运行。,风险管理系统作为企业整体信息化建设的一部分,需要和企业其他生产、经营系统同样统一规划,统筹安排。,一般来说,大部分中央企业都已经进行了信息化,诸多单位还实行了ERP系统。仅仅依托ERP系统并不能实现从风险识别、风险分析到风险控制的管理全过程。因此必须将企业的业务流程和风险管理结合起来在系统上实现,保证系统适应风险防备和管理的新规定。,重点阐明:风险管理信息系统的搭建方略,数据架构描述了企业的
36、的数据资源,包括数据分类、数据原则、数据分布和管理、数据使用方略、各类数据与系统应用的关系。良好的数据架构分析和设计是进行系统设计的基础部分,会直接影响到整个企业系统间的数据分布与集成问题。,技术架构描述了应用的技术实现方式,包括硬件、软件、网络,从接口定义、原则和服务等方面进行描述。保证未来的系统服务平台和网络架构平台可以支持应用的布署和运行。,应用架构重要描述的是支持企业管理的系统之间的关系,包括每个系统的作用,系统的范围和边界,系统之间的关系与衔接等。应用架构从功能和业务范围上进行了系统间的界定,明确了不一样的关键业务通过不一样的应用系统进行支持,划定了系统内容的功能范围和系统间的功能交
37、流。应用架构的设计关系到未来各个应用系统所能实现的范围问题,是进行系统分析和设计的基础。,风险管理信息系统的构建,从构建系统的信息技术角度来看,一种完整的风险管理系统应当重要考虑应用架构、数据架构、技术架构等。,应用架构,数据架构,技术架构,已建立或基本建立企业管理信息系统的企业,应当在已经有系统的基础上,通过改善既有系统流程,建立完善的风险管理信息系统;尚未建立企业管理信息系统的,应把风险管理融入到企业各软件的建设过程中。,内部审计系统构建,风险系统构建,SAS,数据平台,风险管理信息系统的选型,风险管理信息系统选型是指建设信息化的企业选择应用系统产品及服务提供商的过程。选型对企业信息化建设
38、成败起着至关重要的作用。,信息系统选型措施,选型就是要通过招标、评标、商务谈判和协议签订的过程,采用合适的评估手段,选择合适的风险管理信息系统。,信息系统选型环节,选型中,(评标),选型后,(商务谈判、签约),选型前的准备工作对选型的成败起着至关重要的作用。它是明晰需求,确定招标对象、制定标书的过程。这一阶段非常重要的事宜就是针对企业不一样层级的需要,明晰企业的需求,确定项目范围。,确定评标小组,评原则备,现场听标,经典客户考察,商务谈判入围评比,谈判团体甄选,项目计划沟通和报价分析,商务谈判,法律条款签订,选型前,(明晰需求、确定标书),风险管理信息系统的选型(续),系统选型的定性原因:,软
39、件企业的性质,软件企业的开发能力,软件产品的易用性,软件产品的适应性,软件产品的扩展性,软件产品的升级性,软件产品的生命周期,软件产品的价格体系,系统选型的定量原因:,软件成熟度,成功顾客的数量,顾客满意度,客户化工作量,二次开发工作量,软件升级周期,顾客接受培训的工作量,风险管理信息系统的实行,风险管理信息系统的升级与更新:企业应保证风险管理信息系统的稳定运行和安全,并根据实际需要不停进行改善、完善或更新。,风险管理信息系统的实行与升级,项目准备,阶段,业务蓝图,阶段,系统实现,阶段,上线准备,阶段,上线及运行,支持阶段,制定项目计划,制定项目管理方略,设计系统架构并进行技术评估,集成评估及
40、其方略,差异评估和管理,项目小组培训方略,概念培训,业务流程蓝图模板的设计,组织构造调整的管理,系统环境的开发,业务组织构造,业务流程的定义,系统规划,最终的系统配置和确认,程序开发阐明书的编写,报表设计和开发,系统权限设置,系统集成测试,UAT顾客验收测试,最终顾客文档编辑和培训材料,培训终端顾客,系统压力测试,系统上线试运行与系统切换模拟,企业内的系统支持服务台的建立,系统管理,系统切换,检查上线准备阶段的状况,系统上线,运行支持,项目总结,营造,变革气氛,(理念),授权并带动,试点部门投入变革,实现全企业的系统实行,并加以巩固,1、就系统实行的必要性及紧迫性在组织内部形成普遍共识,2、组
41、建具有高度信任度,能引领变革,并乐意全力以赴的试点实行领导团体,3、将系统实行的目的和方向在整个组织层级进企业完全沟通,并获得员工的认同和投入,5、对有关人员进行企业系统培训及宣传,6、完毕对试点的实行目的并加以庆祝,7、对集团企业其他部门实行系统,8、不停跟踪、培训,巩固成果,领导成功实行的八个环节,变革管理措施环节,4、组织有关人员进行企业流程、业务等讨论,变革管理活动的重要目的是为了使面临变革的个人和团体可以充足理解变革的意义,企业进行充足的知识准备,以及得到更好的协调管理。从而使得他们乐意和有准备接受和执企业变革计划,并将变革作为在未来获得成功的必要条件,培训内容,第一部分:本章概述,
42、第二部分:逐条讲解,第三部分:重点回忆,回忆与小结,第五十三条 企业应将信息技术应用于风险管理的各项工作,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,包括信息的采集、存储、加工、分析、测试、传递、汇报、披露等。,第五十四条 企业应采用措施保证向风险管理信息系统输入的业务数据和风险量化值的一致性、精确性、及时性、可用性和完整性。对输入信息系统的数据,未经同意,不得更改。,第五十五条 风险管理信息系统应可以进行多种风险的计量和定量分析、定量测试;可以实时反应风险矩阵和排序频谱、重大风险和重要业务流程的监控状态;可以对超过风险预警上限的重大风险实行信息报警;可以满足风险管理内部信
43、息汇报制度和企业对外信息披露管理制度的规定。,回忆与小结,第五十六条 风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享,既能满足单项业务风险管理的规定,也能满足企业整体和跨职能部门、业务单位的风险管理综合规定。,第五十七条 企业应保证风险管理信息系统的稳定运行和安全,并根据实际需要不停进行改善、完善或更新。,第五十八条 已建立或基本建立企业管理信息系统的企业,应补充、调整、更新已经有的管理流程和管理程序,建立完善的风险管理信息系统;尚未建立企业管理信息系统的,应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实行、同步运行。,问答,汇报结束,谢谢大家,!,请各位批评指正,






